Требования к надежным паролям

Создание надежных паролей

Содержание статьи:

Оправдывая использование слабых очевидных паролей, люди ссылаются на распространённый стереотип о том, что доступ к их учётным записям никому не нужен. Но это далеко не так. Даже если в своих электронных письмах пользователь не пересылает информацию, способную повлиять на судьбы стран или крупных корпораций, подобранный пароль к ящику электронной почты может стать отмычкой для других учётных записей. Например, через сервис восстановления паролей можно перехватить доступ к учётной записи в социальной сети или электронного кошелька, а это повлечёт за собой уже реальные финансовые потери.

Что такое надежный пароль

Прежде всего надежный пароль — это пароль, обладающий следующими качествами:

Сложность. К созданию пароля необходимо подойти ответственно вне зависимости от вида и важности ресурса, где он будет использоваться. При создании сложного пароля стоит придерживаться следующих правил:

  • Длина пароля. Пароль должен содержать не менее 8 символов, а лучше – 10 и более.
  • Наличие цифр и букв верхнего и нижнего регистров, идущих не подряд – AAaaBBbb.
  • Наличие специальных знаков – «@», «$», «&» и т.д. (если допустимо их присутствие).

Несмотря на то что многие ресурсы при регистрации принудительно заставляют придумать сложный пароль (требуя определенную длину пароля, наличие цифр и букв, а также специальных символов), пользователи зачастую просто стараются выполнить эти требования, не задумываясь о надежности такого пароля. В результате получается что-то похожее на – р@ssword1234.

Использование паролей типа «qwerty1234», «abcd12345», «p@ssword1234» не гарантирует надежную защиту данных, поскольку программы подбора паролей, которыми пользуются злоумышленники, в первую очередь проверяют именно такие пароли.

Надежный пароль не должен содержать имена, клички животных или названия городов, а также цифры даты рождения или номера телефонов. Пароль типа «M@sha1990» будет угадан программами по подбору паролей, т.к. содержит достаточно распространенную комбинацию букв.

Уникальность. Для каждого ресурса необходимо иметь свой пароль. Это обусловлено необходимостью защиты всех остальных пользовательских ресурсов при компрометации пароля одного ресурса.

Пароль должен быть известен только пользователю, иначе никакой надежной защиты уже быть не может. Нежелательно записывать пароли на бумаге и тем более держать эти записи рядом с компьютером в открытом доступе для всех. Кроме того, не рекомендуется вводить свои пароли на сайтах по проверке надежности паролей, так как они могут оказаться ловушками для паролей.

Как выбирать (создавать) надежные пароли

1. Генерация пароля с помощью специализированных программ.

Тем пользователям, кому сложно придумать надежный пароль самостоятельно, можно порекомендовать воспользоваться сервисами по генерации надежных паролей. При необходимости программа сгенерирует пароль необходимой длины, с наличием специальных символов и букв разных регистров, например – $y@85u!K1n3x.

Важным требованием является то, чтобы это была именно программа, установленная на устройстве, а не онлайн сервис. В противном случае, сгенерируемый пароль может быть известен не только пользователю, но и попасть в базы злоумышленников.К оффлайн сервисам можно отнести: ViPNet Password Generator, Random password generator, Drowssap.

2. Самостоятельное создание пароля с помощью своей методики.

Тем, кто не доверяет создание надежного пароля машине, можно посоветовать выработать свою методику для создания паролей. Это удобнее, поскольку при таком варианте не надо запоминать пароль для каждого конкретного ресурса, а достаточно помнить методику его создания. Например, хорошим паролем для условного сайта www.mail.ru будет – L12i!9A@1m13. Алгоритм его составления следующий:

  • буквы соответствуют слову «mail» набранному в обратной последовательности с меняющимся регистром (L**i**A**m**);
  • специальные знаки “ ! ” и “ @ ” располагаются рядом с буквам, с которыми они ассоциируются – i и A (L**i!*A@*m**);
  • цифры – порядковый номер буквы по алфавиту (L12i!9A@1m13).

Также можно использовать непосредственно клавиатуру при создании пароля. Удобство такого метода заключается в зрительном эффекте – пользователь смотря на клавиатуру сразу “видит” пароль. Например, можно пронумеровать ряды и столбцы букв на клавиатуре по аналогии с игрой «Морской бой» и придумать пароль для того же сайта www.mail.ru , где будут идти буквы слова «mail» (с меняющимся регистром) и их “координаты”.

Таким образом можно получить надежный пароль – M37a21I18l29, в который при необходимости можно добавить специальные символы («!», «@», «#», «$» и т.д.). Кроме того, этот способ будет удобен и для ввода с мобильных устройств.

Совершенно не обязательно использовать те буквы, из которых состоит доменное имя сайта. Смысл данной методики – создать пароль который будет вызывать ассоциации только с одним конкретным ресурсом. Как уже говорилось, это необходимо для того, чтобы защитить остальные ресурсы пользователя при компрометации пароля одного ресурса.

Требования к надежным паролям

Поддержка домашних пользователей

Поддержка в социальных сетях

Поддержка бизнеса

Следите за В2В новостями

Борьба с вирусами

© АО «Лаборатория Касперского», 2018.

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание

Как мы можем улучшить статью?

Мы не сможем с вами связаться, если вы оставите контактные данные. Для обращения в службу поддержки используйте Личный кабинет.

Как создать надежный пароль и защитить аккаунт

Чтобы надежнее защитить свой аккаунт Google от взлома, установите уникальный сложный пароль и следите за актуальностью данных для восстановления.

Шаг 1. Создайте надежный пароль

Это поможет вам:

  • защитить личные данные;
  • сохранить конфиденциальность своих писем, файлов и других материалов;
  • предотвратить несанкционированный доступ к аккаунту.

Требования к паролям

Пароль должен содержать не менее 8 символов. Это может быть любая комбинация букв, цифр и других допустимых знаков (символов ASCII).

Кроме того, пароль не должен быть:

  • слишком прост, например «password123»;
  • был установлен в вашем аккаунте ранее;
  • начинаться или заканчиваться пробелом.

Советы по созданию надежного пароля

Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать.

Придумайте разные пароли для своих аккаунтов – особенно для тех, которые крайне важно защитить (например, для электронной почты и интернет-банкинга).

Использовать один и тот же пароль для важных аккаунтов рискованно. Узнав пароль от одного из них, злоумышленник сможет войти в другие и получить доступ к вашей электронной почте и даже деньгам, а также узнать ваш адрес.

Совет. Если вам сложно запомнить несколько паролей, воспользуйтесь специальными инструментами для управления ими.

Длинные пароли сложнее взломать. Вот несколько вариантов, которые будет легко запомнить:

  • строка из песни или стихотворения;
  • цитата из фильма или речи выдающегося человека;
  • цитата из книги;
  • значимая для вас фраза;
  • аббревиатура (например, из первых букв каждого слова в предложении).

Не используйте пароли, которые легко угадать:

  • если человек знает вас;
  • потому что в них использована общедоступная информация о вас (например, из соцсетей).

Пароли, содержащие символы разного типа, сложнее угадать, но и сложнее запомнить. Добавьте данные для восстановления, чтобы не потерять доступ к аккаунту, если вы забудете пароль.

Сочетайте разные символы

Используйте одновременно буквы, цифры и специальные символы:

  • Заглавные (прописные) буквы, например A, E, R.
  • Строчные буквы, например a, e, r.
  • Цифры, например 2, 6, 7.
  • Специальные символы, например !, @, &, *.

Следуйте рекомендациям

Выберите слово или фразу и замените некоторые буквы цифрами или символами. В пароле нельзя использовать символы кириллицы, но можно заменить их похожими допустимыми символами или использовать транслитерацию. Примеры:

  • Название праздника Хеллоуин можно записать как >
  • Прощание «чао-какао» можно записать как 4A0-|
Другие статьи:  Где получить выписку из лицевого счета на квартиру

Сократите фразу: используйте первые буквы каждого слова. Пример:

  • «Если звезды зажигают – значит – это кому-нибудь нужно?» можно записать как «E*zZeKnN».

Избегайте личных данных и общеупотребительных слов

Не используйте личные данные

Не создавайте пароль на основе информации, которая может быть известна другим и которую легко найти. Примеры:

  • ваш псевдоним или инициалы;
  • имя вашего ребенка или домашнего животного;
  • дни рождения или другие важные для вас даты;
  • название вашей улицы;
  • цифры из вашего адреса.

Не используйте общеупотребительные слова

Не используйте простые слова, фразы и наборы символов, которые легко подобрать. Примеры:

  • Очевидные слова и фразы, например password (пароль) или moyparol.
  • Естественные последовательности символов, например abcd или 1234.
  • Последовательности символов на клавиатуре, например qwerty или asdfg.
  • Примеры из этой статьи, например «>

Безопасное хранение паролей

Создав надежный пароль, позаботьтесь о его безопасности.

Храните записанные пароли в надежном месте

Если вам требуется записывать пароли, чтобы не забыть их, не оставляйте их в свободном доступе, например на столе или мониторе. Храните эти записи в месте, известном только вам, или под замком.

Используйте диспетчер паролей

Если вам сложно запомнить много разных комбинаций, воспользуйтесь диспетчером паролей. Ознакомьтесь с отзывами на подобные программы, обратите внимание на репутацию разработчика и выберите инструмент, который вам подходит.

Шаг 2. Примите меры на случай взлома

Если вы укажете свой номер телефона и адрес электронной почты, мы сможем сообщать вам о подозрительной активности в аккаунте.

Вот для чего это нужно:

  • если кто-то использует ваш аккаунт, вы получите предупреждение;
  • если ваш пароль станет известен посторонним, вы сможете восстановить доступ к аккаунту;
  • если вы забудете пароль или не сможете войти в аккаунт по другой причине, то все равно получите доступ к нему.

Требования к надежным паролям

Имя почтового ящика (логин) — это уникальная комбинация букв, цифр и специальных символов, расположенная перед доменом (@mail.ru, @list.ru, @bk.ru, @inbox.ru).

Переименовать почтовый ящик невозможно, поэтому отнеситесь к выбору имени почтового ящика серьезно.

Имя должно состоять из 4-31 символов.

В имени можно использовать:

  • латинские буквы ( a-z, A-Z );
  • цифры ( 0-9 );
  • точку, подчеркивание или дефис (._- ). Эти символы не могут идти друг за другом или стоять в начале или конце имени.

Регистр букв в имени почтового ящика не имеет значения: name@mail.ru и NAME@mail.ru — это один и тот же ящик.

Нельзя регистрировать ящики с именами, похожими на служебные имена Mail.Ru и включающими слова «admin», «support», «corp» и «suport».

Как выбрать пароль?

Надежный пароль — гарантия безопасности и сохранности почтового ящика и всей личной информации. Отнеситесь к выбору пароля максимально серьезно.

Пароль должен состоять из 6-40 символов.

В пароле можно использовать:

Регистр букв в пароле имеет значение: kytu64ui%j и KYTU64UI%J — разные пароли.

Пароль не может:

  • состоять только из одних цифр,
  • содержать пробелы,
  • полностью или частично совпадать с именем почтового ящика и регистрационными данными (имя, фамилия, дата рождения и пр.).

Не используйте простые комбинации ( password , qwerty123 , asdfgh и т.д.) и меняйте пароль не реже раза в год, а лучше — каждые три месяца.

Воспользуйтесь нашим сервисом для генерации паролей, чтобы создать надежный пароль.

Чтобы в будущем восстановить пароль, если вы его забудете, укажите в настройках почтового ящика дополнительный адрес и номер мобильного телефона.

Никогда не сообщайте пароль от почтового ящика третьим лицам. Обратите внимание, что Mail.Ru не просит своих пользователей высылать пароли от почтового ящика. Будьте внимательны и не попадайтесь на уловки мошенников!

Если у вас возникли проблемы с регистрацией, воспользуйтесь нашим помощником .

Как создать и запомнить надёжный пароль

Лучшие способы создать пароль, который никто не сможет взломать.

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый p@ssword.

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую безопасность, а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то фиксировать.

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств.

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может вспомнить, каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com — компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля — задача простая, достаточно составить комбинацию из случайных символов.

Другие статьи:  Нотариус субботу перевод

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:

  • Случайные, при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
  • Массовые атаки, когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
  • Целенаправленные, сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей жизни.

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных фраз будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org — RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ — и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надёжности и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу — супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Другие статьи:  Нет категории d штраф

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

Personal Identification Number (PIN) — дешёвый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Требования к надежным паролям

Поддержка домашних пользователей

Поддержка в социальных сетях

Поддержка бизнеса

Следите за В2В новостями

Борьба с вирусами

© АО «Лаборатория Касперского», 2018.

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание

Как мы можем улучшить статью?

Мы не сможем с вами связаться, если вы оставите контактные данные. Для обращения в службу поддержки используйте Личный кабинет.

Безопасность паролей

Учетные записи на различных сервисах – важнейшая часть наших данных. Почта, социальные сети, форумы, личные кабинеты на разных сайтах — всё это вы защищаете паролем. Очень важно, чтобы пароль был надёжным,как замок на двери в квартиру.

Вопрос выбора пароля зачастую ставит пользователя в тупик, иногда вызывает раздражение слишком серьезными требованиями и редко, когда заставляет человека серьезно подойти к этому процессу. Зачастую срабатывает типичная логика неуловимого Джо «кому я нужен, никто не станет меня ломать», главное самому не забыть.

Как же найти компромисс между надежным паролем, отвечающим требованием безопасности, и паролем, который легко запомнить?

Это может показаться смешным, но известный американский криптограф Брюс Шнайер, основатель криптографической компании Counterpane Internet Security, Inc предлагал записывать пароли на бумажке и хранить в кошельке вместе с банковскими карточками.

This is good advice, and I’ve been saying it for years.

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down We’re all good at securing small pieces of paper I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper, in their wallet.

К вопросу выбора пароля нужно подходить со всей серьезностью. Ниже приведены рекомендации по составлению безопасного пароля.:

Главные признаки хорошего пароля:

Например, подбор пароля Lev!Tolstоj1828, при использовании алгоритма полного перебора, займет 42 квадриллиона лет. Полученная цифра очень условна, т.к. зависит от многих факторов, таких как мощность используемого оборудования, количества компьютеров, участвующих в переборе, технология получения комбинаций и т.д. Например, в данном расчете используется скорость перебора 300.000.000 паролей в секунду. При использовании скорости 4.000.000.000 паролей в секунду, время подбора пароля составит 28 миллиардов лет.

3,9703058810593968686230373349024e+32 комбинаций
/
300.000.000 паролей в секунду
=
42.548.717.003.808.694 лет

Еще одним важным вопросом, касающимся надежностей паролей, является вопрос «любимых паролей». Большинство из нас используют одинаковые пароли для разных сервисов, не задумываясь о последствиях такого выбора. Давайте представим следующую ситуацию: наши учетные данные оказались среди 4.5 миллионов данных пользователей mail.ru, выложенных в сеть 10 сентября. Любой пользователь интернета, мог зайти по этому паролю в наш почтовый ящик, щелкнуть на письмо со следующим содержанием «Вам поступила новая заявка на добавление в друзья, перейдите по ссылке», и перейти на нашу страницу в социальной сети. Для того, чтобы попасть в нее осталось ввести только адрес почты и пароль. Пользователь вводит уже известную комбинацию и попадает на нашу страницу. Таким образом, любой человек может пройтись не только по социальным сетям, а, например, зайти в дневник от лица учителя, если мы таким являемся, попасть в систему интернет платежей и т.д.

Пароли от разных сервисов должны быть разными. Конечно, так запоминать придётся больше, но зато, если один из ваших паролей попадёт в чужие руки, вы не потеряете сразу всё.

Специалисты службы информационной безопасности Яндекса советуют придумывать себе правило и немного менять пароль в зависимости от сервиса: например, VLev!Tolstоj1828 — для ВКонтакте и FLev!Tolstоj1828 — для Фейсбука. На крайний случай существуют менеджеры паролей — программы, которые будут помнить их вместо вас.

В заключение, хотелось подвести небольшой итог. Если мы выбираем пароль, который легко угадать, то мы рискуем стать жертвой кражи личных данных. Проблема усугубляется в случае, если один и тот же пароль используется в разных учетных записях онлайн – в этом случае при взломе одного аккаунта под угрозой оказываются все остальные. По этой причине многие сервис-провайдеры, теперь предлагают двухфакторную аутентификацию – для доступа на сайт или для внесения изменений в настройки учетной записи от пользователя требуется ввести код, сгенерированный аппаратным ключом или присланный на мобильное устройство. Двухфакторная аутентификация действительно усиливает безопасность, но только в том случае, если она требуется в обязательном порядке, а не предлагается в виде опции.