Большинство злоумышленников предпочитают использовать простые методы воровства паролей и легко угадывают комбинации. Многие существующие методы шифрования можно взломать всего за четыре попытки. Как это возможно? Всё довольно просто.
Допустим, вы входите в 99% пользователей, у которых пароль не так прост. Даже в этом случае необходимо учитывать производительность современных программ для взлома.
Например, бесплатная программа John the Ripper, которая доступна для всех, может проверять миллионы шифров в секунду. Некоторые коммерческие программы заявляют о мощности в миллиардах кодов в секунду.
В начале взломщики проверяют статистически наиболее распространённые комбинации, а затем обращаются к полному словарю.
Конечно, веб-сервисы и приложения стараются усложнить пароли пользователей.
Требования к паролю включают в себя определённую минимальную длину, наличие цифр, прописных букв и специальных символов.
Некоторые сервисы относятся к этому очень серьёзно, и создание принимаемой системой комбинации может занять долгое и утомительное время.
Проблема заключается в том, что практически все пользователи не создают действительно надёжные пароли, а лишь стараются удовлетворить требования сервиса. В результате получаются варианты типа "password1", "password123", "Password", "PaSsWoRd", "password!" и непредсказуемый "p@ssword".
В итоге становится ясным, что действительно надёжный пароль просто невозможно запомнить, и его нужно где-то записывать. Некоторые выбирают менеджеры паролей, не всегда осознавая риски взлома такой системы.
Например, представители популярного сервиса LastPass заявили, что в 2022 году хакеры украли зашифрованные хранилища паролей клиентов.
Кроме того, злоумышленники получили множество других данных о пользователях, включая имена, адреса электронной почты, номера телефонов и платёжную информацию.
Другие предпочитают использовать записные блокноты с записями паролей.
Также стоит отметить, что длинные пароли не только сложно запомнить, но и вводить. Поэтому многие пытаются использовать один и тот же простой вариант для всех сервисов, игнорируя риски.
Почему даже надёжный пароль не всегда обеспечивает безопасность информации Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на три категории:
Как создать надёжный пароль и не забывать его
Собственно создание хорошего пароля — несложная задача. Достаточно составить комбинацию из случайных символов.
Для этого существуют специальные сервисы. Например, random.org может генерировать такие пароли:
mvAWzbvf; 83cpzBgA; tn6kDB4T; 2T9UPPd4; BLJbsf6r.
Или можно воспользоваться генератором паролей от Лайфхакера. Он позволяет выбрать длину от 6 до 20 знаков и указать, какие символы должны входить в комбинацию.
Придумайте фразу или формулу для запоминания случайного пароля
Возьмём, например, случайный пароль — RPM8t4ka. Хоть он и выглядит бессмысленно, мозг способен найти закономерности в подобном хаосе.
Например, первые три буквы заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Если внимательно посмотреть на этот пароль, вы обязательно найдёте свои ассоциации с этим набором букв и цифр.
Случайный пароль не будет входить в список популярных комбинаций, и злоумышленник, использующий метод массовой атаки, сможет подобрать его только через долгий период брутфорса. Например, простая комбинация, учитывающая верхний регистр и цифры, может содержать 62 символа для каждой позиции. Если сделать пароль всего 8-значным, то получаем 62⁸ = 218 триллионов вариантов.
Даже если количество попыток не ограничено, коммерческое специализированное ПО с мощностью в несколько миллиардов паролей в секунду потратит в среднем полдня на подбор нужной комбинации.
Добавление всего одного символа сделает взлом ещё более затратным.
Используйте единую основу Как было отмечено ранее, одна и та же последовательность символов для всех сайтов без системы усложнения или чёткой формулы может привести к взлому ваших аккаунтов.
Для обеспечения баланса между безопасностью и удобством лучше выбрать «философию одного надёжного пароля».
Для создания вариаций можно добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Таким образом, случайный пароль f7%p.*SNmX9Va42PjG|q для VK может стать kf7%p.*SNmX9Va42PjG|q.
К этому можно добавлять другие дополнительные модифицирующие символы.
Продумайте секретный вопрос Некоторые хакеры игнорируют пароли в пользу действий от лица владельца аккаунта. Они могут имитировать ситуацию, когда вы забыли свой пароль и хотите восстановить его через секретный вопрос, если такая опция доступна.
В этом случае злоумышленник может изменить пароль по своему желанию, а владелец потеряет доступ к аккаунту.
Не стоит использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные. Вопросы вроде «кличка животного» или «любимая хоккейная команда» легко подбираются из соответствующих словарей.
Важно выбирать нестандартные вопросы, ответы на которые известны только вам и которые не могут быть угаданы с нескольких попыток. Плюс в том, что вы не забудете ответ со временем.
Не упрощайте ПИН-коды Personal Identification Number (PIN) — это простой код, который используется для доступа к нашим деньгам. Многие не обращают внимания на создание более сложных комбинаций из четырёх цифр. Часто используются простые варианты вроде даты рождения или комбинаций типа 1111 и 0000.
Добавить комментарий