Какой пароль из перечисленных является наиболее стойким к перебору

Самые сложные пароли

Практически каждый сайт требует регистрации пользователя. А значит, придется придумывать пароль. Использовать одинаковую комбинацию, даже самую сложную, на всех сайтах подряд не очень умно. Многие из небольших порталов хранят комбинации пользователей в незашифрованном виде, и они часто утекают в сеть. Пароли это очень непростое дело, давайте разберемся, как придумать и запомнить самый сложный и надежный пароль.

Рейтинг самых популярных комбинаций

В интернете давно существует рейтинги самых часто используемых комбинаций. По статистике, средняя его длина составляет от 6 до 8 символов.

На первом месте рейтинга — цифровые последовательности и первый ряд букв клавиатуры:

Сочетания длиной менее 4 символов или цифр Взломать такие последовательности не составит труда. Самым простым способом получить доступ к аккаунту, является взлом методом грубого перебора (брутфорс).

Как взламывают пароли

Для брутфорса существуют программы, в которые загружается список популярных слов и комбинаций (словарь). Такой список можно найти в открытом доступе. Программа подставляет комбинации по очереди, в автоматическом режиме, пока не найдет рабочую последовательность.

Сколько займет подборка комбинации

Подборка пароля из 4 символов не представляет никаких сложностей для злоумышленника. В 2012 году, на конференции по кибербезопасности в Норвегии, была продемонстрирована система, способная подбирать 348 миллиардов хэшей в секунду!

Хэшем называют преобразование информации с помощью определенного алгоритма, что позволяет кодировать, хранить, а затем восстанавливать эту информацию.

Если для хранения кодового слова используются более сложные алгоритмы хэширования, например, комбинации md5, то последовательность из 6 символов (буквы разного регистра + цифры) можно подобрать за 95 минут (скорость около 10 миллионов последовательностей в минуту). А вот для того, чтобы подобрать пароль из 10 символов, потребуется уже более двух с половиной тысяч лет.

Такие значения достигаются в идеальных условиях: без ограничения по количеству попыток, и с максимальной скоростью обмена данными. В реальной ситуации взлом займет гораздо больше времени

Пароли длиной более 10 случайных символов редко взламывают, ведь для этого хакерам потребуется много времени и мощностей, а зачем прилагать такие усилия, если более 10% всех последовательностей – это вариации цифр 12345 и букв qwerty.

Какие пароли ненадежные

Код, состоящий из букв в одном регистре, взломать крайне легко. Особенно, если это повсеместно используемые слова, названия книг, имена героев или событий.

Усложнения таких комбинаций с помощью дополнительных слов так же будет недостаточно: «Этомойпароль» или «этомойкрутойпароль» будут подобраны за одинаковое время.

Как происходит утечка комбинаций в сеть

В первую очередь взламываются малопопулярные сайты, без серьезной защиты. Хакеры выкладывают взломанные аккаунты в свободный доступ, чтобы внести все комбинации login+password в словари, используя их в соцсетях, платежных системах или почтовых сервисах.

Требования при регистрации

Времена, когда пользователю разрешалось придумать любой пароль при регистрации, прошли. Теперь от него требуют, чтобы код содержал, как минимум, одну заглавную букву, одну цифру и один спец символ. Многих это раздражает, но благодаря такому подходу удается сохранить аккаунты пользователей.

Правила создания паролей

1. Не использовать одну и ту же связку на разных сайтах.
2. Стараться не использовать одинаковые комбинации на разных сайтах.
3. Самые сложные и стойкие комбинации должны использоваться для самых важных сайтов – платежных систем, почтовых аккаунтов, с помощью которых можно сбросить пароли к платежным системам и т.д.
4. Использовать менеджер паролей.

Как придумать стойкий пароль

Очень сложным и самым лучшим считается пароль от 10-12 символов длиной, с использованием заглавных, прописных букв, цифр и спецсимволов:

Совет

Не стоит использовать пароль, совпадающий с логином. Чтобы украсть аккаунт, такую связку даже не придется взламывать.

Придумать самый лучший и сложный пароль можно несколькими способами:

1. Открыв текстовый редактор, стукнуть по клавишам вслепую. Получившуюся комбинацию можно подкорректировать – поменять прописные буквы на заглавные, добавить спец символы или цифры.
2. При помощи password-генератора
3. При помощи менеджеров паролей. В браузерах Opera, chrome, Яндекс и firefox есть встроенные менеджеры, которые не только хранят их в защищенном виде для каждого сайта, но и позволяют генерировать новые, безопасные комбинации.

Совет

При генерации паролей следует отказаться от использования осмысленных фраз или слов. Небезопасным будет также замена раскладки – в иностранном сегменте интернета такое может сработать, но большинство взломщиков в рунете работают со обеими раскладками.

Как запомнить придуманную последовательность

1. Записать на бумажке. Самый ненадежный способ. Сайтов много, комбинаций — тоже, бумажки постоянно теряются. А вводить пароль каждый раз по одной букве долго и легко ошибиться.
2. Сохранить на компьютере в текстовом файле. А чтобы еще больше упростить работу злоумышленникам, желательно назвать файл «my_passwords», поместив его в корень диска C:\. Может вставлять сохраненные комбинации гораздо удобнее, чем переписывать их вручную, но ни о какой безопасности в таком случае не может идти и речи.
3. Использовать менеджеры паролей. Оптимальный способ хранения данных. Существуют приложения для настольных ПК, смартфонов и даже облачные сервисы с постоянной синхронизацией.(Пароль всех ваших паролей это …. самый важный пароль в вашей жизни ! )

Password-менеджеры

Из самых известных мультиплатформенных password-менеджеров следует отметить:

Пароли будут надежно шифроваться, при этом большинство приложений интегрировано с браузерами. Каждый раз, как пользователь будет заходить на почтовый ящик или в аккаунт соцсети, такие приложения автоматически заполнят логин и сохраненный пароль. Причем комбинации синхронизируются и будут доступны с любых устройств пользователя.

Как работать с менеджером пароль в браузерах

Если автозаполнение в настройках браузера включено (доступ к этой функции можно получить, зайдя в настройки браузера и открыв меню «passwords» или «автозаполнение»), то каждый раз, как пользователь попадает на сайт, где от него требуется пройти автаризацию, браузер предложит ему сгенерировать случайные символы и сохранить их в менеджере.

Выбор паролей, более устойчивых к атакам методом перебора

Чтобы увеличить количество попыток, требуемых для успешной атаки методом перебора, лучше ли выбирать пароли, которые не только длинные, но и взвешенные по отношению к числовым символам с более высоким значением и к алфавитным символам в конце алфавита?

Или атаки методом грубой силы часто используют алгоритмы, которые не увеличивают (приблизительно) буквенно-цифровое значение?

2 ответа

Программы грубой форсировки часто не начинаются с A и не переходят к Z. Джон-Потрошитель берет заданный вами набор символов и сортирует их по частоте использования в паролях, а также выполняет брутфорс таким образом, чтобы в первую очередь проверялись наиболее вероятные пароли, и он хорошо работает с паролями, близкими к английским. Было бы лучше использовать наиболее часто используемые буквы немного реже и обычно избегайте часто используемых биграфов и триграфов, таких как ‘ed’ и ‘ing’, но это не стоит проблем. Смысл случайных паролей заключается в том, что злоумышленник не может обнаружить схему паролей, которая упрощает / упрощает перебор пароля. С вашей схемой кто-то может начать с обратного алфавита и двигаться вперед, возможно, потому, что он увидел один из ваших паролей, который вы использовали на другом сайте. Для дальнейшего чтения используйте google «jtr incremental».

Добавление еще одного символа к набору, из которого вы выбираете пароль, или к паролю имеет гораздо большее влияние, чем выбор букв в конце алфавита.

Вы не будете чувствовать себя более комфортно, если у жестокого психопата есть ключи от вашего дома только потому, что на связке ключей было еще 20 ключей, и он не знал, какой из них был ключом от вашего дома.

Идеальный пароль по науке: трудно взломать, невозможно забыть

Что советуют исследователи кибербезопасности для создания удобных и надежных паролей.

В сети регулярно появляются новости об очередной масштабной утечке паролей. Словари паролей все толще, инструментов для перебора больше, а пользователям все сложнее придумывать надежные пароли и запоминать их без посторонней помощи.

Новые исследования предлагают нам научные методы для создания сильных и удобных паролей. Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. Мы перевели ключевые рекомендации CMU и дополнили их подборкой полезных инструментов для самостоятельной проверки паролей.

Многие механизмы для формирования хороших парольных привычек имеют под собой научную базу. К примеру, сотрудники CMU доказали, что лучше увеличить минимальную длину пароля, чем принудительно использовать символы разных классов. Другие исследовательские группы разработали “паролеметры” для оценки паролей на основе больших данных. Отдельные научные работы посвящены словарям паролей.

Но мало конкретных рекомендаций, как комбинировать все эти механизмы и добиваться оптимальной сложности и удобства пароля. По этой причине в CMU провели 2 эксперимента и оценили, как разные комбинации парольных политик защищают от атак и воспринимаются пользователями.

Участникам экспериментов предлагали создать пароль по заданной парольной политике. Сначала ученые разными методами измерили надежность этих паролей. Затем пользователей попросили вспомнить придуманный пароль, а исследователи оценили легкость его запоминания.

Количество и классы символов. В основе всех политик лежали требования к длине пароля и числу классов: это буквы верхнего и нижнего регистра, цифры и специальные символы. Каждую политику исследователи обозначили формулой вида:

Все протестированные политики включали длину пароля не менее 8 символов. Получился примерно такой список политик: 1с8, 3c8, 4c8, 1с10, 1с12, 2с12, 3c12, 1с16.

Проверка по словарю. Требования к символам помогают генерировать более сложные пароли. Но некоторые пользователи могут соблюдать требования и все равно придумать слабый пароль. Например, для политик 4c8 и 1c16 можно создать предсказуемые варианты: 1Password! и passwordpassword. Чтобы этого избежать, политики часто комбинируют с поиском по словарям.

Для словарной проверки нужен список часто используемых, предсказуемых или скомпрометированных паролей, а также сам алгоритм поиска по словарю. Например, можно искать точные совпадения в списке, а можно использовать нечеткий поиск, который найдет совпадения с разницей в регистрах или отдельных символах. Допустим, в словаре есть password. Нечеткий поиск также посчитает “словарными” пароли типа pa$$word или Passw0rd.

В эксперименте использовались словари Xato и Pwned, а также разные алгоритмы поиска:

• поиск полного совпадения со строками словаря без учета регистра – case-insensitive full-string comparison (cifs);
• поиск полного совпадения со строками словаря с учетом регистра – case-sensitive full-string comparison (fs);
• отделение цифр и специальных символов и последующий регистронезависимый поиск точно таких же строк в словаре (strip-cifs);
• регистронезависимый поиск любых 5-символьных совпадений словарных фрагментов с фрагментами пользовательского пароля (ciss).

В сочетании с разными словарями получились такие варианты для проверки: Pwned-fs, Xato-cifs, Xato-strip-cifs, Xato-ciss и так далее.

Количество попыток перебора. Один из методов оценки надежности пароля – сколько попыток сделает злоумышленник, прежде чем подберет пароль. Для такой проверки используются разные модели, в том числе нейронные сети. Минимальные требования к количеству и частоте попыток зависят от многих факторов, например, используемых средств защиты или характера атаки. В своей работе CMU рассматривают 2 вида атак:

• при онлайн-атаках хакер может перебирать пароли только при взаимодействии с сервером. Если отрубить доступ, продолжить попытки не получится.
• при офлайн-атаках хакер может подбирать пароли без обратной связи от сервера, то есть дольше. Это возможно, если у злоумышленников есть краденая база с хэшами паролей.

Для оценки надежности в CMU использовали модели машинного обучения. С помощью базы данных скомпрометированных паролей нейронную сеть обучили предсказывать, какова вероятность подобрать пароль. Степень надежности определяли по количеству необходимых попыток и записывали формулой:

Гипотезы по совместному использованию методов. Исследователи использовали разные комбинации политик, чтобы ответить на вопросы:

1. Как проверка по словарю сочетается с политиками вида 1c8 и 3c8?
2. Как разные варианты проверок по словарю сочетаются с политикой вида 1с8?
3. Насколько разные политики по длине и классам от 1с8 до 3с12 выполняют требование надежности на уровне NN6?
4. Насколько проверка по словарю сочетается с проверкой с помощью нейронных сетей?
5. Насколько успешна проверка надежности на уровне NN8 и NN10 при разных требованиях только к длине пароля?
6. Как проверка по словарю сочетается с разными требованиями к числу классов символов (от 1с8 до 4с8)?

Получилась такая таблица проверки разных условий:

Теперь перейдем к измерениям удобства. На первом этапе все участники эксперимента должны были придумать пароль в специально разработанном “паролеметре”. Парольная политика выбиралась случайно из всех комбинаций, которые проверяли исследователи.

• Участники эксперимента получали список рекомендаций, вводили пароль и в реальном времени наблюдали, как меняется индикатор сложности пароля.
• Как только минимальные требования были выполнены, “паролеметр” давал рекомендации для усиления пароля:

• Все созданные пароли проверяли с помощью нейронных сетей и предсказывали, сколько попыток потребуется для подбора.
• Через 2 дня ученые просили пользователей принять участие во втором этапе и вспомнить созданный пароль. Если пользователи не отвечали через 5 дней, они выбывали из эксперимента. Для остальной выборки фиксировали долю тех, кому удалось вспомнить пароль. Исследователи анализировали все сопутствующее поведение участников: могут ли они воспроизвести пароль по памяти или записывают его, сколько времени и попыток нужно на воспроизведение.
• Участников обоих этапов просили заполнить опросник и описать в нем опыт участия в эксперименте: насколько сложно создать пароль, как сильно выбранная парольная политика раздражала пользователя.

Для каждой комбинации условий ученые фиксировали объективные показатели эксперимента: количество участников, долю выбывших на втором этапе, фактическое время создания пароля, фактическое время на воспроизведение пароля, долю успешных попыток подбора пароля. Помимо этого указывались и субъективные ощущения участников из опроса: насколько создание пароля кажется им сложным и раздражающим, насколько легко его вспомнить.

Получилась такая таблица:

• Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с угадываемостью не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.
• Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.
• Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде [email protected]$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.
• Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.

Авторы исследования призывают не забывать и о других инструментах для защиты аккаунтов: менеджерах паролей и мультифакторной аутентификации (2FA). Если же хочется проверить надежность самих паролей, вот несколько инструментов:

Как придумать надежный пароль и не забыть его?

Вот великолепная пятерка: 123456, password, 12345, 12345678, qwerty. Если вы обнаружили в этом списке пароль от своей почты или интернет-банка, поменяйте его прямо сейчас на какой-то другой (но не из списка!), и возвращайтесь к чтению карточек.

Почему эти пароли такие уж тупые?

Потому что эти пароли — самые популярные в мире. Аккаунты с такими паролями взламываются перебором комбинаций — для этого есть специальные программы. Собственно, перебором взламываются не только эти пароли, но эти сломать проще всего.

Что за перебор?

Перебор — это система, позволяющая по порядку перебрать множество вариантов возможного пароля. Допустим, вы используете в пароле 5 цифр. Это всего 100 тысяч комбинаций. Компьютер справится с такой задачей раньше, чем вы успеете дочитать этот материал. Хорошие почтовые сервисы обычно не позволяют бесконечно вводить неправильные пароли, но такая система есть не везде.

А если 10 цифр?

Все равно это плохой пароль. У мошенника (вернее, у компьютера) уйдет на него несколько часов. Чем больше цифр, тем больше времени он потратит, но все-таки пароль лучше составлять похитрее.

Редкое слово в качестве пароля годится?

Нет, совсем не годится. Взломщик для перебора может использовать самые разные словари. Система в конце концов найдет подходящее слово.

А если редкое слово и цифры?

Такой пароль сложнее подобрать, но все-таки можно. Современные системы полного перебора (bruteforce) позволяют искать не только цифры и слова, но и словосочетания и сочетания слов и цифр.

Так какой же пароль самый лучший?

В этом пароле должно быть много символов — хотя бы десяток. Это должны быть разные символы — цифры, большие и маленькие буквы, знаки препинания. Сочетания букв не должны образовывать слова, даже если это k0роvA.

Е[email protected]#e3els? И как же такой пароль запомнить?

Никак. Не надо его запоминать. Есть такие сервисы — менеджеры паролей. Они сами генерируют надежные пароли и их хранят. Таких сервисов довольно много — одни работают в онлайне и в приложениях, другие устанавливаются в память компьютера.

Для такого менеджера тоже нужен пароль?

Да. Это называется «мастер-пароль». И вот его придется запомнить.

Как придумать надежный мастер-пароль и запомнить его?

Можно использовать в качестве пароля какую-нибудь длинную фразу. Легко запомнить что-нибудь вроде «To be, or not to be, that is the question», но цитаты лучше не использовать — подберут. Хороший вариант — автогенерируемые стихи. Такие поэтические сервисы есть в интернете. А можно вспомнить какую-то фразу из семейного фольклора и записать ее латиницей. Кстати, некоторые сервисы советуют в качестве хорошего пароля использовать русские слова, записанные на английской раскладке и наоборот — но на самом деле это не помогает. С длинными паролями одна беда — в некоторых системах есть ограничение на количество символов.

А нельзя использовать этот стихотворный пароль во всех аккаунтах?

Нет, нельзя. Если вдруг взломают один, взломают и все остальные. Есть такое правило: «Один аккаунт — один пароль».

А если менеджер паролей взломают хакеры?

Система защиты менеджеров паролей устроена таким образом, что при массовой утечке ничего страшного не происходит — во всяком случае, если у вас достаточно хитрый пароль. И все же если произошла хакерская атака, менеджеры просят сменить пароль — просто на всякий случай.