Vytvořte heslo alespoň 8. O složitosti složitých hesel

Dobrý den, přátelé! Dnes budeme diskutovat o tak důležitém tématu, jako jsou přihlašovací jména a hesla. V době totální informatizace má každý z nás mnoho účtů, od přihlášení do počítače/notebooku/tabletu/telefonu až po bankovní účty.

Většina renomovaných internetových společností a služeb má stručná doporučení ohledně výběru hesla na svých zdrojích. Zpravidla jsou však příliš povrchní a kromě toho je lze nalézt pouze v sekcích jako „FAQ“, „Help“ atd. Tedy ne přímo při registraci. Dám vám tedy svůj pohled na věc jak na to přijít silné heslo .

Nejprve se okamžitě rozhodneme, jaká hesla použít JE TO ZAKÁZÁNO(to už jsou truismy):

  • hesla s minimálním počtem znaků a především bez použití speciálních znaků. Příklady: 1234, fhj, 8855, 451326, kdjkdsj - tato a podobná hesla jsou velmi rychle prolomena, zvláště ta, která se skládají výhradně z čísel, i když jich je hodně, např. 265489418758. Všechna jsou to velmi nespolehlivá hesla. Po přečtení tohoto článku pochopíte proč.
  • hesla sestávající ze slov ze slovníku, jakýchkoli slov ze slovníku, ať už je to „oranžový“ nebo „leukocytový“ - není velký rozdíl. To platí nejen pro ruská a anglická slova, ale také pro jakákoli slova v jakémkoli jazyce;
  • nejznámější a primitivní hesla, například 123456, qwerty, ytsuken, 123456qwerty, admin, pass, password atd. Je zvláštní, že pravidelné výzkumy v této oblasti ukazují, že mnoho lidí používá právě taková hesla;
  • hesla, ve kterých jsou písmena nahrazena podobnými čísly nebo symboly: O 0, B 8, S 5 (nebo znakem dolaru $) a další. Nejvýraznějším příkladem je pa$$w0rd
  • hesla obsahující jakékoli informace související s vaší identitou: datum narození, telefonní číslo, poslední číslice kreditní karta, oblíbené filmy, přihlašovací údaje, přezdívky, příjmení nebo křestní jména (včetně vzdálených příbuzných) a podobně.

To jsou základní zákazy. Nyní se podívejme na hlavní metody získávání hesel jiných lidí. Zároveň pochopíme, proč nemůžete používat hesla vygenerovaná výše uvedenými metodami.


Převládající metody krádeže hesel a přihlašovacích údajů lze rozdělit do několika kategorií:

  • jednoduché vyhledávání (aka hrubá síla). Přes speciální programy jsou prohledány všechny možné znaky (velká a malá písmena, čísla, speciální znaky) v kombinaci „login – heslo“.

Tyto programy (brute forcers) označují nezbytné podmínky pro hrubou sílu: přihlašovací parametry (pokud jsou známy, pak je úkol značně zjednodušen), tj. je uvedeno, které znaky použít při hrubé síle, zda použít čísla, Speciální symboly(!@#$%^()_+? atd.), používejte pouze malá písmena, pouze velká písmena nebo obojí. Můžete také zadat maximální počet znaků (a minimum). Podobně se zadávají hrubé podmínky pro heslo.

Na základě toho všeho je jasné, proč nelze používat hesla z první položky seznamu „zakázaných“. Co se týče čistě digitálního hesla, bez písmen a symbolů, vysvětlení je jednoduché. Jen si položte otázku: kolik možných kombinací může existovat 8znakové heslo sestávající výhradně z čísel a kombinace hesla o stejném počtu znaků, ale obsahující alespoň několik písmen? Odpověď je zřejmá. Moderní stroje s výkonnými výpočetními schopnostmi jsou schopny uhodnout digitální heslo sestávající pouze z čísel během několika minut.

Kromě toho je velmi důležitá délka hesla! Na moderní počítače Je snazší vymyslet zcela zapomenutelné heslo o 10 znacích, které využívá celý rozsah znaků, než 20místné heslo složené pouze z písmen, které je však snáze zapamatovatelné. Může to být například kombinace některých nesouvisejících slov se záměrnými zkomoleninami/chybami/přepisem nebo vůbec neslovníkovými slovy. Souhlasím, heslo je verblud_usaet_153_avtomata_za_noch! („Velbloud používá 153 strojů za noc!“) Je celkem snadno zapamatovatelný, a přesto je velmi stabilní: má 35 znaků včetně čísel a speciálních znaků. Můžete přidat i velká písmena =) Toto heslo je mnohem odolnější než nezapamatovatelná žvýkačka o 8-10 znacích. A doporučuje se ho používat například jako hlavní heslo pro správce hesel.

  • vyhledávání ve slovníku. Slovníky určitého jazyka jsou načteny do brute force. V Rusku jsou to obvykle angličtina a ruština. Navíc naprostá většina hesel používá anglická písmena a slova (přesněji latinská). Azbuka se používá méně často, mimo jiné proto, že některé služby umožňují používat jako hesla pouze latinku, čísla a symboly. Nebo, co se stává častěji, jsou to speciální slovníky skládající se z hesel odněkud ukradených (takové databáze mohou obsahovat několik milionů hesel, ale i desítky)

Hackování pomocí této metody je realizováno přibližně takto: načte se slovník (nebo slovníky), nejprve se spustí v hrubé síle, takříkajíc „na čisto“. Pokud nejsou žádné výsledky, tak se použije „maska“ – tzn. Kromě přímých pokynů pro program použít stažené slovníky jsou také uvedena kritéria, jako je počet použitých čísel a symbolů a kam je vložit (na konec slova, na začátek). Například heslo jako architekt2013 bude uhodnuto za minimální dobu. To samé s 2013architect. Ale pokud je heslo ar2ch0it1ec3t, nebude možné jej změnit „podle slovníku“. Útočník se bude muset uchýlit k prvnímu způsobu (hrubá síla).

  • metoda sociálního inženýrství. Sociální inženýrství(pro účely tohoto článku ji budu nazývat SI) je v posledních letech neuvěřitelně populární mezi hackery, kartáři, internetovými podvodníky a samozřejmě mezi našimi udatnými zpravodajskými službami =) A motorem SI jsou sociální sítě a masové Internetizace.

Jednou z metod protipůsobení SI v kontextu tohoto tématu je právě poslední bod„zakázaný“ seznam. Ale SI jako věda (a já ji opravdu považuji za vědu a umění) není zaměřena na hledání hesel. Přesněji řečeno, konečným cílem je zpravidla kombinace „login – heslo“, ale takové informace jsou získávány velmi nenápadně, elegantně a pro „oběť“ nejsou na první pohled patrné. A konečným výsledkem všech těchto manipulací je buď krádež vašich finančních prostředků z bankovních účtů nebo internetových peněženek, nebo kompromitace a následné vydírání, za účelem materiálního zisku (výkupného) nebo za účelem donutit vás k určitému výkonu pravidlo, nezákonné jednání. Tito. Cílem je „nahnat vás na háček“.

Můžeme vyvodit určitou analogii s takzvanými „cikány“, jasnovidci, sektáři – uvádějí vás v omyl a vyřazují z vás potřebné informace (nebo od vás získávají určité akce) a hlavní zbraní těchto jedinců, offline i online, je co? Zkus hádat! =) A odpověď je jednoduchá, vzpomeňte si na skvělá přísloví a rčení „Můj jazyk je můj nepřítel“ nebo „Blabař je dar z nebes pro špióna“. Pochopili jste pointu? A často se stává, že možná brzy nepochopíte, odkud se únik vzal, odkud tento vliv pochází, nebo mu nerozumíte vůbec.

Pokud vás zajímá umění SI, vygooglujte si tuto otázku a dozvíte se spoustu zajímavých věcí.

  • softwarová metoda. Zde je na jedné straně vše snadno pochopitelné - jedná se o trojské koně, keyloggery, skripty, špiony, rootkity a další škodlivé objekty (pro snazší pochopení jim říkejme obrazně „viry“). Na druhou stranu je to složité – z hlediska praktického provedení ochrany před všemi těmito infekcemi.

Většina průměrných uživatelů tomu věří instalací dobrý antivirus(i nejlepší podle různých nezávislých testů), jsou absolutně chráněny před jakýmikoli hrozbami. Kupodivu je to mylná představa. V tomto článku nebudeme tuto problematiku zkoumat, protože se jí budeme na stránkách tohoto blogu věnovat znovu a znovu – to je ostatně jeden z hlavních cílů a směrů blogu.

  • hardwarová metoda. Tato metoda se provádí pouze přímým kontaktem s „obětí“ a kupodivu bude agresorem s největší pravděpodobností někdo vám blízký nebo známý. Metoda je relevantní především pro stolní počítače.

Je založen na „instalaci“ určitého technického zařízení do počítače – hardwarového keyloggeru. Zpravidla se jedná o malé „zařízení“, které se vkládá do slotu klávesnice systémová jednotka a drát z „klávesnice“ je vložen do tohoto zařízení samotného. Ukazuje se něco jako adaptér. A tento „adaptér“ do sebe zaznamenává (jako běžný flash disk) všechny úhozy na klávesnici, a ne, absolutně žádný antivir to nemůže fyzicky zaznamenat, protože „zachycovač“ je hardware, nikoli software.

Hardwarové metody mohou zahrnovat i sofistikovanější možnosti, ale to se blíží špionážní mánii a zpravodajským agenturám. Navzdory tomu mohou být v budoucnu publikovány články o takových metodách. Abych tak řekl, pro paranoiky. Ještě teď mě napadlo, že možná vytvořím takovou rubriku „Speciální pro paranoiky“ =)

Nyní, když víme, ze které strany lze útok provést a víme, která hesla jsou považována za nespolehlivá, je čas přejít k doporučením pro výběr hesla a jeho uložení. hlavní pravidla bezpečnostní.

Pro začátek rozdělte všechna svá hesla do podmíněných skupin podle jejich důležitosti. Nejdůležitější jsou například hesla pro online bankovnictví, elektronické peněženky, hlavní e-maily, servery, domácí routery (routery, přístupové body), účty a samozřejmě pro vaše webové stránky a blogy.

Hesla k účtům na sociálních sítích, emailu, ale ne k tomu, pro který jste se registrovali do služeb, o kterých se píše ve skupině nejdůležitějších hesel, lze zařadit do střední důležitosti. Tito. Pokud považujeme za důležité heslo od klientské banky, pak by mělo být velmi složité i heslo k e-mailu, který jste uvedli při registraci do této služby. Do této skupiny zařazuji také heslo správce počítače.

No a třetí skupinou jsou nejméně důležité služby. Jako příklad: E-mailem, které používáte pro různá předplatná, účty na stránkách, které nepředstavují nic hodnotného (kde se registrujete řekněme jen proto, abyste zanechali komentář) atd.

Po rozdělení hesel do skupin si povíme, jaké by mělo být heslo pro každé z nich.

První skupina

  • Doporučený počet znaků je od 20 do 50. Delší - není tam žádný konkrétní bod, ale pokud služba umožňuje libovolnou délku hesla a jste paranoidní, jděte do toho =);
  • použité symboly – velká a malá písmena, číslice, speciální znaky; Při generování takového hesla je vhodné použít jak azbuku, tak latinku, pokud použití azbuky umožňuje služba, do které se registrujete. Mnoho generátorů hesel používá pouze latinku, takže po vygenerování hesla ručně přidejte několik znaků azbuky.
  • pro každý účet v této skupině musíte mít samostatný a nejbezpečnější heslo.

Druhá skupina

  • počet znaků ~ od 15 do 20;
  • použité symboly - obdoba předchozí skupiny;
  • Pro každý „účet“ musí být také samostatné heslo.

Třetí skupina

  • jsou povolena hesla o délce 8 znaků nebo více;
  • Interpunkční znaménka a speciální znaky se nesmí používat;
  • heslo může být čitelné a snadno zapamatovatelné;
  • Je povoleno používat jedno heslo pro různé stránky, abyste se nemuseli starat o jejich zapamatování, protože takové účty, jak jsme již diskutovali, pro vás nepřinášejí žádnou hodnotu.

Pro třetí skupinu si můžete vytvořit něco jako toto heslo: UsymBada23* – takové heslo je snadno zapamatovatelné, ale není tak snadné jej prolomit a je nepravděpodobné, že by se ho někdo pokusil prolomit. A pamatuje se to takto: první část je srozumitelná, snadno čitelná a zapamatovatelná (jako „na simbad“), první písmeno je velké, druhá část (nebo slabika) také začíná velkým písmenem. Ale na konci jednoduše vložíte například nějaké číslo a jeden speciální symbol (v tomto příkladu se ukáže: „Simbad má 23 hvězdiček“). Můžete přijít s velkým množstvím takových různých možností.

A v závěrečné části článku probereme obecná doporučení:

  • nepoužívejte stejnou kombinaci přihlašovacího hesla pro různé služby; login i pass musí být jedinečné;
  • při zadávání hesla ve zvláště důležitých službách (internetové bankovnictví) zkuste použít virtuální klávesnici;
  • nikdy neukládejte hesla jako prosté textový soubor na počítači popř Soubor aplikace Word, i když je chráněn heslem;
  • používat specializovaný software – správce hesel. Doporučuji a. , dle mého názoru, nejlepší správce hesel;
  • nepoužívejte v prohlížečích funkci „Uložit heslo“ nebo „Zapamatovat si mě“;
  • Po práci s jakoukoli službou (, VKontakte atd.) před zavřením prohlížeče použijte funkci „Konec“.

O velmi obecně uznávaných pravidlech, jako je používání nejnovějších verzí software, používání antivirů a pravidelné aktualizace databáze snad ani nestojí za řeč =)

Na konci článku vám doporučuji pěkný malý bonus- dobrý online generátor hesla. Za jeho hlavní výhodu lze považovat možnost využití entropie při generování hesla. To znamená, že heslo nebude generováno pouhým náhodným výběrem znaků, ale bude záviset na vašich akcích – stisknutí kláves a pohybu myši. Všechny funkce dobrého generátoru jsou samozřejmě přítomny: můžete vyloučit podobné znaky (S a 5, O a 0 atd.), určit rozsah znaků atd.

Napište komentáře o tom, co si myslíte o tomto článku. Možná máte v této věci nějaké své vlastní jemnosti a triky? Možná jsem zapomněl něco dodat? Napsat.

ZNAČKY

33 Komentáře → Jak zvolit heslo. Vzdělávací program o ochraně heslem

  1. Web-Cat

    Alexander, ahoj! Celý článek jsem si ukradl do Evernote, přečtu si ho pozorně a hned ho použiji, jelikož jsem naprostá nula, co se bezpečnosti týče a myslím, že nejlepší heslo je „12345“ - to rozhodně nezapomenu .
    Obecně si myslím, že pokud nesklouznete do popového pseudo-SEO blogu, úspěch je zaručen! V každém případě jsem nenarazil na podrobnější a strukturovanější článek na toto téma, i když jsem se pravidelně pokoušel svůj nepořádek s hesly uklidit.
    Rozhodně se připojuji k odběru a ne jako gesto návratu, ale protože mám pocit, že na vašem blogu dostanu spoustu užitečných informací! (Je v pořádku, že jsem najednou přešel na „ty“?)
    Mimochodem, kdybych nevěděl, jakou šablonu jste nainstalovali, nikdy bych to neuhádl. Dopadlo to moc hezky!
    Obecně, hodně štěstí! Určitě se na to podívám!

  2. Web-Cat

    Ale ne, komentář prošel, jen jsem potřeboval znovu načíst stránku!

  3. Alexander Mayer

    Ahoj Lariso! Rád, že tě vidím. První komentář byl z nějakého důvodu označen jako spam. Děkuji za milá slova a návody. Také si myslím, že sklouznout k tématu “jak vydělat miliony” je ztracený případ :) Pokusím se zaměřit na technickou stránku problematiky, jak témata WP, tak bezpečnost obecně. V hlavě mám spoustu materiálu, jen je potřeba si vše utřídit a vydat, jak nejlépe umíte (tento článek mi zabral víc než den, samozřejmě ne čistý čas, ale od chvíle, kdy jsem ho začal psát do zveřejnění). Pokud jde o téma hesel, plánuji v blízké budoucnosti napsat několik článků s recenzemi na správce hesel, které jsem zmínil v článku, a na některé další body. Myslím, že to bude zajímavé :) A s hesly to do budoucna nebude =) Takže, jak se říká, vítejte!

    Pokud máte nějaké dotazy, klidně mi napište na email. No a nebo tady na blogu, když v rámci toho či onoho článku.

  4. Ogri

    Zdravím vás, Alexandro! Díky za informaci, už dlouho jsem na to chtěl přijít, ale nikdy jsem se k tomu nedostal. Všichni si mysleli, že moje pětky by mohly být ještě chvíli ponechány jako heslo do admin panelu – kdo se o mě zajímá, dokud nebudu povýšen? Poté, co jsem celý den pracoval na získávání dvou hacknutých stránek najednou, uvědomil jsem si, že jsem zajímavý. Z naprosté lhostejnosti jsem přešel rovnou k paranoie: nyní jsou mé účty uzavřeny pomocí hesel o 30 znacích vygenerovaných na vámi zmíněné stránce. Nebyl příliš líný vytvořit entropii v plném rozsahu. Obecně jsem měl zábavný den - buď jsem korespondoval se službou podpory hostingu, nebo jsem se pohyboval a klikal myší a spontánně mačkal tlačítka, čímž bylo zajištěno vygenerování nejvíce stochastického hesla. Zároveň jsem udělal spoustu dalších věcí, abych zajistil maximální bezpečnost; Mimochodem, za den nebo dva plánuji článek na toto téma, dokud to mám ještě čerstvé v paměti. A teď si přes ten web vygeneruji všechna svá hesla. Protože je nemožné si je zapamatovat, budou uloženy v KeePass, který jsem díky vašim třem článkům o něm přenesl do hlavního správce hesel. Zvláštní poděkování za ně.
    Teď tě budu trollovat, jak jsem slíbil. Sejdeme se u Natalie.

  5. Ogri

    Katalyzátory byli zlí hackeři, nelichotte si. Ty jsi byl pravý opak – dokázal jsi pomoci. Toto téma mě zajímá už dlouho, přečtu si vás.

  6. Taťána

    Děkuji. Velmi užitečné informace. Přestávám žít podle zásady: dokud neuhodí hrom, člověk se pokřižuje, měním si hesla na bezpečnější.)))

  7. Marfa

    Nepamatuji si, že bych byl uspokojen v mnoha bodech souvisejících s tématem spymanie najednou, až do okamžiku, kdy jsem narazil na vaše články. Mistrovsky srozumitelné, zajímavé, nevtíravé.
    Nízká poklona vám! Děkujeme, že se o nás staráte - weboví paranoici :)

  8. Eugene

    Pěkný příspěvek. Ale ne kompletní. Zapomněl jsem na grafická hesla.

    1. Alexander Mayer

Každý uživatel, který komunikuje na fórech a v sociálních sítích, nakupuje na internetu, musíte časem čelit problému zapamatování si hesel, protože v jednu chvíli se nahromadí tolik účtů, že se bez pera a poznámkového bloku neobejdete.

Hesla mohou být dlouhá nebo krátká, jednoduchá nebo složitá. Každý si může svobodně vybrat, co se mu líbí, ale bezpečnost osobních a pracovních dat (která může být velmi drahá) může záviset na sadě znaků nebo jednoduchém slovu. Koneckonců, čím jednodušší a kratší heslo, tím rychleji se útočníci mohou zmocnit toho či onoho účet.

Errata Security nedávno provedla zajímavou analytickou studii, která analyzovala, jak si uživatelé vybírají hesla. Sběr dat byl proveden ve Spojených státech amerických. Jak se ukázalo, 16 % uživatelů dává přednost zadání vlastního jména nebo jmen blízkých do řádku pro heslo. 14 % majitelů online účtů řeší problém výběru hesla pomocí numerické klávesnice („1234“, „12345678“), zatímco někteří používají namísto čísel písmena („QWERTY“).

Je zajímavé, že 5 % všech ukradených hesel tvoří jména hvězd showbyznysu, televizních pořadů a filmových postav. Jedná se například o „Pokémony“, „Matrix“ (Matrix), „Ironman“ (Iron Man). Někteří uživatelé zase dávají přednost zadání slova „Heslo“ („heslo1“, „heslo“) do řádku pro heslo.

Navzdory bohatosti svého rodného jazyka a přítomnosti vlastní fantazie mnozí vyjadřují své pocity hesly: „Je mi to jedno“ (Je mi to jedno), „Ano“ (Ano), „Ne“ (Ne) , "Miluji tě" (miluji tě) láska) "Ihateyou" (nenávidím tě).

Arsenij Gerasimenko

PRAVIDLA PRO GENEROVÁNÍ HESLA

Moje osobní praxe ukazuje, že ano, skutečně, mnoho uživatelů dává přednost jednoduchým heslům – jako „12345“. Heslo tak mistrovské složitosti jako „1й2ц3у“ ve mně okamžitě vzbuzuje podezření, že se uživatel považuje za kategorii „pokročilý“ :) Je však třeba si uvědomit, že opravdu bezpečné heslo je kombinací písmen různých velkých a malých písmen, číslic a speciálních znaků a délka hesla by neměla být kratší než 8 znaků. Například heslo "r34?a@123" bude bezpečné, "IvanPetrovich69!" - také, ale „lisa1111“ bude mnohem snazší najít.

Pravidla pro „dobré heslo“:

  1. dlouhé (8-12-15 znaků)
  2. obsahuje jak velká, tak malá písmena latinky
  3. obsahuje čísla
  4. nenalezeno ve slovníku, toto není jméno ani ruské slovo (ckjdj) napsané v latinském rozložení
  5. nemá nic společného s majitelem
  6. se pravidelně nebo podle potřeby mění
  7. není oblíbený - různá hesla pro různá přihlášení
  8. je možné si to zapamatovat
Pravidla pro špatné heslo:
  1. krátké (méně než 8 znaků)
  2. vše v jednom registru (všechny VELKÉ jsou špatné, stejně jako všechny malé)
  3. neobsahuje čísla
  4. nalezené ve slovníku, buď toto jméno, nebo ruské slovo (ckjdj) napsané v latinském rozložení
  5. jakkoli souvisí s vlastníkem
  6. se roky za žádných okolností nemění
  7. může být oblíbený - jedno heslo pro všechno
  8. není možné na něj zapomenout

PRAVIDLA ULOŽENÍ HESLA
Ideální místo pro uložení hesla je ve vaší hlavě. Váš kufřík může být ukraden mobilní telefon, notebook, kus papíru/diskety/flash jednotky s heslem, ale ukrást vaši paměť je mnohem obtížnější. Takže, kdykoli je to možné, hesla by měla být zapamatovatelná a uložená ve vaší paměti.

Pokud máte podezření, že vaše heslo bylo zjištěno, OKAMŽITĚ ho změňte.
MÁLO STATISTICKÝCH INFORMACÍ

abeceda 6 znaků 8 znaků 10 znaků 12 znaků
26 (latinsky všechny malé nebo všechny velké) 31 sec 5 hodin 50 min 163,5 dne 303 let
52 (latinka s variabilním případem) 33 min 62 dní 458 let 1 239 463 let
62 (latinská abeceda s různými velikostmi a číslicemi) 95 min 252 dní 17 hodin 2 661 let 10 230 425 let
68 (Latinská abeceda různých velkých a malých písmen plus čísla plus interpunkční znaménka.,;:!?) 2 hodiny 45 min 529 dní 6703 let 30 995 621 let
Čas na vyčerpávající prohledávání všech možných hesel dané abecedy při rychlosti vyhledávání 10 000 000 hesel za sekundu



a na závěr (dummy a nix admini to nemusí číst):
10 mýtů o heslech Windows

Navzdory všem pokrokům v bezpečnostních technologiích zůstává jeden aspekt konstantní: hesla stále hrají ústřední roli v zabezpečení systému. Problémem je, že mohou příliš často sloužit jako mechanismus snadného hackování. Přestože existují technologie a zásady, aby byla hesla bezpečnější, stále existuje lidský prvek, se kterým je třeba bojovat. Není žádným tajemstvím, že uživatelé často používají jako hesla jména přátel, jména zvířat atd.

Hlavním cílem je zajistit, aby si uživatelé vytvářeli silná hesla. Není však vždy jasné, jak toho dosáhnout. Problém je v tom, že naše činy jsou příliš předvídatelné. Například v seznamu zcela náhodných slov vymyšlených obyčejným člověkem se jistě objeví nějaký obecný vzorec. Výběr silných hesel vyžaduje odpovídající školení. Správci systému by měli tyto znalosti rozšířit na koncové uživatele. Možná vám tento článek pomůže pochopit použití hesel ve Windows 2000 a XP

Mýtus č. 1: Hodnoty hash hesel jsou při použití NTLMv2 poměrně silné

Mnoho čtenářů si je dobře vědomo slabosti hash hesel LanManager (LM), díky čemuž je L0phtcrack tak populární. NTLM dělá haše poněkud robustnějšími tím, že používá delší hash a rozlišuje velká a malá písmena. NTLMv2 je pokročilejší, počítá 128bitový klíč a používá samostatné klíče pro integritu a důvěrnost. Navíc používá algoritmus HMAC-MD5 pro vyšší integritu. Windows 2000 však stále často posílá LM a NTLM hash přes síť a NTLMv2 je zranitelný vůči přenosovým útokům (známým také jako replay). A protože hash hesel LM a NTLM jsou stále uloženy v registru, jste také zranitelní vůči útokům SAM.

Bude to ještě nějakou dobu trvat, než budeme konečně osvobozeni od omezení LanManageru. Do té doby se nespoléhejte na to, že vaše hash hesel bude spolehlivý.

Mýtus č. 2. Dj#wP3M$c - nejlepší heslo

Je rozšířeným mýtem, že úplně náhodná hesla získaná pomocí generátoru hesel jsou nejlepší. Není to tak úplně pravda. I když mohou být skutečně silná, taková hesla jsou obvykle obtížně zapamatovatelná, pomalá na psaní a někdy zranitelná vůči útokům na algoritmus generování hesel. Je snadné vytvořit hesla, která jsou odolná proti prolomení, ale těžší je vytvořit hesla, která jsou zapamatovatelná. K tomu existuje několik jednoduchých technik. Zvažte například heslo " [e-mail chráněný] Tento e-mail je chráněn před spamboty. Chcete-li jej zobrazit, musí mít váš prohlížeč povolen Javascript." Toto heslo používá velká a malá písmena, dvě číslice a dva symboly. Heslo má 20 znaků, ale lze si jej zapamatovat s minimální námahou; možná jste si ho již nedobrovolně zapamatovali. Navíc se toto heslo píše velmi rychle. V části „Makeit20“ se střídají klávesy levé a pravé ruky na klávesnici, což zvyšuje rychlost psaní, snižuje počet překlepů a snižuje možnost, že by někdo mohl sledovat vaše heslo sledováním pohybu prsty (seznamy anglických slov byly již dlouho vytvořeny, střídající se klávesy pro pravou a levou ruku, které je vhodné použít jako součást hesla.

Nejlepší technikou pro vytváření složitých, ale snadno zapamatovatelných hesel je použití struktur, které jsme zvyklí si pamatovat. Takové struktury také usnadňují zahrnutí interpunkce do hesla, jako je tomu ve výše uvedeném příkladu e-mailové adresy. Další struktury, které jsou snadno zapamatovatelné, jsou telefonní čísla, adresy, jména, cesty k souborům atd. Věnujte pozornost některým prvkům, které nám umožňují snadnější zapamatování. Například začleněním vzorů, opakování, rýmů, humoru a dokonce i hrubých (včetně nadávek) slov vytváříme hesla, na která nikdy nezapomeneme.

Mýtus č. 3. Optimální délka hesla je 14 znaků

V LM jsou hashe hesel rozděleny do dvou 7znakových hashů. To ve skutečnosti činí hesla zranitelnějšími, protože útok hrubou silou lze použít na každou polovinu hesla současně. To znamená, že hesla o délce 9 znaků jsou rozdělena na jeden 7znakový hash a jeden 2znakový hash. Je zřejmé, že prolomení 2znakového hashe nebude trvat dlouho, ale 7znakovou část lze obvykle prolomit za pár hodin. Krátký kus může často způsobit, že dlouhý kus mnohem snáze praskne. Z tohoto důvodu mnoho bezpečnostních odborníků určilo optimální délku hesla na 7 nebo 14 znaků, což odpovídá dvěma 7znakovým hashům. NTLM situaci poněkud zlepšuje použitím všech 14 znaků k uložení hash hesel. I když to usnadňuje život, dialogové okno NT omezuje heslo na maximálně 14 znaků; tak definuje hesla o délce přesně 14 znaků jako optimální pro bezpečnost.

V těch novějších je ale všechno jinak Verze Windows. Hesla ve Windows 2000 a XP mohou mít až 127 znaků, takže 14 znaků již není limitem. Navíc jedna malá věc, kterou Urity objevil na SecurityFriday.com, je, že pokud má heslo 15 nebo více znaků, Windows ani neukládá správně hashe LanMan. Pokud má vaše heslo 15 nebo více znaků, systém Windows uloží konstantu AAD3B435B51404EEAAD3B435B51404EE jako LM hash, což je ekvivalentní nulovému heslu. A protože vaše heslo zjevně není nulové, pokusy prolomit tento hash nepovedou k ničemu.

S ohledem na to může být dobrým tipem používání hesel delších než 14 znaků. Pokud ale budete chtít používání takto dlouhých hesel vynutit pomocí skupinových zásad nebo bezpečnostních šablon, narazíte na problém – nic vám nedává možnost nastavit minimální délku hesla na více než 14 znaků.


Mýtus č. 4. J0hn99 - Dobré heslo

Přestože heslo „J0hn99“ splňuje požadavky na složitost Windows 2000, není tak složité, jak se na první pohled zdá. Mnoho programů pro prolamování hesel zkouší miliony variant slov za sekundu. Nahradit písmeno "o" číslem "0" a přidat pár čísel je u takových programů nesmysl. Některé crackovací programy dokonce kontrolují sady metod, které uživatelé obvykle používají, což jim umožňuje uhodnout i docela dlouhá a na první pohled úspěšná hesla.

Lepší přístup je být méně předvídatelný. Místo nahrazení "o" "0" zkuste nahradit "o" dvěma znaky "()", jako v "j()hn". A samozřejmě prodloužením hesla zvýšíte jeho sílu.

Mýtus č. 5. Jakékoli heslo může být dříve nebo později hacknuto.

I když jakékoli heslo lze otevřít několika způsoby (například přes " keylogger“ nebo prostřednictvím sociálního inženýrství), nicméně existují způsoby, jak vytvořit hesla, která nelze prolomit v rozumném čase. Pokud je heslo dostatečně dlouhé, jeho prolomení bude trvat tak dlouho nebo bude vyžadovat tolik výpočetního výkonu, že je v podstatě stejné, jako by bylo neprolomitelné (alespoň pro většinu hackerů.) Samozřejmě, že nakonec lze prolomit jakékoli heslo, ale tato událost se nemusí stát za našeho života, ba ani za našeho života našich pravnoučat. , pokud se samozřejmě vládní agentury nepokusí zjistit vaše heslo, pak může být jeho šance velmi vysoká. I když možná úspěchy počítačová technologie možná jednoho dne promění tento mýtus ve skutečnost.


Mýtus č. 6. Hesla se musí měnit každých 30 dní.

Nehledě na to, že toto je dobrá rada pro některá hesla s vysoký stupeň riziko, není vhodný pro průměrné uživatele. Požadavek na častou změnu hesel často nutí uživatele vytvářet předvídatelné vzory ve svých heslech nebo používat jiné metody, které ve skutečnosti výrazně snižují jejich účinnost. Běžného člověka nebaví neustále vymýšlet a pamatovat si každých 30 dní nová hesla. Místo omezování stáří hesel je lepší zaměřit se na silnější hesla a větší kompetence uživatelů. Přijatelná doba pro průměrného uživatele je od 90 do 120 dnů. Pokud uživatelům poskytnete více času, bude snazší je přesvědčit, aby používali složitější hesla.

Mýtus č. 7. Nikdy byste si své heslo neměli zapisovat

I když je to dobrá rada, někdy si stačí zapsat hesla. Uživatelé se cítí mnohem pohodlněji při vytváření složitých hesel, pokud vědí, že si je mohou přečíst na bezpečném místě, pokud je zapomenou. Je však důležité poučit uživatele, jak správně zaznamenávat hesla. Mít na monitoru nálepku je nepopiratelně hloupé, ale uchovat heslo v trezoru nebo dokonce v zamčené zásuvce může stačit. A nezanedbávejte zabezpečení, když přijde čas zahodit papír se starým heslem: pamatujte, že k mnoha velkým hackům došlo právě proto, že hackeři nebyli příliš líní probírat odpadky organizace a hledat zapsaná hesla. Cílem může být umožnit uživatelům ukládat svá hesla v softwarových nástrojích pro ukládání hesel. Tyto nástroje umožňují uživateli uložit více hesel na jedno místo chráněné hlavním heslem. Ale pokud někdo zjistí hlavní heslo, získá přístup úplný seznam všechna hesla. Než tedy uživatelům umožníte ukládat hesla na takové místo, zvažte následující nebezpečí: za prvé je tato metoda založená na softwaru, a proto je zranitelná vůči útoku, a za druhé, protože je zde vše založeno na jednom hlavním hesle, může se stát jediným bod za globální selhání všech hesel všech uživatelů. Nejlepší praxí je kombinovat technologii, fyzickou bezpečnost a firemní politiku.

Navíc může být potřeba hesla jednoduše zdokumentovat. Není nic neobvyklého v situaci, kdy Správce systému onemocněl nebo skončil. A v řadě organizací je to jediná osoba, která znala všechna hesla, včetně hesla serveru. Někdy tedy musíte i schvalovat zapisování hesel, ale jen když je to opravdu nutné a promyšlené.


Mýtus č. 8. Heslo nesmí obsahovat mezery

Ačkoli to většina uživatelů nepoužívá, Windows 2000 a Windows XP umožňují mezery v heslech. Ve skutečnosti, pokud vidíte takový znak ve Windows, můžete jej použít v hesle. Mezera je tedy dokonale platným znakem hesla. Protože však některé aplikace ořezávají mezery, je nejlepší nezačínat ani nekončit heslo mezerou.

Mezery uživatelům usnadňují vytváření složitějších hesel. Vzhledem k tomu, že mezi slovy lze použít mezeru, její použití může uživatelům poskytnout skutečnou příležitost používat dlouhá, víceslovná hesla.

Obecně je situace s prostorem velmi zajímavá, nespadá do žádné kategorie požadavků na složitost heslo systému Windows. Není to ani číslo, ani písmeno a není to ani považováno za symbol. Pokud tedy chcete, aby bylo heslo složitější, pak mezera není horší než jakýkoli znak a ve většině případů nesnižuje složitost hesel.

K jednomu výraznému nedostatku spojenému s používáním mezerníku bych ale rád řekl – jeho klávesa při stisku vydává jedinečný zvuk, který nelze zaměnit s ničím jiným. Není vůbec těžké slyšet, jestli někdo používá mezeru v hesle. Obecně používejte mezery, ale nepřehánějte je.

Mýtus č. 9. Vždy používejte Passfilt.dll

Passfilt.dll je knihovna, která nutí uživatele používat silná hesla. Ve Windows 2000 a XP se to provádí pomocí zásady „Heslo musí splňovat požadavky na složitost“. I když je to často dobrá zásada, někteří uživatelé mohou být naštvaní, když jsou jejich hesla odmítnuta jako nedostatečně silná. Dokonce i zkušení správci musí někdy zadávat více hesel, dokud jedno nesplní požadavky na složitost. Zoufalí uživatelé rozhodně nebudou vyjadřovat podporu vaší zásadě hesel.

Pokud vidíte, že uživatelé nemají rádi požadavky na složitost, možná nejlepší cesta ven namísto této zásady bude vyžadována dlouhá hesla. Pokud si to spočítáte, uvidíte, že 9místné heslo, které používá malá písmena, je z hlediska složitosti přibližně stejné jako 7místné heslo, které používá malá i velká písmena a čísla. Jediný rozdíl je v tom, jak programy pro prolamování hesel zpracovávají různé podmnožiny znaků; někteří crackeři hrubou silou zkoušejí všechny kombinace malých písmen před použitím čísel a jiných znaků.

Další možností je vzít ukázku Platform SDK v adresáři \samples\winbase\Security\WinNT\PwdFilt\ a změnit ji tak, aby byla shovívavější při výběru hesla.

Můžete také školit uživatele, jak vytvořit hesla složitější, a dát jim nějaké nápady, jak to udělat.

Mýtus č. 10. Pro nejsilnější heslo použijte ALT+255

Zvažme použití znaků s velkým ASCII kódem, abychom heslo nakonec zkomplikovali. Tyto znaky nelze psát přirozeně na klávesnici, ale zadávají se podržením klávesy ALT a zadáním kódu ASCII na numerické klávesnici. Například sekvence ALT-0255 vytvoří znak.

I když je to v některých situacích užitečné, je třeba zvážit i nevýhody. Za prvé, podržení tlačítka ALT a psaní na numerické klávesnici si ostatní snadno všimnou. Za druhé, vytvoření takového znaku vyžaduje pět úhozů, které je nutné si zapamatovat a následně zadat při každém zadávání hesla. Může mít smysl vytvořit heslo o pět znaků delší, díky čemuž bude vaše heslo mnohem silnější při stejném počtu úhozů.

Například 5místné heslo vytvořené z vysokých ASCII znaků bude vyžadovat 25 úhozů. Vezmeme-li v úvahu 255 možných kódů pro každý symbol a pouze pět symbolů, dostaneme celkový počet kombinací 255^5 (nebo 1 078 203 909 375). Heslo o 25 znacích vytvořené pouze z malých písmen má však 26^25 (neboli 236 773 830 007 968 ​​000 000 000 000 000 000 000) možných kombinací. Je zřejmé, že je lepší vytvářet delší hesla.

Další věc, na kterou je třeba myslet, je, že některé klávesnice notebooků znesnadňují psaní numerická klávesnice a některé utility příkazový řádek nepodporují velké znaky ASCII. Můžete například použít ALT+0127 ve Windows, ale nebudete jej moci zadat na příkazovém řádku. Naopak některé kódy znaků, jako jsou Tabulátory (ALT+0009), LineFeeds (ALT+0010) a ESC (ALT+0027), lze použít při psaní z příkazového řádku, ale nelze je použít v dialozích. Windows okna(což může být v některých vzácných případech žádoucí vedlejší účinek).

Existuje však několik případů, kdy je použití kódů rozšířených znaků užitečné. Pokud máte servisní nebo místní administrátorské účty, které se používají jen zřídka, někdy použití rozšířených znaků stojí za pár stisků kláves navíc. Vzhledem k tomu, že jen málo prolomení hesel je nakonfigurováno tak, aby zpracovávalo rozšířené znaky, může to stačit k tomu, aby bylo prolomení hesla extrémně obtížné. V tomto případě se však nespokojte s velkým ASCII: málo známým faktem je, že můžete skutečně využít celou znakovou sadu Unicode, což je 65 535 možných znaků. Znak jako ALT+65206 však není tak odolný jako ekvivalentní počet úhozů pomocí běžných znaků.

Nakonec se podívejme na použití pevné mezery (ALT+0160) v rozšířené znakové sadě. Tento symbol se zobrazí jako pravidelný prostor a často může oklamat ty, kteří nějak viděli vaše heslo. Řekněme například, že se útočníkovi podařilo nainstalovat do vašeho systému záznamník klávesnice. Pokud ve svém heslu použijete mezeru, která nebude zalomitelná, zobrazí se v souboru protokolu jako běžná mezera. A pokud o tom zloděj neví nepřerušitelný prostor a nevidí platný ASCII kód, pak mu jeho heslo, ve které tak doufal, nic nedá. Ale mnoho lidí prostě o existenci tohoto symbolu neví, i když se zdá, že po přečtení tohoto článku už to vědět budou.

Závěr

Někdo může s některými předloženými body nesouhlasit, ale netvrdí, že jsou konečnou nezpochybnitelnou pravdou. To nebylo účelem psaní tohoto článku. Mýtus je polovina pravdy. Mnohé ze zde kritizovaných mýtů byly kdysi vynikajícími radami nebo v konkrétních případech stále jsou. Ale pro mnohé se tyto rady staly souborem přísných, neměnných pravidel, která je třeba vždy dodržovat. Ale jakákoli rada ohledně hesel, včetně těch uvedených v tomto článku, není nic jiného než jen rada. Musíte se sami rozhodnout, která pravidla vám vyhovují a která ne. Snad největším a nejomylnějším mýtem ze všech je, že o heslech platí jedno tvrdé a rychlé pravidlo.

Někdy je dobré heslo John99 a někdy je třeba hesla měnit mnohem častěji než jednou za měsíc. Některá hesla, například hesla správce, vyžadují mnohem větší ochranu než jiná, například uživatelská hesla. Chcete-li vytvořit politiku hesel, která vás nejlépe ochrání, měli byste vzít všechny své znalosti a přidat k nim to, co jste považovali za užitečné z toho, co zde bylo napsáno.

Dobré heslo je víc než jen silné heslo. Dobré heslo je takové, které je extrémně obtížné uhodnout nebo uhodnout, ale je velmi snadno zapamatovatelné. Měl by být dlouhý a skládat se z písmen, číslic a symbolů, ale zároveň by se měl dát snadno a bez chyb psát. Musí obsahovat náhodné prvky, které může poskytnout pouze počítač, a zároveň zůstat podobný tomu, co může vytvořit člověk.

Ale nejlepší heslo ze všech je to, které si uživatel zvolí na základě vědeckého chápání tvorby hesla. A nejlepší zásada hesel je taková, která uživatelům pomáhá taková hesla vytvářet.

Není žádným tajemstvím, že většina lidí používá hesla, která nejsou vysoce odolná proti hackování. Jedná se o slovníková hesla, která se skládají z běžně používaných slov nebo frází. Jedná se o legendární klávesové kombinace qwerty, 12345, asdfg a další. Jedná se o běžná ruská slova napsaná v jiném rozložení (například heslo = gfhjkm atd.).

Síla hesla ve větší míře nezávisí na jeho složitosti, ale na autorizačním systému. Jinými slovy, heslo zaika88 je spolehlivější než Z@!kABB, pokud v druhém případě máme možnost hesla volně vyhledávat a v prvním získáme prodlevu mezi pokusy o zadání, úměrnou počtu neúspěšných pokusů. . Ale heslo zaika88 je mnohem snazší uhodnout než Z@!kABB při stejné rychlosti hádání.

Apple ID vyžaduje (před několika lety rozhodně ano) vytvořit heslo s povinným použitím speciálních znaků, číslic a velkých písmen. Začal jsem přemýšlet o složitosti hesel používaných v AppleID.

- Pravděpodobně velké písmeno bude použito na samém začátku hesla. Je nepravděpodobné, že bude použit někde jinde (kromě 8 = B). Jsme zvyklí psát nové věty s velkým písmenem, takže pokud jsme požádáni o vytvoření hesla s alespoň jedním velkým písmenem, umístíme ho na úplný začátek.

— Speciální znak, pokud neexistují alternativy, bude pravděpodobně přidán na úplný konec hesla. Obvykle se však některá písmena nahrazují speciálními znaky: i = !, a = @, s = $. Použité znaky jsou nyní odlišné, ale samotná písmena jsou vizuálně podobná. A náhradní algoritmus je zcela jasný, takže proces hackování příliš nezdržuje.

- Povinná čísla ve většině případů nahradí podobná písmena: o = 0, b = 8, t = 7, 1 = i, 9 = g. Opět stejná vizuální „podobnost“ znaků. Čísla lze přidat na konec slova, ale to je jen školka.

— S největší pravděpodobností takové požadavky na heslo (a Apple neustále říká, co ještě je třeba k heslu přidat) povedou k tomu, že uživatel zašifruje nejzřejmější slova pomocí podobných metod.

Jaký je skutečný rozdíl mezi Barcelonou a Barcel0n@? Rozdíl je v tom, že druhé heslo přijímá služba Apple, protože splňuje všechny „požadavky“ na složitost hesla. Ale přesto je to stále stejné slovo ve slovníku. A takovému „podvodu“ je nejlepší se vyhnout.


Popisek k obrázku zní: "Složitá hesla musí mít alespoň osm znaků a obsahovat velká a malá písmena, čísla a speciální znaky." Navíc ze všech opakovaných řádků se ten spodní příliš neliší od originálu. Rozhodně se dnes nevyplatí šifrovat slova touto metodou.

To stálo za to udělat v éře BBS, kdy byly počítače velké a rychlost přenosu dat malá. Mimochodem, tato „náhrada“ se nazývá „leet“, na Wikipedii je podrobný článek, ale stačí si přečíst seznam slov. Dnes, kdy se výkon počítačů a rychlost přenosu dat zvýšila stokrát(a to si nedělám legraci), taková „složitá hesla“ jsou prolomena během jedné nebo dvou sekund. zaručit to!