Izradite lozinku od najmanje 8. O složenosti složenih lozinki

Pozdrav prijatelji! Danas ćemo razgovarati o tako važnoj temi kao što su prijave i lozinke. U doba totalne informatizacije svatko od nas ima mnogo računa, od prijave na računalo/laptop/tablet/telefon do bankovnih računa.

Većina renomiranih internetskih tvrtki i usluga ima kratke preporuke o odabiru lozinke na svojim resursima. Ali, u pravilu, oni su previše površni, a osim toga, mogu se naći samo u odjeljcima poput "FAQ", "Help" itd. Odnosno, ne izravno u trenutku registracije. Dakle, dat ću vam svoju perspektivu kako smisliti jaka lozinka .

Prvo, odmah odlučimo koje ćemo lozinke koristiti ZABRANJENO JE(ovo su već truizmi):

  • lozinke s minimalnim brojem znakova, a posebice bez upotrebe posebnih znakova. Primjeri: 1234, fhj, 8855, 451326, kdjkdsj - ove i slične lozinke se vrlo brzo provaljuju, pogotovo one koje se sastoje isključivo od brojeva, čak i ako ih ima puno, poput 265489418758. Sve su to vrlo nepouzdane lozinke. Nakon što pročitate ovaj članak, shvatit ćete zašto.
  • lozinke koje se sastoje od riječi iz rječnika, bilo koje riječi iz rječnika, bila to "naranča" ili "leukocit" - nema velike razlike. Ovo se ne odnosi samo na ruske i engleske riječi, već i na bilo koje riječi u bilo kojem jeziku;
  • najpoznatije i primitivne lozinke, na primjer, 123456, qwerty, ytsuken, 123456qwerty, admin, pass, lozinka itd. Začudo, periodična istraživanja u ovom području pokazuju da puno ljudi koristi upravo takve lozinke;
  • lozinke u kojima su slova zamijenjena sličnim brojevima ili simbolima: O s 0, B s 8, S s ​​5 (ili znakom dolara $) i druge. Najupečatljiviji primjer je pa$$w0rd
  • lozinke koje sadrže bilo kakve podatke vezane uz vaš identitet: datum rođenja, telefonski broj, posljednje znamenke kreditna kartica, omiljeni filmovi, prijave, nadimci, prezimena ili imena (uključujući daljnje rođake) i takve stvari.

Ovo su prvenstvene zabrane. Sada pogledajmo glavne metode dobivanja lozinki drugih ljudi. Istodobno ćemo razumjeti zašto ne možete koristiti lozinke generirane gore navedenim metodama.


Prevladavajuće metode krađe lozinki i vjerodajnica mogu se podijeliti u nekoliko kategorija:

  • jednostavno pretraživanje (aka brute force). Kroz posebni programi pretražuju se svi mogući znakovi (velika slova i mala slova, brojevi, posebni znakovi) u kombinaciji "prijava - lozinka".

Ovi programi (brute force) pokazuju potrebne uvjete za brute force: parametre prijave (ako su poznati, onda je zadatak uvelike pojednostavljen), tj. naznačeno je koje znakove koristiti kada brute force, treba li koristiti brojeve, Posebni simboli(!@#$%^()_+? itd.), koristite samo mala slova, samo velika slova ili oboje. Također možete odrediti najveći broj znakova (i minimalni). Slično, brute uvjeti se unose za lozinku.

Na temelju svega ovoga postaje jasno zašto se lozinke s prve stavke popisa "zabranjenih" ne mogu koristiti. Što se tiče čisto digitalne lozinke, bez slova i simbola, objašnjenje je jednostavno. Samo se zapitajte: koliko mogućih kombinacija može postojati lozinka od 8 znakova koja se u potpunosti sastoji od brojeva i kombinacija lozinke od istog broja znakova, ali koja uključuje barem nekoliko slova? Odgovor je očit. Moderni strojevi, sa snažnim računalnim mogućnostima, mogu pogoditi digitalnu lozinku koja se sastoji samo od brojeva u nekoliko minuta.

Osim toga, duljina lozinke je od velike važnosti! Na moderna računala Lakše je smisliti lozinku od 10 znakova koja se može potpuno zaboraviti i koja koristi cijeli niz znakova nego lozinku od 20 znakova koja se sastoji samo od slova, ali koju je lakše zapamtiti. To može biti, na primjer, kombinacija nekih nepovezanih riječi s namjernim iskrivljavanjem/pogreškama/transliteracijom ili uopće riječi koje nisu iz rječnika. Slažem se, lozinka je verblud_usaet_153_avtomata_za_noch! ("Deva koristi 153 stroja po noći!") Prilično ga je lako zapamtiti, a opet je vrlo stabilan: ima 35 znakova, uključujući brojeve i posebne znakove. Možete dodati i velika slova =) Ova lozinka je mnogo trajnija od nezaboravnog gobbledygooka od 8-10 znakova. I preporuča se koristiti ga, na primjer, kao glavnu lozinku za upravitelja lozinkama.

  • pretraživanje rječnika. Rječnici određenog jezika učitavaju se u brute forcer. U Rusiji su to obično engleski i ruski. Štoviše, velika većina zaporki koristi engleska slova i riječi (da budemo precizniji, latinične). Ćirilica se koristi rjeđe, uključujući i zato što neke usluge dopuštaju korištenje samo latinice, brojeva i simbola kao zaporki. Ili, što se češće događa, to su posebni rječnici koji se sastoje od negdje ukradenih lozinki (takve baze podataka mogu sadržavati nekoliko milijuna lozinki, pa čak i desetke)

Hakiranje pomoću ove metode provodi se otprilike ovako: rječnik (ili rječnici) se učitava, prvo se izvodi brutalno, da tako kažemo, "čisto". Ako nema rezultata, tada se koristi "maska" - tj. Osim izravnih uputa programu za korištenje preuzetih rječnika, naznačeni su i kriteriji poput broja brojeva i simbola koji se koriste te gdje ih treba umetnuti (na kraju riječi, na početku). Na primjer, lozinka poput architect2013 bit će pogodena u minimalnom vremenu. Isto je i s arhitektom iz 2013. Ali ako je lozinka ar2ch0it1ec3t, tada je neće biti moguće promijeniti "prema rječniku". Napadač će morati pribjeći prvoj metodi (gruba sila).

  • metoda socijalnog inženjeringa. Socijalni inženjering(za potrebe ovog članka nazvat ću ga SI) posljednjih je godina nevjerojatno popularan među hakerima, karticarima, internetskim prevarantima i, naravno, među našim hrabrim obavještajnim službama =) A motor SI-a su društvene mreže i masa Internetizacija.

Jedna od metoda suprotstavljanja SI u kontekstu ove teme je upravo zadnja točka popis "zabranjenih". Ali SI, kao znanost (a ja je stvarno smatram znanošću i umjetnošću) nije usmjerena na pronalaženje lozinki. Točnije, krajnji cilj je u pravilu kombinacija “login – lozinka”, no takve informacije se dobivaju vrlo suptilno, elegantno i “žrtvi” nisu u prvi mah uočljive. A krajnji rezultat svih ovih manipulacija je ili krađa Vaših sredstava sa bankovnih računa ili Internet novčanika, ili kompromitacija i naknadna ucjena, u svrhu materijalne koristi (otkupnine) ili kako bi Vas prisilili da izvršite određene, i, kao pravilo, nezakonite radnje. Oni. Cilj je "staviti vas na udicu".

Možemo povući neku analogiju s takozvanim “Ciganima”, vidovnjacima, sektašima – oni vas dovedu u zabludu i izbace vam potrebne informacije (ili dobiju određene radnje od vas), a glavno oružje takvih pojedinaca, i offline i online, je što? Pokušaj pogoditi! =) A odgovor je jednostavan, sjetite se velikih poslovica i izreka “Moj jezik je moj neprijatelj” ili “Brbljavac je božji dar za špijuna.” Jeste li shvatili poantu? I često se dogodi da možda nećete uskoro shvatiti odakle je došlo do curenja, odakle dolazi ovaj utjecaj, ili ga možda uopće ne razumijete.

Ako vas zanima umjetnost SI, guglajte ovo pitanje i saznat ćete mnogo zanimljivih stvari.

  • softverska metoda. Ovdje je, s jedne strane, sve jednostavno razumljivo - to su trojanci, keyloggeri, skripte, špijuni, rootkitovi i drugi zlonamjerni objekti (radi lakšeg razumijevanja, nazovimo ih figurativno "virusima"). S druge strane, teško je - u smislu praktične provedbe zaštite od svih ovih infekcija.

Većina prosječnih korisnika vjeruje da instaliranjem dobar antivirus(čak i najbolji prema raznim neovisnim testovima), apsolutno su zaštićeni od bilo kakvih prijetnji. Začudo, ovo je pogrešna ideja. U ovom članku nećemo se baviti ovim pitanjem, jer ćemo se o njemu uvijek iznova pozabaviti na stranicama ovog bloga - to je, uostalom, jedan od glavnih ciljeva i smjernica bloga.

  • hardverska metoda. Ova metoda se provodi samo kroz izravni kontakt sa "žrtvom", a čudno je da će agresor najvjerojatnije biti netko vama blizak ili poznat. Metoda je prvenstveno relevantna za stolna računala.

Temelji se na “instaliranju” na računalo određenog tehničkog uređaja – hardverskog keyloggera. U pravilu, ovo je mali "uređaj" koji se umeće u utor na tipkovnici jedinica sustava, a žica iz “claveboarda” umetnuta je u samu ovu napravu. Ispada nešto poput adaptera. I ovaj "adapter" bilježi u sebe (kao obični flash pogon) sve pritiske tipki na tipkovnici, i ne, apsolutno nijedan antivirus to ne može fizički primijetiti, jer je "presretač" hardver, a ne softver.

Hardverske metode također mogu uključivati ​​sofisticiranije opcije, ali to je bliže špijunomaniji i obavještajnim agencijama. Unatoč tome, članci o takvim metodama mogli bi biti objavljeni u budućnosti. Takoreći za paranoične. Čak sam i sada pomislio da ću možda napraviti takav odjeljak "Posebno za paranoičare" =)

Sada kada znamo s koje strane se može izvesti napad i znamo koje se lozinke smatraju nepouzdanima, vrijeme je da prijeđemo na preporuke za odabir lozinke i kako ih pohraniti. Opća pravila sigurnosti.

Za početak podijelite sve svoje lozinke u uvjetne skupine prema njihovoj važnosti. Na primjer, najvažnije su lozinke za internetsko bankarstvo, elektroničke novčanike, glavnu e-poštu, poslužitelje, kućne usmjerivače (usmjerivače, pristupne točke), račune i, naravno, za vaše web stranice i blogove.

Lozinke za račune na društvenim mrežama, email, ali ne onaj za koji ste se registrirali u servisima o kojima se piše u skupini najvažnijih lozinki mogu se svrstati u srednje važne. Oni. Ako lozinku od banke klijenta smatramo važnom, onda bi i lozinka za e-mail koju ste naveli prilikom registracije na ovaj servis trebala biti vrlo složena. U ovu grupu uključujem i lozinku administratora računala.

Pa, treća skupina su najmanje važne usluge. Kao primjer: E-mail, koje koristite za razne pretplate, račune na stranicama koje ne predstavljaju ništa vrijedno (gdje se registrirate, recimo, samo da biste ostavili komentar) itd.

Nakon što su lozinke podijeljene u skupine, razgovarajmo o tome kakva bi trebala biti lozinka za svaku od njih.

Prva grupa

  • Preporučeni broj znakova je od 20 do 50. Dulje - nema posebnog smisla, ali ako usluga dopušta bilo koju duljinu lozinke i ako ste paranoični, onda izvolite =);
  • korišteni simboli – velika i mala slova, brojevi, posebni znakovi; Prilikom generiranja takve lozinke poželjno je koristiti i ćirilicu i latinicu, ukoliko korištenje ćirilice dopušta servis na koji se prijavljujete. Mnogi generatori lozinki koriste samo latinicu, pa nakon što generirate lozinku, ručno dodajte nekoliko ćiriličnih znakova.
  • za svaki račun u ovoj grupi morate imati poseban i najsigurnija lozinka.

Druga grupa

  • broj znakova ~ od 15 do 20;
  • korišteni simboli - slični prethodnoj skupini;
  • Za svaki "račun" lozinka također mora biti zasebna.

Treća skupina

  • dopuštene su lozinke od 8 ili više znakova;
  • Ne smiju se koristiti interpunkcijski znakovi i posebni znakovi;
  • lozinka može biti čitljiva i laka za pamćenje;
  • Dopušteno je koristiti jednu lozinku za različite stranice kako ne biste brinuli o njihovom pamćenju, jer vam takvi računi, kao što smo već rekli, ne donose nikakvu vrijednost.

Za treću skupinu možete napraviti nešto poput ove lozinke: UsymBada23* - takvu lozinku je lako zapamtiti, ali nije tako lako probiti i malo je vjerojatno da će je itko pokušati probiti. I pamti se ovako: prvi dio je razumljiv, lak za čitanje i pamćenje (kao "kod simbada"), prvo slovo je veliko, drugi dio (ili slog) također počinje velikim slovom. Ali na kraju jednostavno stavite, na primjer, neki broj i jedan poseban simbol (u ovom primjeru ispada: "Simbad ima 23 zvjezdice"). Možete smisliti veliki izbor takvih različitih opcija.

I u završnom dijelu članka raspravljat ćemo o općim preporukama:

  • nemojte koristiti istu kombinaciju prijave i lozinke za različite usluge; i prijava i pristup moraju biti jedinstveni;
  • kada upisujete lozinku u posebno važnim uslugama (internet bankarstvo), pokušajte koristiti virtualnu tipkovnicu;
  • nikad ne spremajte lozinke u običnom obliku tekstualna datoteka na računalu ili Word datoteka, čak i ako je zaštićen lozinkom;
  • koristite specijalizirani softver - upravitelje lozinki. Preporučujem i . , po mom mišljenju, najbolji upravitelj lozinki;
  • nemojte koristiti funkciju “Spremi lozinku” ili “Zapamti me” u preglednicima;
  • Nakon što radite s bilo kojom uslugom (, VKontakte, itd.) Prije zatvaranja preglednika upotrijebite funkciju "Izlaz".

O vrlo općeprihvaćenim pravilima, kao što je korištenje najnovijih verzija softver, korištenje antivirusa i redovito ažuriranje baze podataka, nadam se, nije vrijedno spomena =)

Na kraju članka predlažem vam lijep mali bonus- dobro online generator lozinke. Njegova glavna prednost može se smatrati mogućnošću korištenja entropije pri generiranju lozinke. To znači da lozinka neće biti generirana samo nasumičnim odabirom znakova, već će ovisiti o vašim radnjama - pritiscima tipki i pokretima miša. Pa, prisutne su sve funkcije dobrog generatora, naravno: možete isključiti slične znakove (S i 5, O i 0 itd.), odrediti raspon znakova itd.

Napišite komentare o tome što mislite o ovom članku. Možda imate neke svoje suptilnosti i trikove po ovom pitanju? Možda sam nešto zaboravio dodati? Pisati.

OZNAKE

33 komentara → Kako odabrati lozinku. Edukativni program o zaštiti lozinkom

  1. Web-Cat

    Alexander, pozdrav! Ukrao sam cijeli članak u svoj Evernote, pažljivo ću ga pročitati i odmah ga koristiti, jer sam potpuna nula što se tiče sigurnosti, a mislim da je najbolja lozinka “12345” - sigurno je neću zaboraviti .
    Općenito, mislim da ako ne skliznete na pop pseudo-SEO blog, onda je uspjeh zajamčen! U svakom slučaju, nisam naišao na detaljniji i strukturiraniji članak o ovoj temi, iako sam povremeno pokušavao počistiti svoj nered s lozinkama.
    Svakako se pretplaćujem, ali ne kao uzvratni gest, već zato što osjećam da ću na vašem blogu dobiti puno korisnih informacija! (Je li u redu što sam odjednom prešao na "ti"?)
    Usput, da ne znam koji ste predložak instalirali, nikad ne bih pogodio. Ispalo je jako lijepo!
    Općenito, sretno vam! Svakako ću ga provjeriti!

  2. Web-Cat

    Ali ne, komentar je prošao, samo sam trebao ponovno učitati stranicu!

  3. Alexander Mayer

    Pozdrav Larisa! Drago mi je što te vidim. Prvi komentar je iz nekog razloga označen kao spam. Hvala na lijepim riječima i uputama. Također mislim da je skliznuti u temu "kako zaraditi milijune" izgubljen slučaj :) Pokušat ću se usredotočiti na tehničku stranu problema, kako WP tema tako i sigurnosti općenito. Puno je materijala u mojoj glavi, samo treba sve srediti i objaviti koliko god znaš (ovaj članak mi je oduzeo više od jednog dana, ne čistog vremena, naravno, ali od trenutka kada sam ga počeo pisati do objave). Što se tiče teme lozinki, planiram napisati par članaka u bliskoj budućnosti, s recenzijama onih menadžera lozinki koje sam spomenuo u članku, te o nekim drugim točkama. Mislim da će biti zanimljivo :) I neće biti nereda sa lozinkama u budućnosti =) Dakle, kako kažu, dobrodošli!

    Ako imate pitanja, slobodno mi pišite na mail. Pa, ili ovdje na blogu, ako je u okviru ovog ili onog članka.

  4. Ogri

    Pozdrav, Alexander! Hvala na informaciji, već dugo želim to shvatiti, ali nikako nisam stigao. Svi su mislili da bi moje petice mogle još neko vrijeme ostati kao lozinka za administratorsku ploču - koga zanimam dok ne promaknem? Nakon što sam cijeli dan proveo radeći na otvaranju dvije hakirane stranice odjednom, shvatio sam da sam zanimljiv. Prešao sam iz potpune ravnodušnosti ravno u paranoju: sada su moji računi zatvoreni lozinkama od 30 znakova generiranim na stranici koju ste spomenuli. Nije bio previše lijen da u potpunosti stvori entropiju. Općenito, proveo sam zabavan dan - ili sam se dopisivao sa službom za podršku hostinga, ili se kretao i klikao mišem i spontano pritiskao gumbe, osiguravajući generiranje najstohastičnije lozinke. U isto vrijeme, napravio sam hrpu drugih stvari kako bih osigurao maksimalnu sigurnost; Inače, planiram članak na ovu temu za dan-dva, dok mi je još u svježem sjećanju. I sada ću generirati sve svoje lozinke preko te stranice. Budući da ih je nemoguće zapamtiti, oni će biti pohranjeni u KeePass, koji sam prebacio u glavni upravitelj lozinki zahvaljujući vaša tri članka o tome. Posebno hvala za njih.
    Sada ću te ići trolati, kao što sam obećao. Nađimo se kod Natalije.

  5. Ogri

    Katalizatori su bili zli hakeri, nemojte si laskati. Vi ste bili upravo suprotno – mogli ste pomoći. Dugo me zanima ova tema, čitat ću vas.

  6. Tatjana

    Hvala vam. Vrlo korisne informacije. Odustajem od života po principu: dok grom ne udari, čovjek se prekrsti, mijenjam lozinke u sigurnije.)))

  7. Marfa

    Ne sjećam se da sam odjednom dobio zadovoljstvo u mnogim točkama vezanim uz temu špijunanije, sve do trenutka kad sam naišao na vaše članke. Majstorski razumljivo, zanimljivo, nenametljivo.
    Nizak naklon tebi! Hvala vam što brinete o nama - web paranoicima :)

  8. Eugene

    Lijep post. Ali ne potpuna. Zaboravili ste grafičke lozinke.

    1. Alexander Mayer

Svaki korisnik koji komunicira na forumima i u društvenim mrežama, kupuje na Internetu, s vremenom se morate suočiti s problemom pamćenja lozinki, budući da se u jednom trenutku nakupi toliko računa da ne možete bez olovke i bilježnice.

Lozinke mogu biti duge ili kratke, jednostavne ili složene. Svatko može slobodno izabrati što mu se sviđa, ali sigurnost osobnih i radnih podataka (koji mogu biti vrlo skupi) može ovisiti o skupu znakova ili jednostavnoj riječi. Uostalom, što je lozinka jednostavnija i kraća, napadači se brže mogu dočepati jedne ili druge račun.

Errata Security nedavno je provela zanimljivo analitičko istraživanje koje je analiziralo kako korisnici biraju lozinke. Prikupljanje podataka provedeno je u Sjedinjenim Državama. Kako se pokazalo, 16% korisnika radije upisuje svoje ime ili imena voljenih u redak zaporke. 14% vlasnika online računa rješava problem odabira lozinke pomoću numeričke tipkovnice (“1234”, “12345678”), dok neki koriste slova (“QWERTY”) umjesto brojeva.

Zanimljivo je da su 5% svih ukradenih lozinki imena zvijezda show businessa, TV emisija i filmskih likova. Na primjer, to su "Pokemon", "Matrix" (Matrix), "Ironman" (Iron Man). S druge strane, neki korisnici više vole unijeti riječ "Password" ("password1", "password") u redak za lozinku.

Unatoč bogatstvu materinjeg jezika i prisutnosti vlastite mašte, mnogi izražavaju svoje osjećaje kroz lozinke: “Ne zanima me” (Nije me briga), “Da” (Da), “Ne” (Ne) , “I love you” (Volim te) ljubav) "Ihateyou" (Mrzim te).

Arsenij Gerasimenko

PRAVILA ZA GENERACIJU LOZINKE

Moja osobna praksa pokazuje da da, doista, mnogi korisnici preferiraju jednostavne lozinke - poput "12345". Lozinka tako majstorske složenosti kao što je “1j2c3u” u meni odmah pobudi sumnju da se korisnik smatra u kategoriji “naprednih” :) Međutim, treba imati na umu da stvarno sigurna lozinka je kombinacija slova različitih malih i malih slova, brojeva i posebnih znakova, a duljina lozinke ne smije biti kraća od 8 znakova. Na primjer, lozinka "r34?a@123" bit će sigurna, "IvanPetrovich69!" - također, ali "lisa1111" će biti puno lakše pronaći.

Pravila za "dobru lozinku":

  1. dugo (8-12-15 znakova)
  2. sadrži i velika i mala latinična slova
  3. sadrži brojeve
  4. nije pronađeno u rječniku, ovo nije ime i nije ruska riječ (ckjdj) upisana u latinskom rasporedu
  5. nema nikakve veze s vlasnikom
  6. mijenja povremeno ili po potrebi
  7. nije omiljeno - različite lozinke za različite prijave
  8. moguće ga je zapamtiti
Pravila o lošim lozinkama:
  1. kratko (manje od 8 znakova)
  2. sve u jednom registru (svi VELIKI su loši kao i svi mali)
  3. ne sadrži brojeve
  4. pronađeno u rječniku, ili ovo ime ili ruska riječ (ckjdj) upisana na latinskom rasporedu
  5. na bilo koji način povezan s vlasnikom
  6. ne mijenja godinama ni pod kojim okolnostima
  7. može biti omiljena - jedna lozinka za sve
  8. nemoguće ga je zaboraviti

PRAVILA POHRANE LOZINKE
Idealno mjesto za pohranu lozinke je u vašoj glavi. Vaša aktovka bi mogla biti ukradena mobilni telefon, bilježnica, komad papira/disketa/flash disk s lozinkom, ali puno je teže ukrasti vašu memoriju. Dakle, kad god je to moguće, lozinke trebaju biti pamtljive i pohranjene u vašoj memoriji.

Ako sumnjate da je vaša lozinka otkrivena, promijenite je ODMAH.
MALO STATISTIČKIH PODATAKA

abeceda 6 znakova 8 znakova 10 znakova 12 znakova
26 (lat. sve malo ili sve veliko) 31 sek 5 sati 50 min 163,5 dana 303 godine
52 (latinica s promjenjivim velikim i malim slovima) 33 min 62 dana 458 godina 1.239.463 godine
62 (latinica različitih malih i malih slova plus brojevi) 95 min 252 dana i 17 sati 2.661 godina 10.230.425 godina
68 (latinica različitih malih i malih slova plus brojevi plus interpunkcijski znakovi.,;:!?) 2 sata 45 min 529 dana 6703 godine 30.995.621 godina
Vrijeme za iscrpno pretraživanje svih mogućih lozinki određene abecede pri brzini pretraživanja od 10.000.000 lozinki u sekundi



i na kraju (dumpies i nix administratori ne trebaju ovo čitati):
10 mitova o Windows lozinkama

Unatoč svim naprecima u sigurnosnoj tehnologiji, jedan aspekt ostaje nepromijenjen: lozinke i dalje igraju središnju ulogu u sigurnosti sustava.Problem je u tome što prečesto mogu poslužiti kao lak mehanizam za hakiranje. Iako postoje tehnologije i politike koje lozinke čine sigurnijima, još uvijek postoji ljudski element s kojim se treba boriti. Nije tajna da korisnici često koriste imena prijatelja, imena životinja itd. kao lozinke.

Glavni cilj je osigurati da korisnici kreiraju jake lozinke. Međutim, nije uvijek jasno kako to postići. Problem je što su naši postupci previše predvidljivi. Na primjer, na popisu potpuno nasumičnih riječi koje je izmislio običan čovjek sigurno će se pojaviti neki opći obrazac. Odabir jakih lozinki zahtijeva odgovarajuću obuku. Administratori sustava trebali bi to znanje proširiti na krajnje korisnike. Možda će vam ovaj članak pomoći da razumijete korištenje lozinki u sustavima Windows 2000 i XP

Mit br. 1: Raspršivači zaporki prilično su jaki kada koristite NTLMv2

Mnogi čitatelji dobro su svjesni slabosti hashova zaporki LanManagera (LM), što je učinilo L0phtcrack tako popularnim. NTLM čini hashove donekle robusnijim korištenjem duljeg hash-a i razlikovanjem velikih i malih znakova. NTLMv2 je napredniji, izračunava 128-bitni ključ i koristi zasebne ključeve za integritet i povjerljivost. Dodatno, koristi algoritam HMAC-MD5 za veći integritet. Međutim, Windows 2000 još uvijek često šalje LM i NTLM hashove preko mreže, a NTLMv2 je ranjiv na prijenosne napade (poznate i kao ponavljanje). A budući da su hashovi lozinki LM i NTLM još uvijek pohranjeni u registru, također ste ranjivi na SAM napade.

Još će proći neko vrijeme dok se konačno ne oslobodimo ograničenja LanManagera. Do tada, nemojte se oslanjati na pouzdanost hashova zaporki.

Mit br. 2. DJ#wP3M$c - najbolja lozinka

Uobičajen je mit da su potpuno nasumične lozinke dobivene pomoću generatora lozinki najbolje. Ovo nije posve točno. Iako mogu biti doista jake, takve se lozinke obično teško pamte, spore su za upisivanje i ponekad su osjetljive na napade na algoritam za generiranje lozinki. Lako je stvoriti lozinke koje su otporne na probijanje, ali je teže stvoriti lozinke koje se pamte. Za to postoji nekoliko jednostavnih tehnika. Na primjer, razmotrite lozinku " [e-mail zaštićen] Ovaj e-mail je zaštićen od spambota. Da biste je vidjeli, vaš preglednik mora imati omogućen Javascript." Ova lozinka koristi velika i mala slova, dva broja i dva simbola. Lozinka je duga 20 znakova, ali se može zapamtiti uz minimalan napor; možda ste je se već nehotice sjetili. Štoviše, ova lozinka se vrlo brzo upisuje. Dio "Makeit20" izmjenjuje lijevu i desnu tipku na tipkovnici, što povećava brzinu tipkanja, smanjuje broj tipfelera i smanjuje mogućnost da netko može uhoditi vašu lozinku gledajući pokrete svoje prste (davno su stvoreni popisi engleskih riječi, naizmjenične tipke za desnu i lijevu ruku, koje su prikladne za korištenje kao dio vaše lozinke.

Najbolja tehnika za stvaranje složenih, ali lako pamtljivih lozinki jest korištenje struktura koje smo navikli pamtiti. Takve strukture također olakšavaju uključivanje interpunkcijskih znakova u lozinku, kao u gore navedenom primjeru adrese e-pošte. Druge strukture koje se lako pamte su brojevi telefona, adrese, imena, putanje datoteka itd. Obratite pozornost na neke elemente koji nam omogućuju lakše pamćenje. Na primjer, uključivanje obrazaca, ponavljanja, rima, humora, pa čak i nepristojnih (uključujući psovke) riječi stvara lozinke koje nikada nećemo zaboraviti.

Mit br. 3. 14 znakova je optimalna duljina lozinke

U LM-u, hashovi zaporki podijeljeni su u dva hash-a od 7 znakova. Ovo zapravo čini lozinke ranjivijima, budući da se napad grubom silom može primijeniti na svaku polovicu lozinke u isto vrijeme. To jest, lozinke koje imaju 9 znakova dijele se na jedan hash od 7 znakova i jedan hash od 2 znaka. Očito, krekiranje hasha od 2 znaka neće trajati dugo, ali dio od 7 znakova obično se može krekirati za nekoliko sati. Često kratki komad može učiniti dugi komad puno lakšim za pucanje. Zbog toga su mnogi stručnjaci za sigurnost odredili da je optimalna duljina lozinke 7 ili 14 znakova, što odgovara dva hash-a od 7 znakova. NTLM donekle poboljšava situaciju korištenjem svih 14 znakova za pohranjivanje hashova zaporki. Iako ovo olakšava život, dijaloški okvir NT-a ograničava lozinku na najviše 14 znakova; čime se definiraju lozinke od točno 14 znakova kao optimalne za sigurnost.

Ali kod novijih je sve drugačije Windows verzije. Lozinke u sustavima Windows 2000 i XP mogu imati do 127 znakova, tako da 14 znakova više nije ograničenje. Štoviše, jedna sitnica koju je otkrio Urity na SecurityFriday.com je da ako lozinka ima 15 znakova ili više, Windows čak ni LanMan hashove ne pohranjuje ispravno. Ako vaša lozinka ima 15 ili više znakova, Windows pohranjuje konstantu AAD3B435B51404EEAAD3B435B51404EE kao LM hash, što je ekvivalentno nultoj lozinci. A budući da vaša lozinka očito nije null, pokušaji da se probije ovaj hash neće dovesti do ničega.

Uzimajući ovo u obzir, korištenje lozinki dužih od 14 znakova može biti dobar savjet. Ali ako želite nametnuti korištenje tako dugih lozinki korištenjem pravila grupe ili sigurnosnih predložaka, naići ćete na problem - ništa vam ne daje mogućnost da postavite minimalnu duljinu lozinke na više od 14 znakova.


Mit br. 4. J0hn99 - Dobra lozinka

Iako lozinka "J0hn99" zadovoljava zahtjeve složenosti sustava Windows 2000, nije tako složena kao što se čini na prvi pogled. Mnogi programi za probijanje lozinki isprobavaju milijune varijacija riječi u sekundi. Zamjena slova "o" brojem "0" i dodavanje par brojeva je besmislica za takve programe. Neki programi za krakiranje čak provjeravaju skupove metoda koje korisnici obično koriste, što im omogućuje da pogode čak i prilično dugačke i na prvi pogled uspješne lozinke.

Bolji pristup je biti manje predvidljiv. Umjesto zamjene "o" s "0", pokušajte zamijeniti "o" s dva znaka "()", kao u "j()hn". I, naravno, produljenjem lozinke povećavate njenu snagu.

Mit #5. Svaka lozinka prije ili kasnije može biti hakirana.

Iako se svaka lozinka može otvoriti na nekoliko načina (na primjer, putem " keylogger" ili kroz društveni inženjering), međutim, postoje načini za stvaranje lozinki koje se ne mogu probiti u razumnom vremenskom roku. Ako je lozinka dovoljno duga, njezino probijanje trajat će toliko dugo ili zahtijevati toliko računalne snage da je u biti isto kao da je neprobojna (barem za većinu hakera.) Naravno, na kraju se svaka lozinka može probiti, ali taj se događaj možda neće dogoditi za našeg života, ili čak za našeg života naših praunuka. , osim ako, naravno, vladine agencije ne pokušavaju otkriti vašu zaporku, tada su šanse za to vrlo velike. Iako, možda, postignuća računalna tehnologija možda jednog dana ovaj mit postane stvarnost.


Mit #6. Lozinke se moraju mijenjati svakih 30 dana.

Unatoč tome što je ovo dobar savjet za neke lozinke sa visok stupanj rizik, nije prikladan za prosječne korisnike. Zahtjev za čestim mijenjanjem lozinki često tjera korisnike da stvaraju predvidljive uzorke u svojim lozinkama ili koriste druge metode koje zapravo značajno smanjuju njihovu učinkovitost. Prosječna osoba ne voli neprestano smišljati i pamtiti nove lozinke svakih 30 dana. Umjesto ograničenja starosti lozinki, bolje je usredotočiti se na jače lozinke i veću kompetenciju korisnika. Prihvatljivo vrijeme za prosječnog korisnika je od 90 do 120 dana. Ako korisnicima date više vremena, lakše ćete ih uvjeriti da koriste složenije lozinke.

Mit br. 7. Nikada ne biste trebali zapisivati ​​svoju lozinku

Iako je ovo dobar savjet, ponekad samo trebate zapisati svoje lozinke. Korisnici se osjećaju mnogo ugodnije stvarajući složene lozinke ako znaju da ih mogu pročitati na sigurnom mjestu ako ih zaborave. Međutim, važno je educirati korisnike kako pravilno bilježiti lozinke. Imati naljepnicu na monitoru neosporno je glupo, ali čuvanje lozinke u sefu ili čak zaključanoj ladici može biti dovoljno. I nemojte zanemariti sigurnost kada dođe vrijeme da bacite papir sa svojom starom lozinkom: zapamtite, mnoga velika hakiranja dogodila su se upravo zato što hakeri nisu bili previše lijeni prebirati po smeću organizacije u potrazi za zapisanim lozinkama. Ideja bi mogla biti omogućiti korisnicima da pohranjuju svoje lozinke u softverskim uslužnim programima za pohranu lozinki. Ovi uslužni programi omogućuju korisniku pohranjivanje više lozinki na jednom mjestu, zaštićenih glavnom lozinkom. Ali ako netko sazna glavnu lozinku, dobit će joj pristup puni popis sve lozinke. Stoga, prije nego što dopustite korisnicima da spremaju zaporke na takvo mjesto, razmislite o sljedećim opasnostima: prvo, ova se metoda temelji na softveru i stoga je ranjiva na napade, a drugo, budući da se sve ovdje temelji na jednoj glavnoj zaporci, ona može postati jedina točka za globalni kvar svih lozinki svih korisnika. Najbolja je praksa kombinirati tehnologiju, fizičku sigurnost i politiku tvrtke.

Osim toga, lozinke je možda jednostavno potrebno dokumentirati. Nema ničeg neobičnog u situaciji u kojoj Administrator sustava razbolio se ili odustao. I u nizu organizacija, ovo je jedina osoba koja je znala sve lozinke, uključujući lozinku poslužitelja. Tako ponekad čak morate odobriti zapisivanje lozinki, ali samo kada je to doista potrebno i promišljeno.


Mit #8. Lozinka ne smije sadržavati razmake

Iako ga većina korisnika ne koristi, Windows 2000 i Windows XP dopuštaju razmake u lozinkama. Zapravo, ako možete vidjeti takav znak u sustavu Windows, onda ga možete koristiti u lozinci. Stoga je razmak savršeno valjan znak za lozinku. Međutim, budući da neke aplikacije skraćuju razmake, najbolje je da lozinku ne započnete ili završite razmakom.

Prostori olakšavaju korisnicima stvaranje složenijih lozinki. Budući da se između riječi može koristiti razmak, njegova upotreba može korisnicima dati pravu priliku za korištenje dugih zaporki od više riječi.

Općenito, situacija s prostorom je vrlo zanimljiva, ne spada ni u jednu kategoriju zahtjeva složenosti Windows lozinka. Ovo nije ni broj ni slovo, a ne smatra se ni simbolom. Stoga, ako želite svoju zaporku učiniti složenijom, razmak nije ništa lošiji od bilo kojeg znaka i u većini slučajeva ne smanjuje složenost zaporke.

Ali želio bih reći o jednom značajnom nedostatku povezanom s korištenjem razmaknice - kada se pritisne, njezina tipka daje jedinstven zvuk koji se ne može zamijeniti ni s čim drugim. Uopće nije teško čuti ako netko koristi razmak u svojoj lozinci. Općenito, koristite razmake, ali nemojte ih pretjerati.

Mit br. 9. Uvijek koristite Passfilt.dll

Passfilt.dll je biblioteka koja tjera korisnike da koriste jake lozinke. U sustavu Windows 2000 i XP to se radi korištenjem pravila "Lozinka mora ispunjavati zahtjeve složenosti". Iako je ovo često dobra politika, neki se korisnici mogu uzrujati kada se njihove lozinke odbiju jer nisu dovoljno jake. Čak i iskusni administratori ponekad moraju unijeti više lozinki dok jedna ne zadovolji zahtjeve složenosti. Uznemireni korisnici sigurno neće izraziti podršku vašoj politici zaporki.

Ako vidite da korisnici ne vole zahtjeve složenosti, možda najbolji izlaz postojat će zahtjev za dugim lozinkama umjesto ove politike. Ako izračunate, vidjet ćete da je lozinka od 9 znakova koja koristi mala slova približno iste složenosti kao lozinka od 7 znakova koja koristi i mala i velika slova i brojke. Jedina razlika je u tome kako programi za probijanje lozinki rukuju različitim podskupovima znakova; neki brute force krekeri isprobavaju sve kombinacije malih slova prije upotrebe brojeva i drugih znakova.

Druga mogućnost je uzeti uzorak Platform SDK-a u direktoriju \samples\winbase\Security\WinNT\PwdFilt\ i promijeniti ga tako da bude blaži u odabiru lozinke.

Također možete obučiti korisnike kako učiniti lozinke složenijima i dati im neke ideje kako to učiniti.

Mit #10. Koristite ALT+255 za najjaču lozinku

Razmotrimo korištenje znakova s ​​velikim ASCII kodom kako bismo konačno zakomplicirali lozinku. Ti se znakovi ne mogu prirodno upisati na tipkovnici, već se unose držanjem pritisnute tipke ALT i upisivanjem ASCII koda na numeričkoj tipkovnici. Na primjer, niz ALT-0255 stvara znak.

Iako je ovo korisno u nekim situacijama, postoje i nedostaci koje treba uzeti u obzir. Prvo, držanje tipke ALT i tipkanje na numeričkoj tipkovnici drugi mogu lako primijetiti. Drugo, stvaranje takvog znaka zahtijeva pet pritisaka na tipke, koje morate zapamtiti i naknadno unijeti svaki put kada unesete lozinku. Možda bi imalo smisla stvoriti lozinku pet znakova dužu, što bi vašu lozinku učinilo puno jačom za isti broj pritisaka na tipke.

Na primjer, lozinka od 5 znakova stvorena od visokih ASCII znakova zahtijevat će 25 pritisaka na tipku. Uzimajući u obzir 255 mogućih kodova za svaki simbol i samo pet simbola, dobivamo ukupan broj kombinacija od 255^5 (ili 1,078,203,909,375). Međutim, lozinka od 25 znakova stvorena samo malim slovima ima 26^25 (ili 236,773,830,007,968,000,000,000,000,000,000,000) mogućih kombinacija. Očito je bolje stvoriti duže lozinke.

Još jedna stvar o kojoj treba razmisliti je da neke tipkovnice prijenosnih računala otežavaju tipkanje numerička tipkovnica i neke komunalije naredbeni redak ne podržavaju velike ASCII znakove. Na primjer, možete koristiti ALT+0127 u sustavu Windows, ali ga nećete moći upisati u naredbeni redak. Suprotno tome, kodovi nekih znakova kao što su tabulator (ALT+0009), pomak u redak (ALT+0010) i ESC (ALT+0027) mogu se koristiti pri upisivanju iz naredbenog retka, ali se ne mogu koristiti u dijalozima. Windows prozori(što može biti poželjna nuspojava u nekim rijetkim slučajevima).

Međutim, postoji nekoliko slučajeva u kojima je korištenje proširenih kodova znakova korisno. Ako imate servisne ili lokalne administratorske račune koji se rijetko koriste, ponekad je korištenje proširenih znakova vrijedno nekoliko dodatnih pritisaka na tipke. Budući da je nekoliko programa za probijanje lozinki konfigurirano za rukovanje proširenim znakovima, to može biti dovoljno da lozinku učini iznimno teškom za probijanje. Ali nemojte se zadovoljiti velikim ASCII-jem u ovom slučaju: malo poznata činjenica je da zapravo možete iskoristiti puni Unicode skup znakova, što je 65 535 mogućih znakova. Međutim, znak kao što je ALT+65206 nije tako izdržljiv kao ekvivalentan broj pritisaka na tipke s uobičajenim znakovima.

Konačno, pogledajmo korištenje neprekinutog razmaka (ALT+0160) u proširenom skupu znakova. Ovaj simbol se pojavljuje kao regularni prostor i često može prevariti one koji su nekako vidjeli vašu lozinku. Na primjer, recimo da je napadač uspio instalirati zapisivač tipkovnice na vaš sustav. Ako u svojoj zaporci koristite neprekinuti razmak, on će se pojaviti kao uobičajeni razmak u datoteci dnevnika. A ako provalnik ne zna za neprekinuti prostor i ne vidi valjani ASCII kod, onda mu njegova lozinka, kojoj se toliko nadao, neće dati ništa. Ali mnogi ljudi jednostavno ne znaju za postojanje ovog simbola, iako se čini da će nakon čitanja ovog članka već znati.

Zaključak

Netko se možda neće složiti s nekim od iznesenih stavova, ali oni ne tvrde da su konačna nepobitna istina. Ovo nije bila svrha pisanja ovog članka. Mit je pola istine. Mnogi od mitova koji se ovdje kritiziraju nekada su bili izvrsni savjeti, ili su to još uvijek u određenim slučajevima. Ali za mnoge su ovi savjeti postali skup strogih, nepromjenjivih pravila koja se uvijek moraju primjenjivati. Ali svaki savjet o lozinkama, uključujući i one dane u ovom članku, nije ništa više od običnog savjeta. Morate sami odlučiti koja vam pravila odgovaraju, a koja ne. Možda je najveći i najpogrešniji mit od svih taj da postoji jedno čvrsto i brzo pravilo o lozinkama.

Ponekad je John99 dobra lozinka, a ponekad se lozinke moraju mijenjati mnogo češće od jednom mjesečno. Neke lozinke, kao što su administratorske lozinke, zahtijevaju mnogo veću zaštitu od drugih, kao što su korisničke lozinke. Da biste kreirali politiku lozinki koja vas najbolje štiti, trebali biste uzeti svo svoje znanje i dodati mu ono što smatrate korisnim od onoga što je ovdje napisano.

Dobra lozinka je više od jake lozinke. Dobra lozinka je ona koju je izuzetno teško pogoditi ili pogoditi, ali je vrlo lako zapamtiti. Trebao bi biti dugačak i sastojati se od slova, brojeva i simbola, ali u isto vrijeme trebao bi biti lak za upisivanje bez grešaka. Mora sadržavati nasumične elemente koje samo računalo može pružiti, au isto vrijeme ostati sličan onome što čovjek može stvoriti.

Ali najbolja lozinka od svih je ona koju korisnik odabere na temelju znanstvenog razumijevanja stvaranja lozinke. A najbolja politika lozinki je ona koja pomaže korisnicima da kreiraju takve lozinke.

Nije tajna da većina ljudi koristi lozinke koje nisu jako otporne na hakiranje. Ovo su lozinke iz rječnika koje se sastoje od često korištenih riječi ili fraza. To su legendarne kombinacije tipkovnica qwerty, 12345, asdfg i druge. Ovo su uobičajene ruske riječi upisane u drugom rasporedu (na primjer, lozinka = gfhjkm, itd.).

U većoj mjeri snaga lozinke ne ovisi o njenoj složenosti, već o sustavu autorizacije. Drugim riječima, lozinka zaika88 je pouzdanija od Z@!kABB, ako u drugom slučaju imamo mogućnost slobodnog pretraživanja lozinki, au prvom dobivamo odgodu između pokušaja unosa, proporcionalnu broju neuspješnih pokušaja. . Ali lozinku zaika88 puno je lakše pogoditi nego Z@!kABB pri jednakim brzinama pogađanja.

Apple ID zahtijeva (prije nekoliko godina definitivno jest) kreiranje lozinke uz obaveznu upotrebu posebnih znakova, brojeva i velikih slova. Počeo sam razmišljati o složenosti lozinki koje se koriste u AppleID-u.

- Najvjerojatnije veliko slovo koristit će se na samom početku lozinke. Malo je vjerojatno da će se koristiti bilo gdje drugdje (osim za 8 = B). Navikli smo nove rečenice pisati velikim početnim slovom, pa ako se od nas traži da izradimo lozinku s barem jednim velikim slovom, stavit ćemo je na sam početak.

— Posebni znak, u nedostatku alternativa, najvjerojatnije će biti dodan na samom kraju lozinke. Ali obično se neka slova zamjenjuju posebnim znakovima: i = !, a = @, s = $. Korišteni znakovi sada su drugačiji, ali su sama slova vizualno slična. A algoritam zamjene je prilično jasan, tako da ne odgađa previše proces hakiranja.

- Obavezni brojevi u većini će slučajeva zamijeniti slična slova: o = 0, b = 8, t = 7, 1 = i, 9 = g. Opet ista vizualna "sličnost" znakova. Mogu se dodavati brojevi na kraju riječi, ali ovo je samo vrtić.

— Najvjerojatnije će takvi zahtjevi za lozinkom (a Apple stalno govori što još treba dodati lozinki) dovesti do toga da korisnik šifrira najočitije riječi koristeći slične metode.

Koja je zapravo razlika između Barcelone i Barcel0n@? Razlika je u tome što Appleova usluga prihvaća drugu lozinku jer ispunjava sve “zahtjeve” za složenost lozinke. Ali, svejedno, to je i dalje ista riječ iz rječnika. A takve "prijevare" najbolje je izbjegavati.


Potpis uz sliku glasi: “Složene lozinke moraju imati najmanje osam znakova i uključivati ​​velika i mala slova, brojeve i posebne znakove.” Štoviše, od svih ponovljenih redaka, donji se ne razlikuje mnogo od izvornika. Definitivno se danas ne isplati šifrirati riječi ovom metodom.

Ovo je vrijedilo učiniti u eri BBS-a, kada su računala bila velika, a brzine prijenosa podataka male. Usput, upravo se ova "zamjena" zove "leet", postoji detaljan članak na Wikipediji, ali možete samo pročitati popis riječi. Danas kada je snaga računala i brzina prijenosa podataka porasla stotinama puta(i ne šalim se), takve se "složene lozinke" provaljuju u samo jednu ili dvije sekunde. jamči to!