Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :
"password" => [
"required",
"confirmed",
"min:8",
"regex:/^(?=\S*)(?=\S*)(?=\S*[\d])\S*$/",
];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.
Вот первые два пароля.
А вот два пароля, которые не пройдут проверку на надёжность.
Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.
Вместо всего этого достаточно сделать простую вещь - просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .
Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) - он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.
У любого пользователя есть любимые сайты: там он общается, играет, смотрит видео, слушает музыку. Кто-то совершает покупки в интернете. Конечно, для удобства пользователя регистрируются на сайтах, чтобы иметь персональный доступ к определенным услугам. Один из наиболее важных атрибутов любой учетной записи - это, конечно, пароль. Как проверить надежность пароля, его сложность - я расскажу в сегодняшней статье!
Итак, в интернете существует один очень удобный сервис проверки надежности вашего пароля. Он так и называется .
Внимание! Алгоритм проверки пароля на сложность не подразумевает воровства Ваших паролей!
Все, что Вам нужно - просто ввести пароль в форму и узнать , через какой промежуток времени можно подобрать Ваш пароль. Кроме того, внизу Вы сможете увидеть подсказки по формированию пароля:
- пароль должен быть средним\длинным - не менее 8-10 символов
- желательно использовать различные символы, буквы и цифры в пароле вперемешку
- нежелательно использовать комбинации букв и цифр, которые идут подряд на клавиатуре
Для примера, пароль администратора сайта сайт вот такой:
Надеюсь, Ваши пароли теперь будут не менее надежными и не оставят никаких шансов злоумышленникам! Удачи!
Похожие новости:
Работа с дисками
В этом уроке расскажу как проверить надежность введенного пароля. Для этих целей мы будем использовать специальный сервис от "Лаборатории Касперского" под названием "Secure Password Check"
Находится он по адресу www.password.kaspersky.com/ru . Если при открытии сайта у вас все на английском, то в правом верхнем углу в списке выберите "Русский".
Этот сервис позволяет проверить на сколько сложный у вас пароль и как быстро его можно взломать. Для проверки вводим свой пароль в специальное поле.
После введения своего пароля, ниже появится шкала надежности, рекомендации по его усилению, а также информация о том как быстро его можно будет взломать.
Вот таким образом вы можете проверить свой пароль перед тем как его использовать. Экспериментируйте и создавайте свой уникальный надежный пароль. В качестве рекомендации от меня - всегда используйте буквы верхнего и нижнего регистра, а также цифры и спецсимволы.
В интернете достаточно большое количество сервисов, которые позволяют объединить несколько PDF файлов в один, но большинство из них имеет свои недостатки. Какие-то сервисы имеют ограничения на размер загружаемых файлов, а другие и вовсе делают это криво. Поэтому сегодня разберем сервис SmallPDF, который делает это максимально правильно.
В прошлых уроках я уже рассказал о двух способах как открыть заблокированный сайт с помощью функции турбо в брайзерах Опера и Яндекс . Сегодня продолжим разговаривать на эту тему и на очереди очень интересный способ, который позволит получить доступ к заблокированным сайтам .
Сегодня расскажу как отправить приватное сообщение, которое удалится после прочтения. Речь пойдет о сервисе под названием Privnote - этот сервис позволяет оправлять сообщения, которые могут быть уничтожены сразу же после прочтения.
Из этого видеоурока вы узнаете как можно проверить скорость интернета на вашем компьютере с помощью специального сервиса.
Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :
"password" => [
"required",
"confirmed",
"min:8",
"regex:/^(?=\S*)(?=\S*)(?=\S*[\d])\S*$/",
];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.
Вот первые два пароля.
А вот два пароля, которые не пройдут проверку на надёжность.
Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.
Вместо всего этого достаточно сделать простую вещь - просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .
Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) - он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.
Пароли - это ключи от ваших виртуальных хранилищ данных в интернете - от аккаунта почты, онлайн игры, личной странички в соцсети и т.д. Конечно же, он должен на 100% отвечать такому критерию, как надёжность. То есть он должен быть устойчив к взлому, или подбору. К сожалению, многие пользователи это простое, но обязательное требование к паролям игнорируют. И в итоге, как правило, становятся жертвами злоумышленников. У них пропадают деньги, конфиденциальные данные, геймплейные достижения и пр.
Известно, что 1% пользователей сети то ли из-за лени, то ли из-за халатности при регистрации предпочитают использовать примитивные комбинации, которые можно подобрать с 3-4 попыток. Примеры - «123456», «qwerty», «mypassword». Это, безусловно, является очень большой глупостью. «Лёгкий» ключ для пользователя является «лёгким» и для взломщика.
Эта статья расскажет вам о том, как составлять надёжные пароли и как проверить их на устойчивость к взлому.
Какой пароль можно назвать надёжным?
Хорошие ключи от учётной записи имеют следующие характеристики:
1. Длина не меньше 10-15 символов (самые устойчивые комбинации и того больше - 20-35 символов).
2. Символьный состав: большие и маленькие английские буквы, цифры, спецсимволы.
3. В комбинации отсутствуют словарные слова (parol, kod, vhod), личные данные (номер телефона, имя, e-mail и т.д.), логические последовательности букв и цифр (1234, 246810, abcdefg).
Чем сложнее, надёжнее комбинация, тем труднее сделать её подбор. Чтобы установить придуманную пользователем последовательность из 12 знаков, может понадобиться свыше 1,5 млн. лет.
Создание сложного ключа
Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.
Способ №1: подмена букв
Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» - «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.
Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:
«Опасная зона» запишем как «onACHA9I#3OHA».
Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» - «n», «я» - «9I», «з» - «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.
В помощь таблица символьных обозначений русских букв:
Способ №2: создание «читаемого» ключа в генераторе
1. Откройте в браузере онлайн-сервис - http://genpas.peter23.com/.
2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».
3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.
4. Нажмите кнопку «Генерировать».
5. Выберите наиболее оптимальный вариант из генерированных последовательностей.
6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:
Xoh)ohfo1koh
- Xoh) - можно прочитать как «Хох» + «смайлик»;
- oh - «ох»;
- fo1 - пусть это будет какая-то загадочная аббревиатура;
- koh - кох - опять вариация начального слога.
Способ №3: добавка спецсимволов в простые слова
1. Возьмите за основу какое-либо хорошо знакомое вам слово:
space2017
2. Придумайте сочетание спецсимволов из 2 или 3 знаков.
«+_&»
3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.
+_&space2017&_+
4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.
Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).
Проверка ключа на надёжность
Проанализировать устойчивость выбранной комбинации можно на специальных сервисах.
Предоставляет пользователю подробный анализ указанной комбинации (символьные наборы, длину), а также оценивает её сложность в процентах.
Сообщает о том, сколько времени понадобится на подбор указанного ключа. Предупреждает о недопустимых (примитивных) символьных последовательностях.
Пользуйтесь только надёжными паролями! Они являются залогом вашей безопасности в Сети.
