Не має значення, який пароль ми виберемо

Наприклад, якщо система запитує у нас пароль із шести літер, кількість можливих паролів вже дорівнює 26 на шостому, або 308 915 776 на шостий.

цієї

Вибір вільний для кожної букви, ми можемо повторити себе. Якщо ми виберемо 12-символьний пароль, який включає великі та малі літери, а також десять цифр чи символів, кількість можливих паролів перевищує можливості 62 мільярдів, ніж у першому випадку, - пише hirado.hu за матеріалами статті Scientific Американський.

У другому прикладі хакерам знадобиться два мільйони років, щоб запустити всі можливості через один комп’ютер. Існує формула, за допомогою якої ми можемо розрахувати, скільки місця для зберігання дозволить стільки можливих паролів. Ми беремо цілу форму двійкового логарифму N, де N - усі можливі варіації, і додаємо одну.

Отже, у випадку прикладу із шістьма знаками, log2 (308 915 776) = 28.202638…, де десяткові знаки можуть бути опущені, так що виходить 28. До цього ми додаємо один і таким чином отримуємо результат 29 бітів . Для прикладу з 12 символів те саме значення становить 75 біт.

Французьке національне агентство з кібербезпеки (ANSSI) рекомендує, щоб для повної безпеки можливі паролі мали зарезервувати принаймні 100 біт місця для зберігання. За визначенням, на наш вибір

64-бітні - це дуже слабкі паролі, від 64 до 80 бітів - слабкі та від 80 до 100 - середні.

Згідно з рішенням ANSSI

дійсно надійний пароль вимагає 16 символів, кожен з яких повинен бути обраний із набору з 200 символів.

Однак ми навряд чи можемо згадати такий довгий пароль. Ось чому розробники систем ставлять менше вимог до користувачів і приймають паролі від низької до середньої надійності, як це визначено.

Існують інші способи запобігти злому нашого пароля. Найпростіший - той, який також використовується для захисту банківських карток.

Після трьох невдалих спроб доступ блокується.

Словники, що використовуються як зброя

Зловмисники відносно часто отримують зашифровані паролі від певної системи. Якщо фокус залишається невстановленим,

у зловмисника можуть бути дні або навіть тижні, щоб отримати фактичні паролі для входу.

Зазвичай ми не вибираємо свої паролі навмання, ми віддаємо перевагу довільним рядкам, а скоріше словам, які легко запам’ятати. Все це робить їх уразливими до так званих словникових атак. Зловмисники намагаються зламати наші акаунти, спробувавши список найбільш часто використовуваних паролів - словник.

Цей метод надзвичайно добре працює з тих пір

люди схильні до вибору простих слів, прізвищ, імен та коротких речень, які чітко обмежують кількість можливостей.

Вибираючи чотиризначні коди, такі як PIN-код або SIM-код, ми часто використовуємо структури, які легше запам'ятовуються, наприклад, повторюючи 13-1313.

Тож вибирайте пароль

Правильно розроблені веб-сайти аналізують нові паролі під час їх створення та відкидають ті, які занадто легко зламати. Тож очевидна порада полягає в тому, щоб вибрати свій пароль навмання. Використовуйте веб-інструмент Pwned Passwords, щоб перевірити, чи не зламано якийсь із ваших паролів.

База даних пристрою містить понад 500 мільйонів паролів, які були введені після різних атак.

Нелегке завдання вгадати легко запам’ятовується пароль, якого немає в базі даних. Незважаючи на це, неможливо бути оригінальним. Якщо ми знайдемо пароль, який, на наш погляд, є новим, все, що нам потрібно зробити, це скористатися інструментом, щоб перевірити, чи вже було зламано обліковий запис із цим паролем.

Поради веб-сайтам

Веб-сайти також застосовують ряд правил. В недавній публікації Національний інститут стандартів і технологій рекомендує використовувати словники як фільтр для нових паролів користувачів.

Одне з правил, якого ви обов’язково повинні дотримуватися як хороший дизайнер веб-серверів, це таке

не зберігайте нотатки з іменами користувачів та паролями на комп’ютері, який ви використовуєте для запуску веб-сайту.

Одним із можливих рішень є шифрування паролів на сервері. Цей метод працює, але він має два недоліки. Один із них - розшифрувати пароль кожного разу, коли ви входите в систему, що не є практичним. Інша - більш серйозна проблема - полягає в тому, що це передбачає зберігання ключів дешифрування на сервері, який керує веб-сайтом. В результаті хакери можуть його ідентифікувати, і це призводить до початкової проблеми.

Використання "відбитків пальців" і "засолювання" може бути хорошим рішенням

Кращий спосіб зберігати паролі - використовувати функції розмітки або стиснення, які створюють «відбитки пальців». Для кожного фрагмента даних у файлі, позначеного F, ця функція створює відбиток пальця. Відбиток пальця h (F) є досить коротким словом, що стосується F, але створений таким чином, що неможливо зробити висновок F з h (F). З F легко створити h (F), але назад це практично неможливо. Тому ці методи можна використовувати для надійного зберігання паролів на комп'ютері.

Незважаючи на це, немає надійного підходу, як це підкреслюється у звітах про злом важливих сайтів. Наприклад

У 2016 році у Yahoo! Було викрадено базу даних з одним мільярдом облікових записів користувачів.

Для більш високого рівня безпеки використовується так званий метод засолювання, щоб запобігти використанню хакерами списку пар ім’я користувача та відбитки пальців. Унікальна процедура гарантує, що якщо двоє користувачів виберуть однаковий пароль, вони також отримають різні відбитки пальців.

Таким чином, список на сервері буде містити три елементи: ім'я користувача; відбиток пальця, отриманий після додавання солі до пароля; а сама сіль - випадкові символи, додані до пароля. Коли сервер перевіряє введений пароль, він додає сіль, обчислює відбиток пальця і ​​порівнює результат із базою даних. Цей метод значно ускладнює хакери, навіть маючи слабкий пароль.