Kako kreirati i smisliti jaku lozinku. Savjeti za kreiranje lozinki

Većina napadača se ne zamara sofisticiranim metodama krađe lozinki. Uzimaju kombinacije koje je lako pogoditi. Oko 1% svih trenutno postojećih lozinki može se pogoditi u četiri pokušaja.

Kako je to moguće? Veoma jednostavno. Isprobate četiri najčešće kombinacije na svijetu: lozinka, 123456, 12345678, qwerty. Nakon takvog prolaza, u prosjeku se otvori 1% svih "kovčežića".

Recimo da ste jedan od onih 99% korisnika čija lozinka nije tako jednostavna. Čak i tada, performanse modernog softvera za hakovanje moraju se uzeti u obzir.

John the Ripper je besplatan i javno dostupan program koji može provjeriti milione lozinki u sekundi. Neki uzorci specijalizovanog komercijalnog softvera tvrde da imaju kapacitet od 2,8 milijardi lozinki u sekundi.

U početku, hakerski programi prolaze kroz listu statistički najčešćih kombinacija, a zatim se okreću cijelom rječniku. Trendovi korisničkih lozinki mogu se neznatno promijeniti tokom vremena, a ove promjene se uzimaju u obzir prilikom ažuriranja ovih lista.

Vremenom su sve vrste web servisa i aplikacija odlučile da na silu zakomplikuju lozinke koje kreiraju korisnici. Dodati su zahtjevi prema kojima lozinka mora imati određenu minimalnu dužinu, sadržavati brojeve, velika slova i specijalne znakove. Neki servisi ovo shvataju toliko ozbiljno da izmišljanje lozinke koju bi sistem prihvatio traje zaista dugo i zamorno.

Ključni problem je što gotovo svaki korisnik ne generiše lozinku koja je zaista otporna na pogađanje, već samo pokušava da ispuni minimalne zahtjeve sistema za sastav lozinke.

Rezultat su lozinke u stilu password1, password123, Password, Password, password! i neverovatno nepredvidivi p@ssword.

Zamislite da trebate promijeniti Spidermanovu lozinku. Najvjerovatnije će izgledati kao $pider_Man1. Original? Hiljade ljudi će ga promijeniti koristeći isti ili vrlo sličan algoritam.

Ako napadač zna ove minimalne zahtjeve, onda se situacija samo pogoršava. Iz tog razloga nametnuti zahtjev da se lozinke učine složenijim ne daje uvijek bolje lozinke i često stvara lažni osjećaj povećane sigurnosti.

Što je lozinku lakše zapamtiti, veća je vjerovatnoća da će završiti u rječnicima programa za razbijanje. Kao rezultat toga, ispada da je zaista jaku lozinku jednostavno nemoguće zapamtiti, što znači da mora biti negdje.

Prema mišljenju stručnjaka, čak iu ovom digitalnom dobu, ljudi se i dalje mogu osloniti na komad papira na kojem su ispisane lozinke. Prikladno je držati takvu plahtu na mjestu skrivenom od znatiželjnih očiju, na primjer u torbici ili novčaniku.

Međutim, list lozinki ne rješava problem. Duge lozinke ne samo da je teško zapamtiti, već je i teško unijeti. Situaciju pogoršavaju virtuelne tastature na mobilnim uređajima.

U interakciji sa desetinama usluga i sajtova, mnogi korisnici ostavljaju za sobom niz identičnih lozinki. Pokušavaju koristiti istu lozinku za svaku stranicu, potpuno zanemarujući rizike.

U ovom slučaju, neke web stranice djeluju kao dadilja, prisiljavajući vas da komplicirate kombinaciju. Kao rezultat toga, korisnik jednostavno ne može shvatiti kako je morao promijeniti svoju standardnu ​​jedinstvenu lozinku za ovu stranicu.

Razmjeri problema su u potpunosti spoznali 2009. godine. Tada je, zbog sigurnosne rupe, haker uspio ukrasti bazu podataka prijava i lozinki za RockYou.com, kompaniju koja objavljuje igre na Facebooku. Napadač je bazu podataka stavio u javno vlasništvo. Ukupno je sadržavao 32,5 miliona zapisa sa korisničkim imenima i lozinkama za naloge. Curenja su se dešavala i ranije, ali razmjeri ovog konkretnog događaja pokazali su cijelu sliku.

Najpopularnija lozinka na RockYou.com bila je 123456, koristilo je skoro 291.000 ljudi. Muškarci mlađi od 30 godina češće su preferirali seksualne teme i vulgarnost. Starije osobe oba spola često su se obraćale jednom ili drugom kulturnom području prilikom odabira lozinke. Na primjer, Epsilon793 ne izgleda tako loša opcija, osim što je ova kombinacija bila u Zvjezdanim stazama. Sedmocifreni broj 8675309 viđen je mnogo puta jer je predstavljen u jednoj od pjesama Tommyja Tutonea.

U stvari, kreiranje jake lozinke je jednostavan zadatak, sve što treba da uradite je da kreirate kombinaciju nasumičnih znakova.

Nećete moći da kreirate savršeno slučajnu matematičku kombinaciju u svojoj glavi, ali ne morate. Postoje posebne usluge koje generiraju zaista nasumične kombinacije. Na primjer, random.org može kreirati lozinke poput ove:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ovo je jednostavno i elegantno rješenje, posebno za one koji koriste pohranu lozinki.

Nažalost, većina korisnika i dalje koristi jednostavne, slabe lozinke, čak zanemarujući pravilo „različite lozinke za svaku stranicu“. Njima je udobnost važnija od sigurnosti.

Situacije u kojima lozinka može biti ugrožena mogu se podijeliti u 3 široke kategorije:

• Slučajno, u kojem osoba koju poznajete pokušava saznati vašu lozinku, na osnovu njemu poznatih podataka o vama. Često se takav provalnik samo želi našaliti, saznati nešto o vama ili izigrati prljave trikove s vama.
• Masovni napadi, kada apsolutno svaki korisnik određenih usluga može postati žrtva. U ovom slučaju koristi se specijalizirani softver. Za napad se biraju najnebezbednije lokacije, što omogućava unošenje više varijacija lozinki u kratkom vremenskom periodu.
• Ciljano, kombinirajući primanje sugestivnih savjeta (kao u prvom slučaju) i korištenje specijaliziranog softvera (kao u masovnom napadu). Ovdje govorimo o pokušaju da dođemo do zaista vrijednih informacija. Samo dovoljno duga nasumična lozinka pomoći će vam da se zaštitite, za čiji odabir će biti potrebno vrijeme usporedivo s trajanjem vaše lozinke.

Kao što vidite, žrtva može postati apsolutno svako. Izjave tipa “neće mi ukrasti lozinku jer me nikome ne trebam” nisu relevantne, jer u sličnu situaciju možete doći sasvim slučajno, slučajno, bez ikakvog vidljivog razloga.

Oni koji imaju vrijedne informacije, uključeni su u posao ili su u sukobu s nekim iz finansijskih razloga (na primjer, podjela imovine prilikom razvoda, nadmetanje u poslu) trebali bi još ozbiljnije da shvate zaštitu lozinkom.

U 2009. godini, Twitter (u razumijevanju cijelog servisa) je hakovan samo zato što je administrator koristio riječ sreća kao lozinku. Haker ga je podigao i objavio na web stranici Digital Gangster, što je dovelo do otmice Obamine, Britney Spears, Facebook i Fox News naloga.

Akronimi

Kao iu svakom drugom aspektu života, uvijek moramo napraviti kompromis između maksimalne sigurnosti i maksimalne pogodnosti. Kako pronaći zlatnu sredinu? Koja će vam strategija generiranja lozinki omogućiti stvaranje jakih kombinacija koje ćete lako zapamtiti?

U ovom trenutku, najbolja kombinacija pouzdanosti i praktičnosti je pretvaranje fraze ili fraze u lozinku.

Odabire se skup riječi koje uvijek pamtite, a lozinka je kombinacija prvih slova svake riječi. Na primjer, Neka sila bude s vama pretvara se u Mtfbwy.

Međutim, budući da će najpoznatiji biti korišteni kao početni, programi će na kraju dobiti ove akronime na svojim listama. U stvari, akronim sadrži samo slova i stoga je objektivno manje pouzdan od nasumične kombinacije simbola.

Ispravan izbor fraze pomoći će vam da se riješite prvog problema. Zašto pretvoriti svjetski poznat izraz u akronim lozinku? Vjerovatno se sjećate nekih izreka koje su relevantne samo u vašem bližem krugu. Recimo da ste čuli vrlo nezaboravnu frazu od barmena u lokalnom lokalu. Iskoristi ga.

I dalje je malo vjerovatno da će lozinka za akronim koju generišete biti jedinstvena. Problem sa akronimima je što se različite fraze mogu sastojati od riječi koje počinju istim slovima i poređane su u istom nizu. Statistički gledano, u raznim jezicima postoji povećana učestalost pojavljivanja određenih slova kao početnica riječi. Programi će uzeti u obzir ove faktore, a efikasnost akronima u originalnoj verziji će se smanjiti.

Reverzna metoda

Rješenje može biti metoda obrnute generacije. Na random.org kreirate potpuno nasumičnu lozinku, a zatim pretvarate njene znakove u smislenu frazu koja se pamti.

Često usluge i stranice korisnicima daju privremene lozinke, koje su one savršeno nasumične kombinacije. Poželjet ćete ih promijeniti jer ih nećete moći zapamtiti, ali ako malo bolje pogledate, postaje očigledno da ne morate pamtiti lozinku. Na primjer, uzmimo drugu opciju sa random.org - RPM8t4ka.

Iako se čini besmislenim, naš mozak je sposoban pronaći određene obrasce i korespondencije čak i u takvom haosu. Za početak, možete primijetiti da su prva tri slova u njemu velika, a sljedeća tri mala. 8 je dvaput (na engleskom dvaput - t) 4. Pogledajte malo ovu lozinku i sigurno ćete pronaći svoje asocijacije na predloženi skup slova i brojeva.

Ako možete zapamtiti besmislene nizove riječi, onda to koristite. Neka se lozinka pretvori u okretaje u minuti 8 track 4 katty. Svaka konverzija za koju je vaš mozak bolje prilagođen će biti uspješna.

Nasumična lozinka je zlatni standard u informatičkoj tehnologiji. Po definiciji je bolja od bilo koje ljudske lozinke.

Nedostatak akronima je u tome što će vremenom širenje takve tehnike smanjiti njenu efikasnost, a obrnuta metoda će ostati jednako pouzdana, čak i ako je svi ljudi na zemlji koriste hiljadu godina.

Nasumična lozinka neće biti uključena u listu popularnih kombinacija, a napadač koji koristi metodu masovnog napada će takvu lozinku pronaći samo grubom silom.

Uzmimo jednostavnu slučajnu lozinku koja uzima u obzir velika slova i brojeve - to su 62 moguća znaka za svaku poziciju. Ako lozinku napravimo od samo 8 cifara, dobićemo 62^8 = 218 triliona opcija.

Čak i ako je broj pokušaja u određenom vremenskom periodu neograničen, najkomercijalniji specijalizovani softver kapaciteta 2,8 milijardi lozinki u sekundi će u prosjeku potrošiti 22 sata pokušavajući pronaći pravu kombinaciju. Da budemo sigurni, takvoj lozinki dodajemo samo 1 dodatni znak - i bit će potrebno mnogo godina da se ona razbije.

Nasumična lozinka nije neranjiva, jer se može ukrasti. Postoji mnogo opcija, od čitanja unosa sa tastature do kamere preko ramena.

Haker može napasti samu uslugu i dobiti podatke direktno sa njenih servera. U ovoj situaciji ništa ne zavisi od korisnika.

Jedna pouzdana osnova

Dakle, došli smo do glavne tačke. Koju taktiku nasumične lozinke trebate koristiti u stvarnom životu? Sa stanovišta ravnoteže i pogodnosti, „filozofija jedne jake lozinke“ će dobro funkcionisati.

Princip je da koristite istu osnovu - super sigurnu lozinku (njene varijacije) na servisima i sajtovima koji su vam najvažniji.

Svako može zapamtiti jednu dugu i složenu kombinaciju.

Nick Berry, konsultant za sigurnost informacija, dozvoljava korištenje ovog principa, pod uslovom da je lozinka vrlo dobro zaštićena.

Nije dozvoljeno prisustvo malvera na računaru sa kojeg unosite lozinku. Nije dozvoljeno korištenje iste lozinke za manje važne i zabavne stranice - za njih će biti dovoljne jednostavnije lozinke, jer hakiranje naloga ovdje neće imati kobne posljedice.

Jasno je da pouzdanu osnovu treba nekako modificirati za svaku lokaciju. Kao jednostavnu opciju, možete dodati jedno slovo na početak da biste završili naziv stranice ili usluge. Ako se vratimo na tu nasumičnu lozinku RPM8t4ka, onda će se za Facebook prijavu pretvoriti u kRPM8t4ka.

Napadač koji vidi takvu lozinku neće moći razumjeti kako je lozinka za vaš račun generisana. Problemi će početi ako neko dobije pristup dvije ili više vaših lozinki generiranih na ovaj način.

Tajno Pitanje

Neki otmičari potpuno ignorišu lozinke. Oni djeluju u ime vlasnika naloga i simuliraju situaciju u kojoj ste zaboravili lozinku i želite je kao sigurnosno pitanje. U ovom scenariju, on može promijeniti lozinku na vlastiti zahtjev, a pravi vlasnik će izgubiti pristup svom računu.

Neko je 2008. godine dobio pristup mejlu Sare Pejlin, guvernerke Aljaske, a u to vreme i kandidata za predsednika SAD. Provalnik je odgovorio na tajno pitanje, koje je zvučalo ovako: "Gde ste upoznali svog muža?"

Nakon 4 godine, Mitt Romney, koji je u to vrijeme bio i kandidat za predsjednika SAD-a, izgubio je nekoliko svojih naloga na raznim servisima. Neko je odgovorio na sigurnosno pitanje o imenu ljubimca Mitta Romneyja.

Već ste pogodili poentu.

Ne možete koristiti javne i lako pogodne podatke kao tajno pitanje i odgovor.

Nije pitanje čak ni da se te informacije mogu pažljivo izvući sa interneta ili od bliskih saradnika. Odgovori na pitanja u stilu "ime životinje", "omiljeni hokejaški tim" i tako dalje savršeno su odabrani iz odgovarajućih rječnika popularnih opcija.

Kao privremenu opciju, možete koristiti taktiku apsurdnog odgovora. Jednostavno rečeno, odgovor ne bi trebao imati nikakve veze sa sigurnosnim pitanjem. Djevojačko prezime majke? Difenhidramin. Ime ljubimca? 1991.

Međutim, takva tehnika, ako postane raširena, bit će uzeta u obzir u relevantnim programima. Apsurdni odgovori su često stereotipni, odnosno neke fraze će se pojavljivati ​​mnogo češće od drugih.

U stvari, nema ništa loše u korištenju pravih odgovora, samo trebate mudro odabrati pitanje. Ako je pitanje nestandardno, a odgovor na njega znate samo vi i ne možete ga pogoditi nakon tri pokušaja, onda je sve u redu. Prednost istinitog odgovora je da ga nećete zaboraviti tokom vremena.

PIN

Lični identifikacioni broj (PIN) je jeftina brava koja je naša . Niko se ne trudi da stvori pouzdaniju kombinaciju od najmanje ove četiri cifre.

Sada prestani. Upravo sada. Upravo sada, bez čitanja sljedećeg pasusa, pokušajte pogoditi najpopularniji PIN kod. Spreman?

Nick Berry procjenjuje da 11% američke populacije koristi kombinaciju 1234 kao PIN kod (gdje ga je moguće promijeniti sami).

Hakeri ne obraćaju pažnju na PIN kodove jer bez fizičkog prisustva kartice šifra je beskorisna (ovo delimično može opravdati kratku dužinu koda).

Berry je uzeo liste lozinki koje su se pojavile nakon curenja informacija na mreži, a koje su bile kombinacije od četiri broja. Najvjerovatnije, osoba koja koristi lozinku 1967 ju je odabrala s razlogom. Drugi najpopularniji PIN je 1111, sa 6% ljudi koji preferiraju ovaj kod. Na trećem mjestu je 0000 (2%).

Pretpostavimo da osoba koja zna ove informacije ima nečiju informaciju u svojim rukama. Tri pokušaja prije blokiranja kartice. Jednostavna matematika vam omogućava da izračunate da ova osoba ima 19% šanse da pogodi PIN ako redom unese 1234, 1111 i 0000.

Vjerovatno je to razlog zašto velika većina banaka sama postavlja PIN kodove za izdate plastične kartice.

Međutim, mnogi štite pametne telefone PIN kodom, a ovdje vrijedi sljedeća ocjena popularnosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3535, 83, 86. 4321, 2001, 1010.

Često PIN predstavlja godinu (godinu rođenja ili istorijski datum).

Mnogi ljudi vole da prave PIN-ove u obliku ponavljajućih parova brojeva (a posebno su popularni parovi u kojima se prva i druga cifra razlikuju za jedan).

Numeričke tastature mobilnih uređaja prikazuju kombinacije poput 2580 na vrhu - da biste ga otkucali, samo napravite pravi prijelaz od vrha do dna u sredini.

U Koreji je broj 1004 u skladu s riječju "anđeo", što ovu kombinaciju čini prilično popularnom tamo.

Zaključak

1. Idite na random.org i kreirajte 5-10 lozinki kandidata.
2. Odaberite lozinku koju možete pretvoriti u nezaboravnu frazu.
3. Koristite ovu frazu da zapamtite svoju lozinku.

Zdravo, dragi moji čitaoci!

Uplašen “horor pričama” da zli hakeri mogu da provale lozinku bilo čega, jadni mali korisnik grozničavo počinje da prelistava sve svoje lozinke i pita se hoće li je provaliti ili ne...

Svojevremeno sam sebi postavio pitanje: kako napraviti jaku lozinku za sve svoje usluge za koje sam registrovan? Je li to uopće moguće?

Kako rade provalnici?

Prvo, razmislimo o tome kako se odvija proces hakovanja. Općenito, postoji nekoliko glavnih načina za napadača:

• pogledaj papir, na kojoj su ispisane sve lozinke. Iznenađujuće, mnogi korisnici i dalje drže naljepnicu zalijepljenu za svoj monitor, na kojoj je ispisana lozinka koju napadač tako cijeni. Kako kažu, bez komentara...
• brute force. Jednostavno rečeno, uobičajeno nabrajanje svih mogućih opcija. Kao što često vidimo u filmovima: poseban program pronalazi potrebnu lozinku brzinom munje (ili ne baš munjevitom). U stvarnosti, to je praktično nemoguće. Ako je lozinka otporna na kriptovalute, odnosno sastoji se od dovoljno velikog broja znakova i sadrži velika slova i brojeve, odabir može potrajati dosta vremena;
• dobijanje daljinskog pristupa na mašinu korisnika i pregled svih potrebnih informacija na njoj, uključujući kolačiće i posebne administrativne datoteke. Opet, filmske tehnike ovdje ne funkcionišu.
  Ostvarivanje punog pristupa određenom računaru nije tako lak zadatak i zahtijeva određeni pristup njegovom rješavanju. Ako vaši podaci nisu posebno vrijedni, malo je vjerovatno da će haker izgubiti svoje dragocjeno vrijeme na vašem računaru;
• keyloggers– presretači tastature. Posebno se često koriste za pristup informacijama o plaćanju. Na sreću, poznati Kaspersky antivirus ima virtuelnu tastaturu u svom arsenalu. Dakle, nemoguće je pratiti pritisak na tastere: jednostavno nema pritiskanja;
• virusi. Ovdje je savjet sljedeći: ne idite tamo gdje vam ne treba i ne preuzimajte ono što vam nije potrebno. A ako preuzmete, onda instalirajte dobar antivirus na svoj računar i vjerujte u njegovu moć;
• u vezi sa mobilnim platformama, tada najčešće koriste ili istu grubu silu ili metodu presretanja paketa preko šifriranih mrežnih kanala.

Nekoliko pravila za kreiranje jake lozinke

Dakle, nije sve tako loše. Ipak, skoro svako od nas se verovatno susreo sa činjenicom da je njegov nalog na VKontakteu ili na forumu „hakovan“, ili je čak Odnoklassniki oglasio alarm... Po pravilu, to se dešava zbog jednostavnosti same lozinke. Postoje posebni programi koji već "znaju" standardne skupove lozinki i generiraju njihove varijacije.

Možete, naravno, nasumično prelaziti prstima preko tastera, "generišući" lozinku. Nažalost, čak iu ovom slučaju algoritmi hakerskih programa odabiru sve moguće opcije, iako ne vrlo brzo.

Savjetujem vam da trajno napustite lozinke koje su ponavljanje vaše prijave. Srećom, mnogi servisi uopće ne dozvoljavaju korisniku postavljanje takve lozinke. Ali društvene mreže koriste ili broj mobilnog telefona ili adresu e-pošte kao prijavu. To napadaču znatno olakšava život.

I ne daj Bože od imena životinja, djece, roditelja i datuma rođenja! Takve lozinke mogu hakovati čak i ljudi iz bliskih krugova.

Prije nekog vremena koristio sam metodu koju sam lično izmislio. Tek kasnije sam saznao da nisam jedini tako pametan. Njegova suština leži u činjenici da je izmišljena neka fraza na ruskom. Na primjer, "Ova lozinka je jaka." A onda tastatura prelazi na latinični raspored i isto se unosi, ali bez razmaka. Ispada: “”njngfhjkmyflt;ysq”. Da li je ova metoda dobra? Ne baš. Pametni hakerski algoritmi su odavno svjesni ove metode.

Ali općenito postoje samo tri zahtjeva za lozinke:

1. više znakova. 8 – dobro, 12 – još bolje, 16 – odlično;
2. Obavezno koristite brojeve. Štaviše, i u sredini i na kraju lozinke;
3. izmjenjuju velika i obična slova. I potpuno isto - u sredini i na kraju.

Generatori lozinki

Isprobao sam i posebne usluge - i online i zasebne aplikacije. Last Pass, na primjer, ili evo još jednog: RandStuff, Password Generator i gomila usluga s jednostavnim nazivom "Generator lozinki".

Na prvi pogled, svi su zaista sposobni generirati nasumični skup znakova i brojeva. Ali ovo je samo na prvi pogled slučajno. Iskusni programer zna da ne postoji istinski slučajni generator; svi oni rade prema određenim algoritmima. Neću lagati da je to baš tako, ali sumnjam na dvije stvari:

• znajući algoritam pomoću kojeg se generiraju lozinke, hakerskom programu neće biti teško da prati ovaj algoritam u suprotnom smjeru;
• Neki od ovih programa i usluga, začudo, koriste se posebno za hakiranje. Generirana lozinka se pohranjuje negdje u keš memoriji ili u kolačić. I, možda, ide pravo do napadačevog automobila.

Stoga je potrebno koristiti samo provjerene programe sa odličnom reputacijom!

Sada je izbor na vama: koristite posebne programe ili sami smislite složene lozinke. Ali ni u kom slučaju ih ne čuvajte na papiru. Bolje kreirajte fajl i sačuvajte ga u oblaku. Inače, druge usluge takođe pružaju odličnu pohranu u oblaku.

Želite znati sve kompjuterske tajne? Kako bi bilo da naučite komunicirati s računarom na osnovu imena? U tom slučaju možete naručiti kurs multimedijalne obuke “ Kompjuterski genije“, tamo će sve biti objašnjeno na najpristupačnijem jeziku i – što je najvažnije – jasno će pokazati kako stečeno znanje primijeniti u praksi.

Obavezno podijelite link do ovog materijala sa svojim prijateljima putem društvenih mreža. mreže kako ne bi postali žrtve napadača. Ne zaboravite se pretplatiti na mailing listu ažuriranja bloga, koja će vas obavijestiti kada se uredi novi članak. Budite oprezni, vidimo se uskoro!

S poštovanjem! Abdulin Ruslan

Dobrodošli na blog stranicu! Odavno sam želeo da napišem članak o tome koja bi lozinka za nalog trebalo da bude da bi bilo veoma teško hakovati je. Ovaj članak će vas naučiti kako da kreirate složenu lozinku. Pogledat ćemo tehnike koje će pomoći ne samo da vaša lozinka bude sigurna, već i da vam neće biti teško zapamtiti.

Sada više ne možemo zamisliti svoj život bez interneta. Skoro svaki sajt zahteva registraciju. Najpopularniji resursi su društvene mreže. Svakog dana milioni korisnika se prijavljuju na svoje naloge. Rizikujemo da napravimo mnogo grešaka slanjem važnih podataka u porukama. Dobro je imati složenu lozinku za VK ili neku drugu popularnu društvenu mrežu, to pomaže da se zaštitite od uljeza.

Nekoliko metoda kompliciranja lozinke

Koja bi lozinka trebala biti? Ovo pitanje postavljaju stotine korisnika interneta. Razlikuju se sljedeće vrste lozinki:

• abecedno;
• simbolički;
• digitalno;
• kombinovano (kombinacija prethodnih opcija);
• korištenje registra.

Prve tri vrste ne ulijevaju povjerenje. Ovo su previše jednostavni načini za kreiranje lozinke. Zbog neiskustva pravimo greške i postavljamo ih. U redu, ovo će biti “lozinka” za nalog na forumu ili drugom sličnom mjestu. A, ako je ovo ulaz u poslovnicu banke, sav vaš novac će biti izgubljen. Spašava vas jedino to što je služba bezbednosti ovakvih sajtova razvila sistem za odbijanje lakih lozinki.

Slova, brojevi i simboli

Kombinacija slova, simbola i brojeva je najsigurniji tip lozinke. Morate se ozbiljno namučiti da biste to pogodili.

Iskusni "korisnici" savjetuju početnike da koriste ovu kombinaciju. Takođe, nemojte ga činiti prekratkim. Duga kombinacija će vam omogućiti da svoje podatke i prepisku zaštitite od trećih strana.

Glavna stvar je da ne koristite banalne fraze u nastavku:

• "123";
• "123456";
• "321";
• "qwerty";
• "asdfg".

Ovi i drugi slični skupovi znakova sa tastature garantuju hakovanje. Ne padaju vam na pamet samo vi, već stotine ljudi. Neće ih izračunati čak ni poseban program, već obično loše volje.

Kako odabrati lozinku za mail ili drugu vrstu autorizacije? Ovo pitanje vrijedi riješiti sami. Još nekoliko opcija za kompliciranje lozinke će pomoći.

Registrirajte se

Prije unosa korisničkog imena i lozinke, obratite pažnju na osjetljivost velikih i malih slova kod nekih obrazaca. Kombinovanje velikih i malih slova učinit će lozinku sigurnijom.

Kada pišete tajnu riječ, razmislite o njenoj raznolikosti. Izmjenjujte velika i mala slova jedno ili više. Ova metoda će ozbiljno uznemiriti online negativce.

Najviše smeta ako sami zaboravite narudžbu. Prema preporuci iskusnih korisnika, vrijedi napraviti prvi znak velikim, drugi malim slovima, a zatim naizmjenično jedan po jedan. Bolje je uzeti u obzir ovaj savjet kako se kasnije ne biste mučili.

Možete učiniti bez uvođenja značajki velikih i malih slova u „lozinku“, ali ovo je još jedna metoda za povećanje složenosti lozinke.

mjenjači

Datum rođenja koji će svaki korisnik zapamtiti je najbanalniji i najjednostavniji način. Ako je igrate ispravno, može se pokazati kao dobra opcija. Koristeći "preokret", mnogi su uspjeli stvoriti pobjedničku lozinku za koju je malo vjerovatno da će biti riješena.

Metoda se zasniva na pisanju znakova obrnutim redoslijedom. Odaberite bilo koji datum, na primjer, kada ste rođeni i otkucajte tekst unatrag. Ako imate na umu frazu "081978", onda kada je okrenete, dobićemo "879180". Prilično je lako zapamtiti kako napisati takvu lozinku.

Razmotrimo druge složenije ideje. Pretpostavimo da je lozinka bazirana na vašem imenu i prezimenu. Ukucavamo, već poznavajući tehniku ​​pomoću registra - “PeTrPeTrOv”. Sada primijenimo taktiku "promjene". Koristimo datum, na primjer, kada je korisnik rođen - 21. februar 1982. godine. Osim toga, svemu ćemo dodati simbole. Na kraju dobijamo sledeći primer lozinke - “PeTrPeTrOv!28912012”. Rezultat je bio zapanjujući, jer je za “korisnika” jednostavno i lako, ali ne i za napadače.

Provjerite snagu i sigurnost vaše lozinke koristeći online usluge:

• https://password.kaspersky.com/ru/
• https://howsecureismypassword.net/

Enkripcija

Koja bi lozinka trebala biti? Hajde da otkrijemo još jedan sjajan način. Pogledajmo princip šifriranja. Zapravo, sve metode o kojima smo ranije govorili imaju nešto zajedničko s ovim. Ovdje ćemo pokazati šta su lozinke šifriranjem fraza.

Uzimamo najbesmisleniji i jedinstven izraz koji će se lako zapamtiti. Neka budu "svemirski žohari". Možete koristiti bilo koje stihove iz pjesama i pjesama, po mogućnosti ne baš poznate.

Zatim primjenjujemo kod na našu frazu. Pogledajmo nekoliko sigurnih načina:

• prepisivanje ruske riječi na engleskom rasporedu;
• "Shifter";
• zamjena slova simbolima koji su slični po izgledu (na primjer, “o” - “()”, “i” - “!”, “a” - “@”);
• uklanjanje uparenih ili neuparenih znakova;
• ispuštanje suglasnika ili samoglasnika;
• dodavanje posebnih znakova i brojeva.

Dakle, razmislimo o nekoliko riječi sa značenjem - „svemirski žohari“. Uzimamo po 4 slova od svakog, dobijamo "komtaru". Prebacite se na engleski i ponovo upišite – “rjcvnfhf”. Mi to komplikujemo tako što šifru započnemo velikim slovom i dodamo simbole.

Ovakva bi lozinka trebala biti, koristeći primjer izvorno zamišljene fraze - “Rjcvnfhf@955”.

Izmišljena je pouzdana kombinacija s velikim brojem simbola. Jačina lozinke se provjerava pomoću posebnih usluga, na primjer, passwodmetr.com. Kombinaciju, kao što smo uspjeli, prevarantima nije bilo lako pogoditi, jer nisu uključeni lični podaci korisnika. Ali za "korisnika" takva "lozinka" je božji dar, jer zapamtiti tako pouzdanu lozinku neće biti teško.

Generator

Za one koji ne žele trošiti dodatno vrijeme na razmišljanje, programeri su odavno izmislili složene generatore lozinki. Ova metoda pruža određeni stepen pouzdanosti. Najboljima se i dalje smatraju "lozinke" koje je izmislio vlastiti um.

Šta je generator i kako ga koristiti? Ovo je pametan program koji prikazuje nasumične lozinke - potpuno nasumične kombinacije. On koristi mnoge od metoda o kojima se raspravlja, ali ne uzima u obzir „promete“.

Složeni generator lozinki se preuzima sa interneta. Na primjer, uzmimo "keeppas". Kao i svaki drugi generator, nije teško rukovati. Aplikacija i sama generacija se pokreću pritiskom na posebno dugme. Nakon što je operacija završena, PC izdaje opciju lozinke. Jedino što preostaje jeste da dobijenu kombinaciju unesete u nepromenjenom obliku ili sa dodacima.

Teške lozinke koje je stvorio gvozdeni prijatelj veoma je teško zapamtiti. Rijetko ko ih drži u glavi; češće ih mora zapisati. Obično ima puno lozinki, jer ne sjedimo na jednoj stranici i stalno se iznova registrujemo na drugim resursima. Stoga pohranjivanje gomile takvih informacija nije zgodno za svakoga. Možete potpuno izgubiti sve papire s bilješkama.

Postoji jedan izlaz sa pohranom - odštampajte ih u kompjuterskoj datoteci. Ovo je jedan od najpouzdanijih slučajeva. Samo treba da zapamtite da PC sistem ne traje večno i takođe postaje neupotrebljiv.

Sve metode za kreiranje složenih lozinki već su razmotrene gore, a možete kreirati lozinku e-pošte koja će pouzdano zaštititi vaše podatke od trećih strana.

Evo nekoliko korisnih savjeta za kreiranje lozinki:

• ne pominju lične podatke o korisniku (imena rođaka, imena kućnih ljubimaca, telefonski brojevi, adrese, datumi rođenja itd.);
• Ne možete koristiti ćirilično pismo u svojoj lozinki;
• nemojte koristiti fraze koje se lako mogu izračunati korištenjem rječnika popularnih lozinki (yaster, ljubav, alfa, samsung, mačka, mercedes i druge slične, kao i njihove druge izvedenice i kombinacije);
• uzmite u obzir dužinu znakova - po mogućnosti najmanje 10;
• komplicirati lozinku kombinacijom različitih metoda - velika i mala slova, brojevi, simboli;
• nemojte koristiti najčešće lozinke - šablone, razmišljajte originalno (robot koji izračunava vašu lozinku ne može biti pametan kao osoba).

Jedna od najvažnijih sigurnosnih briga u organizaciji su lozinke za važne korisničke naloge. Čak i ako pažljivo planirate i konfigurirate sigurnosne postavke grupne politike, uključujući postavke zaštitnog zida s naprednom bezbednošću, implementirate antivirusni softver i održavate sistem i antivirusni softver ažurnim, konfigurišete IPSec politike, implementirate servere za zaštitu pristupa mreži i ako vaši korisnici ne ako imate dovoljno jake lozinke, sigurnost cijele kompanije može biti ugrožena.

Naravno, možete i trebate koristiti Group Policy da ograničite kreiranje složenih lozinki, postavite interval za zaključavanje računa u slučaju pogrešnog unosa lozinke i postavite politike revizije za analizu neuspjelih pokušaja prijave. Ali čak i lozinke koje operativni sistem smatra složenim (odnosno, lozinka će premašiti određeni broj znakova, lozinka će sadržavati velika, mala slova i brojeve) mogu zapravo biti ranjive i lako ih je provaliti. Upravo ova faza osiguravanja sigurnosti vaše kompanije može vam biti najteža, jer ovdje vaše učešće igra samo osrednju ulogu, a svaki nemar vaših korisnika može imati kobne posljedice na infrastrukturu cijele kompanija. Drugim riječima, u ovom slučaju, morate pokušati natjerati svoje korisnike da kreiraju sigurne lozinke, zapamte ih, povremeno mijenjaju ove lozinke, a također i da te lozinke zadrže za sebe, što, zapravo, može biti mnogo teže od planiranja infrastrukturu organizacije, kao i postavljanje i održavanje servera sa odgovarajućim ulogama servera.

U ovom članku ću malo govoriti o razlozima zašto se koje lozinke ne mogu kreirati, kao io tome kako tačno trebate kreirati lozinke za svoje račune. Pogledajmo sve redom.

Metode razbijanja lozinki

Jedna od najčešćih metoda napada na bilo koju infrastrukturu je hakovanje lozinki korisnika koji su provjereni kako bi dobili pristup internoj mreži organizacije. Shodno tome, ako napadač dobije pristup korisničkom nalogu, imaće priliku da pristupi svim internim dokumentima kompanije i drugim zaštićenim informacijama. Pored korisničkih naloga za pristup internoj mreži organizacije, napadači često pokušavaju da hakuju naloge e-pošte, društvene mreže, blogove i druge stvari. Stoga korisnike treba upozoriti da ne mogu koristiti istu lozinku za sve svoje račune, a još manje jednostavnu lozinku.

U principu, postoji mnogo metoda za razbijanje lozinki, ali ovaj članak će ukratko govoriti samo o glavnim metodama koje su danas najčešće. Ove metode uključuju logičko pogađanje, nagađanje lozinke zasnovano na rječniku, grubu silu (ili brute force) i najozbiljniji metod - korištenje ljudskog faktora.

Logično pogađanje

Ova metoda je najjednostavnija i obično počinje logičnim pogađanjem lozinke. Na primjer, napadač bi mogao pokušati pogoditi lozinke vaših korisnika znajući ime i prezime vašeg korisnika i, recimo, godinu rođenja. Na primjer, ako korisnik kreira lozinku poput "Prezime + godina rođenja" ili prijavu navedenu obrnutim redoslijedom, ne morate previše brinuti, takva lozinka će biti hakovana za nekoliko minuta.

Pretraživanje lozinki pomoću rječnika

Budući da mnogi korisnici vole da koriste jednu riječ kao lozinku za bilo koji od svojih naloga, bilo da se radi o nazivu vulkana na Islandu ili o imenu svog omiljenog zeca i, najviše, da dodaju jednu cifru takvoj lozinki, napadači mogu hakirati takve lozinka koja koristi unaprijed odabrane lozinke, koje se učitavaju iz posebnih rječnika. Takvi rječnici obično uključuju riječi iz različitih jezika, koje mogu koristiti neiskusni ili ravnodušni korisnici. Pogađanje lozinke pomoću ove metode obično ne traje mnogo vremena, a napadač može dobiti pristup podacima vaših korisnika za samo nekoliko sati. A budući da na Internetu postoji mnogo sličnih rječnika, trebali biste odmah objasniti korisnicima da ne bi trebali koristiti takve lozinke, jer ne samo njihov račun na društvenoj mreži, već i cijela infrastruktura poduzeća može stradati.

Druga metoda povezana sa grubom silom iz rječnika naziva se brute force prema tablici heširanih lozinki. Ova metoda se koristi kada je napadač bio u mogućnosti da odredi hešove lozinke i sve što treba da uradi je da pronađe lozinku u bazi podataka koja će u potpunosti odgovarati ovom hešu.

Metoda grube sile

Metoda grube sile ili potpuna (direktna) pretraga razlikuje se od prethodne metode po tome što se pri odabiru lozinke ne koristi poseban rječnik prema kojem možete odabrati jednostavnu lozinku, već veliki broj mogućih kombinacija . U ovom slučaju, kao što razumijete, sve ovisi samo o složenosti lozinke i broju znakova. Mislim da su mnogi od vas vidjeli sljedeću tabelu, na osnovu koje možete grubo procijeniti složenost lozinki koje se kreiraju, s obzirom da će lozinke sadržavati samo slova istih velikih i malih slova sa brojevima, a brzina pretraživanja je 100.000 lozinki u sekundi:

Shodno tome, manje ili više jaka lozinka može se smatrati lozinkom čija će se dužina sastojati od najmanje osam znakova. Budući da je pri pisanju ovog članka glavni zadatak bio razmatranje metoda za kreiranje jakih lozinki, neće se razmatrati načini implementacije brute force pretraživanja lozinki.

Korišćenje ljudskih faktora

Unatoč činjenici da se pri korištenju ljudskog faktora ne koristi nikakva tehnologija, ova metoda se u većini slučajeva smatra najefikasnijom, a ponekad čak i najbržom, jer u ovom slučaju napadači nedozvoljenim metodom dobijaju lozinke od samih korisnika, a ovi drugi mogu cak ni ne sumnjam. Prije svega, korištenjem ovog načina dobijanja korisničkih lozinki, napadač obično sazna imena zaposlenih u organizaciji, koja u početku može znati ili pronaći na istoj, recimo, web stranici kompanije, a nakon toga, prema prethodnom promišljenom scenariju, napadač može dobiti gotovo sve podatke od korisnika. Postoji mnogo metoda za dobijanje korisničkih lozinki koristeći ljudski faktor. Pogledajmo ukratko glavne metode:

· Phishing. To je prilično uobičajen način dobivanja potrebnih informacija od korisnika. Sam izraz phishing dolazi od engleske riječi fishing, što se prevodi kao ribolov i vrsta je prevare čiji je glavni cilj pristup povjerljivim podacima korisnika. Sam napad se odvija na sljedeći način: korisnik u svoje sanduče dobije pismo, recimo, iz banke, gdje se od korisnika traži da, klikom na ponuđeni link, iz sigurnosnih razloga promijeni lozinku na stranici. Zapravo, takav link vodi do web stranice hakera sa stranicom koja je vrlo slična stranici banke i ako pokušate promijeniti lozinku, lozinka će biti poslana napadaču;

· Inficiranje računara trojanskim konjima. Kao što znate, trojanski konj je zlonamjerni program koji distribuiraju napadači, uz pomoć kojeg može dobiti pristup podacima, ovisno o tome koji zadatak je sebi postavio. Zauzvrat, korisničke lozinke nisu izuzetak;

· Qui about quo. Ova metoda dolazi od latinskog izraza qui pro quo (jedno umjesto drugog), što također znači nesporazum nastao zbog činjenice da se jedna osoba, stvar ili koncept zamijeni za drugu. U slučaju krađe lozinke, ova metoda uključuje napadače koji pozivaju kompaniju. Napadač se može predstavljati kao tehnički stručnjak i naučiti o ranjivostima koje mogu postojati u organizaciji i iskoristiti ih. Ili jednostavno saznajte korisničku lozinku preko telefona;

· Pretexting. Ova metoda je najlakša. Uglavnom, koristeći ovu metodu krađe lozinke, napadač može biti u određenoj mjeri čak i daleko od hakovanja, jer se u ovom slučaju izvode radnje koje se razrađuju prema unaprijed kompajliranom izgovoru ili, jednostavnije, script. Može početi komunicirati s korisnikom na nekoj web stranici, putem e-pošte, UIM messenger-a itd. Iz očiglednih razloga, ova metoda može potrajati mnogo duže od svih ranije spomenutih, ali je ipak tražena.

Najjednostavniji način krađe lozinke prikazan je na sljedećoj ilustraciji:

Kreiranje složenih lozinki

Najvjerovatnije ste svi vidjeli sljedeću sliku.

Ovdje je u prilično jednostavnom i duhovitom obliku prikazano koje lozinke se mogu kreirati i kako će vaši korisnici komunicirati s takvim lozinkama. Iskreno, možda se ne slažete sa metodom prikazanom na slici, jer se druga lozinka može hakirati brže od prve, iako će napadaču trebati neko vrijeme.

Prije svega, kao što sam rekao na početku članka, u svakom slučaju morate konfigurirati ograničenja za kreiranje složenih lozinki koristeći Group Policy, a takve politike ne bi trebale biti povezane s bilo kojim posebnim odjelom, već s cijelom domenom. Naravno, postavljanjem sigurnosnih politika spriječit ćete stvaranje lozinki poput "123456" ili "qwerty" koje korisnici toliko vole kreirati, da bi korisničke lozinke i dalje mogle biti osjetljive na hakere.

Na primjer, ako imate korisnika u vašem odjelu prodaje, Vladimira, koji je rođen 9. u mjesecu, njegova lozinka može biti nešto poput „Vladimir9“. Kao što možete vidjeti, ova lozinka ima devet znakova, što će najvjerovatnije premašiti dužinu lozinke koju su unaprijed postavile smjernice grupe. Osim toga, ova lozinka sadrži slova različitih velikih i malih slova (pa, nije dobro da svoje ime označavate malim slovom), a ova lozinka sadrži brojeve (u ovom slučaju rođendan korisnika). U skladu s tim, lozinka će zadovoljiti zahtjeve navedene u grupnim politikama, ali se može razbiti doslovno za nekoliko sekundi.

Trebali biste pokušati ohrabriti svoje korisnike da kreiraju složene lozinke za sve svoje račune, kreiraju različite lozinke za svaki račun i pohranjuju svoje lozinke u svoju memoriju. Poslednje dve tačke su najteže, pošto je većina korisnika navikla da ima jednu lozinku za svoj nalog u Active Directory-u, a takođe, dobro je, ako jeste, imati jednu lozinku za poštanske sandučiće, društvene mreže, trackcrea, forume i sl. on. Ako ste ipak natjerali svoje korisnike da kreiraju složenu lozinku, obratite pažnju na to da mnogi ljudi vole da je zapišu na komad papira i zalijepe na monitor, tastaturu itd., što je nedopustivo, jer je teško da to nazovem lozinkom.

Kako da kreirate sopstvenu lozinku

Poželjno je da korisnička lozinka ima najmanje 8 karaktera, te da lozinka sadrži latinična slova u različitim slučajevima u nasumičnom redoslijedu, da lozinka sadrži brojeve, te da postoje i posebni znakovi. Ako se kreira lozinka za nalog koji će se prijaviti na server, onda je preporučljivo kreirati lozinke koje će biti duže od 12 karaktera. U većini slučajeva, korisnici se rijetko zamaraju s izmišljanjem takvih lozinki. Stoga ćete umjesto toga morati smisliti lozinke, što je izuzetno nezgodno, jer... ako imate 20 korisnika, to će potrajati, ali možete se nositi s tim, ali ako imate više od 100 korisnika, onda će tako besmislen zadatak trajati cijeli dan. Ali i dalje ih je potrebno periodično mijenjati, jer... nijedna lozinka ne može biti savršena.

Stoga možete ili usmjeriti korisnike na stranice s generatorima lozinki, na primjer, na stranicu http://genpas.narod.ru ili na stranice sa sličnim funkcijama. Takvih stranica zapravo ima puno. Također možete napisati stranicu na svom internom web serveru koja će pružati istu funkcionalnost, što također neće oduzeti mnogo vremena, čak i ako nemate vještine web programiranja. I možete obavijestiti korisnike o prisutnosti takve stranice na web mjestu, recimo, koristeći službeni bilten. Shodno tome, vaši korisnici neće morati gubiti vrijeme na smišljanje složene lozinke, već će je samo morati zapamtiti.

Također možete provesti svoje korisnike kroz jednostavne skripte kako biste kreirali složenu, ali lako pamtljivu lozinku. Postoje stotine različitih zanimljivih scenarija koje možete smisliti. Pogledajmo nekoliko od ovih scenarija.

1. Uzmite dvije ruske riječi - glagol i imenicu. Na primjer, riječi "kuh" i "svijećnjak". Dodajte proizvoljan broj koji će biti podijeljen na dva dijela, na primjer, godinu rođenja vašeg omiljenog pisca, recimo, 1966., a također uzmite bilo koji poseban znak, na primjer, znak pitanja. Sada zapišite sve što ste ranije pronašli sljedećim redoslijedom: prva riječ sa velikim slovom, prva dva broja iz godine rođenja, upitnik, druga riječ s velikim slovom i zadnja dva broja. Trebalo bi izgledati otprilike ovako: "Cook19?Candlestick66." Sada otkucajmo primljenu lozinku na engleskoj tastaturi. Kao rezultat, vaš korisnik će imati sljedeću lozinku: " Ujnjdbnm19?Gjlcdtxybr66" Ova lozinka sadrži 23 znaka i nemoguće ju je pronaći metodom pretraživanja rječnika, a metodom grube sile napadaču će biti potrebno, blago rečeno, više od mjesec dana.

2. Uzmite bilo koju govornicu, na primjer, "U dubinama tundre, vidre u čamcima zabadaju zrna kedra u kante" i uzmite datum rođenja rođaka korisnika, recimo, 29. oktobar 1957. Sada zapišite svaku prvu slovo svake riječi na engleskom jeziku, a svako drugo slovo zapišite velikim slovima i između nekih riječi stavite jedan broj, a na kraju lozinke stavite uzvičnik. Trebalo bi izgledati ovako: " vN2tV9vG10tV19vY57k!" Opet, takvu lozinku će biti vrlo teško pogoditi.

3. Uzmite bilo koji red svoje omiljene pjesme, na primjer: „Nije uzalud cijela Rusija pamti Borodinov dan!“ i zapišite po dva slova iz svake riječi na engleskom rasporedu, a za svaku novu riječ naznačite slovo velikim slovima. Možete staviti svoj rođendan na kraj. Na primjer, u ovom slučaju to bi trebalo izgledati ovako: “ YtGjDcHjGhLt " dobio još jednu složenu lozinku.