Zdravo prijatelji! Danas ćemo razgovarati o takvoj arhivskoj temi kao što su prijave i lozinke. U doba potpune informatizacije, svako od nas ima mnogo računa, od prijavljivanja na računar/laptop/tablet/telefon, pa do bankovnih računa.
Većina renomiranih internet kompanija i usluga ima na svojim resursima kratke preporuke odabirom lozinke. Ali, u pravilu su previše površni, osim toga, mogu se naći samo u odjeljcima kao što su "FAQ", "Pomoć" itd. Odnosno, ne direktno u trenutku registracije. Dakle, predstaviću svoju viziju kako smisliti jaka lozinka .
Prvo, hajde da odmah odlučimo koje lozinke ćemo koristiti ZABRANJENO JE(ovo su uobičajene istine):
- lozinke, sa minimalnim brojem znakova, a još više, bez upotrebe posebnih znakova. Primjeri: 1234, fhj, 8855, 451326, kdjkdsj - ovi i slične lozinke vrlo brzo razbijene, posebno one koje se sastoje isključivo od brojeva, čak i ako ih ima mnogo, kao što je 265489418758. Sve su to vrlo slabe lozinke. Nakon čitanja ovog članka, shvatit ćete zašto.
- lozinke koje se sastoje od riječi iz rječnika, bilo koje riječi iz rječnika, bilo da je "narandžasta" ili "leukocitna" - nema velike razlike. Ovo se odnosi ne samo na ruske i engleske riječi, već i na sve riječi na bilo kojem jeziku;
- najpoznatije i najprimitivnije lozinke, na primjer, 123456, qwerty, ytsuken, 123456qwerty, admin, pass, lozinka, itd. Čudno, ali periodična istraživanja u ovoj oblasti pokazuju da mnogo ljudi koristi upravo takve lozinke;
- lozinke u kojima se slova zamjenjuju sličnim brojevima ili simbolima: O za 0, B za 8, S za 5 (ili znak dolara $) i druge. Najupečatljiviji primjer je pa$$w0rd
- lozinke koje sadrže sve informacije vezane za vaš identitet: datum rođenja, broj telefona, posljednje cifre kreditna kartica, omiljeni filmovi, loginovi, nadimci, prezimena ili imena (uključujući daleku rodbinu) i slično.
Ovo su primarna ograničenja. Pogledajmo sada glavne metode preuzimanja lozinki drugih ljudi. Istovremeno ćemo razumjeti zašto je nemoguće koristiti lozinke generirane gore navedenim metodama.
Preovlađujuće metode krađe lozinki i vjerodajnica mogu se podijeliti u nekoliko kategorija:
- jednostavno nabrajanje (aka brutalna sila). Kroz specijalni programi svi mogući znakovi (velika slova i mala slova, brojevi, specijalni znakovi) u kombinaciji "prijava - lozinka".
Ovi programi (brute-forceri) ukazuju neophodne uslove za nabrajanje: parametri za prijavu (ako su poznati, onda je zadatak uvelike olakšan), tj. naznačeno je koje znakove koristiti pri iteraciji, da li koristiti brojeve, Posebni simboli ([email protected]#$%^()_+?, itd.), koristite samo mala, samo velika ili oboje. Takođe, možete odrediti maksimalan broj znakova (i minimum). Slično, grubi uslovi se unose za lozinku.
Na osnovu svega ovoga postaje jasno zašto je nemoguće koristiti lozinke iz prve stavke liste "zabranjene". Što se tiče čisto digitalne lozinke, bez slova i simbola, objašnjenje je jednostavno. Samo se zapitajte: koliko je mogućih kombinacija lozinke sa svim brojevima od 8 znakova i kombinacija lozinke od 8 znakova sa najmanje par slova? Odgovor je očigledan. Moderne mašine, sa moćnim računarskim mogućnostima, u stanju su da podignu digitalna lozinka, koji se sastoji samo od brojeva u nekoliko minuta.
Osim toga, dužina lozinke je od velike važnosti! Na savremenih kompjutera lakše je pogoditi potpuno nezapamćenu lozinku od 10 znakova koja koristi cijeli niz znakova nego lozinku od 20 znakova koja se može lakše zapamtiti. To može biti, na primjer, kombinacija nekih nepovezanih riječi s namjernim izobličenjem / greškama / transliteracijom ili uopće ne riječi iz rječnika. Slažem se, lozinka je verblud_usaet_153_avtomata_za_noch! ("kamila koristi 153 mitraljeza po noći!") dovoljno lak za pamćenje, a opet je vrlo stabilan: ima 35 znakova, uključujući brojeve i posebne znakove. Možete dodati i velika slova =) Takva lozinka je mnogo jača od nezaboravne abrakadabre od 8-10 znakova. I preporučuje se da je koristite, na primjer, kao glavnu lozinku za upravitelja lozinki.
- sortiranje kroz rječnike. U brute-forcer se učitavaju rječnici jednog ili drugog jezika. U Rusiji su to obično engleski i ruski. Štaviše, u velikoj većini lozinki je upravo tako Engleska slova i riječi (tačnije, latinice). Ćirilica se ređe koristi i zato što neki servisi dozvoljavaju da se kao lozinka koristi samo latinica, brojevi i simboli. Ili, što se češće dešava, to su posebni rječnici koji se sastoje od lozinki ukradenih odnekud (u takvim bazama podataka može biti nekoliko miliona lozinki, pa čak i desetine i )
Hakiranje ovim metodom se implementira otprilike ovako: učitava se rečnik (ili rečnici), prvo se pokreće u brute-forceru, da tako kažemo, "čist". Ako nema rezultata, onda se koristi "maska" - tj. Pored direktnih instrukcija programu da koristi preuzete rečnike, naznačeni su i kriterijumi kao što su broj korišćenih cifara, simbola i gde treba ubaciti (na kraju reči, na početku). Na primjer, lozinka kao što je architect2013 će se pogoditi u minimalnom vremenu. Slično, 2013architect. Ali ako je lozinka ar2ch0it1ec3t, onda će biti nerealno brutirati je "prema rječniku". Kreker će morati da pribegne prvoj metodi (pretraga grubom silom).
- metod socijalnog inženjeringa. socijalni inženjering(u okviru ovog članka nazvat ću ga SI) posljednjih godina je ludo popularan među hakerima, karderima, internet prevarantima, i naravno, među našim hrabrim obavještajnim službama =) A motor SI su društvene mreže i masa Internetizacija.
Jedna od metoda suprotstavljanja SI u kontekstu ove teme je samo posljednja stavka na listi „zabranjenih“. Ali SI, kao nauka (a ja je zaista smatram naukom i umetnošću) je daleko od toga da ima za cilj pronalaženje lozinki. Tačnije, krajnji cilj je, po pravilu, samo "login - password" snop, ali takve informacije se dobijaju vrlo suptilno, elegantno i na prvi pogled neprimetne za "žrtvu". A krajnji rezultat svih ovih manipulacija je ili krađa Vaših sredstava sa bankovnih računa ili internet novčanika, ili kompromis i naknadna ucjena, u svrhu materijalne koristi (otkupnine) ili kako bi Vas natjerali na određene, i, kao pravilo, nezakonite radnje. One. cilj je "staviti na udicu".
Možete povući neku analogiju sa takozvanim "ciganima", vidovnjacima, sektašima - zavedeni ste i nokautirani potrebne informacije(ili tražiti određene radnje od vas), a šta je glavno oružje za takve pojedince, i offline i online? Pokušaj pogoditi! =) A odgovor je jednostavan, sjetite se velikih poslovica i izreka "Moj jezik je moj neprijatelj" ili "Brbljivica je božji dar za špijuna". Jeste li shvatili suštinu? I često se dešava da uskoro ne shvatite odakle dolazi curenje, odakle dolazi taj uticaj, ili možda uopšte ne razumete.
Ako vas zanima umjetnost SI, proguglajte ovo pitanje i naučite puno zanimljivih stvari.
- programska metoda. Ovdje je, s jedne strane, sve lako razumjeti - to su trojanci, keyloggeri, skripte, špijuni, rootkiti i drugi zlonamjerni objekti (radi lakšeg razumijevanja, figurativno ćemo ih označiti kao "virusi"). S druge strane, teško je – u smislu praktične implementacije zaštite od svih ovih infekcija.
Većina prosječnih korisnika to otkrije instaliranjem dobar antivirus(čak i da je najbolji prema raznim nezavisnim testovima), apsolutno su zaštićeni od bilo kakvih prijetnji. Čudno, ovo je zabluda. U ovom članku nećemo analizirati ovo pitanje, jer ćemo ga iznova i iznova spominjati na stranicama ovog bloga - to je, uostalom, jedan od glavnih ciljeva i pravaca bloga.
- hardverska metoda. Ova metoda se primjenjuje samo u direktnom kontaktu sa "žrtvom", a što je čudno, agresor je vjerovatno osoba koja vam je bliska ili poznata. Metoda je relevantna, prije svega, za desktop računare.
Zasniva se na "instaliranju" na računar nekog tehničkog uređaja - hardverskog keyloggera. Po pravilu se radi o malom "uređaju" koji se uvlači u utor za tastaturu. sistemski blok, a žica iz "klave" se ubacuje u sam ovaj uređaj. Ispada nešto poput adaptera. I ovaj “adapter” bilježi sve pritiske tipki na tastaturi (kao običan fleš disk), i ne, apsolutno ne, antivirus to može fizički primijetiti, jer je “presretač” hardver, a ne softver.
Sofisticiranije opcije se također mogu pripisati hardverskim metodama, ali to je bliže špijunskoj maniji i specijalnim uslugama. Unatoč tome, članci o takvim tehnikama bi mogli biti objavljeni u budućnosti. Da tako kažem, za paranoične. Čak sam i sada mislio da ću možda napraviti takvu rubriku "Specijalno za paranoike" =)
Sada kada znamo s koje strane se može izvršiti napad i znamo koje se lozinke smatraju slabim, vrijeme je da pređemo na preporuke za odabir lozinke i kako ih pohraniti i opšta pravila sigurnost.
Za početak razbijte sve svoje lozinke u uslovne grupe, prema njihovoj važnosti. Na primjer, najvažnije su lozinke za internet bankarstvo, elektronski novčanici, glavna e-pošta, serveri, kućni ruteri (ruteri, pristupne tačke), nalozi i, naravno, sa vaših sajtova i blogova.
Od srednjeg značaja su lozinke za naloge na društvenim mrežama, e-mail, ali ne i za onu za koju ste se registrovali u servisima o kojima se piše u grupi najvažnijih lozinki. One. ako smatramo da je šifra klijent-banke važna, onda bi i lozinka za e-mail koji ste naveli prilikom registracije u ovom servisu takođe trebala biti veoma složena. U ovu grupu uključujem i lozinku administratora računara.
Pa, treća grupa su najmanje važne usluge. kao primjer: Email za koje koristite razne pretplate, nalozi na sajtovima koji ne predstavljaju ništa vrijedno (gdje se registrujete, recimo, samo da ostavite komentar) itd.
Nakon što su lozinke podijeljene u grupe, hajde da razgovaramo o tome koja bi lozinka trebala biti za svaku od njih.
Prva grupa
- preporučeni broj karaktera je od 20 do 50. Duži - nema puno smisla, ali ako servis dozvoljava bilo koju dužinu lozinke i vi ste paranoični, onda idite na to =);
- korišteni simboli - velika i mala slova, brojevi, specijalni znakovi; preporučljivo je da prilikom generisanja takve lozinke koristite i ćirilično i latinično pismo, ako je korišćenje ćirilice dozvoljeno od strane servisa na koji se registrujete. Mnogi generatori lozinki koriste samo latinično pismo, pa nakon što generirate lozinku, ručno dodajte neke ćirilične znakove.
- za svaki račun u ovoj grupi morate imati poseban i najjača lozinka.
Druga grupa
- broj znakova ~ od 15 do 20;
- simboli koji se koriste su slični prethodnoj grupi;
- za svaki "račun" lozinka također mora biti odvojena.
Treća grupa
- dozvoljene su lozinke od 8 znakova ili više;
- znakovi interpunkcije i specijalni znakovi mogu se izostaviti;
- lozinka se može učiniti čitljivom i lako pamtljivom;
- dozvoljeno je korištenje jedne lozinke za različite stranice, kako se ne bi kupali u pamćenju, jer takvi nalozi, kao što smo već razmotrili, za vas nemaju nikakvu vrijednost.
Za treću grupu možete napraviti nešto poput ove lozinke: UsymBada23* - ovu lozinku je lako zapamtiti, ali nije tako lako provaliti i malo je vjerovatno da će je neko pokušati provaliti. A pamti se ovako: prvi dio je razumljiv, lako se čita i pamti (kao "kod simbada"), prvo slovo je veliko, drugi dio (ili slog) također počinje velikim slovom. Ali na kraju samo stavite, na primjer, neki broj i jedan poseban znak (in ovaj primjer ispada: "Cimbad ima 23 zvjezdice"). Takve razne opcije možete misliti na mnogo.
I u završnom dijelu članka raspravljat ćemo o općim preporukama:
- nemojte koristiti istu kombinaciju "login-password" za različite usluge; i prijava i propusnica moraju biti jedinstveni;
- prilikom upisivanja lozinke u specijal važne usluge(Internet bankarstvo), pokušajte koristiti virtuelnu tastaturu;
- nikada ne pohranjujte lozinke u normalnom tekstualni fajl na računaru, ili Word fajl, čak i ako je zaštićen lozinkom;
- koristiti specijalizovani softver- menadžeri lozinki. Preporučujem i. , po mom mišljenju, najbolji menadžer lozinke;
- nemojte koristiti funkciju "Sačuvaj lozinku" ili "Zapamti me" u pretraživačima;
- nakon što radite s bilo kojom uslugom (, vkontakte, itd.) prije zatvaranja pretraživača, koristite funkciju "Izlaz".
O vrlo općenito prihvaćenim pravilima, kao što je korištenje svježe verzije softvera, korištenje antivirusa i uz redovno ažuriranje baze podataka, nadam se da nije vrijedno pomena =)
Na kraju članka, predlažem vam mali lep bonus- dobro online generator lozinke. Njegovom glavnom prednošću može se smatrati mogućnost korištenja entropije pri generiranju lozinke. To znači da će lozinka biti generirana ne samo nasumičnim odabirom znakova, već će ovisiti o vašim radnjama - pritiskom na tipke i pokretima miša. Pa, sve funkcije dobar generator prisutni su, naravno: možete isključiti slične znakove (S i 5, O i 0, itd.), odrediti raspon znakova, itd.
Napišite komentare o tome što mislite o ovom članku. Možda imate neke svoje suptilnosti i trikove po ovom pitanju? Možda sam nešto zaboravio da dodam? Pisati.
OZNAKE
33 Komentari → Kako odabrati lozinku. Vodič za zaštitu lozinkom
- Web Cat
Aleksandre, zdravo! Uvukao sam cijeli članak u svoj evernote, pažljivo ću ga pročitati i odmah iskoristiti, jer u sigurnosnom smislu potpuna nula, a lozinku "12345" smatram najboljom - sigurno je neću zaboraviti.
Općenito, mislim da ako ne skliznete na pop pseudo SEO blog, onda je uspjeh zagarantovan! U svakom slučaju, nisam vidio detaljniji i strukturiraniji članak na ovu temu, iako sam povremeno pokušavao da počistim svoj nered sa lozinkama.
Pretplaćujem se nedvosmisleno, i to ne kao gest odgovora, već zato što osjećam da ću sa vašeg bloga dobiti puno korisnih informacija! (Je li u redu što sam se tako neočekivano prebacio na "ti"?)
Inače, da nisam znao koji šablon ste instalirali, nikada ne bih pogodio. Ispalo je jako lijepo!
Generalno, sretno vam! Obavezno ću pogledati! - Web Cat
Ne, komentar je prošao, samo je trebalo ponovo učitati stranicu!
- Alexander Mayer
Zdravo Larisa! Dobro je vidjeti te. Prvi komentar je iz nekog razloga označen kao neželjena pošta. Hvala na lijepim riječima i uputama. Takođe mislim da je loša ideja kliziti na temu "kako zaraditi milione" :) Pokušaću da se fokusiram na tehničku stranu problema, kao i na WP-teme i bezbednost uopšte. Ima puno materijala u mojoj glavi, samo treba sve staviti na police i objaviti koliko god možete (trebalo mi je više od jednog dana da napišem ovaj članak, ne čisto vrijeme, naravno, već od onog trenutka kada sam počeo da ga pišem do objavljivanja). Što se tiče teme lozinki, planiram da napišem još par članaka u bliskoj budućnosti, sa osvrtom na one menadžere lozinki koje sam spomenuo u članku, i o nekim drugim stvarima. Mislim da će biti zanimljivo :) I ubuduće neće biti nereda sa lozinkama =) Dakle, kako kažu, dobrodošli!
Ako imate bilo kakvih pitanja, slobodno pošaljite email. Pa, ili ovdje na blogu, ako je u okviru određenog članka.
- Ogri
Zdravo Alexander! Hvala na informacijama, dugo sam htio ovo razumjeti, ali sve ruke nisu stigle. Svi su mislili da bi mojih pet petica kao šifru za admin panel mogao ostati na neko vrijeme - ko me zanima dok ne napredujem? Nakon što sam proveo ceo dan radeći na podizanju dva hakovana sajta odjednom, shvatio sam da je to zanimljivo. Prešao sam od potpune ravnodušnosti do paranoje: sada su avminki zatvoreni sa lozinkama od 30 znakova generiranih na stranici koju ste spomenuli. Nisam bio previše lijen da stvorim entropiju u potpunosti. Generalno, imao sam zabavan dan - ili sam se dopisivao sa službom za podršku hostinga, zatim sam klikao i klikao mišem i spontano pritiskao dugmad, osiguravajući generisanje najstohastičnije lozinke. Radio sam gomilu drugih stvari u isto vrijeme kako bih osigurao maksimalnu sigurnost; Inače, za dan-dva planiram članak na ovu temu, dok mi je svježe sjećanje. A sada ću generisati sve svoje lozinke preko te stranice. Pošto je njihovo pamćenje nerealno, oni će biti pohranjeni u KeePass-u, koji sam prenio u glavni upravitelj lozinki zahvaljujući vaša tri članka o tome. Za njih - posebna hvala.
A sada ću da te trolam, kao što sam obećao. Upoznaj Nataliju. - Ogri
Katalizatori su bili zli hakeri, ne laskajte sebi. Naprotiv, mogli ste da pomognete. Odavno me zanima ova tema, pročitaću vas.
- Tatyana
Hvala ti. Veoma korisne informacije. Prestao sam živjeti po principu: dok ne zagrmi - čovjek se ne prekrsti, mijenjam lozinke u pouzdanije.)))
- Martha
Ne sjećam se da sam bio odmah zadovoljan u mnogim stvarima vezanim za temu špijunske manije, sve do trenutka kada sam naišao na vaše članke. Vješto razumljivo, zanimljivo, nenametljivo.
Nizak vam naklon! Hvala što brinete o nama web paranoicima :) - Eugene
dobar post. Ali ne kompletan. Zaboravio sam na grafičke lozinke.
- Alexander Mayer
Nije tajna da većina ljudi koristi lozinke koje se ne mogu hakovati. Ovo su lozinke za rječnik koje se sastoje od najčešće korištenih riječi ili fraza. Ovo su legendarne kombinacije tastature qwerty, 12345, asdfg i druge. Ovo su uobičajene ruske riječi unesene u drugačijem rasporedu (na primjer, lozinka = gfhjkm, itd.).
U većoj meri, snaga lozinke ne zavisi od njene složenosti, već od sistema autorizacije. Drugim riječima, lozinka zaika88 je sigurnija od [email protected]!kABB, ako u drugom slučaju imamo mogućnost slobodnog nabrajanja lozinki, au prvom slučaju dobijemo kašnjenje između pokušaja unosa, proporcionalno broju neuspjeli pokušaji. Ali lozinku zaika88 je mnogo lakše pogoditi nego [email protected]!kABB pri jednakim brzinama podizanja.
Apple ID zahtijeva (potreban prije nekoliko godina sigurno) da kreirate lozinku obavezna upotreba m specijalnih znakova, prisustvo brojeva i velikih slova. Počeo sam razmišljati o složenosti lozinki koje se koriste u AppleID-u.
- Najverovatnije će se veliko slovo koristiti na samom početku lozinke. Malo je vjerovatno da će se koristiti bilo gdje drugdje (osim 8 = B). Navikli smo da nove rečenice pišemo velikim slovom, pa ako se od nas zatraži da kreiramo lozinku sa barem jednim velikim slovom, stavićemo je na sam početak.
- Poseban karakter će, u nedostatku alternativa, najvjerovatnije biti dodat na samom kraju lozinke. Ali obično se neka slova zamjenjuju posebnim znakovima: i = !, a = @, s = $. Znakovi se sada koriste drugačije, ali su sama slova vizualno slična. Da, i algoritam zamjene je sasvim razumljiv, tako da ne odlaže mnogo proces hakovanja.
- Obavezni brojevi u većini slučajeva će zamijeniti slična slova: o = 0, b = 8, t = 7, 1 = i, 9 = g. Opet ista vizuelna "sličnost" znakova. Brojevi se mogu dodati na kraju riječi, ali ovo je samo vrtić.
- Najvjerovatnije će takvi zahtjevi za lozinkom (a Apple stalno govori šta još treba dodati lozinki) dovesti do činjenice da će korisnik šifrirati slične metode najočiglednije reči.
Koja je zapravo razlika između Barcelone i [email protected] Razlika je u tome što drugu lozinku prihvata Apple servis, jer ispunjava sve "zahtjeve" za složenost lozinke. Ali, ipak, to je i dalje ista riječ iz rječnika. A takvo "namještanje" je najbolje izbjegavati.
Naslov slike glasi: "Složene lozinke moraju imati najmanje osam znakova i sadržavati velika i mala slova, brojeve i posebne znakove." A od svih redova koji se ponavljaju, donji se ne razlikuje mnogo od originala. Šifriranje riječi na ovaj način danas se definitivno ne isplati.
Vrijedilo je to učiniti u BBS eri, kada su kompjuteri bili veliki, a brzine prenosa podataka male. Inače, upravo ova "zamjena" se zove "leet", Wikipedia ima detaljan članak, ali možete samo pročitati listu riječi. Danas, kada je povećana snaga računara i brzina prenosa podataka stotine puta(i ne šalim se), takve "složene lozinke" se otvaraju jednom ili dvaput. garantuj!
Svaki korisnik koji komunicira na forumima i na društvenim mrežama, kupuje na webu, s vremenom se mora suočiti s problemom pamćenja lozinki, jer se u jednom trenutku nakupi toliko računa da se ne može bez olovke i notesa.
Lozinke mogu biti dugačke ili kratke, jednostavne ili složene. Svako je slobodan da izabere šta mu se sviđa, međutim, sigurnost ličnih i radnih podataka (što može biti veoma skupo) može zavisiti od skupa karaktera ili jednostavne reči. Uostalom, što je lozinka jednostavnija i kraća, to brže napadači mogu zauzeti jednu ili drugu račun.
Nedavno je Errata Security sprovela zanimljivu analitičku studiju, koja je analizirala pristup korisnika izboru lozinki. Prikupljanje podataka obavljeno je u Sjedinjenim Državama. Kako se pokazalo, 16% korisnika radije upisuje svoje ime ili imena bliskih ljudi u red za unos lozinke. 14% vlasnika online naloga rješava problem odabira lozinke korištenjem digitalni blok tastature ("1234", "12345678"), dok neke koriste slova umjesto brojeva ("QWERTY").
Zanimljivo je da 5% svih ukradenih lozinki čine imena zvijezda šou biznisa, TV emisija i filmskih likova. Na primjer, to su "Pokemon", "Matrix" (Matrix), "Ironman" (Iron Man). Zauzvrat, neki korisnici radije unose riječ "Lozinka" ("password1", "password") u nizu lozinke.
Uprkos bogatstvu maternji jezik i prisustvom sopstvene mašte, mnogi izražavaju svoja osećanja kroz lozinke: "Nije me briga" (Nije me briga), "Da" (Da), "Ne" (Ne), "Volim te" (Volim te ti) "Ihateyou" (mrzim te).
Arsenij Gerasimenko
PRAVILA GENERACIJE LOZINKE
Moje lično iskustvo pokazuje da da, zaista, mnogi korisnici preferiraju jednostavne lozinke - poput "12345". Lozinka takve virtuozne složenosti kao što je "1y2ts3y" odmah me navodi da posumnjam da korisnik sebe smatra "naprednim" :) Ipak, treba imati na umu da zaista sigurnu lozinku je kombinacija slova različitih velikih i malih slova, brojeva i specijalnih znakova, a dužina lozinke ne smije biti manja od 8 znakova. Na primjer, lozinka " [email protected]" - biće sigurno, "IvanPetrovich69!" - takođe, ali "lisa1111" će biti mnogo lakše upariti.
Pravila dobre lozinke:
- dugačak (8-12-15 znakova)
- sadrži i velika i mala latinična slova
- sadrži brojeve
- nije pronađeno u rječniku, ovo nije ime i nije ruska riječ (ckjdj) upisana u latiničnom rasporedu
- nije povezan sa vlasnikom
- periodično ili po potrebi
- nije omiljeno - različite lozinke za različite ulaze
- moguće je zapamtiti
- kratak (manje od 8 karaktera)
- sve u jednom registru (svi VELI su loši, kao i svi mali)
- ne sadrži brojeve
- pronađeno u rječniku ili ovo ime ili ruska riječ (ckjdj) upisana u latiničnom rasporedu
- na bilo koji način u vezi sa vlasnikom
- se ni pod kojim okolnostima ne mijenja tokom godina
- može se voljeti - jedna lozinka za sve
- nemoguće je zaboraviti
PRAVILA ČUVANJA LOZINKE
Savršeno mjesto za pohranu vaše lozinke je u vašoj glavi. Vaša aktovka je možda ukradena mobilni telefon, notebook, komad papira / floppy disk / fleš disk sa lozinkom, ali vašu memoriju je mnogo teže ukrasti. Dakle, kad god je to moguće, lozinke treba da budu pamtljive i pohranjene u vašoj memoriji.
Ako sumnjate da je vaša lozinka otkrivena, promijenite je ODMAH.
MALO STATISTIČKIH INFORMACIJA
| abeceda | 6 karaktera | 8 karaktera | 10 karaktera | 12 karaktera |
|---|---|---|---|---|
| 26 (latinica sve male ili sve velike) | 31 sek | 5 sati i 50 minuta | 163,5 dana | 303 godine |
| 52 (latinica s promjenjivim velikim slovima) | 33 min | 62 dana | 458 godina | 1.239.463 godine |
| 62 (mješovita latinična slova plus brojevi) | 95 min | 252 dana 17 sati | 2,661 godina | 10,230,425 godina |
| 68 (mješovita latinična slova plus brojevi plus znaci interpunkcije.,;:!?) | 2 sata 45 minuta | 529 dana | 6703 godine | 30,995,621 godina |
i u zaključku (luke i nix administratori ne moraju čitati):
10 mitova o Windows lozinkama
Uprkos svim napretcima u sigurnosnoj tehnologiji, jedan aspekt ostaje isti: lozinke i dalje igraju centralnu ulogu u sigurnosti sistema.Problem je u tome što prečesto mogu poslužiti kao najjednostavniji mehanizam za probijanje. Iako postoje tehnologije i politike koje lozinke čine sigurnijim, ljudska greška se i dalje mora prevazići. Nije tajna da korisnici često koriste imena prijatelja, imena životinja itd. kao lozinke.
Glavni zadatak je osigurati da korisnici kreiraju jake lozinke. Međutim, nije uvijek jasno kako to postići. Problem je što su naše akcije previše predvidljive. Na primjer, na listi nasumične reči, izmislio obicna osoba, neki opći obrazac će se sigurno pojaviti. Odabir jakih lozinki zahtijeva odgovarajuću obuku. Administratori sistema bi trebali proširiti ovo znanje na krajnjim korisnicima. Možda će vam ovaj članak pomoći da shvatite upotrebu lozinki u Windowsima 2000 i XP
Mit #1: hešovi lozinke su prilično jaki kada se koristi NTLMv2
Mnogi čitaoci su dobro svjesni slabosti LanManager (LM) hešova lozinki koje su učinile L0phtcrack tako popularnim. NTLM čini hasheve nešto stabilnijim korištenjem dužeg hash-a i razlikovanjem između velikih i malih znakova. NTLMv2 je napredniji, izračunava 128-bitni ključ i koristi odvojene ključeve za integritet i povjerljivost. Osim toga, koristi HMAC-MD5 algoritam za veći integritet. Međutim, Windows 2000 i dalje često šalje LM i NTLM hešove preko mreže, a NTLMv2 je ranjiv na napade u tranzitu (također poznat kao replay). A pošto su LM i NTLM hešovi lozinke još uvijek pohranjeni u registru, također ste ranjivi na SAM napade.
Proći će još neko vrijeme prije nego što se konačno oslobodimo ograničenja LanManagera. Do tada, ne očekujte da će hešovi lozinke biti pouzdani.
Mit #2. Dj#wP3M$c - najbolja lozinka
To je široko prihvaćen mit nasumične lozinke, dobiven pomoću generatora lozinki - najbolji. Ovo nije sasvim tačno. Iako mogu biti jako jake, ove lozinke se obično teško pamte, sporo se kucaju i ponekad su ranjive na napade na algoritam za generiranje lozinki. Lako je kreirati lozinke koje su otporne na hakiranje, ali je teže učiniti takve lozinke nezaboravnim. Za to postoji nekoliko jednostavni trikovi. Na primjer, uzmite u obzir lozinku " [email protected] Ova adresa el. pošte je zaštićena od spambotova. Morate imati omogućen Java-script u vašem pretraživaču da biste ga pregledali." Ova lozinka koristi velika i mala slova, dva broja i dva simbola. Lozinka je duga 20 karaktera, ali se može zapamtiti uz minimalan trud, možda ste već Štaviše, ova lozinka se vrlo brzo upisuje. Dio "Makeit20" izmjenjuje tipke lijevo i desno na tastaturi, što ubrzava kucanje, smanjuje broj grešaka u kucanju i smanjuje mogućnost da će neko moći špijunirati vašu lozinku gledanje pokretima prstiju (liste su odavno kreirane engleske riječi, naizmjenične tipke za desnu i lijevu ruku, koje je zgodno koristiti kao dio vaše lozinke.
Najbolja tehnika za kreiranje složenih, ali lako pamtljivih lozinki je korištenje struktura koje smo navikli pamtiti. Takve strukture takođe jednostavno uključivanje znakovi interpunkcije u lozinki, kao u primjeru e-mail adrese korišteno iznad. Druge strukture koje je lako zapamtiti su brojevi telefona, adrese, imena, putanje datoteka itd. Obratite pažnju na neke elemente koji nam omogućavaju da ga lakše pamtimo. Na primjer, uključivanje obrazaca, ponavljanja, rime, humora, pa čak i grubosti (uključujući psovke) stvara lozinke koje nikada nećemo zaboraviti.
Mit #3. 14 karaktera je optimalna dužina lozinke
U LM-u, hešovi lozinki su podijeljeni u dva heša od 7 znakova. Ovo zapravo čini lozinke ranjivijim, budući da se napad grubom silom može primijeniti na svaku polovinu lozinke u isto vrijeme. To jest, lozinke od 9 znakova podijeljene su na jedan heš od 7 znakova i jedan heš od 2 znaka. Očigledno, razbijanje heš-a od 2 karaktera neće dugo trajati, a dio od 7 znakova obično se razbije za nekoliko sati. Često kratak komad može olakšati pucanje dugog komada. Zbog toga su mnogi profesionalci za sigurnost pronašli da je optimalna dužina lozinke 7 ili 14 znakova, što odgovara dva heša od 7 znakova. NTLM je donekle poboljšao stvari koristeći svih 14 znakova za pohranjivanje heševa lozinki. Iako ovo čini život lakšim, NT okvir za dijalog ograničava lozinku na najviše 14 znakova; definišući lozinke od tačno 14 znakova kao optimalne za sigurnost.
Ali u novijim je sve drugačije Windows verzije. Lozinke u Windows 2000 i XP mogu biti dugačke do 127 znakova, tako da 14 znakova više nije ograničenje. Štaviše, jedna mala okolnost koju je otkrio Urity na SecurityFriday.com je da ako je lozinka duga 15 znakova ili više, Windows čak ni ne skladišti LanMan heševe ispravno. Ako vaša lozinka ima 15 znakova ili više, Windows pohranjuje konstantu AAD3B435B51404EEAAD3B435B51404EE kao LM heš, što je ekvivalentno nultoj lozinki. A pošto vaša lozinka očigledno nije null, pokušaji da se probije ovaj hash neće voditi nikuda.
Imajući to na umu, korištenje lozinki dužih od 14 znakova može biti dobar savjet. Ali ako ga želite učiniti obaveznim za korištenje duge lozinke, koristeći grupnu politiku ili sigurnosne šablone, naići ćete na poteškoće - ništa vam neće dati priliku da postavite minimalnu dužinu lozinke veću od 14 znakova.
Mit #4. J0hn99 - Dobra lozinka
Iako lozinka "J0hn99" ispunjava zahtjeve za složenost Windows 2000, ona nije tako složena kao što se na prvi pogled čini. Mnogi krekeri lozinki isprobavaju milione varijacija riječi u sekundi. Zamjena slova "o" brojem "0" i dodavanje par brojeva je glupost za takve programe. Neki krekeri čak testiraju skup metoda koje obično koriste korisnici, omogućavajući im da pogode čak i prilično duge i naizgled uspješne lozinke.
Najbolji pristup je biti manje predvidljiv. Umjesto zamjene "o" sa "0", pokušajte zamijeniti "o" sa dva znaka "()", kao u "j()hn". I, naravno, produžavanjem lozinke povećavate njenu snagu.
Mit #5. Bilo koja lozinka može biti probijena prije ili kasnije.
Iako se svaka lozinka može otkriti na nekoliko načina (na primjer, putem " keylogger ili društveni inženjering), međutim, postoje načini za kreiranje lozinki koje se ne mogu razbiti u razumnom vremenskom periodu. Ako je lozinka dovoljno duga, trebat će joj toliko dugo da se razbije ili će zahtijevati toliko procesorske snage da je u suštini isto kao da je neprobojna (barem za većinu hakera) Naravno, na kraju, svaka lozinka može biti probijena, ali ovaj događaj se možda neće desiti tokom našeg života, pa čak ni tokom našeg života naših praunuka. osim ako, naravno, vladine agencije ne pokušavaju otkriti vašu lozinku, tada bi njegove šanse mogle biti vrlo velike. kompjuterska tehnologija možda jednog dana ovaj mit postane stvarnost.
Mit #6. Lozinke se moraju mijenjati svakih 30 dana.
Iako je ovo - dobar savjet za neke lozinke visokog rizika, nije pogodan za prosječne korisnike. Zahtijevanje čestih promjena lozinki često prisiljava korisnike da kreiraju predvidljive obrasce u svojim lozinkama ili koriste druge metode koje zapravo uvelike smanjuju njihovu učinkovitost. Laik ne voli stalno smišljati i pamtiti nove lozinke svakih 30 dana. Umjesto ograničavanja starosti lozinke, bolje je fokusirati se na jače lozinke i bolje upućene korisnike. Prihvatljivo vrijeme za prosječnog korisnika je 90 do 120 dana. Ako korisnicima date više vremena, bit će vam lakše uvjeriti ih da koriste složenije lozinke.
Mit #7. Nikada ne zapisujte svoju lozinku
Iako je ovo dobar savjet, ponekad samo trebate zapisati svoje lozinke. Korisnici se osjećaju mnogo ugodnije kada kreiraju složene lozinke, ako su sigurni da to mogu pročitati na sigurnom mjestu, ako iznenada zaborave. Međutim, važno je educirati korisnike kako pravilno zapisati lozinke. Naljepnica na monitoru je nesumnjivo glupa, ali čuvanje lozinke u sefu ili čak ladici koja se zaključava može biti dovoljno. I nemojte zanemariti sigurnost kada dođe vrijeme da bacite staru lozinku: zapamtite, mnogi veliki hakovi su se desili upravo zato što hakeri nisu bili previše lijeni da pregledaju smeće organizacije u potrazi za snimljenim lozinkama. Možda bi bila ideja da se omogući korisnicima da pohrane svoje lozinke softverski uslužni programi za pohranjivanje lozinki. Ovi uslužni programi omogućavaju korisniku da pohrani više lozinki na jednu lokaciju, zaštićenu glavnom glavnom lozinkom. Ali ako neko sazna glavnu lozinku, dobiće pristup kompletna lista sve lozinke. Stoga, prije nego što dozvolite korisnicima da pohranjuju lozinke na takvom mjestu, razmotrite sljedeće opasnosti: prvo, ova metoda je programska, pa stoga podložna napadima, drugo, budući da se sve zasniva na jednoj glavnoj lozinki, ona može postati jedina tačka za globalni neuspjeh svih lozinki svih korisnika. Najbolja praksa- kombinuju tehnologiju, fizičku sigurnost i politiku kompanije.
Osim toga, lozinke će možda jednostavno morati biti dokumentirane. Nema ničeg neobičnog u situaciji u kojoj Administrator sistema se razbolio ili otišao u penziju. A u brojnim organizacijama, ovo je jedina osoba koja je znala sve lozinke, uključujući lozinku servera. Tako da ponekad čak morate odobriti i zapisivanje lozinki, ali samo u slučaju kada je to zaista potrebno i promišljeno.
Mit #8. Lozinka ne može sadržavati razmake
Iako ga većina korisnika ne koristi, Windows 2000 i Windows XP dozvoljavaju korištenje razmaka u lozinkama. U stvari, ako možete vidjeti takav znak u Windowsu, onda ga možete koristiti i u lozinki. Stoga je razmak savršeno valjan znak za lozinku. Međutim, budući da neke aplikacije skraćuju razmake, najbolje je ne započinjati niti završavati lozinku razmakom.
Razmaci olakšavaju korisnicima kreiranje složenijih lozinki. Budući da se između riječi može koristiti razmak, korištenje može dati korisnicima prava prilika koristite duge lozinke sa nekoliko riječi.
Općenito, jaz je vrlo zanimljiva situacija, ne spada ni u jednu kategoriju zahtjeva složenosti. Windows lozinka. To nije broj, nije slovo, a čak se i ne smatra simbolom. Dakle, ako želite da svoju lozinku učinite složenijom, onda je razmak jednako dobar kao i svaki znak i u većini slučajeva ne smanjuje složenost lozinki.
Ali želim reći o jednom značajan nedostatak, povezan sa upotrebom razmaka - njegova tipka daje jedinstven zvuk kada se pritisne, koji se ne može ni sa čim pomiješati. Nije teško čuti ako neko koristi razmak u svojoj lozinki. Općenito, koristite razmake, ali ih nemojte pretjerati.
Mit #9. Uvijek koristite Passfilt.dll
Passfilt.dll je biblioteka koja primorava korisnike da koriste jake lozinke. U Windows 2000 i XP, to se radi putem politike "Lozinka mora ispunjavati zahtjeve složenosti". Iako je ovo često dobra politika, neki korisnici mogu postati frustrirani kada se njihove lozinke odbiju kao nedovoljno jake. Čak i iskusni administratori ponekad moraju unijeti više lozinki dok jedna ne prođe zahtjeve složenosti. Razočarani korisnici sigurno neće izraziti podršku vašoj politici lozinki.
Ako vidite da se korisnicima ne sviđaju zahtjevi složenosti, možda najbolji izlazće zahtijevati duge lozinke umjesto ove politike. Ako izvršite matematiku, vidjet ćete da je lozinka od 9 znakova s malim slovima otprilike iste složenosti kao i lozinka od 7 znakova sa malim i velikim slovima i brojevima. Jedina razlika je u tome kako krekeri lozinki rukuju različitim podskupovima znakova; neki brute-force krekeri ponavljaju sve kombinacije malih slova prije upotrebe brojeva i drugih znakova.
Druga opcija je da uzmete uzorak SDK platforme u direktoriju \samples\winbase\Security\WinNT\PwdFilt\ i modificirate ga tako da bude blaži odabirom lozinke.
Također možete educirati korisnike kako da učine lozinke složenijima i dajte im neke ideje za to.
Mit #10. Koristite ALT+255 za najjaču lozinku
Razmotrimo upotrebu znakova sa velikim ASCII kodom za konačnu komplikaciju lozinke. Ovi znakovi se ne mogu prirodno kucati na tastaturi, već se unose držanjem tipke ALT i upisivanjem ASCII koda na numeričkoj tastaturi. Na primjer, sekvenca ALT-0255 stvara znak.
Iako je koristan u nekim situacijama, treba uzeti u obzir i nedostatke. Prvo, držanje pritisnutog dugmeta ALT i kucanje na numeričkoj tastaturi mogu lako da vide stranci. Drugo, za kreiranje takvog znaka potrebno je pet pritisaka na tipku, koje morate zapamtiti i naknadno unijeti svaki put kada unesete lozinku. Možda bi imalo smisla napraviti lozinku za pet znakova dužu, što bi vašu lozinku učinilo mnogo jačom za isti broj pritisaka na tipku.
Na primjer, lozinka od 5 znakova napravljena od velikih ASCII znakova zahtijeva 25 pritisaka na tipku. S obzirom na 255 mogućih kodova za svaki znak i samo pet karaktera, dobijamo ukupno 255^5 kombinacija (ili 1,078,203,909,375). Međutim, lozinka od 25 znakova sastavljena samo od slova mala slova ima 26^25 (ili 236,773,830,007,968,000,000,000,000,000,000,000) mogućih kombinacija. Očigledno je bolje kreirati duže lozinke.
Još jedna stvar o kojoj treba razmisliti su tastature nekih laptop računari otežavaju ulazak numerička tastatura i neke komunalne usluge komandna linija ne podržavaju velike ASCII znakove. Na primjer, možete koristiti znak ALT+0127 na Windows-u, ali ga nećete moći upisati u komandnu liniju. Suprotno tome, neki kodovi znakova kao što su Tabs (ALT+0009), LineFeeds (ALT+0010) i ESC (ALT+0027) mogu se koristiti kada kucate iz komandne linije, ali se ne mogu koristiti u dijaloški okviri Windows (što može biti poželjna nuspojava u nekim rijetkim slučajevima).
Međutim, postoji nekoliko slučajeva u kojima je korisna upotreba proširenih znakovnih kodova. Ako imate servisne naloge ili lokalni administrator, koji se rijetko koriste, ponekad korištenje proširenih znakova zaslužuje nekoliko dodatnih pritisaka na tipku. Budući da je nekoliko alata za razbijanje lozinki podešeno za obradu širokih znakova, to može biti dovoljno da lozinku učini izuzetno teškom za probijanje. Ali u ovom slučaju, nemojte se zaustaviti na velikom ASCII kodu: postoji malo poznata činjenica, što znači da zaista možete koristiti full set Unicode znakovi, što je 65.535 mogući likovi. Međutim, znak kao što je ALT+65206 nije tako stabilan kao ekvivalentan broj pritisaka na tipku koristeći normalne znakove.
I na kraju, obratimo pažnju na upotrebu razmaka bez prekida (ALT+0160) u proširenom skupu znakova. Ovaj simbol je prikazan kao regularnog prostora i često može prevariti one koji su na neki način vidjeli vašu lozinku. Na primjer, recimo da je uljez mogao instalirati logger tastature na vaš sistem. Ako koristite razmak bez prekida u lozinki, on će se pojaviti u datoteci evidencije kao običan razmak. A ako kreker ne zna za neprekidni prostor i ne vidi ispravan ASCII kod, onda mu njegova lozinka, kojoj se tako nadao, neće dati ništa. Ali mnogi ljudi jednostavno ne znaju za postojanje ovog simbola, iako se čini da će nakon čitanja ovog članka već znati.
Zaključak
Neko se možda i ne slaže sa nekim od iznesenih stavki, ali one ne pretenduju da su konačna neosporna istina. To nije bila svrha pisanja ovog članka. Mit je napola istinit. Mnogi od mitova koji se ovdje kritiziraju nekada su bili odlični savjeti, ili su čak i dalje u određenim slučajevima. Ali za mnoge su ovi savjeti postali skup čvrstih, čvrstih i brzih pravila koja se moraju primjenjivati u svakom trenutku. Ali svi savjeti o lozinkama, uključujući i one date u ovom članku, nisu ništa više od samo savjeta. Na vama je da odlučite koja vam pravila odgovaraju, a koja ne. Možda najveći i najpogrešniji mit od svih je da postoje čvrsta i brza pravila o lozinkama.
Ponekad je John99 dobra lozinka, a ponekad se lozinke moraju mijenjati mnogo češće nego jednom mjesečno. Neke lozinke, kao što su lozinke administratora, trebaju mnogo više zaštite od drugih korisničkih lozinki. Da biste kreirali politiku lozinki koja će vas zaštititi na najbolji mogući način, trebate uzeti svo svoje znanje i dodati mu ono što smatrate korisnim od onoga što je ovdje napisano.
Dobra lozinka je više od složene lozinke. Dobra lozinka je ona koju je izuzetno teško pogoditi ili pogoditi, ali je vrlo lako zapamtiti. Trebalo bi da bude dugačko i da se sastoji od slova, brojeva i simbola, ali da se istovremeno kuca lako i precizno. Mora sadržavati nasumične elemente koje samo kompjuter može pružiti, a da pritom ostane sličan onome što čovjek može stvoriti.
Ali najbolja lozinka od svih je ona koju korisnik odabere na osnovu naučnog razumijevanja sistema generiranja lozinki. A najbolja politika lozinki je ona koja pomaže korisnicima da kreiraju takve lozinke.
