Kako stvoriti i smisliti jaku lozinku. Savjeti za izradu lozinki

Većina napadača ne zamara se sofisticiranim metodama krađe lozinki. Uzimaju kombinacije koje je lako pogoditi. Oko 1% svih trenutno postojećih lozinki može se pogoditi u četiri pokušaja.

Kako je ovo moguće? Jako jednostavno. Isprobajte četiri najčešće kombinacije na svijetu: lozinka, 123456, 12345678, qwerty. Nakon takvog prolaza, u prosjeku se otvori 1% svih "lijesova".

Recimo da ste jedan od onih 99% korisnika čija lozinka nije tako jednostavna. Čak i tada, performanse modernog softvera za hakiranje moraju se uzeti u obzir.

John the Ripper je besplatan i javno dostupan program koji može provjeravati milijune lozinki u sekundi. Neki uzorci specijaliziranog komercijalnog softvera tvrde da imaju kapacitet od 2,8 milijardi lozinki u sekundi.

U početku, hakerski programi prolaze kroz popis statistički najčešćih kombinacija, a zatim prelaze na cijeli rječnik. Trendovi korisničkih lozinki mogu se malo promijeniti tijekom vremena, a te se promjene uzimaju u obzir prilikom ažuriranja ovih popisa.

S vremenom su sve vrste web servisa i aplikacija odlučile nasilno zakomplicirati lozinke koje su izradili korisnici. Dodani su zahtjevi prema kojima lozinka mora imati određenu minimalnu duljinu, sadržavati brojeve, velika slova i posebne znakove. Neki servisi ovo shvaćaju toliko ozbiljno da smišljanje lozinke koju bi sustav prihvatio traje jako dugo i zamorno.

Ključni problem je što gotovo nijedan korisnik ne generira lozinku koja je uistinu otporna na pogađanje, već samo pokušava zadovoljiti minimalne zahtjeve sustava za sastav lozinke.

Rezultat su lozinke u stilu password1, password123, Password, PaSsWoRd, password! i nevjerojatno nepredvidiv p@sword.

Zamislite da trebate promijeniti lozinku za Spidermana. Najvjerojatnije će izgledati kao $pider_Man1. Izvornik? Tisuće ljudi će ga promijeniti koristeći isti ili vrlo sličan algoritam.

Ako napadač zna ove minimalne zahtjeve, tada se situacija samo pogoršava. Upravo iz tog razloga nametnuti zahtjev za složenošću lozinki ne daje uvijek bolje lozinke i često stvara lažan osjećaj povećane sigurnosti.

Što je lozinku lakše zapamtiti, veća je vjerojatnost da će završiti u rječnicima programa za krekiranje. Kao rezultat toga, ispada da je zaista jaku lozinku jednostavno nemoguće zapamtiti, što znači da mora biti negdje.

Prema riječima stručnjaka, čak iu ovom digitalnom dobu ljudi se još uvijek mogu osloniti na komad papira s ispisanim lozinkama. Pogodno je držati takav list na mjestu skrivenom od znatiželjnih očiju, na primjer u torbici ili novčaniku.

Međutim, list s lozinkama ne rješava problem. Duge lozinke nije samo teško zapamtiti, već ih je teško i unijeti. Situaciju pogoršavaju virtualne tipkovnice na mobilnim uređajima.

U interakciji s desecima usluga i stranica, mnogi korisnici za sobom ostavljaju niz identičnih zaporki. Pokušavaju koristiti istu lozinku za svaku stranicu, potpuno zanemarujući rizike.

U ovom slučaju, neka mjesta djeluju kao dadilja, prisiljavajući vas da komplicirate kombinaciju. Kao rezultat toga, korisnik jednostavno ne može shvatiti kako je morao promijeniti svoju standardnu ​​jedinstvenu lozinku za ovu stranicu.

Razmjeri problema postali su u potpunosti shvaćeni 2009. Tada je haker zbog sigurnosne rupe uspio ukrasti bazu logina i lozinki za RockYou.com, tvrtku koja objavljuje igrice na Facebooku. Napadač je bazu podataka stavio u javnu domenu. Ukupno je sadržavao 32,5 milijuna zapisa s korisničkim imenima i lozinkama za račune. Curenja su se događala i prije, ali razmjeri ovog konkretnog događaja pokazali su cijelu sliku.

Najpopularnija lozinka na RockYou.com bila je 123456, koristilo ju je gotovo 291.000 ljudi. Muškarci mlađi od 30 godina češće preferiraju seksualne teme i vulgarnost. Stariji ljudi oba spola često su se pri odabiru lozinke okretali jednom ili drugom kulturnom području. Na primjer, Epsilon793 se ne čini tako loša opcija, osim što je ova kombinacija bila u Zvjezdanim stazama. Sedmeroznamenkasti broj 8675309 viđen je mnogo puta jer se nalazio u jednoj od pjesama Tommyja Tutonea.

Zapravo, stvaranje jake lozinke je jednostavan zadatak; sve što trebate učiniti je stvoriti kombinaciju nasumičnih znakova.

Nećete moći u svojoj glavi stvoriti savršeno nasumične matematičke kombinacije, ali i ne morate. Postoje posebne usluge koje generiraju doista nasumične kombinacije. Na primjer, random.org može stvoriti zaporke poput ove:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ovo je jednostavno i elegantno rješenje, posebno za one koji koriste pohranu zaporki.

Nažalost, većina korisnika nastavlja koristiti jednostavne, slabe lozinke, čak i zanemarujući pravilo "različite lozinke za svaku stranicu". Njima je praktičnost važnija od sigurnosti.

Situacije u kojima lozinka može biti ugrožena mogu se podijeliti u 3 široke kategorije:

• Slučajno, u kojem osoba koju poznajete pokušava saznati vašu lozinku, na temelju njemu poznatih informacija o vama. Često se takav provalnik samo želi našaliti, saznati nešto o vama ili vas izigrati.
• Masovni napadi, kada apsolutno svaki korisnik određenih usluga može postati žrtva. U ovom slučaju koristi se specijalizirani softver. Za napad se odabiru najmanje sigurne stranice, omogućujući unos višestrukih varijacija lozinki u kratkom vremenskom razdoblju.
• Ciljano, kombinirajući primanje sugestivnih savjeta (kao u prvom slučaju) i korištenje specijaliziranog softvera (kao u masovnom napadu). Ovdje govorimo o pokušaju dobivanja istinski vrijednih informacija. Zaštititi će vam se samo dovoljno dugačka nasumična lozinka za čiji će odabir biti potrebno vrijeme usporedivo s trajanjem vaše lozinke.

Kao što vidite, apsolutno svatko može postati žrtva. Izjave poput “neće mi ukrasti lozinku jer me nitko ne treba” nisu relevantne, jer u sličnu situaciju možete doći sasvim slučajno, slučajno, bez ikakvog vidljivog razloga.

Zaštitu lozinkom trebali bi još ozbiljnije shvatiti oni koji imaju vrijedne informacije, bave se poslom ili su s nekim u financijskom sukobu (primjerice, podjela imovine prilikom razvoda, natjecanje u poslu).

2009. godine Twitter (u razumijevanju cijele usluge) je hakiran samo zato što je administrator kao lozinku koristio riječ sreća. Haker ga je pokupio i postavio na web stranicu Digital Gangster, što je dovelo do otmice računa Obame, Britney Spears, Facebooka i Fox Newsa.

Akronimi

Kao iu svakom drugom aspektu života, uvijek moramo napraviti kompromis između maksimalne sigurnosti i maksimalne udobnosti. Kako pronaći zlatnu sredinu? Koja će vam strategija generiranja zaporki omogućiti stvaranje jakih kombinacija koje ćete lako zapamtiti?

U ovom trenutku, najbolja kombinacija pouzdanosti i praktičnosti je pretvoriti frazu ili frazu u lozinku.

Odabire se skup riječi koje uvijek pamtite, a lozinka je kombinacija prvih slova svake riječi. Na primjer, May the force be with you pretvara se u Mtfbwy.

Međutim, budući da će se oni najpoznatiji koristiti kao početni, programi će na kraju dobiti te akronime na svojim popisima. Zapravo, akronim sadrži samo slova i stoga je objektivno manje pouzdan od slučajne kombinacije simbola.

Ispravan odabir fraze pomoći će vam da se riješite prvog problema. Zašto svjetski poznati izraz pretvoriti u akronim zaporke? Vjerojatno se sjećate nekih izreka koje su relevantne samo u vašem bliskom okruženju. Recimo da ste čuli vrlo nezaboravnu rečenicu od barmena u lokalnom restoranu. Iskoristi.

I dalje je malo vjerojatno da će šifra akronima koju generirate biti jedinstvena. Problem s akronimima je taj što se različite fraze mogu sastojati od riječi koje počinju istim slovima i raspoređene su u istom nizu. Statistički, u raznim jezicima postoji povećana učestalost određenih slova koja se pojavljuju kao početnici riječi. Programi će uzeti u obzir ove faktore, a učinkovitost akronima u izvornoj verziji će se smanjiti.

Obrnuta metoda

Rješenje može biti metoda obrnute generacije. Na random.org stvorite potpuno nasumično zaporku, a zatim njezine znakove pretvorite u smislenu, nezaboravnu frazu.

Često servisi i stranice daju korisnicima privremene lozinke, koje su te savršeno nasumične kombinacije. Htjet ćete ih promijeniti jer ih se nećete moći sjetiti, ali ako malo bolje pogledate, postaje očito da ne morate pamtiti lozinku. Na primjer, uzmimo drugu opciju s random.org - RPM8t4ka.

Iako se čini besmislenim, naš je mozak i u takvom kaosu sposoban pronaći određene obrasce i podudarnosti. Za početak, možete primijetiti da su prva tri slova u njemu velika, a sljedeća tri mala. 8 je dvaput (na engleskom dvaput - t) 4. Pogledajte malo ovu lozinku i sigurno ćete pronaći svoje asocijacije na predloženi skup slova i brojki.

Ako možete zapamtiti besmislene nizove riječi, upotrijebite to. Neka se lozinka pretvori u okretaje u minuti 8 track 4 katty. Bilo koja pretvorba za koju je vaš mozak prikladniji poslužit će.

Nasumična lozinka je zlatni standard u informacijskoj tehnologiji. Po definiciji je bolja od bilo koje lozinke koju su stvorili ljudi.

Nedostatak akronima je taj što će s vremenom širenje takve tehnike smanjiti njezinu učinkovitost, a obrnuta metoda ostat će jednako pouzdana, čak i ako je svi ljudi na zemlji koriste tisuću godina.

Nasumična lozinka neće biti uključena u popis popularnih kombinacija, a napadač koji koristi metodu masovnog napada takvu će lozinku pronaći samo brutalnom silom.

Uzmimo jednostavnu nasumičnu lozinku koja uzima u obzir velika slova i brojeve - to su 62 moguća znaka za svaku poziciju. Ako lozinku napravimo od samo 8 znamenki, dobit ćemo 62^8 = 218 trilijuna opcija.

Čak i ako je broj pokušaja u određenom vremenskom razdoblju neograničen, najkomercijalniji specijalizirani softver s kapacitetom od 2,8 milijardi lozinki u sekundi potrošit će u prosjeku 22 sata pokušavajući pronaći pravu kombinaciju. Da bismo bili sigurni, takvoj lozinki dodajemo samo 1 dodatni znak - i trebat će mnogo godina da se razbije.

Nasumična lozinka nije neranjiva jer se može ukrasti. Postoji mnogo opcija, u rasponu od čitanja unosa s tipkovnice do kamere preko ramena.

Haker može napasti sam servis i dobiti podatke izravno s njegovih poslužitelja. U ovoj situaciji ništa ne ovisi o korisniku.

Jedna pouzdana osnova

Dakle, došli smo do glavne stvari. Koju biste taktiku nasumičnih lozinki trebali koristiti u stvarnom životu? Sa stajališta ravnoteže i pogodnosti, "filozofija jedne snažne lozinke" dobro će funkcionirati.

Načelo je da koristite istu osnovu - supersigurnu lozinku (njene varijacije) na uslugama i stranicama koje su vam najvažnije.

Svatko se može sjetiti jedne duge i složene kombinacije.

Nick Berry, konzultant za informacijsku sigurnost, dopušta korištenje ovog principa pod uvjetom da je lozinka vrlo dobro zaštićena.

Prisutnost malwarea na računalu s kojeg unosite lozinku nije dopuštena. Nije dopušteno koristiti istu lozinku za manje važne i zabavne stranice - za njih će biti dovoljne jednostavnije lozinke, jer ovdje hakiranje računa neće izazvati fatalne posljedice.

Jasno je da pouzdani temelj treba nekako modificirati za svako mjesto. Kao jednostavnu opciju, možete dodati jedno slovo na početku da biste završili naziv stranice ili usluge. Ako se vratimo na onu slučajnu lozinku RPM8t4ka, onda će se za Facebook prijavu pretvoriti u kRPM8t4ka.

Napadač koji vidi takvu lozinku neće moći razumjeti kako se lozinka za vaš račun generira. Problemi će početi ako netko dobije pristup dvjema ili više vaših lozinki generiranih na ovaj način.

Tajno pitanje

Neki otmičari potpuno ignoriraju lozinke. Oni djeluju u ime vlasnika računa i simuliraju situaciju u kojoj ste zaboravili lozinku i želite je za sigurnosno pitanje. U ovom scenariju, on može promijeniti lozinku na vlastiti zahtjev, a pravi vlasnik će izgubiti pristup svom računu.

Godine 2008. netko je došao do e-pošte Sarah Palin, guvernerke Aljaske, a u to vrijeme i kandidatkinje za predsjednicu SAD-a. Na tajno pitanje, koje je zvučalo ovako, provalnik je odgovorio: "Gdje ste upoznali svog muža?"

Nakon 4 godine Mitt Romney, koji je u to vrijeme bio i kandidat za predsjednika SAD-a, izgubio je nekoliko svojih računa na raznim servisima. Netko je odgovorio na sigurnosno pitanje o imenu ljubimca Mitta Romneyja.

Već ste pogodili poantu.

Ne možete koristiti javne i lako pogodive podatke kao tajno pitanje i odgovor.

Pitanje čak nije ni da se ti podaci mogu pažljivo izvući s interneta ili od bliskih suradnika. Odgovori na pitanja u stilu "ime životinje", "omiljeni hokejaški tim" i tako dalje savršeno su odabrani iz odgovarajućih rječnika popularnih opcija.

Kao privremenu opciju, možete koristiti taktiku apsurdnog odgovora. Jednostavno rečeno, odgovor ne bi trebao imati nikakve veze sa sigurnosnim pitanjem. Majčino djevojačko prezime? Difenhidramin. Ime ljubimca? 1991. godine.

Međutim, takva će se tehnika, ako postane široko rasprostranjena, uzeti u obzir u relevantnim programima. Apsurdni odgovori često su stereotipni, odnosno neki će se izrazi pojavljivati ​​puno češće od drugih.

Zapravo, nema ništa loše u korištenju pravih odgovora, samo trebate mudro odabrati pitanje. Ako je pitanje nestandardno, a odgovor na njega znate samo vi i ne možete ga pogoditi nakon tri pokušaja, onda je sve u redu. Prednost istinitog odgovora je u tome što ga nećete zaboraviti tijekom vremena.

PIN

Osobni identifikacijski broj (PIN) je jeftina brava koju naš . Nitko se ne trudi stvoriti pouzdaniju kombinaciju barem ove četiri znamenke.

Sada stani. Sada. Upravo sada, bez čitanja sljedećeg odlomka, pokušajte pogoditi najpopularniji PIN kod. Spreman?

Nick Berry procjenjuje da 11% stanovništva SAD-a koristi kombinaciju 1234 kao PIN kod (gdje ga je moguće promijeniti sam).

Hakeri ne obraćaju pažnju na PIN kodove jer bez fizičke prisutnosti kartice kod je beskoristan (to djelomično može opravdati njegovu kratku dužinu).

Berry je uzeo popise lozinki koje su se pojavile nakon curenja informacija na mreži, a koje su bile kombinacije od četiri broja. Najvjerojatnije, osoba koja koristi lozinku 1967 izabrala ju je s razlogom. Drugi najpopularniji PIN je 1111, a 6% ljudi preferira ovaj kod. Na trećem mjestu je 0000 (2%).

Pretpostavimo da osoba koja zna tu informaciju ima tuđu informaciju u svojim rukama. Tri pokušaja prije nego se kartica blokira. Jednostavna matematika omogućuje vam da izračunate da ta osoba ima 19% šanse da pogodi PIN ako redom unese 1234, 1111 i 0000.

Vjerojatno je to razlog zašto velika većina banaka sama postavlja PIN kodove za izdane plastične kartice.

Ipak, mnogi pametne telefone štite PIN kodom, a ovdje vrijedi sljedeća ocjena popularnosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Često PIN predstavlja godinu (godinu rođenja ili povijesni datum).

Mnogi ljudi vole sastavljati PIN-ove u obliku parova brojeva koji se ponavljaju (a posebno su popularni parovi kod kojih se prva i druga znamenka razlikuju za jedan).

Numeričke tipkovnice mobilnih uređaja prikazuju kombinacije poput 2580 na vrhu - da biste je upisali, samo ravno prijeđite odozgo prema dolje u sredini.

U Koreji je broj 1004 suglasan s riječju "anđeo", što ovu kombinaciju čini vrlo popularnom tamo.

Poanta

1. Idite na random.org i stvorite 5-10 kandidata za lozinke.
2. Odaberite lozinku koju možete pretvoriti u nezaboravnu frazu.
3. Koristite ovu frazu da zapamtite svoju lozinku.

Pozdrav, dragi moji čitatelji!

Uplašen “horor pričama” da zli hakeri mogu probiti šifru bilo čega, jadni mali korisnik grozničavo počne pregledavati sve svoje šifre i pitati se hoće li provaliti ili ne...

Svojedobno sam si postavio pitanje kako napraviti jaku lozinku za sve svoje usluge za koje sam registriran? Je li ovo uopće moguće?

Kako djeluju provalnici?

Prvo, razmislimo o tome kako se odvija proces hakiranja. Općenito, postoji nekoliko glavnih načina za napadača:

• pogledaj papir, na kojem su ispisane sve lozinke. Iznenađujuće, mnogi korisnici još uvijek drže naljepnicu zalijepljenu na svom monitoru, na kojoj je ispisana lozinka koju napadač tako cijeni. Kako kažu, bez komentara...
• sirova snaga. Jednostavno rečeno, uobičajeno nabrajanje svih mogućih opcija. Kao što često vidimo u filmovima: poseban program brzinom munje (ili ne baš brzinom munje) pronalazi potrebnu lozinku. U stvarnosti je to praktički nemoguće. Ako je lozinka kriptootporna, odnosno sastoji se od dovoljno velikog broja znakova i sadrži velika slova i brojke, njezin odabir može potrajati dosta vremena;
• dobivanje udaljenog pristupa na korisnikovo računalo i pregled svih potrebnih informacija na njemu, uključujući kolačiće i posebne administrativne datoteke. Opet, filmske tehnike ovdje ne rade.
  Dobivanje punog pristupa određenom računalu nije tako lak zadatak i zahtijeva određeni pristup njegovom rješavanju. Ako vaši podaci nisu posebno vrijedni, malo je vjerojatno da će haker gubiti svoje dragocjeno vrijeme na vašem računalu;
• keyloggeri– presretači tipkovnice. Posebno se često koriste za dobivanje pristupa informacijama o plaćanju. Srećom, poznati antivirus Kaspersky u svom arsenalu ima virtualnu tipkovnicu. Dakle, nemoguće je pratiti pritiske tipki: jednostavno nema pritiskanja;
• virusi. Savjet je sljedeći: ne idite tamo gdje vam ne treba i ne preuzimajte ono što vam ne treba. A ako preuzmete, onda instalirajte dobar antivirus na svoje računalo i vjerujte njegovoj moći;
• što se tiče mobilnih platformi, onda najčešće koriste ili istu brute force ili metodu presretanja paketa preko šifriranih mrežnih kanala.

Nekoliko pravila za stvaranje jake lozinke

Dakle, nije sve tako loše. Ipak, gotovo svatko od nas vjerojatno se susreo s činjenicom da je njegov račun na VKontakteu ili na forumu bio "hakiran", ili je čak Odnoklassniki oglasio uzbunu ... U pravilu, to se događa zbog jednostavnosti same lozinke. Postoje posebni programi koji već "znaju" standardne skupove lozinki i generiraju njihove varijacije.

Možete, naravno, nasumično prelaziti prstima preko tipki, "generirajući" lozinku. Nažalost, čak iu ovom slučaju, algoritmi hakerskih programa odabiru sve moguće opcije, iako ne vrlo brzo.

Savjetujem vam da trajno napustite lozinke koje su ponavljanje vaše prijave. Srećom, mnoge usluge korisniku uopće ne dopuštaju postavljanje takve lozinke. Ali društvene mreže koriste ili broj mobilnog telefona ili adresu e-pošte kao prijavu. To uvelike olakšava život napadaču.

I ne daj ti Bože imena životinja, djece, roditelja i datuma rođenja! Takve lozinke mogu hakirati ljudi čak i iz bliskih krugova.

Prije nekog vremena koristio sam metodu koju sam osobno izmislio. Tek kasnije sam saznao da nisam jedini tako pametan. Njegova suština leži u činjenici da je izmišljena neka fraza na ruskom. Na primjer, "Ova lozinka je jaka." I onda tipkovnica prelazi na latinični raspored i upisuje se isto, ali bez razmaka. Ispada: “”njngfhjkmyflt;ysq”. Je li ova metoda dobra? Ne baš. Pametni hakerski algoritmi odavno su svjesni ove metode.

Ali općenito postoje samo tri zahtjeva za lozinke:

1. više znakova. 8 – dobro, 12 – još bolje, 16 – odlično;
2. Svakako koristite brojeve. Štoviše, i u sredini i na kraju lozinke;
3. naizmjence između velikih i običnih slova. I potpuno isto - u sredini i na kraju.

Generatori lozinki

Isprobao sam i posebne usluge - online i zasebne aplikacije. Last Pass, na primjer, ili evo još jedan: RandStuff, Password Generator i hrpa servisa jednostavnog naziva "Password Generator".

Na prvi pogled, svi oni stvarno mogu generirati nasumični skup znakova i brojeva. Ali to je samo na prvi pogled slučajno. Iskusni programer zna da ne postoji pravi slučajni generator; svi rade prema određenim algoritmima. Neću lagati da je to upravo tako, ali sumnjam na dvije stvari:

• poznavajući algoritam kojim se generiraju lozinke, hakerskom programu neće biti teško pratiti ovaj algoritam u suprotnom smjeru;
• Neki od tih programa i usluga, čudno, koriste se posebno za hakiranje. Generirana lozinka sprema se negdje u predmemoriju ili u kolačić. I, možda, ide ravno do napadačevog automobila.

Stoga je potrebno koristiti samo provjerene programe s izvrsnom reputacijom!

Sada je izbor na vama: koristite posebne programe ili sami smislite složene lozinke. Ali ni pod kojim uvjetima ih ne spremajte na papir. Bolje izradite datoteku i spremite je u oblak. Usput, druge usluge također pružaju izvrsnu pohranu u oblaku.

Želite znati sve računalne tajne? Kako bi bilo da naučite komunicirati s računalom na temelju imena? U tom slučaju možete naručiti tečaj multimedijske obuke “ Računalni genije“, tamo će sve biti objašnjeno najpristupačnijim jezikom i što je najvažnije jasno će pokazati kako stečeno znanje primijeniti u praksi.

Obavezno podijelite vezu na ovaj materijal sa svojim prijateljima putem društvenih medija. mrežama kako ne bi postali žrtve napadača. Ne zaboravite se pretplatiti na popis za ažuriranje bloga koji će vas obavijestiti kada se novi članak uredi. Budite oprezni, vidimo se uskoro!

Iskreno! Abdullin Ruslan

Dobro došli na stranicu bloga! Dugo sam želio napisati članak o tome kakva bi trebala biti lozinka za račun kako bi ga bilo jako teško hakirati. Ovaj članak će vas naučiti kako stvoriti složenu lozinku. Razmotrit ćemo tehnike koje će pomoći ne samo da vaša lozinka bude sigurna, već i da vam ne bude teško zapamtiti je.

Sada više ne možemo zamisliti svoj život bez interneta. Gotovo svaka stranica zahtijeva registraciju. Najpopularniji resursi su društvene mreže. Svakodnevno se milijuni korisnika prijavljuju na svoje račune. Riskiramo napraviti puno pogrešaka slanjem važnih podataka u porukama. Dobro je imati složenu lozinku za VK ili drugu popularnu društvenu mrežu, to pomaže u zaštiti od uljeza.

Nekoliko metoda kompliciranja lozinki

Koja bi trebala biti lozinka? Ovo pitanje postavljaju stotine korisnika interneta. Razlikuju se sljedeće vrste lozinki:

• abecedni;
• simbolički;
• digitalni;
• kombinirano (kombinacija prethodnih opcija);
• korištenje registra.

Prve tri vrste ne ulijevaju povjerenje. Ovo su previše jednostavni načini za stvaranje lozinke. Zbog neiskustva griješimo i postavljamo ih. U redu, ovo će biti "lozinka" za račun na forumu ili drugom sličnom mjestu. A ako je ovo ulaz u poslovnicu banke, sav će vam novac biti izgubljen. Jedino što vas spašava je to što je sigurnosna služba takvih stranica razvila sustav za odbijanje lakih lozinki.

Slova, brojevi i simboli

Kombinacija slova, simbola i brojeva je najsigurnija vrsta lozinke. Morate se ozbiljno namučiti da biste to pogodili.

Iskusni "korisnici" savjetuju početnicima da koriste ovu kombinaciju. Također, nemojte ga učiniti prekratkim. Duga kombinacija omogućit će vam da svoje podatke i korespondenciju zaštitite od trećih strana.

Glavna stvar je ne koristiti banalne fraze u nastavku:

• "123";
• "123456";
• "321";
• "qwerty";
• "asdfg".

Ovi i drugi slični skupovi znakova s ​​tipkovnice jamče hakiranje. Niste samo vi taj koji vam prvi pada na pamet, već stotine ljudi. Neće ih izračunati čak ni poseban program, već obično zlonamjernik.

Kako odabrati lozinku za mail ili drugu vrstu autorizacije? Ovo pitanje vrijedi riješiti sami. Još nekoliko opcija kompliciranja zaporke pomoći će.

Registar

Prije unosa korisničkog imena i lozinke obratite pozornost na osjetljivost pojedinih obrazaca na velika i mala slova. Kombinacija velikih i malih slova učinit će lozinku sigurnijom.

Kada pišete tajnu riječ, razmislite o njezinoj raznolikosti. Izmjenite velika i mala slova jedno ili više odjednom. Ova će metoda ozbiljno uznemiriti online zlobnike.

Najviše smeta ako sami zaboravite narudžbu. Prema preporuci iskusnih korisnika, vrijedi prvi znak napraviti velikim, drugi malim, a zatim izmjenjivati ​​jedan po jedan. Bolje je uzeti u obzir ovaj savjet kako si kasnije ne bi razbijali glavu.

Možete učiniti bez uvođenja značajki velikih i malih slova u "lozinku", ali ovo je još jedan način povećanja složenosti lozinke.

mjenjači

Datum rođenja kojeg će svaki korisnik upamtiti je najbanalniji i najjednostavniji način. Ako igrate ispravno, može se pokazati kao dobra opcija. Koristeći "preokret", mnogi su uspjeli stvoriti pobjedničku lozinku koja se vjerojatno neće riješiti.

Metoda se temelji na pisanju znakova obrnutim redoslijedom. Odaberite bilo koji datum, na primjer, kada ste rođeni i upišite tekst unatrag. Ako imate na umu izraz "081978", okrećući ga, dobivamo "879180". Vrlo je lako zapamtiti kako napisati takvu lozinku.

Razmotrimo druge složenije ideje. Pretpostavimo da se lozinka temelji na vašem imenu i prezimenu. Tipkamo, već poznajemo tehniku ​​pomoću registra - “PeTrPeTrOv”. Sada upotrijebimo taktiku "mjenjača". Koristimo datum npr. kada je korisnik rođen - 21. veljače 1982. godine. Osim toga, svemu ćemo dodati simbole. Na kraju dobivamo sljedeći primjer lozinke - “PeTrPeTrOv!28912012”. Rezultat je bio zapanjujući, jer je za “korisnika” jednostavno i lako, ali ne i za napadače.

Provjerite snagu i sigurnost svoje lozinke koristeći online usluge:

• https://password.kaspersky.com/ru/
• https://howsecureismypassword.net/

Enkripcija

Koja bi trebala biti lozinka? Otkrijmo još jedan sjajan način. Pogledajmo princip šifriranja. Zapravo, sve prethodno razmotrene metode imaju nešto zajedničko s ovim. Ovdje ćemo šifriranjem izraza pokazati što su lozinke.

Uzimamo najbesmisleniju i jedinstvenu frazu koja se lako pamti. Neka budu "svemirski žohari". Možete koristiti bilo koje retke iz pjesama i pjesama, po mogućnosti ne baš dobro poznate.

Zatim primjenjujemo kod na našu frazu. Pogledajmo nekoliko sigurnih načina:

• prepisivanje ruske riječi na engleskom rasporedu;
• "mjenjač";
• zamjena slova simbolima koji su slični po izgledu (na primjer, "o" - "()", "i" - "!", "a" - "@");
• uklanjanje uparenih ili neuparenih likova;
• ispuštanje suglasnika ili samoglasnika;
• zbrajanje posebnih znakova i brojeva.

Dakle, razmislimo o nekoliko riječi sa značenjem - "svemirski žohari". Uzimamo 4 slova od svakog, dobivamo "komtaru". Prijeđite na engleski i ponovno upišite – “rjcvnfhf”. Kompliciramo tako da šifru započnemo velikim slovom i dodamo simbole.

Ovakva bi trebala biti lozinka, koristeći primjer izvorno zamišljene fraze - “Rjcvnfhf@955”.

Izumljena je pouzdana kombinacija s velikim brojem simbola. Snaga lozinke provjerava se pomoću posebnih usluga, na primjer, passwodmetr.com. Kombinaciju, kao što smo mi uspjeli, prevarantima nije bilo lako pogoditi jer osobni podaci korisnika nisu uključeni. Ali za "korisnika" takva "lozinka" je božji dar, jer zapamtiti tako pouzdanu lozinku neće biti teško.

Generator

Za one koji ne žele trošiti dodatno vrijeme na razmišljanje, programeri su odavno izmislili složene generatore lozinki. Ova metoda pruža određeni stupanj pouzdanosti. Najboljima se još uvijek smatraju "lozinke" koje je izmislio vlastiti um.

Što je generator i kako ga koristiti? Ovo je pametan program koji prikazuje nasumične lozinke – potpuno nasumične kombinacije. On koristi mnoge od metoda o kojima se raspravljalo, ali ne uzima u obzir "okrete".

Generator složenih lozinki preuzima se s Interneta. Na primjer, uzmimo "keepass". Kao i svaki drugi generator, njime nije teško upravljati. Aplikacija i sama generacija pokreću se pritiskom na posebnu tipku. Nakon završetka operacije, računalo izdaje opciju lozinke. Ostaje samo unijeti dobivenu kombinaciju u nepromijenjenom obliku ili s dodacima.

Teške lozinke koje je stvorio željezni prijatelj vrlo je teško zapamtiti. Rijetko tko ih drži u mislima, češće ih se mora zapisati. Obično postoji mnogo lozinki, jer ne sjedimo na jednom mjestu i stalno se iznova registriramo na drugim resursima. Stoga pohranjivanje hrpe takvih informacija nije zgodno za sve. Možete potpuno izgubiti sve papire s bilješkama.

Postoji jedan izlaz s pohranom - ispišite ih u računalnu datoteku. Ovo je jedan od najpouzdanijih slučajeva. Samo morate zapamtiti da PC sustav ne traje vječno i također postaje neupotrebljiv.

Sve metode za stvaranje složenih lozinki već su spomenute gore, a možete stvoriti lozinku za e-poštu koja će pouzdano zaštititi vaše podatke od trećih strana.

Evo nekoliko korisnih savjeta za stvaranje lozinki:

• ne navoditi osobne podatke o korisniku (imena rodbine, imena kućnih ljubimaca, brojeve telefona, adrese, datume rođenja i sl.);
• Ne možete koristiti ćirilicu u svojoj lozinci;
• nemojte koristiti izraze koji se mogu lako izračunati korištenjem rječnika popularnih lozinki (yaster, ljubav, alfa, samsung, mačka, mercedes i drugi slični, kao i njihovi drugi derivati ​​i kombinacije);
• uzeti u obzir duljinu znakova - po mogućnosti najmanje 10;
• zakomplicirajte lozinku kombinacijom različitih metoda - velikih i malih slova, brojeva, simbola;
• nemojte koristiti najčešće lozinke - predloške, razmišljajte originalno (robot koji izračunava vašu lozinku ne može biti pametan kao čovjek).

Jedan od najvažnijih sigurnosnih problema u organizaciji su lozinke za važne korisničke račune. Čak i ako pažljivo planirate i konfigurirate sigurnosne postavke pravila grupe, uključujući postavke vatrozida s naprednom sigurnošću, implementirajte antivirusni softver i održavajte svoj sustav i antivirusni softver ažurnim, konfigurirajte pravila IPSec, implementirajte poslužitelje Network Access Protection i Ako vaši korisnici ne imate dovoljno jake lozinke, sigurnost cijele vaše tvrtke mogla bi biti ugrožena.

Naravno, možete i trebate koristiti pravila grupe za postavljanje ograničenja za stvaranje složenih lozinki, postavljanje intervala zaključavanja računa u slučaju netočne lozinke i postavljanje pravila revizije za analizu neuspjelih pokušaja prijave. Ali čak i lozinke koje operativni sustav smatra složenima (tj. lozinka će premašiti određeni broj znakova, lozinka će sadržavati velika, mala slova i brojeve) zapravo mogu biti ranjive i napadačima ih je lako probiti. Upravo ova faza osiguravanja sigurnosti vaše tvrtke može biti najteža za vas, jer ovdje vaše sudjelovanje igra tek osrednju ulogu, a svaki nemar od strane vaših korisnika može imati fatalan utjecaj na infrastrukturu cijele društvo. Drugim riječima, u ovom slučaju morate pokušati navesti svoje korisnike da kreiraju sigurne lozinke, pamte ih, povremeno mijenjaju te lozinke i također ih zadrže za sebe, što zapravo može biti puno teže od planiranja infrastrukturu organizacije, kao i postavljanje i održavanje poslužitelja s odgovarajućim ulogama poslužitelja.

U ovom članku ću govoriti malo o razlozima zašto se koje lozinke ne mogu kreirati, kao i kako točno trebate kreirati lozinke za svoje račune. Pogledajmo sve redom.

Metode probijanja lozinki

Jedna od najčešćih metoda napada na bilo koju infrastrukturu je hakiranje lozinki korisnika koji su autentificirani kako bi dobili pristup internoj mreži organizacije. Sukladno tome, ako napadač dobije pristup korisničkom računu, imat će priliku pristupiti svim internim dokumentima tvrtke i drugim zaštićenim informacijama. Osim korisničkih računa za pristup unutarnjoj mreži organizacije, napadači također često pokušavaju hakirati račune e-pošte, društvene mreže, blogove i druge stvari. Stoga korisnike treba upozoriti da ne mogu koristiti istu lozinku za sve svoje račune, a još manje jednostavnu lozinku.

U principu, postoji mnogo metoda za razbijanje lozinki, ali ovaj članak će ukratko govoriti samo o glavnim metodama koje su danas najčešće. Te metode uključuju logičko pogađanje, pogađanje lozinke na temelju rječnika, grubu silu (ili grubu silu), te najozbiljniju metodu - korištenje ljudskog faktora.

Logično pogađanje

Ova metoda je najjednostavnija i obično počinje logičnim pogađanjem lozinke. Na primjer, napadač bi mogao pokušati pogoditi lozinke vaših korisnika znajući ime i prezime vašeg korisnika i, recimo, njihovu godinu rođenja. Na primjer, ako korisnik kreira lozinku kao što je "Prezime + godina rođenja" ili se prijavi obrnutim redoslijedom, ne morate se previše brinuti, takva će lozinka biti hakirana za nekoliko minuta.

Pretraživanje lozinki pomoću rječnika

Budući da mnogi korisnici vole koristiti jednu riječ kao lozinku za bilo koji od svojih računa, bilo da je to ime vulkana na Islandu ili ime njihovog omiljenog zeca i, najviše, dodati jednu znamenku na takvu lozinku, napadači mogu hakirati takve lozinku koristeći unaprijed odabrane lozinke koje se učitavaju iz posebnih rječnika. Takvi rječnici obično uključuju riječi iz različitih jezika, koje mogu koristiti neiskusni ili ravnodušni korisnici. Pogađanje lozinke ovom metodom obično ne oduzima puno vremena, a napadač može dobiti pristup podacima vaših korisnika u samo nekoliko sati. A budući da na internetu postoji puno sličnih rječnika, trebali biste odmah objasniti korisnicima da ne bi trebali koristiti takve lozinke, jer ne samo njihov račun na društvenoj mreži, već i cijela infrastruktura poduzeća može patiti.

Druga metoda povezana s grubom silom rječnika naziva se gruba sila prema tablici raspršenih lozinki. Ova metoda se koristi kada je napadač uspio odrediti hash lozinke i sve što treba učiniti je pronaći lozinku u bazi podataka koja će u potpunosti odgovarati ovom hash-u.

Metoda grube sile

Brute force metoda ili potpuna (izravna) pretraga razlikuje se od prethodne metode po tome što se pri odabiru lozinke ne koristi određeni rječnik prema kojem možete odabrati jednostavnu lozinku, već velik broj bilo kojih mogućih kombinacija . U ovom slučaju, kao što razumijete, sve ovisi samo o složenosti lozinke i broju znakova. Mislim da su mnogi od vas vidjeli sljedeću tablicu, na temelju koje možete okvirno procijeniti složenost lozinki koje se kreiraju, s obzirom da će lozinke sadržavati samo slova istih slova s ​​brojevima, a brzina pretraživanja je 100.000 lozinki u sekundi:

Prema tome, više ili manje jaka lozinka može se smatrati lozinkom čija će se duljina sastojati od najmanje osam znakova. Budući da je prilikom pisanja ovog članka glavni zadatak bio razmotriti metode za stvaranje jakih lozinki, neće se razmatrati načini implementacije brute force pretraživanja lozinki.

Korištenje ljudskih faktora

Unatoč činjenici da se ne koristi nikakva tehnologija kada se koristi ljudski faktor, ova metoda se u većini slučajeva smatra najučinkovitijom, a ponekad čak i najbržom, budući da u ovom slučaju napadači dobivaju lozinke ilegalnom metodom od samih korisnika, a potonji mogu čak ni ne sumnjaj. Prije svega, pri korištenju ove metode dobivanja korisničkih lozinki, napadač obično sazna imena zaposlenika organizacije, koja može ili znati u početku ili pronaći na istoj, recimo, web stranici tvrtke, a nakon toga, prema unaprijed promišljenom scenariju, napadač može dobiti gotovo sve podatke od korisnika. Postoji mnogo metoda za dobivanje korisničkih lozinki pomoću ljudskog faktora. Pogledajmo ukratko glavne metode:

· Krađa identiteta. To je prilično uobičajen način dobivanja potrebnih informacija od korisnika. Sam pojam phishing dolazi od engleske riječi fishing što u prijevodu znači pecanje i vrsta je prijevare čiji je glavni cilj pristup povjerljivim podacima korisnika. Sam napad događa se na sljedeći način: korisnik u svoj poštanski sandučić dobije pismo, recimo, od banke, gdje se od korisnika traži da klikom na navedeni link promijeni svoju lozinku na stranici iz sigurnosnih razloga. Zapravo, takva poveznica vodi na web stranicu hakera sa stranicom koja je vrlo slična stranici banke i ako pokušate promijeniti lozinku, lozinka će biti poslana napadaču;

· Zaraza računala trojanskim konjima. Kao što znate, trojanski konj je maliciozni program koji napadači distribuiraju, uz pomoć kojeg mogu doći do podataka, ovisno o zadatku koji si postavi. Zauzvrat, korisničke lozinke nisu iznimka;

· Što o čemu. Ova metoda dolazi od latinskog izraza qui pro quo (jedno umjesto drugog), što također znači nesporazum koji proizlazi iz činjenice da se jedna osoba, stvar ili pojam zamijeni za drugu. U slučaju krađe lozinke, ova metoda uključuje pozivanje napadača u tvrtku. Napadač se može predstaviti kao tehnički stručnjak i naučiti o ranjivostima koje mogu postojati u organizaciji te ih iskoristiti. Ili jednostavno saznajte korisničku lozinku putem telefona;

· Pretekstiranje. Ova metoda je najlakša. Općenito, koristeći ovu metodu krađe lozinke, napadač može čak biti, u određenoj mjeri, daleko od hakiranja, jer se u ovom slučaju izvode radnje koje su razrađene prema unaprijed sastavljenom izgovoru ili, jednostavnije, skripta. On može započeti komunikaciju s korisnikom na nekoj web stranici, putem e-pošte, UIM messengera itd. Iz očiglednih razloga, ova metoda može trajati mnogo dulje od svih prethodno spomenutih, ali je, unatoč tome, također tražena.

Najjednostavniji način krađe lozinke prikazan je na sljedećoj slici:

Stvaranje složenih lozinki

Najvjerojatnije ste svi vidjeli sljedeću sliku.

Ovdje je, u prilično jednostavnom i šaljivom obliku, navedeno koje se lozinke mogu stvoriti i kako će vaši korisnici djelovati s takvim lozinkama. Da budem iskren, možda se nećete složiti s metodom prikazanom na slici, budući da se druga lozinka može hakirati brže od prve, iako će napadaču trebati neko vrijeme.

Prije svega, kao što sam rekao na početku članka, u svakom slučaju morate konfigurirati ograničenja za stvaranje složenih lozinki pomoću pravila grupe, a takva pravila ne bi trebala biti povezana s bilo kojim određenim odjelom, već s cijelom domenom . Naravno, postavljanjem sigurnosnih pravila spriječit ćete stvaranje lozinki poput "123456" ili "qwerty" koje korisnici toliko vole stvarati, korisničke lozinke i dalje mogu biti ranjive na hakere.

Na primjer, ako imate korisnika u svom odjelu prodaje, Vladimira, koji je rođen 9. u mjesecu, njegova lozinka može biti nešto poput "Vladimir9". Kao što vidite, ova lozinka ima devet znakova, što će najvjerojatnije premašiti duljinu lozinke unaprijed postavljenu pravilima grupe. Osim toga, ova lozinka sadrži slova iz različitih malih i velikih slova (dobro, nije dobro svoje ime označavati malim slovom) i ova lozinka sadrži brojeve (u ovom slučaju rođendan korisnika). U skladu s tim, lozinka će zadovoljiti zahtjeve navedene pomoću pravila grupe, ali se može probiti doslovno u nekoliko sekundi.

Trebali biste pokušati potaknuti svoje korisnike da stvaraju složene lozinke za sve svoje račune, stvaraju različite lozinke za svaki račun i pohranjuju svoje lozinke u svoju memoriju. Zadnje dvije točke su najteže, jer je većina korisnika navikla imati jednu lozinku za svoj račun u Active Directory, a također, dobro je, ako je tako, imati jednu lozinku za poštanske sandučiće, društvene mreže, trackcreas, forume i sl. na. Ako ste ipak natjerali svoje korisnike na izradu složene lozinke, obratite pozornost na to da je mnogi vole zapisati na komad papira i zalijepiti na monitor, tipkovnicu i sl., što je nedopustivo, jer je teško da to nazovem lozinkom.

Kako stvoriti vlastitu lozinku

Poželjno je da korisnička lozinka ima minimalno 8 znakova, te da sadrži latinična slova u različitim padežima u slučajnom redoslijedu, da lozinka sadrži brojeve, te da ima i posebnih znakova. Ako je lozinka kreirana za račun koji će se prijaviti na poslužitelj, tada je preporučljivo kreirati lozinku koja će biti duža od 12 znakova. U većini slučajeva korisnici se rijetko trude smišljati takve lozinke. Stoga ćete umjesto toga morati smisliti lozinke, što je krajnje nezgodno jer... ako imate 20 korisnika, to će potrajati, ali možete to podnijeti, ali ako imate više od 100 korisnika, onda će takav besmislen zadatak trajati cijeli dan. Ali ipak ih je potrebno povremeno mijenjati, jer... nijedna lozinka ne može biti savršena.

Stoga možete usmjeriti korisnike na stranice s generatorima zaporki, na primjer, na stranicu http://genpas.narod.ru ili na stranice sa sličnim funkcijama. Zapravo postoji mnogo takvih stranica. Također možete napisati stranicu na svom internom web poslužitelju koja će pružiti istu funkcionalnost, što također vjerojatno neće oduzeti puno vremena, čak i ako nemate vještine web programiranja. I možete obavijestiti korisnike o prisutnosti takve stranice na web mjestu, recimo, koristeći službeni bilten. Sukladno tome, vaši korisnici neće morati gubiti vrijeme na smišljanje složene lozinke, već će je samo morati zapamtiti.

Također možete provesti svoje korisnike kroz jednostavne skripte za stvaranje složene, ali lako pamtljive lozinke. Postoje stotine različitih zanimljivih scenarija koje možete smisliti. Pogledajmo nekoliko od ovih scenarija.

1. Uzmite dvije ruske riječi - glagol i imenicu. Na primjer, riječi "kuhar" i "svijećnjak". Dodajte proizvoljan broj koji će biti podijeljen na dva dijela, na primjer, godinu rođenja vašeg omiljenog pisca, recimo 1966., a također uzmite bilo koji poseban znak, na primjer, upitnik. Sada zapišite sve što ste ranije pronašli sljedećim redom: prva riječ s velikim slovom, prva dva broja iz godine rođenja, upitnik, druga riječ s velikim slovom i zadnja dva broja. Trebalo bi izgledati otprilike ovako: "Cook19? Candlestick66." Sada utipkajmo primljenu lozinku na engleskoj tipkovnici. Kao rezultat toga, vaš će korisnik imati sljedeću lozinku: " Ujnjdbnm19?Gjlcdtxybr66" Ova lozinka sadrži 23 znaka i nemoguće ju je pronaći metodom pretraživanja rječnika, a metodom brute force napadaču će trebati, najblaže rečeno, više od mjesec dana.

2. Uzmite bilo koju brckalicu, na primjer, "U dubinama tundre, vidre u pljuvačkama bacaju jezgre cedra u kante" i uzmite datum rođenja korisnikovog rođaka, recimo, 29. listopada 1957. Sada zapišite svaki prvi slovo svake riječi na engleskom jeziku, i zapišite svako drugo slovo je veliko i između nekih riječi stavite jedan broj, a na kraju lozinke stavite znak uzvika. Trebalo bi izgledati ovako: " vN2tV9vG10tV19vY57k!" Opet, takvu će lozinku biti vrlo teško pogoditi.

3. Uzmite bilo koji redak svoje omiljene pjesme, na primjer, "Nije uzalud što se cijela Rusija sjeća Borodinovog dana!" i napišite dva slova iz svake riječi na engleskom rasporedu, a za svaku novu riječ navedite slovo velikim slovima. Na kraju možete staviti svoj rođendan. Na primjer, u ovom slučaju to bi trebalo izgledati ovako: " YtGjDcHjGhLt " dobio još jednu složenu lozinku.