O parolă simplă și sigură - creativitate colectivă
- Securitatea informațiilor
După ce am citit multă literatură conexă și am analizat o mulțime de habratopic (link-uri către cele interesante sunt date la sfârșitul articolului), am decis să rezumam informațiile despre principalele metode de generare a unei parole puternice și memorabile.
Permiteți-mi să încep prin a spune că eu însumi folosesc minunatul program KeePass pentru a-mi genera și stoca parolele. Funcționalitatea sa este destul de suficientă pentru toate nevoile mele modeste de webmaster. Principalul său dezavantaj este faptul că necesită, de asemenea, să vă amintiți o parolă principală. Prin urmare, toată această agitație în jurul găsirii unei parole mă privește și pe mine și pe toți fericiții proprietari ai programului KeePass sau ai analogilor acestuia, deoarece Mai trebuie să vii cu o singură parolă.
Să vorbim despre metodele de hacking
Pentru a înțelege toată profunzimea problemei, voi dedica câteva rânduri tehnicii de hacking. Deci, cum poate un atacator să vă afle/ghici/ghici parola?- Metoda ghicirii logice. Funcționează pe sisteme cu un număr mare de utilizatori. Atacatorul încearcă să-ți înțeleagă logica atunci când creează o parolă (login + 2 caractere, autentificare inversă, cele mai comune parole etc.) și aplică această logică tuturor utilizatorilor. Dacă sunt mulți utilizatori, foarte curând va avea loc o coliziune și parola va fi ghicită;
- Dicţionar search. Acest tip de atac este folosit atunci când baza de date cu parole hashed este scursă de pe server. Poate fi combinat cu înlocuirea literelor (greșeli de scriere) sau cu înlocuirea numerelor/cuvintelor la începutul sau la sfârșitul unui cuvânt ca prefix sau sufix. De asemenea, sunt folosite dicționare tastate cu tastatura greșită (cuvinte rusești în aspectul englez);
- Căutarea într-un tabel de parole cu hash. O metodă avansată de spargere a parolelor, când hash-urile au fost deja generate și tot ce rămâne este să găsiți o potrivire în baza de date pentru hash-ul și parola. Funcționează foarte repede chiar și pe mașinile slabe și nu lasă nicio șansă proprietarilor de parole scurte.
- Alte metode: sociotehnică și inginerie socială, utilizarea keylogger-urilor, sniffer-urilor, troienilor etc.
Puterea parolei
Rezumând informațiile obținute din diverse surse de încredere, voi evidenția principalele caracteristici ale unei parole rezistente la hacking (prin hacking mă refer la căutarea prin baze de date hash, când algoritmul de hashing este cunoscut dinainte):- Lungimea parolei (cu cât este mai lungă, cu atât este mai bine), pentru cazuri avansate se recomandă utilizarea unei parole de 15 caractere;
- Absența cuvintelor din dicționar și a părților parolelor comune din parolă;
- Lipsa șabloanelor la crearea unei parole (prin șablon mă refer la un algoritm logic pentru generarea unei parole, de exemplu: „Med777vedev”, „12@ytsu@21” sau chiar „q1w2e3r4t5”);
- Secvențe stocastice de caractere din diverse grupuri (minuscule, majuscule, numere, semne de punctuație și caractere speciale);
Cum își amintesc oamenii parolele?
După ce am analizat metodele de generare a parolelor pentru Habrapeople, am ajuns la concluzia că principala metodologie de memorare a unei parole se bazează pe întocmirea unei serii logice sau asociative. De asemenea, sunt folosite tot felul de distorsiuni ale cuvintelor. Poate fi:- Nume de domenii intercalate cu autentificare („gooUSERglcom”, „UmailruSer”);
- O anumită expresie standard care este atașată domeniului („passgoogleru”, „passhabrahabrru”);
- Un cuvânt comun presărat cu numere semnificative și alte caractere (“ ”, unde 32167 este un truc care a convocat 5 dragoni negri în Heroes of Might & Magic);
- Cuvinte rusești în limba engleză („,k.lj)
