Отредактировано 7.05.2023
Если вы думаете, что не нужные для хакеров - это не совсем так.
Если вы думаете, что не нужные для хакеров - это не совсем так.
Банковские реквизиты, электронные кошельки и игровые аккаунты взламывают для обогащения. Почтовые сервера, форумы и социальные сети взламывают из "спортивного интереса", любопытства и для того же обогащения, продавая аккаунты для рассылки спама и DDoS-атак.
Самое главное что вы должны знать - взломать можно всё. И зачастую наиболее уязвимой частью любой системы защиты информации является пароль... Любой самый совершенный пароль. Единственным сдерживающим фактором остается цена затрат. Сколько времени на это потребуется – пару минут, несколько дней или много лет. Так зачем облегчать задачу злоумышленнику?..
Кому интересно - в самом низу статьи есть "Универсальный способ создания надёжного пароля". Можете переходить сразу туда.
Правила создания надежных паролей
Их не так много, но большое количество пользователей ими откровенно пренебрегают:
- Не ленитесь в создании сложных паролей.
К таким относительно легко подбираемым данным относятся: клички домашнего животного, имя (фамилию) и прозвища ребёнка/жены (мужа)/родственника, даты рождения (свои и родных) и важных событий, номера телефонов/ИНН и других документов, что-либо, связанное с любимой спортивной командой, простые слова (например, "password", "пароль", "default") и т.п.
- Чем длиннее пароль, тем он надёжнее.
Минимальной длиной паролей сейчас считается 12-14 знаков (хотя в настройках различных интернет-ресурсов и программ может быть выставлено и меньшее число). Иногда требуют обязательное присутствие букв, цифр или разных регистров. Чем больше знаков в вашем пароле – тем дольше его будут взламывать и есть шанс, что прекратят это дело, как малоперспективное. Но у длинных и сложных есть и отрицательная черта – их трудно запомнить.
- Используйте разные символы для создания надёжного пароля.
Какие символы использовать, в первую очередь, зависит от настроек сайтов/форумов/программ. Чаще всего можно использовать
- заглавные (т.е. большие) латинские буквы (26): от A до Z
- строчные (т.е. обычные) латинские буквы (26): от a до z
- цифры (10): от 0 до 9
- символы (33): (пробел) ! » # $ % & ‘ ( ) * + , — . / : ; < = > ? @ [ \ ] ^ _` { | } ~
Иногда на некоторых сайтах можно использовать только некоторые символы или их использовать вообще не получится. Или сайту без разницы набираете вы большие или маленькие буквы (какой регистр)Также иногда можно использовать кроме латинских букв и кириллические буквы (т.е. русский алфавит). Их совместное использование значительно повышает стойкость пароля.
- Не рассказывайте никому свой пароль.
- Не рассказывайте принцип, которым вы. руководствовались при создании пароля.
- Не храните пароли в открытом виде в доступных местах.
Хотя можно эту информацию как-то зашифровать. Например, на странице блокнота написать различные символы. И только, например, каждый пятый символ является частью пароля.
Также часто в почтовых ящиках хранятся созданные пароли и получив доступ к ящику у злоумышленника будет доступ к паролям.
- Не указывайте пароли на подозрительных или легкодоступных сайтах.
- Для регистрации на разных ресурсах не используйте один общий почтовый ящик.
Также часто в почтовых ящиках хранятся созданные пароли и получив доступ к ящику у злоумышленника будет доступ к паролям.
- Создавая пароли, учитывайте важность ресурса.
Хотя, используя указанные ниже способы, можно создавать надежные защиты на любые ресурсы.
- Не используйте один пароль для всех ресурсов.
- Периодически меняйте пароль.
Пароли нужно менять минимум раз в полгода если не было обнаружено никакой подозрительной активности). А если вам даже показалось что что-то не так то меняйте пароль вне графика.
- Продумайте переменную часть для пароля, если пароль надо менять с какой-либо периодичностью.
Например, используем три буквы из названия месяца, набираемые русскими буквами на латинской раскладке и порядковый номер месяца. Для месяца "февраль" это будет "atd02" или "02atd", а для "мая" это будет "vfq05".
А если использовать больше букв и их в названии месяца не хватает, то можно набирать недостающие символы началом набора названия месяца заново. К примеру, допустим 5 букв в пароле, тогда для мая будет "vfqvf".
Для большей устойчивости месяц и/или название сервиса можно набирать в обратном порядке, в разных местах (например, в середине и в конце пароля), с указанием года (или последних цифр года) и т.п..
- Не используйте придуманные другими людьми пароли.
- Используйте программу для создания паролей ("генератор паролей", "Менеджер паролей").
Сложные пароли используют множество разнообразных символов, иногда даже большое количество этих символов. Но запомнить такие пароли практически невозможно, особенно если их много. Потому придется записывать их на листочках, или в отдельном файле, или же воспользоваться другой программой – менеджером хранения паролей. Кстати, генератор паролей и менеджер паролей довольно часто совмещаются в одной программе. Это очень удобен. Сохранить в такой программе можно большое количество паролей, они всегда под рукой и легко вставляются на нужные сайты. Этот способ один из самых НАДЁЖНЫХ.
Менеджеры паролей можно скачать и установить на свой компьютер, на телефон (например, KeePass)... или использовать онлайн (т.е. в интернете). Есть вариант расположить пароли в интернете (в "облаке") и синхронизировать их между устройствами (например, с помощью программы LastPass).
К недостаткам относится сложность, если потребуется зайти на ресурс не из дома (если он у вас только на компьютере дома). При установке на устройстве при сбое или при переустановке системы, данные могут оказаться потерянными. Позабыв пароль которым защищается доступ к программе вы утратите доступ к своей базе паролей, и ко всем сайтам.
Также может быть такая ситуация, что и менеджер паролей тоже смогут взломать.
Если пароли хранятся в интернете, то в случае взлома аккаунта на сайте (что гораздо проще чем получить доступ к приложению на компьютере) все пароли станут доступны злоумышленнику. Частично от этого можно застраховаться если на особо важных паролях добавлять лишние символы по какому-либо алгоритму (например, через каждые 5 символов вводить лишний символ), а при вводе на сайте их удалять (что не совсем удобно).
- Где только возможно (особенно на особенно важных ресурсах) используйте двухфакторную аутентификацию.
- Соблюдайте общие правила безопасности в интернете.
Как усложнить пароль
Часто для создания паролей используется какой-либо текст (слова, предложения и т.п.). Это обеспечивает его более лёгкое запоминание. Но такие пароли не очень стойкие.
Для исправления этого даны некоторые советы, которые должны сделать ваш пароль более сложным. И чем больше из предложенных ниже вариантов вы используете, тем будет лучше.
- Чередуйте заглавные и строчные буквы.
Также можно "привязать" чередование к, например, количеству букв в название сайта: если букв чётное число то заглавная буква каждая третья, а если букв не чётное число то заглавная буква каждая вторая.
- Если в пароле используется какое-либо слово (или слова), то при допущении в этом слове 1-2 орфографических ошибок (например, "сомалет" вместо "самолёт") стойкость пароля возрастает... но, скорее всего, незначительно.
- В словах меняйте буквы или слоги местами.
- Используйте набор русских слов, но с включенной латинской (английской) раскладкой клавиатуры.
Добавление цифр и знаков, смена регистров, орфографические ошибки усложняет расшифровку и повышает надежность пароля. Однако, лучше использовать эффективность смены раскладки в сочетании с другими способами.
Кроме того, такой пароль очень трудно ввести на планшете или смартфоне, ведь у вас перед глазами не будет подсказки в виде привычных клавиш с русскими буквами.
- Используйте специальные термины.
В различных узко профессиональных специализациях существуют особые термины и названия, не встречающиеся в широком обиходе. Поэтому подобрать такой пароль может быть сложнее.
Например: "кроссинговер" или "хумилёр".
Добавление цифр и знаков, смена регистров или использование нескольких слов усложняет расшифровку и повышает надежность пароля.
- Используйте несколько слов.
Для создания данного пароля используют несколько слов (лучше всего случайных) или целое предложение (лучше всего абсурдное). Например, "Мой школьный друг Олег любил переплывать Волгу" или "Единорог летел за медной рудой на крыльях пегаса".
- Добавление цифр и знаков, смена регистров, набор русских слов с латинской раскладкой усложняет расшифровку и повышает надежность пароля. Например, "rfr;tdsvytdctyfljtkb" (использовано предложение "как же вы мне все надоели").
- Надежность пароля станет выше, если второе слово вставить в середину первого. Например, из слов "пароль" и "почты" получается "парпочтыоль".
- Надежность пароля станет выше, если буквы или слога будут перемешены. Например, из слов "булка", "тезис" может получиться "бтуелзкиас" или "бултеказис".
- Если используется целое предложение то можно брать первые 1-3 буквы из слов предложения. Например, фраза из фильма джентльмены удачи "Кушать подано, садитесь жрать пожалуйста!". Если использовать 2 первые буквы то у вас получится "купосажрпо". А если поменять раскладку то у вас получится "regjcf;hgj".
- Создание пароля удалением букв.
Этот способ заключается в том, что выбираются несколько слов (лучше всего случайных) или целое предложение (лучше всего абсурдное). И из них выкидываются буквы по какому либо правилу.
Например, предложение будет "Каникулы в Простоквашино", а выкидывается каждая третья буква или все гласные. Тогда получится "КаиклыПрстквшио" или "КкнклвПрстквшн".
Добавление цифр и знаков, смена регистров, набор русских слов с латинской раскладкой усложняет расшифровку и повышает надежность пароля.
- Двойной ввод пароля.
Как известно чем длиннее пароль, тем он считается более надёжным. И в этом правиле пароль ставится два раза для увеличения общей длины пароля.Например, пароль "кролик". Он вводится два раза и получается пароль "кроликкролик".
- Для большей надёжности между словами ставится какие-либо цифры и/или спецсимволы и получается "кролик753951кролик".
- Для большей надёжности можно второе слово вводить большими буквами, тогда получается "кроликКРОЛИК".
- Есть разновидность этого метода когда одна половина набирается как пишется слово, а второе слово набирается задом наперёд. Например, "кролик753951килорк".
- Есть разновидность когда одно слово набирается в латинской раскладке, а другое в переводе на какой-либо язык. Например, в примере "rhjkbr753951rabbit" слово "кролик" было переведено на английский.
- Создание пароля фигурами
Суть метода состоит в том, что вы представляете на клавиатуре контуры какой-то фигуры (рисунка, буквы, цифры и т.п.). И пароль состоит из символов, через которые проходит этот контур.
Этот метод не надёжен, т.к. относительно легко может быть взломан. Можно применять как составную часть более сложных паролей.
- Воспользуйтесь метод Leet ("Hackspeak")
Leet, он же "Hackspeak" работает путём замены отдельных букв в слове цифрой, символом, или группой цифр или символов, напоминающих букву.
Такие пароли трудно взломать традиционными хакерскими программами, нацеленными на перебор слов, но легко запомнить самому пользователю.
Например, "Хакер" пишется "| - | @ K3R", где "| - |" представляет "H", "@" представляет собой "а", а "3" пишется вместо "е".
Изначально Leet применялся группой хакеров в 1980-х годах, тогда им пользовались для передачи секретных сообщений среди членов сообщества.
Изначально Leet применялся группой хакеров в 1980-х годах, тогда им пользовались для передачи секретных сообщений среди членов сообщества.
Тем не менее, некоторые пользователи Интернета могут его читать, хотя и с трудом. Но его не могут прочитать компьютеры, поэтому спамеры стали его использовать в рассылках, чтобы обойти спам-фильтры.
- Используйте специальные символы.
Некоторые программы позволяют использовать специальные символы, кроме тех, которые используются обычно. Но зачастую они просто считаются недопустимыми и их использовать нельзя.
Эти символы получают нажав ALT и какие либо цифры. После опускания ALT появится какой либо символ. Но даже использование одного и того же наборов символов в разных программах может иметь разное значение. Например, в ворде нажав ALT и набрав "3210" получится символ " ಊ ", нажав ALT и "6540" получится " ᦌ ", нажав ALT и "3333" получится " അ ". Набрав же данные цифры на данной странице (т.е. в данном блоге) у меня получатся, соответственно, следующие символы "К", "М" " ♣ ".
Но можно копировать понравившийся вам символ. Правда в этом случае сильно затрудняется ввод с других устройств.
Простой сложный надёжный пароль
Ниже написан способ создания универсального надёжного и запоминаемого пароля.Он не будет лишним, т.к. у обычного пользователя довольно много паролей. И все их запомнить просто не реально. И вот в этом случае есть два варианта:
- Использование менеджера паролей (об этом было написано выше). Главный плюс - нужно запомнить только один пароль.
- Создание универсального пароля... но не одного и того же для всех мест! Главный плюс - пароль легко запоминается и может иметь достаточно высокую надёжность.
Главное при создании универсального пароля - разработать общие для всех правила и следовать им в дальнейшем.
Но если подойти халатно к созданию универсального пароля, то узнав один пароль могут взломать аккаунты и для других сайтов с таким паролем.
Есть и другой минус - если сайты заставляют менять пароли с какой-то периодичностью то вам написанное ниже не очень то и поможет (вариант решения приведён выше, но он может подойти не для всех).
Создание универсального пароля происходит в 3 этапа.
- Создание ПОСТОЯННОЙ части пароля. Одной или нескольких. Именно эта часть отвечает за основную защиту. Варианты создания таких паролей приведены выше, но вы можете придумать что-то своё.
- Создание ПЕРЕМЕННОЙ части пароля. Одной или нескольких. Именно эта часть служит для того, чтобы пароли были разными на разных сайтах.
- Для этого обычно используется используют часть адреса (или, реже, названия) сайта. Но может использоваться и весь адрес сайта. Стоит помнить, что могут возникнуть проблемы будут в случае смены сайтом адреса. Но тут уж вам придётся воспользоваться восстановлением пароля.
Именно здесь есть риск для подбора пароля для всех сайтов в случае если пароль как-либо узнают и увидят часть названия сайта. Для усложнения можно использовать различные методы, которые должны быть одинаковыми для всех сайтов. Например: - использовать часть адреса сайта не с начала. Возможно и с конца слова. Например, для "yandex" использовать "ndex","dnay", "xedn".
- использовать только некоторые буквы из адреса сайта. Например, 2-ю и 4-ю. Например, для "yandex" это будут буквы "a" и "d".
- переставлять буквы местами.
- использовать какой-либо кодировщик. В качестве кодировщика, на мой взгляд, удобно использовать генератор хэша, например, форматов md5, sha1, sha3, ripemd и т.п.. Найти его в интернете просто, наберите в поисковике "генератор хэша" и уточните какого. Например, "онлайн генератор хэша md5".
И использовать лучше всего не всё название, а лишь какую-либо часть.
Например, для "yand" если использовать генератор md5 то это будет комбинация "fd65121d5aecff63c8a419b549e54be2". А если использовать генератор SHA-384, то будет комбинация "d5af29fa2742f7fcc04f604cb3467300a408d3487ac6f62d9522d08e05f59657c5aa9fa05c90476567fd7dfc25337c55".
Можно использовать и меньшее количество символов, например, первые 15. И добавить что-либо для усложнения. Например, какой-либо символ и заглавную букву.
Согласитесь, взломать или подобрать такой пароль будет проблематично. Но проблемы будут если их использовать везде - надо будет постоянно заходить в интернет для поиска генератора.
Вместо генератора хэша можно использовать и какой-либо другой генератор. Например, ищите в поисковике как "онлайн кодировка Base58", "онлайн кодировка Base64" и т.п. - реже используют цифры для переменной части.
- Это могут количество букв в полном названии сервиса. Например, для "yandex" это цифра будет "6", а для "mail" это цифра будет "4".
- Можно пойти другим путём и для цифр использовать количество гласных или согласных в слове. И вводить как одно из получившихся чисел, так и оба: подряд (в том числе и через другие знаки типа "!" или "-") или в разных местах (например, перед паролем или в какой-либо его части).
- И совсем уж усложнённым способом является в использовании каких-либо математических действий. Для удобства можно выполнять действия, которые есть в любом калькуляторе на компьютере или на смартфоне (логарифмы, возведение в степень, извлечение корня и т.п.).
Цифры для действий берутся из названия сайта. Главное разработать какое-либо правило. Например, возьмём сайт Gosuslugi, из которого можно взять следующие цифры: 9 (столько всего букв), 6 (согласные буквы), 4 (гласные буквы). Могут получиться следующие пароли
- 95424250943932487459005580651023 . Здесь был использован логарифм 9, без первого нуля и запятой.
- 1296 . Здесь было использовано 6 в степени 4
- 1126050015345745300350671919184 . Здесь был использован логарифм 1296, который был получен в предыдущем случае, без первой цифры 3 и запятой
10510423526567646251150238013988 . Здесь был использован тангенс из 6.
Но проблемы такой переменной части заключаются в необходимости проведения математических действий - это понравится не всем. - дополнительная переменную часть, которая подбирается в зависимости от того, для чего предназначен этот сайт (работа, развлечение, общение и т.п.).
- сменяемая переменная часть. Создаётся если пароль надо менять с какой-либо периодичностью. Обозначается так, как часто меняете пароль, создаётся как можно сложнее по любому алгоритму.
Пример есть в начале статьи. - Создание правила для размещения постоянной и переменной части пароля друг относительно друга. Очень хорошо при этом чтобы не было осмысленных фраз. Поэтому их лучше как-либо разбивать.
Попробуйте объединить всё вышеперечисленное и создать свой пароль.
Вот вам один из хороших примеров универсального пароля.
- Постоянная часть
- слово "легкие". Буквы "и" и "е" меняются местами (для создания орфографической ошибки). Получается "лигкеи". Слово переводится на транслит, получается "ligkei". Слово разбивается на слоги "lig" и "kei". Каждый слог начинается на большую букву: "Lig" и "Kei".
- в начале и в конце пароля - восклицательные знаки.
- цифры "314" (для запоминания: число пи) и цифры "981" (для запоминания: число ускорения свободного падения).
- Переменная часть.
- первые три буквы названия сайта. Если букв не хватает (меньше трёх) - то добавляем цифру "5".
- последние три буквы названия сайта, в обратном направлении (справа налево). Если букв не хватает (меньше трёх) - то добавляем цифру "5".
- цифра - количество букв в названии сайта
- Создание правила (плюс не вводится): ! + первые цифры постоянной части + первый слог постоянной части + первая переменная часть + вторые цифры постоянной части + второй слог постоянной части+ вторая переменная часть + цифры переменной части + !
Вот получившиеся примеры паролей для сайтов:
- для сайта "yandex": !314Ligyan981Keixed6!
- для сайта "mail": !314Ligmai981Keilia4!
- для сайта "gosuslugi": !314Liggos981Keiigu9!
- для сайта "google": !314Liggoo981Keielg6!
- для сайта "vk": !314Ligvk5981Keikv52!
Ниже приведён другой вариант универсального пароля, но похуже
- Постоянная часть: слово "RabbiT" (первая и последняя буква большие), два восклицательных знаков
- Переменная часть: адрес сайта, перед которым добавлена цифра с количеством букв в адресе. Получившаяся комбинация хэшируется по алгоритму "ripemd".
- Создание правила (плюс не вводится): RabbiT + !! + переменная часть
Вот получившиеся примеры паролей для сайтов:
- для сайта "yandex": RabbiT!!4462496fb632d07ce1ed7c141dad5061520d57d7
- для сайта "mail": RabbiT!!745a1c54190a4fcd09eb17711ebedec98ec510b9
- для сайта "gosuslugi": RabbiT!!ed90e5f8b7a5bc8b67fc542eef8310e4c2bec144
- для сайта "google": RabbiT!!c29fb0278790b7e70ab9d85200aebb31aac6f78a
- для сайта "vk": RabbiT!!685b2d7535079ab0e60be68373ba163401e36c73
проверяю надежность! на разных сайтах они по разному время вскрытие пишут пароль один и-тот-же каму верить? https://password.kaspersky.com/ru/ https://howsecureismypassword.net/
ОтветитьУдалитьДоброго времени суток!
УдалитьСкорее всего это связано с разными алгоритмами проверки на брутфорс (т.е. метод перебора).
К тому же хочу обратить ваше внимание на то, что эксперты считают, что проверка на любых внешних ресурсах компрометирует пароль.
Я бы не стал проверять надёжность пароля сторонними ресурсами
ОтветитьУдалитьОтредактировано 4.11.2022
ОтветитьУдалитьВ основном переписал универсальный способ создания паролей. Но немного дополнил и выше.