Самый надежный пароль: «Какие пароли самые надежные?» – Яндекс.Кью – «Как придумать надёжный пароль?» – Яндекс.Знатоки

Содержание

Эксперты по кибербезопасности опубликовали список из двухсот самых используемых паролей 2019 года

Независимые специалисты по информационной безопасности проанализировали 500 млн паролей, которые оказались в публичном доступе в результате взломов и утечек данных в 2019 году. Часть паролей были достаточно простые и часто повторялись, а ведь их использовали разные пользователи. Обработав эти данные и сопоставив наиболее встречающиеся пароли по наибольшему количественному значению их использования, был составлен список, включающий в себя двести самых распространенных паролей в мире. Именно такие самые распространенные пароли использовали в 2019 году более 20,5 млн пользователей для своих аккаунтов в социальных сетях, личных кабинетах различных сервисов и электронных почтовых ящиков. Специалисты компании NordPass опубликовали этот список паролей в своем блоге.


Оказалось, что в 2019 году пользователи не изменили своих предпочтений в простоте и выборе паролей. Самые популярные пароли состоят из очевидных и легко угадываемых комбинаций чисел (12345,111111,123321), популярных женских и мужских имен (Николь, Джессика, Ханна, Джошуа, Саманта, Эндрю), наименований различный брендов, видов спорта и просто строк из букв, образующие горизонтальные или вертикальные линии на компьютерной клавиатуре типа QWERTY (asdfghjkl, qazwsx, 1qaz2wsx).

Первая десятка паролей, которую используют около 10,25 млн пользователей, согласно утечкам их данных:

1. 12345 (2 812 220 совпадений)
2. 123456 (2 485 216 совпадений)
3. 123456789 (1 052 268 совпадений)
4. test1 (993 756 совпадений)
5. password (830 846 совпадений)
6. 12345678 (512 560 совпадений)
7. zinch (483 443 совпадений)
8. g_czechout (372 278 совпадений)
9. asdf (359 520 совпадений)
10. qwerty (348 762 совпадений)

Пользователи продолжают все чаще использовать простые и даже одинаковые пароли по нескольким причинам. Во-первых, такие пароли легко запомнить или быстро записать на бумажку. Во-вторых, многие пользователи думают, что им нечего скрывать, поэтому и защищать свои личные данные особо не стараются. В-третьих, количество сервисов растет с каждым годом, а ведь для каждого из них нужен свой пароль, поэтому пользователи просто не задумываются, что все эти пароли должны быть сложными и разными и часто используют один и тот же.

Конечно, сейчас уже начали развиваться сервисы вроде Sign in with Apple («Вход с Apple»), с помощью которых пользователь более защищен в этом плане, так как позволяют пользователям регистрироваться на сайтах и в приложениях в один клик, не оставляя при этом своих личных данных, и не заставляя их придумывать новые пароли и логины. Но подобные сервисы еще не обрели достаточной популярности, и пользователям все равно нужно задуматься о своей сетевой безопасности.

«Подумайте о безопасности в сети, вы же закрываете дверь, выходя из дома. Даже если внутри нет ничего ценного, вы все равно не хотите, чтобы злоумышленники рылись в ваших личных вещах или забрали их себе. Почему же вы не хотите следовать такой же логике в своей онлайн-жизни?» — спрашивают специалисты компании NordPass и напоминают, что злоумышленникам последние годы стало намного проще организовывать процесс взлома пользовательских данных. А по факту через некоторое время после взлома уже пострадавшие пользователи начинают сталкиваются с блокировкой своих же учетных записей, например, в электронной почте, облачном хранилище, и далее испытывают определенные трудности с их восстановлением, если такое вообще будет возможно после хорошо организованной атаки на их виртуальную личность.

200 самых популярных и используемых пользователями паролей в 2019 году

1. 12345

2. 123456

3. 123456789

4. test1

5. password

6. 12345678

7. zinch

8. g_czechout

9. asdf

10. qwerty

11. 1234567890

12. 1234567

13. Aa123456.

14. iloveyou

15. 1234

16. abc123

17. 111111

18. 123123

19. dubsmash

20. test

21. princess

22. qwertyuiop

23. sunshine

24. BvtTest123

25. 11111

26. ashley

27. 00000

28. 000000

29. password1

30. monkey

31. livetest

32. 55555

33. soccer

34. charlie

35. asdfghjkl

36. 654321

37. family

38. michael

39. 123321

40. football

41. baseball

42. q1w2e3r4t5y6

43. nicole

44. jessica

45. purple

46. shadow

47. hannah

48. chocolate

49. michelle

50. daniel

51. maggie

52. qwerty123

53. hello

54. 112233

55. jordan

56. tigger

57. 666666

58. 987654321

59. superman

60. 12345678910

61. summer

62. 1q2w3e4r5t

63. fitness

64. bailey

65. zxcvbnm

66. fuckyou

67. 121212

68. buster

69. butterfly

70. dragon

71. jennifer

72. amanda

73. justin

74. cookie

75. basketball

76. shopping

77. pepper

78. joshua

79. hunter

80. ginger

81. matthew

82. abcd1234

83. taylor

84. samantha

85. whatever

86. andrew

87. 1qaz2wsx3edc

88. thomas

89. jasmine

90. animoto

91. madison

92. 0987654321

93. 54321

94. flower

95. Password

96. maria

97. babygirl

98. lovely

99. sophie

100. Chegg123

101. computer

102. qwe123

103. anthony

104. 1q2w3e4r

105. peanut

106. bubbles

107. asdasd

108. qwert

109. 1qaz2wsx

110. pakistan

111. 123qwe

112. liverpool

113. elizabeth

114. harley

115. chelsea

116. familia

117. yellow

118. william

119. george

120. 7777777

121. loveme

122. 123abc

123. letmein

124. oliver

125. batman

126. cheese

127. banana

128. testing

129. secret

130. angel

131. friends

132. jackson

133. aaaaaa

134. softball

135. chicken

136. lauren

137. andrea

138. welcome

139. asdfgh

140. robert

141. orange

142. Testing1

143. pokemon

144. 555555

145. melissa

146. morgan

147. 123123123

148. qazwsx

149. diamond

150. brandon

151. jesus

152. mickey

153. olivia

154. changeme

155. danielle

156. victoria

157. gabriel

158. 123456a

159. 0.00000000

160. loveyou

161. hockey

162. freedom

163. azerty

164. snoopy

165. skinny

166. myheritage

167. qwerty1

168. 159753

169. forever

170. iloveu

171. killer

172. joseph

173. master

174. mustang

175. hellokitty

176. school

177. Password1

178. patrick

179. blink182

180. tinkerbell

181. rainbow

182. nathan

183. cooper

184. onedirection

185. alexander

186. jordan23

187. lol123

188. jasper

189. junior

190. q1w2e3r4

191. 222222

192. 11111111

193. benjamin

194. jonathan

195. passw0rd

196. 0123456789

197. a123456

198. samsung

199. 123

200. love123

Специалисты компании NordPass советуют каждому пользователю:

  • удалить старые и неиспользуемые ими аккаунты и странички в различных сервисах, если это возможно;
  • менять пароли минимум раз в полгода, используя сложные и уникальные комбинации, которые невозможно предугадать, причем пароли должны отличаться для каждого сервиса и аккаунта;
  • активировать двухфакторную аутентификацию везде в сервисах, где это возможно, например, с подтверждение кодом по SMS;
  • проверять свои аккаунты и используемые сервисы на предмет подозрительной деятельности в личном кабинете, если там появились новые сообщения или наоборот старые были кем-то удалены, то возможно, что произошла их компроментация;
  • использовать специальные менеджеры паролей.

Самый надежный пароль — AsWin.ru

Автор Админ_Женя На чтение 3 мин. Опубликовано

Любой пароль взломают. Было бы желание. Но мы не станем облегчать чью то жизнь.

Тоже самое с плохим паролем.

Как создать надежный пароль на компьютер? Что необходимо учесть? Так же поговорим о паре нюансов, расскажем — чего делать не стоит и коснёмся самых популярных в мире паролей.

Будете чувствовать себя уверенно в такой ситуации: вы далеко от дома, а ключи от вашей квартиры остались вставленными в дверь?

Навряд ли. Тогда как вам удаётся сохранять невозмутимость, зная, что пароль от вашей драгоценной почты, аккаунта VK, каких то приватных данных и т.п. представляет из себя что то типа: “QWE123ZX” ?

Ведь взломать такой pass, всё равно что дать злоумышленнику ключ от двери! Минимум усилий, да делай что хочешь!

Создаём надежный пароль. Как?

 

1. Оптимальная длина. Это элементарный совет, но он работает. Добавь к паролю лишние два-три символа, и этим ты сильно усложнишь потенциальным хакерам жизнь.

совет от Кэпа: побольше символов…тысяча чертей!

По данным определённых исследований, лучшим решением будет создавать пароль состоящий не менее, чем из 6-7 символов.

2. Используйте всё! Что сюда входит? Пароль должен содержать:

Заглавные (A, J, K и т.д.) и мелкие буквы (r,w,g.),

цифры и спецсимволы ($,!,& и т.п.)

3. Задействуйте все области клавиатуры

Мысленно поделите клавиатуру на 4 части. Спросите себя: “Включает ли мой пароль символы из всех четырёх областей?” В идеале  — должен.

Как запомнить полученную абракадарбу?

Она должна очень хорошо ассоциироваться с чем то. Что маловероятно, если создавать пароль по всем правилам.

Ещё есть мнение, что для лучшей безопасности его нельзя записывать.[adsense]

Это не совсем так, его не стоит сохранять в: онлайн документах, на работе или других местах, где до него могут добраться чужие люди. И раз уж мы затронули тему мифов, то коснёмся их подробнее.

Странные мифы.

Почаще меняйте пароль. Правда или миф? Зависит от частоты. Раз в 9-12 месяцев — нормально, чаще — перебор.

Пользуйтесь сервисами подбора паролей. В инете есть такие, работающие онлайн (!). На выходе вы получите весьма мудрёную комбинацию, например: Zj1qO8_7h

Вопрос в том, каким образом работают эти сервисы, не задумывались? Имеется определённый алгоритм их составления и нет гарантий, что точно таким же алгоритмом не воспользуется нехороший человек.

К тому же, эти онлайн системы однозначно сохраняют где то у себя в логах все сгенерированное, а это небезопасно.

Дополнительные меры.

Придумать безопасный, надёжный пароль для Windows  — это лишь половина дела. Безопасность не будет полной, если не соблюдать другие правила, в частности:

1. установить антивирус (имеется масса “клавиатурных шпионов”, которым не важна сложность вашего пароля, он банально записывает всё, что было нажато на клавиатуре)[adsense]

2. для самых серьёзных онлайн операций используйте спец. возможности: для касперского — безопасные платежи, для Avast — SafeZone.

3. Перед вводом пароля на сайте — убедитесь, что в адресной строке указан именно нужный вам url

В 1-м варианте буква “о” заменена буквой “а” Казалось бы такая мелочь, да? А в 3-м — пропущен символ “i”

4. У серьёзных ресурсов имеется несколько уровней идентификации: помимо пароля попробуйте привязать учетную запись к номеру телефона, придумать секретный вопрос, добавить e-mail для связи.

P.S. самые распространённые в мире пароли, это: 12345, qwerty, 1а2б3в.

Или они содержат в 17% — день рождения человека, его имя (10%) или номер мобилки — опять же 10%.

Простые пароли — в топку!

Когда речь заходит о выборе пароля, лучше всего приложить максимум своей фантазии. В противном случае, однажды, проснувшись рано утром, вы не сможете зайти в одну из социальных сетей или почувствуете себя на месте Дженнифер Лоуренс. Давайте рассмотрим сочетания, которых точно не должно быть в вашем списке, а также программы, позволяющие генерировать надежные пароли.

В большинстве случаев, пользователи предпочитают надежности простоту, и создают пароли, которые очень легко запомнить. Поэтому их часто взламывают, крадут крайне важные данные, странички в социальных сетях и деньги.

password_580-100022344-large

Список простых паролей, которые чаще всего используют, а значит и взламывают:

  • Цифры в возрастающем или убывающем порядке. Это может быть 1234, 12345 или 9876. По многим опросам, это самые популярные пароли. Вы же не хотите сделать такую же ошибку? Тогда быстро выбрасывайте его в корзину!
  • Буквы и цифры по порядку. Еще одно прекрасное сочетание — abc123 или 123abc. Будьте смелее, как минимум, перемешайте символы.
  • Дата рождения. Никогда не пишите в пароле свою дату рождения, ни в какой комбинации: 03051995 или 19760327. Да, это очень легко запомнить, но и очень легко взломать.
  • Имя или фамилия. Вот еще один прекрасный пример, как не нужно делать — писать свое имя или фамилию: michael, dasha или ivanov.
  • Password. Еще один отличный пароль — «пароль». Что может быть более оригинальным? Пароль «пароль» тоже отправляем в топку.
  • Спорт. Если вы фанат спорта, вполне возможно, у вас в паролях будут спортивные термины: football, basketball, skating, joga, swimming и тому подобные. О них тоже стоит забыть!
  • Комиксы. Ну а если вы любите комиксы, среди ваших паролей обязательно встретится superman или batman. При взломе вашей почты их сверхспособности вам не помогут!
  • Средиземье. Толкинистам я советую не использовать имена и названия различных существ, земель и имена, вроде middle-earth, hobbit, dragon, gandalf, saruman, sauron. Их силы не действуют в человеческом мире, они не защитят от взлома!
  • Фауна. Очень часто пользователи используют и названия животных в качестве пароля: monkey, horse или lion. Давайте будем любить братьев наших меньших вне сети!

Чтобы не морочить себе голову и не придумывать сложный пароль, который можно легко забыть или потерять, используют специальные программы. Одной из самых популярных остается 1Password для OS X и iOS. Она генерирует сложные пароли из строчных и заглавных букв, цифр и разных спецсимволов. Вы сможете сохранить в 1Password уже имеющиеся пароли, а также отследить их надежность. Главное — придумать надежный пароль для входа в саму программу.

hack-like-pro-remotely-grab-encrypted-passwords-from-compromised-computer.w654

Самый большой конкурент 1Password — программа LastPass. Это тоже отличная программа, она тоже генерирует и хранит пароли. LastPass бесплатна, за исключением некоторых функций, но и без них достаточно эффективна и надежна.

Вообще, если сейчас зайти в App Store, можно найти множество программ, хранящих пароли, есть и различные интересные сервисы под Mac, вроде Keepass или Splashdata. Да и сам браузер Safari прекрасно справляется и с хранением, и с генерацией паролей. Так что сейчас вам не нужно держать в голове множество разнообразных комбинаций. Достаточно просто придумать нечто оригинальное и сохранить в одной из программ.

А пользуетесь ли вы программами для хранения паролей или все запоминаете по-старинке?

hack-like-pro-remotely-grab-encrypted-passwords-from-compromised-computer.w654

Цена:
Бесплатно

hack-like-pro-remotely-grab-encrypted-passwords-from-compromised-computer.w654

Цена:
Бесплатно

hack-like-pro-remotely-grab-encrypted-passwords-from-compromised-computer.w654

Цена:
Бесплатно

Самые популярные пароли в Интернете! Топ-200

Добрый день, недавно в интернете нашел интересную подборку самых популярных паролей. Я хочу не только поделиться её с вами, но и предупредить. Если ваш пароль попадает в этот список, то взломать вас будет очень просто, если захотят, то сделают это с 100% вероятностью! Я всегда советую использовать сложные пароли, типа %G87dk3*$gf67V Вот с таким паролем вы будете в полной безопасности. В этой статье не буду расписывать, как защитить себя и свои данные в Интернете, я сделаю в будущем отдельный пост. А сейчас встречайте:

Самые популярные пароли

123456
123456789
qwerty
111111
1234567
666666
12345678
7777777
123321
0
654321
1234567890
123123
555555
vkontakte
gfhjkm
159753
777777
TempPassWord
qazwsx
1q2w3e
1234
112233
121212
qwertyuiop
qq18ww899
987654321
12345
zxcvbn
zxcvbnm
999999
samsung
ghbdtn
1q2w3e4r
1111111
123654
159357
131313
qazwsxedc
123qwe
222222
asdfgh
333333
9379992
asdfghjkl
4815162342
12344321
любовь
88888888
11111111
knopka
пароль
789456
qwertyu
1q2w3e4r5t
iloveyou
vfhbyf
marina
password
qweasdzxc
10203
987654
yfnfif
cjkysirj
nikita
888888
йцукен
vfrcbv
k.,jdm
qwertyuiop[]
qwe123
qweasd
natasha
123123123
fylhtq
q1w2e3
stalker
1111111111
q1w2e3r4
nastya
147258369
147258
fyfcnfcbz
1234554321
1qaz2wsx
andrey
111222
147852
genius
sergey
7654321
232323
123789
fktrcfylh
spartak
admin
test
123
azerty
abc123
lol123
easytocrack1
hello
saravn
holysh!t
1
Test123
tundra_cool2
456
dragon
thomas
killer
root
1111
pass
master
aaaaaa
a
monkey
daniel
asdasd
e10adc3949ba59abbe56e057f20f883e
changeme
computer
jessica
letmein
mirage
loulou
lol
superman
shadow
admin123
secret
administrator
sophie
kikugalanetroot
doudou
liverpool
hallo
sunshine
charlie
parola
100827092
/
michael
andrew
password1
fuckyou
matrix
cjmasterinf
internet
hallo123
eminem
demo
gewinner
pokemon
abcd1234
guest
ngockhoa
martin
sandra
asdf
hejsan
george
qweqwe
lollipop
lovers
q1q1q1
tecktonik
naruto
12
password12
password123
password1234
password12345
password123456
password1234567
password12345678
password123456789
000000
maximius
123abc
baseball1
football1
soccer
princess
slipknot
11111
nokia
super
star
666999
12341234
1234321
135790
159951
212121
zzzzzz
121314
134679
142536
19921992
753951
7007
1111114
124578
19951995
258456
qwaszx
zaqwsx
55555
77777
54321
qwert
22222
33333
99999
88888
66666
А вы нашли свой пароль в этом списке?

Если вам помогла или понравилась данная статья, не забудьте поставить свой лайк, это поможет другим пользователям найти её быстрей. А я смогу узнать, что интересует вас больше всего, чтобы подготовить и написать еще больше интересных и полезных статей! С уважением, Вячеслав.

Также стоит прочитать:

Самые популярные пароли в России и в мире

Самые популярные пароли в россииСамые популярные пароли в россии

Информационной безопасностью не стоит пренебрегать! Ниже я представлю самые популярные пароли в России и в мире, которые пользователи ставят на WiFi, на свои странички в социальных сетях ВК, Одноклассники, Фейсбук, Инстаграм и потом искренне удивляются почему же их взломали. И уж сколько раз твердили миру, что пароль должен быть сложным, состоять как из заглавных, так и прописных букв, содержать цифры, спецсимволы и быть не короче 8, а лучше 10 символов. Но лень человеческая, к сожалению, делает своё чёрное дело играя на руку различным хулиганам и мошенникам. Если и Вы пользуетесь одним из паролей, который входит в список плохих паролей, то настоятельно советую всё же позаботиться о своей безопасности и сменить его на более устойчивый к взлому.

Приведённые ниже данные собраны на основе статистических исследований компаний SplashData, Yandex, Google и Mail.ru, а так же в результате анализа списков паролей для брутфорса беспроводных сетей WiFi и аккаунтов в соцсетях, выложенных в свободном доступе в Интернете.

Популярные цифровые пароли:

12345
123456
1234567
12345678
123456789
987654321
1234554321
111222
123123
654321
121212
131313
123123123
121314
123789
112233
111111
222222
55555
666666
000000

Самые распространенные пароли в мире:

password
password1
password12
password123
password1234
qwerty
iloveyou
admin
administrator
admin123
abc123
abcd1234
1q2w3e
1q2w3e4r
1q2w3e4r5t
q1q1q1
[email protected]#$%^&*
aa123456
qwerty123
123qweqwe123
passw0rd
qazwsx
zxcvbn
qwaszx
qazwsxedc
qwertyuiop
asdfgh
asdfghjkl
test
killer
root
pass
master
fuckyou
internet

самые распространенные пароли вк wifi и на телефонесамые распространенные пароли вк wifi и на телефоне

Популярные пароли в России:

На этом разделе я хочу остановиться более подробно. Я разделил пароли Дело в том, что пароли в виде русских слов, набранных транслитом либо на русском языке, но английской раскладке являются уже более-менее нормальными, по сравнению, с приведёнными выше. Иностранному взломщику уже сложнее будет его подобрать. Но не стоит забывать, что есть и русскоговорящие злоумышленники, которые прекрасно знают особенности нашего менталитета и тоже имеют достаточно объёмный список распространённых паролей в России, в которые входят все имена и различные популярные слова, набранные в разных вариациях. Вот самые часто встречающиеся по статистике:

vkontakte
odnoklassnik
gfhjkm
ghbdtn
cjkysirj
putin1
samsung
superman
pokemon
matrix
nokia
knopka
stalker
spartak
computer

Имена:
yfnfif
vfrcbv
vfhbyf
k.,jdm
fylhtq
fyfcnfcbz
fktrcfylh
natasha
nastya
marina
andrey
andrew
sergey
nikita
victor

Пароли на кириллице:
любовь
пароль
пароль1
йцукен
дурак
Яфй1чыц2
отвали
россия
откройся


Сложность пароля — Википедия

Сло́жность (или сила, стойкость) паро́ля — мера оценки времени, которое необходимо затратить на угадывание пароля или его подбор каким-либо методом, например, методом полного перебора. Оценка того, как много попыток (времени) в среднем потребуется взломщику для угадывания пароля. Другое определение термина — функция от длины пароля, его запутанности и непредсказуемости.

Слабый пароль — пароль, который может быть легко угадан или подобран методом полного перебора. Сильный пароль — пароль, который трудно угадать и долго подбирать методом полного перебора.

Использование сложных паролей увеличивает время, необходимое взломщику для подбора пароля, не отменяет необходимости использования других мер безопасности. Эффективность пароля заданной силы зависит от проектирования и реализации программного обеспечения систем аутентификации, в частности, от того, насколько быстро система аутентификации будет отвечать атакующему при его попытках подобрать пароль, и как надёжно хранится и передаётся информация о пароле. Риски также представлены некоторыми способами взлома безопасности компьютера, не относящимися к сложности пароля. Это такие методы как фишинг, кейлоггинг, телефонная прослушка, социальная инженерия, поиск полезной информации в мусоре, атака по сторонним каналам, уязвимости в программном обеспечении, бэкдоры, эксплойты.

Существуют два фактора, определяющих сложность пароля:

  • лёгкость, с которой атакующий может проверить истинность угадываемого пароля;
  • среднее количество попыток, которые атакующий должен предпринять, чтобы найти правильный пароль.

Первый фактор определяется тем, как пароль хранится, и тем, для чего он используется. Второй фактор определяется длиной пароля, набором используемых символов и тем, как пароль был создан.

Проверка предположительного пароля на правильность[править | править код]

Самый очевидный способ проверить догадку — попытаться использовать угадываемый пароль для получения допуска к защищённому паролем ресурсу. Однако этот способ может быть медленным или вообще невозможным, поскольку достаточно часто системы задерживают или блокируют доступ к аккаунту после нескольких попыток ввода неверных паролей. Системы, использующие пароли для аутентификации, должны хранить их в каком-либо виде для сверки с паролями, вводимыми пользователями. Обычно, вместо пароля хранят значение криптографической хеш-функции от пароля. Если хеш-функция достаточно сложная, вычислить пароль по хешу пароля сложно, то есть атакующий, возможно, не сможет восстановить пароль из украденного хеша. Однако знание хеша пароля и хеш-функции позволяет атакующему быстро проверять предположительные пароли, не обращаясь к атакуемой системе.

Если пароль используется для формирования криптографического ключа, используемого для шифрования данных, атакующий может быстро проверить правильность угадываемого пароля, судя по тому, успешно ли расшифровываются зашифрованные данные.

Если в системе хранения паролей не используется криптографическая соль, то атакующий может заранее вычислить значения хеш-функции для распространённых паролей и для паролей, длина которых меньше определённой длины. Используя полученные хеши, злоумышленник может быстро восстанавливать пароли по их кешу. Заранее рассчитанные хеши паролей можно эффективно хранить, используя радужную таблицу. Такие таблицы доступны в интернете для некоторых публичных систем аутентификации паролей.

Создание пароля[править | править код]

Пароли создаются или автоматически (с использованием генераторов случайных чисел), или человеком. Стойкость пароля к атаке методом полного перебора может быть вычислена точно.
В большинстве случаев пароли создаются людьми, например, во время создания аккаунтов для компьютерных систем или веб-сайтов. Люди создают пароли, руководствуясь советами или набором правил, но при этом склонны следовать шаблонам, что играют на руку атакующему. Списки часто выбираемых паролей распространены для использования в программах угадывания паролей. Словарь любого языка является таким списком, поэтому словарные слова считаются слабыми паролями. Несколько десятилетий анализа паролей в многопользовательских компьютерных системах показали[1], что больше 40 % паролей легко отгадать, используя только компьютерные программы, и ещё больше можно отгадать, когда во время нападения учитывается информация о конкретном пользователе.

Автоматическая генерация паролей, если она выполнена должным образом, помогает избежать всякой связи между паролем и его пользователем. Например, имя домашнего питомца пользователя вряд ли сгенерируется такой системой. Для пароля, выбранного из достаточно большого пространства возможностей, полный перебор может стать практически невозможным. Однако действительно случайные пароли может быть сложно сгенерировать и, как правило, пользователю их сложно запомнить.

Энтропия как мера сложности пароля[править | править код]

Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии (понятие из теории информации), измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле. Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 242 паролей и попытаться использовать их; один из 242 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный. См. закон больших чисел.

Случайные пароли[править | править код]

Случайные пароли создаются путём выбора случайным образом какого-либо количества символов из какого-либо набора таким образом, что выбор любого символа из набора равновероятен. Сложность случайного пароля зависит от энтропии используемого генератора случайных чисел; зачастую используются генераторы псевдослучайных чисел. Множество публично-доступных генераторов паролей используют генераторы случайных чисел, находящихся в программных библиотеках, которые предлагают ограниченную энтропию. Однако, большинство современных операционных систем имеют криптографически сильные генераторы случайных чисел, которые пригодны для генерации пароля. Для создания случайного пароля также можно использовать обычные игральные кости. Программы, предназначенные для создания случайных паролей, часто имеют свойство гарантировать, что результат будет удовлетворять местной политике паролей; например, всегда создавая пароль из смеси букв, чисел и специальных символов.
Сложность случайного пароля, измеренная в терминах информационной энтропии, будет равна

H=log2⁡NL=Llog2⁡N=Llog⁡Nlog⁡2{\displaystyle H=\log _{2}N^{L}=L\log _{2}N=L{\log N \over \log 2}}

где N — это количество возможных символов, а L — количество символов в пароле. H измеряется в битах.

Энтропия на один символ (L=1) для разных наборов символов
Набор символов Количество символов, N Энтропия на один символ, H, биты
Арабские цифры (0-9) 10 3,3219
Цифры шестнадцатеричной системы счисления (0-9, A-F) 16 4,0000
Строчные буквы латинского алфавита (a-z) 26 4,7004
Арабские цифры и строчные буквы латинского алфавита (a-z, 0-9) 36 5,1699
Строчные и заглавные буквы латинского алфавита (a-z, A-Z) 52 5,7004
Арабские цифры, строчные и заглавные буквы латинского алфавита (a-z, A-Z, 0-9) 62 5,9542
Все печатные символы ASCII 95 6,5699

Пароли, придуманные людьми[править | править код]

Люди обычно создают пароли с недостаточно высокой энтропией. Некоторые фокусники используют эту человеческую особенность для развлечения и увеселения зрителей, угадывая предположительно случайные числа, загаданные зрителями.

Так, например, один анализ трёх миллионов созданных людьми восьмизначных паролей показал, что буква «e» была использована в паролях 1,5 миллиона раз, в то время как буква «f» — только 250 000 раз. При равномерном распределении каждый символ встречался бы 900 000 раз. Самая распространенная цифра — «1», тогда как наиболее популярные буквы — «a», «e», «o» и «r»[2].

Национальный институт стандартов и технологий (США) (NIST) для оценки энтропии пароля, созданного человеком и не включающего символы из неанглийских алфавитов, предлагает использовать следующий алгоритм:

  • энтропия первого символа принимается равной 4 битам;
  • энтропия следующих семи символов принимается равной по 2 бита на каждый символ;
  • энтропия символов от 9-го до 20-го принимается равной по 1,5 бита на каждый символ;
  • энтропия символов от 21-го и последующих принимается равной 1 биту на каждый символ;
  • энтропия пароля принимается равной сумме энтропий символов;
  • если в пароле используются заглавные буквы и неалфавитные символы, то к сумме прибавляется ещё 6 бит.

По этому алгоритму энтропия придуманного человеком пароля, составленного из 8 символов, не содержащего заглавных букв и не содержащего неалфавитных символов, составит около 4+7*2=18 бит. Алгоритм основан на том предположении, что люди выбирают пароли с той же энтропией, что и обычный английский текст.

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование[3]. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня[4]. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года[5]. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора[6]. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

Рекомендации по созданию сложного пароля[править | править код]

Общие рекомендации[править | править код]

Рекомендации по выбору хорошего пароля составлены для того, чтобы сделать пароль более стойким к разнообразным ухищрениям взломщиков[7][8].

  • Минимально рекомендуемая длина пароля — в пределах от 12 до 14 символов. Увеличение длины пароля всего на 2 символа даёт в 500 раз больше вариантов, чем увеличение алфавита на 18 символов.
  • Рекомендуется генерировать случайные пароли, если это возможно.
  • Рекомендуется избегать использования паролей, содержащих словарные слова («password»), повторяющиеся наборы букв («passpass»), буквенные или числовые последовательности («aaa», «123»), ники, имена (собственное имя, имена родственников), клички домашних животных, романтические отсылки (нынешние или прошлые), биографическую информацию.
  • Рекомендуется включать в пароль цифры и иные символы, если это разрешено системой.
  • Рекомендуется использовать как прописные, так и строчные буквы, когда это возможно. Однако, см. пункт 1, может быть лучше добавить к паролю слово, чем каждый раз нажимать и отпускать в нужных местах клавишу Shift.
  • Рекомендуется избегать использования одного пароля для различных сайтов или целей.

Некоторые рекомендации советуют никуда не записывать пароль, в то время как другие, отмечая существование большого количества защищённых паролем систем, к которым пользователь должен иметь доступ, одобряют идею записывания паролей, если, конечно, список паролей будет находиться в надёжном месте.

Примеры слабых паролей[править | править код]

Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.

  • Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
  • Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
  • Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
  • Слова с заменёнными буквами: «[email protected]», «l33th5x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
  • Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
  • Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
  • Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
  • Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Политика создания паролей — набор правил, призванных:

  • помочь пользователям сочинить пароль, который сложно подобрать;
  • гарантировать, что пароли будут подходить целевой аудитории;
  • давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

  • любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
  • любой пароль содержал определённые в шаблоне символы.

Установка интервала времени, в течение которого пароль может использоваться, служит для предоставления гаратий того, что:

  • атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
  • время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем[править | править код]

Труднее всего взломать пароль, состоящий из случайных символов, даже если известны длина пароля и набор допустимых символов. Случайный пароль благодаря высокой энтропии не только трудно запомнить, но и долго подбирать методом полного перебора. Требование сочинять сложные пароли может способствовать тому, что забывчивые пользователи станут записывать пароли на бумажках, в мобильных телефонах, на КПК, будут делиться ими с другими пользователями. Брюс Шнайер рекомендует записывать свои пароли.

Люди больше не могут запоминать пароли, достаточно хорошие, чтобы надёжно защититься от словарных атак, и будет гораздо безопасней, если они выберут себе пароль слишком сложный, чтобы запомнить, и запишут его. Нам всем довольно просто обеспечить безопасность маленького куска бумаги. Я рекомендую людям записывать их пароли на маленький кусочек бумаги и хранить его вместе с остальными ценными бумажками в кошельке.

Оригинальный текст (англ.)

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We’re all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.

Брюс Шнайер 2005

Техники запоминания[править | править код]

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

  • сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
  • мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
  • составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей[править | править код]

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Менеджер паролей — компьютерная программа, позволяющая пользователю использовать множество паролей и, возможно, требующая ввода одного пароля для доступа к хранимым паролям. Пароль к менеджеру паролей, естественно, должен быть как можно более сложным и не должен быть нигде записан.

Опубликованы самые популярные пароли Ashley Madison — «Хакер»

Огромная база данных сайта для измен Ashley Madison была опубликована хакерами почти месяц тому назад. Данные 36 млн аккаунтов, включая  парольные хеши, стали достоянием общественности. В конце прошлой недели стало известно, что группа парольных взломщиков CynoSure Prime обнаружила, что 15,26 млн паролей в базе обработано с применением MD5, что на несколько порядков облегчает брутфорс. В итоге, взломав 11,7 млн паролей, хакеры поделились интересной статистикой.

Всего CynoSure Prime удалось взломать 11 716 208 паролей.
Среди них уникальных паролей 4 867 246.
Паролей, полностью совпадающих с именем пользователя 630 000.

В основном пароли, используемые пользователями, оказались очень просты. Чаще всего это буквы нижнего регистра с цифрами, или вообще одни только буквы. С другой стороны, хакеры отмечают, что брутфорсили пароли, начиная с самых простых, так что вполне логично, что на выходе таковых оказалось больше всего.

Самый короткий пароль оказался всего 1 символ длиной. Самый длинный – 28 символов. Средняя, наиболее распространенная длина пароля – 6-8 символов.

Также хакеры составили список наиболее интересных и смешных паролей, помимо обычного списка 10\50\100 популярных (то есть повторяющихся чаще всего). Результаты действительно довольно забавные:

Иногда пользователи считают, что чем больше слов, тем лучше пароль:
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword

Некоторые сомневаются, стоит ли пользоваться услугами сайта для измен:
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
whyareyoudoingthis
cheatersneverprosper
donteventhinkaboutit
isthisreallyhappening

Некоторые пользователи вообще находятся в стадии отрицания:
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
goodguydoingthewrongthing

Наивные пользователи, которые считают Ashley Madison простым сайтом знакомств:
lookingfornewlife
friendswithbenefits

Пользователи, которые верят в безопасность Ashley Madison:
youwillneverfindout
youwillnevergetthis
secretissafewithme

Пароли из xkcd (https://xkcd.com/936/)
batteryhorsestaple
correcthorsebatterystaple

Некоторые, похоже, догадываются, что такое Ashley Madison:
nothingfound
theywererobots
nobodyhere

Просто забавное:
everynameitriedwastaken
allthegoodpasswordshavegone
lickemlikeshelikesit
lildickinyourpussyn0w
satisfactionwithlicking
blackfromthewaistdown
smalldickbuthardworker

Впрочем, «скучный список», то есть Топ-100 паролей, взломщики опубликовали тоже. В данном списке ничего смешного уже нет, здесь все предсказуемо примитивно и плохо:

Пароль Количество использований
123456 120511
12345 48452
password 39448
DEFAULT 34275
123456789 26620
qwerty 20778
12345678 14172
abc123 10869
pussy 10683
1234567 9468
696969 8801
ashley 8793
fuckme 7893
football 7872
baseball 7710
fuckyou 7458
111111 7048
1234567890 6572
ashleymadison 6213
password1 5959
madison 5219
asshole 5052
superman 5023
mustang 4865
harley 4815
654321 4729
123123 4612
hello 4425
monkey 4296
000000 4240
hockey 4191
letmein 4140
11111 4077
soccer 3936
cheater 3908
kazuga 3871
hunter 3869
shadow 3831
michael 3743
121212 3713
666666 3704
iloveyou 3671
qwertyuiop 3599
secret 3522
buster 3402
horny 3389
jordan 3368
hosts 3295
zxcvbnm 3280
asdfghjkl 3174
affair 3156
dragon 3152
987654 3123
liverpool 3087
bigdick 3058
sunshine 3058
yankees 2995
asdfg 2981
freedom 2963
batman 2935
whatever 2882
charlie 2860
fuckoff 2794
money 2686
pepper 2656
jessica 2648
asdfasdf 2617
1qaz2wsx 2609
987654321 2606
andrew 2549
qazwsx 2526
dallas 2516
55555 2501
131313 2498
abcd1234 2489
anthony 2487
steelers 2470
asdfgh 2468
jennifer 2442
killer 2407
cowboys 2403
master 2395
jordan23 2390
robert 2372
maggie 2357
looking 2333
thomas 2331
george 2330
matthew 2298
7777777 2294
amanda 2273
summer 2263
qwert 2263
princess 2258
ranger 2252
william 2245
corvette 2237
jackson 2227
tigger 2224
computer 2212

 

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *