Надежный пароль складывается из нескольких параметров: длина, количество возможных символов в нем и его
«сложность». Другими словами, длинный пароль, состоящий из букв разного регистра, цифр и специальных символов, который вы держите в своей памяти, а не в виде записки на компьютере, будет действительно надежным.
При создании пароля может возникнуть вопрос о том, какая длина будет оптимальной, ведь слишком короткие пароли легко взломать, а длинные сложно запомнить.
Надежность и криптостойкость
Сложность взлома напрямую зависит от того, сколько значений может быть на месте каждого символа пароля. Так, для пароля, длиной в 3 символа и состоящего только из цифр от 0 до 9, возможны 1000 вариантов. Однако если к этим цифрам добавить буквы русского алфавита обоих регистров, количество вариантов будет немного меньше 439 тысяч. Очевидно, что перебрать тысячу вариантов гораздо проще, чем в 439 раз больше. Отсюда вывод, что пароль не всегда должен быть длинным, так как большой алфавит создает не меньше сложностей при взломе, чем десятки цифр.
ПРОВЕРЬ НАСКОЛЬКО НАДЕЖНЫЙ ТВОЙ ПАРОЛЬ
Но что, если для взлома использовать компьютер? В таком случае коротким паролем уже не обойтись. Да, против человека шифр из 5 символов, содержащий буквы, цифры и специальные знаки, будет действительно эффективен. Однако машина способна совершать миллионы операций в секунду и ей не сложно перебрать всевозможные комбинации за считанные минуты.
И если ваш пароль легко взломать при помощи компьютера простым перебором, то его уж точно нельзя назвать криптостойким. Что же может помочь? На самом деле, все те же средства. Большой алфавит и более длинный шифр. Число возможных комбинаций можно посчитать, возведя размер алфавита в число, равное длине пароля.
Главное не увлекаться, иначе вы вряд ли его запомните.
Надежный и защищенный пароль должен выглядеть как-то так:
Еще в качестве подбора пароля может использоваться перебор уже известных и распространенных шифров. Нередко для взлома используют базы данных с паролями, утекшими в сеть. И в первую очередь проверяются самые распространенные, вроде «password», «qwerty» или «123456789». Этого нужно строго избегать.
Какой должна быть длина пароля?
Длина пароля зависит от используемого набора символов. Чем их больше, тем лучше. Стоит придерживаться длины в 10-12 символов (минимум 8 символов!). В такой пароль поместятся цифры, специальные символы и буквы разных регистров и алфавитов. Если это не пароль из скомпрометированных баз данных, у машины может уйти не один год на взлом, не говоря уже о человеке.
Заключение
Надежный и криптостойкий пароль должен состоять не менее чем из 10 символов и включать в себя цифры, специальные символы, а также буквы разного регистра. Также пароль можно считать действительно надежным лишь, когда о нем знаете только Вы. Для удобства за основу можно взять какое-то выражение и на основе него, меняя символы, создать шифр, а фразу держать в голове в качестве ориентира. Ну и не стоит забывать о том, что пароли хотя бы 3-4 раза в год стоит менять.
Выбираем пароль
Источник: www.azpassword.ru
Что лучше – длина или объем или почему спецсимволы в пароле не нужны?
Думаю все мы сталкивались с советами, что для того, чтобы выбираемый пароль был надежным, он должен быть больше 8 символов, содержать не только буквы, но и цифры и спецсимволы, а буквы должны быть в разном регистре. Именно такие советы всегда даются на вопрос, как сделать пароль стойким к подбору. На днях я в своем Telegram-канале провел опрос, в котором задал схожий вопрос и получил очень интересные результаты (на основе 773 голосов). Обратите внимание, длина пароля попала на третье месте среди факторов, которые влияют на надежность пароля, а ведь на самом деле именно длина является самым главным, а на самом деле единственно важным параметром, который и определяет, насколько сложно будет хакерам подобрать ваш пароль.
Доказательством тому является формула Андерсона. Я не знаю, учат ли сейчас ее в институтах, но в мое время ее преподавали. С помощью нее определяют время подбора пароля, который характеризуется двумя параметрами – длиной (количество символов) и объемом алфавита (количество вариантов символа в каждой позиции пароля).
Школьный курс комбинаторики подсказывает нам, что число возможных комбинацией пароля из L символов и объеме (мощности) алфавита A будет равно A^L (A в степени L). В формуле Андерсона также присутствует такой параметр как скорость перебора пароля (V). В итоге мы получаем следующую формулу, которая и показывает время перебора пароля определенной длины и определенной мощности алфавита при заданной скорости. Понятно, что чем, мощнее у нас компьютер или кластер компьютеров, тем быстрее будет производиться перебор (отсюда отличия в картинках, которые можно найти в Интернете и которые показывают сколько лет будут ломать ваш пароль).
Есть и другой вариант этой формулы, в которой P – это вероятность подбора пароля за указанный интервал времени, G – число попыток подбора за 1 такт времени, T – число тактов времени и A^L – число возможных комбинаций пароля.
И вот вновь нужно вспомнить курс школьной математики, а именно раздел степенных функций, которым и относится формула подсчета числа возможных паролей. Так вот это число растет быстрее, если увеличивать показатель степени (длину пароля), а не основание (мощность алфавита). При увеличении основания значение функции тоже растет, но не так быстро. Отсюда вывод – длина пароля гораздо важнее используемого в нем алфавита, то есть этих ваших спецсимволов, регистров, комбинаций цифр и букв и т.п.
Понятно, что речь не идет о просто длинных словах. Какая-нибудь “электрификация” (14 символов) хоть и длинна, но все-таки это слово присутствует в словарях, которые могут быть использованы при переборе. Слово “метоксихлордиэтиламинометилбутиламиноакридин” (44 символа) я бы тоже не стал использовать, а то кто знает, может у хакеров есть и словари названий химических веществ.
Но вот какое-нибудь “модясачепродвшузаиувсезанобовынемо” (34 символа) вполне себе подойдет (немного шучу, но только немного). Запомнить его несложно – это первые два символа из начала “Евгения Онегина” (“Мой дядя самых честных правил…”). На самом деле начало у Онегина другое (“Не мысля гордый свет забавить…”), но “мой вариант” более привычен.
У такого совета (опираться на длину пароля, а не спецсимволы) есть и другое преимущество – нестандартные клавиатуры, на которых приходится искать непонятные символы. Помните в “Падение Олимпа”, когда главный герой вводит код отмены запуска баллистических ракет, мучается с тем как ввести “решетку”, которую ему назвали среди других символов кода (советник по нацбезопасности вовремя подсказала, что это будет Shift+3)?
Источник: cisoclub.ru
Что лучше — длина или объем или почему спецсимволы в пароле не нужны?
Думаю все мы сталкивались с советами, что для того, чтобы выбираемый пароль был надежным, он должен быть больше 8 символов, содержать не только буквы, но и цифры и спецсимволы, а буквы должны быть в разном регистре. Именно такие советы всегда даются на вопрос, как сделать пароль стойким к подбору. На днях я в своем Telegram-канале провел опрос, в котором задал схожий вопрос и получил очень интересные результаты (на основе 773 голосов). Обратите внимание, длина пароля попала на третье месте среди факторов, которые влияют на надежность пароля, а ведь на самом деле именно длина является самым главным, а на самом деле единственно важным параметром, который и определяет, насколько сложно будет хакерам подобрать ваш пароль.
Доказательством тому является формула Андерсона. Я не знаю, учат ли сейчас ее в институтах, но в мое время ее преподавали. С помощью нее определяют время подбора пароля, который характеризуется двумя параметрами — длиной (количество символов) и объемом алфавита (количество вариантов символа в каждой позиции пароля).
Школьный курс комбинаторики подсказывает нам, что число возможных комбинацией пароля из L символов и объеме (мощности) алфавита A будет равно A^L (A в степени L). В формуле Андерсона также присутствует такой параметр как скорость перебора пароля (V). В итоге мы получаем следующую формулу, которая и показывает время перебора пароля определенной длины и определенной мощности алфавита при заданной скорости. Понятно, что чем, мощнее у нас компьютер или кластер компьютеров, тем быстрее будет производиться перебор (отсюда отличия в картинках, которые можно найти в Интернете и которые показывают сколько лет будут ломать ваш пароль).
Есть и другой вариант этой формулы, в которой P — это вероятность подбора пароля за указанный интервал времени, G — число попыток подбора за 1 такт времени, T — число тактов времени и A^L — число возможных комбинаций пароля.
И вот вновь нужно вспомнить курс школьной математики, а именно раздел степенных функций, которым и относится формула подсчета числа возможных паролей. Так вот это число растет быстрее, если увеличивать показатель степени (длину пароля), а не основание (мощность алфавита). При увеличении основания значение функции тоже растет, но не так быстро. Отсюда вывод — длина пароля гораздо важнее используемого в нем алфавита, то есть этих ваших спецсимволов, регистров, комбинаций цифр и букв и т.п.
Понятно, что речь не идет о просто длинных словах. Какая-нибудь «электрификация» (14 символов) хоть и длинна, но все-таки это слово присутствует в словарях, которые могут быть использованы при переборе. Слово «метоксихлордиэтиламинометилбутиламиноакридин» (44 символа) я бы тоже не стал использовать, а то кто знает, может у хакеров есть и словари названий химических веществ.
Но вот какое-нибудь «модясачепродвшузаиувсезанобовынемо» (34 символа) вполне себе подойдет (немного шучу, но только немного). Запомнить его несложно — это первые два символа из начала «Евгения Онегина» («Мой дядя самых честных правил. «). На самом деле начало у Онегина другое («Не мысля гордый свет забавить. «), но «мой вариант» более привычен.
У такого совета (опираться на длину пароля, а не спецсимволы) есть и другое преимущество — нестандартные клавиатуры, на которых приходится искать непонятные символы. Помните в «Падение Олимпа», когда главный герой вводит код отмены запуска баллистических ракет, мучается с тем как ввести «решетку», которую ему назвали среди других символов кода (советник по нацбезопасности вовремя подсказала, что это будет Shift+3)?
Не пора ли поменять рекомендации по выбору паролей для своих пользователей, облегчив им жизнь?ч
Что, если ваша защита — это главная СЛАБОСТЬ? Подпишитесь на наш ТГ канал и будьте на шаг впереди хакеров.
Источник: www.securitylab.ru