что не следует пользователю рабочего компьютера использовать в качестве пароля
Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Видели этот классический комикс о паролях от XKCD?
Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.
Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.
Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?
А что скажете о таком пароле в 4 символа?
Или о таком, в 8 символов?
Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?
«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».
Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.
Наш старый друг Юникод опять за свое.
Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.
Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?
aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword
usernamepassword
Конечно, нет. Вы вообще видели живых пользователей в последнее время?
Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:
Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.
Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:
123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII. То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.
(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)
Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.
И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)
Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:
1. Требования к паролям — полная чушь
2. Установите минимальную длину пароля в Юникоде
Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.
3. Сверяйтесь со списком самых распространенных паролей
Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода, достаточно прогнать первую тысячу, чтобы добиться шокирующе хороших результатов.
Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.
4. Контролируйте количество энтропии
Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.
Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!
5. Отлавливайте особые типы паролей
Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (я упоминал об этом в другой статье):
Также, возможно, вам стоит блокировать еще некоторые разновидности:
Пояснение
Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.
Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.
Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.
Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.
Пароль должен соответствовать требованиям к сложности
Относится к:
Описывает наилучшие методы, расположение, значения и соображения безопасности для пароля, которые должны соответствовать требованиям к требованиям безопасности.
Справочники
Параметр политики «Пароли» должен соответствовать требованиям к сложности, определяя, должны ли пароли соответствовать серии рекомендаций по надежных паролей. При включении этот параметр требует паролей для удовлетворения следующих требований:
Пароли не могут содержать значение samAccountName пользователя (имя учетной записи) или полное имя отображения (полное имя). Обе проверки не являются чувствительными к делу.
Имя samAccountName проверяется в полном объеме только для определения того, является ли он частью пароля. Если samAccountName длиной менее трех символов, эта проверка будет пропущена. Имя displayName разборка для делимитеров: запятые, периоды, тире или дефис, подчеркивающие, пробелы, знаки фунта и вкладки. Если какой-либо из этих делимитеров найден, displayName делится, и все разделы (маркеры) подтверждены, что не будут включены в пароль. Маркеры, которые меньше трех символов, игнорируются, а подстройки маркеров не проверяются. Например, имя «Erin M. Hagens» разделено на три маркера: «Erin», «M» и «Hagens». Поскольку второй маркер имеет длину только одного символа, он игнорируется. Таким образом, этот пользователь не мог иметь пароль, который включал в себя либо «erin» или «hagens» в качестве подстройки в любом месте пароля.
Пароль содержит символы из трех следующих категорий:
Требования по сложности применяются при смене или создании паролей.
Правила, включенные в требования Windows паролей сервера, являются частью Passfilt.dll и не могут быть изменены напрямую.
Если включено, Passfilt.dll может вызвать дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи используются для паролей, содержащих только символы, которые находятся в алфавите. Но этот параметр политики достаточно либерален, что все пользователи должны привыкнуть к этому.
Дополнительные параметры, которые можно включить в настраиваемый Passfilt.dll, — это использование символов, не включаемые в верхний ряд. Чтобы ввести символы верхнего ряда, удерживайте клавишу SHIFT и нажмите один из ключей на строке номеров клавиатуры (от 1 до 9 и 0).
Возможные значения
Рекомендации
Последние рекомендации см. в руководстве по паролям.
Набор паролей должен соответствовать требованиям сложности к включенной. Этот параметр политики в сочетании с минимальной длиной пароля 8 гарантирует, что для одного пароля существует не менее 218 340 105 584 896 различных возможностей. Этот параметр делает грубую силовую атаку сложной, но все же не невозможной.
Использование комбинаций ключевых символов ALT может значительно повысить сложность пароля. Однако требование, чтобы все пользователи в организации соблюдали такие строгие требования к паролям, может привести к несчастным пользователям и чрезмерной работы службы поддержки. Рассмотрите возможность реализации требования в организации использовать символы ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы, которые не добавляют больше сложности в пароль.)
Пароли, содержащие только буквы, легко компрометировать с помощью общедоступных средств. Чтобы предотвратить это, пароли должны содержать дополнительные символы и соответствовать требованиям сложности.
Местонахождение
Конфигурация компьютера\Windows Параметры\безопасность Параметры\Политики учетной записи\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Включено |
| Политика контроллера домена по умолчанию | Включено |
| Параметры по умолчанию отдельного сервера | Отключено |
| Эффективные параметры контроллера домена по умолчанию | Включено |
| Параметры сервера-участника по умолчанию | Включено |
| Эффективные параметры по умолчанию GPO на клиентских компьютерах | Отключено |
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Пароли, содержащие только буквы, легко обнаружить с помощью нескольких общедоступных средств.
Противодействие
Настройка паролей должна соответствовать требованиям политики __ сложности для включения и советовать пользователям использовать различные символы в своих паролях.
В сочетании с минимальной длиной пароля 8, этот параметр политики гарантирует, что количество различных возможностей для одного пароля настолько велико, что это трудно (но возможно) для грубой атаки силы, чтобы добиться успеха. (Если параметр политики минимальной длины пароля увеличивается, увеличивается и среднее время, необходимое для успешной атаки.)
Возможное влияние
Если конфигурация по умолчанию для сложности паролей сохранена, может возникнуть больше вызовов службы поддержки для заблокированных учетных записей, поскольку пользователи могут не использоваться для паролей, содержащих не алфавитные символы, или у них могут возникнуть проблемы с вводом паролей, содержащих акцентные символы или символы на клавиатурах с различными макетами. Тем не менее, все пользователи должны иметь возможность выполнять требования по сложности с минимальными трудностями.
Если в организации более строгие требования к безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволяет использовать произвольно сложные правила прочности паролей. Например, для настраиваемого фильтра паролей может потребоваться использование символов не верхнего ряда. (Символы верхнего ряда — это символы, которые требуют нажатия и удержания ключа SHIFT, а затем нажатия клавиш на строке номеров клавиатуры от 1 до 9 и 0.) Пользовательский фильтр паролей может также выполнять проверку словаря, чтобы убедиться, что предложенный пароль не содержит общих слов словаря или фрагментов.
Использование комбинаций ключевых символов ALT может значительно повысить сложность пароля. Однако такие строгие требования к паролям могут привести к дополнительным запросам на службу поддержки. Кроме того, организация может рассмотреть требование для всех паролей администратора использовать символы ALT в диапазоне 0128-0159. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы, которые не будут усложнять пароль.)
Правила создания надёжного пароля
Мы живём в век цифровых технологий и сейчас любая услуга работает через сеть Интернет. Чтобы получить нужную услугу нужно регистрироваться на различных сервисах.
Везде нужно вводить пароли, поэтому создать их нужно максимально надежными. Вот только каким он должен быть? Как придумать такой пароль, который долго будет расшифровываться специальными программами.
В этой статье мы хотим дать Вам советы по созданию лучшего пароля для своих аккаунтов. Помните чем сложнее пароль, тем спокойнее жизнь!
Для начала рассмотрим небольшой список паролей, который нельзя использовать, т.к. они очень простые:
Этот список можно пополнять вечно. Если вы увидели свой пароль в этом списке, тогда скорее меняйте его по нашим рекомендациям!
Как придумать надежный пароль?
Самый оптимальный вариант – это использование специальной программы генератора случайного пароля. К такому софту можно отнести Keepass. Данная программа и генерирует пароли и хранит их в зашифрованном виде.
Также есть разные онлайн сервисы для генерации паролей, например: RandStuff и PassGen.RU. На просторах интернета таких сервисов тысячи. Главное не попасть на сервис, который создал хакер. Прежде чем сгенерировать пароль и использовать его проверьте лицензию сайта сервиса. Для проверки можно просто посмотреть есть ли замок слева названия сайта, например:
Что нужно помнить при создании пароля
Примерное время взлома пароля с помощью программ для перебора паролей:
Конечно программы для перебора паролей каждый день/месяц/год улучшаются, но все же машине еще далеко для взлома сложнейших паролей.
Проверка сложности
На многих сайтах при регистрации пользователю показывают, хороший ли у него пароль. Убедиться в том, что сгенерированный код сложный, и взломать его быстро не получится, можно и самостоятельно, используя сервис How secure is my password?
В поле «Enter Password» вставьте сгенерированный пароль. В ответ вы получите примерное время, которое будет затрачено на взлом ключа на обычном компьютере.
При создании пароля необходимо абсолютно отказаться от стандартного мышления, работать оригинально и не стандартно. Только так получится создать такой пароль, для взлома которого придется долгое время потеть программам для перебора паролей.
Помощь пенсионерам
Помощь пенсионерам в изучении компьютера и интернета, компьютерные курсы для пенсионеров бесплатно, бесплатные уроки по изучению компьютера и интернета для пенсионеров, программы для работы на компьютере, все для пенсионера в одном месте, полезная информация для пенсионеров, самообучение пенсионеров, пенсии и пособия, увлечения и досуг пенсионеров
Как придумать надежный пароль
Как придумать надежный пароль. Когда мы заводим в интернете несколько аккаунтов на разных сайтах или в почтовых сервисах, то во время регистрации мы придумываем логин и пароль для входа в свой аккаунт. Логин может быть любым, иногда в качестве логина используют адрес электронной почты. А вот пароли следует придумывать сложные и разные для разных аккаунтов, чтобы обезопасить свое пребывание в сети.
Иногда злоумышленники взламывают наши аккаунты и очень часто мы сами в этом виноваты, т.к. не удосужились придумать сложный для взлома пароль.
Что не следует использовать в качестве пароля:
— не следует указывать пароль, состоящий только из одних цифр, идущих подряд (например: 12345678… или в обратном порядке 09876543…). Это самый легкий для взлома пароль.
— не указывайте пароль, состоящий из Вашего имени и фамилии
— плохая идея указывать в пароле Ваш день, месяц и год рождения
— точно также не стоит брать данные из Ваших документов (паспорт, водительское удостоверение, СНИЛС, ИНН и т.д.)
— Ваш почтовый адрес тоже не подойдет для пароля
Каким же должен быть надежный пароль?
— надежный пароль должен состоять минимум из 6-8 знаков или даже больше
— следует чередовать в пароле буквы, цифры и символы
— буквы должны быть строчные и заглавные
— не используйте один и тот же пароль на разных сервисах, для каждого аккаунта должен быть свой оригинальный пароль
— храните свои пароли в надежном месте. Для хранения паролей существуют специальные сервисы и блокноты, но лично я больше всего доверяю обычному бумажному блокноту.
Как придумать надежный пароль?
Можно взять не слишком распространенное слово или строчку из Вашей любимой песни, но написать их в английской раскладке и перемешать с цифрами и знаками.
Но можно взять и очень простое слово, например, «веточка» и превратить его в сложный пароль. Переключаем язык с русского на английский. Напишем это слово русскими буквами, но в английской раскладке. Теперь это слово уже будет выглядеть вот так: «dtnjxrf». Пока что в пароле используется семь букв (символов).
Букву «ч» мы заменим на цифру 4, добавим в пароль еще цифры, символы и некоторые буквы сделаем заглавными. В итоге пароль может выглядеть вот так:
Красным цветом я выделила добавленные символы, синим – цифры, жирным – заглавные буквы. В пароле стало 16 символов. Такой пароль можно назвать надежным.
Внимание! Ни в коем случае не используйте этот пример в качестве пароля для своих аккаунтов! Придумайте свой.
Время от времени пароли рекомендуется менять. Злоумышленники постоянно придумывают новые способы для взлома наших аккаунтов. Поэтому каждый должен сам позаботиться о своей безопасности в сети.
Другие похожие статьи на этом сайте
Проект «Азбука Интернета» создан специально для людей старшего поколения, чтобы они в спокойной обстановке сидя дома и не торопясь смогли…
Программы для создания видео. Когда-то я думала, что создание видео невероятно тяжкий труд, что это под силу только каким-то крутым…
Как сделать пароль надежным и запоминающимся
Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно.
Как сделать пароль более надежным и при этом его не забыть? Есть несколько вариантов…
Шифр простой замены
Шифры замены — класс методов шифрования, существующий практически столько же, сколько и алфавит. Его суть состоит в замене букв другими буквами, числами или символами (отсылка к криптографии).
Не углубляясь в особенности и тонкости шифра, можно выбрать самый простой метод шифрования — тот, где заменяется каждая буква следующей за ней в алфавите. Для примера возьмем слова «cat» и «dog». Зашифровываем: за с в алфавите идет d (c=d), за a будет b (a=b), ну и за t следует u (t=u). Ta же формула и для второго слова: d=e, o=p, g=h. В результате получаем два шифра — dbu и eph.
Шифр простой замены букв (через две)
Шифр простой замены нельзя назвать очень уж надежным. Его совсем не сложно взломать, если сопоставить несколько зашифрованных предложений или знать принципы использования. Но можно поэкспериментировать и разнообразить метод. Например, задать собственный порядок замены букв, добавить числа и т.д.
Один из вариантов шифрования, описанного в рассказе Конана Дойля «Пляшущие человечки»
Мнемонический код
Можно воспользоваться излюбленным методом фокусников и магов — мнемоникой. Она помогает визуализировать объект с помощью его полного описания, упрощая тем самым запоминание или идентификацию. Подобный принцип используется в известной поговорке про цвета радуги: «Каждый (Красный) охотник (Оранжевый) желает (Желтый) знать (Зеленый), где (Голубой) сидит (Синий) фазан (Фиолетовый)».
В упрощенном виде все выглядит примерно так: «а — это ананас, б — это банан, в — это вишня». Для построения пароля, используйте слова, соответствующие буквам.
Запоминание последовательности цветов радуги
Например, нужно создать пароль для сайта bank.com. Возьмем за основу код из первых двух букв от названия веб-ресурса «b» и «a». Согласно конструкции «b is for banana, a is for apple» получится «bananaapple». Добавьте между ними дефис и пароль приобретет еще и необходимый символ. А если объединить это все с шифром простой замены, пароль для bank.com станет по-истине надежным nsmsms=s[[;r.
Название сайта в конце пароля
Чтобы сделать пароль уникальным для каждого сайта (без необходимости его записывать) можно добавить название веб-ресурса в его конец.
Рассмотрим подробнее на примере все того же сайта bank.com. К выбранному паролю в конце добавим приставку «-bank». Получится более сложная конструкция, делающая пароль и понятным и сложным. Тоже самое проделываем с учетными записями в социальных сетях «-twitter», «-facebook» и «-linkedin» или сокращенные варианты вроде «-twit», «-face» и «-link».
Временные рамки
Есть компании, которые вынуждают своих клиентов менять пароли раз в полгода или год. Тут тоже можно найти решение. Просто добавляйте необходимый год, квартал к началу или концу пароля. Возьмем за основу уже знакомый пароль «banana», добавим к нему наступающий 2016 год и 1-й квартал. Получается banana-16-q1. А если произвести перемещения всего по одному ключу на клавиатуре, пароль существенно усложнится и обретет вид nsmsms=3-25=j3.
И вот — наш уникальный пароль, довольно сложный, надежный, который можно запомнить и без особого труда регулярно изменять (по месяцам или годам).
Размер имеет значение
Помимо шифровки стоит поговорить и о качестве самого пароля. Его длина имеет важное значение. Полный набор включает 26 строчных букв, 26 прописных и 10 цифр. Также в пароле может использоваться приблизительно 30 специальных знаков. Это все говорит о том, что для каждого символа, добавленного к паролю, число возможных вариантов увеличивается в 90 раз.
По словам генерального директора фирмы сетевой безопасности FlowTraq Винсента Берка:
Большинство веб-сайтов и компаний нуждаются в паролях, которые насчитывают комбинацию как минимум из 10 символов нижнего и верхнего регистра, при этом включают число и один или несколько специальных знаков
В последнее время специалисты по безопасности рекомендуют увеличивать длину пароля вообще до двенадцати знаков. По их мнению 12 — минимум. Данная теория сформировалась на основе исследования, которое было проведено в Технологическом институте (штат Джорджия, США). Исследователи использовали группы видеокарт, чтобы взломать восьмизначные пароли и пришли к выводу, что для этого достаточно двух-трех часов. Для взлома были задействованы графические процессоры — системные компоненты, разработанные для удовлетворения потребностей современных геймеров.
Пароли из семи символов квалифицируются, как «безнадежно несоответствующие». Исследователи, занимающиеся вопросами безопасности данных, пришли к заключению, что на взлом паролей из двенадцати символов с современными технологиями уйдет около 17,000 лет. Правда, технологическое развитие настолько стремительно, что сложно давать точные прогнозы.
Оригинальность пароля
Разумеется, не одна только длина делает пароль надежным. Он не должен быть легким для угадывания или предсказуемым. Например, пароль LadyGaga — хорош только для преданного поклонника или для самой певицы. Набор цифр 1234567890 тоже не пойдет — слишком очевидно, что даже ребенок может его взломать, набирая подряд все десять цифр на клавиатуре. Ненадежной будет и комбинация из серии password1234, пусть даже она состоит из двенадцати символов.
Стоит придумывать сложные и не распространенные пароли. Лучше избегать слов, которые можно найти в словарях любого языка. Популярные замены букв числами (0 вместо «o», 4 вместо «a») не играют особой роли. Не желательно повторять один и тот же пароль много раз. Хотя именно это и делают пользователи, согласно ноябрьскому исследованию RSA 69%. Результаты продемонстрировали, что потребители многократно используют однажды придуманный ими пароль (при том, что почти 50% из них были жертвами атак со стороны хакеров).
Предложения-подсказки
Большинство экспертов по безопасности сходятся во мнении, что пароли должны быть легко запоминающимися, но трудно угадываемыми. Слишком сложные и непонятные комбинации из символов попросту забудутся. А записывать пароли на стикерах, бумажках, в блокнотах или где-то еще — не самая удачная идея. Тут уж лучше ограничится подсказкой, понятной только хозяину, но не кому-то другому.
Один из параметров, делающий пароль более сложным, состоит в том, чтобы использовать действительно жесткие конструкции. Вряд ли кто-то сможет запомнить набор из двадцати знаков, вроде GdzIQaZyVaFgbh7dlu46. Фактически, такие пароли довольно «болезненно» использовать вообще. С другой стороны, их в самом деле будет трудно взломать. Подобные пароли хороши для систем, требующих особой безопасности и не используемых часто.
В качестве пароля можно использовать фразу, предварительно кодируя ее. Например на английском «I want to be at the beach» в кодировке может выглядеть, как iw2b@theBeach. Запоминающийся пароль, который будет достаточно сложным для взлома. Под каждую систему возможно подобрать различное окончание. Некоторые системы позволяют даже использовать полные предложение в качестве паролей. Такие пароли не забудутся и будут довольно надежными.
В целях повышения безопасности данных известным облачным хранилищем данных Dropbox был создан список из паролей, которые запрещено использовать. В списке находится около 85100 паролей.
А Университет Южного Уэльса провел исследования, результаты которого показали, что:
4,7% пользователей используют пароль password;
8,5% пользователей выбирают один из двух вариантов: password или 123456;
9,8% пользователей выбирают один из трёх вариантов: password, 123456 или 12345678;
14% пользователей выбирают один из 10 самых популярных паролей;
40% пользователей выбирают один из 100 самых популярных паролей;
79% пользователей выбирают один из 500 самых популярных паролей;
91% пользователей выбирает один из 1 000 самых популярных паролей.