Вибір надійного пароля, який ви можете надійно запам’ятати, може бути важким. Є багато полів для створення паролів, які мають свої вимоги – мають бути сім літер, повинні містити цифру тощо. Дотримання цих інструкцій не гарантує надійного пароля – ні. Однак є деякі правила, яких слід дотримуватися, і поради щодо того, як переконатися, що у вас є найкращий можливий пароль… і при цьому ви можете його запам’ятати.
Перше правило перевірки надійності пароля — бути надзвичайно обережним при використанні онлайн-інструментів для перевірки ваших паролів. Веб-сайти або програмне забезпечення, яке можна завантажити, можуть взяти пароль, який ви намагаєтеся перевірити, і додати його до списку слів. Список слів — це список відомих і зазвичай поширених паролів. Списки слів можуть складатися з мільйонів записів і використовуються хакерами для обґрунтованих припущень паролів, а не для повільнішого методу спроби всіх можливих комбінацій, починаючи з «aaaaaa».
Іншими словами, список слів зберігає паролі, такі як «Susie1202» і «Password12». Хакери запускатимуть список паролів на сайтах, сподіваючись отримати відповідність. Дуже важливо мати пароль, якого немає в жодному такому списку. Ці списки слів напрочуд ефективні, оскільки багато людей використовують загальні або поширені паролі. На щастя, ви не самі по собі – є кілька інструментів, які допоможуть вам: засоби перевірки пароля.
Ці перевірки зазвичай керуються надійними компаніями з кібербезпеки. Завжди будьте обережні, користуючись цим типом інструменту – завжди є певний ризик. Ви не повинні просто довіряти будь-якому веб-сайту чи програмі, що пропонує вимірювати надійність ваших паролів, не будучи абсолютно впевненим, що вони безпечні – насправді, навіть деякі Компанії з кібербезпеки, які пропонують ці інструменти, самі рекомендують не використовувати ваші справжні паролі, а лише тестувати потенційні або подібні паролі зі своїми інструментами – про всяк випадок.
Отже, як ви повинні знати, наскільки надійний ваш пароль, не використовуючи веб-сайт чи додаток для його перевірки?
Відповідь напрочуд проста: дізнавшись більше про те, що робить пароль безпечним, і розробивши його відповідно.
Види нападу
Коли намагаєтеся створити безпечний пароль, це допомагає зрозуміти, як хакери намагаються атакувати. Існує два основних типи атаки; груба сила і словник.
Атаки грубої сили випробовують усі можливі комбінації персонажів. За наявності достатнього часу цей метод зрештою зламав би всі можливі паролі. Основним недоліком цього типу атаки є час, і чим більше комбінацій потрібно спробувати, тим більше часу потрібно. Потрібний час може бути астрономічним – навіть якщо програма може виконувати десятки тисяч можливостей за хвилину, існують мільйони можливих комбінацій, що робить ці атаки неефективними. Довгі паролі навряд чи вдасться зламати за допомогою цього методу, оскільки використання всіх можливостей і, таким чином, їх пошук може зайняти десятиліття.
Словникові атаки використовують вищезгадані списки слів, щоб зробити обґрунтовані припущення щодо паролів. Ця техніка різко зменшує кількість припущень у порівнянні з грубими атаками, що значно прискорює процес. Списки слів, як правило, засновані на відомих паролях, які витікали. Програмне забезпечення, розроблене для виконання такого роду атаки, також може включати правила «перетворення слів», які також можуть змінювати слова, щоб спробувати звичайні варіанти. Наприклад, правило маніпуляції слів може спробувати замінити «о» на «0» або додати «!» до кінця слова. Ці правила, як правило, ґрунтуються на звичайних замінах або доповненнях, які люди роблять – не варто говорити, що це не дуже безпечно. Основним недоліком цього типу атаки є те, що зловмиснику потрібно мати пароль уже в своєму списку слів, а атака настільки хороша, як і список слів.
Як створити надійний пароль
Є три важливі фактори міцності пароля: довжина, унікальність і складність.
Порада: НЕ використовуйте паролі чи частини паролів, згадані в цій статті, оскільки вони не є безпечними.
Як довжина впливає на міцність пароля, зрозуміти досить просто. Чим більше символів містить пароль, тим більше комбінацій літер потрібно спробувати, перш ніж за статистикою хакер зможе правильно вгадати. Наприклад, шестибуквенних слів набагато більше, ніж чотирибуквенних. Фактично, для кожного доданого символу кількість загальних можливих комбінацій зростає в геометричній прогресії.
Довжина — найкращий захист від атак грубої сили, але запам’ятати, скажімо, пароль із 64 символів не так-то просто. Це також не потрібно. Ідеальна ситуація — зробити пароль настільки довгим, що просто неможливо витратити час і енергію на його зламати. Ідеальний варіант – 10 символів і більше – майже у всіх випадках цього буде достатньо.
Деякі люди можуть придумати план використання шалено довгого пароля, настільки довгого, що його неможливо буде коли-небудь змусити. Наприклад, вірш, текст пісні або повне збори творів Шекспіра. Якщо веб-сайт дозволяє це зробити, це спрацює, але в якийсь момент хакер може додати ці відомі приклади до свого списку слів «про всяк випадок», і тоді ідея розпадеться. Ось тут і виступає унікальність.
Про унікальність судити важко. З більш ніж семи мільярдів людей на Землі може бути важко придумати щось абсолютно унікальне, але спробувати все одно варто. Деякі з найпоширеніших паролів, які все ще використовуються навіть зараз: «admin», «password», «123qwe» і «qwerty». Це жахливі паролі не тільки тому, що вони короткі, але й тому, що вони добре відомі, тому вони будуть у кожному списку слів, ймовірно, як одна з перших здогад. Деякі люди намагаються зробити ці паролі трохи складнішими, використовуючи «Пароль1!» але це занадто передбачувано і також є в більшості списків слів.
Щоб подолати атаку на основі списку слів, вам потрібно розробити пароль, який не буде відомий або про нього не думати. Найкраще використовувати повністю випадковий вибір символів, але це, ймовірно, занадто важко запам’ятати.
«UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO» буде БЕЗПЕЧНИМ паролем, але він не буде практичним.
Гідним рішенням є використання добірки слів, які разом нічого не означають. Один приклад, популяризований вебкоміком XKCD, є “CorrectHorseBatteryStaple”. Ця концепція досить сильна, заохочує як довжину, так і випадковість, і результат має бути легше запам’ятати, ніж випадковий рядок символів і символів. Ви можете вибрати будь-які слова, які вам подобаються – тварини, які вам подобаються, квіти, навіть ім’я улюбленого актора, якщо це кілька речей, які ви можете запам’ятати. Навіть п’ять речей, які зараз сидять на вашому столі, підійдуть!
Щодо складності: це обов’язково – це, безумовно, один з найважливіших аспектів створення пароля. Зміна літер на цифри та додавання символів може збільшити складність ваших паролів. Десятисимвольний рядок із випадкових літер, цифр і символів є кращим паролем і менш ймовірно здогадався, ніж буква «а» сто разів поспіль, яка, у свою чергу, все одно є кращим паролем, ніж «Пароль 12!».
Складність – це хороший спосіб зробити паролі важче вгадати, але також ускладнює їх запам’ятовування. Це все про пошук здорового балансу. Загалом, додавання невеликої складності, включаючи кудись число та символ, є достатньою мірою покращення, щоб дійсно змінити надійність вашого пароля. Насправді не потрібно змінювати якомога більше символів на цифри чи символи – це лише ускладнює запам’ятовування.
Висновки
Підсумуючи три вимоги, слід пам’ятати деякі правила щодо паролів:
- Мінімальна довжина паролів має бути 10 символів, але краще більше.
- Паролі не повинні бути простими або поширеними комбінаціями слів; вони повинні бути унікальними.
- Паролі повинні містити ряд типів символів, включаючи цифри та символи
Порада: якщо вам цікаво і ви хочете наочно продемонструвати, як довжина та складність впливають на загальну міцність пароля, використання онлайн-тестера надійності пароля не є страшною ідеєю. Наведені нижче приклади є надійними сайтами. Завжди будьте обережні щодо того, куди ви вводите свої паролі та інформацію – деякі сайти можуть намагатися вкрасти ваші паролі. Наведені нижче сайти, як відомо, є надійними:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php