La complessità della password è solitamente valutata in termini di entropia dell'informazione (concetto dalla teoria delle informazioni) misurata in bit. Invece del numero di tentativi necessari per indovinare con precisione la password, è necessario un logaritmo sulla base di 2 di questo numero ed è chiamato il numero di "bit entropy" nella password. Affinché il metodo di pieno di estinguere una password con una complessità a 40 bit, è necessario produrre 2 40 tentativi controllando tutte le possibili opzioni. Ma di solito l'attaccante è sufficiente per verificare la metà di tutte le possibili opzioni di password prima che trovi quello giusto. In uno degli articoli, ho già dato una definizione scientifica e una formula per il calcolo dell'entropia, non duplicherò queste informazioni.
Resta da rilasciare sotto forma di una funzione. Inizerò con la versione PHP per eseguire un controllo di resistenza della password, ad esempio quando si registrano gli utenti sul sito:
- funzione check_password_strungth ($ password) (
- $ H \u003d 0;
- foreach (conte_chars ($ password, 1) come $ v) (
- $ p \u003d $ v / strlen ($ password);
- $ H - \u003d $ P * log ($ P) / log (2);
- $ strngth \u003d INTVAL (($ H / 4) * 100);
- ritorna $ forza\u003e 100? 100: $ forza;
Più è più vicino il valore di ritorno a 100, maggiore è la resistenza della password. Ecco i risultati della verifica delle password dalla comica e dall'altra password usata frequentemente. Questo algoritmo può essere utilizzato non solo sul lato server, ma anche sul client, anche nella fase di ingresso password da parte dell'utente. Ecco una funzione JavaScript che esegue un controllo di resistenza alla password:
- funzione check_password_Strength (password) (
- var h \u003d 0, p, char \u003d nuovo array;
- per (var i \u003d 0; io< password . length ; i ++) {
- se (Charm [Password. Charat (I)] \u003d\u003d indefinito) (
- Charm [password. Charat (i)] \u003d 0;
- Charm [password. Charat (i)] ++;
- per (var v in caratteri) (
- P \u003d Charm [V] / Password. Lunghezza;
- h - \u003d (p * matematica. log (p) / matematica. log (2));
- var resistenza \u003d matematica. Round ((h / 4) * 100);
- forza di ritorno\u003e 100? 100: forza;
I risultati dei test sono coincisi con i risultati delle funzioni PHP: questa funzione può essere chiamata nel gestore onchange. Nel campo di immissione della password e informare l'utente, ad esempio, cambiando lo sfondo del campo di testo, il messaggio o qualcos'altro.
Allo stesso tempo, è necessario capire chiaramente che il controllo del conteggio dell'entropia non può e non dovrebbe essere l'unico o il criterio sufficiente per valutare l'affidabilità della password, in quanto consente di stimare solo la resistenza della password contro l'attacco tramite Direct Bitter. Contro gli attacchi su dizionari appositamente preparati o dai keylogger della password di dirottamento e vari programmi dannosiNaturalmente, non salverà.
Esperti di sicurezza del computer L'Università di Cambridge ha analizzato la struttura di oltre 70 milioni di password. E ho trovato il fatto che il più password sofisticate Il mondo rende gli utenti dalla Germania e dalla Corea. E lo rendono rilassato e naturalmente, senza una formazione speciale. E il segreto della stabilità delle combinazioni risiede nelle specifiche della loro lingua. Usano gli stessi personaggi latini, gli stessi numeri, ma prendono le loro parole "difficili" come base - nomi, toponimi, termini, ecc. Ad esempio, Annaberg-Buchholz # 122. Inventare, ricorda facilmente queste opzioni, ma è difficile scegliere un ordine di grandezza rispetto alle parole del vocabolario di altre lingue.
Se tu, caro lettore, non conosci coreano o tedesco, questo, ovviamente, non significa quello che devi ignorare password complesse. Sono un deposito cauzionale dei dati su Internet (nei sistemi online di pagamento, sui siti, nei forum). Questo articolo ti dirà come soddisfare i requisiti della chiave per accedere all'account (che dovrebbe essere) e come crearlo.
Definizione di complessità
La complessità della chiave è una misura di resistenza alla selezione a livello simbolico mediante metodi manuali e automatizzati (calcolo logico, la selezione del dizionario). È determinato dal numero di tentativi da parte di un hacker, cioè quanto tempo sarà necessario per calcolare l'utente combinato.
I seguenti fattori influenzano la complessità della password:
- Numero di caratteri nella chiave. Più segni nella sequenza, meglio è. Una combinazione di 5 caratteri ha un'elevata probabilità di rapido hacking. Ma per la selezione di sequenze di 20 caratteri, anni, decenni e anche il secolo possono andarsene.
- Alternanza di maiuscolo e minuscolo. Esempi: chiave DFS123UYT utilizzando il registro delle lettere maiuscole Un ordine di grandezza più complicato la stessa combinazione, ma solo con piccoli letterali - DFS123uyt.
- Set simbolici. Una varietà di tipi di simboli migliora la stabilità. Se fai una chiave da lettere piccole e grandi, numeri e frammenti speciali con una lunghezza di 15-20 caratteri, non c'è praticamente alcuna possibilità di scegliere.
Come fare combinazioni sostenibili?
I seguenti modi ti aiuteranno a trovare una chiave di carattere molto complicata che è facile da ricordare.
1. Creare i contorni visivi figura geometrica o qualche articolo sulla tastiera del tuo computer. E quindi digitare caratteri per cui le linee passano.
Attenzione! Evita semplici "strutture" - linee, quadrati o diagonali. Sono facili da prevedere.
2. Fai una proposta complessa che non può essere logicamente. In altre parole, alcuni giochi di parole:
Ad esempio: il gatto di VASKA su Giove ha preso un luccio.
Quindi prendi le prime 2-3 lettere di ogni parola dall'offerta inventata:
Cat + VA + ON + JUP + UL + SCHUE
Tipo Sillabe in Lettere latine:
RJN + DF + YF +\u003e G + EK + OER
Dopo la traslitterazione, inserire alcune familiarità familiari tra le sillabe: data di nascita, crescita, peso, età, ultima o prima cifre del numero di telefono.
RJN066DF 45YF 178\u003e G 115EK1202OER
È tutto! Come puoi vedere, ha scoperto una combinazione piuttosto "forte". Per ricordarlo rapidamente, hai solo bisogno di una chiave (offerta di calambar) e dei numeri utilizzati.
3. Prendi 2 date memorabili come base. Ad esempio, due compleanni (la tua amata).
12.08.1983 05.01.1977
Dividi il numero, il mese e l'anno con alcuni mix speciali:
12|08/1983|05\01|1977
Ora Zeros nelle date sostituisce la piccola lettera "O".
12 | O8 / 1983 | O5 \\ O1 | 1977
Risulta una chiave abbastanza complessa.
4. Fai una tabella speciale: matrici verticalmente e orizzontali. Posizionare lettere e numeri latini, e in tratti e colonne - simboli in ordine caotico.
Per generare una chiave, prendi alcuni parole semplici, registrato da lettere inglesi, ad esempio, la mia password molto forte
Prendere il primo paio di lettere. Nel nostro caso, questo è "il mio". Nella lista verticale, trova "M", in orizzontale "Y". All'intersezione delle linee riceverai il primo simbolo della password.
Allo stesso modo, attraverso il seguente vapore, trova le chiavi rimanenti.
Se si dimentica la password, usa facilmente ripristinarlo parola chiave e tavolo.
Come controllare la stabilità della password?
La stabilità della combinazione di simboli alla selezione può essere trovata su speciali servizi web. Considera il più popolare:
Servizio online da Kaspersky Anti-Virus Laboratory. Determina il set simbolico e la lunghezza della chiave in quanto ci vuole il tempo di hackerare computer diversi. Dopo aver analizzato la sequenza, le statistiche visualizzano il tempo per cercare ZX-Spectrum (il leggendario 88-Bit 80-X), Mac Book Pro (Modello 2012), Tianhe-2 Supercomputer e nella rete Botnet Conficker.
Utility online su un enorme portale di servizio 2IP.RU. Dopo aver inviato la chiave al server, dà il suo stato (affidabile, inaffidabile) e il tempo trascorso per il suo hacking.
Saluti sul sito del blog! Per molto tempo volevo scrivere un articolo su come la password dovrebbe essere per un account da tacere è stato molto difficile. Da questo articolo imparerai come creare una password difficile. Saranno considerati ricevimenti per aiutare non solo a rendere una password sicura, ma non difficile per la tua memorizzazione.
Ora non abbiamo più le nostre vite senza Internet. Quasi tutti i siti richiedono la registrazione. Le risorse più popolari sono social network. Ogni giorno milioni di utenti subiscono l'autorizzazione in conti. Rischiamo di disegnare molti errori: invio di dati importanti nei messaggi. Bene, quando c'è una password difficile per VC o altro social network popolare, aiuta a proteggersi dagli intrusi.
Metodi di complicazione della password multipli
Quale dovrebbe essere la password? Questo problema è dato centinaia di utenti di Internet. Distinguere i seguenti tipi di password:
- alfabeto;
- simbolo;
- digitale;
- combinato (combinazione di opzioni precedenti);
- usando il registro.
I primi tre tipi non ispirano fiducia. È troppo modi semplici Crea password. In equità, commettiamo errori e li mettiamo. Bene, sarà un "pasp" per un account sul forum o altro luogo simile. E se è un ingresso all'ufficio della Banca, tutti spariranno i tuoi soldi. L'unica cosa che salva - il servizio di sicurezza di tali siti ha sviluppato un sistema di rifiuto di password luminose.
Lettere, numeri e simboli
La combinazione di lettere, caratteri e numeri è la vista più sicura della password. Devi seriamente rompere la testa per indovinare.
Gli esperti "utenti" consigliano i neofiti di utilizzare questa combinazione. Inoltre, non dovresti farlo troppo breve. Una combinazione lunga ti consentirà di mantenere i tuoi dati e la corrispondenza in sicurezza da terzi.
La cosa principale non è usare frasi banali qui sotto:
- "123";
- "123456";
- "321";
- «Qwerty»;
- "Asdfg".
Questi e altri set simili di caratteri dalla tastiera sono guidati. Non solo per te, vengono prima nella testa e centinaia di persone. Saranno anche calcolati programma speciale, di solito un detrattore.
Come scegliere una password per posta o altro tipo di autorizzazione? Questo problema dovrebbe essere fatto da solo. Alcune altre opzioni per complicare la password verranno per aiutare.
Registrati
Prima di entrare nel nome utente e nella password, vale la pena prestare attenzione al registro sensibile di alcune forme. La combinazione di lettere maiuscole e minuscole renderà una password più affidabile.
Comporre una parola segreta, pensa a questa varietà. Capitale alternativo e piccole lettere per uno o più pezzi. Questo metodo impanta seriamente i cattivi di rete.
Il più offensivo, se tu tu dimentica l'ordine. Secondo la raccomandazione degli utenti esperti, vale il primo simbolo di compensare la seconda linea, e quindi alternare uno per uno. Questo consiglio è meglio prendere nota, e quindi non rompere la testa.
Senza l'introduzione delle funzionalità del registro in Passvord, puoi farlo, ma è ancora un altro metodo per aumentare la complessità della password.
Chiamata
La data di nascita che qualsiasi utente ricorderà è il modo più banale e semplice. Se è corretto battere, potrebbe essere una buona opzione. Usando la "Perevilty", molti sono riusciti a creare una password vincente, che è improbabile che sia soccombere ai raggi.
Il metodo si basa sui caratteri di scrittura nell'ordine inverso. Scegli qualsiasi data, ad esempio, quando sei nato e comporre il testo al contrario. Se stai pensando alla frase "081978", poi girando, otteniamo "879180". Ricorda semplicemente come è stata scritta una password del genere.
Considera altre idee più complesse. Supponiamo che la base della password sia il tuo nome e cognome. Gualiamo, già sapendo la tecnica con l'applicazione del registro - "Petrpetrov". Ora applicheremo le tattiche dei "Perevils". Usiamo la data, ad esempio, quando l'utente è nato - 21 febbraio 1982. Più per aggiungere simboli. Alla fine otteniamo il seguente esempio della password - "Petrpetrov! 28912012". Il risultato è stato sbalorditivo, perché per "utente" è semplice e facile, ma non per gli aggressori.
Controllare l'affidabilità e la sicurezza della password utilizzando servizi online:
- https://password.kaspersky.com/ru/
- https://howsecureismypassword.net/
Crittografia
Cosa deve essere ancora la password? Scopriamo un altro ottimo modo. Considereremo il principio della crittografia. In effetti, tutti i metodi precedentemente rivisti sono rieciggiati con esso. Qui mostreremo quali password sono crittografando le frasi.
Prendi la frase più priva di significato e unica, che è facile da posticipare in memoria. Lascia che ci sia "scarafaggio cosmico". Puoi usare le linee da canzoni e poesie, preferibilmente non molto famose.
Quindi ci appliciamo alla nostra frase cifra. Considera diversi modi corretti:
- riscrivere una parola di lingua russa nel layout inglese;
- "Perevilty";
- sostituzione delle lettere sui simboli esternamente simili (ad esempio "O" - "()", "I" - "!", "A" - "@");
- rimozione di simboli accoppiati o spatati;
- buttare via consonanti o vocali;
- supplemento da miscele e numeri speciali.
Quindi, pensiamo a poche parole con significato - "scarafaggio cosmico". Prendiamo 4 lettere da tutti, otteniamo "Cosmar". Interruttore di inglese E ristampa - "rjcvnfhf". Complicare, avviare un cifrario con una lettera maiuscola e aggiungere caratteri.
È così che la password dovrebbe essere sull'esempio di una frase inizialmente concepita - " [Email protetta]».
È inventata una combinazione affidabile con un gran numero di caratteri. L'affidabilità della password viene controllata con servizi speciali, ad esempio, passwodmetr.com. Una combinazione, come non abbiamo solo indovinato i truffatori, quindi i dati personali dell'utente non sono coinvolti. Ma per il "utente" tale "Passvord" è una scoperta, poiché non ricorderemo una password così affidabile.
Generatore
Per coloro che non vogliono passare troppo tempo a pensare, gli sviluppatori hanno a lungo inventato i generatori di password complesse. Questo metodo fornisce un certo grado di affidabilità. I migliori sono ancora considerati "password", inventati dalla loro mente.
Qual è il generatore e come usarlo? esso programma intelligenteche mostra le combinazioni cadute casuali della password. Usa molti metodi considerati, ma "flutter" non tiene conto.
Il complesso generatore di password viene scaricato dalla rete. Ad esempio, prendi "KeepAss". Come qualsiasi altro generatore funziona non difficile. L'applicazione stessa inizia e la generazione stessa premendo il pulsante speciale. Dopo aver eseguito l'operazione del PC, fornisce un'opzione di password. Resta per il piccolo - per entrare nella combinazione risultante in una forma costante o con aggiunte.
Le password rigide inventate da un amico di ferro sono molto difficili da ricordare. Raramente chi li tiene in mente, più spesso devi registrare. Le password di solito ce ne sono molte, non sediamo su un sito e registrati costantemente, di nuovo su altre risorse. Pertanto, per memorizzare un mucchio di tali informazioni non è comodo. Puoi ottenere tutte le carte con i record.
C'è una via d'uscita da stoccaggio - stampali nel file del computer. Questo è uno dei casi più affidabili. Vale la pena ricordare che il sistema PC non è eterno e viene anche in rovina.
Tutti i modi per creare password complicate sono già considerati sopra e puoi creare una password per e-mailche proteggono in modo affidabile i tuoi dati da terzi.
Offro attenzione a alcuni suggerimenti per la creazione della password necessarie:
- non menzionare informazioni personali sull'utente (fio parenti, clic di pet, numeri di telefono, indirizzi, compleanni e altro);
- nella password non è possibile utilizzare Cirillico;
- non usare frasi che si calcolano facilmente utilizzando il dizionario delle password popolari (Yasterva, amore, Alfa, Samsung, Cat, Mercedes e altri simili, così come i loro altri derivati \u200b\u200be combinazioni);
- considerare la lunghezza dei personaggi - preferibilmente almeno 10;
- combicare la combinazione di password di tutti i tipi di metodi - lettere maiuscole e minuscole, numeri, simboli;
- non utilizzare le password più frequenti - Modelli, pensare originale (robot, calcolo della password, non sarà in grado di essere così intelligente come persona).
Saluti!
Nonostante il rapido sviluppo delle tecnologie e dell'aspetto modi alternativi Riconoscimento del proprietario, la protezione della password non passa la sua posizione e rimane molto popolare fino ad oggi.
La password è diventata ordinaria ed è utilizzata per accedere ai dispositivi e ai servizi Internet. E nel tempo sono solo di più. La situazione attuale, in definitiva, porta al fatto che gli utenti iniziano a utilizzare la stessa password sui dispositivi e dei servizi utilizzati.
Questo approccio è molto pericoloso e minaccia gravi conseguenze. Password senza dubbio compromessa da rete sociale non sopporta tali conseguenze come una password da sistema di pagamento. Ma se sono identici, quindi la probabilità che l'accesso sarà ottenuto e agli altri servizi utilizzati sono molto alti.
In modo che questo non accada, le password devono essere complesse (resistenti al malizioso) e diverso.
Principi utilizzati durante la creazione di una password
La maggior parte delle risorse Internet ha regole minime per la password installata, che spesso non sono sufficienti per creare una password veramente complessa. È necessario ricordare che:
- Login e password non dovrebbero essere identici
- La password non dovrebbe essere costituita da informazioni personali (data di nascita, telefono, ecc.)
- La password non dovrebbe essere esclusivamente dalle parole
Ad esempio, per scegliere una password costituita da 6 cifre - è necessario prendere solo 1 milione di combinazioni. Computer moderno Potrebbe far fronte a questo compito in pochi minuti. Per la stessa ragione, non dovresti fare affidamento sulle password consistenti esclusivamente alle parole e alle loro combinazioni. Tali password vengono spostate usando parole popolari.
Non fare affidamento su password, che consistono in parole con l'aggiunta di numeri. Sono suscettibili di hacking, anche se è richiesto molto più tempo. Tuttavia, nel caso di hacking di successo e perdite sostenute a tale riguardo, non ha quasi alcun significato.
Per una migliore comprensione, quale password è affidabile, e che è soggetta a foschia, vale la pena contattare gli esempi. Questi numeri sono stati ottenuti utilizzando il servizio di controllo della resistenza della password.
- Data di nascita 12071996 - 0.003 secondi
- Il nome dalla lettera maiuscola Maksim e il minuscolo Maksim non è più della metà di ACEND
- Una combinazione composta da lettere e numeri 7s3a8f1m2a - circa un giorno
- Sulla prima combinazione di VSA-DFRLLZ - \u200b\u200b1 anno
- La combinazione di IU2374DHSA) DD - 204 milioni di anni
Le ultime due password dimostrano un'alta resistenza all'hacking. È probabile che il lavoro di un attaccante dell'hinding di una password simile finisca con qualsiasi cosa.
Genera correttamente una password
Ci occupiamo della parte teorica, ora giriamo direttamente alla generazione di password persistenti e affidabili.
Quando crei una password complessa e persistente, un fattore umano svolge un ruolo significativo. Le difficoltà si presentano nella fase iniziale - inventando una password complessa e dopo la sua memorizzazione. Dopotutto, la combinazione di personaggi sparsi difficilmente predispone alla messa in fretta memorizzazione.
I servizi online ci aiuteranno con il problema di generare una password costante. Ci sono molti di loro, da popolari servizi di lingua russa: si possono notare:
Passwordist.com.
Online-Generator.ru.
Passgen.ru.
I servizi presentati funzionano in base a un principio, è solo necessario specificare quali caratteri da utilizzare e selezionare la lunghezza della password generata.
Una funzionalità separata del servizio Passwordist.com può essere annotata la possibilità di impostare il numero di password create e generare opzioni con una migliore leggibilità a causa dell'esclusione di caratteri simili, ad esempio B e 8.
Conservazione delle password
Le password affidabili sono generate, ma è ancora la metà. Le password devono essere correttamente memorizzate, in modo che nessuno non abbia ricevuto l'accesso a loro.
A questo proposito, opzioni con un record in file di testo Oppure l'adesivo con il successivo attacco al monitor scompare immediatamente.
Affidare meglio e correttamente informazioni confidenziali Password Manager.
Tra le soluzioni popolari si può notare il programma KeepAss. Questo programma Gratuito e allo stesso tempo è molto funzionale. Tra le altre cose, c'è un generatore di password in esso, grazie a cui non è necessario utilizzare un generatore online.
Per accedere al database delle password salvate, è necessario installare una password master. Per la sua creazione, puoi, ad esempio, sfruttare la metodologia Set Parola in un altro layout, al fine di creare una password difficile, ma allo stesso tempo non lo dimentichi da solo.
Il database locale con password sul tuo computer a priori sarà meno suscettibile all'hacking rispetto ai servizi pubblici su Internet, quindi non è necessario rifidarlo con difficoltà.
Controllo della resistenza della password
Se si desidera controllare le password esistenti o appena generate per la resistenza all'hacking, ci sono diversi servizi online per questo:
1) Quanto è sicura la mia password? Dopo aver inserito una password nel modulo appropriato sul sito, vedrai quanto tempo hai bisogno quando haickerando il metodo di busting. Il termine di diversi milioni di anni può essere considerato eccellente.
2) Kaspersky Lab: Secure password check Questo servizio Creato dallo sviluppatore domestico di una popolare soluzione antivirus. Dimostra anche un tempo approssimativo necessario sulla password hacking con il metodo di estinzione.
3) 2ip: il servizio di resistenza della password ha categoricamente un verdetto per una password controllata - può essere affidabile o meno.
Il controllo delle password non è resistenza, non dimenticare che i risultati della resistenza sono altamente condizionali. Sono calcolati sulla base delle prestazioni medie. computer domesticoEd è proprio simile a un potente supercomputer di laboratorio.
Un calma: le persone che hanno accesso a tali attrezzature, difficilmente saranno interessate alla tua password dal servizio di posta elettronica o dal messenger.
Breve risultato
In questo articolo ho provato a rivelare tutti gli aspetti protezione della password E spiega perché a prima vista password affidabile In sostanza, questo non è completamente.
lo spero questa informazione Sarà utile e saranno prese misure che saranno recintate da hacking e conseguenze correlate.
Molti siti stanno cercando di aiutare gli utenti a impostare password più complesse. Per fare ciò, stabilire le regole di base che richiedono solitamente specificare almeno una lettera maiuscola, una lettera minuscola, una cifra e così via. Le regole sono solitamente primitive come tale:
"Password" \u003d\u003e ["Richiesto", "confermato", "min: 8", "Regex: / ^ (? \u003d \\ S *) (? \u003d \\ S *) (? \u003d \\ S * [\\ D]) * $ $ / ",];
Sfortunatamente, tali semplici regole significano che la password ABCD1234 è riconosciuta come buona e alta qualità, così come Password1. D'altra parte, la password MU-ICAC-of-Jaz-DAAD non passerà la convalida.
Ecco le prime due password.
Ma due password che non saranno testate per affidabilità.
Cosa fare? Forse non dovrebbe essere costretto a utilizzare simboli speciali e implementare tutte le nuove regole, come un divieto di diversi simboli di fila, utilizzare non uno, e due-tre speciali speciali e numeri, un aumento della lunghezza minima della password e del T D.
Invece di tutto questo, è sufficiente fare una cosa semplice - basta installare restrizione minima della entropia. Password, ed è così! È possibile utilizzare il produttore di ZXCVBN per questo.
Ci sono altre soluzioni diverse da ZXCVBN. Letteralmente la scorsa settimana presso il computer ACM e la conferenza sulla sicurezza delle comunicazioni, il lavoro scientifico (PDF) di specialisti di sicurezza della Symantec Research Research Unità e l'Istituto di ricerca francese EURACOM sono stati presentati. Hanno sviluppato nuovo programma Per verificare l'affidabilità delle password, che stima il numero approssimativo di tentativi di Bruthent utilizzando il metodo del Monte Carlo. Il metodo proposto è caratterizzato dal fatto che richiede un numero minimo di risorse di calcolo sul server, adatto per un gran numero di modelli probabilistici e allo stesso tempo abbastanza accurato. Il metodo è stato controllato su password dalla base di 10 milioni di password Xato, che si trovano nel pubblico dominio (una copia di archive.org) - ha mostrato un buon risultato. È vero, questo studio di Symantec Research ed Euracom è una natura piuttosto teorica, almeno non hanno possesso del loro programma in accesso libero In qualsiasi forma accettabile. Ciononostante, il significato del lavoro è chiaro: invece delle regole euristiche per controllare le password, i siti Web sono auspicabili per introdurre un'ispezione sull'entropia.
