Złożoność hasła jest zazwyczaj oceniana w zakresie entropii informacyjnej (koncepcja z teorii informacji) mierzona w bitach. Zamiast liczby prób niezbędnych do dokładnego odgadnięcia hasła, potrzeba logarytmu na podstawie 2 tego numeru i nazywany jest liczbą "Entropy Bits" w Hasła. W celu uzyskania metody pełnej gaszenia hasła z 40-bitową złożonością konieczne jest wytworzenie 2 40 prób, sprawdzając wszystkie możliwe opcje. Ale zwykle atakujący wystarczy, aby sprawdzić połowę wszystkich możliwych opcji hasła, zanim znajdzie odpowiednią. W jednym z artykułów otrzymałem już definicję naukową i formułę obliczania entropii, nie powiem tych informacji.
Pozostaje wydawany w formie funkcji. Zacznę od wersji PHP, aby wykonać kontrolę odporności na hasło, na przykład podczas rejestracji użytkowników na stronie:
- funkcja Check_password_strength ($ Hasło) (
- $ H \u003d 0;
- foreach (Count_chars ($ Hasło, 1) AS $ V) (
- $ p \u003d $ V / STRLEN ($ Hasło);
- $ H - \u003d $ p * dziennik ($ p) / log (2);
- $ strngth \u003d intval (($ h / 4) * 100);
- zwróć $ Siła\u003e 100? 100: $ siłę;
Im bliżej wartości powrotu do 100, tym wyższa opór hasła. Oto wyniki testów haseł z komiksu i innego często używanego hasła. Algorytm ten może być używany nie tylko po stronie serwera, ale także na kliencie, nawet na etapie wprowadzania hasła przez użytkownika. Oto funkcja JavaScript, która wykonuje kontrolę odporności na hasło:
- funkcja Check_password_Strength (Hasło) (
- var h \u003d 0, p, znaków \u003d nowa tablica;
- dla (var i \u003d 0; ja< password . length ; i ++) {
- jeśli (znaki [Hasło. Charat (I)] \u003d\u003d Undefined) (
- Znaki [hasło. Charat (I)] \u003d 0;
- Znaki [hasło. Charat (I)] ++;
- dla (Var V w znakach) (
- P \u003d znaki [v] / hasło. Długość;
- h - \u003d (p * matematyka. dziennik (p) / matematyka. dziennik (2));
- var siła \u003d matematyka. Okrągły ((h / 4) * 100);
- siła powrotna\u003e 100? 100: siła;
Wyniki testów są zbiegły się z wynikami funkcji PHP: Ta funkcja może być wywoływana w handlerze onchange. W polu Wprowadzenie hasła i powiadom użytkownika, na przykład, zmieniając tła tekstowe, wiadomość lub coś innego.
Jednocześnie powinieneś jasno zrozumieć, że sprawdzenie licznika entropii nie może i nie powinien być jedynym lub wystarczającym kryterium do oceny niezawodności hasła, ponieważ pozwala na oszacowanie tylko oporu hasła w stosunku do ataku przez bezpośredni gorzki. Przeciwko atakom na specjalnie przygotowane słowniki lub z haijacking Hasło Keyloggers i różne złośliwe programyOczywiście nie zapisze.
Eksperci by bezpieczeństwo komputera University of Cambridge analizował strukturę ponad 70 milionów haseł. I znalazł fakt, że najbardziej wyrafinowane hasła Świat czyni użytkownicy z Niemiec i Korei. I sprawiają, że jest on zrelaksowany i naturalnie, bez specjalnego treningu. A tajemnica stabilności kombinacji leży w specyfiki ich języka. Używają tych samych znaków łacińskich, tych samych liczb, ale biorą własne "trudne" słowa jako podstawy - nazwy, toponimy, terminy itp. Na przykład Annaberg-Buchholz # 122. Wymyślać, pamiętaj o tych opcjach łatwo, ale trudno jest wybrać kolejność wielkości w porównaniu z słownictwami innych języków.
Jeśli, drogi czytelnik, nie znasz koreańskiego ani niemieckiego, oczywiście, nie oznacza to, co musisz zignorować złożone hasła. Są to depozyt zabezpieczający danych w Internecie (w systemach płatności online, na stronach, forach). Ten artykuł powie, jak spełnić wymagania klucza, aby uzyskać dostęp do konta (który powinien być) i jak go utworzyć.
Definicja złożoności
Złożoność klucza jest miarą odporności na wybór na poziomie symbolicznym za pomocą metod ręcznych i zautomatyzowanych (obliczenie logiczne, wybór słownika). Jest określany przez liczbę prób hakera, to znaczy, ile czasu będzie potrzebny do obliczenia użytkownika kombinacji.
Następujące czynniki wpływają na złożoność hasła:
- Liczba znaków w kluczu. Im więcej znaków w sekwencji, tym lepiej. Kombinacja 5 znaków ma duże prawdopodobieństwo szybkiego hakowania. Ale do wyboru sekwencji 20 znaków, lat, dziesięciolecia, a nawet wiek może odejść.
- Alarmowacja wielkich i małych liter. Przykłady: Klucz DFS123UYT Korzystanie z rejestru wielkich liter zamówienie wielkości bardziej skomplikowane tej samej kombinacji, ale tylko z małymi literałami - DFS123uyt.
- Zestawy symboliczne. Różne rodzaje symboli zwiększa stabilność. Jeśli dokonasz klucza z małych i dużych liter, cyfr i specjalistów z długością 15-20 znaków, istnieje praktycznie bez szans.
Jak zrobić zrównoważone kombinacje?
Następujące sposoby pomogą Ci wymyślić bardzo skomplikowany klucz znakowy, który jest łatwy do zapamiętania.
1. Utwórz kontury wizualne figura geometryczna lub jakiś element na klawiaturze komputera. A następnie wpisz znaki, dla których przechodzą linie.
Uwaga! Unikaj prostych "struktur" - linii, kwadratów lub przekątnej. Są łatwe do przewidzenia.
2. Zrób złożoną propozycję, która nie może być logicznie. Innymi słowy, niektóre kalam:
Na przykład: kot Vaska na Jowiszu złapał szczupaka.
Następnie weź pierwsze 2-3 litery każdego słowa z wynalezionej oferty:
CAT + VA + ON + JUP + UL + SCHUE
Wpisz sylaby w listach łacińskich:
RJN + DF + YF +\u003e G + EK + OER
Po transliteracji wstaw zaznajomiony znajomo zaznajomionych między sylabami: data urodzenia, wzrostu, wagi, wieku, ostatnie lub pierwszych cyfr numeru telefonu.
RJN066DF 45YF 178\u003e G 115ek1202oer
To wszystko! Jak widać, okazało się ona raczej "silna" kombinacja. Aby szybko zapamiętać, potrzebujesz tylko klucza (oferta kalambara) i używanych numerów.
3. Weź 2 niezapomniane daty jako podstawę. Na przykład dwie urodziny (twoja kochana).
12.08.1983 05.01.1977
Podziel liczbę, miesiąc i rok z kilkoma specjalnymi mieszankami:
12|08/1983|05\01|1977
Teraz zer w datach zastępują małą literę "O".
12 | O8 / 1983 | O5 O1 | 1977
Okazuje się dość skomplikowany klucz.
4. Wykonaj specjalną tabelę: macierze pionowo i poziome. Umieść litery i cyfry łacińskie, oraz w uderzeniach i kolumnach - symbole w porządku chaotycznym.
Aby wygenerować klucz, weź kilka proste słowa, nagrany przez angielskie litery, na przykład moje hasło bardzo silne
Weź pierwszą parę liter. W naszym przypadku jest "mój". Na liście pionowej znajdź "M", w poziomym "Y". Na skrzyżowaniu linii otrzymasz pierwszy symbol hasła.
W ten sam sposób, przez następną parę, znajdź pozostałe klucze.
Jeśli zapomnisz hasła, użyj go łatwe do przywrócenia słowo kluczowe i stół.
Jak sprawdzić stabilność hasła?
Stabilność kombinacji symboli do wyboru można znaleźć na specjalnych usługach internetowych. Rozważ najbardziej popularny:
Usługa online z Laboratorium Kaspersky Anti-Virus. Określa symboliczny zestaw i długość klucza, ponieważ zajmuje czas, aby włamać się różne komputery.. Po przeanalizowaniu sekwencji statystyki wyświetlają czas, aby wyszukać ZX Spectrum (legendarny 8-bitowy 80-X), Mac Book Pro (Model Model), Superkomputera Tianhe-2 oraz w sieci Botnet Conficker.
Narzędzie online na ogromnym portalu serwisowym 2ip.ru. Po wysłaniu klucza do serwera daje jego status (niezawodne, zawodne) i czas spędzony na jego hakowaniu.
Pozdrowienia na stronie bloga! Przez długi czas chciałem napisać artykuł o tym, jak hasło powinno być na konto do włamania, było bardzo trudne. Z tego artykułu dowiesz się, jak utworzyć trudne hasło. Przyjęcia zostaną uznane za pomoc nie tylko bezpieczne hasło, ale nie trudne do zapamiętywania.
Teraz nie mamy już naszego życia bez Internetu. Prawie każda witryna żąda rejestracji. Najpopularniejsze zasoby to sieci społecznościowe. Codziennie miliony użytkowników przechodzą zezwolenie na rachunkach. Ryzykujemy dużo błędów - wysyłanie ważnych danych w wiadomościach. Cóż, gdy istnieje trudne hasło do VC lub innej popularnej sieci społecznościowej, pomaga chronić się przed intruzami.
Metody komplikacji wielu hasła
Co powinno być hasłem? Ten problem ma setki użytkowników Internetu. Odróżnij następujące typy haseł:
- alfabet;
- symbol;
- cyfrowy;
- połączony (kombinacja poprzednich opcji);
- za pomocą rejestru.
Pierwsze trzy typy nie inspirują pewności siebie. To za dużo proste sposoby Stwórz hasło. W uczciwości popełniamy błędy i umieścimy je. Cóż, będzie to "PASP" na konto na forum lub inne podobne miejsce. A jeśli jest to wejście do biura banku, każdy zniknie twoje pieniądze. Jedyną rzeczą, która oszczędza - Służba bezpieczeństwa takich witryn opracowała system odrzucenia haseł światła.
Listy, cyfry i symbole
Połączenie liter, znaków i numerów jest najbezpieczniejszym widokiem na hasło. Musisz poważnie złamać głowę, żeby odgadnąć.
Doświadczeni "Użytkownicy" doradzają nowe, aby użyć tej kombinacji. Nie powinieneś też zrobić zbyt krótki. Długa kombinacja pozwoli Ci utrzymać swoje dane i korespondencję w zakresie bezpieczeństwa od osób trzecich.
Najważniejsze jest, aby nie używać banalnych zwrotów poniżej:
- "123";
- "123456";
- "321";
- «QWERTY»;
- "ASDFG".
Te i inne podobne zestawy znaków z klawiatury są prowadzone. Nie tylko dla ciebie, przychodzą najpierw na głowie i setki ludzi. Zostaną również obliczone program specjalny.i zwykle odstępnik.
Jak wybrać hasło do poczty lub innego rodzaju autoryzacji? Ten problem należy wykonać samodzielnie. Do pomocy przychodzi jeszcze kilka opcji do komplikowania hasła.
Zarejestrować
Przed wejściem do nazwy użytkownika i hasła warto zwrócić uwagę na wrażliwy rejestr niektórych form. Łączenie wielkich i małych liter spowoduje hasło bardziej niezawodne.
Komponowanie tajnego słowa, pomyśl o różnorodnościach IT. Alternatywny kapitał i małe litery dla jednego lub więcej elementów. Ta metoda poważnie grieje złoczyńców.
Najbardziej obraźliwe, jeśli sam zapomnisz zamówienie. Zgodnie z zaleceniem doświadczonych użytkowników jest warta pierwszego symbolu, aby uzupełnić drugą linię, a następnie alternatywny jeden po drugim. Ta rada jest lepsza, aby wziąć notatkę, a następnie nie złamać głowy.
Bez wprowadzenia funkcji Rejestru w Passvord możesz to zrobić, ale nadal jest inna metoda zwiększenia złożoności hasła.
Powołanie
Data urodzenia, którą każdy użytkownik będzie pamiętać, jest najbardziej banalny i łatwy sposób. Jeśli jest poprawny, aby go pokonać, może być dobrą opcją. Korzystając z "Perevilty", wielu udało się utworzyć zwycięskie hasło, które jest mało prawdopodobne, aby ulegnie promieniom.
Metoda opiera się na zapisaniu znaków w odwrotnej kolejności. Wybierz dowolną datę, na przykład, gdy urodziłeś się i wybierasz tekst przeciwnie. Jeśli myślisz o wyrażeniu "081978", a potem się odwracamy, otrzymujemy "879180". Po prostu pamiętaj, jak takie hasło jest napisane.
Rozważ pozostałe bardziej złożone pomysły. Załóżmy, że podstawa hasła jest twoje imię i nazwisko. Zyskujemy, już znamy technikę z zastosowaniem rejestru - "Petrpetrow". Teraz zastosujemy taktykę "Perevils". Używamy daty, na przykład, gdy użytkownik urodził się - 21 lutego 1982 r. Plus, aby dodać symbole. W końcu otrzymujemy następujący przykład hasła - "Petrpetrow! 28912012". Rezultatem było oszałamiające, ponieważ dla "użytkownika" jest proste i łatwe, ale nie dla atakujących.
Sprawdź niezawodność i bezpieczeństwo hasła za pomocą usługi online:
- https://password.kaspersky.com/ru/
- https://howsecureismypassword.net/
Szyfrowanie
Co nadal powinno być hasło? Dowiemy się kolejny świetny sposób. Rozważymy zasadę szyfrowania. W rzeczywistości wszystkie metody wcześniej sprawdzone są echwem. Tutaj pokazamy, jakie hasła są przez szyfrowanie fraz.
Weź najbardziej bezsensowne i wyjątkowe fraza, która jest łatwa do odroczenia w pamięci. Niech będzie "kosmiczny karaluch". Możesz użyć dowolnych linii z utworów i wierszy, najlepiej niezbyt znanych.
Następnie dotyczy naszego szyfracji frazy. Rozważ kilka poprawnych sposobów:
- przepisywanie słowa rosyjskojęzycznego w języku angielskim;
- "Perevilty";
- wymiana liter na symbolach zewnętrznych podobnych (na przykład "O" - "()", "i" - "!", "A" - "@");
- usuwanie parowanych lub nieupornych symboli;
- wyrzucić spółgłoskę lub samogłoski;
- uzupełnienie specjalnymi mieszankami i liczbami.
Tak więc myślimy o kilku słowach z znaczeniem - "Kosmiczny karaluch". Wykonujemy 4 litery od wszystkich, dostajemy "Cosmtara". Przełącznik język angielski I przedruk - "RJCVNFHF". Komplikować, rozpoczęcie szyfru z wielką literą i dodawaniem znaków.
W ten sposób hasło powinno być na przykładzie początkowo pomyślanej frazy - " [Chroniony e-mail]».
Niezawodna kombinacja z dużą liczbą znaków jest wynalezionych. Niezawodność hasła jest sprawdzana za pomocą usług specjalnych, na przykład passwodmetr.com. Połączenie, ponieważ nie zgadliśmy po prostu oszustów, więc dane osobowe użytkownika nie są zaangażowane. Ale dla "użytkownika" takiego "passvord" jest znalezisko, ponieważ nie zapamiętamy takiego niezawodnego hasła.
Generator
Dla tych, którzy nie chcą spędzać zbyt wiele czasu na myśleniu, deweloperzy długo wynalazli generatory złożonych haseł. Ta metoda zapewnia pewien stopień niezawodności. Najlepsze są nadal uważane za "hasła", wymyślone przez ich umysł.
Jaki jest generator i jak go używać? to smart Program.który wyświetla hasło losowe - popełnione losowo spadły kombinacje. Wykorzystuje wiele rozpatrywanych metod, ale "trzepotanie" nie uwzględnia.
Złożony generator haseł jest pobierany z sieci. Na przykład weź "keeza". Jak każdy inny generator nie działa nie trudno. Sama aplikacja rozpoczyna się, a sama generacja przez naciśnięcie specjalnego przycisku. Po zakończeniu obsługi komputera daje opcję hasła. Pozostaje dla małych - do uzyskanej kombinacji w stałej formie lub dodatków.
Twarde hasła wymyślone przez żelazny przyjaciel jest bardzo trudny do zapamiętania. Rzadko, kto ma na myśli, częściej musisz nagrywać. Hasła zwykle istnieje wiele, nie siedzimy w jednym miejscu i nieustannie rejestruje się ponownie - ponownie na innych zasobach. Dlatego, aby przechowywać grupę takich informacji nie jest wygodne. Możesz uzyskać cały papier z rekordami.
Istnieje jedna droga z pamięci - wydrukuj je w pliku komputera. Jest to jeden z najbardziej niezawodnych przypadków. Warto pamiętać, że system PC nie jest wieczny, a także wchodzi w ruinę.
Wszystkie sposoby tworzenia skomplikowanych haseł są już uwzględnione powyżej i możesz utworzyć hasło e-mailktóry niezawodnie chroni dane od osób trzecich.
Oferuję uwagę kilka niezbędnych wskazówek tworzenia haseł:
- nie wspominaj o osobistych danych o użytkowniku (Krewni FIO, kliknięcia PET, numery telefonów, adresy, urodziny i inne);
- w haśle nie możesz używać cyrylicy;
- nie używaj fraz łatwo obliczanych za pomocą słownika popularnych haseł (Yasterva, miłość, Alfa, Samsung, Kot, Mercedes i inne podobne, jak również ich inne pochodne i kombinacje);
- rozważ długość znaków - korzystnie co najmniej 10;
- komplikuje połączenia hasła wszelkiego rodzaju metod - wielkie i małe litery, cyfry, symbole;
- nie używaj najczęstszych haseł - szablonów, myślą o oryginale (Robot, obliczanie hasła, nie będzie w stanie być tak mądry jako osoba).
Pozdrowienia!
Pomimo szybkiego rozwoju technologii i wyglądu alternatywne sposoby Uznanie właściciela, ochrona hasłem nie przechodzi jej pozycję i pozostaje bardzo popularny do dziś.
Hasło stało się zwykłe i służy do uzyskiwania dostępu do urządzeń i usług internetowych. I z czasem są tylko więcej. Obecna sytuacja, ostatecznie prowadzi do faktu, że użytkownicy zaczynają korzystać z tego samego hasła na używanych urządzeniach i usługach.
Takie podejście jest bardzo niebezpieczne i zagraża poważnym konsekwencjom. Niewątpliwie zagrożone hasło sieć społeczna nie ponosi takich konsekwencji jako hasła system płatności. Ale jeśli są identyczne, prawdopodobieństwo, że dostęp zostanie uzyskany, a do innych używanych usług jest bardzo wysoki.
Więc tak się nie zdarza, hasła muszą być złożone (odporne na psoty) i różne.
Zasady używane podczas tworzenia hasła
Większość zasobów internetowych ma minimalne reguły dla zainstalowanego hasła, które często nie wystarczą, aby utworzyć prawdziwie złożone hasło. Należy pamiętać, że:
- Logowanie i hasło nie powinny być identyczne
- Hasło nie powinno składać się z danych osobowych (data urodzenia, telefon itp.)
- Hasło nie powinno być wyłącznie ze słów
Na przykład, aby wybrać hasło składające się z 6 cyfr - musisz poświęcić tylko 1 milion kombinacji. Nowoczesny komputer Może poradzić sobie z tym zadaniem w ciągu kilku minut. Z tego samego powodu nie powinieneś polegać na hasłach składających się wyłącznie ze słów i ich kombinacji. Takie hasła są przenoszone za pomocą popularnych słów.
Nie polegaj na hasłach, które składają się ze słów o dodaniu liczb. Są one tak podatne na hakowanie, mimo że jest to wymagane znacznie więcej czasu. Jednak w przypadku udanego włamania się i poniesione straty w tym zakresie, trudno mieć żadnego znaczenia.
Aby lepiej zrozumieć, które hasło jest niezawodne, a który podlega mgiełce, warto skontaktować się z przykładami. Numery te zostały uzyskane przy użyciu usługi sprawdzania rezystancji hasła.
- Data urodzenia 12071996 - 0,003 sekundy
- Nazwa z wielkiej litery MAKSIM i małej litery Maksim nie jest więcej niż połowa
- Połączenie składające się z liter i cyfr 7S3A8F1M2A - około jednego dnia
- W pierwszej kombinacji VSA-DFRLLZ - \u200b\u200b1 rok
- Połączenie IU2374NDHSA) DD - 204 milionów lat
Dwa ostatnie hasła wykazują bardzo wysoką odporność na hakowanie. Praca napastnika na hakowaniu podobnego hasła prawdopodobnie skończy się wszystkim.
Poprawnie wygeneruj hasło
Zajmowaliśmy się częścią teoretyczną, teraz obracajmy bezpośrednio do wytwarzania trwałego i niezawodnego hasła.
Podczas tworzenia złożonego i uporczywego hasła, różnorodne dla człowieka odgrywa znaczącą rolę. Trudności pojawiają się na samodzielnym etapie - wymyślanie złożonego hasła i po - jego zapamięcia. W końcu kombinacja rozproszonych znaków prawie predysponuje do szybkiej zapamięcia.
Usługi online pomogą nam z problemem generowania stałego hasła. Jest ich wiele z nich, z popularnych usług rosyjskojęzycznych można zauważyć:
Passwordist.com.
Online-Generators.ru.
Passgen.ru.
Prezentowane usługi działają zgodnie z jedną zasadą, musisz jedynie określić, które znaki musisz użyć i wybrać długość wygenerowanego hasła.
Oddzielna funkcja serwisu haseł można zauważyć możliwość ustawienia liczby utworzonych haseł i generuj opcje o lepszej czytelności dzięki wykluczeniu podobnych znaków, na przykład B i 8.
Przechowywanie haseł
Wygenerowane są niezawodne hasła, ale wciąż jest w połowie. Hasła muszą być odpowiednio przechowywane, dzięki czemu nikt nie otrzymał dostępu do nich.
W tym względzie opcje z rekordem plik tekstowy Albo naklejka z kolejnym załącznikiem do monitora natychmiast zniknęła.
Lepiej i poprawnie powierzyć poufna informacja Menedżer haseł.
Wśród popularnych rozwiązań można zauważyć program Keepass. Ten program Bezpłatnie i jednocześnie jest bardzo funkcjonalny. Wśród innych rzeczy jest w nim generator haseł, dzięki czemu nie ma potrzeby korzystania z generatora online.
Aby uzyskać dostęp do bazy danych zapisanych haseł, musisz zainstalować hasło główne. W celu stworzenia można na przykład skorzystać ze słów Ustaw metodologię w innym układzie, aby stworzyć trudne hasło, ale jednocześnie nie zapomnisz o tym sam.
Lokalna baza danych z hasłami na komputerze A priori będzie mniej podatny na hackowanie niż usługi publiczne w Internecie, więc nie trzeba przerobić go z trudem.
Sprawdzanie odporności na hasło.
Jeśli chcesz sprawdzić istniejące lub nowo wygenerowane hasła do odporności na hackowanie, istnieje kilka usług online:
1) Jak bezpieczne jest moje hasło? Po wprowadzeniu hasła w odpowiedniej formie na stronie zobaczysz, ile czasu potrzebujesz podczas hakowania metody bramki. Termin kilku milionów lat można uznać za doskonałe.
2) Kaspersky Lab: Bezpieczne sprawdzanie hasła Ten serwis Stworzony przez krajowego dewelopera popularnego rozwiązania antywirusowego. Pokazuje również przybliżony czas, który jest niezbędny na hakowaniu hasła przez metodę gaśniczą.
3) 2IP: Usługa rezystancji hasła kategorycznie sprawia, że \u200b\u200bwerdykt sprawdziony hasła - może być albo niezawodne, albo nie.
Sprawdzanie haseł nie jest oporem, nie zapominaj, że wyniki oporu są wysoce warunkowe. Są obliczane na podstawie średniej wydajności. komputer domowyI trudno jest do potężnego superkomputera laboratoryjnego.
Jeden uspokaja - ludzie mające dostęp do takiego sprzętu, nie będą zainteresowani hasłem z usługi e-mail lub komunikatora.
Krótki wynik
W tym artykule starałem się ujawnić wszystkie aspekty ochrona hasła i wyjaśnij, dlaczego na pierwszy rzut oka niezawodne hasło W istocie jest to całkowicie nie.
mam nadzieję, że ta informacja Będzie to przydatne, a środki zostaną podjęte, które zostaną ogrodzone z hakowania i powiązanych konsekwencji.
Wiele witryn próbuje pomóc użytkownikom ustawić bardziej złożone hasła. Aby to zrobić, ustalić podstawowe zasady wymagające zwykle określają co najmniej jedną literę, jedną małą literę, jedną cyfrą i tak dalej. Zasady są zwykle prymitywne, takie jak takie:
"Hasło" \u003d\u003e ["Wymagane", "Potwierdzone", "Min: 8", "REGEX: / ^ (? \u003d *) (? \u003d S *) (? \u003d S * [d]) S * $ / ",];
Niestety, takie proste zasady oznaczają, że hasło ABCD1234 jest uznawane za dobre i wysokiej jakości, a także hasło1. Z drugiej strony hasło Mu-ICAC-of-Jaz-Doad nie przejdzie walidacja.
Oto dwa pierwsze hasła.
Ale dwa hasła, które nie będą testowane pod kątem niezawodności.
Co robić? Być może nie powinno być zmuszane do używania specjalnych symboli i wdrożenia wszystkich nowych zasad, jak zakaz kilku symboli z rzędu, użyj nie jeden, i dwa-trzy specjalneimetry i liczby, wzrost minimalnej długości hasła i t d.
Zamiast tego wystarczy, aby zrobić prostą rzecz - wystarczy zainstalować minimalne ograniczenie entropii Hasło i to jest! Możesz użyć do tego producenta ZXCVBN.
Istnieją inne rozwiązania inne niż ZXCVBN. Dosłownie w zeszłym tygodniu w Computer Computer i Communications Konferencja Bezpieczeństwa, Praca naukowa (PDF) specjalistów bezpieczeństwa z jednostki badawczej Symantec Research i francuskiej instytutu badawczego Eurecom. Rozwinęli się nowy program. Aby zweryfikować wiarygodność haseł, co szacuje przybliżoną liczbę bórek próbujących metodę Monte Carlo. Proponowany sposób charakteryzuje się, że wymaga minimalnej liczby zasobów obliczeniowych na serwerze, odpowiedni dla dużej liczby modeli probabilistycznych i jednocześnie całkiem dokładne. Metoda została sprawdzona na hasłach z podstawy 10 milionów haseł Xato, które leżą w domenie publicznej (kopia archiwum.org) - pokazał dobry wynik. To prawda, że \u200b\u200bto badanie Symantec Research i Eurecom jest raczej naturą teoretyczną, przynajmniej nie posiadały ich programu otwarty dostęp W dowolnej akceptowalnej formie. Niemniej jednak znaczenie pracy jest jasne: zamiast heurystycznych zasad sprawdzania haseł, strony internetowe są pożądane, aby wprowadzić inspekcję o entropii.
