Пароли — это ключи от ваших виртуальных хранилищ данных в интернете — от аккаунта почты, онлайн игры, личной странички в соцсети и т.д. Конечно же, он должен на 100% отвечать такому критерию, как надёжность. То есть он должен быть устойчив к взлому, или подбору. К сожалению, многие пользователи это простое, но обязательное требование к паролям игнорируют. И в итоге, как правило, становятся жертвами злоумышленников. У них пропадают деньги, конфиденциальные данные, геймплейные достижения и пр.
Известно, что 1% пользователей сети то ли из-за лени, то ли из-за халатности при регистрации предпочитают использовать примитивные комбинации, которые можно подобрать с 3-4 попыток. Примеры — «123456», «qwerty», «mypassword». Это, безусловно, является очень большой глупостью. «Лёгкий» ключ для пользователя является «лёгким» и для взломщика.
Эта статья расскажет вам о том, как составлять надёжные пароли и как проверить их на устойчивость к взлому.
Какой пароль можно назвать надёжным?
Хорошие ключи от учётной записи имеют следующие характеристики:
1. Длина не меньше 10-15 символов (самые устойчивые комбинации и того больше — 20-35 символов).
2. Символьный состав: большие и маленькие английские буквы, цифры, спецсимволы.
3. В комбинации отсутствуют словарные слова (parol, kod, vhod), личные данные (номер телефона, имя, e-mail и т.д.), логические последовательности букв и цифр (1234, 246810, abcdefg).
Чем сложнее, надёжнее комбинация, тем труднее сделать её подбор. Чтобы установить придуманную пользователем последовательность из 12 знаков, может понадобиться свыше 1,5 млн. лет.
Создаем безопасный пароль
Если по результатам анализа выяснилось, что спать спокойно по крайней мере ближайшие несколько биллионов лет Вы можете не рассчитывать, предлагаю Вам воспользоваться услугой сервиса онлайн генератор паролей. Он поможет создать крайне надежный пароль, который отличается тем, что его невозможно взломать методом перебора. Для этого он должен содержать:
- не менее 8 символов (лучше более 12)
- строчные и прописные буквы алфавита
- цифры
- символы
Все опции легко настраиваются с помощью соответствующих чекбоксов. Я взял один из сгенерированных этим сервисом паролей и проверил его на скорость взлома. Результаты Вы может оценить сами:
Друзья, никто не позаботится о сохранности Ваших личных данных кроме Вас самих. Всегда лучше заранее предупредить неприятные последствия, чем потом решать возникшие проблемы. Описанные сегодня онлайн сервисы, как нельзя лучше помогут Вам предупредить возможные неприятности. Успехов!
Рекомендую также ознакомиться с сервисом защиты электронной почты от компании StarForce.
Создание сложного ключа
Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.
Способ №1: подмена букв
Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» — «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.
Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:
«Опасная зона» запишем как «onACHA9I#3OHA».
Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» — «n», «я» — «9I», «з» — «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.
В помощь таблица символьных обозначений русских букв:
Способ №2: создание «читаемого» ключа в генераторе
1. Откройте в браузере онлайн-сервис — https://genpas.peter23.com/.
2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».
3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.
4. Нажмите кнопку «Генерировать».
5. Выберите наиболее оптимальный вариант из генерированных последовательностей.
6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:
Xoh)ohfo1koh
- Xoh) — можно прочитать как «Хох» + «смайлик»;
- oh — «ох»;
- fo1 — пусть это будет какая-то загадочная аббревиатура;
- koh — кох — опять вариация начального слога.
Способ №3: добавка спецсимволов в простые слова
1. Возьмите за основу какое-либо хорошо знакомое вам слово:
space2017
2. Придумайте сочетание спецсимволов из 2 или 3 знаков.
«+_&»
3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.
+_&space2017&_+
4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.
Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).
Проверка сложности пароля на JavaScript
На многих сайтах при регистрации есть проверка сложности пароля
. Есть много различных вариантов проверки того, насколько пароль сложен, и один из вариантов
проверки сложности пароля на JavaScript
я покажу в этой статье.
Для начала создадим простую HTML-форму
:
Пароль:
И теперь код функции checkPassword()
:
function checkPassword(form) { var password = form.password.value; // Получаем пароль из формы var s_letters = «qwertyuiopasdfghjklzxcvbnm»; // Буквы в нижнем регистре var b_letters = «QWERTYUIOPLKJHGFDSAZXCVBNM»; // Буквы в верхнем регистре var digits = «0123456789»; // Цифры var specials = «[email protected]#$%^&*()_-+=\|/.,:;[]{}»; // Спецсимволы var is_s = false; // Есть ли в пароле буквы в нижнем регистре var is_b = false; // Есть ли в пароле буквы в верхнем регистре var is_d = false; // Есть ли в пароле цифры var is_sp = false; // Есть ли в пароле спецсимволы for (var i = 0; i < password.length; i++) { /* Проверяем каждый символ пароля на принадлежность к тому или иному типу */ if (!is_s && s_letters.indexOf(password) != -1) is_s = true; else if (!is_b && b_letters.indexOf(password) != -1) is_b = true; else if (!is_d && digits.indexOf(password) != -1) is_d = true; else if (!is_sp && specials.indexOf(password) != -1) is_sp = true; } var rating = 0; var text = «»; if (is_s) rating++; // Если в пароле есть символы в нижнем регистре, то увеличиваем рейтинг сложности if (is_b) rating++; // Если в пароле есть символы в верхнем регистре, то увеличиваем рейтинг сложности if (is_d) rating++; // Если в пароле есть цифры, то увеличиваем рейтинг сложности if (is_sp) rating++; // Если в пароле есть спецсимволы, то увеличиваем рейтинг сложности /* Далее идёт анализ длины пароля и полученного рейтинга, и на основании этого готовится текстовое описание сложности пароля */ if (password.length < 6 && rating < 3) text = «Простой»; else if (password.length < 6 && rating >= 3) text = «Средний»; else if (password.length >= 8 && rating < 3) text = «Средний»; else if (password.length >= 8 && rating >= 3) text = «Сложный»; else if (password.length >= 6 && rating == 1) text = «Простой»; else if (password.length >= 6 && rating > 1 && rating < 4) text = «Средний»; else if (password.length >= 6 && rating == 4) text = «Сложный»; alert(text); // Выводим итоговую сложность пароля return false; // Форму не отправляем }
Функция, хоть и не очень маленькая, но её суть крайне простая. В первую очередь, мы проверяем наличие различных символов в пароле. Чем больше разных типов символов, тем лучше. Затем, анализируя длину и полученный рейтинг, можно уже выводить ту или иную сложность пароля.
Безусловно, вариантов проверки сложности пароля на JavaScript
очень много, и один из них Вы теперь знаете, как реализовать.
А если хотите сами научиться создавать подобные скрипты и даже гораздо сложнее, то Вам нужно изучить JavaScript
. Это можно сделать здесь.
- Создано 29.01.2014 13:19:21
- Михаил Русаков
Использование сервиса Google для проверки паролей
Сервис сообщит, какие пароли ранее оказались в руках хакеров.
Сегодня вы можете проверить, не оказались ли ваши пароли, которые сохранены в вашем аккаунте Google, в руках злоумышленников. Для этого достаточно зайти в диспетчер паролей : он сопоставит ваши данные с базой всех крупных утечек.
Информацию об утечках Google собирает сама. В основном данные поступают из открытых источников, но иногда компания находит украденные пароли на просторах тёмного интернета.
Если Google обнаружит, что какие-то ваши пароли ранее попали в открытый доступ, то предложит их сменить. Также сервис сообщит, если вы используете один и тот же пароль на большом количестве сайтов. Диспетчер предупредит и о слишком слабых паролях, которые легко угадать.
Удобно? Безусловно! Безопасно? Не думаю.
Как это работает?
Безусловно, вы знаете, что у Google довольно давно есть менеджер паролей, который синхронизируется между Chrome и Android. В этот менеджер компания добавляет функцию «проверки пароля», которая проанализирует ваши логины, чтобы убедиться, что они не были частью серьезного нарушения безопасности, ведь на сегодня подобных утечек паролей было очень и очень много.
Ранее проверка пароля уже была доступна в качестве расширения, но сейчас Google встраивает ее прямо в элементы управления учетной записью Google. Проверить ваши пароли вы можете на сайте passwords.google.com , который является ярлыком URL для менеджера паролей Google.
Ваши учетные данные сравниваются с миллионами миллионов скомпрометированных учетных записей, которые были частью серьезных нарушений. Google говорит, что он также в некоторой степени контролирует темную сеть для сбора паролей, но большая часть базы данных, с которой сравнивается проверка паролей, происходит от сканирования открытой сети.
Стоит понимать, что у Google это ни в коем случае не единственный сервис, кто делает подобные проверки. В эпоху постоянных утечек и нарушений безопасности в крупных компаниях, затронувших десятки, а может и сотни миллионов клиентов таким полезным ресурсом оказался haveibeenpwned.com .
Если ваш пароль скомпрометирован или оказался слишком простым, Google предложит вам изменить соответствующий пароль. То же самое касается, если Google видит, что вы повторно используете пароли, что является ужасной практикой; ведь все сервисы должны иметь уникальный логин-пароль. И, конечно же, Google также будет уведомлять вас об учетных записях с использованием слабых паролей, которые легко угадываются. При этом нужно учесть, что пароли хешировались и шифровались перед отправкой в Google.
Поскольку проверка пароля основывается на отправке вашей конфиденциальной информации в Google, компания стремится подчеркнуть, что она зашифрована и что она не может просмотреть ваши данные. Пароли в базе данных хранятся в хешированном и зашифрованном виде, и любое предупреждение о ваших данных полностью локально для вашего компьютера.
Марк Ришер, директор Google по безопасности учетных записей, обратил внимание на то, что потребителей все чаще просят хранить свои пароли в нескольких местах одновременно. У Apple есть iCloud Keychain. У Google есть менеджер паролей. А кроме того у вас есть менеджеры паролей — 1Password, LastPass и другие сторонние менеджеры паролей. Что делать? Выбрать менеджер и придерживаться его в дальнейшем? Или попытаться синхронизировать несколько менеджеров паролей? Вероятность несоответствия или наличия старого неправильного пароля в одном из этих мест довольно высока. На самом деле нет хорошего ответа на этот вопрос
Согласно опросу Harris Poll, посвященному проверке привычек пользователей в использовании паролей в США, результаты весьма тревожны. Слишком многие все еще включают в пароли предметы, которые незнакомец может легко узнать — например, день рождения, имя питомца и т. Д. И мало кто говорит о преимуществах дополнительных мер безопасности, таких как двухфакторная аутентификация (ее используют только 37% респондентов) и менеджеров паролей (15%).
66 процентов опрошенных заявили, что используют один и тот же пароль для нескольких учетных записей в Интернете.
Повторное использование пароля — это главная привычка, которую Google пытается сломать, потому что использование одного и того же пароля для нескольких служб может поставить вас в ужасное положение, если хотя бы один из сервисов будет скомпрометирован. Если вы не поклонник цифровых менеджеров паролей, просто запишите их где-нибудь дома. Даже это хороший вариант, поскольку не будете повторять один и тот же пароль.
Почему я не буду использовать этот сервис
Прежде всего потому что это привязывает меня к браузеру от Google, а меня это не устраивает. Увы, но использовать Google Chrome в корпоративной среде, с моей точки зрения, дурная затея. Почему?
Во-первых, прежде всего потому что управлять централизованно настройками данного браузера с помощью групповых политик я так и не научился. Может быть это и возможно, но я этого не увидел.
Во-вторых, сложности возникнут с обновлением браузера. Ведь обновить его можно только с правами администратора. А кто из нас в трезвом уме даст пользователю права локального администратора? Думаю, что никто.
Согласен, что данный сервис в первую очередь предназначен для персональных пользователей. И тут есть ряд вопросов.
Вы доверяете компании Google? Я с большим трудом. Вспомним «Пароли хранятся в шифрованном виде.» А теперь вопрос. Где хранится мастер-пароль? У вас? Не думаю. Скорее всего он хранится у специалистов Google. В крайнем случае информации достоверной об этом нет.
А как быть если вы используете не только браузер Google Chrome? Например, вы используете дома Chrome, а планшет от Apple, впрочем, как и iPhone. Тогда вам придется устанавливать браузер от Google на все устройства.
Что посоветую я? Использовать сторонние менеджеры паролей. Благо их много. И то, я бы рекомендовал бы использовать платные версии.
Впрочем, естественно, выбирать вам.
