Программист Джош Каммингс объяснил, почему известные методики создания паролей не работают, и рассказал, что нужно сделать, чтобы составить надежный и безопасный пароль.
Когда люди узнают, что я работаю в области кибербезопасности, меня часто спрашивают, как создать надежный пароль. Я советую использовать генератор паролей. Если им не по душе этот вариант, я советую им купить кости и использовать метод diceware, основанный на обычных игральных костях и таблице слов, которые соответствуют набору чисел полученных при броске костей. Конечно, это требует немного времени и усилий, чего нам часто не хватает – особенно в моменты, когда нам нужно выбрать пароль.
Зачастую эти беседы перерастают в объяснение разных методов создания паролей, о которых они меня спрашивают. Вот два примера.
Сдвиг на одну клавишу
Как-то моя знакомая рассказала мне, как она создает свои пароли. Она выбирает кодовое слово или фразу – например, «сднемрождения», а затем начинает вводить ее на клавиатуре, только сдвигается на одну клавишу в сторону. И получается «мжгниоэжнгтч».
На первый взгляд, это довольно безопасный пароль. Но давайте я объясню, почему я не советовал бы этот подход.
Фото: Unsplash
Скажем, вы знаете, что мне нравится использовать эту технику для создания пароля. Посмотрите на первую часть этого слова:
р...п...о...л...д...
Как вы думаете, какая буква будет следующей? Если ваш вариант – б, значит вы правы!
Мой пароль все равно можно угадать. И причина тому лежит в том, что компьютеры хорошо умеют применять трансформации.
Пароли вроде:
- П@р0ль
- Пароль1
- пароль!
- рполдб
точно так же плохи, как и просто «пароль», потому что все, что мне нужно сделать – придумать те же трансформации и запрограммировать их в ПО для взлома паролей.
Если вы думаете, что вы единственный, кому на ум пришла такая гениальная трансформация, вспомните, что все мы люди и у нас одинаковая ДНК.
Каков секрет сильного пароля? Энтропия.
Музыкальные пароли
Фото: Unsplash
Энтропия – мера беспорядка, скажем, в паролях. Чем больше энтропии (случайности) в пароле, тем сложнее угадать n-ный элемент, зная несколько первых.
В пароле «пароль» низкая энтропия, потому что как только я узнаю, что первые буквы – «п...а...р», я сразу же догадаюсь, что следующая – «о».
Поэтому это очень умная идея. Это самая умная идея, которую мне доводилось слышать.
У меня есть знакомый, который создает музыкальные пароли. Он берет песню, например, «Happy Birthday to You», переводит ноты в ключи на клавиатуре и ставит их в качестве пароля:
G3 G3 A3 G3 C4 B3 / G3 G3 A3 G3 D4 C4 / G3 G3 G4 E4 C4 C4 B3 A3 / F4 F4 E4 C4 D4 C4
И его пароль выглядел бы так: «ggagjbggagkjggnljjbammljkj».
Мне кажется, это очень умно и оригинально, и мне нравится сама концепция превращения музыки в пароль. Это красиво. Но здесь точно такая же проблема, как в случае со сдвигом на одну клавишу: трансформации легко программировать. Но он предложил мне другой вариант: «А что если это будет мелодия, которую я придумал на месте?»
Энтропия
Фото: Unsplash
Конечно, чтобы проделывать это с каждым паролем, нужно быть гением-композитором. Но суть не в этом. Мы нашли секрет успешного пароля: это энтропия. Необязательно это должен быть музыкальный пароль. Есть множество других вариантов.
Скажем, хакер знает вашу стратегию. Может ли он теперь угадать ваш пароль?
Возьмем к примеру три стратегии, и посмотрим, что сможет с этим знанием сделать хакер:
- Взять слово из словаря и закодировать его.
- Взять первые буквы имен жены, детей, родителей и указать их в обратном порядке. Затем добавить дату свадьбы.
- Пять раз бросить кости, и каждый раз посмотреть соответствующее слово в словаре. Объединить их все дефисами.
Очевидно, знание вашей стратегии никак не поможет хакеру в третьем случае. И все это потому, что она самая рандомна (из-за костей).
Мы должны начинать со случайности.
Материалы по теме:
Хакеры могут взломать Alexa с помощью пения птиц
Как защитить свой телефон, если вы боитесь его потерять
7 советов о том, как безопасно пользоваться открытыми Wi-Fi сетями
Руководство по конфиденциальности в интернете – как обезопасить свои данные
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Наличка: как использовать, чтобы не нарушить 115-ФЗ»
- 1 Хакеры могут продавать на маркетплейсах зараженную вирусами технику — «Известия»
- 2 Безопасность мобильных приложений: главные угрозы и способы защиты данных
- 3 В России разработали ИИ-модуль для поиска преступников в Telegram
- 4 Графический ключ — один из самых ненадежных способов блокировки смартфона
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025