Как минимум 8 символов, одна цифра или специальный символ должны присутствовать и в пароле, и в regex для ответа на пароль

Таблица знаков пунктуации

Ну а без этих знаков вообще не обойтись при написании статей. Они знакомы всем без исключения.

Таблица спец символов — стрелки

А эти специальные символы отлично подойдут для каких-либо схем. Данную таблицу стоит иметь под рукой.

Энтропия

Классические пароли становятся более сложными для запоминания человеком и все более легкими в подборе для машины. Это прискорбно. На очередном очень важном и секьюрном сайте с кулинарными рецептами от вас требуют десятизначный пароль во всех регистрах и с цифрами? Тут могут быть три причины.

• Админ сайта упоротый криптопараноик, который открывает дверь в туалет вживленной RFID меткой.
• Админ немного переживает о том, что текущее железо очень быстро перемалывает утекшие базы, и неплохо бы хоть немного от этого защититься. Можно даже хеши посолить.
• Админ окончил трехмесячные курсы для продвинутых пользователей, поднял дефолтный WordPress и понятия не имеет, что там у него за требования.

Два основных направления атаки — перебор по словарю или брутфорс в надежде на низкую длину и энтропию пароля. Пароли вида iloveyou и password заведомо ущербны, пароли с низкой энтропией уязвимы для простого брутфорса.

Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии (понятие из теории информации), измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле. Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 242 паролей и попытаться использовать их; один из 242 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный. Википедия

Оценить количество энтропии на символ можно в таблице ниже.

Набор символовКоличество символов, NЭнтропия на один символ, H, биты
Арабские цифры (0-9)103,3219
Цифры шестнадцатеричной системы счисления (0-9, A-F)164,0000
Строчные буквы латинского алфавита (a-z)264,7004
Арабские цифры и строчные буквы латинского алфавита (a-z, 0-9)365,1699
Строчные и заглавные буквы латинского алфавита (a-z, A-Z)525,7004
Арабские цифры, строчные и заглавные буквы латинского алфавита (a-z, A-Z, 0-9)625,9542
Все печатные символы ASCII956,5699

Оффлайн генераторы паролей

Можно воспользоваться каким-нибудь вариантом вроде KeePass, но результатом будет жуткая каша, которую сложно запомнить. Поэтому очень привлекательным вариантом являются программы, которые создают произносимые ключи, легкие для запоминания. Да, мы немного жертвуем энтропией, вводя ограничения на сочетания гласных и согласных символов, но сильно выигрываем в человекочитаемости.

Xkcdpass

Для начала можно обратить внимание на xkcdpass, который работает на уже озвученном выше принципе. Установка для Debian-based дистрибутивов вполне привычная:

sudo apt-get install xkcdpass

Также можно вытащить исходники на python на Github: github. com/redacted/XKCD-password-generator. Можно также использовать pip install. Попадаются даже порты на iOS:

Основная фишка этого генератора — создание мнемонических последовательностей-акронимов. Для этого используется ключ —acrostic.

Вариант с balalaika меня особенно порадовал) Главный недостаток такого метода — уродские сервисы с ограничениями по длине пароля. Никогда не понимал, что именно они при этом экономят. Тем более, что хранить им все равно только соленый хеш от ключа пользователя.

Pwgen

Классический вариант. Может генерировать как удобные для запоминания ключи, так и истинно случайные последовательности. Установка:

sudo apt-get install pwgen

Можно немного снизить энтропию и улучшить читаемость, выбросив цифры. Заодно давайте удлиним до 12 символов, чтобы это компенсировать (12*5. 7004=68 бит энтропии).

Добавление опции —secure делает пароли нечитаемыми, но полностью случайными:

Gpw

Еще один отличный генератор. При построении паролей он использует принцип комбинирования наиболее распространенных триграмм. Результат — крайне приятные для произношения ключи:

APG

Advanced Password Generator. Куча опций и возможностей. В дефолтном варианте очень удобно дробит пароль на фрагменты:

Как пользоваться паролями и как их запоминать

Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.

Чтобы обеспечить безопасность:

• Не записывайте пароли на бумажках.
• Не храните пароли в приложении «Заметки» на телефоне.
• Не сохраняйте пароли в автозаполнении браузера.

Вместо этого пользуйтесь следующими методами:

Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.

Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:

• интернет-банкинг;
• оплата счетов;
• основной пароль менеджера паролей;
• социальные сети;
• электронная почта;
• личные кабинеты телефонного оператора и интернет-провайдера.

Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.

Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.

Статьи по теме:

• Онлайн-банкинг: как защититься от мошенников
• Как генерировать надежные пароли для аккаунтов в соцсетях
• Что такое фишинг и почему о нем должны знать все, кто пользуется электронной почтой
• Безопасный онлайн-шоппинг и оплата в интернет-магазинах

Какой пароль можно придумать

Часто пользователи сталкиваются с тем, что у них возникают вопросы о том, как придумать пароль для регистрации, например, на сайте в интернете.

Пароль не должен состоять из одних цифр или букв. При создании пароля можно использовать мнемонические правила: придумать длинное предложение, из которого использовать первые буквы слов в качестве пароля. В этом предложении могут использоваться цифры и знаки препинания, которые можно включить в состав создаваемого пароля.

Можно использовать в паролях определенный алгоритм: набирать гласные буквы в верхнем регистре, а согласные в нижнем, или наоборот, добавлять специальные символы, вначале, конце или середине фразы, вставлять числа и знаки препинания, можно использовать пробел в середине пароля, но не используйте пароль в самом начале или в конце, удалять некоторые буквы из осмысленной фразы.

Многие фразы и поговорки уже имеются в базах данных хакеров, даже, если они введены на другой раскладке клавиатуры, например, выражение на русском языке, набранное английскими буквами.

Не следует использовать в пароле:

• Общеупотребительные выражения и фразы.
• Последовательность символов на клавиатуре.

Применяйте слова из стихотворений или любимых песен, которые вы знаете наизусть, но не напрямую, а например, используйте только начальные буквы в заглавном и строчном виде вперемешку.

Можно использовать фразы из случайных слов, которые вы легко можете запомнить. Эта фраза будет иметь смысл для вас, а для посторонних она бессмысленна.

Подойдут следующие варианты:

• Текст из стихотворений и песен.
• Фразы из фильмов или книг.
• Аббревиатуры из первых букв, взятые из цитаты.

Как создать надежный пароль

Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:

• Ваш пароль длинный? Постарайтесь создать пароль длиной как минимум 10–12 символов, а лучше даже еще длиннее.
• Ваш пароль трудно угадать? Избегайте простых последовательностей («12345», «qwerty») – такие пароли подбираются за считаные секунды. По той же причине избегайте распространенных слов («password1»).
• Разнообразен ли состав символов в вашем пароле? Заглавные и строчные буквы, символы, цифры – всем им найдется достойное место в вашем пароле. Чем больше в пароле разнотипных символов, тем он менее предсказуем.
• Есть ли в вашем паролеочевидные подстановки символов? Например, ноль вместо буквы «О». Современные хакерские программы учитывают подобные замены, так что старайтесь их избегать.
• Есть ли в вашем пароле необычные сочетания слов? Кодовые фразы надежнее, если слова в них идут в неожиданном порядке. Даже если вы используете обычные слова, берите такие, которые не связаны друг с другом по смыслу, и расставляйте их нелогичным образом. Это поможет противостоять словарному подбору.
• Сможете ли вы запомнить свой пароль? Составляйте пароль так, чтобы он был понятен вам, но труден для машинного подбора. Даже случайные наборы символов можно запомнить, если они хоть сколько-нибудь читаемы, а также благодаря мышечной памяти. Но вот пароль, который не пустит в ваш аккаунт даже вас самих, бесполезен.
• Пользовались ли вы этим паролем раньше? Повторное использование паролей может скомпрометировать сразу несколько аккаунтов. Каждый пароль должен быть уникальным.
• Используете ли вы правило, которое трудно разгадать компьютеру? Например, пароль из трех 4-буквенных слов, в которых первые две буквы заменяются цифрами и символами. Выглядит это так: «?4ей#2ка?6цо» вместо «улейрукалицо»

Типы надежных паролей

Существует два основных подхода к составлению надежных паролей.

Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.

Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).

Кодовые фразы работают, потому что:

• их легко запомнить;
• они устойчивы и к словарным, и к брутфорс-алгоритмам подбора.

Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.

Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).

Цепочки случайных символов работают, потому что:

• их практически невозможно угадать;
• их очень сложно взломать;
• их можно запомнить с помощью мышечной памяти и мнемотехники.

Примеры надежных паролей

Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.

Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.

DAmNmO!nAoBiZPi?

Почему этот пароль считается надежным?

• Он соответствует кодовой фразе: «Дай мне мороженого! на обед из Питера?»
• В нем используется правило: берутся только две первые буквы из каждого слова, каждая вторая буква пароля – прописная.
• Пароль длинный – 16 символов.
• В нем используются специальные символы: «!» и «?».
• В нем используются прописные и строчные буквы.

Как улучшить этот пароль?

• Добавьте символы, чтобы сделать его еще длиннее.
• Добавьте цифры.
• Пример: dAmNmO!7nAoBvPi?6

!HMnrsQ4VaGnJ-kK

• Он сгенерирован случайно с помощью генератора паролей.
• Пароль длинный – 16 символов.
• В нем используются специальные символы: «!» и «-»
• В нем используются прописные и строчные буквы.

• Придумайте мнемоническую фразу, чтобы его запомнить.
• Пример: «! ХЭВИ МЕТАЛ не решает слушай QUEEN 4 ВЕСЕЛЫХ ананаса ГОЛЬФЫ не ДЖИНСЫ — короче КОРОТКОГО»

Яростьуткапростолуна

• Он основан на кодовой фразе, использующей несколько распространенных, но не связанных между собой слов.
• Пароль длинный – 20 символов.

• Используйте разнообразные символы – строчные и прописные буквы, символы, числа.
• Замените некоторые символы одного типа символами другого.
• Пример: !Рость%Тка?Росто4Уна (использовано следующее правило: вторая буква каждого слова заменяется на строчную, первая – на символ).

Дополнительная таблица символов

Вот еще некоторые полезные знаки. Возможно, вам они тоже когда-то пригодятся

Password-менеджеры

Из самых известных мультиплатформенных password-менеджеров следует отметить:

• Менеджеры в браузерах Chrome, Opera, Firefox;
• Lastpass;
• 1password;
• Dashlane;
• SafeInCloud;
• Другие.

Как работать с менеджером пароль в браузерах

Если автозаполнение в настройках браузера включено (доступ к этой функции можно получить, зайдя в настройки браузера и открыв меню «passwords» или «автозаполнение»), то каждый раз, как пользователь попадает на сайт, где от него требуется пройти автаризацию, браузер предложит ему сгенерировать случайные символы и сохранить их в менеджере.

История паролейПравить

Пароли использовались с древнейших времён. Полибий (?201 до н. ) описывает применение паролей в Древнем Риме следующим образом:

Пароли использовались в компьютерах с первых их дней. Например, CTSS от MIT, появившаяся в 1961 году, была одна из первых открытых систем. Она использовала команду LOGIN для запроса пароля пользователя.

Роберт Моррис предложил идею хранения паролей в хеш-форме для операционной системы UNIX. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для изменения формы с алгоритмом DES, снижая риск перебора по словарю.

Памятные даты

Разумеется, ваш день рождения или день начала семейной жизни — это не самая удачная основа для пароля. Событие должно быть исключительной важности, и о нём должны знать только вы. К примеру, это может быть день, когда вы впервые съели жвачку, сбежали с урока или сломали каблук. Так как базис пароля будут составлять цифры, не лишним видится перемешивание их с буквами.

1983 и 16. 2011

Замените точки, разделяющие день, месяц и год, на любую букву, например маленькую английскую “
l”
, которая очень похожа на довольно часто использующийся разделитель «/». Между датами проставим символ нижнего подчёркивания «_». Нули заменим на буквы «о».