Скорректированы правила выбора надежных паролей
Правила составления стойкого пароля давно и хорошо известны: нужно сочетать буквы в верхнем и нижнем регистрах, цифры, спецсимволы. Длина не менее 12 знаков. Специалисты из EURECOM провели исследование и пришли к выводу, что правила пора скорректировать.
Доклад был представлен на конференции ACM CCСS, о которой в этом году говорят все (см. «Интернет остался без криптографии. Прощайте, VPN и HTTPS»). Ученые взяли 10 млн реальных паролей, опубликованных хакерами, и использовали технологии искусственного интеллекта для выявления закономерностей. Оказалось, что наличие букв в разных регистрах не так сильно сказывается на стойкости пароля, как считалось прежде. Дело в том, что большинство людей используют заглавные буквы в начале пароля. Взломщики знают об этом и в программах по перебору паролей учитывают этот факт. Таким образом, разные регистры лишь незначительно увеличивают общее количество вариантов, которые нужно перебрать. Та же ситуация и с числами, которые чаще всего размещаются в конце пароля.
Согласно результатам исследования, самым сильным фактором, влияющим на стойкость пароля, является его длина. Видимо, не случайно спецслужбы недавно обратились к пользователям с просьбой не использовать слишком длинные пароли.
Вторым по значимости фактором является наличие спецсимволов (!@#$%^&*).
Как в Linux создать пароль, на взлом которого уйдет не менее 412 триллионов лет. Читайте тут.
Комментарии
Sunrise
23 октября, 2015 - 03:52
Я думаю, лучше использовать парольные фразы. Например, у меня для входа на Либератум используется парольная фраза длиной в 74 знака.
pomodor
23 октября, 2015 - 07:11
Но зачем? 8)
Чингачгук
23 октября, 2015 - 16:31
Чтобы быстрее забыть. ☺
Чингачгук
23 октября, 2015 - 09:29
Новость означает что весь тырнет навсегда остался без паролей.
Средним юзером движет лень, а не какие-то там правила, особенно когда это "все лишь для безопасности".
Чингачгук
29 октября, 2015 - 18:23
Чисто для прикола можно в пароле заменить часть латинских букв такими же из кириллицы. Даже если очередная жертва ЕГЭ бумажку с ним на монитор наклеит — подбор это усложнит.
Чингачгук
29 октября, 2015 - 18:31
Не все системы принимают символы на кириллице. Но вообще да, стойкость это увеличит. Как минимум, еще на один бит на каждый символ.
Чингачгук
29 октября, 2015 - 18:39
Старый приём. При виде фразы "СССР-СТРАНА СОВЕТОВ" сильно непросто угадать какими буквами оно набрано:)
Чингачгук
6 ноября, 2015 - 06:10
Самые надежные пароли — у неграмотных людей
pomodor
6 ноября, 2015 - 10:17
Какая глупость. Орфографическую ошибку можно допустить только в словарном слове. А пароли из словаря по определению не являются стойкими, даже те, в которых 1-2 буквы написаны неправильно.
Самые надежные пароли — сгенерированные на основе данных из источников с высокой энтропией.
Чингачгук
26 ноября, 2015 - 21:08
1. Для сайтов, где я хочу просто высказать — использую самый простой пароль (а зачем сложный, всё равно, навряд ли я буду на этом сайте)
2. если сайт требует регистрации по через СМС — то использую СМС-сайты, которые дают (обычно за 4 рубля) временный номер для регистрации аккаунта.
3 Однажды на компьютере создал аккуант с паролем, где был дефис, а на с телефона на андройде не смог зайти на тот сайт, код дефисов не совпадает — пришлось изменить пароль на сайте через компьютер.
pomodor
26 ноября, 2015 - 21:57
По первому пункту. Это чревато. Каккер может получить доступ и распространить под вашим логином какой-нибудь экстремизмь. И тогда придется долго объяснять не самым приятным людям, что вы не слон.
Это интересно. Порекомендуйте надежный сервис. Я для липовых и временных имэйлов использую mailinator.com. Не думал, что такое и для телефонных номеров есть. Они ж вроде на реальные данные всегда регистрируются и предоставлять кому-то свой номер для бесчинств за 4 рубля — не самая привлекательная бизнес-идея.
Комментировать