Сейчас это настолько распространено, что мы все делаем это, даже не задумываясь об этом: создайте пароль, состоящий не менее чем из x символов, содержащий хотя бы одну цифру и один символ и не являющийся вашим именем или фамилией. Независимо от того, находитесь ли вы на работе или создаете Apple ID, эти требования к «надежному» паролю существуют повсюду.
Однажды, создав новый пароль на сайте, я начал задумываться о том, насколько различаются все требования. На некоторых сайтах пароли должны быть не короче 3 символов, а на некоторых — минимум 8. Некоторым нужны символы, некоторым — нет. Некоторых волнует ваше имя и предыдущие пароли, других нет. Так какой же пароль действительно надежный?
Я провел небольшое исследование и обнаружил две вещи, когда вы говорите о том, что кто-то «взломал» ваш пароль: во-первых, это надежность вашего пароля и, во-вторых, надежность шифрования, которое превращает пароль в тарабарщину, когда сохранено.
Я быстро понял, что вся концепция надежного пароля очень математическая, и на эту тему было проведено множество исследований. Тот, который привлек мое внимание и о котором я упомяну в этом посте, взят из Исследование Карнеги-Меллона 2011 г..
Сначала проверьте свой пароль
Прежде чем мы перейдем к тому, что такое надежный пароль, давайте посмотрим, сколько времени потребуется, чтобы взломать ваш предположительно надежный пароль. Чтобы проверить это, мы воспользуемся инструментом на сайте PassFault:
https://passfault.appspot.com/password_strength.html
Вот как это работает. Вы вводите свой пароль и нажимаете Анализ . У него есть две опции, которые по умолчанию скрыты, но вы можете нажать Показать параметры . Давайте объясним, что они означают.
Cracking Hardware по умолчанию использует взломщик пароля за 900 долларов, что вполне возможно для законного хакера. У них также есть возможность выбрать взломщика паролей за 180 000 долларов, который китайцы могли бы использовать, если бы это было так дорого. В раскрывающемся списке «Защита паролем» есть несколько вариантов типа шифрования, используемого для хранения пароля. Система Microsoft Windows самая слабая, и это неудивительно. После этого у вас есть точка доступа Wireless WPA, UNIX SHA1, UNIX Blowfish и 100 раундов SHA1.
Я попробовал свой надежный пароль, который использую на нескольких сайтах, и был потрясен, увидев, что его можно взломать за 1 день!
Ого, это очень плохо. Поэтому я выбрал более надежные варианты шифрования (Unix Blowfish и 100 раундов SHA1) и был очень рад видеть, что результаты займут больше дня: 1 год и 7 месяцев для Unix Blowfish и 2 месяца и 2 дня со 100 раундами SHA1. . Однако с атакующим паролем стоимостью 180 000 долларов время сократилось до 11 и 3 дней соответственно. Я подумал, что это неприемлемо! Я хочу, чтобы на взлом моего пароля ушли годы, даже с помощью супердорогого средства взлома паролей. Но как лучше всего это сделать, если я использую пароль из 9 символов с цифрами и символами?.
Что делает пароль надежным?
Именно здесь исследование Карнеги-Меллона пролило некоторый свет на всю ситуацию. По сути, они обнаружили, что чем длиннее пароль, который вы используете, тем он надежнее. Это не обязательно означает, что более длинный пароль должен содержать много символов или цифр, он просто должен быть длинным. При длине 16 символов все, что вам нужно избегать, — это использовать очень простые словарные слова.
Не уверены, что это возможно? На сайте PassFault используйте следующий пароль, состоящий всего из 15 символов и очень легко запоминающийся:
ilovemywifealot
Затем из вариантов выберите взломщика паролей за 180 000 долларов и выберите самое слабое шифрование (Microsoft Windows), и вот что вы получите:
1 месяц и 7 дней! Это намного лучше, чем взломать мой пароль за 1 день. Так что же не так с моим паролем? Ну, видимо, если ваш пароль короче, то вам нужно использовать больше символов, случайных букв и цифр для его усиления. Если он длиннее, например, более 15–16 символов, вам не придется беспокоиться о добавлении всевозможных цифр и символов. С более длинным паролем вы сможете использовать больше словарных слов, и он по-прежнему будет очень безопасным. Очевидно, что пароль типа hellohellohelloвсе равно будет отстойным, даже несмотря на то, что он состоит из 15 символов:
Это отстой, потому что в словаре это будет одно и то же слово три раза. В моем первом пароле, где я признаюсь в любви жене, предложение быстро начинает выглядеть для компьютера бредом, и ни в одном словаре нет этой 15-символьной фразы в качестве слова. В словарях есть словарные слова, поэтому, если вы избегаете простых словарных слов, все будет в порядке. Мой пароль мог бы быть еще лучше, если бы я использовал имя моей жены или ее прозвище вместо слова «жена». Уловили идею?
Очевидно, что если вы также можете добавить несколько символов в длинный пароль, то пароль станет еще более надежным. Например, предположим, что я поставил восклицательный знак перед паролем жены и добавил одну цифру в конец. Тогда сколько времени потребуется на взлом с теми же опциями:
Святая корова! Так прошло от 1 месяца 7 дней до целых 4 столетий и 1 десятилетия!!! Да, столетия!! Это надежный пароль, и его нетрудно запомнить. Поэтому проверьте свой пароль с помощью этого бесплатного онлайн-инструмента, и если через несколько дней ваш пароль будет взломан, возможно, пришло время подумать о чем-то новом, особенно о вашей конфиденциальной информации, такой как банковские пароли и т. д..
Помните, что многие из этих интернет-сайтов постоянно взламываются, поэтому ваш пароль никогда не будет в безопасности. Однако, если вы используете по-настоящему надежный пароль, даже если шифрование очень слабое, суперкомпьютеру потребуется целая вечность, чтобы его взломать! Если вы пробовали свой пароль на сайте, читая этот пост, сообщите нам в комментариях, сколько времени потребуется, чтобы его взломать. Наслаждайтесь!.