Категория: Техподдержка
Дата создания: 2009-06-13 20:05:08
Дата создания: 2009-06-13 20:05:08
Мой аккаунт взломали или как создать безопасный пароль...
FLASH Пользователи интернета по всему миру в качестве паролей для электронной почты и других ресурсов, где требуется авторизация, ради удобства и по беспечности выбирают запоминающиеся слова. Как пишет немецкое издание Die Welt, такими незамысловатыми паролями могут, например, стать имена известных групп, виды спорта, ласковые слова и имена, а также бранные выражения.Однако хакеры при взломе набирают такие слова в первую очередь. В Сети даже выложены списки, в которых содержатся самые используемые в мире пароли. Достоянием общественности стали личные коды доступа около 43 тысяч пользователей американского ресурса MySpace. Таким образом выяснилось, что самые распространенные секретные комбинации - "abc123" и "password1". Газета предупреждает, что от подобных паролей пользователей должна уберечь элементарная логика.
Немецкие пользователи мало чем отличаются от американцев. Хакеры опубликовали в сети излюбленные пароли посетителей немецкого сайта FlirtLife. Самыми популярными были пароли "лето", "Франкфурт" и "привет". Авторы Die Welt решили предостеречь, каких паролей стоит избегать и как их нужно грамотно составлять, затрачивая минимум усилий. Если придерживаться некоторых основных правил, то составить надежный пароль сможет даже ребенок.
1. Использовать не слова, а бессмысленные комбинации букв. Это гарантирует защиту от так называемых "словарных" атак, во время которых хакеры проверяют все слова по алфавиту.
2. Использовать как заглавные, так и строчные символы, цифры, буквы и другие. Это заставит хакера потратить больше времени и перебрать максимум вариантов при попытке взлома.
3. Особо важные пароли стоит заменять один раз в месяц.
4. Пароль нужно не записывать, а запоминать. Если уж шпаргалка вам необходима, используйте целую фразу - первые буквы слов и цифры могут являться паролем. Например: "В 2006 году урожай пшеницы в США был плохим" - пароль "В2гупвСбп".
5. Не использовать пароль, предлагаемый сайтом, а придумывать свой собственный.
6. Использовать пароль только один раз, а не на нескольких интернет-сайтах.
Каждому пользователю, который общается на форумах и социальных сетях, делает покупки в Сети, со временем приходится сталкиваться с проблемой запоминания паролей, так как в одни момент учетных записей накапливается столько, что без ручки и блокнота не обойтись.
Пароли бывают длинные и короткие, простые и сложные. Каждый волен выбирать что по душе, однако от набора символов или незамысловатого слова может зависеть сохранность личных и рабочих данных (которые могут стоить очень дорого). Ведь чем проще и короче пароль, тем быстрее злоумышленники могут завладеть той или иной учетной записью.
Недавно компания Errata Security провела интересное аналитическое исследование, в ходе которого анализировался подход пользователей к выбору паролей. Сбор данных проводился на территории США. Как оказалось, 16% пользователей предпочитают вписывать в строку введения пароля свое собственное имя или имена близких людей. 14% владельцев учетных записей в Сети решают проблему выбора пароля с помощью цифрового блока клавиатуры («1234», «12345678»), в то время как некоторые вместо цифр используют буквы ("QWERTY").
Интересно отметить, что 5% из всех украденных паролей – имена звезд шоу-бизнеса, телешоу и киногероев. К примеру, это "Pokemon", "Matrix" (Матрица), "Ironman" (Железный человек). В свою очередь, некоторые пользователи предпочитают вводить в строку пароля само слово «Пароль» ("password1", "password").
Несмотря на богатство родного языка и наличие собственной фантазии, многие выражают посредством паролей свои чувства: "I don't care" (Мне все равно), "Yes" (Да), "No" (Нет), "Iloveyou" (Я тебя люблю) "Ihateyou" (Я тебя ненавижу).
После взлома социальной сети MySpace в 2006 году и phpbb.com в 2009 году многими экспертами проводился анализ паролей, выбираемых пользователями. По статистике, от 65% до 96% всех паролей содержали 8 и менее символов. Об этом же говорят и списки самых популярных паролей. Во многих рекомендациях по тому, как управлять своими паролями, часто можно увидеть совет выбирать длинные пароли. Мол 8 символов – это уже мало. А так как сложно себе представить, что кто-то выберет пароль из 32 символов, то 14 – это как раз то, что надо. Хотя 32-тисимвольные пароли тоже бывают. Например, при взломе MySpace был обнаружен чемпион - «1ancheste23nite41ancheste23nite4» (надо признать, что повтор слов не делает этот пароль очень уж сложным). Среди других рекордсменов «fool2thinkfool2thinkol2think» и «dokitty17darling7g7darling7».
Но давайте посмотрим на этот совет с другой стороны. Вспомним классические рекомендации по выбору пароля. Использование цифр и букв в разных режимах, бессмысленный набор символов… Под такие критерии подходит, например, такой пароль из 14-ти символов – «74TwrM?0gaqm8z». Он подпадает под определение хорошего с точки зрения любого безопасника. А теперь вспомним, что по данным компании Protocom Development Systems 35,4% пользователей вынуждены помнить от одного до пяти паролей, а 38,1% - от шести до десяти. И при этом четверть этих пользователей постоянно забывает свои пароли. А все потому, что человеческий мозг не в состоянии запомнить столько таких бессмысленных последовательностей. И получается, что на чаше весов – с одной стороны требования безопасности, а с другой – удобство использования паролей. Но т.к. информационная безопасность в отличие от чувства защищенности пока не стала основной потребностью, то ждать, что пользователи ради нее будут перегружать свою память, не стоит. Именно поэтому они и выбирают простые пароли, так легко подбираемые злоумышленниками.
Вообще, длина – не самый важный параметр при выборе пароля. Можно ли назвать стойким пароль из пятидесяти единиц или последовательность из 33 букв российского алфавита? Нет. Хотя он и представляет собой длинную и бессмысленную последовательность. Что же делать? Как выбрать пароль, совмещающий в себе несовместимое – защищенность и удобство?
Одним из интересных вариантов решения задачи является применение парольных фраз, которые отличаются от паролей двумя ключевыми признаками – применение пробелов и длиной. Это позволяет использовать как осмысленные фразы, например, «Я помню чудное мгновенье, Передо мной явилась ты», так и бессмысленные наборы слов, например, «Классика Орангутан 1967 Веревка». Классические методы перебора или подбора по паролю тут не срабатывают. Правда, и у этого метода есть и некоторые ограничения. Например, не все системы допускают использование парольных фраз, а некоторые ограничивают длину вводимого секретного «слова». В качестве промежуточного решения можно предложить брать от парольных фраз только первые два-три символа. Например, «КлаОра196Вер» для приведенной выше парольной фразы. Этот пароль обладает всеми признаками защищенного и при этом легко запоминается.
В качестве заключения могу заметить, что только 0,93% пользователей выбирают пароли длиной свыше 13 символов, пишет Лукацкий в своей книге.
Хм... на всех сайтах, на которых я зареген, а это более ста, я "должен" использовать пароли типа SwIG6)/^0(qDxuX(Dm>OoCe=L!OiEopf,
1>/8+DT6>f!#qrX.4WS7Z#iYVKO!*N$khRT..)]R И при этом не записывать их ни куда?
Когда мне первый раз пришлось придумывать пароль, я его придумал по всем "правилам": длинный (более 13 символов), трудный (буквы алфавита + пробел + доп. символы)...
Со вторым паролем было аналогично.
Но придумывать разные пароли ко всем своим аккаунтам(((...
В конце концов ни чего таки уж секретного в этих аккаунтах нет. Я имею в виду аккаунты, созданные на сайтах, только для того, что бы иметь возможность увидеть скрытые ссылки (и скачать по ним что нибудь)...
Другое дело, "безопасные" пароли должны быть на Windows, Webmaney, на сайты с торрентами, электронные ящики, и т.п.
Ее надо прочесть каждому, кто выбирает легкие пароли.
Каждому, кто сталкивался со взломами акков. И каждому, кого эта напасть пока еще обошла мимо.
рекомендую использовать менеджеры паролей
http://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%BD%D0%B5%D0%B4%D0%B6%D0%B5%D1%80_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9
http://habrahabr.ru/blogs/infosecurity/125248/
если нет внешки, можно скачать эти, рекомендую первый, идёт даже на старых мобильниках, да и открыт
http://x-soft.tomsk.ru/index.php?newsid=1146377158
http://x-soft.tomsk.ru/index.php?newsid=1146386958
