Идеи: Безумие паролей
Идеи: Безумие паролей
Автор: Владимир Потапов keleg@mail.ru
Важность паролей в мире компьютеров и сетей доказывать никому не надо. Компьютеры ведь глупые — на лицо не смотрят, голос не помнят. Для них тот, кто ввел твое имя и твой пароль, — это ты и есть. Со всеми вытекающими хорошими или нехорошими последствиями.
Ладно, если подобравший пароль злой хакер прочитал твои письма, — это может быть не так уж и страшно. Но если он под твоим именем сделал кому-то гадость? Морду-то (пардон) бить будут уже тебе. А это неприятно. Не говоря уж об электронных кошельках и прочем бизнесе, где можно потерять, кроме репутации, еще и деньги.
Пароли важны, но большинство руководств по их сочинению не дают методики, ограничиваясь набором общих правил. Хороший пароль должен быть: достаточно длинным, отсутствовать в словарях (быть уникальным), быть никак не связанным с личностью пароленосителя (например, имя любимого кота не пойдет!). И при всем при этом паролю полагается быть хорошо запоминаемым, иначе его придется записывать, а всё, что знают двое, — знают все (не обязательно человек, в данном случае любой носитель информации — от клочка бумажки до файла на вашем диске является потенциальным «болтуном»).
Но как запомнить что-то длинное, уникальное и с собой не связанное?
Достаточно легко! И благодарить за это нужно наш удивительный русский язык, англичанам здесь повезло чуть меньше. Думаем мы по-русски и пароль, конечно же, будем сочинять тоже на родном языке. Фокус со сменой раскладки, когда мы, не переключая с английского, набираем русские слова — давно известен. Печатаем «abuehf», а запоминаем «фигура». Но для нормальной защиты этого, конечно, мало — многие взломщики паролей давно учитывают этот трюк, поэтому для настоящей защиты к этому приему нужно добавить что-то пооригинальнее. Существующие слова можно подобрать, но гораздо труднее найти то, чего нет, что придумано только что. С другой стороны, просто оригинальное слово (например, «флигкорсен») не пойдет. Во-первых, его трудно запомнить, во-вторых его длина часто недостаточна, а в-третьих, если все-таки понадобится кому-нибудь сказать пароль, например по телефону, это будет очень непросто.
Гораздо легче придумать оригинальную фразу. Безумные словосочетания тем и знамениты, что хорошо остаются в памяти.
«Железноезолото». «Взлетающаяфига». «Горячийайсберг». Уже лучше — и длина большая, и запоминается неплохо. Только атака по словарю, хоть и с большими трудностями, все еще может пробить нашу оборону. Но против нее можно подключить еще один резерв — словоформы. «Железненькоезолото» или «Взлетающаяфигочка» будут взламываться гораздо труднее. Для ценителей защиты можно добавить парочку цифр («15развзлетающаяфигочка»), и, наверное, уже хватит. Ведь нам нужен обычный защищенный пароль «на каждый день», а не система обороны против суперкомпьютеров и суперпрофессионалов.
Конечно, предлагаемая схема не идеальна. Тем не менее она позволяет неспециалисту придумать пароль, над которым хакеру придется пыхтеть не один день. И еще одно замечание — не нужно использовать приведенные здесь примеры паролей. Почему? Когда набираешь по-русски на латинской раскладке, нельзя использовать клавиши: ё, х, ъ, ж, э, б, ю.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Совет 15: Хранение паролей
Совет 15: Хранение паролей Чем сложнее пароль, тем сложнее его подобрать. Чем проще пароль, тем проще его запомнить. Получается, пароль должен быть и сложным, и простым одновременно — парадокс, решить который не каждому под силу. Если совет с ассоциациями вам не подходит,
1.1.7. Взлом паролей
1.1.7. Взлом паролей Когда взломщик пытается проникнуть в систему, то он чаще всего использует один из следующих способов:? если на атакуемом сервере уже есть аккаунт (пусть и гостевой), то можно попытаться поднять его права;? получить учетную запись конкретного
4.3.6. Взлом паролей
4.3.6. Взлом паролей Я еще раз хочу напомнить о недопустимости использования простых паролей не только для администратора, но и для всех пользователей системы. Если проследить за уязвимостями, которые находят в Linux-системах, то очень часто можно увидеть сплоиты, которые
7.5.2. Файлы паролей
7.5.2. Файлы паролей Теперь нам предстоит узнать, как создаются файлы паролей и как ими управлять. Директива AuthUserFile для хранения информации об авторизации использует простой текстовый файл, в котором содержатся строки следующего вида:flenov:{SHA}lZZEBt.Py4/gdHsyztjUEWb0d90E=В этой записи
14.10. Взлом паролей
14.10. Взлом паролей Очередной идиотизм, который могли придумать хакеры, — это подбор паролей. Когда взломщик не может изобрести ничего оригинального, он запускает подбор паролей. Об этом мы уже говорили в разд. 1.1.7, но тогда мы затронули эту тему только вскользь, а сейчас
14.12.6 Защита паролей
14.12.6 Защита паролей Для защиты паролей Linux достаточно только охранять файл /etc/shadow. Помимо этого вы должны контролировать сложность паролей, регулярно пытаясь подобрать пароль по популярным словарям, которые легко найти в Интернете (именно их используют хакеры). Если
Выбор паролей
Выбор паролей Для того чтобы пароль можно было использовать, он должен находиться на диске компьютера. В системе Linux пароль располагается в файле /etc/shadow (в старых версиях Linux он находился в файле /etc/passwd). Пароль хранится в зашифрованном виде; для его кодирования обычно
Безопасность паролей
Безопасность паролей Одной из причин утечки информации (это относится как к индивидуальным пользователям, так и к крупным предприятиям) являются слабые пароли или их полное отсутствие. Данное обстоятельство открывает возможность применения специализированных
9.2. Генераторы паролей
9.2. Генераторы паролей Генераторы паролей используются для создания особо сложных и длинных паролей. Генераторов паролей – несчетное множество. Каждый школьник, обладая начальными навыками программирования, может создать программу, генерирующую случайную
9.3. Хранение и запоминание паролей
9.3. Хранение и запоминание паролей Сгенерировать сложный пароль, как было показано, очень просто. Совсем иное дело – его запомнить, что практически невозможно, если, конечно, у вас не феноменальная память на разную абракадабру.Где же хранить пароль (точнее пароли – ведь их
Менеджеры паролей
Менеджеры паролей Потеря ключа от квартиры или от автомобиля – всегда большая проблема. Во-первых, существует вероятность, что потерянным ключом могут воспользоваться злоумышленники, а во-вторых, если нет второго ключа, то попасть в помещение или в салон машины
Избегай стандартных паролей!
Избегай стандартных паролей! Многие пользователи часто совершают одну и ту же ошибку, пользуясь стандартными, шаблонными паролями. Один из самых характерных примеров – когда пароль совпадает с логином. Подобрать такой пароль элементарно, а дальше злоумышленник будет
Восстановление утерянных паролей
Восстановление утерянных паролей Сегодня работа за компьютером невозможна без использования системы аутентификации. Чтобы войти в свою учетную запись в операционной системе, необходимо ввести логин и пароль. Более того, теперь эти же действия нужно выполнять и в
Гонка за ppi: новое безумие хайтека Олег Нечай
Гонка за ppi: новое безумие хайтека Олег Нечай Опубликовано 01 апреля 2013 В индустрии высоких технологий вовсю набирает обороты новая забава — разместить как можно больше пикселей на единицу площади экрана. А то мы уж было соскучились по
Аутентификация на основе паролей
Аутентификация на основе паролей Почти каждая компьютерная система требует, чтобы в начале сеанса работы пользователь идентифицировал себя. Обычно пользователю предлагается ввести имя и пароль. Пароль - это секретная информация (или просто секрет), разделенная между