Kiểm tra độ mạnh của mật khẩu kèm theo lời giải thích. Tạo và xác minh mật khẩu để đảm bảo độ tin cậy. Nguyên tắc tạo mật khẩu

Trong bài học này, tôi sẽ cho bạn biết cách kiểm tra độ mạnh của mật khẩu đã nhập. Vì những mục đích này, chúng tôi sẽ sử dụng một dịch vụ đặc biệt của Kaspersky Lab có tên là "Kiểm tra mật khẩu an toàn"

Nó được đặt tại www.password.kaspersky.com/ru. Nếu khi bạn mở trang web, mọi thứ đều bằng tiếng Anh, thì ở góc trên bên phải trong danh sách, hãy chọn "Tiếng Nga".

Dịch vụ này cho phép bạn kiểm tra độ phức tạp của mật khẩu và nó có thể bị bẻ khóa nhanh như thế nào. Để xác minh, hãy nhập mật khẩu của bạn vào một trường đặc biệt.

Sau khi nhập mật khẩu của bạn, một thang đo độ tin cậy sẽ xuất hiện bên dưới, các khuyến nghị để củng cố mật khẩu, cũng như thông tin về tốc độ có thể bị tấn công.

Đây là cách bạn có thể kiểm tra mật khẩu của mình trước khi sử dụng. Thử nghiệm và tạo mật khẩu mạnh, duy nhất của bạn. Theo khuyến nghị của tôi - hãy luôn sử dụng chữ hoa và chữ thường, cũng như số và các ký tự đặc biệt.

Có khá nhiều dịch vụ trên Internet cho phép bạn kết hợp nhiều tệp PDF thành một, nhưng hầu hết chúng đều có mặt hạn chế. Một số dịch vụ có giới hạn về kích thước của các tệp được tải lên, trong khi những dịch vụ khác lại làm điều đó một cách quanh co. Do đó, hôm nay chúng ta sẽ phân tích dịch vụ SmallPDF, dịch vụ nào thực hiện nó một cách chính xác nhất có thể.

Trong các bài học trước, tôi đã nói về hai cách làm thế nào để mở một trang web bị chặn bằng cách sử dụng chức năng turbo trong Opera và Yandex. Hôm nay chúng ta sẽ tiếp tục nói về chủ đề này và tiếp theo là một cách rất thú vị sẽ cho phép bạn có được truy cập vào các trang web bị chặn.

Hôm nay tôi sẽ cho bạn biết làm thế nào để gửi một tin nhắn riêng tư sẽ bị xóa sau khi đọc. Chúng ta sẽ nói về một dịch vụ có tên là Privnote - dịch vụ này cho phép bạn gửi tin nhắn có thể bị hủy ngay sau khi đọc.

Trong video hướng dẫn này, bạn sẽ học cách kiểm tra tốc độ Internet trên máy tính của mình bằng một dịch vụ đặc biệt.

Hầu hết những kẻ tấn công không bận tâm đến các phương pháp đánh cắp mật khẩu tinh vi. Họ kết hợp dễ đoán. Khoảng 1% trong số tất cả các mật khẩu hiện có có thể bị tấn công bằng bốn lần thử.

Sao có thể như thế được? Rất đơn giản. Bạn hãy thử bốn kết hợp phổ biến nhất trên thế giới: mật khẩu, 123456, 12345678, qwerty. Sau một hành trình như vậy, trung bình, 1% của tất cả các "rương" được mở.

Giả sử bạn nằm trong số 99% người dùng có mật khẩu không đơn giản như vậy. Mặc dù vậy, hiệu suất của phần mềm hack hiện đại vẫn phải được tính đến.

Chương trình John the Ripper miễn phí và có sẵn miễn phí xác minh hàng triệu mật khẩu mỗi giây. Các ví dụ được chọn về phần mềm thương mại chuyên dụng tuyên bố công suất 2,8 tỷ mật khẩu mỗi giây.

Ban đầu, các chương trình bẻ khóa chạy một danh sách các kết hợp phổ biến nhất được thống kê, và sau đó tham khảo từ điển đầy đủ. Theo thời gian, xu hướng mật khẩu của người dùng có thể thay đổi một chút và những thay đổi này được tính vào khi các danh sách đó được cập nhật.

Theo thời gian, tất cả các loại dịch vụ web và ứng dụng đã quyết định làm phức tạp thêm mật khẩu do người dùng tạo. Các yêu cầu đã được thêm vào, theo đó mật khẩu phải có độ dài tối thiểu nhất định, chứa số, chữ hoa và các ký tự đặc biệt. Một số dịch vụ đã coi trọng vấn đề này đến mức cần một nhiệm vụ thực sự dài và tẻ nhạt để tìm ra một mật khẩu mà hệ thống sẽ chấp nhận.

Vấn đề quan trọng là hầu như bất kỳ người dùng nào không tạo ra một mật khẩu thực sự bạo lực, mà chỉ cố gắng đáp ứng các yêu cầu của hệ thống đối với thành phần của mật khẩu ở mức tối thiểu.

Kết quả là các mật khẩu như password1, password123, Password, PaSsWoRd, password! và vô cùng khó đoán [email được bảo vệ]

Hãy tưởng tượng bạn cần làm lại mật khẩu người nhện của mình. Nhiều khả năng nó sẽ giống như $ pider_Man1. Nguyên bản? Hàng nghìn người sẽ thay đổi nó bằng cách sử dụng cùng một thuật toán hoặc rất giống nhau.

Nếu cracker biết những yêu cầu tối thiểu này, thì tình hình chỉ trở nên tồi tệ hơn. Chính vì lý do này mà không phải lúc nào yêu cầu áp đặt để tăng độ phức tạp của mật khẩu cũng mang lại hiệu quả tốt nhất và thường tạo ra cảm giác sai lầm về việc tăng cường bảo mật.

Mật khẩu càng dễ nhớ thì càng có nhiều khả năng nằm trong từ điển của các chương trình bẻ khóa. Kết quả là, một mật khẩu thực sự mạnh chỉ đơn giản là không thể nhớ được, có nghĩa là bạn cần nó ở đâu đó.

Theo các chuyên gia, ngay cả trong thời đại kỹ thuật số này, mọi người vẫn có thể dựa vào một mảnh giấy có ghi mật khẩu trên đó. Sẽ rất tiện lợi khi giữ một tờ giấy như vậy ở nơi khuất khỏi những con mắt tò mò, chẳng hạn như trong ví hoặc bóp.

Tuy nhiên, bảng mật khẩu không giải quyết được vấn đề. Mật khẩu dài không chỉ khó nhớ mà còn khó nhập. Tình hình trở nên trầm trọng hơn bởi bàn phím ảo của thiết bị di động.

Tương tác với hàng chục dịch vụ và trang web, nhiều người dùng để lại một chuỗi mật khẩu giống hệt nhau. Họ cố gắng sử dụng cùng một mật khẩu cho mọi trang web, hoàn toàn bỏ qua những rủi ro.

Trong trường hợp này, một số trang web hoạt động như một bảo mẫu, buộc sự kết hợp sẽ phức tạp. Kết quả là người dùng không thể, làm thế nào anh ta phải sửa đổi mật khẩu duy nhất tiêu chuẩn của mình cho trang web này.

Quy mô của vấn đề đã được thực hiện đầy đủ vào năm 2009. Sau đó, do một lỗ hổng bảo mật, hacker đã đánh cắp cơ sở dữ liệu thông tin đăng nhập và mật khẩu của RockYou.com, công ty phát hành trò chơi trên Facebook. Kẻ tấn công đã công khai cơ sở dữ liệu. Tổng cộng, nó chứa 32,5 triệu mục nhập với tên người dùng và mật khẩu cho các tài khoản. Rò rỉ đã từng xảy ra trước đây, nhưng quy mô của sự kiện cụ thể này đã cho thấy bức tranh toàn cảnh.

Mật khẩu phổ biến nhất trên RockYou.com là 123456, được gần 291.000 người sử dụng. Đàn ông dưới 30 tuổi thường thích các chủ đề tình dục và thô tục hơn. Những người lớn tuổi ở cả hai giới thường hướng đến một lĩnh vực văn hóa cụ thể khi chọn mật khẩu. Ví dụ, Epsilon793 có vẻ không phải là một lựa chọn tồi, chỉ có sự kết hợp này trong Star Trek. Bảy chữ số 8675309 xuất hiện nhiều lần vì con số này xuất hiện trong một trong những bài hát của Tommy Tutone.

Trên thực tế, việc tạo một mật khẩu mạnh là một nhiệm vụ đơn giản, chỉ cần soạn một tổ hợp các ký tự ngẫu nhiên là đủ.

Bạn không thể tạo ra một sự kết hợp hoàn toàn ngẫu nhiên trong các thuật ngữ toán học trong đầu, nhưng bạn không bắt buộc phải làm như vậy. Có những dịch vụ đặc biệt tạo ra các kết hợp ngẫu nhiên thực sự. Ví dụ: random.org có thể tạo mật khẩu như sau:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Đây là một giải pháp đơn giản và duyên dáng, đặc biệt là đối với những người sử dụng để lưu trữ mật khẩu.

Thật không may, hầu hết người dùng tiếp tục sử dụng mật khẩu đơn giản, yếu, thậm chí bỏ qua quy tắc "mật khẩu khác nhau cho mỗi trang web". Đối với họ, sự tiện lợi quan trọng hơn sự an toàn.

Các tình huống mà mật khẩu có thể bị xâm phạm có thể được chia thành 3 loại chính:

• Ngẫu nhiên, trong đó một người mà bạn biết đang cố gắng tìm ra mật khẩu, dựa vào thông tin anh ta biết về bạn. Thông thường, một kẻ phá đám như vậy chỉ muốn chơi một trò đùa, tìm hiểu điều gì đó về bạn hoặc gây rối.
• Tấn công hàng loạt khi hoàn toàn bất kỳ người dùng của các dịch vụ nhất định có thể trở thành nạn nhân. Trong trường hợp này, phần mềm chuyên dụng được sử dụng. Đối với cuộc tấn công, các trang web kém an toàn nhất sẽ được chọn, cho phép bạn nhập liên tục các tùy chọn mật khẩu trong một khoảng thời gian ngắn.
• Có mục đích kết hợp việc nhận các gợi ý (như trong trường hợp đầu tiên) và sử dụng phần mềm chuyên dụng (như trong một cuộc tấn công hàng loạt). Đây là việc cố gắng nắm bắt thông tin thực sự có giá trị. Chỉ một mật khẩu ngẫu nhiên đủ dài mới giúp bảo vệ chính bạn, việc lựa chọn mật khẩu đó sẽ mất thời gian tương đương với thời gian của bạn.

Như bạn thấy, hoàn toàn bất cứ ai cũng có thể trở thành nạn nhân. Những tuyên bố như “mật khẩu của tôi sẽ không bị đánh cắp, vì không ai cần tôi” là không phù hợp, bởi vì bạn có thể rơi vào tình huống tương tự một cách tình cờ, ngẫu nhiên, không rõ lý do.

Cần nghiêm túc hơn nữa việc bảo vệ mật khẩu đối với những người có thông tin có giá trị, có liên quan đến doanh nghiệp hoặc có mâu thuẫn với ai đó về lý do tài chính (ví dụ, phân chia tài sản trong quá trình ly hôn, cạnh tranh trong kinh doanh ).

Năm 2009, Twitter (theo cách hiểu là toàn bộ dịch vụ) đã bị hack chỉ vì quản trị viên dùng từ hạnh phúc làm mật khẩu. Tin tặc đã nhặt nó và đăng nó trên trang web Digital Gangster, dẫn đến việc chiếm đoạt tài khoản của Obama, Britney Spears, Facebook và Fox News.

Các từ viết tắt

Như trong bất kỳ khía cạnh nào khác của cuộc sống, chúng ta luôn phải tìm ra sự dung hòa giữa sự an toàn tối đa và sự tiện lợi tối đa. Làm thế nào để tìm được điểm trung bình? Chiến lược nào để tạo mật khẩu sẽ cho phép bạn tạo ra các kết hợp mạnh mẽ có thể dễ dàng ghi nhớ?

Hiện tại, sự kết hợp tốt nhất giữa độ tin cậy và sự tiện lợi là chuyển đổi một cụm từ hoặc cụm từ thành mật khẩu.

Một tập hợp các từ mà bạn luôn nhớ được chọn và tổ hợp các chữ cái đầu tiên của mỗi từ được sử dụng làm mật khẩu. Ví dụ, Cầu mong lực lượng ở bên bạn biến thành Mtfbwy.

Tuy nhiên, vì những từ nổi tiếng nhất sẽ được sử dụng làm tên ban đầu, các chương trình cuối cùng sẽ nhận những từ viết tắt này trong danh sách của chúng. Trên thực tế, từ viết tắt chỉ chứa các chữ cái, và do đó về mặt khách quan ít đáng tin cậy hơn so với sự kết hợp ngẫu nhiên của các ký tự.

Chọn đúng cụm từ sẽ giúp bạn thoát khỏi vấn đề đầu tiên. Tại sao lại biến một biểu thức nổi tiếng thế giới thành một mật khẩu viết tắt? Bạn có thể nhớ một số và tuyên bố chỉ có liên quan trong vòng kết nối thân thiết của bạn. Giả sử bạn đã nghe một cụm từ rất hấp dẫn từ một người pha chế tại một cơ sở địa phương. Sử dụng nó.

Tuy nhiên, mật khẩu viết tắt bạn đã tạo không chắc là duy nhất. Vấn đề với các từ viết tắt là các cụm từ khác nhau có thể được cấu tạo từ các từ bắt đầu bằng các chữ cái giống nhau và xuất hiện trong cùng một trình tự. Theo thống kê, trong các ngôn ngữ khác nhau, tần suất xuất hiện của một số chữ cái nhất định khi bắt đầu một từ ngày càng tăng. Các chương trình sẽ tính đến những yếu tố này và hiệu quả của các từ viết tắt trong phiên bản gốc sẽ bị giảm đi.

Ngược lại

Con đường thoát ra có thể là con đường ngược lại của thế hệ. Bạn tạo một mật khẩu hoàn toàn ngẫu nhiên tại random.org, sau đó biến các ký tự của nó thành một cụm từ dễ nhớ có ý nghĩa.

Thông thường, các dịch vụ và trang web cung cấp cho người dùng mật khẩu tạm thời, là những sự kết hợp hoàn toàn ngẫu nhiên giống nhau. Bạn sẽ muốn thay đổi chúng, bởi vì bạn sẽ không thể nhớ, nhưng bạn chỉ cần xem xét kỹ hơn, và nó trở nên rõ ràng: bạn không cần phải nhớ mật khẩu. Ví dụ: hãy lấy một tùy chọn khác từ random.org - RPM8t4ka.

Mặc dù nó có vẻ vô nghĩa, nhưng bộ não của chúng ta vẫn có thể tìm thấy một số mẫu và sự tương ứng nhất định ngay cả trong tình trạng hỗn loạn như vậy. Để bắt đầu, bạn có thể nhận thấy rằng ba chữ cái đầu tiên trong đó là chữ hoa và ba chữ cái tiếp theo là chữ thường. 8 là hai lần (trong tiếng Anh là hai lần - t) 4. Nhìn một chút vào mật khẩu này, và chắc chắn bạn sẽ tìm thấy các liên kết của riêng mình với bộ chữ cái và số được đề xuất.

Nếu bạn có thể ghi nhớ những bộ từ vô nghĩa, thì hãy sử dụng nó. Để mật khẩu chuyển thành số vòng quay mỗi phút 8 track 4 katty. Bất kỳ chuyển đổi nào mà bộ não của bạn tốt hơn sẽ thực hiện.

Mật khẩu ngẫu nhiên là tiêu chuẩn vàng trong thông tin. Theo định nghĩa, nó tốt hơn bất kỳ mật khẩu nào do con người tạo ra.

Nhược điểm của các từ viết tắt là theo thời gian, sự phổ biến của kỹ thuật như vậy sẽ giảm hiệu quả của nó, và phương pháp đảo ngược sẽ vẫn đáng tin cậy, ngay cả khi tất cả mọi người trên trái đất đã sử dụng nó trong một nghìn năm.

Một mật khẩu ngẫu nhiên sẽ không được đưa vào danh sách các kết hợp phổ biến và kẻ tấn công sử dụng phương pháp tấn công hàng loạt sẽ chỉ cưỡng bức một mật khẩu như vậy.

Hãy lấy một mật khẩu ngẫu nhiên đơn giản có tính đến chữ hoa và số - đó là 62 ký tự khả thi cho mỗi vị trí. Nếu chúng ta đặt mật khẩu chỉ có 8 chữ số, thì chúng ta nhận được 62 ^ 8 = 218 nghìn tỷ tùy chọn.

Ngay cả khi số lần thử trong một khoảng thời gian nhất định không bị giới hạn, phần mềm chuyên dụng thương mại nhất với dung lượng 2,8 tỷ mật khẩu mỗi giây sẽ dành trung bình 22 giờ để tìm ra sự kết hợp phù hợp. Để chắc chắn, chúng tôi chỉ thêm 1 ký tự bổ sung vào mật khẩu như vậy - và sẽ mất nhiều năm để bẻ khóa mật khẩu đó.

Mật khẩu ngẫu nhiên không phải là bất khả xâm phạm, vì nó có thể bị đánh cắp. Các tùy chọn có rất nhiều, từ đọc nhập liệu bằng bàn phím cho đến đeo máy ảnh trên vai.

Một hacker có thể tấn công chính dịch vụ và lấy dữ liệu trực tiếp từ các máy chủ của nó. Trong tình huống này, không có gì phụ thuộc vào người dùng.

Một nền tảng đáng tin cậy

Vì vậy, chúng ta vào việc chính. Các chiến thuật mật khẩu ngẫu nhiên để sử dụng trong cuộc sống thực là gì? Từ quan điểm của sự cân bằng và thuận tiện, "triết lý một mật khẩu mạnh" sẽ làm tốt.

Nguyên tắc là bạn sử dụng cùng một cơ sở - mật khẩu siêu mạnh (các biến thể của nó) trên các dịch vụ và trang web quan trọng nhất đối với bạn.

Hãy nhớ một sự kết hợp dài và khó khăn cho tất cả mọi người.

Nick Berry, một nhà tư vấn bảo mật thông tin, thừa nhận nguyên tắc này, với điều kiện mật khẩu được bảo vệ rất tốt.

Không cho phép sự hiện diện của phần mềm độc hại trên máy tính mà bạn nhập mật khẩu. Không được phép sử dụng cùng một mật khẩu cho các trang web kém quan trọng và giải trí - mật khẩu đơn giản hơn là đủ cho chúng, vì việc hack tài khoản ở đây sẽ không dẫn đến bất kỳ hậu quả chết người nào.

Rõ ràng là cơ sở đáng tin cậy cần được thay đổi bằng cách nào đó cho mỗi trang web. Là một tùy chọn đơn giản, bạn có thể thêm một chữ cái vào đầu, kết thúc tên của trang web hoặc dịch vụ. Nếu chúng ta quay lại mật khẩu RPM8t4ka ngẫu nhiên đó, nó sẽ chuyển thành kRPM8t4ka để Facebook ủy quyền.

Kẻ tấn công khi nhìn thấy mật khẩu như vậy sẽ không thể hiểu cách tạo mật khẩu cho tài khoản của bạn. Vấn đề sẽ bắt đầu nếu ai đó có quyền truy cập vào hai hoặc nhiều mật khẩu của bạn được tạo theo cách này.

Câu hỏi bí mật

Một số kẻ tấn công bỏ qua mật khẩu hoàn toàn. Họ thay mặt chủ sở hữu tài khoản và mô phỏng một tình huống mà bạn quên mật khẩu của mình và muốn mật khẩu đó là một vấn đề bí mật. Trong trường hợp này, anh ta có thể thay đổi mật khẩu theo ý muốn và chủ sở hữu thực sự sẽ mất quyền truy cập vào tài khoản của anh ta.

Năm 2008, ai đó đã truy cập vào địa chỉ email của Sarah Palin, Thống đốc Alaska và khi đó cũng là ứng cử viên tổng thống. Tên trộm đã trả lời câu hỏi bí mật, nghe như sau: "Bạn đã gặp chồng mình ở đâu?"

Sau 4 năm, Mitt Romney, người cũng là ứng cử viên tổng thống vào thời điểm đó, đã mất một số tài khoản của mình trên các dịch vụ khác nhau. Ai đó đã trả lời một câu hỏi bí mật về tên của thú cưng của Mitt Romney.

Bạn đã đoán ra điểm.

Bạn không thể sử dụng dữ liệu công khai và dễ đoán làm câu hỏi và câu trả lời bí mật.

Câu hỏi thậm chí không phải là thông tin này có thể được tìm ra một cách cẩn thận trên Internet hoặc từ những người thân thiết với bạn. Câu trả lời cho các câu hỏi theo kiểu "tên động vật", "đội khúc côn cầu yêu thích", v.v. được lựa chọn hoàn hảo từ các từ điển tương ứng với các tùy chọn phổ biến.

Như một lựa chọn tạm thời, bạn có thể sử dụng chiến thuật đánh giá sự vô lý của câu trả lời. Nói một cách đơn giản, câu trả lời không nên liên quan gì đến câu hỏi bí mật. Tên thời con gái của mẹ? Diphenhydramine. Tên thú nuôi? Năm 1991.

Tuy nhiên, một kỹ thuật như vậy, nếu được phát hiện phổ biến, sẽ được tính đến trong các chương trình tương ứng. Các câu trả lời phi lý thường bị rập khuôn, tức là một số cụm từ sẽ được gặp thường xuyên hơn nhiều so với những cụm từ khác.

Trên thực tế, không có gì sai khi sử dụng các câu trả lời thực, bạn chỉ cần chọn câu hỏi một cách khôn ngoan. Nếu câu hỏi không chuẩn và câu trả lời cho nó chỉ có bạn biết và không thể đoán được sau ba lần thử, thì mọi thứ sẽ theo thứ tự. Ưu điểm của việc trung thực là bạn sẽ không quên nó theo thời gian.

GHIM

Mã số nhận dạng cá nhân (PIN) là một loại khóa giá rẻ mà chúng tôi được ủy thác. Không ai bận tâm để tạo ra một sự kết hợp đáng tin cậy hơn của ít nhất bốn con số này.

Bây giờ dừng lại. Ngay lập tức. Ngay bây giờ, không cần đọc đoạn tiếp theo, hãy thử đoán mã PIN phổ biến nhất. Sẵn sàng?

Nick Berry ước tính rằng 11% dân số Hoa Kỳ sử dụng 1234 làm mã PIN (nơi họ có thể tự thay đổi).

Tin tặc không chú ý đến mã PIN bởi vì mã này vô dụng nếu không có sự hiện diện vật lý của thẻ (điều này có thể phần nào biện minh cho độ dài nhỏ của mã).

Berry đã lấy danh sách các mật khẩu gồm bốn chữ số xuất hiện sau khi rò rỉ trên mạng. Người sử dụng mật khẩu năm 1967 có thể đã chọn nó vì một lý do. Mã PIN phổ biến thứ hai là 1111 và 6% người thích mã này. Ở vị trí thứ ba là 0000 (2%).

Giả sử rằng một người biết thông tin này nằm trong tay của người khác. Ba lần cố gắng để chặn thẻ. Phép toán đơn giản cho thấy rằng người này có 19% cơ hội đoán được mã PIN của họ nếu họ nhập 1234, 1111 và 0000 theo thứ tự.

Có thể vì lý do này, đại đa số các ngân hàng tự gán mã PIN cho thẻ nhựa đã phát hành.

Tuy nhiên, nhiều người bảo vệ điện thoại thông minh bằng mã PIN và xếp hạng mức độ phổ biến sau áp dụng tại đây: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888 , 4321, 2001, 1010.

Thông thường, mã PIN đại diện cho một năm (năm sinh hoặc ngày lịch sử).

Nhiều người thích tạo mã PIN dưới dạng các cặp số lặp lại (hơn nữa, các cặp số mà số đầu tiên và số thứ hai khác nhau một cái là đặc biệt phổ biến).

Bàn phím số của thiết bị di động hiển thị các tổ hợp như 2580 ở trên cùng - để nhập nó, chỉ cần tạo một lối đi trực tiếp từ trên xuống dưới ở trung tâm là đủ.

Ở Hàn Quốc, số 1004 được phụ âm với từ "thiên thần", điều này làm cho sự kết hợp này khá phổ biến ở đó.

Kết quả

1. Truy cập random.org và tạo 5-10 mật khẩu ứng viên ở đó.
2. Chọn một mật khẩu mà bạn có thể biến thành một cụm từ dễ nhớ.
3. Sử dụng cụm từ này để ghi nhớ mật khẩu của bạn.

Nhiều trang cố gắng giúp người dùng đặt mật khẩu phức tạp hơn. Đối với điều này, các quy tắc cơ bản được thiết lập, thường yêu cầu ít nhất một chữ cái viết hoa, một chữ cái viết thường, một số, v.v. Các quy tắc thường nguyên thủy như sau:

"mật khẩu" => ["bắt buộc", "đã xác nhận", "tối thiểu: 8", "regex: / ^ (? = \ S *) (? = \ S *) (? = \ S * [\ d]) \ S * $ / ",];
Thật không may, các quy tắc đơn giản như vậy có nghĩa là mật khẩu Abcd1234 sẽ được công nhận là tốt và có chất lượng tốt, giống như Password1. Mặt khác, mật khẩu mu-icac-of-jaz-doad sẽ không được xác thực.

Đây là hai mật khẩu đầu tiên.

Và đây là hai mật khẩu sẽ không vượt qua bài kiểm tra độ mạnh.

Để làm gì? Có thể bạn không nên ép buộc sử dụng các ký tự đặc biệt và đưa ra tất cả các quy tắc mới, chẳng hạn như cấm lặp lại một số ký tự liên tiếp, không sử dụng một mà là hai hoặc ba ký tự đặc biệt và số, tăng độ dài mật khẩu tối thiểu, v.v. .

Thay vì tất cả những điều này, nó là đủ để làm một điều đơn giản - chỉ cần cài đặt hạn chế entropy tối thiểu mật khẩu, và đó là nó! Bạn có thể sử dụng trình đánh giá được tạo sẵn zxcvbn cho việc này.

Có các giải pháp khác ngoài zxcvbn. Mới tuần trước, tại hội nghị ACM Computer and Communications Security, một bài báo khoa học (pdf) của các chuyên gia bảo mật từ Symantec Research và viện nghiên cứu Eurecom của Pháp đã được trình bày. Họ đã phát triển một công cụ kiểm tra độ mạnh mật khẩu mới ước tính số lần thử bạo lực gần đúng cần thiết bằng phương pháp Monte Carlo. Phương pháp được đề xuất khác ở chỗ nó yêu cầu một lượng tài nguyên máy tính tối thiểu trên máy chủ, phù hợp với một số lượng lớn các mô hình xác suất và đồng thời khá chính xác. Phương pháp này đã được thử nghiệm trên các mật khẩu từ cơ sở dữ liệu Xato gồm 10 triệu mật khẩu, thuộc phạm vi công cộng (bản sao trên Archive.org) - nó cho kết quả tốt. Đúng vậy, nghiên cứu này của Symantec Research và Eurecom mang tính lý thuyết nhiều hơn, ít nhất là họ đã không xuất bản chương trình của mình ở dạng truy cập mở dưới bất kỳ hình thức chấp nhận nào. Tuy nhiên, ý nghĩa của công việc rất rõ ràng: thay vì các quy tắc ngẫu nhiên để kiểm tra mật khẩu, các trang web nên thực hiện kiểm tra entropy.

Các bạn ơi, hôm nay chúng ta có một chủ đề rất thú vị và phía trước còn có ba câu hỏi thú vị không kém. Mật khẩu của tôi mạnh đến mức nào? Mất bao lâu để crack nó? Làm cách nào để làm cho mật khẩu của tôi an toàn hơn hoặc kém an toàn hơn?

Những câu hỏi này được trả lời bởi dịch vụ "How Secure Is My Password?", Tạm dịch là: "Mật khẩu của tôi an toàn đến mức nào."

Trang điện tử chính thức: http://www.howsecureismypassword.net/

Dịch vụ này trông như thế này:

Chúng ta chỉ cần nhập mật khẩu và kiểm tra độ tin cậy của nó.

Hãy thêm tổ hợp các số 12345678 vào cửa sổ chính của trang web và xem dịch vụ này sẽ "cho" chúng ta biết điều gì:

Hệ thống cho kết quả như sau:

• Mật khẩu 12345678 nằm trong TOP-10 những mật khẩu phổ biến nhất và có thể bẻ khóa ngay lập tức.
• Không nên sử dụng mật khẩu dưới dạng ngày tháng năm sinh hoặc số điện thoại.
• Mật khẩu của chúng tôi chỉ chứa các chữ cái và số (trong trường hợp này, đây chỉ là các số). Hệ thống khuyến nghị sử dụng thêm các ký tự và khoảng trắng không chuẩn.

Và bây giờ tôi sẽ thử nhập mật khẩu gồm 20 chữ số:

Kết quả sẽ tốt hơn:

• Mật khẩu dài hơn 16 ký tự nên mọi thứ đều ổn.
• Mật khẩu của tôi không chuẩn, vì nó chứa các ký tự không chuẩn (khoảng trắng).
• Theo tính toán của hệ thống, mật khẩu của tôi sẽ bị bẻ khóa sau 1 nghìn tỷ năm nữa (đây là mật khẩu có 18 số không).

Nhân tiện, nếu chúng tôi nhập các ký tự tiếng Nga, dịch vụ sẽ coi đây là một giải pháp không chuẩn.

Dịch vụ này cũng cung cấp tính năng tạo mật khẩu tự động:

Lời chào hỏi!
Bất chấp sự phát triển nhanh chóng của công nghệ và sự xuất hiện của các phương pháp thay thế để nhận dạng chủ sở hữu, bảo vệ bằng mật khẩu vẫn không từ bỏ vị trí của nó và vẫn rất phổ biến cho đến ngày nay.

Mật khẩu đã trở nên phổ biến và được sử dụng để truy cập các thiết bị và dịch vụ Internet. Và theo thời gian, chỉ có nhiều hơn trong số họ. Tình huống này cuối cùng dẫn đến thực tế là người dùng bắt đầu sử dụng cùng một mật khẩu trên các thiết bị và dịch vụ mà họ sử dụng.
Cách làm này rất nguy hiểm và có nguy cơ gây ra hậu quả nghiêm trọng. Không nghi ngờ gì nữa, mật khẩu bị xâm nhập từ mạng xã hội không mang lại hậu quả như mật khẩu từ hệ thống thanh toán. Nhưng nếu chúng giống hệt nhau, thì khả năng truy cập được vào các dịch vụ còn lại được sử dụng là rất cao.
Để ngăn điều này xảy ra, mật khẩu phải phức tạp (có khả năng chống chịu lực) và khác biệt.

Nguyên tắc tạo mật khẩu

Trên hầu hết các tài nguyên Internet, có những quy tắc tối thiểu để đặt mật khẩu, thường là không đủ để tạo một mật khẩu thực sự phức tạp. Cũng cần nhớ rằng:

• Đăng nhập và mật khẩu không được giống nhau
• Mật khẩu không được bao gồm thông tin cá nhân (ngày sinh, số điện thoại, v.v.)
• Mật khẩu không được chỉ bao gồm các từ

Ví dụ, để tìm một mật khẩu bao gồm 6 chữ số, bạn chỉ cần sắp xếp 1 triệu kết hợp. Một máy tính hiện đại sẽ xử lý công việc này trong vài phút. Vì lý do tương tự, bạn không nên dựa vào mật khẩu chỉ bao gồm các từ và sự kết hợp của chúng. Mật khẩu như vậy được tìm kiếm bằng cách sử dụng từ điển của các từ phổ biến.

Bạn cũng không nên dựa vào mật khẩu bao gồm các từ có thêm số. Họ cũng dễ bị hack, mặc dù mất nhiều thời gian hơn. Tuy nhiên, trong trường hợp hack thành công và chịu tổn thất về vấn đề này, nó không chắc sẽ tạo ra bất kỳ sự khác biệt nào.
Để hiểu rõ hơn về mật khẩu nào là đáng tin cậy và mật khẩu nào dễ bị hack, bạn nên tham khảo các ví dụ. Những con số này được lấy bằng dịch vụ kiểm tra độ mạnh mật khẩu.

• Ngày sinh 12071996 - 0,003 giây
• Tên có Maksim viết hoa và maksim viết thường - không quá nửa giây
• Sự kết hợp của các chữ cái và số 7s3a8f1m2a - khoảng một ngày
• Để lặp lại kết hợp tiếp theo vSA-DFRLLz - 1 năm
• Kết hợp iu2374NDHSA) DD - 204 triệu năm

Hai mật khẩu cuối cùng chứng tỏ khả năng chống bẻ khóa rất cao. Công việc phá mật khẩu có độ phức tạp tương tự của kẻ tấn công rất có thể sẽ chẳng có kết quả gì.

Tạo mật khẩu chính xác

Chúng ta đã tìm ra phần lý thuyết, bây giờ hãy chuyển trực tiếp sang việc tạo một mật khẩu mạnh và đáng tin cậy.
Khi tạo ra một mật khẩu phức tạp và mạnh, yếu tố con người đóng một vai trò quan trọng. Khó khăn nảy sinh ngay từ giai đoạn đầu - tìm ra một mật khẩu phức tạp, và sau đó - ghi nhớ nó. Rốt cuộc, sự kết hợp của các ký hiệu rải rác hầu như không dẫn đến khả năng ghi nhớ sớm.
Các dịch vụ trực tuyến sẽ giúp chúng tôi giải quyết vấn đề tạo mật khẩu mạnh. Có khá nhiều trong số đó, thuộc các dịch vụ phổ biến bằng tiếng Nga, người ta có thể lưu ý:
Passwordist.com
Online-Generators.ru
PassGen.ru
Các dịch vụ được trình bày hoạt động theo cùng một nguyên tắc, bạn chỉ cần chỉ định ký tự nào bạn cần sử dụng và chọn độ dài của mật khẩu được tạo.
Một tính năng riêng biệt của dịch vụ Passwordist.com là khả năng đặt số lượng mật khẩu đã tạo và tạo ra các tùy chọn có khả năng đọc tốt hơn bằng cách loại trừ các ký tự tương tự, chẳng hạn như B và 8.

Lưu trữ mật khẩu

Mật khẩu mạnh đã được tạo ra, nhưng đó là một nửa trận chiến. Mật khẩu phải được lưu trữ chính xác để không ai khác có thể truy cập vào chúng.
Về vấn đề này, các tùy chọn để ghi vào tệp văn bản hoặc trên nhãn dán có phần đính kèm sau đó vào màn hình ngay lập tức biến mất.
Tốt hơn và đúng hơn là giao phó thông tin bí mật cho người quản lý mật khẩu.

Các giải pháp phổ biến bao gồm chương trình KeePass. Chương trình này miễn phí và đồng thời rất hữu ích. Trong số những thứ khác, có một trình tạo mật khẩu trong đó, nhờ đó không cần sử dụng trình tạo trực tuyến.
Để truy cập cơ sở dữ liệu của các mật khẩu đã lưu, bạn sẽ cần đặt một mật khẩu chính. Ví dụ: để tạo mật khẩu, bạn có thể sử dụng kỹ thuật nhập các từ trong một bố cục khác để tạo một mật khẩu phức tạp, nhưng không được tự quên mật khẩu.
Cơ sở dữ liệu cục bộ có mật khẩu trên máy tính của bạn sẽ ít bị hack hơn so với các dịch vụ công cộng trên Internet, vì vậy bạn không nên lạm dụng nó quá phức tạp.

Kiểm tra độ mạnh của mật khẩu

Nếu bạn muốn kiểm tra mật khẩu hiện có hoặc mật khẩu mới được tạo về khả năng chống bẻ khóa, thì có một số dịch vụ trực tuyến cho việc này:

1) Mật khẩu của tôi an toàn như thế nào? Sau khi bạn nhập mật khẩu ở dạng thích hợp trên trang web, bạn sẽ thấy mất bao lâu để bẻ khóa bằng bạo lực. Khoảng thời gian vài triệu năm có thể được coi là tuyệt vời.

2) Kaspersky Lab: Kiểm tra mật khẩu an toàn Dịch vụ này được tạo ra bởi một nhà phát triển trong nước của một giải pháp chống vi-rút phổ biến. Nó cũng cho thấy khoảng thời gian cần thiết để bẻ khóa mật khẩu bằng cách sử dụng một cuộc tấn công bạo lực.

3) 2IP: Độ mạnh của mật khẩu Dịch vụ phân loại đưa ra phán quyết cho một mật khẩu đã được xác minh - nó có thể mạnh hoặc không.

Khi kiểm tra mật khẩu của bạn không mạnh, đừng quên rằng kết quả độ mạnh hiển thị ở đó rất tùy ý. Chúng được tính toán dựa trên hiệu suất trung bình của một máy tính gia đình và khó có thể giống với một siêu máy tính mạnh trong phòng thí nghiệm.
Bạn có thể yên tâm một điều - những người có quyền truy cập vào thiết bị như vậy sẽ khó quan tâm đến mật khẩu của bạn từ dịch vụ e-mail hoặc messenger.

Tóm tắt ngắn gọn

Trong bài viết này, tôi đã cố gắng tiết lộ tất cả các khía cạnh của bảo vệ bằng mật khẩu và giải thích tại sao một mật khẩu có vẻ mạnh thực tế lại không như vậy.
Tôi hy vọng rằng thông tin này sẽ hữu ích và các biện pháp sẽ được thực hiện để bảo vệ khỏi bị hack và các hậu quả liên quan.