Qanday qilib kuchli parolni yaratish va eslab qolish

2024 Muallif: Malcolm Clapton | [email protected]. Oxirgi o'zgartirilgan: 2023-12-17 04:14

Hech kim sindira olmaydigan parol yaratishning eng yaxshi usullari.

Ko'pgina tajovuzkorlar parolni o'g'irlashning murakkab usullari bilan bezovta qilmaydi. Ular taxmin qilish oson kombinatsiyalarni olishadi. Hozirda mavjud bo'lgan barcha parollarning taxminan 1% to'rtta urinish bilan qo'pol kuch ishlatishi mumkin.

Bu qanday mumkin? Juda oddiy. Siz dunyodagi eng keng tarqalgan to'rtta kombinatsiyani sinab ko'rasiz: parol, 123456, 12345678, qwerty. Bunday o'tishdan keyin o'rtacha hisobda barcha "ko'krak" larning 1% ochiladi.

Aytaylik, siz paroli unchalik oddiy bo'lmagan 99% foydalanuvchilardansiz. Shunday bo'lsa ham, zamonaviy xakerlik dasturining ishlashini hisobga olish kerak.

Bepul, bepul mavjud Jon Ripper dasturi soniyada millionlab parollarni tekshiradi. Ixtisoslashgan tijoriy dasturiy ta'minotning ba'zi misollari soniyada 2,8 milliard parolni o'tkazish qobiliyatiga ega.

Dastlab, yorilish dasturlari statistik jihatdan eng keng tarqalgan kombinatsiyalar ro'yxatidan o'tadi va keyin to'liq lug'atga murojaat qiladi. Vaqt o'tishi bilan foydalanuvchilarning parol tendentsiyalari biroz o'zgarishi mumkin va bu o'zgarishlar bunday ro'yxatlar yangilanganda hisobga olinadi.

Vaqt o'tishi bilan barcha turdagi veb-xizmatlar va ilovalar foydalanuvchilar tomonidan yaratilgan parollarni majburan murakkablashtirishga qaror qilishdi. Talablar qo'shildi, ularga ko'ra parol ma'lum bir minimal uzunlikka ega bo'lishi, raqamlar, katta harflar va maxsus belgilarni o'z ichiga olishi kerak. Ba'zi xizmatlar bunga shu qadar jiddiy yondashganki, tizim qabul qiladigan parolni topish juda uzoq va zerikarli vazifani oladi.

Asosiy muammo shundaki, deyarli har qanday foydalanuvchi haqiqiy qo'pol kuch parolini yaratmaydi, faqat tizimning parol tarkibiga bo'lgan talablarini minimal darajada qondirishga harakat qiladi.

Natijada parol1, parol123, Parol, PaSsWoRd, parol kabi parollar! va aql bovar qilmaydigan darajada oldindan aytib bo'lmaydigan p @ ssword.

Tasavvur qiling-a, siz o'rgimchak odam parolingizni qayta yaratishingiz kerak. Katta ehtimol bilan u $ pider_Man1 kabi ko'rinadi. Originalmi? Minglab odamlar uni bir xil yoki juda o'xshash algoritm yordamida o'zgartiradilar.

Agar kraker bu minimal talablarni bilsa, unda vaziyat faqat yomonlashadi. Aynan shuning uchun parollarning murakkabligini oshirish talabi har doim ham eng yaxshi xavfsizlikni ta'minlay olmaydi va ko'pincha xavfsizlikning kuchayishi haqida noto'g'ri tuyg'uni keltirib chiqaradi.

Parolni eslab qolish qanchalik oson bo'lsa, u kraker lug'atlariga tushib qolish ehtimoli shunchalik yuqori bo'ladi. Natijada, haqiqatan ham kuchli parolni eslab qolishning iloji yo'qligi ma'lum bo'ldi, ya'ni uni biron bir joyda tuzatish kerak.

Mutaxassislarning fikricha, ushbu raqamli asrda ham odamlar parollar yozilgan qog'ozga tayanishi mumkin. Bunday varaqni qiziquvchan ko'zlardan yashirilgan joyda, masalan, hamyonda yoki hamyonda saqlash qulay.

Biroq, parol varag'i muammoni hal qilmaydi. Uzoq parollarni nafaqat eslab qolish, balki kiritish ham qiyin. Vaziyatni mobil qurilmalarning virtual klaviaturalari yanada og'irlashtiradi.

O'nlab xizmatlar va saytlar bilan o'zaro aloqada bo'lgan ko'plab foydalanuvchilar bir xil parollar qatorini qoldiradilar. Ular har bir sayt uchun bir xil paroldan foydalanishga harakat qiladilar, xavf-xatarlarga to'liq e'tibor bermaydilar.

Bunday holda, ba'zi saytlar enaga vazifasini bajaradi, bu kombinatsiyani murakkablashtirishga majbur qiladi. Natijada, foydalanuvchi ushbu sayt uchun standart yagona parolni qanday o'zgartirish kerakligini eslay olmaydi.

Muammoning ko'lami 2009 yilda to'liq amalga oshirildi. Keyin xavfsizlik teshigi tufayli xaker Facebook’da o‘yinlarni nashr etuvchi RockYou.com kompaniyasining login va parollar bazasini o‘g‘irlashga muvaffaq bo‘ldi. Buzg'unchi ma'lumotlar bazasini hamma uchun ochiq qildi. Hammasi bo'lib, u akkauntlarga foydalanuvchi nomlari va parollari bilan 32,5 million yozuvni o'z ichiga olgan. Oqishlar avval ham sodir bo'lgan, ammo bu voqeaning ko'lami butun rasmni ko'rsatdi.

RockYou.com saytidagi eng mashhur parol 123456 bo'lib, undan deyarli 291 000 kishi foydalangan. 30 yoshgacha bo'lgan erkaklar ko'pincha jinsiy mavzular va qo'pol narsalarni afzal ko'rishadi. Ikkala jinsdagi keksa odamlar parol tanlashda ko'pincha madaniyatning ma'lum bir sohasiga murojaat qilishadi. Misol uchun, Epsilon793 unchalik yomon variantga o'xshamaydi, faqat bu kombinatsiya Star Trekda edi. Etti raqamli 8675309 ko'p marta paydo bo'ldi, chunki bu raqam Tommy Tutone qo'shiqlaridan birida paydo bo'lgan.

Aslida, kuchli parol yaratish oddiy vazifadir, buning uchun tasodifiy belgilar kombinatsiyasini yaratish kifoya.

Siz o'zingizning miyangizda matematik nuqtai nazardan mutlaqo tasodifiy kombinatsiyani yarata olmaysiz, lekin sizdan talab qilinmaydi. Haqiqatan ham tasodifiy kombinatsiyalarni yaratadigan maxsus xizmatlar mavjud. Masalan, u shunday parollar yaratishi mumkin:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Bu oddiy va oqlangan yechim, ayniqsa parollarni saqlash uchun menejerdan foydalanadiganlar uchun.

Afsuski, ko'pchilik foydalanuvchilar oddiy, zaif parollardan foydalanishda davom etadilar, hatto "har bir sayt uchun turli xil parollar" qoidasini e'tiborsiz qoldiradilar. Ular uchun xavfsizlikdan ko'ra qulaylik muhimroq.

Parol xavfsizligi buzilishi mumkin bo'lgan vaziyatlarni 3 ta keng toifaga bo'lish mumkin:

• Tasodifiy, unda siz bilgan odam siz haqingizda bilgan ma'lumotlarga tayanib, parolni topishga harakat qilmoqda. Ko'pincha, bunday kraker faqat hiyla o'ynashni, siz haqingizda biror narsani bilib olishni yoki tartibsizlik qilishni xohlaydi.
• Ommaviy hujumlarma'lum xizmatlarning mutlaqo har qanday foydalanuvchisi qurbon bo'lishi mumkin bo'lganda. Bunday holda, maxsus dasturiy ta'minot qo'llaniladi. Hujum uchun eng kam xavfsiz saytlar tanlanadi, ular qisqa vaqt ichida parol variantlarini qayta-qayta kiritish imkonini beradi.
• Maqsadlimaslahatlar olish (birinchi holatda bo'lgani kabi) va maxsus dasturiy ta'minotdan foydalanishni (ommaviy hujumda bo'lgani kabi) birlashtiradi. Bu haqiqatan ham qimmatli ma'lumotlarni olishga harakat qilish haqida. Faqat etarlicha uzun tasodifiy parol o'zingizni himoya qilishga yordam beradi, uni tanlash hayotingizning davomiyligi bilan taqqoslanadigan vaqtni oladi.

Ko'rib turganingizdek, har kim qurbon bo'lishi mumkin. "Mening parolim o'g'irlanmaydi, chunki menga hech kim kerak emas" kabi bayonotlar ahamiyatli emas, chunki siz tasodifan, tasodifan, hech qanday sababsiz shunga o'xshash vaziyatga tushib qolishingiz mumkin.

Qimmatli ma'lumotlarga ega bo'lgan, biznes bilan bog'liq yoki kimdir bilan moliyaviy sabablarga ko'ra ziddiyatda bo'lganlar (masalan, ajralish jarayonida mulkni taqsimlash, biznesdagi raqobat) uchun parol bilan himoya qilish yanada jiddiyroq.

2009 yilda Twitter (butun xizmatni tushunishda) administrator baxt so'zini parol sifatida ishlatgani uchungina buzib tashlangan. Xaker uni olib, Digital Gangster veb-saytiga joylashtirdi, bu esa Obama, Britni Spirs, Facebook va Fox News akkauntlarining o'g'irlanishiga olib keldi.

Qisqartmalar

Hayotning boshqa jabhalarida bo'lgani kabi, biz doimo maksimal xavfsizlik va maksimal qulaylik o'rtasida murosani topishimiz kerak. O'rta joyni qanday topish mumkin? Parollarni yaratishning qanday strategiyasi osongina eslab qoladigan kuchli kombinatsiyalarni yaratishga imkon beradi?

Ayni paytda ishonchlilik va qulaylikning eng yaxshi kombinatsiyasi ibora yoki iborani parolga aylantirishdir.

Siz doimo eslab qoladigan so'zlar to'plami tanlanadi va har bir so'zning birinchi harflarining kombinatsiyasi parol sifatida ishlatiladi. Misol uchun, May kuch siz bilan bo'lsin Mtfbwy aylanadi.

Biroq, eng mashhurlari boshlang'ich iboralar sifatida qo'llanilishi sababli, dasturlar oxir-oqibat bu qisqartmalarni o'z ro'yxatlarida oladi. Aslida, qisqartma faqat harflarni o'z ichiga oladi va shuning uchun belgilarning tasodifiy birikmasidan ob'ektiv ravishda kamroq ishonchli.

To'g'ri iborani tanlash birinchi muammodan xalos bo'lishga yordam beradi. Nima uchun dunyoga mashhur iborani qisqartma parolga aylantirish kerak? Ehtimol, siz faqat yaqin atrofingiz uchun tegishli bo'lgan ba'zi hazil va so'zlarni eslaysiz. Aytaylik, siz mahalliy muassasada bufetchidan juda jozibali iborani eshitdingiz. Buni ishlat.

Shunga qaramay, siz yaratgan qisqartma parol noyob bo'lishi dargumon. Qisqartmalar bilan bog'liq muammo shundaki, turli iboralar bir xil harflar va bir xil ketma-ketlikda boshlangan so'zlardan tuzilishi mumkin. Statistik ma'lumotlarga ko'ra, turli tillarda so'zning boshi sifatida ma'lum harflarning paydo bo'lishining ko'payishi kuzatiladi. Dasturlar ushbu omillarni hisobga oladi va asl nusxadagi qisqartmalarning samaradorligi pasayadi.

Teskari yo'l

Chiqish yo'li avlodning teskari yo'li bo'lishi mumkin. Siz random.org saytida mutlaqo tasodifiy parol yaratasiz va keyin uning belgilarini mazmunli esda qolarli iboraga aylantirasiz.

Ko'pincha xizmatlar va saytlar foydalanuvchilarga vaqtinchalik parollar bilan ta'minlaydi, ular bir xil tasodifiy kombinatsiyalardir. Siz ularni o'zgartirishni xohlaysiz, chunki siz eslay olmaysiz, lekin diqqat bilan ko'rib chiqing va bu aniq bo'ladi: parolni eslab qolish shart emas. Misol uchun, random.org dan boshqa variantni olaylik - RPM8t4ka.

Garchi bu ma'nosiz bo'lib tuyulsa ham, bizning miyamiz hatto bunday tartibsizliklarda ham ma'lum naqsh va yozishmalarni topa oladi. Boshlash uchun, undagi dastlabki uchta harf katta, keyingi uchtasi esa kichik ekanligini ko'rishingiz mumkin. 8 ikki marta (ingliz tilida ikki marta - t) 4. Ushbu parolni biroz ko'rib chiqing va siz taklif qilingan harflar va raqamlar to'plami bilan o'zingizning aloqangizni topasiz.

Agar siz bema'ni so'zlarni yodlay olsangiz, undan foydalaning. Parol daqiqada 8 trek 4 katty aylanishlarga aylansin. Sizning miyangiz yaxshiroq bo'lgan har qanday konvertatsiya qiladi.

Tasodifiy parol axborot xavfsizligi sohasida oltin standart hisoblanadi. Bu, ta'rifiga ko'ra, inson tomonidan yaratilgan har qanday paroldan yaxshiroqdir.

Qisqartmalarning nochorligi shundaki, vaqt o'tishi bilan bunday texnikaning tarqalishi uning samaradorligini pasaytiradi va teskari usul, hatto er yuzidagi barcha odamlar ming yil davomida foydalansa ham, xuddi shunday ishonchli bo'lib qoladi.

Tasodifiy parol mashhur kombinatsiyalar ro'yxatiga kiritilmaydi va ommaviy hujum usulini qo'llagan tajovuzkor bunday parolni faqat qo'pol kuch bilan ishlatadi.

Keling, katta harflar va raqamlarni hisobga oladigan oddiy tasodifiy parolni olaylik - bu har bir pozitsiya uchun 62 ta mumkin bo'lgan belgi. Agar parolni atigi 8 ta raqamdan tashkil qilsak, biz 62 ^ 8 = 218 trillion variantni olamiz.

Muayyan vaqt oralig'idagi urinishlar soni cheklanmagan bo'lsa ham, sekundiga 2,8 milliard parol sig'imiga ega bo'lgan eng tijorat ixtisoslashtirilgan dasturiy ta'minot to'g'ri kombinatsiyani topish uchun o'rtacha 22 soat vaqt sarflaydi. Ishonch hosil qilish uchun biz bunday parolga faqat 1 ta qo'shimcha belgi qo'shamiz - va uni buzish uchun ko'p yillar kerak bo'ladi.

Tasodifiy parol daxlsiz emas, chunki u o'g'irlanishi mumkin. Variantlar juda ko'p, klaviatura kiritishni o'qishdan tortib, yelkangizda kameraga ega bo'lishgacha.

Xaker xizmatning o'zini urib, to'g'ridan-to'g'ri uning serverlaridan ma'lumotlarni olishi mumkin. Bunday vaziyatda hech narsa foydalanuvchiga bog'liq emas.

Bitta ishonchli asos

Shunday qilib, biz asosiy narsaga keldik. Haqiqiy hayotda foydalanish uchun tasodifiy parol taktikasi qanday? Ishonchlilik va qulaylik muvozanati nuqtai nazaridan "bitta kuchli parol falsafasi" o'zini yaxshi ko'rsatadi.

Printsip shundaki, siz bir xil asosdan foydalanasiz - siz uchun eng muhim bo'lgan xizmatlar va saytlarda o'ta kuchli parol (uning o'zgarishlari).

Hamma uchun bitta uzoq va qiyin kombinatsiyani unutmang.

Axborot xavfsizligi bo'yicha maslahatchi Nik Berri parol juda yaxshi himoyalangan bo'lsa, ushbu tamoyilni qo'llash imkonini beradi.

Parolni kiritgan kompyuterda zararli dastur mavjudligiga yo'l qo'yilmaydi. Kamroq muhim va qiziqarli saytlar uchun bir xil paroldan foydalanishga yo'l qo'yilmaydi - ular uchun oddiyroq parollar etarli, chunki bu erda hisobni buzish hech qanday halokatli oqibatlarga olib kelmaydi.

Ishonchli bazani har bir sayt uchun qandaydir tarzda o'zgartirish kerakligi aniq. Oddiy variant sifatida siz boshiga bitta harf qo'shishingiz mumkin, bu sayt yoki xizmat nomini tugatadi. Agar biz tasodifiy RPM8t4ka paroliga qaytsak, u Facebook avtorizatsiyasi uchun kRPM8t4ka ga aylanadi.

Bunday parolni ko'rgan tajovuzkor bank hisobingiz uchun parol qanday yaratilganligini tushunolmaydi. Agar kimdir shu tarzda yaratilgan ikkita yoki undan ortiq parolingizga kirish huquqiga ega bo'lsa, muammolar boshlanadi.

sirli savol

Ba'zi o'g'rilar parollarni umuman e'tiborsiz qoldiradilar. Ular hisob egasi nomidan harakat qiladilar va parolingizni unutganingizda va uni maxfiy savol bilan qayta tiklamoqchi bo'lgan vaziyatni simulyatsiya qiladi. Ushbu stsenariyda u parolni o'z xohishiga ko'ra o'zgartirishi mumkin va haqiqiy egasi o'z hisobiga kirish huquqini yo'qotadi.

2008 yilda kimdir Alyaska gubernatori va o'sha paytda prezidentlikka nomzod bo'lgan Sara Peylinning elektron pochtasiga kirish huquqiga ega bo'ldi. O‘g‘ri shunday yangragan yashirin savolga javob berdi: “Siz eringiz bilan qayerda uchrashdingiz?”.

4 yildan so'ng, o'sha paytda AQSh prezidentligiga nomzod bo'lgan Mitt Romni turli xizmatlardagi bir nechta akkauntlarini yo'qotdi. Kimdir Mitt Romni uy hayvonining ismi haqidagi maxfiy savolga javob berdi.

Siz allaqachon fikrni taxmin qilgansiz.

Yashirin savol va javob sifatida siz ochiq va oson taxmin qilinadigan ma'lumotlardan foydalana olmaysiz.

Gap shundaki, bu ma'lumotni Internetda yoki odamning yaqin hamkorlaridan sinchkovlik bilan olish mumkin emas. "Hayvon nomi", "sevimli xokkey jamoasi" va boshqalar uslubidagi savollarga javoblar mashhur variantlarning tegishli lug'atlaridan mukammal tanlangan.

Vaqtinchalik variant sifatida siz javobning bema'nilik taktikasidan foydalanishingiz mumkin. Oddiy qilib aytganda, javobning maxfiy savolga hech qanday aloqasi bo'lmasligi kerak. Onasining yoshlikdagi familiyasi? Difengidramin. Uy hayvonlari nomi? 1991 yil.

Biroq, bunday uslub, agar keng tarqalgan bo'lsa, tegishli dasturlarda hisobga olinadi. Bema'ni javoblar ko'pincha stereotiplardir, ya'ni ba'zi iboralar boshqalarga qaraganda ancha tez-tez uchraydi.

Aslida, haqiqiy javoblardan foydalanishning hech qanday yomon joyi yo'q, faqat savolni oqilona tanlash kerak. Agar savol nostandart bo'lsa va unga javob faqat sizga ma'lum bo'lsa va uchta urinishdan keyin taxmin qilish mumkin bo'lmasa, unda hamma narsa tartibda. Rostgo'y bo'lishning afzalligi shundaki, siz buni vaqt o'tishi bilan unutmaysiz.

PIN-kod

Shaxsiy identifikatsiya raqami (PIN) bu bizning pulimiz ishonib topshirilgan arzon qulfdir. Hech kim hech bo'lmaganda ushbu to'rtta raqamdan ishonchliroq kombinatsiyani yaratishni bezovta qilmaydi.

Endi to'xta. Hoziroq. Hozir, keyingi xatboshini o'qimasdan, eng mashhur PIN-kodni taxmin qilishga harakat qiling. Tayyormisiz?

Nik Berri hisob-kitoblariga ko'ra, AQSh aholisining 11 foizi o'zlarining PIN-kodi sifatida 1234 dan foydalanadilar (u erda uni o'zlari o'zgartirishi mumkin).

Xakerlar PIN-kodlarga e'tibor bermaydilar, chunki kod kartaning jismoniy mavjudligisiz foydasizdir (bu kodning kichik uzunligini qisman oqlashi mumkin).

Berri tarmoqdagi sızıntılardan keyin paydo bo'lgan to'rt xonali parollar ro'yxatini oldi. 1967 yilgi parolni ishlatgan odam uni biron bir sababga ko'ra tanlagan bo'lishi mumkin. Ikkinchi eng mashhur PIN-kod 1111 bo'lib, 6% odamlar ushbu kodni afzal ko'rishadi. Uchinchi o'rinda 0000 (2%).

Aytaylik, bu ma'lumotni bilgan odamning qo'lida bank kartasi bor. Kartani blokirovka qilishga uchta urinish. Oddiy matematika shuni ko'rsatadiki, agar u 1234, 1111 va 0000 raqamlarini ketma-ket kiritsa, bu odam o'z PIN-kodlarini taxmin qilish imkoniyati 19% ga etadi.

Shuning uchun bo'lsa kerak, banklarning aksariyati chiqarilgan plastik kartalarga PIN-kodlarni o'zlari belgilaydilar.

Biroq, ko'pchilik smartfonlarni PIN-kod bilan himoya qiladi va bu erda quyidagi mashhurlik reytingi qo'llaniladi: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33353, 6186, 3553, 6185, 4321, 2001, 1010.

Ko'pincha, PIN kod yilni (tug'ilgan yili yoki tarixiy sana) bildiradi.

Ko'p odamlar PIN-kodlarni takroriy raqamlar juftligi shaklida qilishni yaxshi ko'radilar (bundan tashqari, birinchi va ikkinchi raqamlar bir-biridan farq qiladigan juftliklar ayniqsa mashhur).

Mobil qurilmalarning raqamli klaviaturalari tepada 2580 kabi kombinatsiyalarni aks ettiradi - uni yozish uchun markazda yuqoridan pastga to'g'ridan-to'g'ri o'tish kifoya.

Koreyada 1004 raqami "farishta" so'zi bilan uyg'un bo'lib, bu kombinatsiyani u erda juda mashhur qiladi.

Natija

1. Random.org saytiga o‘ting va u yerda 5-10 ta nomzod parolini yarating.
2. Esda qolarli iboraga aylantira oladigan parolni tanlang.
3. Parolingizni eslab qolish uchun ushbu iboradan foydalaning.