Стратегии выбора пароля

06.04.2020 /

Выбор надежных паролей — сложная задача. В этом документе описаны некоторые стратегии их создания и выбора для эффективной защиты ваших учетных записей. Ключевым моментом является то, что вам нужны длинные пароли, которые трудно взломать, но которые легко запомнить, что у вас должны быть разные пароли для разных учетных записей, а для критических учетных записей у вас также должны быть разные имена пользователей.

Зачем нам нужны длинные пароли

Мы склонны выбирать пароли из конечного набора вариантов, потому что случайные шаблоны нам особенно трудно запомнить. Нам также нравятся короткие последовательности символов, потому что их легче запомнить. Обе эти тенденции работают против нас, потому что злоумышленники знают о них все и используют словари общих паролей, чтобы быстро определить, используем ли мы один из тысяч или миллионов известных паролей. Это возможно потому, что необходимо проверить короткие последовательности символов и общие слова. Давайте кратко рассмотрим, почему это так.

Если мы выбираем пароль, который является общим словом, таким как «password» или «qwerty», мы уязвимы для атаки, используя слова из словаря, когда злоумышленник просто пытается расшифровать наши данные, используя все слова в словаре в качестве пароля. Для достаточно мощного современного компьютера, который может выполнять 10000 тестов в минуту, потребуется менее 2 часов, чтобы протестировать миллион слов. Сегодня для этого также используются специальные базы. Раздача баз для брута происходит на https://mailpwd.com.

Если мы выберем случайный набор из 5 символов для нашего пароля, например, «Ae4%.» или «?> 3r $» мы можем думать, что это безопасно, но на самом деле это не так. Около 90  печатаемых символов состоят из строчных букв, прописных букв, цифр и знаков пунктуации. Это означает, что существует 90 5 или 5904 900 000 (около 6 миллиардов) возможных перестановок с заменой.

Но насколько это безопасно на самом деле? Если специальное оборудование для взлома может выполнить миллион тестов в секунду, то для проверки всех перестановок и взлома вашего пароля потребуется менее 2 часов. Это называется атакой грубой силы.

Переход на 6 символов улучшает ситуацию. Та же атака займет около недели, поэтому ясно, что добавление большего количества символов может сделать вас более безопасным, но не обязательно таким безопасным, как вы думаете. Во-первых, я не знаю, насколько быстрым является оборудование для взлома в наши дни, но я знаю, что современная техника быстро развивается, и атаки могут выполняться параллельно, что может означать, что миллиард тестов в секунду не может быть проблемой в обозримом будущем.