Алексей Алексеев Добро пожаловать в мой уютненький бложек

1Фев/125

Безопасные пароли

Данная статья предоставлена моим близким другом и соавтором сайта Александром Тимофеевым, прочитав эту статью вы научитесь создавать криптостойкие и безопасные пароли, итак, приступим!

В связи с тем, что в последние дни некоторые из моих друзей и знакомых во Вконтакте подверглись атакам и их страницы были временно вскрыты, хочется дать несколько элементарных советов, касающихся паролебезопасности:

Сначала о том, какие пароли все же небезопасны:

  1. Любые осмысленные слова естественных языков (английского или русского на английской раскладке): т.е и банальный password или gfhjkm(пароль) и совсем не банальный fulfillment - однозначно слабые пароли.
  2. Добавление одной дух цифр тоже не спасет:  password197 и fulfillment2 - тоже не лучший вариант.
  3. Добавление символов между словами тоже не вариант, пароли    password_197 и my_fulfillment2 password_ fulfillment  и  fulfillment) - пароли посильнее, но вполне подбираемы.

Как усилить описанные пароли? Вариантов много, например добавлять цифры и символы в середину слов:  f1ulfill_men1t, my1fulfill_ment , а вот пароли типа   passw1ord или gf-hjk-m(п-арол-ь) даже с такими модификациями использовать не стоит.

Теперь предложу вам две техники "генерации" сильных паролей:

Эвристический способ: возьмите дату своего рождения (у меня например 05.12.88), короткое английское слово, например oak и адрес сайта на котром используете пароль, например vk.com. Теперь придумаем шаблон для пароля:

Первая буква имени сайта + Дата рождения + _ + короткое слово + последняя буква сайта
Получим пароль: v051288_oakk

Или другой шаблон:

Последняя буква сайта + число рождения + первая буква сайта + месяц и год рождения + _ + слово
Получим пароль: k05v1288_oak

Вариантов построения маски из трех элементарных элементов полно, подбирайте свой и не забывайте выбранный шаблон, ну тут забыть можно только разве что слово на английском, а дату рождения и адрес сайта - проблематично забыть.

Теперь  способ рекомендуемый многими политиками безопасности серьезных организаций:

Запоминаем фразу,  желательно бессмысленную (можно строчку из стихотворения), ну например фразу "веселый енот играет свининой"  или строку из стихотвоения "Мне Брамса сыграют тоской". Для первых четырех или всех слов фразы возьмем по первые три буквы слов, на английской раскладке, соответственно получится:

dtctyjbuhcdb
vyt,hfcsunjc

Вполне стойкие пароли, но я посоветую добавить к ним группы цифр и символов, достаточно тривиальные, например так:

1_dtctyjbuhcdb
_vyt,hfcsunjc9

Последний способ я считаю предпочтительным, пароли полученные таким образом достаточно стойкие. У него только один минус по сравнению с первым вариантом: для всех сайтов такой пароль будет одинаков (ну или запоминайте много фраз). Но этот минус легко обойти: добавляйте к паролю первую букву сайта, например, "v" для vk.com тогда:

vdtctyjbuhcdb и vyt,hfcsunjcv или v1_dtctyjbuhcdb и _vyt,hfcsunjc9v

Комментарии (5) Пинги (0)
  1. «достаточно стойкие»-если их не потеряешь,а потерять можно все или хранить сотню копий архивов паролей но нет уверенности что к ключ к архиву паролей тоже может быть потерян )

    • Ну человеческий фактор всегда присутствует, от этого никуда не деться.

    • Понятие стойкости пароля и политики информационной безопасности мягко говоря различаются. Вы можете не терять пароли у вас их могут вырвать при помощи утюга или паяльника если на то пошло. Так что вопрос поставлен абсолютно некорректно. Хотите больших степеней защиты? Идентификация по ключам e-Token, биометрическим данным и т.д. Но этот вопрос здесь не рассматривается.
      Если конструктивно, то добавлю, кстати с меткой подачи Алексея, что рационально использовать символы верхнего регистра, например каждое слово начинать с символа не нижнего, а верхнего регистра

  2. Я использую один шаблон, который напоминает шаблоны, описанные выше. Получаются неплохие пароли, уникальные для каждого сайта. При этом не обязательно запоминать все пароли, достаточно помнить шаблон.

  3. Честно говоря не понимаю. На любом приличном сайте, любом серваке стоит защита от брута. Время подбора пароля из 4 цифр займет 10 лет. А если не использовать стандартные логины то вечность. Я смотрю как ко мне на сервак кто то брутится. и вот он бедненький перебирает пароль от администратор админ и т.п. В основном ломают защиту изнутри!


Оставить комментарий

Нет обратных ссылок на эту запись.