О том, почему даже не слишком квалифицированные злоумышленники с лёгкостью взламывают пароли большинства посетителей различных интернет-сайтов. Возникает закономерный вопрос: а можно ли придумать такой пароль, который, с одной стороны, был бы достаточно устойчивым ко взлому, а с другой – легко запоминаемым.

Прежде всего стоит помнить о том, что взломать (подобрать, угадать) можно абсолютно любой пароль. Вопрос лишь в ресурсах – вычислительных и временны х. Поэтому устойчивость пароля имеет смысл оценивать с точки зрения оправданности затрат на его взлом: если в течение некоторого времени он не поддаётся вскрытию при помощи доступных ресурсов, то его можно считать безопасным.

Для различных категорий пользователей применяются принципиально разные критерии. Для взлома пароля аккаунта простой школьницы в социальной сети никто не будет задействовать столько же ресурсов, сколько для вскрытия учётной записи руководителя крупной фирмы или (тем более) для доступа к каким-то особо защищённым государственным и оборонным сетям. Пароль, который в первом случае можно считать практически абсолютно безопасным, в двух других может быть абсолютно уязвимым. При этом наша абстрактная школьница, разумеется, никогда не будет использовать генератор случайных паролей промышленного класса и менять пароль всякий раз после его ввода.

Поговорим о некоем «среднестатистическом» случае – то есть о пользовательских паролях для интернет-сервисов, которые, оставаясь достаточно стойкими для таких применений, не заставят человека вести образ жизни клинического параноика.

Длина – это главное

В отличие от многих других случаев, для пароля длина – это главное. Пароли длиной до шести символов включительно, составленные из 95 ASCII-символов (26 букв латинского алфавита в обоих регистрах, 10 цифр и 33 служебных символов), взламываются методом полного перебора («грубой силы») на обычном персональном компьютере при помощи «числодробилки» современной видеокарты буквально за считанные минуты. Но добавление даже одного–двух символов уже серьёзно усложняет задачу, удлиняя время перебора до нескольких дней и даже месяцев.

Однако длина – пусть и главный, но далеко не единственный критерий оценки стойкости пароля. Принципиальное значение имеет отсутствие какого-то предсказуемого шаблона в самом наборе и неслучайности в последовательности символов пароля. Мера непредсказуемости появления таких символов носит название «информационной энтропии», и эта величина, рассчитываемая в битах энтропии, позволяет со значительной степенью точности оценить сложность пароля. Так, энтропия на один символ для пароля из всех ASCII-символов составит порядка 6,56 бит; таким образом, сложность 6-символьного пароля будет составлять 39,36 бита энтропии, 7-символьного – уже 45,95 бит, а 8-символьного – 52,48 бит.

Чтобы взломать пароль 52-битной сложности методом перебора, потребуется количество попыток, равное 2 в 52-й степени. При использовании пары современных видеокарт класса GeForce GTX 570, способных подбирать по 1,5 миллиарда паролей в секунду, перебор всех возможных комбинаций займёт примерно пару месяцев непрерывной работы, что, в общем, и даёт представление о стойкости такого пароля.

Однако это касается исключительно паролей, не содержащих каких-то предсказуемых шаблонов, то есть сгенерированных машинно, с теоретически максимальной энтропией. Для поведения же человека типична предсказуемость, поэтому при составлении пароля он подсознательно будет использовать какие-то знакомые сочетания и комбинации цифр, символов и букв. Непроизвольно вспоминаются памятные даты, дни рождения, имена дорогих людей, названия знакомых мест и предметов.

На деле это означает значительно бо льшую уязвимость, поскольку метод «грубого подбора» всегда применяется в комбинации с другими способами взлома, в частности со словарным подбором. При этом использование известных масок и шаблонов значительно упрощает задачу. Помимо обычных словарей и словарей реальных пользовательских паролей, «утёкших» со взломанных сайтов, широко известны маски на подстановку отдельных букв или добавление чисел, популярные числовые последовательности – шаблоны дат, телефонов, индексов, номеров социального страхования, а также многие другие уловки, напрасно кажущиеся их авторам чрезвычайно оригинальными.

По оценкам Национального института стандартов и технологий США (NIST), энтропия первого символа из букв нижнего регистра и цифр в паролях, придуманных человеком, составляет 4 бита, последующих семи – 2 бита, а применение верхнего регистра и служебных символов добавляет ещё 6 битов, что в сумме даёт всего 24 бита, то есть в два с лишним раза меньше по сравнению с теоретическим максимумом для заданного набора символов и длины. То есть время подбора такого пароля даже методом «грубой силы» уменьшается вдвое, в реальности же «гибридная» атака позволит злоумышленнику добиться успеха намного быстрее.

И здесь мы снова возвращаемся к длине: сложность пароля длиной 14 символов теоретически составит 91,84 бита, а длиной 20 символов – уже 131,2 бита, и на взлом таких паролей только методом перебора при существующих вычислительных мощностях уйдёт несколько десятков, а то и сотен лет. Гибридные методики, разумеется, значительно снижают стойкость подобных кодов, а «человеческий фактор» делает их ещё уязвимее. Тем не менее длина делает своё дело: для обычного пользовательского пароля, даже если в нём есть не слишком явные шаблоны, рекомендуемое количество символов на сегодня должно быть не менее 14. Такой пароль будет намного безопасней, чем «суперстойкие» когда-то пароли из 6–8 символов.

Не будьте предсказуемы

После рассуждений о предсказуемости как свойстве человеческой натуры такой совет может прозвучать странно, и тем не менее. Для составления достаточно безопасного пароля вовсе не обязательно устанавливать генераторы и пытаться потом запомнить абракадабру. Можно просто попытаться стать чуть более «внезапными».

Среди самых банальных рекомендаций – не используйте псевдопароли и комбинации псевдопаролей вроде QWERTY, 123456 и тому подобных. Даже если часть такой последовательности будет присутствовать в вашем пароле, это кардинально снизит его безопасность. Недопустима повторяемость отдельных символов и их сочетаний: как цифр, так и чисел, как букв, так и слов.

Самое глупое, что можно придумать, – это вводить в качестве паролей русские слова в латинской раскладке. Если даже пресловутый Punto Switcher способен в реальном времени переключать раскладку, то странно ожидать отсутствия такой возможности у специализированного ПО.

Не используйте предсказуемые числа – даты, номера телефонов и индексы, номера соцстраховок и автомобилей. Поскольку профессиональные взломщики всё-таки отчасти математики, не стоит применять в паролях и какие-то хорошо известные константы – например, число «пи». Числовые последовательности (например, числа Фибоначчи) тоже вряд ли станут хорошей идеей.

Подстановка «похожих» символов в словарные слова не даст никакого эффекта, поскольку все взломщики давно в курсе, что «@» может заменять «a», а «5» – «s». Гораздо более эффективный вариант – исковеркать известные слова каким-то только одному вам понятным способом. Например, превратить «password» в «p&sUprtDt» – типичный шаблон тут отсутствует, поэтому словарный подбор ничего не даст, а если пароль будет достаточно длинным, то и метод «грубой силы» окажется малоэффективным.

В общем, проявите творческий подход, и у вас всё получится. Оценить результаты своих усилий можно, к примеру, на сайте GRC.com , который, в отличие от пародийного интеловского «калькулятора» даёт реальное представление об устойчивости пароля. Разумеется, оценив, придётся придумывать новый пароль – если вы действительно печётесь о безопасности.

Стёпка, хочешь щец?

Даже если вы придумали отличные пароли (а они – в целях вашей же безопасности – должны быть индивидуальны абсолютно для каждого интернет-сервиса), возникает проблема, как же их все запомнить. Конечно, можно воспользоваться встроенной в любой браузер функцией запоминания паролей, но если злоумышленник каким-то образом получит доступ к вашей машине, это будет означать, что он сможет залезть не только на вашу страничку в соцсети, но и, например, в ваш интернет-банкинг.

Некоторые люди обладают фотографической памятью на символы, и для них не составляет труда запомнить даже самую нелепую абракадабру. Другим же приходится пользоваться иным способом, который описан в заголовке этой части статьи. Автор вовсе не сошёл с ума, просто в этом заголовке приведена часть мнемонического правила для запоминания глухих согласных в русском языке: «СТёПКа, ХоЧеШь ЩеЦ? - Фи!» Мнемотехника облегчает запоминание любой информации при помощи ассоциативных связей, подменяя абстрактные данные яркими образами.

Даже самый сложный пароль можно запомнить, используя мнемотехнику, особенно какую-то близкую вам тематику. К примеру, «AsTKp2eshe:)»: «Аркадий съел большую тарелку каши, попросил две ещё, улыбнулся» и т. п. Фразы не обязательно должны быть осмысленными: напротив, чем они абсурднее, тем легче запоминаются. Техник запоминания огромное множество, и если вы освоите хотя бы некоторые из них, они пригодятся вам не только для паролей. И повторим, что это отличный способ запомнить множество сложных паролей.

Пароли – лишь одно из средств защиты информации, пусть и из числа самых распространённых. Но даже с хорошими паролями нужно уметь правильно обращаться. Среди главных правил «парольной гигиены» – не использовать одинаковые пароли на разных ресурсах и регулярно их менять. Для интернет-сервисов достаточно проводить такую замену раз в два–три месяца, если не считать экстренных ситуаций с утратой компьютера, его взломом или взломом веб-аккаунта.

Не вводите свои пароли на чужих компьютерах, особенно тех, к которым имеет доступ большой или неограниченный круг людей. Даже если коварные злоумышленники не установили там кейлоггеры, запоминающие все нажатия клавиш, в настройках системы, браузера или ПО может быть по умолчанию предусмотрено запоминание всех вводимых паролей, неочевидное для пользователя. Если же вам всё-таки пришлось воспользоваться таким компьютером, поспешите заменить пароль с безопасной машины.

Наконец, никогда и никому не высылайте свои пароли ни электронной почтой, ни через службы мгновенных сообщений: никакой интернет-сервис никогда не потребует от вас прислать ваш же пароль. Если понадобилось переслать пароль знакомым, надиктуйте его голосом по телефону либо пришлите фотографию с мобильного. И снова – в целях безопасности – при возможности сразу же поменяйте такой пароль на новый.

Очень часто пользователи защищают свои данные слишком простыми паролями, чтобы их было легко запоминать и набирать. Мы подобрали несколько советов, чтобы ваши пароли стали простыми для вас, но сложными для взломщика. Давайте вместе разберемся какой придумать пароль и как уберечь ваши аккаунты от мошенников.

В первую очередь, стоит разделить защищаемые паролями аккаунты на категории — например, для локальной системы бессмысленно придумывать суперсложные пароли, поскольку имея физический доступ к машине похитить ваши данные не составит абсолютно никакого труда. Другое дело если ваша машина имеет открытый удаленный доступ, тогда уже стоит подумать над более надежным паролем. Чтобы защитить свой электронный кошелек тоже стоит выбирать очень хороший пароль. Но тот способ генерации который я хочу вам предложить годится абсолютно для любого вида аккаунтов.

Как не забыть пароль

Первая рекомендация — никогда не сохраняйте пароли от онлайн-сервисов (различных почтовых сервисов, аккаунтов социальных сетей, форумов, сайтов) в вашем браузере! Ибо банально вы можете его забыть. А на некоторых сервисах восстановление пароля очень трудоемкая процедура. Использовать какое-то место где вы будете хранить пароли от всех ваших аккаунтов тоже не очень хороший вариант. Хотя, для паролей от аккаунтов, не представляющих особой важности, вполне подойдет.

Все пароли лучше держать в голове. Это отлично тренирует память. Если вы не будете сохранять пароли в браузере, то вам придется постоянно его набирать. Таким образом вы его никогда не забудете, ибо его запомнит не только ваш мозг, но и пальцы. Это может вам показаться слишком сложным — каждый раз набирать пароль. Но это только первые n раз (n зависит от вашего навыка набора на клавиатуре. Кстати, постоянный ввод паролей вручную заметно способствует совершенствованию навыка слепой печати.

Символы для паролей

Никогда не используйте в паролях — номера телефонов, имена близких, даты рождения и тому подобные. Почему? Да, такие пароли легко запомнить, поскольку вы их уже знаете — остается только запомнить, что именно это и есть ваш пароль. Но дело в том, что есть такой способ узнавания паролей, называемый социальная инженерия. Один из самых эффективных и часто используемых способов взлома. Злоумышленник может без проблем узнать эти номера телефонов и даты рождения и можете не сомневаться — он обязательно попробует их в качестве пароля от вашего аккаунта.

Думаю, не стоит упоминать о различных qwerty, 1234, 09876, zaqwsx и прочих клавиатурных рисунках и последовательностях. Но таки скажу — что эти вещи пробуются при взломе в первую очередь. Также стоит сказать о различных — admin, user, password и прочих. И уж самый глупейший пароль — это совпадающий с вашим логином, поскольку логин(имя пользователя) обычно открыто. Этот вариант будет опробован злоумышленником самый первый. То же самое относится и к различным вариациям вашего имени, логина.

Ну вот в принципе основные требования к паролю — каким он быть НЕ ДОЛЖЕН. Остается только придумать такой, чтобы соответствовал всем этим требованиям и при этом был прост для запоминания.

Количество символов в пароле

Пароль должен быть больше 6 символов. Те что меньше — неустойчивы к перебору (brute force атака, метод грубой силы). Пароль не должен быть каким-то осмысленным словом — опять же, тогда он неустойчив к другому виду перебора — brute force по словарю. Однако наш метод генерации паролей позволяет придумать очень длинные и сложные пароли и никогда их не забывать. Даже сгенерировать пароль 16 символов и запомнить его не составит для вас труда. Например: lk1yysqGfh0kmB3itcnyf9wfnbCbv80k08 . Тут 34 символа, но запомнить его легко, если знать способ генерации сложного пароля. Что уж говорить о паролях из 6 или 8 символов.

Генерация паролей. Легко без программ.

Оказывается в этом ничего сложного нет. Итак, допустим вы регистрируетесь на каком либо ресурсе, скажем почтовый сервис. Чтобы сгенерить хороший пароль, придумайте фразу на русском языке, которая ассоциативно связана с ресурсом на котором вы регистрируетесь. В нашем случае это почта. Допустим мы взяли фразу «здесь лежит моя почта». Такое сложновато забыть не так ли? Ибо при проверке почты вы вспомните эту фразу автоматически. Эта фраза и будет вашим паролем. Но в первоначальном виде она на эту роль не годится. Очень редко допускаются пароли состоящие из нескольких слов, поэтому из нашей фразы их лучше просто выбросить. Получим «здесьлежитмояпочта».

Русская фраза в английской раскладке

Теперь финт ушами — пишем эту фразу русскими буквами, как она есть без пробелов НО! в английской раскладке. Получим «pltcmkt;bnvjqgjxnf». Вот это уже больше похоже на настоящий пароль, не так ли? Упаси вас бог пытаться запомнить именно эту последовательность! Как вы уже поняли, достаточно помнить исходную фразу на русском языке и вы никогда не забудете свой пароль. И там где сила пароля не критична, его можно использовать прям в таком виде.

Замените буквы на цифры

Но можно его изменить и дальше. Допустим добавить туда цифр. Берем вашу исходную фразу, на русском языке и смотрим что там можно заменить на цифры. Однозначно букву «о» можно заменить на цифру 0. Букву «ч» можно заменить на цифру 4. Букву «з» на 3, «б» на 6, «г» на 7, «д» на 9. И все это без риска забыть. Ну что ж попробуем. «39tcmkt;bnv0zg04nf» — ну как? Это уже абсолютно неломаемый пароль. И в то же время мы помним как его набирать, пока помним исходную фразу.

Используйте регистр для отделения слов

Но и это еще не все. Можно ведь еще добавить буквы в верхнем регистре! Допустим взяв исходную фразу, напишем первые или последние, а может и те и другие, буквы в верхнем регистре. При этом, цифры можно оставить в покое. Получим «39ltcmKt;bnV0zG04nf» — такому паролю может позавидовать любая утилита-генератор. Но отличие от генератора в том, что мы никогда не забудем такой пароль, ибо помним как он получен.

Правда здесь есть пару нюансов. Не всегда есть возможность использовать в паролях неалфавитные знаки — точка, точка с запятой, запятая, апостроф, квадратные скобки. Эти знаки будут появляться в паролях если в исходной русской фразе или слове есть буквы ю,ж,б,э,х,ъ, соответственно. Такие знаки только придают дополнительную криптостойкость вашему паролю, но только если они допустимы. В противном случае нужно либо брать исходную фразу где эти буквы не используются, либо заменить их например на те же цифры. Я предпочитаю именно первый вариант, правда если в моей исходной фразе есть только буква «б» я просто меняю ее на цифру 6 не отказываясь от этой фразы.

Используйте спецсимволы в пароле

Точно так же можно использовать особенности клавиатуры, если вы хотите чтобы в вашей исходной фразе были цифры. Тогда просто набирайте эти цифры с зажатой клавишей shift и получите 1=!, 2=@, 3=#, 4=$, и получите неалфавитные символы в ваш пароль что только многократно усилит его(опять же при условии что эти символы допустимы).

Теперь осталось только научиться правильно подбирать ключевую фразу или слово, чтобы была стойкая ассоциация с ресурсом на котором вы регистрируетесь.

И еще, не обязательно изменять все, которые можно изменить, буквы на цифры. Достаточно одной-двух, тут следует смотреть по ситуации — оптимизируйте свой пароль еще и для удобного набора, если вы еще пока не владеете слепым десятипальцевым методом печати.

Устойчивый пароль

Не стоит бояться, что вам будет слишком сложно его набирать — это ненадолго. При необходимости, вы можете без проблем кому-нибудь диктовать или записывать свой пароль именно В КОНЕЧНОМ ВИДЕ (например друзьям) — потому что его просто нереально запомнить. Вы и сами сможете записать или продиктовать его, только если у вас перед глазами есть клавиатура, либо вы помните раскладки наизусть. Но никогда не выдавайте никому именно исходную фразу и алгоритм генерации вашего пароля.

12345 - надо нам пароль менять. Как придумать сложный пароль и запомнить его навсегда

Интернет-мошенники ежедневно крадут миллионы паролей от почтовых ящиков и учетных записей пользователей. Но не отчаивайтесь - мы дадим несколько очень простых, но действенных советов, которые защитят вас от потери контроля над своими ресурсами.

Для тех, кто предпочитает смотреть, мы подготовили видеоверсию этой статьи:

1. Используйте сложные пароли

Вы догадывались, да? Простите за банальность, но это главный совет - которым до сих пор большинство пользователей пренебрегают. Недаром пароли типа qwerty остаются в топе самых популярных по сей день.

Не используйте в качестве пароля имена любимых героев, название футбольного клуба или кличку домашнего питомца, так как эту информацию легко найти в ваших соцсетях. Сложный пароль должен состоять из произвольной комбинации различных знаков и символов.

2. Используйте заглавные и строчные буквы, цифры и символы

, пользователи не любят длинные пароли - их легко забыть и лень набирать. Пароль из 8 символов считался надежным только на заре развития компьютеров; сегодня восьмизначная комбинация механически подбирается за пару часов.

Однако даже короткий пароль (до 8 символов) можно сделать относительно надежным, если использовать цифры и буквы в разных регистрах. На подбор такого пароля потребуется уже 2-3 дня.

Максимальная надежность достигается простым увеличением длины пароля и использованием различных символов ($, %, &, ’’, #), в тех сервисах, где это возможно.

3. Используйте акронимы

Выберите фразу, которую вы точно не забудете, и используйте в качестве пароля комбинацию первых букв из каждого слова. Например, стихотворение 1828 года «У Лукоморья дуб зеленый, златая цепь на дубе том...» превращается в ULdzzcndt1828.




4. Используйте с ключевое слово

Выберите ключевое слово и смешивайте его с названием каждого сайта, на котором у вас есть учетная запись. Например, для ключевого слова «antivirus» пароль на сайте будет выглядеть так: ca ln ut bi ev si er tu ns od32. Преимущество такого трюка в том, что вы будете иметь надежный пароль для каждого сайта.

Как подсказывают в комментариях, этот метод может подвести в случае смены адреса сайта - однако в этом случае достаточно воспользоваться автовосстановлением пароля.

5. Не используйте один пароль для разных учетных записей

Как настоящий художник, будьте оригинальны. Помните, что разные сайты имеют разный уровень безопасности. Например, большинство сервисов посылают пароли по электронной почте через процедуру восстановления пароля. Заполучив пароль от небезопасного сервиса, хакеры могут попытаться использовать его и для вашей почты или соцсетей - один и тот же пароль станет ключом ко всем вашим ресурсам.

Сократить риски можно только используя уникальные сложные пароли для всех учетных записей.

6. Меняйте пароли чаще

В случае с кражей паролей Mail.ru 99,982% всех паролей оказались неактуальны. Во многом это произошло из-за того, что большая часть базы украденных учетных записей была скомпилирована из ряда других баз.

Однако в случае с 57 млн адресов (именно столько записей было в утекшей базе) этого недостаточно - вы можете поручиться, что ваш ящик на Mail.Ru не скомпрометирован злоумышленниками? Причем это лишь один пример утекшей базы - сколько миллионов актуальных адресов гуляют сегодня по рукам хакеров мы не знаем.

Но знаем точно, что их было бы куда меньше, если бы пользователи регулярно меняли пароли.




7. Используйте менеджер паролей

Как не забыть пароль от учетной записи ВКонтакте, почтового ящика и интернет-банкинга? Мало кто может запомнить десятки сложных паролей. Это нормально.

К счастью, разработчики программного обеспечения придумали решение. Сегодня существует множество инструментов, которые помогают пользователям надежно хранить неограниченное количество самых сложных паролей. Например, можно воспользоваться самыми популярными - LastPass или 1Password.

Однако менеджеры паролей имеют свои слабые места. Самые важные учетные записи, через которые можно получить доступ к вашей банковской информации, не стоит доверять даже наиболее надежным программам.

8. Не забывайте о «секретном вопросе»

В совете №1 мы рекомендовали не использовать в качестве пароля данные, которые можно легко узнать о вас из социальных сетей. То же самое касается и «секретных вопросов», о которых многие почему-то забывают или не придают им значения. Кроме того, злоумышленники могут запросто подобрать ответ из базы популярных вариантов.

Попробуйте использовать тактику абсурда, когда ответ не имеет ничего общего с секретным вопросом. Девичья фамилия матери? Аспирин! Кличка домашнего животного? 1989!

9. Используйте двухфакторную аутентификацию

Чтобы максимально сократить риск утечки учетных данных, используйте двухфакторную аутентификацию везде, где возможно.

Большинство соцсетей, почтовых и банковских сервисов позволяют включить подтверждение авторизации по SMS. Таким образом мошенники не смогут получить доступ к вашей учетной записи, если у них в руках не будет вашего мобильного телефона.

Так, если у вас есть учетная запись на Яндексе, рекомендуем воспользоваться функцией двухфакторной аутентификации Яндекс.Ключ :

• Скачайте приложение для Android или iOS
• Введите пароль или QR-код
• Войдите на Яндекс
• Profit!

P. S. Распечатайте и сохраните коды восстановления на случай, если смартфон выйдет из строя или потеряется.

10. Антивирус - наше все

Пароли не просто так попадают к хакерам, не уплывают к ним по воздуху (если не считать обычного мошенничества, когда сами пользователи сообщают преступникам пароли от своих сервисов).

Личные данные собирают и пересылают хакерам вполне конкретные вредоносные программы, которые всеми правдами и неправдами стремятся попасть на ваш ПК, ноутбук или смартфон.

Поэтому поставить надежный антивирус с (и регулярно обновлять базы) - один из главных способов сберечь ваши деньги, нервы и приватность.

Перечитав массу сопутствующей литературы и просмотрев тонну хабратопиков (ссылки на интересные приведены в конце статьи), я решил обобщить информацию об основных методах генерации надежного и запоминающегося пароля.

Начну с того, что для генерации и хранения своих паролей сам я пользуюсь замечательной программой KeePass . Ее функционала вполне хватает для всех моих скромных вебмастерских нужд. Основным ее недостатком является тот факт, что она тоже требует запоминать один главный пароль. Поэтому вся эта суета вокруг придумывания пароля также касается меня и всех счастливых обладателей программы KeePass или ее аналогов, т.к. один пароль придумать все-таки придется.

Поговорим о методах взлома

Чтобы понимать всю глубину проблемы, пару строк посвящу методике взлома. Итак, как же злоумышленник может узнать/угадать/подобрать ваш пароль?

1. Метод логического угадывания. Работает в системах с большим количеством пользователей. Злоумышленник пытается понять вашу логику при составлении пароля (логин+2 символа, логин наоборот, самые распространенные пароли и т.п.) и применяет эту логику ко всем пользователям. Если пользователей много, очень скоро произойдет коллизия и пароль будет угадан;
2. Перебор по словарю. Этот вид атаки применяется, когда база данных с хешированными паролями слита с сервера. Может сочетаться с заменой букв (опечатки) или с подстановкой цифр/слов в начало или конец слова в качестве приставки или суффикса. Также используются словари, набранные в неверной раскладке клавиатуры (русские слова в английской раскладке);
3. Перебор по таблице хешированных паролей. Передовой метод взлома паролей, когда хеши уже сгенерированы и остается только найти в базе соответствие хеша паролю. Работает очень быстро даже на слабых машинах и не оставляет никаких шансов владельцам коротких паролей.
4. Другие методы: социотехника и социальный инжиниринг, использование keylogger"ов, снифферов, троянов и т.п.

Надежность пароля

Обобщая информацию, полученную из разных достоверных источников, я выделю основные признаки устойчивого к взлому пароля (под взломом я подразумеваю перебор по базам хешей , когда алгоритм хеширования заранее известен):

1. Длина пароля (чем больше, тем лучше), для запущенных случаев рекомендуют использовать 15-тисимвольный пароль;
2. Отсутствие словарных слов и частей распространенных паролей в составе пароля;
3. Отсутствие шаблонов при составлении пароля (под шаблоном я понимаю логический алгоритм генерации пароля, например: «Med777ведев», «12@йцу@21» или даже «q1w2e3r4t5»);
4. Стохастические последовательности символов из различных групп (строчные, прописные, цифры, знаки препинания и спец-символы);

Однако, все мы люди с довольно ограниченными способностями к запоминанию несвязной информации, поэтому пароли, которые подходят под вышеописанные параметры, хоть и будут весьма стойки к взлому с одной стороны, но, с другой стороны, их очень непросто запомнить. Поэтому рассмотрим менее параноидальные варианты составления и запоминания паролей.

Как народ запоминает свои пароли?

Проанализировав способы генерации паролей хабралюдей, я пришел к выводу, что основная методология запоминания пароля основывается на составлении логического или ассоциативного ряда. Также используются всевозможные искажения слов. Это могут быть:

1. Названия домена вперемежку с логином («gooUSERglcom», «UmailruSer»);
2. Определенная стандартная фраза, которая прикрепляется к домену («passgoogleru», «passhabrahabrru»);
3. Распространенное слово вперемежку со значащими цифрами и другими знаками («321DR67ag0On », где 32167 – чит, который вызывал 5 черных драконов в Heroes of Might & Magic);
4. Русские слова в английской раскладке («,k.lj }