itkvariat

    Почему пароль jK8v! ge4D представляет угрозу безопасности вашей почты




    Сегодня сформировалась фундаментальная проблема с созданием максимально безопасного пароля. Давайте рассмотрим эти два примера: jK8v! ge4D и greenelephantswithbrick.

    Какой пароль, по вашему мнению, отнимет больше всего времени для взлома с помощью компьютера? А какой пароль вы считаете самым простым для запоминания? Ответ на оба эти вопроса всего один: пароль № 2. Тем не менее современным пользователям постоянно предлагается создавать пароли, которые выглядят как вариант № 1. На многих сайтах при регистрации буквально заставляют придумывать пароли, которые обычным людям абсолютно нереально запомнить, причем без какой-либо разумной причины.

    Давайте поговорим об этом…

    В интернет-стандартах сегодня появилось немало странных вещей, и идентификация пользователя является одной из них. Никто не будет спорить, что, разрабатывая внешний интерфейс для любого серьезного сайта, разработчики должны учитывать возможность проверки входных данных, которые пользователи вводят в так называемые «поля ввода». Это поля, которые вы используете, когда вводите свое имя пользователя, адрес электронной почты, домашний адрес, свой почтовый индекс и т.д. Обязанностью разработчика «движка» сайта является обеспечение того, чтобы пользователь не вводил ничего злонамеренного или неправильно отформатированного в эти поля.

    Например, поле, которое запрашивает почтовый индекс, обычно допускает только пробелы и цифры, и если мы знаем, в какой стране живет пользователь, мы также можем ограничить его определенным количеством символов. Телефонные номера часто могут включать знак номера (# или №), знак плюс (только в начале) и тире. Возможно, некоторые «староверы» еще  применяют и скобки для выделения, например, кода оператора. Адреса электронной почты сложно проверить, однако общепринятая практика заключается в том, что они должны содержать знак (@), за которым следует точка, даже притом что сегодня у совершенно корректного адреса электронной почты может не быть ни одного из этих атрибутов. Некоторые веб-сайты пытаются проверять имена, заставляя людей вводить свои имена в пределах определенной длины или использовать только определенные символы, хотя такая проверка никогда не срабатывает, поскольку имена людей могут быть какими угодно.

    Подобная валидация осуществляется по нескольким причинам. Одной из них является проблема безопасности. Проверка не позволяет пользователям вводить особый программный код в поля, которые могут изменить базу данных или выполнить другие вредоносные действия. Вторая причина – форсировать определенный тип данных. Если предполагается, что поле состоит только из цифр, инженер базы данных мог бы установить столбец базы данных, который учитывает только цифры, что означает, что символ, который не является числом, может вызвать ошибку ввода.
    Но главная причина этих действий действительно состоит в том, чтобы помочь пользователю избежать ошибок.

    Принудительные пароли

    По ряду причин предполагается, что разработчики внешнего интерфейса будут направлять пользователей к вводу того, что традиционно считается хорошим паролем. Обычно предполагается, что надежное «слово» должно быть длиной не менее восьми символов, включая заглавные и строчные буквы, какое-то число, и, если мы действительно чувствуем себя уязвимыми, даже содержать специальный символ, например, восклицательный знак.

    Вот пример того, что вы уже видели в начале статьи и что обычно считается надежным паролем: jK8v! Ge4D. Учитывая тот факт, что вас часто просят ввести подобный пароль, было бы справедливо с вашей стороны предположить, что он действительно надежный.
    Но на самом деле все совсем не так. Это – плохой пароль!

    Во-первых, как кто-то может вообще его запомнить? В конечном итоге пользователи не смогут вспомнить свой пароль в нужный момент, и потому им придется записать его на бумажке, чтобы в любой момент «подсмотреть». И где они его запишут? Конечно, на клейкой бумажке вроде Post-It, наклеив потом где-то возле монитора или, в лучшем случае, в выдвижном ящике рабочего стола. И все… В итоге такая беспечность всегда заканчивается тем, что рано или поздно пароль оказывается взломанным.

    Во-вторых, пользователи в конечном итоге всегда используют один и тот же пароль для разных сервисов, потому что очень неприятно запоминать и записывать целую кучу этих сложных паролей. Когда вы создаете учетную запись для достойного веб-сайта, закулисный магический код преобразует ваш пароль в хэш (обычно и неправильно называемый шифрованием). В базе данных ваш пароль выглядит примерно так:
    k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh2XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX.

    И даже если база данных взломана, хакер не сможет ничего сделать с этой информацией. Исходный пароль можно выяснить только тогда, когда он достаточно широко распространен, а алгоритм хэширования достаточно прост, хотя с достаточно приличным паролем, который был правильно хеширован, он, как правило, довольно безопасен.

    Проблема в том, что не все сервисы хэшируют пароли своих пользователей. Если вы используете один и тот же пароль сразу для нескольких служб и сервисов, вы можете в конечном итоге использовать плохо запрограммированную службу, которая фактически сохраняет ваш пароль в виде обычного текста в их базе данных. Если они в итоге будут скомпрометированы, хакер фактически получит ваш пароль сразу от всех ваших учетных записей, где вы используете этот самый одинаковый пароль. Это на самом деле очень страшно, и случается гораздо чаще, чем можно представить.

    Вот почему вы ДОЛЖНЫ обязательно использовать разные пароли для разных сайтов. Однако сегодняшние пользователи имеют аккаунты на тоннах и тоннах веб-сайтов. Как они должны помнить все свои пароли? Опытные пользователи могут использовать инструмент сохранения паролей, но вы не можете ожидать, что любой средний пользователь будет так делать.

    Что делать? Есть способ!

    Сколько времени нужно, чтобы взломать пароль?

    Посмотрите на эту строку символов: gtypohgt. Это восемь совершенно случайных символов, и, несмотря на то что все буквы строчные, кажется, что такой пароль будет очень надежен. Это ошибочное впечатление. Взлом такого пароля «грубой силой» займет у любого современного компьютера пару минут. Замените некоторые символы несколькими цифрами, и вы получите пароль, на взлом которого уже понадобится до часа (g9ypo3gt). Добавьте несколько символов в верхнем регистре, и взлом такого пароля займет уже несколько дней (g9YPo3gT). Добавьте туда еще специальный знак и «пробел», и теперь срок увеличен до месяца (g9Y! O3gT).

    Да, g9Y! o3gT – технически очень приличный пароль. Никто не сможет его угадать, его нет ни в одном известном списке распространенных паролей, и компьютерам потребуется достаточно времени для его взлома. Проблема в том, что этот пароль нереально запомнить обычному человеку.

    А теперь взгляните вот на эту красоту: greenelephantswithbricks (зеленые слоны с кирпичами). Это целых 24 символа, все строчные. Нет чисел, нет случайных символов, нет никаких других махинаций, за исключением разве что того, что это – полный бред. И все же такой пароль даже достаточно мощный компьютер будет взламывать тысячи и тысячи лет. Для каждого добавляемого вами «персонажа» во фразе время, необходимое для взлома компьютера, значительно увеличивается. Пароль greenelephantswithbrick не входит ни в один известный список популярных паролей, и никто не сможет его угадать.

    Создаем хороший пароль

    Сделайте пароль, который рассказывает историю. Нужен пароль на Facebook? Как насчет afaceforabookbutapizzaforahorse (обложка для книги, но пицца для лошади)? Визуализируйте его у себя в голове. Наша пространственная память – самая сильная наша память. Совершенно неожиданно вы получаете невероятно мощный пароль, который при этом легко запомнить, и он будет уникален только для одного конкретного сайта. Пароль должен быть тем, что даже люди, которые знают вас очень хорошо, не могут угадать. Вы нечасто говорите о черепахах? Вы когда-нибудь видели фиолетовую черепаху? Нет? Визуализируйте ее для себя прямо сейчас! Это неправда? А кому какое дело? Врите: Ioncesawapurpleturtleiswear! (однажды я видел фиолетовую черепаху, клянусь! – «лишний» служебный символ восклицательного знака тут, кстати, оказался как раз нелишним). На то, чтобы взломать такую фразу, современный компьютер потратит миллионы лет, и даже ваша родная сестра или жена/муж не смогут его угадать.

    Взлом walkingdowngrandpasroadwithlittlerufus (прогулка вниз по дороге с маленьким Руфусом) тоже займет целую вечность. И вообще никто не догадается, даже если все вокруг знают, что вашу собаку зовут именно Руфус, и то, что вы «гуляете с ней по дороге», как раз является вашим паролем.

    Любой из таких паролей легко представить, даже если он – полный бред: flyingcarsthatcannotflyarenotflying (летающие машины, которые не умеют летать, не летают). Или как вам пароль с прямой подсказкой для вас: thetramrumblesnearthehouseagain (трамвай снова грохочет возле дома). Даже ваши гости, услышав грохочущий трамвай под вашими окнами, не догадаются, что он только что лишний раз напомнил вам пароль для входа в вашу почту.

    Тем не менее некоторые сайты не позволяют создавать подобные пароли. Они будут «жаловаться» на то, что вы не добавили в них число или заглавные буквы, или что они слишком длинные, или по какой-то другой бессмысленной нетехнической причине.
    Но вы все-таки можете слегка обмануть систему. Добавьте, например, «А1!» (без кавычек) в конце любого из вышеуказанных паролей, и они будут приняты любой системой. Теперь у вас в пароле есть и заглавные буквы, и цифры, и специальный знак. Даже если эти три символа одинаковы для всех ваших паролей, остальная часть каждого уникального пароля легко компенсирует совпадение. «Черепаший» пароль ioncesawapurpleturtleiswear и его же версия ioncesawapurpleturtleiswearA1! почти не отличаются, но одинаково хорошо защитят компьютер, и при этом второй вариант не заставит «ругаться» систему, которая обязательно требует наличия в пароле таких символов.

    Намерение разработчиков можно понять. Люди постоянно вводят плохие пароли. Менеджеры веб-сайтов не хотят получать неприятных скандалов, когда почтовый ящик или учетная запись беспечного пользователя оказываются взломанными. Поэтому они пытаются заставить пользователей вводить приличные пароли, какими бы громоздкими они ни были.

    Запомните эту технику в следующий раз, когда вам нужно будет создать пароль. Придумайте что-то оригинальное и сложное, что нереально взломать, но зато будет очень легко запомнить именно вам, а не наоборот.

    Да, но даже если вы этого не сделаете, просто пообещайте держаться подальше от любых сочетаний вроде 123456password123 и qwerty. Это на самом деле ОЧЕНЬ плохие пароли. И только поэтому разработчики все еще заставляют вас придумывать кошмарные наборы наподобие jK8v! Ge4D.

    Круг замкнулся…



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!

    Джейкоб БЕРГДАЛЬ

    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

    И еще на эту тему...
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Почему разблокировка телефона лицом - плохая идея, или как взломать Face ID (+видео) Обновлено!
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Java — великий и могучий


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Что бывало...

Проверьте скорость вашего интернета!


Самое популярное
   
10 сентябрь

Tech Week 2020


Наши друзья
Магазин кабелей и аксессуаров UGREEN

Студия 3D-печати PRO3D

Веб-программист Клим Жаров

Майки с картинками

Самоклейкин

Смарт

Hoster


Почему пароль jK8v! ge4D представляет угрозу безопасности вашей почты




Сегодня сформировалась фундаментальная проблема с созданием максимально безопасного пароля. Давайте рассмотрим эти два примера: jK8v! ge4D и greenelephantswithbrick.

Какой пароль, по вашему мнению, отнимет больше всего времени для взлома с помощью компьютера? А какой пароль вы считаете самым простым для запоминания? Ответ на оба эти вопроса всего один: пароль № 2. Тем не менее современным пользователям постоянно предлагается создавать пароли, которые выглядят как вариант № 1. На многих сайтах при регистрации буквально заставляют придумывать пароли, которые обычным людям абсолютно нереально запомнить, причем без какой-либо разумной причины.

Давайте поговорим об этом…

В интернет-стандартах сегодня появилось немало странных вещей, и идентификация пользователя является одной из них. Никто не будет спорить, что, разрабатывая внешний интерфейс для любого серьезного сайта, разработчики должны учитывать возможность проверки входных данных, которые пользователи вводят в так называемые «поля ввода». Это поля, которые вы используете, когда вводите свое имя пользователя, адрес электронной почты, домашний адрес, свой почтовый индекс и т.д. Обязанностью разработчика «движка» сайта является обеспечение того, чтобы пользователь не вводил ничего злонамеренного или неправильно отформатированного в эти поля.

Например, поле, которое запрашивает почтовый индекс, обычно допускает только пробелы и цифры, и если мы знаем, в какой стране живет пользователь, мы также можем ограничить его определенным количеством символов. Телефонные номера часто могут включать знак номера (# или №), знак плюс (только в начале) и тире. Возможно, некоторые «староверы» еще  применяют и скобки для выделения, например, кода оператора. Адреса электронной почты сложно проверить, однако общепринятая практика заключается в том, что они должны содержать знак (@), за которым следует точка, даже притом что сегодня у совершенно корректного адреса электронной почты может не быть ни одного из этих атрибутов. Некоторые веб-сайты пытаются проверять имена, заставляя людей вводить свои имена в пределах определенной длины или использовать только определенные символы, хотя такая проверка никогда не срабатывает, поскольку имена людей могут быть какими угодно.

Подобная валидация осуществляется по нескольким причинам. Одной из них является проблема безопасности. Проверка не позволяет пользователям вводить особый программный код в поля, которые могут изменить базу данных или выполнить другие вредоносные действия. Вторая причина – форсировать определенный тип данных. Если предполагается, что поле состоит только из цифр, инженер базы данных мог бы установить столбец базы данных, который учитывает только цифры, что означает, что символ, который не является числом, может вызвать ошибку ввода.
Но главная причина этих действий действительно состоит в том, чтобы помочь пользователю избежать ошибок.

Принудительные пароли

По ряду причин предполагается, что разработчики внешнего интерфейса будут направлять пользователей к вводу того, что традиционно считается хорошим паролем. Обычно предполагается, что надежное «слово» должно быть длиной не менее восьми символов, включая заглавные и строчные буквы, какое-то число, и, если мы действительно чувствуем себя уязвимыми, даже содержать специальный символ, например, восклицательный знак.

Вот пример того, что вы уже видели в начале статьи и что обычно считается надежным паролем: jK8v! Ge4D. Учитывая тот факт, что вас часто просят ввести подобный пароль, было бы справедливо с вашей стороны предположить, что он действительно надежный.
Но на самом деле все совсем не так. Это – плохой пароль!

Во-первых, как кто-то может вообще его запомнить? В конечном итоге пользователи не смогут вспомнить свой пароль в нужный момент, и потому им придется записать его на бумажке, чтобы в любой момент «подсмотреть». И где они его запишут? Конечно, на клейкой бумажке вроде Post-It, наклеив потом где-то возле монитора или, в лучшем случае, в выдвижном ящике рабочего стола. И все… В итоге такая беспечность всегда заканчивается тем, что рано или поздно пароль оказывается взломанным.

Во-вторых, пользователи в конечном итоге всегда используют один и тот же пароль для разных сервисов, потому что очень неприятно запоминать и записывать целую кучу этих сложных паролей. Когда вы создаете учетную запись для достойного веб-сайта, закулисный магический код преобразует ваш пароль в хэш (обычно и неправильно называемый шифрованием). В базе данных ваш пароль выглядит примерно так:
k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh2XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX.

И даже если база данных взломана, хакер не сможет ничего сделать с этой информацией. Исходный пароль можно выяснить только тогда, когда он достаточно широко распространен, а алгоритм хэширования достаточно прост, хотя с достаточно приличным паролем, который был правильно хеширован, он, как правило, довольно безопасен.

Проблема в том, что не все сервисы хэшируют пароли своих пользователей. Если вы используете один и тот же пароль сразу для нескольких служб и сервисов, вы можете в конечном итоге использовать плохо запрограммированную службу, которая фактически сохраняет ваш пароль в виде обычного текста в их базе данных. Если они в итоге будут скомпрометированы, хакер фактически получит ваш пароль сразу от всех ваших учетных записей, где вы используете этот самый одинаковый пароль. Это на самом деле очень страшно, и случается гораздо чаще, чем можно представить.

Вот почему вы ДОЛЖНЫ обязательно использовать разные пароли для разных сайтов. Однако сегодняшние пользователи имеют аккаунты на тоннах и тоннах веб-сайтов. Как они должны помнить все свои пароли? Опытные пользователи могут использовать инструмент сохранения паролей, но вы не можете ожидать, что любой средний пользователь будет так делать.

Что делать? Есть способ!

Сколько времени нужно, чтобы взломать пароль?

Посмотрите на эту строку символов: gtypohgt. Это восемь совершенно случайных символов, и, несмотря на то что все буквы строчные, кажется, что такой пароль будет очень надежен. Это ошибочное впечатление. Взлом такого пароля «грубой силой» займет у любого современного компьютера пару минут. Замените некоторые символы несколькими цифрами, и вы получите пароль, на взлом которого уже понадобится до часа (g9ypo3gt). Добавьте несколько символов в верхнем регистре, и взлом такого пароля займет уже несколько дней (g9YPo3gT). Добавьте туда еще специальный знак и «пробел», и теперь срок увеличен до месяца (g9Y! O3gT).

Да, g9Y! o3gT – технически очень приличный пароль. Никто не сможет его угадать, его нет ни в одном известном списке распространенных паролей, и компьютерам потребуется достаточно времени для его взлома. Проблема в том, что этот пароль нереально запомнить обычному человеку.

А теперь взгляните вот на эту красоту: greenelephantswithbricks (зеленые слоны с кирпичами). Это целых 24 символа, все строчные. Нет чисел, нет случайных символов, нет никаких других махинаций, за исключением разве что того, что это – полный бред. И все же такой пароль даже достаточно мощный компьютер будет взламывать тысячи и тысячи лет. Для каждого добавляемого вами «персонажа» во фразе время, необходимое для взлома компьютера, значительно увеличивается. Пароль greenelephantswithbrick не входит ни в один известный список популярных паролей, и никто не сможет его угадать.

Создаем хороший пароль

Сделайте пароль, который рассказывает историю. Нужен пароль на Facebook? Как насчет afaceforabookbutapizzaforahorse (обложка для книги, но пицца для лошади)? Визуализируйте его у себя в голове. Наша пространственная память – самая сильная наша память. Совершенно неожиданно вы получаете невероятно мощный пароль, который при этом легко запомнить, и он будет уникален только для одного конкретного сайта. Пароль должен быть тем, что даже люди, которые знают вас очень хорошо, не могут угадать. Вы нечасто говорите о черепахах? Вы когда-нибудь видели фиолетовую черепаху? Нет? Визуализируйте ее для себя прямо сейчас! Это неправда? А кому какое дело? Врите: Ioncesawapurpleturtleiswear! (однажды я видел фиолетовую черепаху, клянусь! – «лишний» служебный символ восклицательного знака тут, кстати, оказался как раз нелишним). На то, чтобы взломать такую фразу, современный компьютер потратит миллионы лет, и даже ваша родная сестра или жена/муж не смогут его угадать.

Взлом walkingdowngrandpasroadwithlittlerufus (прогулка вниз по дороге с маленьким Руфусом) тоже займет целую вечность. И вообще никто не догадается, даже если все вокруг знают, что вашу собаку зовут именно Руфус, и то, что вы «гуляете с ней по дороге», как раз является вашим паролем.

Любой из таких паролей легко представить, даже если он – полный бред: flyingcarsthatcannotflyarenotflying (летающие машины, которые не умеют летать, не летают). Или как вам пароль с прямой подсказкой для вас: thetramrumblesnearthehouseagain (трамвай снова грохочет возле дома). Даже ваши гости, услышав грохочущий трамвай под вашими окнами, не догадаются, что он только что лишний раз напомнил вам пароль для входа в вашу почту.

Тем не менее некоторые сайты не позволяют создавать подобные пароли. Они будут «жаловаться» на то, что вы не добавили в них число или заглавные буквы, или что они слишком длинные, или по какой-то другой бессмысленной нетехнической причине.
Но вы все-таки можете слегка обмануть систему. Добавьте, например, «А1!» (без кавычек) в конце любого из вышеуказанных паролей, и они будут приняты любой системой. Теперь у вас в пароле есть и заглавные буквы, и цифры, и специальный знак. Даже если эти три символа одинаковы для всех ваших паролей, остальная часть каждого уникального пароля легко компенсирует совпадение. «Черепаший» пароль ioncesawapurpleturtleiswear и его же версия ioncesawapurpleturtleiswearA1! почти не отличаются, но одинаково хорошо защитят компьютер, и при этом второй вариант не заставит «ругаться» систему, которая обязательно требует наличия в пароле таких символов.

Намерение разработчиков можно понять. Люди постоянно вводят плохие пароли. Менеджеры веб-сайтов не хотят получать неприятных скандалов, когда почтовый ящик или учетная запись беспечного пользователя оказываются взломанными. Поэтому они пытаются заставить пользователей вводить приличные пароли, какими бы громоздкими они ни были.

Запомните эту технику в следующий раз, когда вам нужно будет создать пароль. Придумайте что-то оригинальное и сложное, что нереально взломать, но зато будет очень легко запомнить именно вам, а не наоборот.

Да, но даже если вы этого не сделаете, просто пообещайте держаться подальше от любых сочетаний вроде 123456password123 и qwerty. Это на самом деле ОЧЕНЬ плохие пароли. И только поэтому разработчики все еще заставляют вас придумывать кошмарные наборы наподобие jK8v! Ge4D.

Круг замкнулся…



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Джейкоб БЕРГДАЛЬ

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

И еще на эту тему...
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Почему разблокировка телефона лицом - плохая идея, или как взломать Face ID (+видео) Обновлено!
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Java — великий и могучий


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2019