Если вы создали одну или две учетные записи в последние годы, вы, вероятно, заметили, что многие из этих сайтов ругают вас за использование «небезопасного» пароля при определенных условиях. Иногда вам даже не нужно нажимать кнопку «Зарегистрироваться», как вы увидите небольшое сообщение рядом с полем пароля о том, что вы используете слабый пароль.
Хотя некоторые сайты могут полностью помешать вам зарегистрироваться с паролем, который они считают слабым, другие просто предупреждают вас и в любом случае позволяют вам делать то, что вы хотите, по собственному желанию. Тем не менее, у этих сайтов (в основном) есть одна общая черта: их критерии «безопасных паролей» не обеспечат вашу безопасность.
Выработка вредных привычек
Одна из первых вещей, которую вы заметите на большинстве веб-сайтов, — это то, что все они имеют схожие критерии того, что следует считать «надежным» паролем. На большинстве сайтов критерии следующие:
- Минимум 6–8 символов.
- Минимум одна цифра и одна буква.
- Иногда хотя бы одна заглавная буква.
В этом случае пароль типа «Ironclad1» просто персиковый и соответствует требованиям этого конкретного веб-сайта. Поскольку большинство сайтов предъявляют только эти требования, люди могут привыкнуть к тому, что «Ironclad1», «Sallyepstein4», «Michael1985» и т. д. — хорошие пароли. Любой, кто когда-либо читал первые три страницы книги о кибербезопасности, знает, что это невероятно небезопасно, однако молчаливо считается нормой миллионов сайтов в Интернете, где безопасность — это второстепенная мысль, стоящая пяти строк кода.
Хакер может просто использовать атаку по словарю, чтобы взломать ваш пароль, и на этом все.
Некоторые веб-сервисы (например, Google) также требуют использования символа (например, «!» или «$») для создания пароля. Это просто делает такие вещи, как «$allyepstein4», действительными паролями, а атаки по словарю с годами стали более изощренными.
Что такое хорошая привычка использовать пароль?
О том, что такое хороший пароль, ведется множество споров, но вместо того, чтобы вникать в подробности и объяснять все нюансы, мы просто рассмотрим некоторые моменты, с которыми в целом согласны все. Хороший пароль
- Включает широкий спектр буквенно-цифровых вариантов, таких как заглавные буквы, цифры и строчные буквы.
- Содержит символы в непредсказуемых местах («@shley» менее безопасен, чем «@$_hley», потому что в середине слова есть подчеркивание, где словарная атака обычно сканирует «@» вместо «a» и « $» вместо «s»)
- Содержит пробелы (например, «I @te a S4nDw1ch»)
- Достигает верхнего предела разумного количества символов («I l0v3 LuC#Y» менее безопасно, чем «Th1S p4ssword sH_oulD b3 h@rd to cr@ck» )
- Содержит нетрадиционные орфографические ошибки в словах (например, «schuld» вместо «should», «beffe» вместо «beef», «inszteda» вместо «вместо», «mektekezier» вместо «maketecheasier» и т. д. )
Конечно, один из лучших паролей, который вы могли бы иметь, нелегко запомнить (например: «ifjecBucE083$&&8c ociefjC*#&$6c iof0e0($*#» ). Обратите внимание, что приведенный пример представляет собой полную ерунду с использованием всех вышеперечисленных правил, включая введение пробелов. Это весьма необычно даже для самых сложных атак по словарю, при условии, что база данных, хранящая хэш вашего пароля, безопасна. и ключи шифрования управляются правильно, хакеру будет менее выгодно взломать вашу учетную запись.
Естественно, не все серверы защищены, и одна используемая вами служба может подвергнуться взлому и раскрыть ваш пароль. Вот почему важно использовать разные пароли для каждой службы.
Но вы не сможете запомнить 15 паролей, не говоря уже о том, который я привел в качестве примера «одного из лучших паролей, которые вы можете иметь». Чтобы противодействовать этому, вы можете использовать высокозащищенную службу единого входа (также известную как «управление идентификацией»), которая отслеживает ваши пароли, чтобы вам не приходилось их запоминать. Хотя они существуют уже несколько лет, эта концепция все еще остается неизведанной территорией (по крайней мере, по моему профессиональному мнению), поэтому действуйте осторожно. Проведите собственное исследование и поищите в Google название службы, за которым следует слово «взлом», чтобы узнать, была ли она когда-либо взломана.
Как решить проблему
Проблема, которую мы пытаемся решить, заключается в том, чтобы заставить огромное количество людей, создающих учетные записи в Интернете, понять, как лучше всего создавать пароли. Звучит как монументальная задача, не правда ли?
На самом деле это так же просто, как предоставить куда-нибудь информацию. Google хорошо справляется с этой задачей в своих рекомендациях, но этого недостаточно.
Несмотря на похвалы, я думаю, что было бы лучше включить ссылку на эти рекомендации рядом с полем пароля, чтобы предоставить пользователю легкий доступ на этапе регистрации учетной записи. Если кто-то игнорирует это, это его собственная прерогатива, но никто на тот момент не мог сказать, что у него никогда не было возможности прочитать какой-либо образовательный материал по этой теме.
Единственная сложная задача — убедить миллионы веб-сайтов, на которых хранятся базы данных учетных записей, использовать эту практику. Однако, поскольку большинство этих веб-сайтов используют крупномасштабное программное обеспечение (например, WordPress или Drupal), вероятно, лучше обратиться к разработчикам этого программного обеспечения, чтобы они предоставили подобные вещи в своих будущих обновлениях. Как только веб-сайты обновят свое программное обеспечение, они автоматически получат эти рекомендации на своих страницах регистрации!
Как вы думаете, что еще мы можем сделать, чтобы повысить осведомленность о хороших паролях? Давайте обсудим это в комментариях!
