Большинство людей понимают, что «надежность» пароля определяется разнообразием типов символов в пароле. Но хотя формы регистрации могут думать, что сложность — это безопасность, злоумышленники с этим не согласны. Сложность больше не защищает от современной модели угроз. Что делает пароли надежными? Сначала нам необходимо изучить реальную модель угроз, с которой сталкивается большинство людей.
Сложность пароля не имеет значения
Надежность пароля часто является просто функцией сложности или степенью случайности пароля, измеряемой использованием символов, цифр, верхнего и нижнего регистра. Но добавление нескольких разных символов к вашему паролю существенно не увеличивает его «надежность», несмотря на то, что пред
Contents
Сложность пароля не имеет значения
сти» рядом с вашим паролем. Сложность увеличивает сложность атаки методом грубой силы, но такого рода атаки встречаются редко.Вместо этого кража учетных данных происходит в результате массовых краж данных или их утечки из крупных организаций. Надежность пароля вам не поможет, если злоумышленники знают ваш пароль в простой текст .
Используйте уникальные пароли
Большинство людей чрезвычайно уязвимы к так называемому «вбросу учетных данных»: на популярных платформах скомпрометированные учетные данные пытаются использовать в своих интересах склонность людей к повторному использованию паролей. Это гораздо большая опасность, чем «слабый» пароль. В конце концов, один «сверхнадежный», совершенно случайный пароль, используемый повторно на каждой платформе, может стать катастрофой после одной утечки.
Вместо того, чтобы думать о надежности пароля как об отдельном свойстве, нам нужно подумать о надежности вашей системы аутентификации. Современные пароли создают эту систему и должны рассматриваться как таковые. Использовать уникальные пароли гораздо проще с помощью менеджера паролей, поэтому начните использовать его сегодня, если вы еще этого не сделали.
Читайте также: Используйте уникальные паролиернета, настольных компьютеров и мобильных устройств
Длина важнее сложности
В течение многих лет нас учили считать сложность самым важным фактором пароля. И хотя мы знаем, что атаки методом грубой силы редки, сложность не является даже лучшей защитой от взлома методом грубой силы: длина на самом деле гораздо важнее.
Длина пароля имеет экспоненциальную зависимость от времени взлома, поэтому умеренное увеличение длины может привести к значительному увеличению времени взлома. С другой стороны, сложность имеет более линейную зависимость от времени взлома.
Возьмем такой пример: высокопроизводительная машина для взлома может взломать сложный на вид пароль, например *nRyU86)
в всего восемьдесят минут . Увеличение длины на одну заглавную букву увеличивает это время почти до трети-шести часов, а замена буквы на символ не приводит к существенному изменению времени взлома.
Давайте в полной мере воспользуемся экспоненциальной силой длины. А как насчет парольной фразы из четырех слов, в которой используются известные словарные слова и общая длина которой составляет шестнадцать символов? Даже с учетом словарных атак (атак, которые используют базу данных известных слов для подбора паролей вместо случайной генерации догадок), для взлома пароля все равно потребуется девяносто миллиардовлет.
Забудьте о сложности. Лучшие пароли на самом деле представляют собой пароли фразы<Длина важнее сложности
омнить столь же надежный сложный пароль. Но мозг любит забавные истории и удивительные образы. Если вы создадите абсурдно запоминающуюся историю на основе случайно сгенерированной фразы, вам будет трудно ее забыть.
Читайте также: Делают ли предложения лучшие пароли?
Решающее значение имеет по-настоящему случайная генерация парольной фразы. Если вы выберете слова, связанные с вами, например, с месяцем вашего рождения, парольную фразу будет легче угадать. Используйте Кубик паролей EFF для безопасного и надежного создания случайных парольных фраз.
Включить все системы двухфакторной аутентификации
Все системы имеют утечку. Надежность пароля вас не спасет. Так как же можно защитить себя? Системы двухфакторной аутентификации (2FA) обеспечивают дополнительный уровень безопасности. 2FA запрашивает два типа учетных данных: то, что вы знаете(т. е. ваш пароль), и то, что у вас имеется(т. е. ваш телефон). В большинстве систем 2FA эти коды генерируются удаленным сервером. Сервер отправляет активный код пользователю во время входа в систему.
К сожалению, злоумышленники могут относительно легко перехватить SMS-коды посредством клонирования SIM-карты. Чтобы предотвратить такое перехват, сгенерируйте коды на своем мобильном устройстве с помощью приложения 2FA, например Аути, Google Аутентификатор , или менеджера паролей с поддержкой 2FA, например 1Пароль .
Заключение
«Надежность» одного пароля — отвлекающий маневр. Надежная система аутентификации более важна. Утечки и кражи данных неизбежно происходят. Уникальные пароли предотвращают ущерб. Двухфакторная аутентификация может свести к нулю ущерб от украденных учетных данных.