Паролі Паролі Виберіть захищений пароль та пароль

Зазвичай A використовується як захист доступу (наприклад, до скриньки електронної пошти, до Інтернету чи доступу до мережі) та як захист під час шифрування файлів пароль або пароль. Цим ви ідентифікуєте себе в системі як авторизований користувач. Звичайно, це працює, лише якщо ви знаєте пароль і якщо він був обраний надійно. Напевно - це пароль, коли зловмисник не може його знайти. Коли йдеться про вибір пароля, корисно знати, що роблять зловмисники.

Зазвичай і просто кажучи, хакери використовують два методи злому паролів: атаки грубої сили та соціальна інженерія.

  • При вгадуванні (груба сила) зловмисник просто випробовує всі мислимі комбінації, як зі старим кодовим замком для велосипедів: від 000 до 999. Потрібна лише обчислювальна потужність - і її вдосталь. Але тому, що ніхто, крім охорони безпеки apwmndz293nh і подібні паролі, але “пам’ятні слова”, це вам зовсім не потрібно. Існує ряд інструментів, які використовують електронні словники та випробовують усі слова (словникова атака). У цій «словниковій атаці» вони також вводять слова назад (наприклад, «Цезар» та «rasäC») та з різними великими та малими літерами та поєднують кілька слів. Списки слів, що використовуються тут, зазвичай містять не лише слова із загальномовних мов, але також власні імена, назви з фільмів, книг, ігор та іншої популярної культури (наприклад, “R2D2”, “Вавилон5”, “SG1”), а також скорочення тощо.

Ось пошук у Google та пошук у Bing, який приведе вас до списків паролів, які є у вільному доступі в Інтернеті. Так би мовити, "_die_ * not *" списки.

  • З цільовим відгадуванням (соціальна інженерія) зловмисник намагається дізнатись якомога більше інформації про людину, яка зазнала нападу, наприклад, день народження та місце народження, ім'я партнера, дітей, батьків, домашнього улюбленця, хобі тощо. Ця інформація потім використовується в досить ручній атаці грубої сили спробував.
    Нерідкі випадки, коли зловмисник намагається дізнатися пароль безпосередньо від зацікавленої особи: особливо нахабні зловмисники телефонують відповідній особі та видають себе за адміністратора або співробітника служби підтримки, який повинен з’ясувати пароль через будь-які технічні проблеми. В іншому випадку - відповідно до часто підсвідомої загрози - вся мережа буде паралізована або трапиться щось погане (зауважте: якщо ваш колега поспішає заявити претензію, він нічого доброго не робить).

Як бачите, "злом" - це перш за все "вгадування".

Коли ви знаєте методи, за допомогою яких зловмисники можуть дізнатися паролі, паролі та коди доступу, стає зрозуміло, чого робити не можна:

Надійні поради щодо паролів

З міркувань безпеки ідеально підходить пароль, який складається із випадкової послідовності великих та малих літер, цифр та спеціальних символів.

Найпростіший спосіб вибору досить довгого пароля із - для інших - безглуздої комбінації літер, цифр та спеціальних символів, яку, проте, легко запам’ятати, - це

Техніка скорочення паролів

  • Техніка скорочення: Ви придумуєте речення і, наприклад, берете першу літеру кожного слова (або перших двох символів) і поєднуєте їх із розділовими знаками та цифрами.
  • З речення "Це 1 пароль, який я можу гарантувати запам’ятати!" можна було б використати пароль "Di1KW, dimgmk!" форму. Він має цифри (1 для "а"), спеціальні символи (= і два розділові знаки), а також великі та малі літери.

Хейса, не може бути безпечніше.

  • Інший приклад: "У мене 2 руки і мені 28!" - пароль “Ih2Aub28!” готовий - так ви звикаєте використовувати букви та цифри у змішаному написанні.
  • Варіація техніки скорочення просто виключає всі голосні: “Я - клієнт Amazon” стає “chbnmzn-Knd”. За бажанням, ви можете не брати до уваги голос і отримати “IiAaoue”, але перед першою чашкою кави вранці в офісі, яка повинна перетворитися на мозку. (Дивіться перевагу: це тримає ваш мозок молодим!)
  • Оскільки метод абревіатури зараз дуже поширений, ви не повинні використовувати тут речення, яке можна дуже легко пов’язати з вами («Мене звати Мюллер у 2009 році»). Ви також повинні уникати відомих виразів, якщо це можливо - скорочень, таких як “2b, on2b” або “2bo! 2b” - для “бути чи не бути” - тепер має бути в більшості словників зломщиків паролів.

Навіть за допомогою техніки скорочення важко запам’ятати паролі для десяти чи більше служб чи облікових записів користувачів. Крім того, оскільки у багатьох мережах компаній, а також у постачальників послуг вільної пошти, потрібно або принаймні рекомендується змінювати пароль кожні кілька тижнів *. Отже, якщо ви не обов’язково акробат мозку, ви не зможете уникнути порушення одного з двох наведених вище правил:

  • Запишіть усі або принаймні деякі свої паролі. На старому доброму папері.
  • У такому випадку, однак, не слід залишати записку в межах легкої досяжності робочої станції комп’ютера - той, хто увірвається у ваше приміщення, щоб взяти із собою блокнот, також огляне важливу інформацію, таку як паролі, і, можливо, навіть рахунок за пристрій.
  • Особисто я вважаю ідеальною непомітну адресну книгу, якої немає на комп’ютері.

До речі, ви можете зробити паролі в блокноті трохи безпечнішими:

  • У зошиті не слід, очевидно, записувати паролі. Усі ваші паролі можуть мати перші дві загальні цифри, і ви не залишите ці дві цифри поза книгою. Тож усі паролі в книзі "неправильні".
  • Не завжди потрібно знати, до якої послуги стосується пароль. Зазначивши цей факт у книзі, можна також приховати паролі.

Антикейлоггерський фокус

Краще не проводити дослідження апаратних кейлогерів, інакше ви застудитесь. За 25 євро ви отримуєте пристрої, які зловмисник або ваш бос просто підключають між USB або PS/2 і клавіатурою, і які потім тижнями записують ваші натискання клавіш. Комплект, який можна вбудувати в клавіатуру, коштує 60 євро. За 150 євро ви можете отримати апаратні кейлоггери, які підключаються до бездротового маршрутизатора та надсилають ваші записи раз на день, не помічаючи цього. Сканери вірусів безсилі, оскільки пристрій знаходиться “поза” системи.

Ця порада допомагає:

  • Введіть кілька символів пароля, використовуючи вирізати та вставити, так що апаратні кейлоггери не можуть це записати. Апаратний кейлоггер може бачити комбінацію клавіш, яка ініціює вирізання та вставлення, але не те, що вирізано та вставлено, оскільки буфер обміну є функцією операційної системи.

Але працює лише з чистими апаратними кейлоггерами клавіатури, тобто невеликими пристроями між клавіатурою та ПК (або прямо на клавіатурі). Однак майже всі програмні кейлоггери, які я знаю, також записують буфер обміну. Тоді зловмиснику доводиться складати пароль трохи більш копітко, так, але зусилля, введені при введенні пароля, непропорційні виграшу в безпеці.

Спеціальні спеціальні символи

  • Спеціальні символи безпечніші: öäü,.-_ !? = ()/&% $ § ” і так далі
  • Спеціальні символи ще більш захищені: ви не знайдете символу ® на клавіатурі, тому зловмисник грубої сили навряд чи його шукатиме. Але як це отримати? Як: Переконайтеся, що Numlock активовано. Потім натисніть кнопку [Старий], утримуйте цю клавішу та введіть на цифровій клавіатурі 0174 одна - це призводить до ®.
  • Ви можете отримати огляд таких спеціальних символів з ключовими вказівками на charmap.de.
  • Більш детальна інформація в статті про захищені паролі зі спеціальними символами.
  • Примітка. Не кожна служба може обробляти паролі з такими спеціальними символами. Там може статися так, що спеціальний символ замінюється, наприклад, пробілом - внутрішньо, що, звичайно, погано. Але це не можна змінити, і як користувач ви не знаєте. Але з цього випливає: karndipurz23 - кращий пароль, ніж! $% &.

Що ви ніколи не повинні робити

Розкрийте комусь свій пароль. Навіть якщо вони кажуть, що важливо встановити новий пароль або побачити, що ти правильний, або що завгодно.

  • Усі системи, що поважають себе, зберігають не ваш пароль, а код, який представляє ваш пароль, але лише тоді знає, що пароль, який ви вводите, є правильним, коли ви його ввели. Теорія складна, але, простіше кажучи, у хорошій базі даних паролів немає паролів, які можна було б «прочитати». (Дуже добре в поганому.)
  • Усі системи, що поважають себе, мають систему, яка вимагає ПЕРЕЗНАЧИТИ пароль, якщо ви загубили старий. Це також повинно бути стандартом для компанії. Коли адміністратор дасть вам новий пароль, запитайте їх, як ви можете змінити його самостійно. І змінити це якомога швидше.

Наскільки безпечними є запити безпеки?

Так звані "питання безпеки" у багатьох веб-службах є серйозною дірою в безпеці, оскільки їх набагато легше зламати, ніж справжні паролі. Наприклад, особисті дані (імена партнерів, домашніх тварин, батьків, улюблених зірок та фільмів тощо) сприйнятливі до так званого «соціального злому»: Той, хто найменше вас знає, може легко визначити ці дані на випадок сумнівів. Той, хто вас не знає, але зацікавлений у цьому, теж знає.

Однак ці запити, як правило, служать лише для надсилання вам посилання на вашу основну електронну адресу для того, щоб скинути ваш пароль - якщо він забутий - або щось подібне. Чим напів погано, залежно від того, як система впроваджена.

Тим не менше, я особисто радив би * уникати * значущої інформації у так званих "питаннях безпеки". Параноїк натомість використовує “будь-яке питання” і як відповідь використовує ту ж процедуру, що і для паролів, щоб дати відповідь, яка не відповідає питанню.

Тим важливіше записувати паролі та запити безпеки та зберігати їх у безпечному місці, з вашим полісом страхування життя, вашими посиланнями на роботу тощо.

Принаймні, не в зошиті у портфелі.

Змінюйте пароль кожні 3 місяці?

Знову і знову ви читаєте, що вам слід «регулярно міняти пароль». Чому?

Отже: зловмисник, який викрав або вгадав ваш пароль, може використовувати ваш обліковий запис. Якщо він розумний, він не буде робити нічого, що видає його “присутність”. Натомість він спочатку використовуватиме вкрадену ідентифікацію лише для того, щоб дізнатись більше про вас і таким чином, наприклад, для збору інших компонентів вашої цифрової ідентичності.

Наприклад, облікові записи електронної пошти: інші служби надішлють вам ваш пароль, якщо ви його забули. Тож зловмисник намагається з’ясувати, чи є у вас тут і там обліковий запис, «ввійшовши», повідомляючи про свій пароль як «забутий» і скидаючи його. Це дає йому доступ до інших облікових записів. Негайно видаляючи повідомлення з підтвердженням, він охоплює свій шлях. Все, що йому потрібно зробити, - це прочитати, щоб побачити, що ви робите: ваші інтереси також можуть допомогти вам відгадати інші паролі.

Особисто я вважаю, що постійне скидання паролів є надмірним. Я радше вважаю, що це робить паролі небезпечними, бо доводиться постійно придумувати і запам'ятовувати нові - а який розум тут не піде найпростішим шляхом? - Міняйте пароль, можливо, щороку - і терміново, коли ви підозрюєте, що щось могло статися. Послуги Freemail показують вам, наприклад, останній раз, коли ви входили в систему - якщо ви підозріли до оголошення, змініть свій пароль. Або: у вас був вірус, хробак, троян? Негайно змініть усі паролі!

Важливо: Після збою вірусу важливо широко змінити всі паролі.

Параноїк, природно, щодня змінює свій пароль.

Шаблони паролів та блокування шаблонів?

Оскільки паролі важко запам'ятати, деякі системи пропонують так звані блокування шаблонів. Це нове для смартфонів з великим дисплеєм і без клавіатури, але воно вже було доступним як розширення для входу в епоху Novell Netware. За допомогою цієї процедури ви бачите перед собою геометричне поле, в якому ви просто малюєте візерунок за допомогою миші або пальця на сенсорному екрані.

Звучить шикарно. Сподіваємось, повинно бути зрозуміло, що це лише обмежена безпека, особливо зі смартфонами. Оскільки візерунок малюється знову і знову на змазаному дисплеї, він завжди залишатиме сліди. Це нормально тримати цікавих подруг подалі, але це насправді не пропонує жодного захисту. Спробуйте: почистіть дисплей, потримайте хвилину біля вуха, потім введіть шаблон, піднесіть поверхню дисплея до світла, щоб ви бачили бруд на дисплеї.

Засіб - це регулярна зміна шаблону.

Використовуйте безпечний пароль?

Одна можливість постійно мати список паролів під рукою на ПК або нетбуці - це зберегти його в документі або електронній таблиці. Вбудовані функції шифрування програм Office можна використовувати для шифрування цих паролів, але в минулому вони не завжди доводили свою безпеку. Краще зашифрувати його за допомогою такого інструменту, як 7zip, PGP або TrueCrypt. В результаті вам залишається лише запам’ятати парольну фразу для зашифрованого архіву.

пароль

Може допомогти: менеджери паролів, такі як від Касперського

Існує також ряд програм, які пропонуються як цифровий сейф для паролів, PIN-кодів, TAN-кодів тощо, наприклад Менеджер паролів Касперського. Я б насправді скористався тут платним програмним забезпеченням, а не безкоштовною програмою, тому що, припустимо, ви хакер - справжній, а не просто скрипт, який може викликати інструменти та натискати кнопки. Що б ви зробили для збору паролів? Звичайно, ви пишете безкоштовний безпечний пароль, який час від часу «дзвонить додому». Або? - З іншого боку, ти можеш бути занадто параноїком ...

Мені здається, що Steganos Locknote, інструмент і документ одночасно дуже приємні: запустіть locknote.exe подвійним клацанням і відрегулюйте текст як завгодно. Зберегти за допомогою файлу, Зберегти як і вибрати місце та назву файлу, наприклад примітку. Locknote запитує пароль і шифрує текстові дані. Результатом є файл notiz.exe. Подвійне клацання на цьому файлі відкриває новий Locknote, введення пароля робить вміст доступним. За допомогою Locknote ви можете достатньо надійно зберігати дані доступу та паролі - це дозволяє достатньо обережно транспортувати дані доступу на USB-накопичувачі. Однак я б також не врятував будівельних планів з видобутку в них сирої нафти з морської води ...

Зберігайте паролі в браузері чи ні?

Як би спокусливо це не було: не дозволяйте браузеру зберігати паролі, які ви вводите на веб-сторінках! Оскільки тоді той, хто отримує доступ до вашого блокнота, також не повинен вводити пароль, а може, наприклад, робити покупки, користуватися послугами або надсилати електронні листи від вашого імені за ваш рахунок.

Або: Троянець може викрасти ваш браузер і повністю отримати доступ до списку паролів та надіслати його електронною поштою. Не займає ні секунди.

Якщо ви все-таки хочете зберегти паролі в браузері, тоді я рекомендую принаймні Firefox та визначення головного пароля в налаштуваннях безпеки.

Початкові паролі?

Початковий пароль - це пароль,

  • що ви отримуєте після першої реєстрації або
  • що вам потрібно після "забутого пароля" відновити пароль

було виділено. Вам слід якомога швидше змінити це.

Де можна знайти початковий пароль?
У папці "Вхідні".
У процедурі «забутий пароль» багато веб-сайтів просять ввести адресу електронної пошти, на яку слід надіслати пароль. Це має сенс, адже якщо хтось надає тут неправильну адресу, він точно не є правильним користувачем, і тому у нього немає бізнесу. Якщо ви введете правильну адресу електронної пошти, ви знайдете свій пароль у вхідних там.
Іноді служба не запитує адресу електронної пошти, тоді вона просто надсилає інформацію на адресу електронної пошти, що зберігається в службі. Погано для користувача, який більше не знає, з якої з багатьох своїх електронних адрес він зареєструвався там. Варто створити код для відповідної адреси електронної пошти у зошиті з паролями.

Початкові паролі, особливо ті, що надсилаються електронною поштою, слід вважати небезпечними, і тому їх слід змінювати одразу після входу в систему! (Ви пам’ятаєте: електронна пошта, це листівки, які кожен може прочитати.)

Пароль: Риба-меч?

Для розваги усіх, ось відео про одну з найстаріших спроб зламати кінематографічний пароль: