Как вы думаете, ваш пароль надежный? Подумайте еще раз!

Очевидные недостатки

Следует избегать следующих паролей:

Тейлор21

qwerty

abcdefgh

я люблю тебя7

приятель123

Многие подобные пароли доступны в общедоступных списках слов грубой силы, таких как Rockyou.

E = log2(Rᴸ)

Формула особого значения не имеет. Сосредоточьтесь на длине и случайности.

Конечно, лучше всего, если вы сможете смешивать прописные и строчные буквы со специальными символами и цифрами, но чем длиннее, тем лучше. Это именно то, что подчеркивает формула.

8 символов, даже со сложной комбинацией, могут быть обнаружены намного быстрее, чем длинная последовательность из 22 строчных букв.

Необходимое время для подбора пароля с помощью грубой силы будет экспоненциально больше с длинными паролями, например, минуты по сравнению с годами.

Некоторые парадоксальные примеры

Вы можете найти следующие пароли в списке rockyou.txt:

P@ssw0rd

@ вместо a и 0 вместо o часто используются в надежде запутать символы, но программы Brute-Force включают их.

Хорошая попытка!

У людей, которые еще не осведомлены о кибербезопасности, могут быть интересные, но небезопасные подходы. Например, они могут намеренно использовать слабый пароль и думать, что хакеры не будут пробовать такие тривиальные комбинации.

Это так не работает. Хакеры используют словари и списки слов, которые включают самые простые пароли.

Даже хорошая политика безопасности может ввести в заблуждение

Многие веб-сайты и приложения нарушают политику паролей. Некоторые из них подталкивают своих пользователей к очень предсказуемым стратегиям, например, запрещая специальные символы или ограничивая общую длину до 8.

Однако даже кажущаяся сильной политика может привести к неожиданным результатам:

Минимум 1 строчная буква

Хотя бы 1 заглавная буква

Минимум 1 номер

По крайней мере 1 специальный символ

Не менее 8 символов

Хотя приведенные выше правила выглядят законными, пользователи все же могут устанавливать пароли, которые легко угадать.

Например, меня зовут Жюльен. Я могу ввести Julien$7, что соответствует политике, но ужасно с точки зрения безопасности.

Хакеру нужен только краткий список, который включает мое имя, а бесплатные инструменты, такие как John the Ripper, сделают все остальное.

7 советов, которые работают

• устанавливайте длинные пароли (более 16* символов, если возможно)

• не используйте пароли повторно (1 логин, 1 пароль)

• не сохраняйте пароли в браузере или убедитесь, что они зашифрованы чем-то вроде мастер-пароля

• регулярно меняйте пароли

• использовать менеджеры паролей

• используйте haveibeenpwned, чтобы определить, был ли утечка вашего пароля или нет

• Включайте 2FA/MFA, когда можете

* 16, потому что большинство политик безопасности устанавливают минимальную длину 8 символов. Я не говорю, что это магическое число для пуленепробиваемых паролей. Если вы можете установить более длинные пароли, такие как 22, 23, 24 символа, это здорово.

Крайне редкие случаи, когда слабый пароль может быть хорошим

Некоторые организации используют слабые пароли и уязвимые приложения для отслеживания и выслеживания киберпреступников.

Этот подход называется Honeypot. Идея состоит в том, чтобы заставить хакеров думать, что они проникают в систему, хотя на самом деле их поймала команда кибербезопасности.

Конечно, «не пытайтесь повторить это дома».

Также опубликовано [Здесь] (https://blog.julien-maury.dev/en/snippets/weak-passwords/)