• ×

    • Как составлять логин пароль электронный адрес

    19.11.2018
    Эксперты компании Positive Technologies в ходе тестирований на проникновение, аудитов безопасности и других работ проанализировали 185 тыс. паролей, используемых пользователями для доступа к различным корпоративным системам. Полученные данные были сведены ими в отчет о том, насколько устойчивы к атакам учетные записи, защищенные при помощи паролей.

    Выводы аналитиков оказались неутешительными: удаленная атака по словарям позволяет скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжает выбирать самые простые комбинации букв и цифр для защиты своих компьютеров и установленных на них систем.

    Так, подсчитано, что наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр: на их долю приходится приблизительно 53%. 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое.

    Если вы используете удобные комбинации паролей для удобных комбинаций, вам легко зашифровать свои пароли для хакеров и, например, получить доступ к платежной информации или личной информации. Уже достаточно простая атака словаря достаточно, чтобы шифровать многие используемые пароли. При таком типе кибернетической атаки вы пытаетесь использовать несколько паролей в программе, которые основаны на строках символов, которые приводят к содержательным словам: то есть обзору своего рода словаря. Поэтому эффективный пароль должен состоять как минимум из 8 случайных буквенно-цифровых символов и специальных символов.

    При этом используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов, и лишь единицы используют пароли длиннее 12-ти символов. Вместе с тем пароли до 8-ми символов с высокой долей вероятности могут быть скомпрометированы в реальных условиях, говорят эксперты.

    Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty) – именно такие комбинации вошли в ТОП-10 распространенных паролей.

    Важный первичный пароль, например пароль безопасности, должен содержать не менее 12 символов. Чтобы ваш пароль был незашифрованным, следует избегать следующих ошибок. Простая атака по словарю позволяет читать эти комбинации за несколько секунд. Численные списки также экстраполируются, поэтому даты рождения также небезопасны.

    У короткого пароля есть одно преимущество: его легко запомнить, но мнемонический метод может стоить вам дорого для безопасности. Защищенный пароль должен содержать не менее 8 символов, поскольку слишком короткие пароли могут быть легко декодированы в течение нескольких секунд после атаки грубой силы. Кроме того, пароль, помимо строчных букв, должен содержать заглавные буквы, цифры и специальные символы.

    Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.

    Еще одна отличившаяся в ходе исследования группа – женщины. Установлено, что их пароли являются несколько более уязвимыми для атакующего благодаря более частому использованию словарных паролей. Удаленному злоумышленнику в среднем требуется меньше времени на их подбор.

    Использовать один и тот же пароль для разных сайтов

    К сожалению, некоторые страницы очень легко сломать.

    Использовать генераторы паролей

    Выбор эффективного пароля непросто, даже если вы избегаете упомянутых выше ошибок и достаточно часто выбираете комбинацию символов. Как только восстанавливается комбинация в личном и легко запоминающемся виде, пароль становится интуитивно понятным, по крайней мере, для сложных хакерских программ. Поэтому важно использовать генератор паролей.

    Используйте собственную систему паролей

    Это можно сделать в соответствии с любой схемой.

    Пример стратегии выбора пароля

    Например, вы принимаете гласную или всегда вторую или третью букву имени службы и размещаете ее в точном месте основного пароля, например, всегда во второй, третьей или последней позиции. Мастер-пароль только для доверенных сайтов. Даже если вы используете интеллектуальную систему, все еще существует остаточный риск. Поэтому важно, чтобы комбинации с основным паролем применялись только на 100-процентных надежных страницах.

    В отчете также рассматривается проблема использования «слабых» паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS.

    Все перечисленные факторы – длина пароля, используемый набор символов, полное или частичное совпадение пароля с именем пользователя (логином), наличие пароля в публично распространяемых словарях – имеют принципиальное значение для его безопасности и устойчивости к взлому. Подсчитано, что наложение элементарных ограничений, таких как контроль минимальной длины и сложности пароля, снижает вероятность компрометации системы более чем в 10 раз, заключил эксперт по информационной безопасности Positive Technologies Дмитрий Евтеев.

    Для менее важных и, возможно, менее безопасных страниц мы рекомендуем использовать другой пароль. Для менее безопасных форумов и сообществ так называемый одноразовый пароль используется только один раз и ни при каких других вариантах. Помните, что общий пароль с более чем 12 символами отнюдь не прост. Позже вы должны установить тайм-аут блока экрана через очень короткий интервал, например две минуты. Это гарантирует, что после каждой небольшой паузы на компьютере вы должны повторно ввести свой пароль, который может длиться долго, но он позволяет хранить пароль в памяти.

    «Данные, полученные Positive Technologies, подтверждают и наблюдения аналитиков «ЛК», - комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». - Хочется добавить, что помимо риска использования простых или «предсказуемых» паролей, существует еще одна угроза - пользователи часто применяют один и тот же пароль для разных ресурсов. Ведь сегодня среднестатистический пользователь, для того чтобы быть в безопасности, должен держать в голове десятки паролей к различным онлайн-службам. Однако, желая упростить себе жизнь, многие пользователи часто начинают использовать одинаковые пароли для доступа ко всему - к почте, социальным сетям и др. А это порой приводит к тому, что пароль для доступа к какому-нибудь сомнительному ресурсу оказывается тем же самым, что и, например, код к электронному кошельку».

    Запомнить пароль: лучшие инструменты

    Их можно легко обозревать другими пользователями или трояном. Дополнительная информация по этому вопросу также доступна. Тема очень широкая, но мы постараемся обобщить в таблетках те общие ошибки и лучшие практики, с которыми можно безопасно справиться в вашем приложении. Каковы вредные привычки, которые разработчик должен избегать, если Вы хотите защитить свои проекты?

    Рекомендации по разработке систем входа в систему

    Даже если пароль был зашифрован, злоумышленник будет иметь все время вам нужно запустить атаку грубой силы на вашем компьютере, оптимизированном для этой цели, или попытаться использовать атаки словаря для разумного поиска данных.

    Что делать, чтобы защитить пароль

    Используйте медленный алгоритм хэширования. говорить о производительности нет, и этот аргумент должен прийти на задний план: медленность алгоритма заставит грубую силу заняться гораздо дольше, чтобы предложить все возможные комбинации. Соль должна быть тем, что потенциальный злоумышленник не может знать и не может предсказать, но прежде всего он должен быть случайным для каждого используемого вами пароля. Таким образом, ни один из хэш, хранящихся в базе данных, не будет таким же, как у другого пользователя, хотя оба они используют один и тот же пароль. Кроме того, полезная соль использует злоумышленников, если он может получить хеш-список, связанный с пользователями. По возможности используйте безопасное соединение. Когда пароль переходит с компьютера пользователя на сервер, он очищает его через сеть. Это позволит злоумышленнику в правильных условиях перехватить его до того, как он будет защищен различными процессами безопасности нашего приложения. Использование безопасного соединения гарантирует, что любая информация, обмениваемая с пользователем, зашифровывается через сеть, что делает такие атаки невозможными.
    • Не изобретайте механику безопасности.
    • Используйте криптографически безопасную случайную соль.
    Безопасность основана не только на том, как хранятся данные.

    По мнению директора по продуктам Aladdin Антона Крячкова, исследование Positive Technologies «использует обширный набор источников и основано на «живых» данных, что особенно ценно». Однако, по его словам, обеспечение защиты корпоративной информации на базе «примитивной пары «логин - пароль» аналогично постройке кирпичного дома на пластилиновом фундаменте». «Обеспечение надёжной процедуры аутентификации в рамках информационной системы компании является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и доступа к приложениям», - отметил Крячков.

    Не разрешать пользователям использовать пароли длиной менее 8 символов и предлагать использовать прописные, строчные буквы, цифры и некоторые специальные символы. Нет причин ограничивать длину пароля или чтобы заблокировать определенные символы, в целом. Необходимо уточнить, что ни один пароль, зашифрованный каким-либо образом, не безопасен навсегда: в зависимости от используемого метода компьютер также может использовать разные месяцев, чтобы сделать необходимые попытки найти пароль, поэтому важно сообщить пользователям, что нужно установить новый пароль после разумного шестимесячного периода с момента последнего изменения.

    • Запросить более сочлененную запись пароля.
    • Ограничьте количество попыток входа в систему.
    Этот, казалось бы, тривиальный вопрос действительно может быть мечтой засыпать, особенно если вопрос, который мы хотели решить через веб-сайт, является срочным.

    А теперь Топ-10:

    1. 1234567
    2. 12345678
    3. 123456
    4. Пустая строка
    5. 12345
    6. 7654321
    7. qweasd
    8. 123
    9. Qwerty
    10. 123456789

    2015 начался с того, что Юля пишет какие-то материалы для параноиков. Не имею ни малейшего понятия, как это получилось. Но раз уж в масть, то сегодня поделюсь с вами информацией о самых популярных паролях пользователей в ушедшем году. И если среди этого набора цифр и букв вы нашли свой, знайте – его срочно пора менять!

    Это не все, что уникально: каждый, кто владеет несколькими учетными записями в Интернете, и каждый другой логин и пароль, конечно, по крайней мере несколько раз в своей жизни не решался использовать данные о конкретной банковской услуге. Интернет-счет уже является основой розничного бизнеса в Польше. В настоящее время более 13 миллионов из них используются в нашей стране, и более 30 миллионов пользователей используют их. В свою очередь, мобильный банкинг уже достигает более 5, 5 миллионов человек.

    Неудивительно: Интернет обеспечил быстрый доступ к банковским счетам, заставлял нас регулярно отслеживать наши расходы и доходы, а просто передавать больше не требуется поездка в отделение банка или почтовое отделение. Старые личные данные, проверенные в офисе банка, были заменены данными входа и паролем.

    И несмотря на то, что цифровой блог “123456” все еще удерживает пальму первенства в списке самых не то, чтобы плохих, но распространённых, а значит ненадежных паролей, компания SplashData опубликовала ежегодный список неугодных паролей. 20 января в Калифорнии состоялся доклад спикеров компании и мне кажется, он был одновременно и остроумен, и очень серьезен. Наверняка, увидев список из самых популярных паролей, специалисты по безопасности очень громко смеялись над человеческой наивностью. Для того, чтобы сохранить свою информацию в безопасности, а электронные кошельки на замке, не обязательно обзаводится чудными девайсами. Просто пользуйтесь паролями. И не самым простыми. И не надо ставить один и тот же пароль на все аккаунты от разблокировки компа до аккаунта на фейсбук.

    Однако по какой-то причине мы забываем, что наш пароль или логин. В этой статье мы обсудим некоторые вопросы, связанные с этой проблемой. Прежде всего, давайте вспомним, что такое логин и пароль учетной записи Интернета, и как они отличаются друг от друга.

    Это всего лишь идентификатор, используемый в ИТ-системах, в том числе в системах интернет-банкинга. В зависимости от банка эти условия могут несколько отличаться, например, банк может запросить «идентификатор», «идентификационный номер клиента», но всегда одни и те же данные.

    Вход в учетную запись Интернета отправляется банком. Это уникальный идентификатор для каждого пользователя системы. Обычно клиент получает его вместе с соглашением об учетной записи. Это очень полезное решение, особенно когда мы с трудом вспоминаем все используемые нами логины. Однако не используйте один и тот же идентификатор для каждой учетной записи и не сообщайте свой логин другим пользователям.

    Собственно, список 25 самых популярных паролей выглядит вот так:

    • 123456
    • 12345 – стал популярнее на 17 (!) пунктов
    • 12345678
    • qwerty
    • 123456789
    • 1234 – стал популярнее на 9 пунктов
    • baseball – новье
    • dragon – новье
    • football – новье
    • 1234567
    • monkey – стал популярнее на 5 пунктов
    • letmein
    • abc123 – стал менее популярен на 9 пунктов, это хорошо
    • 111111 – стал менее популярен на 8 пунктов, это хорошо
    • mustang – новье
    • access – новье
    • shadow
    • master – новье
    • michael – новье
    • superman – новье
    • 696969 – новье
    • 123123 – стал менее популярен на 12 пунктов, это хорошо
    • batman – новье
    • trustno1

    Использовать один из этих паролей для защиты своего девайса равнозначно тому, если бы вы совсем на него никакой пароль не вешали. В течении года “утекло” более, чем 3,3 млн паролей. И собственно на этих данных и базировался отчет об ошибках пользователей. 25 самых используемых паролей составляют 2,2% от незащищенных паролей. И, как отмечает Марк Бернетт, специалист по безопасности, отмечает, что это самый низкий процент за все четыре года работы компании.

    Ваш личный код доступа, который вы установили сами. Основное различие между логином и паролем заключается в том, что код доступа, который вы знаете, в отличие от логина, который был предоставлен вам банком. Пароль входа выдается из вашего компьютера в виде строки зашифрованных символов; Системы проверяют их, но банк не знает, как звучит ваш пароль. Следовательно, пути восстановления учетной записи зависят от того, потеряли ли вы свой идентификатор или пароль.

    Вход в интернет-банкинг иногда сложнее, чем пароли, которые мы используем. Что делать, если мы не можем вспомнить наш идентификатор? Помня о том, что логин, который мы получили от нашего банка при подписании контракта, мы должны сначала найти документы из банка. Наш идентификатор должен быть в контракте или на накладной.


    • если нет возможности защитить свой гаджет с помощью отпечатка пальца – используйте пароль. Всегда используйте.
    • если у вас много аккаунтов и девайсов, нуждающихся в пароле, не ставьте везде одинаковый. Лучше воспользуйтесь службой-приложением для хранения данных, PasswordBox к примеру.
    • не пользуйтесь исключительно циферными паролями. Лучше, чтобы в нем были буквы, цифры, знаки, еще и разных регистров.
    • пароли на основе простых моделей на клавиатуре (типа QWERTYUIOP или 1QAZ2WSX) вычислить очень легко, они дико популярны, потому что запоминаются механической памятью.
    • не используйте свои хобби при составлении паролей – футбол с бейсболом хоть слова и новые в этом году, а все же.
    • скажите “НЕТ!” году и дате вашего рождения в пароле. А также датам важных дней в вашей жизни, типа рождения детей, третьего развода или ДР тещи.
    • не используйте имена родных и друзей.
    • и да – имена популярных артистов и спортсменов, названия брендов и фильмов, а также крылатые выражения тоже входят в список “плохих” паролей, правда, его более расширенной версии.

    Так что будьте бдительны и изобретательны. А если вы слишком креативны, а аккаунтов много, все не упомнить, запишите пароли в документ с названием “ДОКУМЕНТ С ВАЖНЫМИ ПАРОЛЯМИ” и будет всем счастье! (конечно же нет). Об этом в докладе ничего не было сказано, но я все же уточню – записывать пароли от банковской карты в блокнотик, который вы постоянно носите с собой, фотографировать и хранить в галерее, записывать на салфеточке и клеить ее на холодильник или на визитке и класть ее в кошелек НЕ СТОИТ. Для этого есть мессенджеры паролей или безграничные чертоги разума, где их стоит хранить. А если вы еще не смотрели, то парочку элементраных правил поведения в интернете, про которые мы иногда забываем, мы напомнили вам вот

    Однако иногда использовать этот путь невозможно по разным причинам. Вам нужно будет связаться с банком. Мы можем восстановить ваш логин в любое время, но некоторые учреждения также позволяют вам предоставлять идентификатор через службу поддержки. Также бывает, что наш системный пароль отклоняется как недействительный, и мы не можем вспомнить его правильную форму. Как мы уже упоминали, пароль известен только нам, поэтому, если мы забудем, как это звучит, его восстановление будет невозможно. Это, конечно, не означает, что мы никогда не сможем войти в нашу учетную запись: нам просто нужно будет исправить новую.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое