- Самые ненадежные пароли
- Как проверить надежность пароля онлайн и узнать время, за которое его можно взломать
- Что такое взлом пароля методом перебора?
- Nordpass
- Тест паролей от университета Иллинойса в Чикаго
- Kaspersky
- Comparitech
- LastPass
- Подробно о Проверка пароля
- Надёжные Пароли Для Цифровой Безопасности
- Лучшие Советы Для Ультимативной Защиты Пароля
- Новая Учётная Запись – Новый Пароль
- Добавление Дополнительного Знака в Ваш Пароль Не Сделает Его Более Надёжным
- Защищайте Ваши Данные
- Установите Антивирусную Программу
- Избегайте Фишинговых Сообщений
- Используйте VPN
- Have I been pwned?
- Firefox Monitor
- DeHashed
- GhostProject
- BreachAlarm
- Sucuri Security Scanner
- Как работают подобные сайты
- Сайты для проверки скомпрометированных паролей
- Проверка надежности пароля
- Специализированные сайты
- Заключение
- Установка
- Модель
- Поиск минимума энтропии
- Соотношение между энтропией и временем взлома
- Вычисление энтропии
- Совпадение комбинаций
- Инструмент для проверки надежности пароля
- Почему важно иметь надежный пароль
- Что такое надежный пароль?
- Защитите свою конфиденциальность с помощью безопасного инструмента проверки паролей
- Насколько безопасна наша онлайн программа проверки паролей?
- Почему стоит доверять програме проверки паролей от Internxt?
- Другие бесплатные инструменты для обеспечения онлайн безопасности
- Новостная рассылка
- Составляющие хорошего пароля
Самые ненадежные пароли
И хотя список самых ненадежных и чаще всего используемых паролей постоянно публикуется, пользователи мало обращают на это внимание. Компания NordPass опубликовала свой список наиболее неудачных комбинаций, используемых в 2021 году в смартфонах, ноутбуках или для Wi-Fi. Возглавили этот антирейтинг такие классические цифровые комбинации, как 000000, 1234, 12345, 111111, 123456789, 0987654321 и так далее.
Часто пользователи считают, что надежным пароль можно сделать, добавив к слову несколько цифр, но и комбинации qwerty123, password111, abc123 хакерами проверяются в первую очередь.
Да и «длинные» комбинации, как qwertyuiop или mypassword тоже давным-давно уже скомпрометированы. Такие пароли лучше никогда и нигде не использовать.
По статистике, с каждым годом активность хакеров растет все больше и больше. Каждый день множество пользователей по всему миру становятся жертвами злоумышленников и подвергаются взлому.
При этом, избежать данной участи можно, просто установив достаточно сложные пароли для своих учетных записей на различных ресурсах.
Как проверить надежность пароля онлайн и узнать время, за которое его можно взломать
1. Перейдите по ссылке https://password.kaspersky.com/ru/.
Это ссылка на специальный сервис от разработчика популярного антивирусного программного обеспечения «Лаборатория Касперского». Данный сервис способен оценивать надежность пароля путем его подбора с помощью так называемого «брутфорса» (метод перебора). При этом, страница является абсолютно безопасной для использования, поскольку не собирает и не хранит пароли.
Если же вы по каким-либо причинам не хотите вводить свой настоящий пароль, то измените в нем один или несколько символов. На результат проверки это практически не повлияет.
2. Введите пароль, который вы хотите проверить, в графу Проверьте свой пароль.
3. Получите результат проверки.
После ввода пароля сервис указывает количество времени, требуемое на его взлом на обычном компьютере. Пользователям, у которых данный показатель менее нескольких лет, рекомендуется придумать более надежный пароль.
Примечательно, что на взлом пароля, предлагаемого встроенным в Safari на Mac генератором, по мнению сервиса, потребуется свыше 3200 веков.
Что такое взлом пароля методом перебора?
Перебор всех возможных комбинаций символов, пока не найдется «правильный ответ».
Этот процесс может занять много времени, поэтому для подбора обычно используются словари и списки распространенных паролей вроде qwerty или 123456.
Nordpass
Nordpass представляет собой бесплатный сервис проверки пароля от разработчиков VPN-сервиса NordVPN .
Вместе со способностью проверять надёжность паролей Nordpass позволяет создавать новые пароли. Пользователи могут импортировать старые пароли и делиться данными на вход с друзьями, членами семьи и сотрудниками.
Другие функциональные возможности доступны внутри предложения, но именно пароли можно проверять на сайте Nordpass в браузере.
Nordpass оценивает каждый пароль по базовым параметрам. Это продолжительность не менее 12 символов, буквы верхнего и нижнего регистра, символы и цифры. Оценивается время, которое потребуется на взлом пароля и определяется, фигурирует ли этот пароль в известных утечках данных.
Проверить пароль можно без скачивания приложения и создания учётной записи. Это делает сервис Nordpass удобным и быстрым. Предоставляется вся информация для анализа того, достаточно ли безопасен ваш пароль.
Тест паролей от университета Иллинойса в Чикаго
Центр UIC Academic Computing and Communications предлагает сервис проверки паролей и даёт советы по их улучшению. Анализ здесь более сложный, он лучше учитывает сильные и слабые стороны паролей.
Учётная запись тоже не требуется. Тест запускается на вашем компьютере и информация не отправляется в интернет.
Одним из преимуществ сервиса является демонстрация влияние каждого аспекта ваших паролей. Учитываются такие факторы, как повторяющиеся символы, которые другие сервисы проверки могут не видеть. С другой стороны, здесь нет оценки времени на взлом пароля. Разработчики считают, что такие расчёты выполнить невозможно.
Kaspersky
Лаборатория Касперского работает в разных сферах безопасности. В первую очередь компания известна за счёт антивируса. Есть у неё также VPN и другие продукты, в том числе менеджер паролей. На сайте предлагается инструмент оценки надёжности паролей.
Регистрация не нужна, не нужно также ничего скачивать.
В отличие от инструмента UIC, Касперский использует простой интерфейс и выдаёт только базовую информацию. Тестовый пароль был описан как распространённый. Стоило добавить к нему восклицательный знак, как он превратился в защищённый от взлома.
Дополнительной информации вроде оценки времени на взлом не указывается. Зато выполняется поиск пароля в известных утечках баз данных.
Вместе с инструментом оценки надёжности пароля на сайте Касперского есть вопросы и ответы относительно создания паролей и их проверки онлайн. Даются подсказки по сетевой безопасности, вроде включения двухфакторной аутентификации и отслеживания истории входов в учётную запись.
Comparitech
Как и в случае с Касперским, Comparitech занимается сервисами безопасности. У этой компании есть VPN, антивирус, облачное резервное копирование и т.д. Тест надёжности вместе онлайн генератором паролей доступен всем посетителям сайта Comparitech.
Все вводимые пароли обрабатываются локально и не отправляются в интернет.
В заявлении на сайте говорится, что инструменты анализа ограниченные и не могут точно определить надёжность паролей.
Кроме предположительной оценки времени на взлом даётся базовая информация о пароле. Например, про тестовый пароль было сказано, что в нём содержится словарное слово и не содержится никаких других символов, кроме букв и цифр.
Comparitech проводит не самый глубокий анализ пароля, но всё же может определить его слабые места. Можно использовать генератор паролей или советы по созданию более сложных паролей.
LastPass
LastPass является одним из самых популярных менеджеров паролей. А также у него есть приложения для Android и iOS. Бесплатно доступен инструмент тестирования надёжности пароля на сайте разработчика. Передаваемые пользователи данные не сохраняются.
Когда вы ввели пароль, LastPass выдаёт общую оценку и подсказки, чтобы улучшить защиту. Тестовый пароль был назван слишком коротким, содержащим словарное слово или известный пароль, отмечено отсутствие специальных символов.
К сожалению, LastPass не проверяет пароли на утечки в прошлых взломах. Это важный шаг, который позволяет вовремя заменить скомпрометированный пароль. Его придётся выполнять в других сервисах.
Подробно о Проверка пароля
Легко проверяйте надежность своего пароля с помощью нашего средства проверки надежности пароля от SAS.
Надежность пароля важна, потому что она измеряет эффективность пароля против возможных атак с использованием подбора или перебора. В первую очередь, он дает вам оценку того, сколько попыток потребуется злоумышленнику, который не знает пароль, чтобы правильно угадать ваш пароль. Надежность пароля обычно зависит от его длины, различных используемых символов и непредсказуемости.
Надёжные Пароли Для Цифровой Безопасности
Так как вас интересует “проверка пароля на сложность”, я уверен. что у вас есть сомнения относительно безопасности в сети. Хорошие новости заключаются в том, что вы заботитесь о безопасности до такой степени, что готовы проверить ваш пароль.
Большинство людей верят, что взлом чьей-либо учётной записи требует особых знаний и едва ли возможен, однако, они серьёзно ошибаются. На самом деле всё гораздо проще.
Следовательно, если вы хотите защитить себя от кибератак, то вам нужна проверка сложности пароля, которую мы для вас предоставляем, чтобы вы узнали “насколько безопасен ваш пароль?” раз и навсегда.
В данной статье я предоставлю вам больше детальной информации о том, как работает проверка надёжности пароля, представлю вам некоторые полезные советы по созданию сложного пароля и, конечно же, расскажу больше про VPN – инструмент, который поможет сделать вас незаметным в сети.
Лучшие Советы Для Ультимативной Защиты Пароля
Я собрал некоторые отличные советы для тех, кого интересует “проверка пароля”. Они помогут вам избежать наиболее распространённых ошибок при создании новых паролей и улучшении старых. Давайте приступать.
Новая Учётная Запись – Новый Пароль
Даже если вы используете очень сложный пароль, он не должен быть одним и тем же для всех учётных записей. В случае утечки данных или взлома следует убедиться хотя бы в том, что хакеры смогут получить доступ лишь к одной из них, а не всем сразу.
Известно, что 81% утечек связанных со взломом случается из-за слабых паролей. Кроме того, на основе отчёта об утечках данных Verizon, более чем 70% работников повторно используют их пароли на работе. Да, большая часть людей знает, что подобные вещи могут доставить неприятности, но они всё равно продолжают совершать эту ошибку. Не будьте одним из этих людей, отнеситесь к безопасности вашего пароля со всей серьёзностью.
Если вам тяжело придумать сложный пароль для всех ваших учётных записей, то вы всегда можете использовать генератор паролей. Он позволит вам выбрать длину пароля, а также даст возможность добавления в него букв разного регистра, чисел и символов. Это самый простой способ защитить ваши учётные записи всего за несколько секунд.
Добавление Дополнительного Знака в Ваш Пароль Не Сделает Его Более Надёжным
Многие люди используют один и тот же пароль для всех учётных записей и просто добавляют символ, вроде ‘#’ или ‘*’ в начале или в конце. Очень важно понимать, что такие изменения пароля лучше чем ничего, но всё равно относительно просты для взлома.
Существует множество программ, которые могут подбирать пароли. Хакеры используют их для доступа к персональным данным. Поэтому, если вы используете один и тот же пароль с небольшими изменениями для всех ваших учётных записей и хакер узнает хотя бы один из них, то для него может занять лишь несколько минут, чтобы получить доступ к другим вашим учётным записям.
Не Используйте Вашу Личную Информацию в Пароле
Самым худшим, что вы можете сделать при создании пароля, будет использование вашей личной информации. Некоторые люди даже не осознают, что их фамилия, кличка животного, адрес, имя жены/мужа или другая похожая информация может быть легко доступна в сети, что значительно упрощает взлом вашей учётной записи.
Следовательно, если вы используете кличку животного для защиты ваших учётных записей, то “проверка сложности пароля” вам не понадобится – результаты очевидны.
Защищайте Ваши Данные
Большей части читателей интересна “проверка пароля”, однако, есть множество других аспектов, о которых вам стоит позаботится, вроде защиты вашего компьютера и данных от хакеров и вирусов. Позвольте мне дать вам несколько советов, мер безопасности, которые помогут вам это сделать.
Установите Антивирусную Программу
Антивирус является необходимостью для всех, кто обеспокоен своей кибербезопасностью. Он может удалить вирусы с вашего компьютера и защитить вас от вредоносного ПО, вымогателей и шпионов.
На сегодняшний день вы можете найти как платные, так и бесплатные антивирусники, вот некоторые рекомендации для вас:
Избегайте Фишинговых Сообщений
Фишинг означает кибератаку, которая использует электронные сообщения для похищения вашей персональной информации. Когда вы открываете фишинговые сообщения или скачиваете вложения из этих писем, существует риск попадания вирусов или вредоносного ПО на ваше устройство. Это позволит атакующему получить доступ к вашим личным данным, вроде учетных записей, паролей, данных кредитной карты, контактов и так далее.
Даже несмотря на то, что многие из нас уже знают, как распознать фишинговые сообщения, некоторые люди всё равно могут быть обмануты. Распознать фишинговые сообщения не так сложно, когда вы знаете их базовый шаблон и подход. Многие фишинговые сообщения приходят с публичных доменов и просят вас предоставить персональную информацию. Доменные имена очень часто неправильно написаны, а само сообщение выглядит странно, а также имеет подозрительные ссылки или вложенные файлы.
Используйте VPN
VPN (виртуальная приватная сеть) является одним из самых эффективных способов для обеспечения кибербезопасности. Она позволит вам подключиться к Интернету через безопасное и защищённое соединение. Не имеет значения, если вы используете публичную или общую сеть, с VPN всё будет как при использованиии приватной сети.
Когда вы используете публичный WiFi в магазине, кофейне или аэропорту, то различные программы могут с лёгкостью расшифровать ваши данные. VPN является одним из лучших способов защитить вас от подобных угроз, так как подобные программы нацелены на неподготовленных жертв – людей, которые не защищают свои данные. При использовании VPN вы будете оставаться вне зоны риска.
Вы можете найти множество провайдеров услуг VPN, однако, не все из них одинаково безопасны. Вот компании, которые предлагают лучшие VPN сервисы и настоятельно рекомендуются к использованию:
Если вы выберите одного из этих провайдеров, то больше не будете беспокоиться по поводу использования публичного WiFi.
Have I been pwned?
Одним из самых известных сервисов для проверки аккаунтов на утечки является Have I Been Pwned. Сайт был создан после одной из крупнейших утечек клиентских аккаунтов в истории – в октябре 2013 года были украдены данные 153 миллионов учетных записей Adobe. Have I been pwned представляет собой реверсивную поисковую систему, которая проверяет наличие вашей электронной почты или пароли в огромной базе данных взломанных паролей. Просто введите свой адрес почты или пароли, и сервис покажет, фигурировали ли ваши данные в известных утечках.
Firefox Monitor
DeHashed
DeHashed – сервис поиска по базе взломанных и украденных персональных данных, который создан для экспертов по безопасности, журналистов, технологических компаний, а также для обычных пользователей, которые хотят защитить свои аккаунты и своевременно узнавать об утечках.
GhostProject
GhostProject.fr – бесплатный поиск по базе из 1,4 миллионах скомпрометированных учетных данных. База постоянно обновляется и пополняется новыми данными. Чтобы защитить себя, сервис рекомендует отказаться от повторяющихся паролей и использовать только сложные пароли для различных аккаунтов. По возможности следует использовать специализированные приложения, такие как KeePass и включить двухфакторную аутентификацию.
BreachAlarm
BreachAlarm является одним из главных конкурентов Have I Been Pwned. Сервис позволяет проверять электронную почту на утечки бесплатно, а на платной основе вы можете подключить автоматическое оповещение об утечках и дополнительные услуги.
Цена в 30 долларов в год будет адекватной для владельцев коммерческих аккаунтов, малого бизнеса или большой семьи. Никаких ограничений на проверку данных для подписчиков не предусмотрено.
Sucuri Security Scanner
Sucuri Security Scanner использует свои собственный подход – сервис позволяет проверять целые сайты на различные уязвимости, наличие в черных списках и на хакерские атаки. Это идеальный инструмент для блогеров и онлайн-бизнеса. Его лучше использовать совместно с другими сайтами по проверки аккаунтов на утечки.
Как работают подобные сайты
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
К примеру, в мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
Пользователи, беспокоящиеся о своей безопасности в интернет, могут быть взволнованы тем, что их пароль попал руки злоумышленников или оказался в базах данных скомпрометированных паролей. Чтобы избежать лишних волнений, нужно своевременно менять пароли и проверять списки утечек на наличие своего пароля.
Сайты для проверки скомпрометированных паролей
Чтобы не проверять все вручную, перебирая тысячи монотонных строк в огромных списках, можно воспользоваться специализированными сайтами.
Проверка надежности пароля
Сайты для проверки надежности пароля могут стать неплохим помощником при поиске своего пароля в списках скомпрометированных.
Как правило, такие сайты сами используют базы данных с паролями из утечек. Поэтому если ввести даже, казалось бы, надежный пароль, есть шанс того, что на его взлом уйдет значительно меньше времени, чем ожидалось, так как он уже есть в свободном доступе.
Для проверки можно использовать следующие сайты:
Эти сайты полезны не только возможностью узнать об утечке вашего пароля, но и тем, что помогут подобрать ему надежную замену.
Специализированные сайты
Сайты для проверки надежности паролей хотя и являются неплохим вариантом, но не дают подробной статистики, а также не отвечают на вопрос напрямую: попал ли ваш пароль в открытый доступ. Чтобы получить подробности, можно воспользоваться следующими сайтами:
Заключение
Время на прочтение
Последние несколько месяцев анализаторы надежности паролей попадаются мне чуть ли не в каждой форме регистрации в Интернете. В этой области сегодня наблюдается особенно бурный рост.
Вопрос только в том, действительно ли такая программа помогает защитить учетную запись пользователя? Этот аспект интернет-безопасности, конечно, не настолько важен, как некоторые другие, например:
Если учесть указанные выше факторы, то да, я уверен, что программы, тестирующие безопасность паролей, действительно очень перспективны и могут помочь пользователю. В своей книге, изданной в 2006 году под названием «Идеальные пароли: выбор, защита, аутентификация» (Perfect Passwords: Selection, Protection, Authentication), Марк Бернетт (Mark Burnett), подсчитал частоту употребления нескольких миллионов паролей, раскрытых в результате различных утечек данных. Он пишет, что каждый девятый пользователь выбирал пароль из этого списка самых популярных. Среди них такие «крепкие орешки», как: password1, compaq, 7777777, merlin и rosebud. В прошлом году Бернетт провел новое исследование, изучив 6 миллионов паролей, и на этот раз выяснилось, что 99,8% из них входят в список 10 000 самых популярных, а 91% — в список 1000 самых употребительных. Конечно, на результат во многом влияли методология исследования и смещение выборки — например, поскольку большая часть этих паролей была получена из уже взломанных хешей, весь список изначально смещен в сторону легко взламываемых паролей.
Здесь указаны только легко угадываемые пароли, но держу пари, что большой процент остальных все равно достаточно предсказуем и может быть взломан в результате небольшой сетевой атаки. Поэтому я считаю, что благодаря прямому взаимодействию с пользователями такие анализаторы могут действительно помочь в выборе более надежного пароля. Однако на данный момент они, в большинстве своем, только вредят (не считая нескольких программ с закрытым кодом). Вот почему это происходит.
Надежность пароля лучше всего измерять величиной энтропии, выраженной в битах. Энтропия рассчитывается как число вариантов разделения надвое множества возможных паролей. Вот простейший алгоритм оценки надежности пароля:
# n: длина пароля
# c: мощность пароля: размер символьного пространства
# (26 для пароля, содержащего только буквы нижнего регистра, 62 — для пароля, содержащего буквы верхнего и нижнего регистров, а также цифры)
Энтропия = n * lg(c) # логарифм по основанию 2
Поэтому я и решил в качестве независимого проекта для очередной «Недели взломщика», проводимой Dropbox, создать анализатор надежности паролей с открытым кодом, который отсеивал бы простые комбинации и, соответственно, не запрещал бы достаточно сложные фразы-пароли типа correcthorsebatterystaple (вернолошадьбатареяскобка). Сейчас эта утилита размещена на dropbox.com/register и доступна для использования на github. Вы можете самостоятельно поэкспериментировать с демо-версией и оценить несколько паролей.
В приведенной ниже таблице zxcvbn сравнивается с другими анализаторами надежности паролей. Смысл сравнения не в том, чтобы доказать несостоятельность остальных приложений — ведь у каждого сайта своя политика в отношении паролей — а в том, чтобы дать вам лучшее представление об особенностях zxcvbn.
Установка
Система zxcvbn не ограничена типом браузера и работает с Internet Explorer (начиная с версии 7)/ Opera / FireFox / Safari / Google Chrome. Самый простой способ добавить ее на свою страницу регистрации — следующий:
Размер скрипта zxcvbn-async.js — всего лишь 350 байт. После выполнения window.load, когда страница загрузится и отобразится, начнется загрузка zxcvbn.js — «тяжелого» файла в 680 Кбайт (или 320 Кбайт в gzip), большую часть которого составляет словарь. Я ни разу не видел, чтобы размер скрипта создавал какие-либо проблемы: поскольку перед выбором пароля пользователь обычно вводит в форму регистрации другие данные, времени для загрузки скрипта предостаточно. Вот полное описание асинхронной загрузки скрипта в разных браузерах.
Zxcvbn добавляет в глобальное пространство имен одну функцию:
Она принимает один обязательный аргумент (пароль) и возвращает результирующий объект со следующими свойствами:
result.entropy # бит
result.crack_time # оценка фактического времени взлома (сек.)
result.crack_time_display # то же время взлома, в более удобном формате:
# «мгновенно», «6 минут», «века» и т. д.
result.score # рейтинг надежности, равный 0, 1, 2, 3 или 4,
# если время взлома меньше 10**2, 10**4, 10**6,
# 10**8 или бесконечности, соответственно.
# (полезно для графического представления надежности в виде линейчатой диаграммы)
result.match_sequence # выявленные комбинации символов, учтенные при
# подсчете энтропии
result.calculation_time # время расчета ответа (мс); обычно всего несколько мс
Программа zxcvbn написана на CoffeeScript. Файлы zxcvbn.js и zxcvbn-async.js обработаны преобразователем closure, но если вы хотите усовершенствовать zxcvbn, отправьте мне pull-запрос, файл README содержит информацию об установке среды разработки.
Далее по тексту я подробно описываю принцип работы zxcvbn.
Модель
Zxcvbn работает в три этапа: match (сверка), score (расчет), search (поиск).
entropy = lg(26*5) # около 7 бит
Функция search является краеугольным камнем модели. Я начну с нее и вернусь к началу.
Поиск минимума энтропии
Zxcvbn рассчитывает степень энтропии пароля как сумму энтропий его составных частей. Любые части пароля, находящиеся между идентифицированными комбинациями, считаются последовательностями, угадываемыми перебором, также имеющими собственную энтропию. Вот пример энтропии, состоящей из энтропии фамилии, энтропии перебора и энтропии клавиатуры:
entropy(«stockwell4$eR123698745») == surname_entropy(«stockwell») +
bruteforce_entropy(«4$eR») +
keypad_entropy(«123698745»)
Здесь мы делаем серьезное допущение, что энтропия пароля является суммой энтропий его частей. Однако это допущение весьма консервативно. Не принимая в расчет «энтропию конфигурации» — т. е. энтропию числа и расположения частей пароля — zxcvbn намеренно недооценивает общую энтропию, не приписывая структуре пароля никакой ценности: программа предполагает, что взломщику структура пароля уже известна (например, «фамилия-подбираемая комбинация-цифры»), и рассчитывает только число попыток угадать элементы пароля. Таким образом, энтропия паролей со сложной структурой сильно недооценивается. Взламывая пароль correcthorsebatterystaple (слово-слово-слово-слово), взломщик при помощи таких программ, как L0phtCrack или John the Ripper, как правило, сначала переберет множество более простых структур (слово, слово-цифра, слово-слово), пока дойдет до слово-слово-слово-слово. Однако есть три причины, по которым этот недостаток программы меня не беспокоит:
Разобравшись с этим допущением, давайте рассмотрим эффективный динамический алгоритм на CoffeeScript, позволяющий найти минимальную непересекающуюся последовательность соответствий. Время его работы — O (n•m) для пароля длины n, включающего m возможных совпадений символьных комбинаций (включая пересекающиеся).
Соотношение между энтропией и временем взлома
Понятие энтропии не слишком прозрачный показатель. Как понять, достаточно ли надежен пароль на 28 бит? Иными словами, как перейти от оценки энтропии непосредственно ко времени взлома? Для этого применяется модель угрозы. Предположим, что:
Некоторые ориентировочные цифры:
Вычисление энтропии
Теперь рассмотрим, как zxcvbn рассчитывает энтропию каждой комбинации символов в пароле. Точка входа — calc_entropy(). Это простой выбор:
Выше я в общих чертах объяснил, как работает функция repeat_entropy. С полным текстом кода расчета энтропии можно самостоятельно ознакомиться на github, но чтобы дать вам некоторое представление о нем, я опишу две другие расчетные функции: spatial_entropy (энтропия клавиатурных комбинаций) и dictionary_entropy (словарная энтропия).
Рассмотрим клавиатурную комбинацию qwertyhnm. Она начинается с символа q, ее длина — 9 символов, и у нее есть три направления движения: сначала движение направо, затем вниз и направо, затем снова вниз и направо. Параметризируем данную комбинацию:
Тогда общее пространство возможностей включает все возможные клавиатурные комбинации длины L или менее, имеющие t или менее смен направления:
Функция «биноминальный коэффициент из (i – 1) по (j – 1)» подсчитывает возможные конфигурации смены направлений для клавиатурной комбинации длины i, имеющей j смен направления. К обоим элементам добавляется «-1», поскольку первая смена направления всегда происходит на первой букве. При каждом из j смен направлений существует d возможных направлений, т. е. всего dj возможностей на каждую конфигурацию. Взломщик также должен перебрать все начальные символы, отсюда коэффициент s в формуле. Сама формула весьма приблизительна — в частности потому, что многие варианты, учтенные в ней, на реальной клавиатуре невозможны: для клавиатурной комбинации длины 5 с 1 сменой направления операция «начать с “q” и двигаться влево» учтена, но невозможна.
Это выражение на CoffeeScript можно записать так:
Переходим к словарной энтропии:
Самая важная строка — первая: к каждому совпадению привязан свой ранг частоты употребления: такие слова, как the и good имеют низкий ранг, а слова типа photojournalist и maelstrom — высокий. Это позволяет zxcvbn на ходу масштабировать вычисления в соответствии с размером словаря, поскольку, если в пароле используются только распространенные слова, его можно взломать с применением меньшего словаря. Это одна из причин, по которым энтропия пароля correcthorsebatterystaple немного разнится по версиям xkcd и zxcvbn (45,2 бит и 44 бит соответственно). В xkcd использовался фиксированный словарь размером 211 (около 2000 слов), а zxcvbn адаптирует рабочий словарь к конкретной ситуации. Поэтому zxcvbn.js содержит полные словари, а не компактный фильтр Блума, и помимо проверки принадлежности комбинации к определенному массиву, необходимы сведения о ее ранге.
В конце данной статьи, в разделе «Данные», я поясню, откуда берутся ранги по частоте. Энтропия, связанная с использованием букв верхнего регистра, рассчитывается следующим образом:
Таким образом, получаем 1 дополнительный бит энтропии для схемы «первая заглавная» и других распространенных схем. Если же схема использования заглавных букв не относится к распространенным, она добавляет нам:
Вычисления по замещающим символам l33t аналогичны, но тогда вместо переменных для заглавных и строчных букв используются переменные для замененных и незамененных символов.
Совпадение комбинаций
Выше я рассказал вам о методах вычисления энтропии комбинаций, но еще не объяснил, как zxcvbn находит сами комбинации. Сверка со списком слов в словаре — довольно простая процедура: каждая подстрока пароля проверяется на наличие ее аналога в словаре:
Ranked_dict определяет частоту употребления слова. Это похоже на массив слов, но только отсортированный сверху вниз по частоте употребления, при этом частота и значение меняются местами. Замены l33t определяются отдельной функцией, использующей в качестве примитива dictionary_match. Клавиатурные последовательности (например, bvcxz) определяются при помощи смежностных графов, с подсчетом смен направления и сдвигов. Даты и года определяются при помощи регулярных выражений. В разделе matching.coffee на github можно узнать о механизме сверки со словарем подробнее.
Как уже говорилось ранее, список 10 000 самых распространенных паролей взят из статьи Бернетта, опубликованной в 2011 году.
Частотный словарь имен и фамилий был составлен на основе данных переписи населения США 2000 года, находящихся в свободном доступе. Чтобы программа zxcvbn не приводила к сбоям в работе Internet Explorer 7, я обрезал длинный словарь фамилий на 80 % (т. е. 80 % американцев носят фамилии, встречающиеся в этом списке), а словарь имен — на 90 %.
Словарь 40 000 самых распространенных слов в английском языке был взят из материалов одного проекта на Wiktionary, составленных на основе около 29 млн. слов из телевизионных программ и фильмов, демонстрируемых в США. Расчет был на то, что все списки, которые я нашел в Интернете, и все слова из телевизионных и киносценариев будут наиболее употребительными (следовательно, будут часто встречаться в паролях), а потому представляют собой лучшие источники — однако это лишь непроверенная гипотеза. Списки с момента составления немного устарели, например, Frasier стоит на 824-м месте по частоте употребления.
На первый взгляд может показаться, что создать хорошую программу для оценки надежности паролей почти так же сложно, как и хорошую программу для их взлома. По определению это так, если ваша цель — точность, ведь «идеальная энтропия» в соответствии с идеальной моделью измеряется именно количеством вариантов, которые нужно перебрать программе взлома (используемой смышленым взломщиком) для подбора пароля. Но в данном случае цель программы заключается не в точности, а в том, чтобы дать пользователю хороший совет при выборе пароля. И это даже упрощает задачу: например, я могу позволить себе недооценить степень энтропии пароля, и единственным недостатком этого будет отбор программой более надежных паролей, чем нужно (что может раздражать пользователя, но не создаст для него опасности).
Точная оценка надежности пароля остается нелегкой задачей, в основном ввиду существования огромного количества возможных комбинаций. Zxcvbn не распознает слова, если из них убрать первую букву или гласные или написать их с ошибками; не распознает n-граммы; почтовые индексы крупных населенных пунктов; разорванные клавиатурные последовательности (например, qzwxec) и многое другое. Неочевидные комбинации (например, числа Каталана) распознавать не столь важно, однако каждая общеупотребимая комбинация, не распознанная zxcvbn, но известная взломщику, приводит к завышению оценки энтропии пароля — и это самой большой дефект программы. Возможные пути его устранения:
Тем не менее, я считаю, что даже с учетом этих недостатков, zxcvbn дает пользователям весьма дельные советы по выбору надежного пароля в мире, где слишком часто выбираются неудачные пароли. Надеюсь, эта программа окажется полезной и для вас. «Форкните» ее на github и развлекайтесь!
Большое спасибо Крису Варенхорсту, Гаутаму Джайраману, Бену Дарнеллу, Алисии Чен, Тодду Айзенбергеру, Каннану Гундану, Крису Бекманну, Райану Хантеру, Брайану Смиту, Мартину Бейкеру, Ивану Киригину, Джулии Танг, Тидо Великому, Рэмзи Хомсэни, Барту Волькмеру и Саре Нийоги за рецензирование данной статьи.
Перевод выполнен ABBYY Language Services
p.s. В комментариях принимаются идеи на тему «где брать материалы для перевода», «материалы какой тематики интересуют хабрапользователей» и даже конкретные ссылки — претенденты на перевод.
Познакомьтесь с Internxt
Безопасное надежное облачное хранилище
Инструмент для проверки надежности пароля
Мы не храним пароли и не передаем их третьим лицам
Количество раз, пароль был найден в утечках
Количество раз, когда этот пароль был найден в известных базах утечек.
Время взлома этого пароля на обычном компьютере.
Используйте надежный пароль для бесплатного аккаунта Internxt
Почему важно иметь надежный пароль
Зачем нужно использовать программу проверки надежности пароля и почему важно периодически обновлять или улучшать пароли? Потому что, не все пароли одинаковы. Не все пароли надежны.
Что такое надежный пароль?
Надежный пароль должен следовать нескольки правилам, это убережет его от взлома. Надежный пароль должен:
Иметь минимальную длину 8 символов
Содержать не менее 3 заглавных букв
Содержать не менее 3 строчных букв
Содержать не менее 3 цифр
Не менее 3 неалфавитно-цифровых символа
Не содержать последовательные символы
Ваш пароль невозможно взломать, но как насчет вашего хранилища данных?
Храните свои файлы в безопасности и конфиденциальности с помощью Internxt
Защитите свою конфиденциальность с помощью безопасного инструмента проверки паролей
Хотите проверить насколько надежен ваш пароль или пройдет ли он проверку надежности? Наша бесплатная и безопасная программа проверки паролей была разработана для анализа, оценки и улучшения ваших паролей. С помощью нашего инструмента вы сможете легко:
Насколько безопасна наша онлайн программа проверки паролей?
Важно убедиться, что онлайн-программа проверки паролей, которую вы хотите использовать, разработана компанией, занимающейся вопросами кибербезопасности. Прежде чем запускать любой менеджер паролей, программу проверки паролей или генератор паролей, проверьте, является ли адрес веб-сайта надежным и заслуживающим доверия.
Все продукты и инструменты Internxt в первую очередь ориентированы на пользователя. Наш генератор паролей, как и наши облачные сервисы на 100% имеют открытый исходный код и проходят независимую проверку.
Почему стоит доверять програме проверки паролей от Internxt?
В Internxt мы создаем безопасные, зашифрованные технологии с нулевым разглашением. Все наши сервисы разрабатываются с учетом безопасности пользователей и все наши сервисы созданы для того, чтобы обеспечить безопасность ваших данных.
По нашему мнению, программа проверки паролей, а также другие бесплатные ресурсы, онлайн-инструменты и облачные сервисы хранения данных должны служить пользователям, и обеспечивать безопасность их данных.
Мы не храним данные пользователей. Мы не зарабатываем на рекламе и не продаем данные пользователей. Мы шифруем всю информацию при загрузке в Internxt. Мы работаем над тем, чтобы Web3 обеспечивало безопасные онлайн сервисы для всех.
Internxt возьмет это на себя!
Другие бесплатные инструменты для обеспечения онлайн безопасности
Использование безопасных онлайн программ и проверенных инструментов может значительно снизить риск кражи личных данных и утечки информации.
В дополнение к инструменту проверки паролей, был разработан бесплатный сканер вирусов для избежания заражения файлов, и удаления вредоносных программ с вашего компьютера.
Ознакомьтесь с нашим Каталогом конфиденциальности, список компаний и некоммерческих организаций, занимающихся защитой цифровых прав, активно отстаивающих право на неприкосновенность частной жизни и защиту пользователей интернета посредством социальных инициатив и цифрового образования.
Попробуйте бесплатные инструменты Internxt:
Бесплатный конвертер байтов
Бесплатная временная почта
Появились вопросы? Мы с удовольтвием ответим
С помощью инструмента для проверки надежности пароля Internxt вы можете проверить свой пароль и убедиться, что он максимально надежен. Кроме того, все пароли, введенные в нашу программу проверки безопасности паролей, не хранятся, что делает их безопасными для использования в любых ваших учетных записях.
Как правило, чем длиннее и сложнее пароль, то есть чем больше различных цифр, букв и символов, тем лучше. Введите свой пароль в нашу программу проверки паролей и узнайте его надежность!
Следуйте правилам, перечисленным выше, или ознакомьтесь с нашей статьей о том, как создать надежный пароль. Если вам все еще сложно придумать пароль, найдите легальный генератор случайных паролей и надежный сервис сделает это за вас. Только не забудьте запомнить пароль, который создадут для вас.
С помощью программы для проверки паролей от Internxt вы можете проверить свой пароль и убедиться, что он максимально безопасен. Введите свой пароль в нашу программу проверки паролей и узнайте!
С помощью программы проверки паролей Internxt вы можете проверить свой пароль и убедиться, что он максимально безопасен. Кроме того, все пароли, введенные в нашу программу проверки паролей, не хранятся, что делает их безопасными для использования в любых ваших учетных записях.
Можно загрузить надежный менеджер паролей, который будет управлять всеми вашими паролями. В некоторых браузерах есть функции сохранения и генерации паролей.
Хорошим примером надежного пароля является fG,P6tQnRz-Ur$a. Этот пароль нелегко запомнить, но его чрезвычайно трудно взломать. Менеджеры паролей могут помочь вам создавать надежные пароли и управлять ими.
Храните файлы в безопасном облачном хранилище, используя мобильные приложения для iOS и Android.
Новостная рассылка
Хотите получать новости о наших обновлениях и новых инструментах?
Подписываясь, вы соглашаетесь с нашей
Пользователь придумывает пароль, когда создает аккаунт на сайте банка, государственного учреждения или в социальной сети. Сложность и надежность пароля – характеристики, от которых зависит защищенность аккаунта. От защищенности зависит сохранность личной информации и денег. Рассказываем, что отличает хороший пароль от плохо и как проверить его сложность и надежность.
За сложность и надежность пароля отвечают два фактора: криптостойкость и отсутствие скомпрометированности.
Составляющие хорошего пароля
Создать надежный пароль просто. Используйте специальный генератор паролей или придумайте его сами, соблюдая следующие условия:
Обратите внимание! Некоторые интернет-ресурсы запрещают использовать в паролях буквы русского алфавита. На таких сайтах используйте только латинский алфавит.