Что такое пароль пользователя
Исследование на тему паролей
Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Пароль [parole] — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Sony Pictures database
Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Длина пароля
Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.
Используемые символы
Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.
Словарные пароли
При данной проверке использовался словарь на 1.7 млн слов. Взять можно здесь dazzlepod.com/site_media/txt/passwords.txt Как видим результат неутешительный, больше трети пассов, словарные.
Тест на уникальность
В базу Sony Pictures так же включены пароли для других сервисов. Собственно на таблице отображено, сколько юзеров везде используют один и тот же пасс.
Брутфорс хеша
Поскольку все пароли хранились в открытом виде, но даже в случае если это были-бы хеши, нам удалось бы дешифровать примерно 82% от общего числа, с применением радужных таблиц.
E-mail password’s
Пароли можете даже не пробовать сопоставлять, поскольку все это дело было намерено перемешано. Поскольку целью было не компрометация пользователей, а проведение анализа используемых паролей. Изначально список состоял из 24,546 записи. Все они имели следующий формат username@domain/password. После проведение небольшой очистки, осталось 23,573 аккаунта. Затем были удалены дубликаты и на выходе получился список из 21,686 аккаунта.
Основная масса это были мыльники популярного зарубежного почтовика hotmail.com. Но надо отметить, что присутствовали и другие почтовые системы, такие как Yahoo, Gmail, AoL и т.д. Нижу будет представлен ТОП-20 доменов и количество учетных записей для каждого из них.
1. hotmail.com – 12478
9. sbcglobal.net – 275
10. hotmail.co.uk – 206
11. neomail.com – 153
15. bellsouth.net – 95
20. earthlink.net – 46
Если мы посмотрим на имена пользователей, то можем наблюдать, что первые 9,586 из них расположены в алфавитном порядке. Они начинаются с букв «A» & «B». Исходя из используемых ими паролями, можно сделать вывод, что они относятся к латинскому сообществу. Но так же присутсвуют аккаунты со всего мира.
Наиболее часто используемый пароль по прежнему остается 123456. Как вы можете увидеть ниже, из общего числа в 21,866 паролей, 91 из них 123456. Вот ТОП-100 наиболее часто используемых паролей из списка.
1. 123456 – 91
2. neopets – 39
3. monkey – 27
4. 123456789 – 26
5. 123321 – 24
6. password – 23
7. iloveyou – 17
8. princess – 16
9. horses – 16
10. tigger – 15
11. pokemon – 14
12. cheese – 14
13. 111111 – 13
14. kitty – 13
15. purple – 12
16. dragon – 12
17. nicole – 12
18. 1234567 – 11
19. alejandra – 11
20. daniel – 11
21. bubbles – 10
22. alejandro – 10
23. michelle – 10
24. 12345 – 10
25. hello – 10
26. c***** – 10
27. chocolate – 9
28. hottie – 9
29. alberto – 9
30. 12345678 – 9
31. fluffy – 9
32. buddy – 9
33. 123123 – 9
34. cassie – 9
35. andrea – 9
36. secret – 9
37. shadow – 9
38. tequiero – 9
39. ****llica – 9
40. poop – 8
41. hi – 8
42. sebastian – 8
43. jessica – 8
44. adopt – 8
45. 654321 – 8
46. justin – 7
47. newpw123 – 7
48. scooter – 7
49. soccer – 7
50. holly – 7
51. hannah – 7
52. flower – 7
53. 1234 – 7
54. jessie – 7
55. ashley – 7
56. tiger – 7
57. lauren – 7
58. football – 7
59. elizabeth – 7
60. casper – 7
61. roberto – 7
62. 000000 – 7
63. legolas – 7
64. estrella – 7
65. 159753 – 7
66. anime – 7
67. sabrina – 6
68. moomoo – 6
69. angelica – 6
70. cat123 – 6
71. bonita – 6
72. buster – 6
73. kitten – 6
74. killer – 6
75. qwerty – 6
76. chelsea – 6
77. sasuke – 6
78. olivia – 6
79. theresa – 6
80. america – 6
81. beatriz – 6
82. mariposa – 6
83. oscar – 6
84. rainbow – 6
85. yellow – 6
86. cool – 6
87. ginger – 6
88. maggie – 6
89. friends – 6
90. asdfgh – 6
91. abc123 – 6
92. neopet – 6
93. dancer – 6
94. amanda – 6
95. avatar – 6
96. boogie – 6
97. greenday – 6
98. thumper – 6
99. 666666 – 6
100. bob – 6
По формату паролей, можно извлечь следующую статистику.
43.3% — буквы, в нижнем регистре. Пример: monkey
2.1% — буквы, верхний и нижний регистр. Пример: Thomas
15.8% — только цифры. Пример: 123456
35.1% — буквы и цифры. Пример: j0s3ph
3.6% — буквы, цифры и спец. символы. Пример: sandra19_1961
30% — заканчивается цифрой. Пример: hello1
Если мы посмотрим на длину пароля в следующем графике, то мы увидим, что большинство из них 6-символьные. 
Rootkit.com
6 февраля 2011, как часть атаки на HBGary, группировка Anonymous, с применением методов социальной инженерии, удалось скомпрометировать Jussi Jaakonaho, одного их технических админов rootkit.com. В итоге был заполучен полный дамп ресурса со всей базой данной, в том числе и пользователей.
Для дешифровки использовался John the Ripper. Большинство паролей были подобраны с применением словаря на 17.5 MB, а остальные добивались с помощью других комбинированных атак. Ниже представлены 10 наиболее часто используемых паролей.
Rank Password Accounts
1 | 123456 | 1023
2 | password | 392
3 | rootkit | 341
4 | 111111 | 190
5 | 12345678 | 181
6 | qwerty | 175
7 | 123456789 | 170
8 | 123123 | 99
9 | qwertyui | 92
10 | letmein | 91
Как мы видим снова засветился уже побитый 123456. Так же стоит отметить тот факт, 3 место по популярности, занял пароль аналогичный названию ресурса, аж 341 результат. Я так же хочу добавить основываясь на своем многочисленном опыте, когда работаешь с базами, по дешифровке пассов, довольно часто попадаются ресурсы, которые в качестве пароля используют адрес этого самого ресурса. При этом данное наблюдение не является правило. Но на моей практике уже были порталы, где % таких пассов был достаточно велик, а были где вообще не использовался ни разу. Я пока не нашел зависимости данного наблюдения.
А по следующей ссылке вам будет доступен ТОП-500 используемых паролей на ресурсе rootkit.com:
dazzlepod.com/rootkit/password
Для проверки надежности пароля
Скорость подбора с помощью пароля можно описать нехитрой математической формулой: количество возможных символов, возведенное в степень длины пароля, поделенное на количество перебираемых паролей в секунду. В результате получается примерное время в секундах. Впрочем, чтобы доказать человеку, что на деле означает простой пароль, не нужно грузить его математикой. Достаточно зайти на сайт How Secure Is My Password?, ввести <> (слово > в латинской раскладке) и показать, что такой пасс сбрутится на обычном PC за 30 секунд. Вобщем потестить пароли довольно интересно: сразу становится видно, что длина пароля намного важнее его сложности. Для взлома «#R00t$H3ll» уйдет 195 лет, а на, казалось бы, простой «abcdefg1234567» — 5722 года.
И как когда-то написал админ insidepro:
Интересное наблюдение — последние пару недель наша база hash.insidepro.com по параметру «Webcrack today» ежедневно лидирует, что не может не радовать. Причем наступающий «на пятки» сервис www.md5decrypter.co.uk (очень достойный сервис, имхо) имеет базу в 5 млрд. хэшей, но получается, что наша 33-миллионная база эффективней, несмотря на то, что она меньше более чем в 150 раз. Это еще раз подтверждает тезис — «дело не в количестве, а в качестве».
Поэтому чтобы удачно вскрывать и дешифровывать пароли, не надо сразу лезть качать rainbow table которые весят сотни гигабайт. А достаточно разобраться в вопросе, тогда относительно не большая база, которую вы будете время от времени пополнять, будет показывать очень хороший результаты по пробиваемости.
Что такое логин и пароль: для чего нужен, как создать, каким должен быть для регистрации
В настоящее время вряд ли найдется в мире человек, который не пользуется интернетом. Конечно, если не принимать во внимание географическое положение, ментальность или разного рода ограничения, вводимые политическим строем некоторых стран.
Всемирной сетью пользуются все, от мала до велика: для развлечения, общения, образования, шоппинга или ведения бизнеса. Независимо от сути пребывания на том или ином онлайн-сервисе, чтобы иметь возможность совершать какие-либо действия, нужна процедура регистрации личного профиля. И первое, с чем на этом этапе сталкивается новоявленный пользователь ресурса, это создание логина и пароля.
Что такое логин и пароль
Логин имеет англоязычное происхождение и выражает смысл слова «войти» (дословный перевод английского login). Его создание – одна из основных составляющих частей процедуры регистрации. Может состоять из букв латинского алфавита, символов и цифр.
Следует отметить, что на некоторых ресурсах в поле регистрации вместо строки логин используется имя пользователя. Несмотря на бытующее иное мнение, важно понимать, что это не одно и то же, хотя на стадии входа в личный аккаунт выполняет одинаковую функцию идентификации пользователя.
Login является одной из основных частей доступа в личный кабинет, не является общедоступной информацией и известен только непосредственно владельцу профиля и администрации ресурса, на котором открыт аккаунт. В то время как имя пользователя – это реальное имя и фамилия, псевдоним или ник, которое будет видно всем участникам сообщества, подписчикам и т.д. Для сохранения безопасности профиля лучше все-таки разделять два этих понятия и не использовать имя пользователя в качестве логина.
Пароль (Password) для входа в аккаунт также задается на стадии регистрации и сохраняет в сети интернет свою основную смысловую нагрузку, то есть, выполняет такие же функции защиты от постороннего доступа, как и в других сферах жизни.
Для чего нужен
Из сказанного выше можно сделать вывод, что логин и пароль являются основными идентификаторами пользователя, зарегистрировавшегося на определенном ресурсе, и используются им для входа в личный кабинет (профиль, аккаунт). Они, как два сапога, не функционируют отдельно друг от друга, только порой. При неверном введении в соответствующие строки одного из параметров в доступе к аккаунту будет отказано.
Как создать
В зависимости от того, на каком ресурсе необходимо зарегистрироваться, логин и пароль нужно придумывать самостоятельно, либо они будут предложены системой (в некоторых случаях с возможностью последующего изменения на свои варианты – рекомендуется).
В связи с тем, что интернет сообщество увеличивается постоянно, при каждой новой регистрации стало довольно сложно придумать уникальный (никем не используемый на конкретном сервисе) логин, а это необходимо для последующей идентификации пользователя. Может возникнуть ситуация, когда вводимое значение не принимается системой и, обычно, предлагаются иные варианты с добавлением к исходнику цифр или символов. Тут дело личного выбора: согласиться с одним из предложенных вариантов или все-таки придумать новый уникальный (рекомендуется).
Создание пароля – дело не менее ответственное. Не желательно использовать при кодировании имена детей и близких родственников, клички домашних питомцев, даты рождения или других знаковых событий, о которых можно узнать из общедоступных источников информации. Именно такие данные используются мошенниками в первую очередь при попытке взлома.
Требования и рекомендации для регистрации
Обычно длина логина ограничивается интервалом шесть-двадцать символов. Начинается пароль как правило с буквы, а далее можно добавлять цифры или символы (тире, нижнее подчеркивание или точка, но не завершающим символом). Пробелы не допускаются. Так как логин можно вводить в любом регистре, то нет необходимости использовать в нем заглавные буквы: MOREMAN, moreman, mOrEman – это все одни и тот же символы.
Что касается пароля, то в нем наоборот рекомендуется использование букв в разных регистрах, наряду с цифрами и символами. Максимальная длина кода не ограничивается и зависит от предпочтений пользователя. А вот минимальные ограничения есть: восемь символов, не менее.
Какой логин лучше придумать
Несмотря на неоднократно встречающиеся в сети советы типа: «придумайте звучный и легко запоминающийся», не рекомендуется использовать в нем реальные фамилию и имя (пусть даже и на латинице). Как уже говорилось выше логин и имя пользователя – это схожие, но, тем не менее, разные понятия. Достаточно придумать такой, который легко запомнится автором и будет принят системой.
Какой пароль лучше придумать
Как уже сказано выше, количество знаков в пароле должно быть не менее восьми символов. Хочется больше? – это только увеличит надежность кода. Использовать лучше строчные и заглавные буквы в комбинации с цифрами и символами. Также хорошим вариантом кодировки считается написание слов на русском языке в английской раскладке (только важно помнить, что слово при этом не должно быть простым). Хорошим подспорьем, помимо комбинации с цифрами в начале или в конце пароля, будет использование замены одной или нескольких букв «внутри» слова цифрами с похожим начертанием.
Зачем нужен сложный пароль
Чем сложнее замок, тем труднее подобрать отмычку.
Одна из самых важных рекомендаций: не использовать один и тот же пароль на разных сервисах. Это, конечно, облегчает задачу запоминания, но и решение мошенников по взлому сразу нескольких аккаунтов пользователя будет значительно упрощено. Не стоит давать им такую фору. Даже если содержащаяся в профилях конфиденциальная информация, содержащаяся в личном кабинете, на ваш взгляд не представляет никакой ценности, она может быть использована мошенниками во вред.
Еще один важный момент: не рекомендуется разрешать браузерам запоминание пароля. Лучше пользоваться старым дедовским методом и записывать все в блокнот. Это не очень современно, но зато надежно. Если по роду деятельности или социальной активности у вас имеется большое количество аккаунтов на разных площадках, то есть вариант использования специальных софтов для хранения идентификационных данных. Здесь желательно получить совет у квалифицированного специалиста или продвинутого программиста.
Что делать если забыл логин или пароль
Восстановление конфиденциальной информации возможно. Главным образом, именно для этого проводится процедура подтверждения контактных данных в момент регистрации аккаунта. В поле входа на тот или иной ресурс (обычно внизу окна) находится кнопка «забыли пароль?». Именно посредством нажатия этой кнопки создается системный запрос на восстановление логина или пароля. Новые варианты кодов для доступа в профиль будут присланы на электронную почту. После восстановления доступа рекомендуется изменить пароль в личных настройках аккаунта.
Как сменить
Чаще всего изменение логина невозможно, за исключением тех сервисов, на которых это адрес электронной почты, указанный при регистрации. Тем не менее, изменение не рекомендуется, так как это основной идентификатор, по которому пользователь распознается системой.
Изменение старого пароля на новый возможно и даже рекомендуется (один-два раза в год с целью безопасности аккаунта). Обычно эта процедура доступна в настройках личного кабинета и достигается двойным введением нового пароля в соответствующем запросе.
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.
Советы по созданию уникальных надежных паролей
Почему важно иметь надежный пароль
Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома.
Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные действия, чтобы укрепить стойкость своих паролей.
Угрозы безопасности паролей
Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.
Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.
Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей.
Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:
Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.
Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.
При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.
Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. Если вы считаете, что вам нужна защита от фишинга, рекомендуем вам установить Kaspersky Internet Security.
Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.
Как создать надежный пароль
Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:
Типы надежных паролей
Существует два основных подхода к составлению надежных паролей.
Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.
Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).
Кодовые фразы работают, потому что:
Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.
Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).
Цепочки случайных символов работают, потому что:
Примеры надежных паролей
Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.
Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.
Пример 1: dAmNmO!nAoBiZPi?
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Пример 3: яростьуткапростолуна
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Как пользоваться паролями и как их запоминать
Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.
Чтобы обеспечить безопасность:
Вместо этого пользуйтесь следующими методами:
Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.
Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:
Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.
Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.