Как составить свою комбинацию паролей

Придумать надежный пароль и запомнить его | Интернет без бед

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны. 

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон. 

Но согласись – мало приятного, осознавать, что твой единственный пароль от всех сервисов стал известен кому-то. И теперь только вопрос времени, когда он попробует его ввести на других сайтах в связке с твоим емейлом. А там – бонусные баллы в магазинах, твои адреса доставки и другие персональные данные.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

А теперь лайфхак. 3 часть не надо придумывать или запоминать! Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM – значит будет GOO.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно. 

Формулу компонуем по принципу:

или

Вот лишь некоторые примеры, что может получиться:

• 12Pianino?YAN

• ?YANPianino12

• Pianino?YAN12

• Pianino12YAN?

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект “Интернет без бед”.

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Подробней о миссии: https://www.youtube.com/watch?v=bt6Us…

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

#internetnotbad #интернетбезбед

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Проверка VASYA123

Для аналитики могу предложить почитать статью:

Из которой можно взять на заметку, что обычные юзеры популярных сайтов очень часто используют лишь буквенные пароли и не заморачиваются. Знание мнемонических приемов, которыми не ограничивается приведенный в этой статье вариант, значительно помогает запоминать важную информацию, в частности – пароль.

Генератор паролей создает пароли в реальном времени. Созданные пароли нигде не сохраняются и отображаются только на Вашем устройстве (ПК, планшете или смартфоне).

Каждый раз при изменении настроек, нажатии кнопки “Сгенерировать” или перезагрузке страницы создаются новые пароли.

“По умолчанию” для генерации паролей используются английские строчные и заглавные буквы, цифры и некоторые служебные символы. Для изменения списка символов используйте
“Настройки генератора паролей”

Настройки генератора паролей

Длина пароля
Генератор паролей создает пароли длиной от 5 до 30 символов. Изначально генерируются пароли длиной 10 символов. Вообще, не рекомендуется использовать пароли длиной меньше 7 символов.
Использование более длинных паролей рекомендуется для более стойкой защиты от взлома, но скорее всего будет неудобно для сохранения или запоминания.

Английские и русские буквы
Традиционно, для паролей используются английские (латинские) буквы, однако, можно использовать и русские.
Русские буквы значительно повышают сложность паролей при попытке взлома путем перебора, но будьте осторожны, возможно, некоторые системы не поддерживают пароли, в
составе которых есть кириллица. Рекомендуется предварительно проверить.

Цифры
Цифры в пароле должны быть обязательно. Наличие цифр в пароле улучшает качество пароля, при этом пароли с цифрами легче запоминаются.

Специальные символы
Пароли, в состав которых входят специальные символы, наиболее стойкие к взлому. Многие системы при регистрации требуют, чтобы в состав пароля обязательно входили служебные символы.
Рекомендуем не пренебрегать использованием подобных символов и включать их в состав генерируемого пароля.

Исключения

Русские символы похожие на английские и английские символы похожие на русские
Если при использовании генератора паролей онлайн Вы используете как английские, так и русские буквы, можете столкнуться с проблемой визуальной “похожести” некоторых английских и русских символов.
Такие буквы как А и A, B и В, С и C, E и Е (а, ай, вэ, би, эс, си, е, и) – это разные буквы, хотя и выглядят одинаково. Для того чтобы избежать путаницы при последующем использовании паролей, воспользуйтесь соответствующим
пунктом настроек.

Исключить гласные или исключить согласные
Используйте эти пункты дополнительных настроек если хотите исключить гласные или согласные буквы при генерации паролей.

Исключить похожие символы
Посмотрите на символы I, l, 1, | (ай, эль, единица, вертикальная черта). Такие буквы, символы и цифры очень похожи при написании, поэтому могут возникнуть ошибки при сохранении
и последующем использовании пароля. Для того чтобы исключить подобные ошибки, воспользуйтесь этим пунктом настроек.

Другие настройки

Список используемых символов
В окне списка используемых символов генератора паролей находятся все те символы, из которых составляются пароли с учетом текущих настроек. Список можно редактировать – удалять ненужные и добавлять
необходимые Вам символы. При удалении или добавлении символов в окне редактирования списка, автоматически генерируются новые пароли, с учётом произведенных изменений.

Сбросить настройки
Все настройки, произведенные в процессе использования генератора паролей, автоматически сохраняются в памяти (cookies) Вашего браузера. Сохраняются именно настройки, но не пароли! Как уже
упоминалось выше – пароли каждый раз генерируются новые. Для того чтобы сбросить настройки в первоначальное состояние, используйте ссылку “Сбросить настройки”. При сбросе автоматически
генерируются новые пароли с учетом первоначальных настроек.

Ссылка на генератор паролей
Если хотите отправить ссылку на “Генератор паролей” другу или опубликовать в социальных сетях, скопируйте адрес из специального окна находящегося в нижней части корпуса генератора.
Вместе с ссылкой передаются и выбранные Вами настройки.

Сложный пароль — базовая мера защиты ваших данных от попадания не в те руки. Тем не менее, он ещё не гарантирует, что до вашей ценной информации никто не доберётся. Но, как минимум, с хорошим паролем вы сможете снизить такую вероятность.

• Что делает пароль надёжным
• Как придумать надёжный пароль

Рассмотрим несколько паролей. Все три — крайне просты для подбора, кроме того, входят в топы популярных паролей из утечек последних лет. 

Первый — содержит клавиатурные последовательности символов. 

Второй — фактически обычное слово с подменой символов на похожие. 

goldfish: o → 0; i → 1

Третий — фраза «elite hacker», написанная в стиле «leet». 

И все три варианта служат отличным примером, как не надо подходить к придумыванию пароля.

Что делает пароль надёжным

Сложность пароля, или устойчивость к подбору, определяется несколькими факторами одновременно.

Важно уточнить, что всё нижеперечисленное актуально для паролей, при создании которых учтены базовые требования к безопасности:

• пароль не хранится в открытом виде, не пересылается по электронной почте или в мессенджерах, не хранится в браузере;
• один пароль не используется сразу для нескольких сайтов или приложений;
• пароль не содержит личной информации (дат, имён, фамилий, отчеств, имён питомцев и пр.);
• пароль не содержит слов (в любой форме);
• пароль не содержит прослеживаемых последовательностей символов с клавиатуры;
• пароль сгенерирован случайным образом, либо при генерации использован нестандартный способ, который сложно разгадать;
• работа с сервисом осуществляется с обновлённого, просканированного на вирусы устройства в безопасной сети по защищённому соединению (SSL).

Длина пароля

Всего несколько лет назад нормальной практикой было использовать 7-ми или 8-символьные пароли. В текущих реалиях же подбор пароля из семи символов, точнее, его хэша, займёт всего ~29 миллисекунд. 8-символьный пароль можно подобрать в течение нескольких (~5-8) часов.

Всё благодаря технологическому прогрессу: с появлением более мощного железа увеличивается возможное количество попыток подбора в секунду, тем самым сокращается время на расшифровку. Ну и хакеры не теряют времени зря, совершенствуя старые и создавая новые способы подбора.

В обоих случаях время подбора определяется производительностью программного обеспечения, через которое выполняется подбор, и вычислительными мощностями, которые ему доступны. Например, Hashcat в зависимости от алгоритма хэширования может работать со скоростью до 100 миллиардов хэшей в секунду (на очень древнем алгоритме NTLM) или до 28 000 хэшей в секунду на более сложных алгоритмах типа bcrypt. И это значения 2019 года — а с тех пор вышло много нового мощного железа. 

На сегодняшний день рекомендуемая длина пароля — минимум 12 символов. Теоретически подбор хэша такого пароля, даже составленного только из разных букв в одном регистре, может занять около 200 лет. Но можно и больше — вплоть до 16 символов, в зависимости от того, насколько критический элемент инфраструктуры пароль защищает. Большую длину пароля имеет смысл использовать скорее в качестве крайних мер — есть определённые границы, сверх которых увеличивать длину пароля нет практического смысла. 

Длина набора символов (алфавита)

Представим стандартный английский алфавит из 26 символов. Если вспомнить комбинаторику, для пароля из 12 символов количество возможных комбинаций составит 26¹² — 95 квадриллионов вариантов (95,4 * 10¹⁵). Если учесть символы верхнего и нижнего регистра — 52¹², 390 квинтиллионов вариантов (390,9 * 10¹⁸), в 4 000 раз больше. А если ещё добавить сверху цифр и специальных символов — ну, вы поняли фишку. Чем больше разных символов может входить в состав пароля, тем больше комбинаций придётся проверить, и тем больше времени займут попытки подбора.

Энтропия

Страшное слово, но как раз оно и является столпом, на котором зиждется надёжность пароля. 

Если простым языком, это измеренная в битах сложность пароля. Ну или мера непредсказуемости появления того или иного символа в последовательности. 

А если подробнее, каждый символ в одном наборе имеет относительную частотность использования. То же самое можно сказать и про буквы в обычном языке, на котором мы общаемся. Вот здесь, например, представлена частотность букв алфавита и некоторых буквосочетаний в английском языке. Чаще всего используются буквы E, A, T, N, O, S, I, R, реже всего — J, X, Z, Q. Частотность может рассчитываться в разных контекстах — как в рамках целого языка, так и просто в рамках отдельного текста или набора символов. И на базе этих значений рассчитывается бит энтропии для каждого отдельного знака — то есть насколько непредсказуемо его появление.

Суть в том, что при увеличении битов энтропии прямо пропорционально увеличивается время, необходимое на расшифровку пароля. Во сколько раз больше битов энтропии — во столько же раз больше времени понадобится для подбора.

Поиграем с вычислением битов энтропии для различных наборов символов, которые можно использовать в паролях:

• abcdefghijklmnopqrstuvwxyz — 4.70 бит на символ
• abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ — 5.70 бит  на символ
• abcdefghijklmnopqrstuvwxyzQWERTYUIOPASDFGHJKLZXCVBNM0123456789 — 5.95 бит на символ
• abcdefghijklmnopqrstuvwxyzQWERTYUIOPASDFGHJKLZXCVBNM0123456789/*-+!@#$%^&()_= — 6.27 бит на символ

Это демонстрирует зависимость надёжности пароля от того, какой набор символов используется. Больше набор символов — выше значение энтропии на каждый символ — сложнее подобрать пароль.

Для закрепления: пароль 123456789 можно подобрать 431 раз, пока вы один раз моргнёте. 

На самом деле, благодаря всё тому же анализу частотности символов, чем дальше в лес глубже в пароль — тем меньшее количество битов энтропии приходится на каждый символ. Вот такие вот мы предсказуемые.

Как придумать надёжный пароль

Мнемонические техники

Самый просто пример. Представим, что вам потребовалось придумать новый пароль. Чтобы начать, нужно придумать какую-то фразу или факт, которые вы можете легко вспомнить в любой момент времени. Например, цитата из Маленького принца: «А на самом деле он не человек. Он гриб!» Или, чтобы было удобнее, «But he is not a man — he is a mushroom!».

А дальше всё, что вам нужно сделать — придумать набор правил, по которым вы будете менять эту фразу так, чтобы она превратилась в надёжный пароль.

Например:

1. Берём первые буквы каждого слова:

   Bhinamhiam

   До 12 символов недобор, добавим восклицательный знак и AE — аббревиатуру автора.

   Bhinamhiam!AE

2. Меняем отдельные буквы на похожие символы: 

   8h1@mhiam!A3

   У нас уже вышел хороший пароль из 12 символов, с буквами в обоих регистрах, цифрами и специальными символами. Некоторые, правда, повторяются, что плохо, но это пример. 

3. Выполняем сдвиг каждого знака на N в сторону. Например, от клавиши 8 отступаем две клавиши вправо и получаем 0, и так с каждым символом:

   0k3$.kpd.#D5

Такие правила можно придумывать до тех пор, покуда вам не надоест их учить. И да, в чём плюс такого подхода — вам как таковой даже пароль запоминать не нужно. Просто помните набор правил, вашу фразу — и готово!

Если, например, вам нужны пароли к нескольким сервисам, можно немного упростить процедуру. Например, у вас есть дежурный пароль 0k3$.kpd.#D5. Вместо того, чтобы придумывать новый, вы можете дополнить этот, прогнав через набор ваших правил логин или название нового сервиса

Пример для twitter@my_firstvds: прогоняем через мясорубку наших правил, получаем на выходе 9$.h Добавляем эту часть к основному паролю через какой-либо разделитель (новое правило, хм), получаем новый пароль: 

0k3$.kpd.#D5_9$.h

Мир техник запоминания очень широк. Если вам интересна эта тема или вы хотите придумать ну совсем невероятный набор правил для своего пароля (или запомнить его), начните поиски отсюда. 

Автоматическая генерация пароля

Самая большая сложность в использовании автоматически сгенерированных паролей — это запоминание. Чем больше и сложнее пароль, тем дольше придётся его учить. Зато за один подход можно сгенерировать очень много надёжных паролей.

Как всегда, подходы к автоматической генерации могут быть разные. Например, можно воспользоваться онлайн-сервисами: 

• random.org/passwords
• passwordsgenerator.net
• lastpass.com/password-generator

Но таким сервисам сложно доверять — кто знает, как они могут обрабатывать сгенерированные пароли? Как вариант, можно использовать пароли оттуда частично — например, собрать собственного Франкенштейна из фрагментов нескольких паролей. Или просто поменять часть символов.

Второй вариант — генерация с помощью инструментов вашего собственного сервера:

Проверка надёжности пароля

Есть разные способы проверки паролей на надёжность.

1. Теоретический — просто проверить, что созданный пароль соответствует всем перечисленным выше требованиям к надёжности. Если вы (и мы) ничего в них не пропустили, пароль, сгенерированный на базе этих требований, в теории будет достаточно сложным, чтобы продержаться месяца три.

2. Простейший практический — через онлайн-сервисы. Например, Password Checker или How secure is my password?. Столько времени потребуется на взлом придуманного выше пароля для Twitter:

   

   

   Минус — вы вводите ваш новый пароль на незнакомом ресурсе, который неизвестно как может им распорядиться. Конечно, можно его немного видоизменить после этого, но всё же.

3. Продвинутый практический — проверить сложность специальным программным обеспечением. Фактически сводится к попытке взлома вашего пароля — и в самом деле, зачем кого-то ждать?

   В этом нехитром деле нам поможет Джон Потрошитель, или John The Ripper. Это программа с открытым исходным кодом для подбора восстановления паролей.

   Установка: 

   • Ubuntu и Debian:

     apt update
     apt install -y john

   • CentOS:

     yum install -y john

   Джон Потрошитель предпочитает атаковать жертв словарём. Чтобы ускорить процесс подбора восстановления, можно скачать словарь для нужного вам языка. Первая команда покажет список доступных словарей, второй можно установить самый большой словарь американских слов:

   • Ubuntu и Debian:

     apt install -y wordlist
     apt install -y wamerican-huge

   • CentOS:

     yum install -y wordlist
     yum install -y wamerican-huge

   Дальше необходимо подготовить файл с паролями, которые вы хотите взломать проанализировать на надёжность. Чаще всего проверяются пароли в файле /etc/shadow — они хранятся там уже в закодированном виде. Выведем его содержимое в новый файл:

   unshadow /etc/passwd /etc/shadow > passfile.txt

   Запустим базовую проверку:

   john passfile.txt

   Если вы знаете кодировку пароля, можно запустить john в соответствующем режиме с помощью опции -format. Без этой опции john попытается угадать кодировку автоматически.

   Чтобы прервать процесс подбора, нажмите сочетание Ctrl + C. Чтобы увидеть статус выполнения, нажмите любую клавишу.

   

   Восстановление простейших паролей заняло несколько секунд. Посмотреть расшифрованные пароли можно командой:

   john -show passfile.txt

   

   john работает сразу в нескольких режимах — если они не определены при запуске, он автоматически переключается между ними, если пароль не удаётся подобрать за один проход:

   • Single mode: собирает имена пользователей и пытается использовать их в качестве пароля:

     john -single passfile.txt

   • Wordlist mode: проверяет пароль перебором слов из словаря;

     john -wordlist:/var/lib/dictionaries-common/wordlist/wamerican-huge passfile.txt

     где /var/lib/dictionaries-common/wordlist/wamerican-huge — путь к файлу со словарём.

   • Incremental mode: проверяет пароль случайно сгенерированными комбинациями (брутфорс):

     john -incremental passfile.txt

   • External mode: использует внешний программный код, указанный в конфигурационном файле ~/john.ini

   На примере ниже видно, как Джон переключается между режимами: сначала проверяет имена пользователей (1/3), затем проходит по встроенному словарю (2/3), а в конце — начинает генерировать случайные последовательности символов (3/3):

   

   Помимо прочего, можно протестировать производительность Джона на вашем сервере:

   john -test

   Джон ещё много чего умеет: например, подбирать пароли отдельных пользователей или групп пользователей из файла, отправлять им уведомления. Полный список опций можно просмотреть с помощью команды

   man john

Кроме этого, можно автоматизировать проверку паролей с помощью модуля PAM. Его принцип работы очень прост: при вводе нового пароля он выполняет тест и сообщает, соответствует ли введённая последовательность минимальным требованиям.

Эти требования настраиваются в конфигурационном файле модуля.

В современных дистрибутивах модуль PAM присутствует по умолчанию. 

На Ubuntu и Debian для его донастройки потребуется установить некоторые дополнительные библиотеки: 

apt install libpam-pwquality cracklib-runtime

Чтобы ужесточить политику паролей, нужно отредактировать конфигурационный файл:

• Ubuntu и Debian:

  nano /etc/pam.d/common-password

  В качестве примера приведён редактор nano. Для сохранения файла нажмите сочетание Ctrl+O, проверьте имя файла и нажмите Enter. Для выхода из файла нажмите сочетание Ctrl+X.
   

  В нём нас интересует строка:

  

• CentOS:

  vi /etc/pam.d/system-auth

  В качестве примера приведён консольный редактор vi. Для входа в режим редактирования на клавиатуре нажмите I. Для выхода из режима редактирования нажмите Esc. Для сохранения и выхода из файла введите сочетание :wq Для выхода без сохранения введите :q!
   

  Нам нужна следующая строка:

  

В конце этой строчки можно через пробел перечислить правила проверки паролей:

• retry=3 : количество попыток запроса ввода пароля;
• minlen=12 : минимальная длина пароля;
• difok=5 : минимальное количество изменённых символов относительно старого пароля;
• maxrepeat=3 : разрешённое количество повторяющихся символов;
• maxclassrepeat=5 : запрещает использование последовательностей с клавиатуры  длиной более пяти символов. Защита от паролей типа «QWERTY»,«12345», «!@#$%»;
• ucredit=-1 : обязательное использование минимум одного символа в верхнем регистре;
• lcredit=-2 : обязательное использование минимум двух символов в нижнем регистре;
• dcredit=-2 : обязательное использование минимум двух цифр;
• ocredit=-2 : обязательное использование минимум двух специальных символов;
• gecoscheck=1 : проверка на содержание в пароле имени пользователя.

После настройки сохраните файл и перезагрузите сервер для применения настроек.

Пароли везде: в социальных сетях, платежных системах, на компьютере и телефоне. Держать в голове столько информации нереально, поэтому многие пользователи идут по пути наименьшего сопротивления – придумывают один ключ, который легко запомнить, а затем вводят его на всех площадках, на которых регистрируются.

Такой подход к безопасности может закончиться плачевно. Если код доступа для ВКонтакте или Одноклассников можно потерять без серьезных финансовых последствий, а потому и делать его сложным необязательно, то придумать пароль для регистрации в платежной системе или создания Apple ID нужно такой, чтобы никто, кроме владельца, не получил доступ к данным.

Правила создания паролей

Практически на всех сайтах при регистрации есть список требований к паролям. Однако обычно требования эти минимальные: не менее 8 символов, не может состоять только из цифр или букв и т.д. Для создания реально сложного пароля необходимо помнить еще о нескольких ограничениях.

• Логин и пароль не должны быть одинаковыми.
• Не рекомендуется использовать любую личную информацию, особенно если её можно узнать из социальных сетей или других источников.
• Не рекомендуется использовать слова.

Чтобы понять логику этих запретов, достаточно посмотреть, как взламываются пароли. Например, ключ из 5 цифр – это всего лишь 100 тысяч комбинаций. Программа для взлома путем простого перебора всех вариантов найдет подходящую комбинацию минуты за 2, если не меньше. Не сгодится для кода доступа и редкое слово. Взломщик может проанализировать разные словари на разных языках и найти соответствие. Вопрос лишь в том, сколько времени этой займет – несколько минут или пару часов.

Сочетание редкого слова и цифр тоже не подойдет. Технология bruteforce позволяет искать сочетания цифр и слов, так что при необходимости такой ключ падет. Продержится он, конечно, чуть дольше, чем 123456789, но если вы из-за взлома понесете потери, то эта разница во времени вряд ли покажется существенной. Чтобы понимать, какой пароль надежный, а какой – не очень, посмотрим конкретные примеры. Примерное время взлома рассчитано с помощью сервисов проверки паролей, о которых рассказано ниже.

• Дата рождения (05041992) – будет взломан за 3 миллисекунды.
• Имя с маленькой или заглавной буквы (Segey, sergey) – продержится 300-500 миллисекунд, то есть меньше, чем полсекунды.
• Комбинации из цифр и строчных букв (1k2k3d4a9v) – примерно 1 день.
• На взлом пароля вида HDA5-MHJDa уйдет около 6 лет.
• Комбинация AhRn&Mkbl363NYp будет расшифрована через 16 миллионов лет.

Никакие 16 миллионов лет и даже 6 лет взломщик работать не будет – это значение лишь демонстрирует, что взломать пароль в приемлемый срок невозможно.

Генерация паролей

Одно дело – знать правила, другое дело – им следовать. Большинство пользователей в курсе, что для регистрации нельзя использовать код доступа, состоящий из даты рождения или имени, но мало кого это останавливает. Проблемы две:

• Трудно придумать сложный пароль.
• Даже если вы создадите пароль, содержащий случайный набор символов, тяжело (иногда просто невозможно) его запомнить.

С первой проблемой поможет справиться онлайн генератор паролей. В интернете можно найти большое количество сервисов, предлагающих быстро создать сложный пароль из букв, цифр, специальных символов.

• RandStuff
• Pasw
• PassGen

Работают онлайн генераторы по одному принципу: вы указываете, какие символы нужно использовать, выбираете требуемое количество знаков и нажимаете «Сгенерировать». Отличаются сервисы лишь в частных моментах.

Например, на Pasw.ru можно сгенерировать сразу несколько десятков паролей (до 99 комбинаций). PassGen позволяет установить опцию автоматического исключения повторяющихся символов из ключа безопасности, то есть все знаки в нем будут в единственном числе.

Хранение ключей

Если сгенерировать пароль можно онлайн, то хранить ключи нужно на компьютере. Запись пароля на бумажке, в отдельном документе на компьютере, на стикере, приклеенном на экран – путь к несанкционированному доступу к данным. Так что здесь появляется вторая проблема: как запомнить созданный ключ.

На память надеяться не стоит, а вот на менеджера паролей можно положиться. Многие пользователи выбирают KeePass. Эта программа распространяется бесплатно и работает на Windows 7, Windows 10 и других современных версиях ОС от Microsoft. Кроме того, в KeePass есть встроенный генератор паролей, так что вам не придется каждый раз искать онлайн-сервисы.

Минус менеджера пароля только в том, что для него тоже нужен код доступа, который называется мастер-пароль. Но запомнить один мастер пароль гораздо проще, чем держать в уме несколько десятков сложных комбинаций. К тому же при его создании можно воспользоваться хитростью – взять за основу стихи, считалочки или любые другие запоминающиеся строчки и превратить их в сочетание букв, цифр и знаков.

Например, можно взять четверостишие, выделить первые буквы и знаки препинания, а затем написать их на латинской раскладке. Некоторые буквы можно заменить цифрами – «з» на «3», «о» на «0», «ч» на «4». В результате такой манипуляции из четырех строчек детского стихотворения, которое никогда не вылетит из головы, получится пароль U0d?D3ep.Gzc3hek, на взлом которого уйдет 3 триллиона лет.

Проверка сложности

На многих сайтах при регистрации пользователю показывают, хороший ли у него пароль. Убедиться в том, что сгенерированный код сложный, и взломать его быстро не получится, можно и самостоятельно, используя сервис How secure is my password? В поле «Enter Password» вставьте сгенерированный пароль. В ответ вы получите примерное время, которое будет затрачено на взлом ключа на обычном компьютере. Если несколько миллионов или хотя бы тысяч лет, то код получился однозначно надежный.

Можно использовать и другие сервисы для проверки надежности: например, Secure Password Check от Kaspersky Lab. Он тоже показывает время, необходимое для взлома пароля, заодно сообщая, что можно сделать за указанный промежуток.

Еще один интересный способ проверки – сервис «Стойкость пароля» на сайте 2ip.ru. Здесь результат выдается категоричный: ключ или надежный, или ненадежный.

Нужно понимать, что время взлома, которое показывают эти сервисы, весьма условно и рассчитано на случай, если взломщик использует обычный компьютер. Суперкомпьютер с фантастической производительностью справится с задачей быстрее, как и специальные машины для взлома паролей, которые могут тестировать до 90 млрд ключей в секунду. Но вряд ли людям, владеющим подобной техникой, понадобится ваш пароль от электронной почты, скайпа или Wi-Fi.