Перейти к содержанию

Рекомендуемые сообщения

Почти все инструкции по компьютерной безопасности, будь то страница помощи Facebook, корпоративная инструкция сотрудника или желтая книжка «… для чайников», содержат совет о необходимости пользоваться стойким паролем. Этот совет за десятилетия стал привычным и азбучным, но вот понятие «хороший пароль» постепенно менялось, и сегодня, придумывая пароль, не стоит руководствоваться советами из 90-х. Давайте заново научимся создавать удобные и стойкие пароли!

 

pure_passwords_text.jpg

 

Зачем нужна белиберда?

 

Совет составлять пароль из смеси букв, цифр и специальных символов берет свое начало в тех временах, когда защищали в основном учетную запись на компьютере и локальные файлы, такие как документы или архивы. Поскольку эти данные, пусть и зашифрованные, могли быть физически доступны злоумышленнику, существовала возможность перебирать все пароли один за другим, пока не найдется нужный. Эта методика называется вскрытием грубой силой (bruteforcing) и крайне эффективна на коротких паролях. Чем длиннее пароль и разнообразнее символы в нем, тем больше времени занимает полный перебор. Пароли длиной 4–5 знаков сдаются злоумышленнику за считанные секунды, но каждый новый символ замедляет процесс в десятки раз. То же самое касается различных регистров букв, добавления специальных символов и цифр – наличие их в пароле существенно снижает шансы взлома перебором паролей. Правда, есть важное «но»...

 

Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

у меня раньше был один пароль на всех ресурсах из 10 знаков это 8 цифр и 2 буквы

но его почему то везде регулярно взламывали меняя пароли каждый раз в голове образовалась такая каша что порой приходилось постоянно пользоваться восстановлением паролей...в итоге всё достало! решил придумать новый пароль.

долго думал :P мозг взорвал :D так как хотелось длинный и что бы легко запомнить.

месяц думал и придумал :) а тут ещё как раз тестирование началось новой кристально чистой картошки-пюрешки ;)

забил свой новый пароль в Kaspersky Password Manager и был приятно удивлён показаниям:) так как надёжность кода оказалось 99% :)

вот уже прошло пол года вроде ни разу больше не взломали :)

 

единственноя неприятность это то что смена паролей у меня заняла почти 5 дней

Изменено пользователем Pomka.
Ссылка на комментарий
Поделиться на другие сайты

у меня раньше был один пароль на всех ресурсах из 10 знаков это 8 цифр и 2 буквы

но его почему то везде регулярно взламывали

 

Хммм, странно, вообще 10 значный даже простой пароль вполне надежен, на не очень важных вещах, скорее всего или вы не обдумано пользовались интернетом и его у вас угоняли тем же трояном или может вы сами забывали пароль и потом не могли точно его вспомнить и думали что у вас его украли.

В принципе даже 6-7 значный пароль из букв и цифр может служить долгие годы не меняясь :)

Ссылка на комментарий
Поделиться на другие сайты

Хммм, странно, вообще 10 значный даже простой пароль вполне надежен,

практика показывает обратное...

 

скорее всего или вы не обдумано пользовались интернетом и его у вас угоняли тем же трояном

точно! а во время тестирования продукт KIS/KAV просто не видит вирусов :)

Изменено пользователем Pomka.
Ссылка на комментарий
Поделиться на другие сайты

практика показывает обратное...

 

 

точно! а во время тестирования продукт KIS/KAV просто не видит вирусов :)

 

Практика показывает как раз то что я написал выше :P

На счет трояна то вполне возможно что и не видят, хотя это просто один из вариантом, могло быть что просто взломали форум где вы были зарегистрированы, вот ваш пароль и утек в сеть. Но чаще всего как я писал пользователь сам забывает пароль, а потом громко кричит что его взломали)

В принципе 10 значные пароли не взламываются случайным порядком только под заказ но я что-то сомневаюсь что вы кому то понадобились ;)

Ссылка на комментарий
Поделиться на другие сайты

Но чаще всего как я писал пользователь сам забывает пароль, а потом громко кричит что его взломали)

хватит нести бред...как я мог забыть пароль если он у меня один на все ресурсы.

значит на 30 сайтов я зайти не могу а на другие 50 сайтов захожу свободно

где логика?

 

На счет трояна то вполне возможно что и не видят, хотя это просто один из вариантом, могло быть что просто взломали форум где вы были зарегистрированы, вот ваш пароль и утек в сеть.

это вы девчонкам на свидании лапшу будите вешать :) но не мне.

Ссылка на комментарий
Поделиться на другие сайты

хватит нести бред...как я мог забыть пароль если он у меня один на все ресурсы.

значит на 30 сайтов я зайти не могу а на другие 50 сайтов захожу свободно

где логика?

 

 

это вы девчонкам на свидании лапшу будите вешать :) но не мне.

 

Вы правда такой "умный", или мне только так показалось ;)

Я просто предлагал варианты, а на счет паролей так например в ICQ 6-8 значные пароли у людей уже по 10 лет висят не меняясь и ничего работают а ведь в свое время куча народу брутило ICQ номера :P

И не рассказывайте мне тут сказки как вас взломали, бред это, у вас возможно увели пароль(способ не знаю), никаким взломом тут и не пахнет.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

И не рассказывайте мне тут сказки как вас взломали, бред это, у вас возможно увели пароль(способ не знаю), никаким взломом тут и не пахнет.

;) :)

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В gmail пароль 10 знаков - не помню все подробности, но google сам при входе уведомил, что требуется сменить пороль, т.к. со старым не пустят по причине входа в аккаунт пользователя не из моего региона (Сингапур). По sms прислали код подтверждения, и я поменял пароль. Вопрос решился за 3 минуты. Молодцы ребята.

Ссылка на комментарий
Поделиться на другие сайты

В gmail пароль 10 знаков - не помню все подробности, но google сам при входе уведомил, что требуется сменить пороль, т.к. со старым не пустят по причине входа в аккаунт пользователя не из моего региона (Сингапур). По sms прислали код подтверждения, и я поменял пароль. Вопрос решился за 3 минуты. Молодцы ребята.

 

Не хочу с вами спорить но вообще то они обычно пишут не "по причине входа в акаунт" а "по причине попытки входа в акаунт" а это разметьте две абсолютно разные вещи. Такое случается не только у google этим грешат и все остальные ;)

Но лишний раз сменить пароль действительно не помешает :lol:

Ссылка на комментарий
Поделиться на другие сайты

практика показывает обратное...

а интересно... мой 19-значный пароль (буквы заглавные, строчные, спецсимволы, цифры) реально взломать? :lol:

Ссылка на комментарий
Поделиться на другие сайты

а интересно... мой 19-значный пароль (буквы заглавные, строчные, спецсимволы, цифры) реально взломать? :lol:

Реально. Подключим всех спецов ФСБ, управления К, спецслужб иных государств, вольных хакеров и прочих лиц... :D

 

Мне смешно, ведь если вы кому-то реально понадобитесь, то никто не будет взламывать, администратору сайта отправят официальный запрос из правоохранительных органов. А что касается длины пароля, когда сайт не позволяет заниматься тупым перебором (например майкрософт), то даже 4 символа уже непреодолимая преграда, ведь угадать все 4 случайных символа сходу невозможно.

 

Так что я себе жизнь не усложняю ;) Можно и 30 символов запомнить, только зачем, раз тупой перебор паролей на большинстве сайтов запрещён?

 

Интересно, наш форум позволяет перебирать пароли? :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Alex Mor
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • KL FC Bot
      От KL FC Bot
      Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.
      Первая приманка
      Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.
      Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
×
×
  • Создать...