Сложность пароля: длина против спец.символов

[Zaitsev Oleg]

Посмотрел указанный сайт - там же расписана формула, она естественно не стандартная, а далее сколько экспертов, столько и формул Более того, из большой практики могу сказать следующее - нельзя придумать универсальные требования к паролю, и не всегда длинный и сложный пароль является лучшим решеним.

Имхо говоря о пароле и требованиях к сложности для начала необходимо оценить следующие риски:

1. Возможность и вероятность подбора пароля, в частности:

- есть ли защита от перебора (временная блокировка и или больше таймауты после N попыток, запрос ввода каптчи, текста из SMS и т.п.) ? Если есть, то даже пароль из 5 символов подобрать почти нереально

- есть ли функционал предупреждения о попытках взлома ? Если да, то пользователь будет заранее уведомлен о том, что его ломают

- есть ли дополнительный контур защиты ? (Подтверждение по SMS, одноразовые пароли, токены, сертификаты, автогенератор разовых паролей по дате-времени и т.п.). Если да, то пароль может быть скажем "123", но зная его злоумышленник не сможет им воспользоваться.

2. Вероятность подсматривания пароля. Это очень важный момент, так как подсмотреть набираемый по буквам с бумажки сложный пароль намного проще, чем скажем быстро вводимый простой. С точки зрения подсматривания на устойчивость пароля крайне негативно влияют повторы, прогрессии (типа 12345 или QWERTY) - их очень хорошо видно при вводе... Я например видел в банке у оператора пароль 9874123, а у кассира там же был 12369 - легко заметить логику и принцип при вводе. Усиливает защиту пароля использование разного регистра (shift можно нажать скрытно) и спецсимволов, а также использование радом расположенных символов на клавиатуре - ввод типа "gfhg" при быстром вводе проследить сложно, так как кнопки рядом. Важно, что прогрессии очень просто запоминать, следовательно они могут быть длинными, а перебор они затрудняют на порядки.

3. Вероятность таргетированной атаки. Если она высокая, то злодеи явно будут знать некие персональные данные (дату рождения, фио, клички животных). Если речь идет скажем о учетке социальной сети, можно условно считать, что атака таргетированная (так как злодеи знают, что ломают, а пользователь выложил о себе максимум данных, включая сведения о том, под каким ковриком ключ и где он прячет заначку).

4. Технические условия к взлому. Одно дело идет речь о пароле на ПК, который изолирован от сети, не имеет выхода в Инет, стоит в запертом на 4 замка охраняемом помещении без окон, под сигнализацией и круглосуточным виденаблюдением. Там пароль 12345 или qwerty вполне логичен и безопасен. Другое дело - учетные записи публичных сервисов, которое могут ломать все, кому не лень без труда. С таком случае пароль должен быть сложным. Иногда можно снизить риски на порядок, например: вход в роутер только со стороны LAN, фильтры по имени ПК, IP и MAC ...

5. Вероятность применения социальной инженерии. Это больше даже не паролей касается, а всяких "контрольных вопросов" и т.п. - их нередко можно выведать без значимого труда.

 

А далее сочетание этих факторов определит требования к паролю... Приведу пример - пароль "zaitsev" крайне легко сломать с точки зрения п.п. 3, его сложность на сайте 9%, но при ограничении скажем на 3 попытки ввода словарным перебором его можно ломать годами. Пароль типа z1a2i3t4s5e6v7 сломать перебором нереально (на указанном сайте его сложность 100%), п.п. 3 не сработает, но зато отлично работает п.п. 2 - такой пароль при вводе очень легко подсмотреть. Аналогично пароль типа 12345x67890- словарный перебор против него нереально применить, социальная и п.п. 3+5 не работают, а подсмотреть тривиально... Пресловутый "пароль банкиров" 9874123 на сайте оценивается как 13%, но попробуйте его угадать перебором Если получится, то проще и выгоднее в лотерею играть ...

Изменено 18 февраля, 2014 пользователем Zaitsev Oleg

[Cosmic radiation]

поэтому пароль "быть или не быть", не очень уловив даже начало его набора, его легко додумать. И как верно замечено, собственно к чему это пароль, перебороусточивый нужен к винде, к архивам ну идругим вещам, к которым собственно перебор и применим, чего не сказать об онлайн сервисах. А от апаратных келоггеров, которые как я недавно где то видел могут подкладывать поверх кнопок ввода на банкоматах, вообще спасения нет, впрочем кейлогеры это иема для другой беседы.

Изменено 18 февраля, 2014 пользователем Cosmic radiation

[Roma1]

У нас на работе практически на всех ПК стоит пароль Qwe123 И вот пришлось идти в соседний кабинет, что бы распечатать бумагу, а пароль то не работает. Уж я его и с большой буквы, и так далее.... Пришлось звонить хозяину (хорошо хоть не совсем поздно было). И вот кто не прочитав скрытый текст сможет его угадать?

'':

Asd123

 

Изменено 18 февраля, 2014 пользователем Roma1

[Mie]

 

И вот кто не прочитав скрытый текст сможет его угадать?

:

Asd123

 

Текст не скрылся.

 

 

И что лучше, длинный пароль "быть или не быть", либо короткая билеберда типа: "№1у*39." ? 

Нечто среднее - длины 10-12 (чтобы не тратить человекочасы), но все же желательно не слова

 

ИМХО: ojjhS93nAU будет сложнее запомнить, чем nk-1995, но продержится дольше

Изменено 18 февраля, 2014 пользователем nk95

[Mrak]

 

Вот рекомендации по придумыванию паролей на:

• хабре

Прочитал эти рекомендации, сейчас впаду в депрессию - при получении зашифрованной базы автор расшифровывал тысячи паролей, которые не являлись общеизвестными "фываолдж" или "12345"! И всё это за несколько часов и без использования суперкомпьютера! 

[Kapral]

Учу юзеров пользоваться примерно такой схемой..

 

1 цифра  ; <свой статик пароль> ; 2 буквы, где 1 большая  ; 2 спец символа

 

1 qwerty Ab $&  (пробелы сделал для удобства понимания)

 

Типа того..

)))

<1я буква типа ресурса, маленькие><3я буква имени ресурса, согласные большие, гласные маленькие><2я буква типа ресурса, Большие)><некие 3 символа, константы><1я буква имени ресурса, согласные большие, гласные маленькие>,<спецсимвол><последняя буква имени, 2 уровня, Согласные маленькие, гласные большие><2 символа, константа><и еще 3 символа, например четные буквы логина на этом ресурсе>

(Тонкий намек - у меня пароль формируется по другому алгоритму)

Итог: уникальные длинные пароли

Пользователей не учу

 

Вот например сформированный по данной схеме для меня на данном ресурсе

<1я буква типа ресурса, маленькие> - f (forum)

<3я буква имени ресурса, согласные большие, гласные маленькие> - S (kasperskyclub)

<2я буква типа ресурса, Большие)> - O (forum)

<некие 3 символа, константы> - 1n}

<1я буква имени ресурса, согласные большие, гласные маленькие> - K (kasperskyclub)

<спецсимвол> - @

<последняя буква имени, 2 уровня, Согласные маленькие, гласные большие> - b (kasperskyclub)

<2 символа, константа> - Vw

<и еще 3 символа, например четные буквы логина на этом ресурсе> - arl (Kapral)

 

Итог: fSO1n}K@bVwarl

Попробуйте подсмотреть или подобрать )))), а запомнить очень легко

[Pomka.]

если у кого то будет конкретная цель поиметь твой пароль то они добьются своего любой ценой

поэтому я не парюсь сложным паролем он у меня состоит

из 6 цифр , 2 символом , 2 букв ну и конечно всё это в перемешку

[Kapral]

 

 

если у кого то будет конкретная цель поиметь твой пароль то они добьются своего любой ценой

15 символов????? Вперед и с песней

Разве что терморектальный криптоанализ

[_Strannik_]

Я по поводу сложности паролей не замарачиваюсь. этим у меня занимается  Kaspersky Password Manager. Генерирую пароли  минимум 12 символов + спецсимволы.  Что-то типа такого lxWA5jPY1$Om

Изменено 19 февраля, 2014 пользователем _Strannik_

[Mrak]

), а запомнить очень легко

 

Уникальная память - запомнить 10 подобных паролей наизусть Я про запоминание и быстрый ввод, а не "собрать по новой исходя из общей схемы".

[Pomka.]

@_Strannik_,

мне Kaspersky Password Manager в КРИСТАЛЕ сказал что мой пароль 99%

[Mrak]

Я по поводу сложности паролей не замарачиваюсь. этим у меня занимается  Kaspersky Password Manager. Генерирую пароли  минимум 12 символов + спецсимволы.  Что-то типа такого lxWA5jPY1$Om

И вводишь каждый раз ручками такого рода главный пароль. Ужас. Ведь даже при быстром наборе ошибки неизбежны. И чем больше символов вводить, тем больше ошибок. 

[Pomka.]

Разве что терморектальный криптоанализ

Достаточно будет применить один паяльник, ректально, и всё сам расскажешь

Изменено 19 февраля, 2014 пользователем Pomka.

[Kapral]

 

 

Уникальная память - запомнить 10 подобных паролей наизусть Я про запоминание и быстрый ввод, а не "собрать по новой исходя из общей схемы".

А я предпочитаю знать правило ))))

 

 

 

Достаточно будет применить один паяльник, ректально, и всё сам расскажешь

Твой тоже )))) не устойчив к этому методу

[Pomka.]

 

Достаточно будет применить один паяльник, ректально, и всё сам расскажешь

Твой тоже )))) не устойчив к этому методу

 

так я же сразу и сказал что не страдаю параноей к паролям

Изменено 19 февраля, 2014 пользователем Pomka.