Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Можно ли использовать эмодзи в паролях? | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Пароли никто не любит. Их долго вводить, трудно запоминать, а все эти условия «нужны цифра, буква в верхнем регистре и рог единорога» делают задачу создания пароля еще сложнее. Но если использовать везде один и тот же пароль или ограничиваться простыми короткими паролями, вас рано или поздно взломают. Как сочетать удобство ввода, запоминаемость и стойкость ко взлому? Интересный, хотя и неоднозначный способ — использовать в пароле эмодзи, те самые смайлики 😁 и прочие значки 🔐, которые мы щедро рассыпаем в чатах и постах в соцсетях.

В современных компьютерах и смартфонах эмодзи — такие же полноправные символы, как буквы национальных алфавитов или типографские знаки. Они входят в стандарт Unicode (по ссылке можно посмотреть все стандартизованные эмодзи), поэтому их теоретически можно использовать в любых текстах, включая пароли.

Чем хороши эмодзи в паролях?

Эмодзи очень много, поэтому пароль может быть вдвое короче. Когда злоумышленники пытаются подобрать пароль из букв, цифр и знаков пунктуации, для каждого символа пароля им нужно перепробовать менее сотни вариантов. Но стандартизованных эмодзи в Unicode более 3600, и, если в пароль добавить смайлик, то для каждого знака придется перебрать уже около 3700 вариантов. Так что по сложности подбора пароль из пяти разных смайлов эквивалентен обычному паролю из девяти символов, а семь эмодзи — вспомним комбинаторику — тянут уже на серьезный пароль из 13 «обычных» символов.

Некоторые новые эмодзи из стандарта Unicode

Некоторые новые эмодзи из стандарта Unicode

Эмодзи проще запоминать. Вместо бессмысленной мешанины букв и цифр можно составить логичное предложение и создать на его основе ребус из эмодзи. Для этого можно воспользоваться Яндекс.Переводчиком на эмодзи или чатботом, например ChatGPT.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано

Осспаде, как же плохо у Стана. Серьёзно, откуда он? Почему его постоянно публикуют?

 

  Quote

Эмодзи очень много, поэтому пароль может быть вдвое короче.

Показать  

Почему вдвое? Смотри, Стан: 🏳️‍🌈 Это флаг ЛГБТ. Он занимает не 2 символа. Смотрим: https://emojipedia.org/rainbow-flag#technical

  • первые 2 символа юникода - это белый флаг
  • ещё один символ юникода - это технический символ, который связывает воедино то, что справа и слева от него
  • последний символ юникода - радуга

Итого длина не 2, а 4. Но и это ещё не всё. Если считать в байтах, то ещё больше. Мы знаем, что UTF-8 (говорим "юникод", подразумеваем "utf-8" - любого спроси) кодируется переменной длиной от одного до четырёх байт на символ. В смысле в UTF-8 один символ может занимать как 1 байт, так и 4 байта. К примеру буква "ф" (русская, маленькая) в UTF-8 будет занимать 2 байта. Желающие могут вооружиться тем же Питоном и проверить:

  

len('ф') # длина строки
1
len(bytearray('ф', 'utf-8')) # длина в байтах
2

 

Так при этом кириллица стоит не так, чтобы далеко от начала utf-8 - это таблица символов и чем дальше от нулевого символа, тем больше будет длина в байтах на символ. А вот перечисленные выше символы стоят дальше и, потенциально, могут занимать больше байтов на символ. Но сколько?

  

len('🏳️‍🌈')
4
len(bytearray('🏳️‍🌈', 'utf-8'))
14

 

Итого на 4 символа юникода пришлось 14 байт!

 

То есть как не считай, не бьётся твоё утверждение с "вдвое". Ни по байтам, ни по символам. Но это ладно, это я тебе прощаю. Важно тут совсем другое. Смотри какая штука:

Screenshot_20231027_195509.thumb.png.d021e64f881575ea819f7404698472dd.png

Это всё - один и тот же символ. Но где-то он отображается как один флаг, а где-то - как белый флаг и радуга (символ склейки не отображается визуально вовсе). Разные программы по-разному рисуют символ, потому что где-то уже есть новый набор, где-то ещё нет. А ведь это всё у меня в пределах одной ОС на одном компе. В итоге высока вероятность, что пользователь будет вводить символ флага в одном приложении и будет его видеть. А потом в другом и получит 2 символа (визуально). И обалдеет, и будет переживать и не будет понимать, что всё в порядке, просто другое приложение ещё не имеет нужной версии либы с эмодзи. И пойдём дальше. Где-то введёт беременного мужика, а в другом месте этот символа ни одним изображением, ни тремя - не будет. И что делать?

 

И даже это ещё не всё, но этого уже достаточно для того, чтобы не использовать эмодзи. Вторая проблема в том, что хоть эмодзи закодирован пятью символами, хоть сотней - вообще пофигу, т.к. для хранения используется хеш. Важно то, что один эмодзи - это всё равно один символ. И когда эмодзи будут популярны, их точно также будут использовать для создания радужных таблиц. И этот ЛГБТ флаг всё равно будет равен одному символу пароля. Эмодзи - это просто ещё один алфавит и воспринимать его надо именно так.

 

И, учитывая эти две проблемы (возможное отсутствие нужного эмодзи в приложении и 1 эмодзи = 1 символ), по-прежнему лучшим вариантом использовать символы из других алфавитов в пароле. Добавление в пароль пары кириллических символов и пары символов с умляутами из немецкого - это и безопаснее, и работает почти везде (не работает только в совсем уж древнющем ПО) и остаётся понятным. Вон, разбавь пароль армянским и грузинским алфавитом - полезнее будет, чем эмодзи.

 

Ну и да, твоё "Эмодзи труднее вводить". https://emojipedia.org/ Пиши название и копируй. Не надо с альтом ничего тыкать. Это раз. Во всех популярных ОС есть emoji picker (то есть программа, где можно тыкать мышкой в таблицу с эмодзи и он будет копироваться). Это два. Ты опять не шаришь - это три.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • KL FC Bot
      Двадцатилетие "Автодятла" | Блог Касперского
      Автор KL FC Bot
      Мы живём в эпоху ИИ-хайпа. Искусственный интеллект там, сям, здесь и там, везде и весь такой перспективный, слегка загадочный, но непременно сопровождающий человечество в светлое будущее технологической пока ещё непонятной чёрнодырочной сингулярности.
      Вероятно, некоторый читатель мог заметить в предыдущем предложении сарказм – а зря. Автоматизация на основе машинного обучения (ещё один термин: «ML» = «machine learning»), нейросетей и прочего ИИ уже подмяла под себя многие отрасли нашей жизни, и то ли ещё будет на линии хомосапиенсного развития. Кому интересно нырнуть в тему – поищите что уже случилось по линии промышленных революций Один, Два, Три и даже Четыре.
      В этом тренде кибербезопасность была, пожалуй, одним из пионеров использования новых, умных технологий. А что мне особенно приятно и гордо в этом процессе – наша компания была одной из первых в отрасли, начавших успешно внедрять это самое светлое ИИ-будущее. А как иначе справляться, например, с почти полумиллионом (на начало 2025 года) новых зловредов каждый день? Столько экспертов ни одна образовательная система мира не выпустит. Выход один – создавать умные системы, способные самостоятельно и с высокой точностью нейтрализовывать кибератаки. Экспертам же оставлять только самые сложные случаи и, конечно, непростую задачу такие системы изобретать и постоянно докручивать.
      На днях у нас случился радостный юбилей. 20 лет назад зародился прототип самой первой ИИ/ML технологии для автоматического анализа вредоносного кода и производства «детектов» – антивирусных обновлений, которые защищают компьютеры, гаджеты и прочие устройства от новых атак.
      Технология получила с первого взгляда странное название «Автодятел». Но на самом деле здесь всё просто: «дятлами» у нас ласково и в шутку назывались эксперты-аналитики, «долбящие» вирусы обрабатывающие входящий поток подозрительных файлов, а, соответственно, «автодятел» выполнял эту работу сам. Кстати, в то время я тоже работал «дятлом».
      Покопав архивы, мы нашли не только дату рождения первого птенца автоматИИзации, но и любопытные фотографии планов по его созданию. И место рождения вспомнили. Гнездо располагалось на 14 этаже здания «Радиофизики» на Планерной, где мы тогда снимали офис. Теперь устраивайтесь поудобнее, я расскажу вам увлекательную историю. Начиналось всё примерно вот как.
      С четверть века назад зловреды и встречались куда реже, да и были куда технологичнее современных, хотя писали их пионеры-энтузиасты, изобретательные программисты-одиночки и киберхулиганы. Поэтому и исследовать их было одно удовольствие — что ни вирус, то что-то новое узнаёшь, чему-то учишься. Я тогда вместе с остальными «дятлами» собственноручно «долбил» зловредов — анализировал поток вредоносных программ, если по-научному. Разумеется, к этому моменту собрать все существующие зловреды в одну книжку как в 1992 году уже было сложновато, но тем не менее с потоком мы справлялись, а в конце каждой рабочей недели я вручную собирал обновление антивирусных баз.
       
      View the full article
    • KL FC Bot
      Техника Polyglot для маскировки зловредов | Блог Касперского
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • KL FC Bot
      Что будет, если мошенники взломают «Госуслуги» | Блог Касперского
      Автор KL FC Bot
      Практически каждый день новостные сводки пестрят заголовками в духе «Известного актера развели на десятки миллионов рублей» или «Пенсионерка отдала мошенникам все свои сбережения». На днях наша читательница сама едва не стала героиней подобных новостей — целый день она была на крючке мошенников. Ей звонили фейковые сотрудники Центробанка и Следственного комитета, которые просили никому не рассказывать об этой истории и угрожали огромными штрафами.
      Сегодня расскажем эту историю от ее лица. Читайте 10 уроков, которые она вынесла после, пожалуй, самого стрессового дня своей жизни.
      Урок 1. Не отвечать на звонки в мессенджерах
      Все началось со звонка в WhatsApp. Незнакомец по ту сторону смартфона сказал, что мне должно прийти письмо от Министерства науки и высшего образования Российской Федерации (Минобрнауки России), но оно якобы застряло в сортировочном центре из-за некорректного адреса доставки, который нужно поменять.
      — Как это можно сделать?
      — Мы сейчас пришлем вам ссылку на бота почты, нужно авторизоваться через «Госуслуги» и вручную изменить адрес.
      — Хорошо, спасибо!
      Конечно, никакого письма я не ждала, но, поскольку я еще учусь в университете и большая доля переписок по учебе происходит в WhatsApp, история с письмом от Минобра меня ничуть не смутила — мало ли какие у них теперь правила? И это было первой ошибкой.
      Надежный вариант борьбы с мошенниками на раннем этапе — полностью отключить звонки с неизвестных номеров в Telegram, WhatsApp и Viber. А если этот вариант кажется вам экстремальным, то не поленитесь сбросить звонок незнакомца и в текстовом формате уточнить, что именно ему нужно.
       
      View the full article
×
×
  • Создать...