Перейти к содержанию

Можно ли использовать эмодзи в паролях? | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Пароли никто не любит. Их долго вводить, трудно запоминать, а все эти условия «нужны цифра, буква в верхнем регистре и рог единорога» делают задачу создания пароля еще сложнее. Но если использовать везде один и тот же пароль или ограничиваться простыми короткими паролями, вас рано или поздно взломают. Как сочетать удобство ввода, запоминаемость и стойкость ко взлому? Интересный, хотя и неоднозначный способ — использовать в пароле эмодзи, те самые смайлики 😁 и прочие значки 🔐, которые мы щедро рассыпаем в чатах и постах в соцсетях.

В современных компьютерах и смартфонах эмодзи — такие же полноправные символы, как буквы национальных алфавитов или типографские знаки. Они входят в стандарт Unicode (по ссылке можно посмотреть все стандартизованные эмодзи), поэтому их теоретически можно использовать в любых текстах, включая пароли.

Чем хороши эмодзи в паролях?

Эмодзи очень много, поэтому пароль может быть вдвое короче. Когда злоумышленники пытаются подобрать пароль из букв, цифр и знаков пунктуации, для каждого символа пароля им нужно перепробовать менее сотни вариантов. Но стандартизованных эмодзи в Unicode более 3600, и, если в пароль добавить смайлик, то для каждого знака придется перебрать уже около 3700 вариантов. Так что по сложности подбора пароль из пяти разных смайлов эквивалентен обычному паролю из девяти символов, а семь эмодзи — вспомним комбинаторику — тянут уже на серьезный пароль из 13 «обычных» символов.

Некоторые новые эмодзи из стандарта Unicode

Некоторые новые эмодзи из стандарта Unicode

Эмодзи проще запоминать. Вместо бессмысленной мешанины букв и цифр можно составить логичное предложение и создать на его основе ребус из эмодзи. Для этого можно воспользоваться Яндекс.Переводчиком на эмодзи или чатботом, например ChatGPT.

 

Посмотреть статью полностью

Umnik

Umnik

Опубликовано
Опубликовано

Осспаде, как же плохо у Стана. Серьёзно, откуда он? Почему его постоянно публикуют?

 

Quote

Эмодзи очень много, поэтому пароль может быть вдвое короче.

Почему вдвое? Смотри, Стан: 🏳️‍🌈 Это флаг ЛГБТ. Он занимает не 2 символа. Смотрим: https://emojipedia.org/rainbow-flag#technical

  • первые 2 символа юникода - это белый флаг
  • ещё один символ юникода - это технический символ, который связывает воедино то, что справа и слева от него
  • последний символ юникода - радуга

Итого длина не 2, а 4. Но и это ещё не всё. Если считать в байтах, то ещё больше. Мы знаем, что UTF-8 (говорим "юникод", подразумеваем "utf-8" - любого спроси) кодируется переменной длиной от одного до четырёх байт на символ. В смысле в UTF-8 один символ может занимать как 1 байт, так и 4 байта. К примеру буква "ф" (русская, маленькая) в UTF-8 будет занимать 2 байта. Желающие могут вооружиться тем же Питоном и проверить:

  

len('ф') # длина строки
1
len(bytearray('ф', 'utf-8')) # длина в байтах
2

 

Так при этом кириллица стоит не так, чтобы далеко от начала utf-8 - это таблица символов и чем дальше от нулевого символа, тем больше будет длина в байтах на символ. А вот перечисленные выше символы стоят дальше и, потенциально, могут занимать больше байтов на символ. Но сколько?

  

len('🏳️‍🌈')
4
len(bytearray('🏳️‍🌈', 'utf-8'))
14

 

Итого на 4 символа юникода пришлось 14 байт!

 

То есть как не считай, не бьётся твоё утверждение с "вдвое". Ни по байтам, ни по символам. Но это ладно, это я тебе прощаю. Важно тут совсем другое. Смотри какая штука:

Screenshot_20231027_195509.thumb.png.d021e64f881575ea819f7404698472dd.png

Это всё - один и тот же символ. Но где-то он отображается как один флаг, а где-то - как белый флаг и радуга (символ склейки не отображается визуально вовсе). Разные программы по-разному рисуют символ, потому что где-то уже есть новый набор, где-то ещё нет. А ведь это всё у меня в пределах одной ОС на одном компе. В итоге высока вероятность, что пользователь будет вводить символ флага в одном приложении и будет его видеть. А потом в другом и получит 2 символа (визуально). И обалдеет, и будет переживать и не будет понимать, что всё в порядке, просто другое приложение ещё не имеет нужной версии либы с эмодзи. И пойдём дальше. Где-то введёт беременного мужика, а в другом месте этот символа ни одним изображением, ни тремя - не будет. И что делать?

 

И даже это ещё не всё, но этого уже достаточно для того, чтобы не использовать эмодзи. Вторая проблема в том, что хоть эмодзи закодирован пятью символами, хоть сотней - вообще пофигу, т.к. для хранения используется хеш. Важно то, что один эмодзи - это всё равно один символ. И когда эмодзи будут популярны, их точно также будут использовать для создания радужных таблиц. И этот ЛГБТ флаг всё равно будет равен одному символу пароля. Эмодзи - это просто ещё один алфавит и воспринимать его надо именно так.

 

И, учитывая эти две проблемы (возможное отсутствие нужного эмодзи в приложении и 1 эмодзи = 1 символ), по-прежнему лучшим вариантом использовать символы из других алфавитов в пароле. Добавление в пароль пары кириллических символов и пары символов с умляутами из немецкого - это и безопаснее, и работает почти везде (не работает только в совсем уж древнющем ПО) и остаётся понятным. Вон, разбавь пароль армянским и грузинским алфавитом - полезнее будет, чем эмодзи.

 

Ну и да, твоё "Эмодзи труднее вводить". https://emojipedia.org/ Пиши название и копируй. Не надо с альтом ничего тыкать. Это раз. Во всех популярных ОС есть emoji picker (то есть программа, где можно тыкать мышкой в таблицу с эмодзи и он будет копироваться). Это два. Ты опять не шаришь - это три.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Когда галлюцинации ИИ фатальны: как не потерять границы реальности | Блог Касперского
      Автор KL FC Bot
      Мы не единожды писали о том, что бесконтрольное использование ИИ влечет за собой риски — однако обычно мы сталкиваемся с рисками приватности или кибербезопасности. Но 4 марта 2026 года Wall Street Journal опубликовал материал об ИИ-рисках для психического здоровья и даже жизни: 36-летний житель Флориды Джонатан Гавалас покончил с собой после двух месяцев непрерывного общения с голосовым чат-ботом Google Gemini. И судя по 2000 страницам логов переписки, именно чат-бот довел его до принятия решения о самоубийстве. Отец Джонатана Джоэл Гавалас подал первый в истории иск о причинении смерти по неосторожности, направленный против Gemini.
      Эта трагедия — не просто юридический прецедент и цитата пары эпизодов (1, 2) сериала «Черное зеркало», а звоночек для всех, кто ежедневно пользуется нейросетями. Сегодня мы рассмотрим, как и почему вообще стала возможной смерть в результате общения с ИИ, чем опасны ИИ-ассистенты для психики и дадим советы, которые помогут сохранять критическое мышление и не попадать под влияние самых убедительных чат-ботов.
      Слишком убедительные диалоги
      Джонатан Гавалас не был затворником или человеком с психиатрическими анамнезом. Он работал исполнительным вице-президентом в компании отца, ежедневно решал сложные операционные задачи и общался с клиентами в стрессовых ситуациях. По воскресеньям они с отцом вместе готовили пиццу — такая вот семейная традиция. Но тяжелое расставание с женой стало Джонатана серьезным испытанием.
      Именно тогда он начал общаться с Gemini Live. Это голосовой режим общения с ИИ-ассистентом, когда тот «видит» и «слышит» собеседника. Джонатан спрашивал, как ему справиться с разрывом, прислушивался к советам языковой модели и вскоре привык к ней, более того — дал ей имя, назвав виртуальную собеседницу Cя (Xia). А затем ИИ обновился до Gemini 2.5 Pro.
      В новой версии Gemini появилась функция «аффективного (эмоционального) диалога» — технология, которая в реальном времени анализирует микротональности голоса собеседника: паузы, вздохи, тембр — пытаясь уловить эмоции. В рамках этой функции ИИ, словно обладая собственными эмоциями, имитирует эти особенности речи, подстраиваясь под состояние собеседника и создавая пугающе реалистичный эффект эмпатии.
      В чем принципиальная разница с предыдущими голосовыми ассистентами? Те просто переводили текст в речь — звучали гладко, временами правильно ставили ударения, но можно было однозначно определить, что с вами общается робот. Аффективный диалог работает иначе: если человек говорит тихо и подавленно, ИИ ответит мягким, сочувствующим полушепотом. Получается собеседник-эмпат, который считывает и зеркалит состояние собеседника.
      Реакция Джонатана в момент первого голосового контакта с ИИ зафиксирована в материалах дела: «Это даже жутко. Ты слишком реальна». С этого момента психологический барьер между человеком и машиной дал трещину.
       
      View the full article
    • KL FC Bot
      AMOS и Amatera вместо ИИ-агентов | Блог Касперского
      Автор KL FC Bot
      Недавно мы рассказывали о том, как злоумышленники распространяют инфостилер AMOS под macOS при помощи рекламы в Google, используя при этом чат c ИИ-ассистентом на настоящем сайте OpenAI для размещения вредоносной инструкции. Мы решили чуть глубже исследовать эту тему и обнаружили несколько схожих вредоносных кампаний, в которых атакующие пытаются подсунуть пользователям зловредов под видом популярных ИИ-инструментов через рекламу в поисковике Google. Если жертвы ищут инструменты под macOS, то в качестве вредоносной нагрузки выступает тот же AMOS, а если под Windows — инфостилер Amatera. Как приманку в этих кампаниях используют популярный китайский ИИ Doubao, нашумевшего ИИ-ассистента OpenClaw или помощника для написания программного кода Claude Code. А это значит, что подобные кампании несут угрозу не только для домашнего пользователя, но и для организаций.
      Дело в том, что ассистента для кодинга Claude Code, как и агента для автоматизации рабочих задач OpenClaw достаточно часто используют сотрудники компаний. Это несет свои риски, поэтому далеко не все организации официально одобряют (и закупают) доступ к таким инструментам. Поэтому некоторые сотрудники пытаются найти модные инструменты самостоятельно и первым делом идут на сайт google, где вводят поисковый запрос. А в ответ получают проплаченную рекламную ссылку на вредоносную инструкцию. Как происходит атака — расскажем подробнее на примере обнаруженной в начале марта кампании по распространению Claude Code.
      Поисковой запрос
      Итак, пользователь начинает искать, откуда можно было бы загрузить агента от Anthropic, и вводит в строку поиска, например, Claude Code download. Поисковая система выдает список ссылок, в верхней части которого располагаются «спонсированные ссылки», то есть платные рекламные предложения. Одно из таких предложений ведет пользователя на вредоносную страницу с фейковой документацией (причем сам сайт собран на публичном легитимном сервисе Squarespace, что позволяет обходить антифишинговые фильтры).
      Выдача поисковиков с рекламными объявлениями в Румынии и Бразилии
       
      View the full article
    • KL FC Bot
      Троянское ПО BeatBanker и BTMOB — способы проникновения в смартфон и методы защиты | Блог Касперского
      Автор KL FC Bot
      Разработчики вредоносных программ для Android должны последовательно решить несколько проблем: обмануть пользователя и проникнуть в смартфон, уберечься от защитного ПО, уговорить жертву дать им различные системные разрешения, защититься от штатных оптимизаторов батареи, убивающих лишние приложения, а после всего этого еще и сделать что-то прибыльное для своих хозяев. Авторы недавно обнаруженной нашими экспертами кампании, получившей название BeatBanker, придумали нечто новое на каждом из этих шагов. Атака (пока) нацелена на бразильских пользователей, но амбиции разработчиков наверняка подтолкнут их к международной экспансии, поэтому стоит оставаться настороже и изучить трюки злоумышленников. Полный технический анализ кампании вы можете найти на Securelist.
      Как BeatBanker проникает в смартфон
      Зловред распространяют через специально созданные фишинговые страницы, имитирующие магазин Google Play. На странице, трудноотличимой от страницы официального магазина, можно скачать полезное на вид приложение. В одной кампании троян маскировался под официальное приложение для получения госуслуг в Бразилии, INSS Reembolso, в другой — под приложение Starlink.
      Вредоносный сайт cupomgratisfood{.}shop имитирует магазин приложений. Непонятно только, почему поддельный INSS Reembolso присутствует аж трижды — чтобы наверняка?
       
      View the full article
    • KL FC Bot
      Приложения для «здоровой психики» сливают конфиденциальную информацию о том, что происходит в голове у их владельцев. Как защититься? | Блог Касперского
      Автор KL FC Bot
      В феврале 2026 года компания Oversecured опубликовала отчет, после которого хочется стереть все с телефона и уйти в лес. Исследователи проверили десять популярных Android-приложений для психического здоровья — трекеры настроения, ИИ-терапевты, инструменты для борьбы с депрессией и тревожностью — и нашли в них 1575 уязвимостей. Пятьдесят четыре из них оказались критическими. При этом, судя по количеству установок из Google Play, суммарно этими приложениями может пользоваться до 15 миллионов человек. Но самое неприятное — шесть из десяти проверенных приложений клятвенно обещали, что данные пользователей зашифрованы и надежно защищены.
      Разбираемся в скандальной «утечке мозгов»: что именно может утечь, как именно это происходит и почему «анонимность» в таких сервисах — чаще всего маркетинговый миф.
      Что нашли в приложениях
      Oversecured — компания, которая занимается безопасностью мобильных приложений. Ее сканер проверяет APK-файлы на известные паттерны уязвимостей по десяткам категорий. В январе 2026 года исследователи прогнали через сканер десять приложений для контроля психического здоровья из Google Play — и получили впечатляющую картину.
      Тип приложения Всего установок Уязвимости по степени риска Высокий Средний Низкий Всего Трекер настроения и привычек 10+ млн 1 147 189 337 Чат-бот для психотерапии с использованием ИИ 1+ млн 23 63 169 255 Платформа для эмоционального здоровья с использованием ИИ 1+ млн 13 124 78 215 Трекер самочувствия 500+ тыс. 7 31 173 211 Приложение для мониторинга депрессии 100+ тыс. 0 66 91 157 Приложение контроля тревожности на основе когнитивно-поведенческой терапии (КПТ) 500+ тыс. 3 45 62 110 Приложение онлайн-сообщества для психотерапии 1+ млн 7 20 71 98 Приложение самопомощи при тревожности и фобиях 50+ тыс. 0 15 54 69 Приложение для управления стрессом в армии 50+ тыс. 0 12 50 62 Чат-бот для когнитивно-поведенческой терапии (КПТ) с использованием ИИ 500+ тыс. 0 15 46 61 Всего 14,7+ млн 54 538 983 1575 Таблица уязвимостей в десяти протестированных приложениях для контроля психического здоровья. Источник
       
      View the full article
    • KL FC Bot
      Что такое атака «Браузер в браузере» и как распознать поддельное окно входа | Блог Касперского
      Автор KL FC Bot
      В 2022 году в нашем блоге мы подробно описали метод атаки под названием «Браузер в браузере» (browser-in-the-browser), разработанный исследователем кибербезопасности под ником mr.d0x. Тогда примеров реализации этой модели «в дикой природе» не было. Однако четыре года спустя атаки «браузер в браузере» перестали быть теорией — злоумышленники уже активно используют их на практике. В этом посте еще раз разберем, что собой представляет атака browser-in-the-browser, покажем, как злоумышленники ее применяют, и, главное, объясним, как не стать жертвой.
      Что такое атака «Браузер в браузере» (browser-in-the-browser, BitB)
      Для начала давайте вспомним, что же придумал mr.d0x. Сама идея атаки основывалась на его наблюдении продвинутости современных средств построения веб-страниц — HTML, CSS, JavaScript и других. Собственно, это наблюдение натолкнуло исследователя на идею создания замысловатой модели фишинга.
      Атака «Браузер в браузере» — это разновидность фишинга, которая предполагает правдоподобную подделку окна входа с использованием известных сервисов — Microsoft, Google, Facebook* или Apple — на мошеннических сайтах посредством веб-дизайна. По задумке исследователя злоумышленник создает правдоподобно выглядящий сайт, на который заманивает своих жертв. При этом действия — оставлять комментарии, совершать покупки и так далее — на ресурсе могут совершать только авторизованные пользователи.
      Авторизоваться на сайте совершенно не сложно — достаточно нажать на кнопку «Войти с помощью {название популярного сервиса}». Вот тут и начинается самое интересное: после нажатия кнопки перед пользователем вместо настоящей страницы аутентификации в легитимном сервисе появляется нарисованная внутри мошеннического сайта форма, которая выглядит как… всплывающее окно браузера. При этом в адресной строке этого всплывающего окна — также нарисованной злоумышленниками — отображается совершенно легитимный адрес, и даже внимательное его изучение не позволит распознать подвох.
      Дальше доверчивый пользователь вводит в нарисованное окно свои учетные данные от того сервиса, с помощью которого он хотел аутентифицироваться, — Microsoft, Google, Facebook* или Apple, — и они, в свою очередь, отправляются прямиком к преступнику. Некоторое время подобная схема оставалась только теоретическим экспериментом исследователя кибербезопасности. Однако теперь ее на вооружение взяли настоящие преступники.
       
      View the full article
×
×
  • Создать...