Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Можно ли использовать эмодзи в паролях? | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Пароли никто не любит. Их долго вводить, трудно запоминать, а все эти условия «нужны цифра, буква в верхнем регистре и рог единорога» делают задачу создания пароля еще сложнее. Но если использовать везде один и тот же пароль или ограничиваться простыми короткими паролями, вас рано или поздно взломают. Как сочетать удобство ввода, запоминаемость и стойкость ко взлому? Интересный, хотя и неоднозначный способ — использовать в пароле эмодзи, те самые смайлики 😁 и прочие значки 🔐, которые мы щедро рассыпаем в чатах и постах в соцсетях.

В современных компьютерах и смартфонах эмодзи — такие же полноправные символы, как буквы национальных алфавитов или типографские знаки. Они входят в стандарт Unicode (по ссылке можно посмотреть все стандартизованные эмодзи), поэтому их теоретически можно использовать в любых текстах, включая пароли.

Чем хороши эмодзи в паролях?

Эмодзи очень много, поэтому пароль может быть вдвое короче. Когда злоумышленники пытаются подобрать пароль из букв, цифр и знаков пунктуации, для каждого символа пароля им нужно перепробовать менее сотни вариантов. Но стандартизованных эмодзи в Unicode более 3600, и, если в пароль добавить смайлик, то для каждого знака придется перебрать уже около 3700 вариантов. Так что по сложности подбора пароль из пяти разных смайлов эквивалентен обычному паролю из девяти символов, а семь эмодзи — вспомним комбинаторику — тянут уже на серьезный пароль из 13 «обычных» символов.

Некоторые новые эмодзи из стандарта Unicode

Некоторые новые эмодзи из стандарта Unicode

Эмодзи проще запоминать. Вместо бессмысленной мешанины букв и цифр можно составить логичное предложение и создать на его основе ребус из эмодзи. Для этого можно воспользоваться Яндекс.Переводчиком на эмодзи или чатботом, например ChatGPT.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано

Осспаде, как же плохо у Стана. Серьёзно, откуда он? Почему его постоянно публикуют?

 

Quote

Эмодзи очень много, поэтому пароль может быть вдвое короче.

Почему вдвое? Смотри, Стан: 🏳️‍🌈 Это флаг ЛГБТ. Он занимает не 2 символа. Смотрим: https://emojipedia.org/rainbow-flag#technical

  • первые 2 символа юникода - это белый флаг
  • ещё один символ юникода - это технический символ, который связывает воедино то, что справа и слева от него
  • последний символ юникода - радуга

Итого длина не 2, а 4. Но и это ещё не всё. Если считать в байтах, то ещё больше. Мы знаем, что UTF-8 (говорим "юникод", подразумеваем "utf-8" - любого спроси) кодируется переменной длиной от одного до четырёх байт на символ. В смысле в UTF-8 один символ может занимать как 1 байт, так и 4 байта. К примеру буква "ф" (русская, маленькая) в UTF-8 будет занимать 2 байта. Желающие могут вооружиться тем же Питоном и проверить:

  

len('ф') # длина строки
1
len(bytearray('ф', 'utf-8')) # длина в байтах
2

 

Так при этом кириллица стоит не так, чтобы далеко от начала utf-8 - это таблица символов и чем дальше от нулевого символа, тем больше будет длина в байтах на символ. А вот перечисленные выше символы стоят дальше и, потенциально, могут занимать больше байтов на символ. Но сколько?

  

len('🏳️‍🌈')
4
len(bytearray('🏳️‍🌈', 'utf-8'))
14

 

Итого на 4 символа юникода пришлось 14 байт!

 

То есть как не считай, не бьётся твоё утверждение с "вдвое". Ни по байтам, ни по символам. Но это ладно, это я тебе прощаю. Важно тут совсем другое. Смотри какая штука:

Screenshot_20231027_195509.thumb.png.d021e64f881575ea819f7404698472dd.png

Это всё - один и тот же символ. Но где-то он отображается как один флаг, а где-то - как белый флаг и радуга (символ склейки не отображается визуально вовсе). Разные программы по-разному рисуют символ, потому что где-то уже есть новый набор, где-то ещё нет. А ведь это всё у меня в пределах одной ОС на одном компе. В итоге высока вероятность, что пользователь будет вводить символ флага в одном приложении и будет его видеть. А потом в другом и получит 2 символа (визуально). И обалдеет, и будет переживать и не будет понимать, что всё в порядке, просто другое приложение ещё не имеет нужной версии либы с эмодзи. И пойдём дальше. Где-то введёт беременного мужика, а в другом месте этот символа ни одним изображением, ни тремя - не будет. И что делать?

 

И даже это ещё не всё, но этого уже достаточно для того, чтобы не использовать эмодзи. Вторая проблема в том, что хоть эмодзи закодирован пятью символами, хоть сотней - вообще пофигу, т.к. для хранения используется хеш. Важно то, что один эмодзи - это всё равно один символ. И когда эмодзи будут популярны, их точно также будут использовать для создания радужных таблиц. И этот ЛГБТ флаг всё равно будет равен одному символу пароля. Эмодзи - это просто ещё один алфавит и воспринимать его надо именно так.

 

И, учитывая эти две проблемы (возможное отсутствие нужного эмодзи в приложении и 1 эмодзи = 1 символ), по-прежнему лучшим вариантом использовать символы из других алфавитов в пароле. Добавление в пароль пары кириллических символов и пары символов с умляутами из немецкого - это и безопаснее, и работает почти везде (не работает только в совсем уж древнющем ПО) и остаётся понятным. Вон, разбавь пароль армянским и грузинским алфавитом - полезнее будет, чем эмодзи.

 

Ну и да, твоё "Эмодзи труднее вводить". https://emojipedia.org/ Пиши название и копируй. Не надо с альтом ничего тыкать. Это раз. Во всех популярных ОС есть emoji picker (то есть программа, где можно тыкать мышкой в таблицу с эмодзи и он будет копироваться). Это два. Ты опять не шаришь - это три.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mrak
      Менеджер финансов: какой лучше использовать
      Автор Mrak
      Всем привет!
       
      Поделитесь информацией об используемом вами приложении для учёта доходов и расходов. Кто чем пользуется?
       
      Во времена виндовс-фонов испльзовал Finance Tracker Application. Отличная программа была. Умела всё, что мне нужно, не просила денег вообще.
       
      Полез на iOS искать похожую, а там сплошные жадины-разработчики. За простейшую программу (ведь по идее это переделанный эксель, урезанный и с несколькими видами диаграмм) просят ежемесячные платежи, ежегодные платежи или фантастические разовые суммы (А ты точно будешь всю оставшуюся жизнь поддерживать программу, если я тебе 6000 рублей отдам сейчас? Что-то сомневаюсь).
       
      В общем давайте обсудим, кто и что применяет. Или меньше знаешь, крепче спишь, не надо ничего считать?  
    • KL FC Bot
      Осторожно, фальшивый менеджер паролей KeePass | Блог Касперского
      Автор KL FC Bot
      Пользователь хотел защитить свои пароли, но собственными руками запустил злоумышленников в организацию. К такому неожиданному выводу привело недавнее расследование атаки шифровальщика-вымогателя. Инцидент начался с того, что один из сотрудников скачал популярный менеджер паролей KeePass. Важное «но»: он зашел на сайт-фальшивку. Исходный код KeePass открыт, поэтому злоумышленники без проблем скопировали его, внесли изменения и добавили вредоносные функции. Затем они повторно скомпилировали программу и распространили ее через поддельные сайты, которые продвигали через легитимные системы онлайн-рекламы.
      Компрометация менеджера паролей — серьезная угроза и для обычных пользователей, и для организаций. Как заметить ее и как защититься?
      Что делал фальшивый KeePass
      Вредоносная кампания длилась как минимум 8 месяцев начиная с середины 2024 года. Злоумышленники создавали поддельные сайты, имитирующие официальный сайт KeePass, и использовали вредоносные рекламные объявления (malvertising), чтобы перенаправлять пользователей, ищущих KeePass, на домены с многообещающими именами вроде keeppaswrd, keebass и KeePass-download.
      Если жертва скачивала KeePass с фальшивого сайта, то менеджер паролей исправно выполнял основную функцию, но также сохранял все пароли из открытой базы данных в незашифрованный текстовый файл, а еще устанавливал в системе «маячок» Cobalt Strike — инструмента, используемого как для оценки защищенности организаций, так и для реальных кибератак.
      С помощью Cobalt Strike атакующие смогли не только украсть экспортированные пароли, но и использовать их для захвата дополнительных систем и в конечном счете зашифровать серверы ESXi в организации.
      Поискав следы этой атаки в Интернете, исследователи обнаружили пять разных троянизированных модификаций KeePass. Некоторые из них были устроены более просто — сразу выгружали украденные пароли на сервер атакующих.
       
      View the full article
    • KL FC Bot
      Как создать надежный и запоминающийся пароль | Блог Касперского
      Автор KL FC Bot
      Информационный поток с каждым днем не уменьшается, и в 2025 году в нашей голове остается все меньше места для таких вещей, как пароль к той самой почте, которую вы завели в далеком 2020, чтобы зарегистрировать маму на маркетплейсе. Во Всемирный день пароля, выпадающий в этом году на 1 мая, День труда, предлагаем потрудиться и объединиться в борьбе против забывчивости, слабых паролей и хакеров.
      Как уже не раз подтверждали наши эксперты, целевая компрометация пароля — лишь вопрос времени и средств, причем зачастую — очень короткого времени и копеечных средств. И наша задача — максимально усложнить этот процесс, напрочь отбив желание у взломщиков заниматься именно вашими данными.
      В прошлогоднем исследовании мы выяснили, что 59% всех паролей мира могут быть взломаны менее чем за час при помощи умных алгоритмов, требующих мощной видеокарты вроде RTX 4090 или дешевой аренды облачных вычислительных мощностей. Сейчас мы проводим второй этап исследования и скоро расскажем, изменилась ли ситуация за год к лучшему или нет, так что подписывайтесь на наш блог или телеграм-канал, чтобы первыми узнать о результатах.
      Сегодня мы не просто расскажем о наиболее безопасных методах аутентификации и способах создания сложных паролей, но и обсудим техники их запоминания, а также ответим на вопрос, почему использовать менеджер паролей в 2025 году — действительно хорошая идея.
      Как безопаснее логиниться в 2025 году
      Сейчас у нас достаточно вариантов, с помощью которых можно проходить аутентификацию в сервисах и на веб-сайтах:
      классическая связка логин-пароль; аутентификация с помощью стороннего сервиса (VK, Яндекс, Apple, Google и т. д.); двухфакторная аутентификация с подтверждением: через SMS с одноразовым кодом; через приложение-аутентификатор (например, Kaspersky Password Manager, Google Authenticator или Microsoft Authenticator); с применением аппаратного ключа (например, Flipper, YubiKey или USB-токена); использование passkey и биометрической аутентификации. Разумеется, каждый из этих способов можно как усилить, например создать сложный пароль из 20+ случайных символов, так и ослабить, допустим, оставляя токен в USB-порту, а сам компьютер — без присмотра в публичных местах. И потому время «классических» паролей еще не прошло. Поэтому давайте разбираться, как мы можем усилить наши текущие позиции: придумать и запомнить незабываемый пароль.
       
      View the full article
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Главные ошибки работы с CVSS | Блог Касперского
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
×
×
  • Создать...