Перейти к содержанию

Можно ли использовать эмодзи в паролях? | Блог Касперского


Рекомендуемые сообщения

Пароли никто не любит. Их долго вводить, трудно запоминать, а все эти условия «нужны цифра, буква в верхнем регистре и рог единорога» делают задачу создания пароля еще сложнее. Но если использовать везде один и тот же пароль или ограничиваться простыми короткими паролями, вас рано или поздно взломают. Как сочетать удобство ввода, запоминаемость и стойкость ко взлому? Интересный, хотя и неоднозначный способ — использовать в пароле эмодзи, те самые смайлики 😁 и прочие значки 🔐, которые мы щедро рассыпаем в чатах и постах в соцсетях.

В современных компьютерах и смартфонах эмодзи — такие же полноправные символы, как буквы национальных алфавитов или типографские знаки. Они входят в стандарт Unicode (по ссылке можно посмотреть все стандартизованные эмодзи), поэтому их теоретически можно использовать в любых текстах, включая пароли.

Чем хороши эмодзи в паролях?

Эмодзи очень много, поэтому пароль может быть вдвое короче. Когда злоумышленники пытаются подобрать пароль из букв, цифр и знаков пунктуации, для каждого символа пароля им нужно перепробовать менее сотни вариантов. Но стандартизованных эмодзи в Unicode более 3600, и, если в пароль добавить смайлик, то для каждого знака придется перебрать уже около 3700 вариантов. Так что по сложности подбора пароль из пяти разных смайлов эквивалентен обычному паролю из девяти символов, а семь эмодзи — вспомним комбинаторику — тянут уже на серьезный пароль из 13 «обычных» символов.

Некоторые новые эмодзи из стандарта Unicode

Некоторые новые эмодзи из стандарта Unicode

Эмодзи проще запоминать. Вместо бессмысленной мешанины букв и цифр можно составить логичное предложение и создать на его основе ребус из эмодзи. Для этого можно воспользоваться Яндекс.Переводчиком на эмодзи или чатботом, например ChatGPT.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты

Осспаде, как же плохо у Стана. Серьёзно, откуда он? Почему его постоянно публикуют?

 

Quote

Эмодзи очень много, поэтому пароль может быть вдвое короче.

Почему вдвое? Смотри, Стан: 🏳️‍🌈 Это флаг ЛГБТ. Он занимает не 2 символа. Смотрим: https://emojipedia.org/rainbow-flag#technical

  • первые 2 символа юникода - это белый флаг
  • ещё один символ юникода - это технический символ, который связывает воедино то, что справа и слева от него
  • последний символ юникода - радуга

Итого длина не 2, а 4. Но и это ещё не всё. Если считать в байтах, то ещё больше. Мы знаем, что UTF-8 (говорим "юникод", подразумеваем "utf-8" - любого спроси) кодируется переменной длиной от одного до четырёх байт на символ. В смысле в UTF-8 один символ может занимать как 1 байт, так и 4 байта. К примеру буква "ф" (русская, маленькая) в UTF-8 будет занимать 2 байта. Желающие могут вооружиться тем же Питоном и проверить:

 

len('ф') # длина строки
1
len(bytearray('ф', 'utf-8')) # длина в байтах
2

 

Так при этом кириллица стоит не так, чтобы далеко от начала utf-8 - это таблица символов и чем дальше от нулевого символа, тем больше будет длина в байтах на символ. А вот перечисленные выше символы стоят дальше и, потенциально, могут занимать больше байтов на символ. Но сколько?

 

len('🏳️‍🌈')
4
len(bytearray('🏳️‍🌈', 'utf-8'))
14

 

Итого на 4 символа юникода пришлось 14 байт!

 

То есть как не считай, не бьётся твоё утверждение с "вдвое". Ни по байтам, ни по символам. Но это ладно, это я тебе прощаю. Важно тут совсем другое. Смотри какая штука:

Screenshot_20231027_195509.thumb.png.d021e64f881575ea819f7404698472dd.png

Это всё - один и тот же символ. Но где-то он отображается как один флаг, а где-то - как белый флаг и радуга (символ склейки не отображается визуально вовсе). Разные программы по-разному рисуют символ, потому что где-то уже есть новый набор, где-то ещё нет. А ведь это всё у меня в пределах одной ОС на одном компе. В итоге высока вероятность, что пользователь будет вводить символ флага в одном приложении и будет его видеть. А потом в другом и получит 2 символа (визуально). И обалдеет, и будет переживать и не будет понимать, что всё в порядке, просто другое приложение ещё не имеет нужной версии либы с эмодзи. И пойдём дальше. Где-то введёт беременного мужика, а в другом месте этот символа ни одним изображением, ни тремя - не будет. И что делать?

 

И даже это ещё не всё, но этого уже достаточно для того, чтобы не использовать эмодзи. Вторая проблема в том, что хоть эмодзи закодирован пятью символами, хоть сотней - вообще пофигу, т.к. для хранения используется хеш. Важно то, что один эмодзи - это всё равно один символ. И когда эмодзи будут популярны, их точно также будут использовать для создания радужных таблиц. И этот ЛГБТ флаг всё равно будет равен одному символу пароля. Эмодзи - это просто ещё один алфавит и воспринимать его надо именно так.

 

И, учитывая эти две проблемы (возможное отсутствие нужного эмодзи в приложении и 1 эмодзи = 1 символ), по-прежнему лучшим вариантом использовать символы из других алфавитов в пароле. Добавление в пароль пары кириллических символов и пары символов с умляутами из немецкого - это и безопаснее, и работает почти везде (не работает только в совсем уж древнющем ПО) и остаётся понятным. Вон, разбавь пароль армянским и грузинским алфавитом - полезнее будет, чем эмодзи.

 

Ну и да, твоё "Эмодзи труднее вводить". https://emojipedia.org/ Пиши название и копируй. Не надо с альтом ничего тыкать. Это раз. Во всех популярных ОС есть emoji picker (то есть программа, где можно тыкать мышкой в таблицу с эмодзи и он будет копироваться). Это два. Ты опять не шаришь - это три.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.
      В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.
      BlueNoroff атакует пользователей macOS и ворует криптовалюту
      В конце октября 2023 года наши исследователи обнаружили нового трояна для macOS, который предположительно связан с BlueNoroff — «коммерческим крылом» APT-группировки Lazarus, работающей на Северную Корею. Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое ограбление Центрального банка Бангладеш, — а во-вторых, кражей криптовалют у организаций и частных лиц.
      Обнаруженный троян-загрузчик для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.
      Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива. Источник
      После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      С начала лета системы «Лаборатории Касперского» фиксируют увеличение детектов трояна для удаленного доступа Remcos. Вероятная причина тому — волна рассылок вредоносных писем, в которых злоумышленники пытаются убедить сотрудников различных компаний перейти по ссылке для загрузки зловреда.
      Вредоносные письма
      Сама по себе уловка, которой пытаются воспользоваться злоумышленники, не нова. Они пишут от имени нового клиента, который хочет приобрести товары или услуги и пытается уточнить какую-то информацию: наличие или цену товаров по списку, соответствие их каким-то критериям и так далее. Главное, что для уточнения информации получатель должен перейти по ссылке и прочитать список этих самых критериев или требований. Для убедительности в письме часто спрашивают, как быстро получится организовать поставку, интересуются условиями международной доставки. Разумеется, по ссылке переходить не следует — она ведет не на список, а на вредоносный скрипт.
      Интересно место, выбранное злоумышленниками для хранения своего вредоносного скрипта. Ссылки имеют адрес вида https://cdn.discordapp.com/attachments/. Дело в том, что Discord — это вполне легитимная платформа, позволяющая обмениваться мгновенными сообщениями, совершать аудио- и видео-звонки, а главное пересылать различные файлы. Пользователь Discord может кликнуть на любой файл, пересланный через это приложение, и получить ссылку, по которой он будет доступен внешнему пользователю (это нужно чтобы, например, быстро поделиться файлом в другом мессенджере). Именно эти ссылки и выглядят как https://cdn.discordapp.com/attachments/ плюс некий набор цифр, идентифицирующий конкретный файл.
      Discord активно используют различные игровые сообщества, но иногда он применяется и компаниями для общения внутри различных команд и отделов или даже для связи с клиентами. Поэтому часто фильтры, отслеживающие вредоносный контент в письмах, не считают ссылки на файлы, хранящиеся на серверах Discord, подозрительными. По факту же, если получатель письма решит перейти по такой ссылке, то он, по сути, скачает вредоносный JavaScript с названием, имитирующим документ с информацией. Когда жертва попробует открыть этот файл, вредоносный скрипт запустит powershell, который, в свою очередь,  загрузит Remcos RAT на устройство пользователя.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).
      Что такое «Настройки с ограниченным доступом»
      Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.
      Однако в Android 13 и 14 для приложений, установленных пользователем из APK-файлов, сделать это не получится. Если вы пойдете в настройки смартфона и попытаетесь дать приложению опасные разрешения, то вам покажут окно с заголовком «Настройки с ограниченным доступом» (на английском — «Restricted setting»). В нем будет написано, что «В целях безопасности доступ к этой функции пока ограничен» или, соответственно, «For your security, this setting is currently unavailable».
      Когда установленное из сторонних источников приложение запрашивает опасные разрешения, на экране появляется окно с заголовком «Настройки с ограниченным доступом»
      Какие же разрешения в Google считают настолько опасными, что блокируют к ним доступ для любых приложений, загруженных не из магазина? К сожалению, в Google не торопятся делиться этой информацией. Поэтому ее приходится собирать из публикаций независимых источников, предназначенных для Android-разработчиков. На данный момент известно о двух таких ограничениях:
      Разрешение на доступ к «Специальным возможностям». Разрешение на доступ к уведомлениям. Не исключено, что этот список будет меняться в будущих версиях Android. Но пока, по всей видимости, это все разрешения, которые в Google решили ограничивать для приложений, загруженных из неизвестных источников. Теперь поговорим о том, зачем это вообще нужно.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      На большинстве смартфонов установлено в среднем около 80 приложений, из которых минимум 30% никогда не используются, даже если владелец телефона и помнит об их существовании. Подобный «балласт» весьма вреден: свободное место на телефоне уменьшается, число возможных ошибок и проблем совместимости увеличивается, и даже неиспользуемые приложения порой отвлекают владельца бесполезными оповещениями.
      Что еще хуже, «заброшенные» приложения могут продолжать собирать данные о самом смартфоне и его владельце, скармливая их многочисленным рекламным фирмам или просто пожирая трафик. Надеемся, мы уже убедили вас, что смартфон стоит чистить от установленного мусора хотя бы пару раз в год, удаляя с него те программы, которыми вы последний раз пользовались очень давно, — кстати, не забудьте отключить и платную подписку на них!
      К сожалению, некоторые приложения стереть не так-то просто: их удаление заблокировано производителем. Для решения этой проблемы есть ряд рецептов.
      Удалить приложение
      Иногда вы не можете найти ненужное приложение в разделе «Управление приложениями и устройством» в установленном на смартфоне Google Play. Первым делом попытайтесь удалить такое приложение напрямую через настройки телефона: ищем в них подраздел «Приложения» (Apps). Там перечислены все установленные программы, а чтобы не листать длинный список в поиске ненужной, можно воспользоваться поиском. Найдя требуемый апп и нажав на него, вы попадаете на экран «Свойства приложения». Тут можно ознакомиться с потреблением программой памяти, трафика и энергии, а главное — найти и нажать кнопку «Удалить» (Uninstall). Если кнопка обнаружилась и успешно нажалась, то дело сделано.
      Список всех установленных приложений и экран свойств приложения с кнопкой «Удалить» (Uninstall)
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      WordPress — самая популярная система управления контентом в мире. Как очень любят упоминать сами разработчики этой системы, на WordPress построено более 40% веб-сайтов. Однако у этой популярности есть и обратная сторона: такое огромное количество потенциальных мишеней неизбежно притягивает злоумышленников. По той же причине и исследователи кибербезопасности внимательно изучают WordPress и регулярно рассказывают о тех или иных проблемах данной CMS.
      В результате достаточно часто можно услышать мнение о том, что WordPress свойственны проблемы с безопасностью. Но у столь пристального внимания есть и позитивная сторона: благодаря ему хорошо известны и сами угрозы, и те методы, с помощью которых с ними можно справляться, чтобы сделать свой WordPress-сайт безопасным. Об этом мы сегодня и поговорим.
      1. Уязвимости в плагинах, темах и WordPress core (именно в этом порядке)
      Во всех подборках проблем с безопасностью WordPress, которые вы можете найти в интернете, стабильно фигурируют такие вещи, как межсайтовый скриптинг (XSS, cross-site scripting), внедрение SQL-кода (SQLi, SQL injection) и межсайтовая подделка запроса (CSRF, cross-site request forgery). Так вот, все эти атаки — а также ряд других — становятся возможны из-за уязвимостей либо в основном программном обеспечении WordPress (WordPress core), либо в плагинах и темах.
      При этом следует иметь в виду, что, по статистике, непосредственно в WordPress core обнаруживают лишь малую часть уязвимостей. К примеру, за весь 2022 год в основном ПО WordPress нашли всего 23 уязвимости — что составляет 1,3% от всех 1779 уязвимостей, найденных в WordPress в прошлом году. Еще 97 багов (5,45%) были обнаружены в темах. Ну а львиная доля приходится на плагины: в них нашли 1659 уязвимостей, то есть аж 93,25% от общего числа.
      Стоит заметить, что количество обнаруживаемых в WordPress уязвимостей не должно быть поводом для того, чтобы отказываться от использования этой CMS. Уязвимости есть везде, просто находят их в основном там, где активно ищут, — то есть в наиболее популярном программном обеспечении.
      Как повысить безопасность:
      Всегда вовремя обновляйте WordPress core — пусть уязвимости в нем находят не так часто, их эксплуатация может быть гораздо более массовой, так что опасно надолго оставлять их незапатченными. Также не забывайте обновлять темы и — в особенности — плагины. Именно плагины ответственны за большинство известных уязвимостей в экосистеме WordPress. Не устанавливайте «лишние» WordPress-плагины, то есть те, которые не требуются для работы вашего сайта. Это поможет существенно снизить количество потенциальных уязвимостей, которые есть на вашем WordPress-сайте. Вовремя деактивируйте или вовсе удаляйте те плагины, которые вам больше не нужны.  
      Посмотреть статью полностью
×
×
  • Создать...