Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пароли никто не любит. Их долго вводить, трудно запоминать, а все эти условия «нужны цифра, буква в верхнем регистре и рог единорога» делают задачу создания пароля еще сложнее. Но если использовать везде один и тот же пароль или ограничиваться простыми короткими паролями, вас рано или поздно взломают. Как сочетать удобство ввода, запоминаемость и стойкость ко взлому? Интересный, хотя и неоднозначный способ — использовать в пароле эмодзи, те самые смайлики 😁 и прочие значки 🔐, которые мы щедро рассыпаем в чатах и постах в соцсетях.

В современных компьютерах и смартфонах эмодзи — такие же полноправные символы, как буквы национальных алфавитов или типографские знаки. Они входят в стандарт Unicode (по ссылке можно посмотреть все стандартизованные эмодзи), поэтому их теоретически можно использовать в любых текстах, включая пароли.

Чем хороши эмодзи в паролях?

Эмодзи очень много, поэтому пароль может быть вдвое короче. Когда злоумышленники пытаются подобрать пароль из букв, цифр и знаков пунктуации, для каждого символа пароля им нужно перепробовать менее сотни вариантов. Но стандартизованных эмодзи в Unicode более 3600, и, если в пароль добавить смайлик, то для каждого знака придется перебрать уже около 3700 вариантов. Так что по сложности подбора пароль из пяти разных смайлов эквивалентен обычному паролю из девяти символов, а семь эмодзи — вспомним комбинаторику — тянут уже на серьезный пароль из 13 «обычных» символов.

Некоторые новые эмодзи из стандарта Unicode

Некоторые новые эмодзи из стандарта Unicode

Эмодзи проще запоминать. Вместо бессмысленной мешанины букв и цифр можно составить логичное предложение и создать на его основе ребус из эмодзи. Для этого можно воспользоваться Яндекс.Переводчиком на эмодзи или чатботом, например ChatGPT.

 

Посмотреть статью полностью

Опубликовано

Осспаде, как же плохо у Стана. Серьёзно, откуда он? Почему его постоянно публикуют?

 

Quote

Эмодзи очень много, поэтому пароль может быть вдвое короче.

Почему вдвое? Смотри, Стан: 🏳️‍🌈 Это флаг ЛГБТ. Он занимает не 2 символа. Смотрим: https://emojipedia.org/rainbow-flag#technical

  • первые 2 символа юникода - это белый флаг
  • ещё один символ юникода - это технический символ, который связывает воедино то, что справа и слева от него
  • последний символ юникода - радуга

Итого длина не 2, а 4. Но и это ещё не всё. Если считать в байтах, то ещё больше. Мы знаем, что UTF-8 (говорим "юникод", подразумеваем "utf-8" - любого спроси) кодируется переменной длиной от одного до четырёх байт на символ. В смысле в UTF-8 один символ может занимать как 1 байт, так и 4 байта. К примеру буква "ф" (русская, маленькая) в UTF-8 будет занимать 2 байта. Желающие могут вооружиться тем же Питоном и проверить:

 

len('ф') # длина строки
1
len(bytearray('ф', 'utf-8')) # длина в байтах
2

 

Так при этом кириллица стоит не так, чтобы далеко от начала utf-8 - это таблица символов и чем дальше от нулевого символа, тем больше будет длина в байтах на символ. А вот перечисленные выше символы стоят дальше и, потенциально, могут занимать больше байтов на символ. Но сколько?

 

len('🏳️‍🌈')
4
len(bytearray('🏳️‍🌈', 'utf-8'))
14

 

Итого на 4 символа юникода пришлось 14 байт!

 

То есть как не считай, не бьётся твоё утверждение с "вдвое". Ни по байтам, ни по символам. Но это ладно, это я тебе прощаю. Важно тут совсем другое. Смотри какая штука:

Screenshot_20231027_195509.thumb.png.d021e64f881575ea819f7404698472dd.png

Это всё - один и тот же символ. Но где-то он отображается как один флаг, а где-то - как белый флаг и радуга (символ склейки не отображается визуально вовсе). Разные программы по-разному рисуют символ, потому что где-то уже есть новый набор, где-то ещё нет. А ведь это всё у меня в пределах одной ОС на одном компе. В итоге высока вероятность, что пользователь будет вводить символ флага в одном приложении и будет его видеть. А потом в другом и получит 2 символа (визуально). И обалдеет, и будет переживать и не будет понимать, что всё в порядке, просто другое приложение ещё не имеет нужной версии либы с эмодзи. И пойдём дальше. Где-то введёт беременного мужика, а в другом месте этот символа ни одним изображением, ни тремя - не будет. И что делать?

 

И даже это ещё не всё, но этого уже достаточно для того, чтобы не использовать эмодзи. Вторая проблема в том, что хоть эмодзи закодирован пятью символами, хоть сотней - вообще пофигу, т.к. для хранения используется хеш. Важно то, что один эмодзи - это всё равно один символ. И когда эмодзи будут популярны, их точно также будут использовать для создания радужных таблиц. И этот ЛГБТ флаг всё равно будет равен одному символу пароля. Эмодзи - это просто ещё один алфавит и воспринимать его надо именно так.

 

И, учитывая эти две проблемы (возможное отсутствие нужного эмодзи в приложении и 1 эмодзи = 1 символ), по-прежнему лучшим вариантом использовать символы из других алфавитов в пароле. Добавление в пароль пары кириллических символов и пары символов с умляутами из немецкого - это и безопаснее, и работает почти везде (не работает только в совсем уж древнющем ПО) и остаётся понятным. Вон, разбавь пароль армянским и грузинским алфавитом - полезнее будет, чем эмодзи.

 

Ну и да, твоё "Эмодзи труднее вводить". https://emojipedia.org/ Пиши название и копируй. Не надо с альтом ничего тыкать. Это раз. Во всех популярных ОС есть emoji picker (то есть программа, где можно тыкать мышкой в таблицу с эмодзи и он будет копироваться). Это два. Ты опять не шаришь - это три.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dzmitry
      Автор Dzmitry
      Описание с магазина
       
      О Внешний аккумулятор с встроенными кабелями
      Зарядное устройство с функцией беспроводной зарядки для смартфона и часов. Увеличенный объем батареи и быстрая зарядка по MagSafe позволят забыть об ограниченности аккумулятора. Кроме того, больше не надо носить с собой моток проводов, ведь кроме беспроводной зарядки устройство имеет встроенные type-c и lightning кабели с еще большей выходной мощностью.
      ∙ Материал: АВS, металл
      ∙ Цвет: чёрный
      ∙ Размер: 115х70х22 мм
      ∙ Ёмкость: 10000 mAh
      ∙ Вход: Type-C
      ∙ Выход: USB, Type-C
      ∙ Встроенные кабели Lightning и Type-C
      ∙ Встроенная подставка для смартфона
      ∙ Индикатор зарядки
      ∙ MagSafe беспроводная зарядка 15 Вт Зарядное устройство 2.5 Вт для Apple Watch QC2.5W + PD20W быстрая зарядка
       
       
      В описании ничего не написано про модель пауэрбанка, даже гугл по картинке не смог найти эту модель.
      По результатам использования:
      Хороший компактный поуэрбанк, который всё время под рукой. Для меня самое главное – поддержка быстрой зарядки. Вес 212г , аналогичный от xiaomi весит 214г
      Из минусов хочу отметить тонкие зарядные провода и невозможность зарядки отдельных моделей смартфонов на подставке (huawei pura 80), нет поддержки зарядки малым током.
       
       
       
    • KL FC Bot
      Автор KL FC Bot
      Капча (CAPTCHA) в привычном нам виде появилась 26 лет назад и за это время сильно эволюционировала, но основная идея осталась прежней: предложить человеку задачу, которую он решит за пару секунд, а компьютер — нет.
      Начиналось все с искаженного текста, были и математические примеры, и короткие аудио. Дальше наступила эпоха выбора пожарных гидрантов, светофоров, мотоциклов, и, казалось, в этой реальности мы останемся надолго. Но современные LLM, как оказалось, справляются с подобной капчей гораздо лучше и быстрее человека.
      Рассказываем, как изменились «проверки на человечность» и как это повлияло на безопасность пользователей.
      Конец эпохи выбора картинок
      В 2007 году Google придумала сервис reCAPTCHA, а через восемь лет в нем появилась проверка, где пользователю предлагается выбрать все картинки, которые попадают под заранее установленные условия. Так миллионы пользователей Интернета волей-неволей стали экспертами в распознавании светофоров, велосипедов, крыш, мостов и пожарных гидрантов. Конечно, ИИ-боты давно научились решать такие задачи.
      Поэтому в июне 2026 года Google начала тестировать новый способ подтверждения человечности. Вместо привычных картинок некоторым пользователям предлагают записать короткое видео с жестами рукой. Затем алгоритмы анализируют запись, выделяя 21 ключевую точку кисти и суставов пальцев. По движениям руки система определяет, действительно ли перед ней живой человек, а не бот. Для прохождения такой капчи требуется разрешить доступ к камере — тревожный звоночек для тех, кто задумывается о безопасности и приватности.
      При этом Google утверждает, что видеозаписи никогда не связываются с личностью пользователя, а аудио и вовсе не записывается. Также в ее политике безопасности указано, что Google не сохраняет никакие данные после завершения процесса верификации. Традиционно скажем, что у каждого пользователя может быть собственное мнение: доверять Google или нет. Мы, в свою очередь, напомним про материал Фото с паспортом в руках — безопасно или нет?, где подробно разобраны все риски подобных биометрических верификаций на примере фотографий с паспортом.
      Какие альтернативы существуют для reCAPTCHA
      Хотя Google reCAPTCHA — по-прежнему абсолютный лидер в борьбе с ботами, но мир меняется под воздействием ИИ, и традиционная капча уходит в прошлое. Мы коротко расскажем о некоторых сервисах и способах борьбы с ботами с позиции безопасности.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Как вы думаете, при восстании машин какого представителя «умной» бытовой техники стоит опасаться больше всего? Блендера, чайника, а может быть, робота-пылесоса? Моя ставка — на роботов-газонокосилок, и, готова поспорить, после прочтения этой статьи вы тоже начнете их опасаться. В ней пойдет речь о свежей работе независимого исследователя безопасности Андреаса Макриса, который на момент публикации своего исследования следил за шестью тысячами газонокосилок бренда Yarbo. Более того, при желании он мог получить полный контроль над любым из этих устройств: включать и выключать робота, управлять им на расстоянии, делать снимки встроенной камерой и многое другое. Подробнее о том, как это у него получилось, читайте в нашей статье.
      Что представляют собой роботы-газонокосилки Yarbo
      Называть устройства Yarbo простыми газонокосилками — значит не отдавать им должное. На деле продвинутые роботы Yarbo — это автономные мини-тракторы, которые могут решать массу разнообразных задач. Их можно использовать не только для ухода за газоном, но также для уборки снега и опавших листьев, транспортировки грузов, патрулирования территории и других задач. Для разных видов хозяйственной деятельности производитель предусмотрел целый набор различных насадок.
      Yarbo — модульный робот для ухода за участком. В зависимости от установленной насадки он может работать как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев или маленький грузовик. Источник
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов. Возникающие проблемы варьируются от временной недоступности сервисов из-за технических сбоев и полного отключения нужных моделей (как это недавно произошло с Fable 5) до неожиданной блокировки некоторых вариантов использования (прощай, OpenClaw) или гигантского перерасхода отведенного бюджета (как узнал в этом году Uber).
      Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям. Пользователь прописывает в своем ИИ-агенте или открывает в браузере адрес выданного ему сервера (API-прокси) и начинает получать ответы нейросети, к которой вместо него обратился этот прокси.
      Одни платформы на этом рынке в первую очередь предлагают широкий выбор моделей и удобный учет ресурсов, а также балансировку нагрузки между официальными API. Другие строят свой маркетинг на радикальном снижении стоимости. Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов. Разумеется, за скобками остаются серьезнейшие риски, затрагивающие эффективность, надежность и безопасность подобных решений.
      Как работают серые ИИ-прокси
      Согласно недавнему исследованию Oxford China Policy Lab, бизнес-модель дешевых посредников строится на создании ферм аккаунтов. На множестве компьютеров регистрируются учетные записи, доступ к ним подтверждается подделанными или купленными у граждан в бедных странах документами. В подписках могут использовать бесплатный пробный период (или фиксированную сумму «API-кредитов» на пробное использование), а могут и покупать дорогую премиум-подписку за $100–200. Доступ к ней потом автоматически распределяется между несколькими пользователями.
      Экономика таких сервисов часто носит криминальный характер. Сверхнизкие цены объясняются не только максимальным использованием лимитов в аккаунтах, но и кражей учетных данных у добросовестных пользователей, а также массовым использованием краденых банковских карт для оплаты подписок. Сервисы такого рода автоматизированы, и, как только поставщик ИИ-модели блокирует подозрительный аккаунт, отработанная учетная запись заменяется на новую.
      Для пользователей сервисов проблема заключается не только в том, что посредник получает доступ нечестным путем. API-прокси видит полный обмен данными между конечным пользователем и моделью: запросы, цепочка рассуждений, ответы. Более того, прокси может менять любые данные в запросах и ответах. Вот какие риски это создает.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      К сожалению, на обман и фишинговые атаки ведутся не только простодушные люди — оказаться в числе жертв сейчас может буквально кто угодно. Злоумышленники годами оттачивают свои тактики, чтобы обеспечить себе успех, и пользуются сложными психологическими манипуляциями, которые зачастую трудно распознать. Такие манипуляции в мире кибербезопасности даже удостоились отдельного термина — социальная инженерия.
      В этой статье рассказываем, какие психологические уловки используют злоумышленники, чтобы обманывать своих жертв, на какие «красные флаги» стоит обратить внимание и, наконец, что делать, если вы обнаружили, что вас пытаются обмануть.
      На каких эмоциях играют злоумышленники
      Социальная инженерия работает именно потому, что бьет по нашим эмоциям. Когда жертва взволнована, напугана или охвачена азартом, она принимает решения быстро и почти не думает о последствиях. Именно это злоумышленникам и нужно.
      Поэтому в тот момент, когда вы разговариваете или переписываетесь с кем-то, остановитесь на секунду и спросите себя: что именно я чувствую прямо сейчас? А какие ощущения у меня были мгновение назад? Не пытается ли мой собеседник как-то воспользоваться моим эмоциональным состоянием?
      Чаще всего злоумышленники пытаются надавить на следующие эмоции:
      страх, тревога; азарт; стыд, вина; удивление, шок.  
      View the full article
×
×
  • Создать...