Kак да генерираме сигурна парола за уеб-услуги

Ограниченията за символите, които хората могат да използват в паролите си за различни уеб услуги, са твърде опасни. Те принуждават хората да си създават лесни за запомняне – и уви също толкова лесни за разбиване – пароли. Това предупреждава Джонатан Юнис, съосновател и старши съветник в анализаторската агенция Illuminata.

“За хиляден път през последните няколко години се опитвам да се регистрирам за нова уеб услуга, но тя не приема паролата, която си съчиних. Очевидно операторите на сайта са решили, че паролите тук могат да се състоят само от букви и цифри. Аааах! Това не е първият път, когато се натъквам на такава идиотщина, и навярно няма да е последният” – разказва Юнис за повода за блог-публикацията си.

Всъщност ръководните принципи за създаването на една сериозна, здрава парола включват използването на комбинация от три неща: букви – малки и големи, цифри и специални символи. Това са символи като !, @, $, %, & и други подобни.

Автоматизираните генератори на пароли от типа на strongpasswordgenerator.com насърчават използването на подобни специални символи. Дори има точна математическа формула, която “калибрира” наличието на трудните за отгатване специални символи в една парола.

“Защо сайтовете масово не допускат използването на символи в паролите? Това няма никакъв смисъл”, негодува специалистът.

Най-силният аргумент срещу ограниченията за символите, използвани в паролите, изобщо не е технически. Той е чисто човешки. Колкото по-малък набор от символи се използва в дадена парола, а и колкото по-стандартни са те – толкова по-лесно е за злонамерените кибер-бандити да отгатнат комбинацията.

Най-честите методи за “разбиване” на паролите са социалният инженеринг и т. нар. “brute-force” атаки. При първия подход хитреците използват информация, която знаят за набелязаната жертва, и изпробват комбинации, които потребителят би бил склонен да ползва като парола – името на съпруга/съпругата, името на детето, рождената година (собствена или на някой от близките) и други близки до ума на жертвата комбинации. “Brute-force” атаките пък разчитат на автоматизираното изпробване на голям брой комбинации, които са възможни с наличните в азбуката букви. Обикновено това се прави с програма, която с голяма интензивност генерира възможни комбинации и ги пробва, докато не попадне на правилната комбинация.

Хората не обичат да избират произволни комбинации от символи за свои пароли, макар че това са най-сигурните номинации – те са трудни за отгатване, казва Юнис. Още по-малко склонни са хората да запомнят такива пароли.

Точно затова прагматичният баланс е “някъде по средата”: добрата парола трябва да е достатъчно здрава и силна, за да не може да бъде отгатната по метода на социалния инженеринг, нито чрез “brute-force” атака, но в същото време да е лесна за запомняне, така че човек да не се вцепенява всеки път, когато насреща му изскочи екран за логване. Ала има безброй много сайтове? – няма проблем – при наличието на такава трудна за хакване и лесна за запомняне комбинация за човека е достатъчно да си има една парола, която да си помни, съветва специалистът. За по-параноичните може да са няколко пароли.

Сайтовете, които ограничават използването на специални символи в паролите – те са слабото звено в джунглата на интернет сигурността, категоричен е специалистът по сигурност. Той е на мнение, че такива сайтове освен всичко “развращават” уеб-потребителите. Така е, защото подобни сайтове, от една страна, излагат на риск своите потребители, принуждавайки ги да ползват слаби пароли и пречейки им да си създадат онзи прагматичен баланс между здравината на паролата и леснотата на запомняне. От друга страна по този начин те насърчават уеб-потребителите да подхождат мързеливо и да се осланят на лесни за запомняне – и също толкова лесни за хакване – пароли.

Докато чакаме операторите на сайтовете да се осъзнаят по този въпрос, Юнис предлага един прагматичен съвет, който може да помогне на мнозина лесно да си създадат – и да запомнят – една стабилна и надеждна парола.

Изберете си средно дълга фраза, която лесно запомняте – любим девиз, слоган или нещо подобно, за предпочитане на английски или друг език, използващ латиницата. Например, “”Coffee is my favorite drink at Starbucks”. Сега подберете първите букви на всяка дума от изречението: CimfdaS. Безсмислената поредица от букви, която ще се получи, е добра основа за вашата парола. Ако вътре в изречението има наименование, което предполага изписване с главна буква, оставете я главна и в буквената комбинация.

За да подсилите паролата, добавете цифра. Например, поредния номер на етажа, на който живеете, или пък заменете някоя от буквите с цифра – например буквата “о” можете да замените с нула.

Ако решите да направите максимума за сигурността на паролата си, гарнирайте получената дотук комбинация с някакъв специален символ – например такъв, към който имате известна слабост: въпросителен или удивителен знак, ако сте любител на правилната пунктуация, знак за долар като символ на парите или друг символ.  

Коментари по темата: „Kак да генерираме сигурна парола за уеб-услуги”

добавете коментар...

  1. и един мърмот завива шоколадът

    странен критерии имаш за глупости – подобни символи наистина се забраняват от някой сайтове заради СЛАБИ програмисти които не могат да ги ескейпнат така че да не представляват риск за сигурността на самия сайт – добре направената система не ограничава по никакъв начин потребителя в избор на парола – а за добра парола се смята такава в която фигурират специални символи

    КОДИРАНЕ на пароли ползват само баламите (да не говорим за съхранението им в чист вид) – добре направената система съхранява хеш на праолата (евентуално подсигурен с потребителското име – така шансът за колии намалява драстично) – при това положение дори при пробив в самия сървър паролите са защитени

    ИЗМЪКВАНЕТО НА СЕРТИФИКАТЪТ е малко като разбиване на отворена палатка – сертификат се нарича ПОДПИСАН ПУБЛИЧЕН КЛЮЧ (основни познания за асиметрично криптиране) – бидейки ПУБЛИЧЕН сертификатът е обществено достъпен и се ползва за 2 неща:
    1. декриптиране на данните изпратени от сървърът (които се криптират с частния ключ) – по този начин се гарантира че те идват от истинското място (това се нарича проверка на електронен подпис)
    2. криптиране на данните които пращаме към сървърът (така те могат да се декриптират единствено с частния ключ които го има единствено сървърът) – това пък ни гарантира че никой друг няма да може да види какво пращаме
    постановката може да се усложни допълнително като се изиска и ПОТРЕБИТЕЛСКИ СЕРТИФИКАТ – подобна техника се ползва в системите за онлаин банкиране например

  2. GhostInNet

    Пълни глупости! Първо зада са напълно сигурни паролите не трябва да има подобни символи, защото може да се ползват за SQL атака. Зада е сигурна паролата я направете да е повече от 10 символа. Друг е въпроса ако сайта не кодира паролите на сървъра си. Няма нищо абсолютно сигурно и да е много сложна паролата не пречи някой да ви вземе паролата като прекара трафика ви през него. Дори и да е със сертификат пак може да се измъкне сертификата и да ви се разгледа сърфирането.

Коментар