Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для не авторизованного доступа в используемые системы.
Правила создания пароля:
• использование букв верхнего и нижнего регистра (чувствительность к регистру)
• использование 8 символов и более (если позволяет система)
• включение одной или нескольких цифр
• включение специальных символов, таких как @, #, $
• запрет слов, содержащихся в личной информации пользователя
• запрет на использование названия компании или аббревиатуры
• запрет паролей, совпадающих с форматом даты, номерами машин, телефонными номерами, или другими распространенными значениями
Примеры слабых паролей:
Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.
• Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
• Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из не английских словарей.
• Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
• Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
• Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
• Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
• Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
• Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.
У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак. Главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.
Моя рекомендация по запоминанию паролей
Очень сложно запомнить пароль вида *DKSdfPO#c3rZCSD_@Q#x, поэтому я использую следующую схему:
Мы берём сочетание нескольких слов с большой буквы, специальный символ и какую-нибудь дату (только не дата вашего дня рождения). Далее пишем то что получилось латинскими буквами.
Например «Сочный» и «Мексиканец», добавляем специальный символ * и дату основания вашего города, я возьму дату основания г. Москва — 1147
Получаем надежный и запоминающийся пароль СочныйМексиканец*1147 или CjxysqVtrcbrfytw*1147
Как заключение
Использование одинакового пароля в почтовой учетной записи и стороннем сайте грозит утерей ваших данных. Периодически злоумышленники находят уязвимости и взламывают базы данных даже крупнейших интернет ресурсов, даже таких как Яндекс и Гугл.
Поэтому не используйте одни и те же пароли на различных онлайн ресурсах.