Жизнь современного человека очень тесно связана посещением различных Интернет-ресурсов.
Условно всю работу или досуг в Интернет-сети можно разделить на 2 вида – активная и пассивная.
Пассивное посещение веб-сайтов, подразумевает лишь ознакомление с представленной информацией.
В отличие от него активный Интернет-серфинг подразумевает работу с почтой, чатами, ICQ, Skype, оставлением комментариев, отзывов, заказом товаров в Интернет–магазинах, работа с Интернет-банкингом и платежными системами.
С каждым днем количество пользователей, активно использующих Интернет, только увеличивается.
Активное использование веб-ресурсов, подразумевает под собой идентификацию пользователя, т.е. его регистрацию в системе для использования выше приведенных сервисов.
Любая регистрации подразумевает использование двух идентификаторов – логина, который должен быть уникальным для каждой учетной записи и пароля.
Из практики заметим, что если у пользователя в большинстве случаев хватает фантазии, чтобы придумать свой логин, то с паролем все иначе.
Большинство паролей, цель которых защитить аккаунт от несанкционированного доступа, достаточно просты и с легкостью взламываются злоумышленниками.
В этой статье мы рассмотрим онлайн-ресурсы, которые помогают пользователю придумать индивидуальный пароль.
Методы взлома компьютерных паролей
Считаем необходимым коснутся этой темы, чтобы читатель понял каким образом могут быть скомпрометированы коды, которые он использует для входа в различные аккаунты.
Именно взлом кодового слова является одной из наиболее распространенных атак на информационные системы, использующие аутентификацию по паролю или паре «логин-пароль».
Суть атаки состоит в завладении паролем пользователя, который имеет право входить в систему.
Популярность атаки вызвана тем, что злоумышленник получает все права, скомпрометированной учетной записи и мониторинговые системы идентифицируют его как настоящего владельца аккаунта.
Техническая сторона вопроса может быть организована 2-мя способами: множественными попытками прохождения прямой аутентификации в системе либо анализом хэш-суммы паролей, которые могут быть получены путем перехвата трафика.
При этом используются следующие подходы:
Прямой подбор – перебор всех возможно-допустимых комбинаций символов.
Например, первыми комбинациями, с которых начинают осуществления перебора, являются: admin, 0, 1, 1111, 12345678, qwerty, qwerty123456, qazwsxedc123 их комбинации.
Подбор по словарю – суть метода заключается в предположении, что в коде существуют слова из какого-либо языка либо их сочетания.
Социальная инженерия – метод, который базируется на предположении, что пользователь использует в качестве пароля некоторые личные данные, например, такие как имя, фамилия, дата рождения, номер мобильного телефона.
Так, пользователь Иван Иванов родившийся 07/05/1980 г. нередко может иметь пароль vanya07051980, ivan1980 или их вариации.
Критерии к стойкости пароля
Исходя из вышеописанных подходов к проведению атак, приведем критерии стойкости, которые помогут сохранить ваш код от компрометации:
-
Пароль не должен быть слишком коротким. На сегодня минимальная длина кодовой фразы составляет 8 символов. Рекомендуем использовать буквы и цифры. Хорошим считается пароль длинной в 16-20 символов.
-
Пароль не должен быть словарным словом или простым сочетанием слова и цифр, что упрощает словарный подбор. Например, intel123, computer777, пр.
-
Пароль не должен состоять только из общедоступной информации о пользователе.
Резюмируя все выше сказанное, отметим, что пароль должен быть совершенно уникальным, т.е. в идеале содержать абсолютно не связанные буквенно-цифровые комбинации длинной около 16 символов.
На взлом такого пароля может уйти несколько лет, при условии использования закрытых доверенных каналов связи, секьюрити протоколов (SSH, HTTPS, IPSEC, SMTPS) и криптостойких алгоритмов шифрования (WPA2).
Обзор генераторов паролей
Как правило, все онлайн-сервисы по генерации паролей имеют довольно простой интерфейс, ведь красота интерфейса никоим образом не влияет на способность выполнять поставленные задачи.
Создатели ресурса Online—Generators.Ru думают иначе.
Перемещая ползунок, можно добиться необходимой длины пароля. По умолчанию длина пароля составляет 8 символов.
Для паролей до 8 символов ползунок будет окрашен в красный цвет, предупреждая пользователя, что пароль не является криптоустойчивым.
Пароли со средними показателями надежности (8-13 символов) имеют желтый цвет, надежные пароли (от 14 символов) – зеленый.
Устанавливая флажки можно изменять символы, которые будут содержаться в сгенерированном пароле.
Для выполнения генерации следующих 7 паролей, следует нажать кнопку «Сгенерировать пароль».
Помимо генерации паролей, сервис предоставляет возможность генерировать логины, QR-коды, пр.
Ресурс Генератор паролей по умолчанию создает 12 символьные коды, имеет возможность изменять длину и количество вариантов, которые будут сгенерированы за один раз (от 1 до 500), а также возможность генерации паролей, содержащих кириллические буквы.
В отличие от генераторов, о которых мы говорили выше, следующий генератор паролей GenPas.Peter23 содержит такую полезную функцию генерации, как энтропия и возможность генерации пароля, по алгоритму pwgen, который позволяет запомнить сгенерированный код.
Скажем несколько слов о функции энтропии, которая позволяет генерировать действительно случайные числа привязываясь к случайным величинам таким, как физические шумы, ионизирующей радиации, космическое излучение, пр.
В нашем случае энтропия привязана к движению и щелчкам кнопок мыши и нажатий клавиш клавиатуры.
Отметив данный пункт меню генерации флажком и нажав кнопку «Генерировать», необходимо активно выполнять все выше перечисленные действия, которые будут способствовать ускорению режима генерации.
Предпоследний из рассматриваемых генераторов паролей GenPass содержит весьма полезную функцию, а именно возможность вручную указать символы, из которых случайным образом будет сгенерирован пароль.
Как и предыдущие генераторы имеет возможность выбора символов для генерации, длины и количества кодовых фраз.
Все вышеперечисленные генераторы более подходят системным администраторам, т.к среднестатистическому пользователю по большему счету не нужны такие функции, как массовое создание паролей, выбор энтропии, пр.
Именно на среднестатистического пользователя ориентирован генаратор пароля RandStuff.
Недостатком сервиса является отсутствие возможности выбора, из каких букв, строчных или заглавных, будет состоять сгенерированный пароль.
