Пароль – больше, чем «слово»

Правила гигиены

добавить в избранное

Пароль – больше, чем «слово»

Прочитали: 19510 Комментариев: 60 Рейтинг: 120

1 сентября 2017

Сколько ни тверди о необходимости использовать стойкие пароли (в том числе для защиты доступа к настройкам Антивируса Dr.Web) и периодически их менять, практика показывает, что пользователи считают это неудобным и рекомендациями пренебрегают.

Новый стандарт NIST SP 800-63 Digital Identity Guidelines от авторитетной американской организации призван помочь пользователям и администраторам различных сервисов найти баланс между удобством и безопасностью.

Интересно уже то, что стандарт прямо признает: навязываемые уровни безопасности не приводят к реальному росту уровня защиты. Так, предлагаемые примеры паролей сподвигают пользователей выбирать пароли, близкие к образцу. Скажем, если пример – Password, то с высокой долей вероятности пользователи выберут Password1 или 1Password. Точно так же опасно рекомендовать кодовые фразы (например, «Как звали вашего первого питомца?») – в Интернете полно информации о нас и наших близких, а мощность компьютеров позволяет в сжатые сроки перебрать простейшие варианты паролей.

Что же рекомендуется?

Обязательно использовать пароли с длиной не менее 8 символов (а максимум – 64).
Не рекомендуется подсказывать пользователям порядок составления паролей («пароль должен содержать символы в верхнем и нижнем регистре....»). Составители стандарта понимают, что незапоминающиеся пароли приводят к тому, что их начинают хранить в электронном виде, в результате чего к ним могут получить доступ злоумышленники. Нововведением стандарта стали парольные фразы: последовательность слов или другой текст. Большая длина текста затрудняет его подбор, а наличие в парольной фразе известной только пользователю информации еще сильнее усложняет взлом.
Администраторы не должны требовать смены паролей без инициативы со стороны пользователя или при отсутствии доказательств компрометации.
Пароли должны содержать печатные символы (ASCII [RFC 20]), включая пробел, а также, желательно, символы Unicode [ISO / ISC 10646], в том числе эмодзи. Вторая часть этого требования существенно затрудняет подбор пароля.

#безопасность #взлом #взлом_антивируса #ДБО #онлайн-банкинг #пароль

Антивирусная правДА! рекомендует

Мы хорошо понимаем, что новый стандарт не приведет к резкому улучшению ситуации с паролями. Скорее всего, многие сервисы не смогут сразу принимать те же эмодзи. Поэтому до наступления светлого будущего мы рекомендуем заботиться о паролях самостоятельно:

Используйте сложные пароли длиной не менее 8 символов.
Не используйте парольные фразы с широко известной информацией.
Для антивируса устанавливайте пароль, отличный от пароля доступа в систему.
Если вы используете единый пароль для доступа к различным сервисам, периодически меняйте его. К сожалению, вы не можете знать, утекла ли парольная база того или иного сервиса к хакерам.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
23:53:12 2018-08-03

Если следовать этим рекомендациям, то все будет хорошо и безопасно.

Неуёмный Обыватель Собкор
01:23:57 2018-06-26

Ох уж эти пароли. Уж не знаешь иногда как извернуться и придумать что-то этакое... В 100500 разных местах.

vasvet
18:13:10 2018-03-29

Лучше из 16-ти. произвольных символов, и иногда менять.

Toma
16:53:47 2017-12-15

Чем длиннее пароль - тем надежнее.

achemolganskiy
05:53:31 2017-10-06

Даю телефон позвонить, сразу меняю пароль в точке доступа.

Astra
22:40:36 2017-09-06

Спасибо Вам за полезную статью! Действительно, сервисы, к которым я не поленилась придумать сложные (соответствующие вышеуказанным критериям) пароли, у меня ни разу не взламывали, в отличие от сервисов с паролями типа 1111111. Прочитав статью, поняла, что и другие пароли стоит обновить.

achemolganskiy
06:28:05 2017-09-05

Тоже отсутствовал пароль. Смотрю все компоненты защиты отключены. Установил пароль.

Drive
13:15:24 2017-09-04

Весьма полезная информация!

Вячeслaв Собкор
10:24:14 2017-09-04

@ek, Количество троянов растет, поэтому пока все силы на придумывание нового для защиты от них. Вот был бы годик, чтобы не нужно было совершенствовать антивирус. Мечты-мечты

Вячeслaв Собкор
10:22:25 2017-09-04

@dyadya_Sasha, тут интересно, что предлагается использовать вполне понятные и запоминаемые фразы. Но с ошибками и спецсимволами. То есть как раз запоминаемость повышается. Но зато придется включать ум для придумывания уникальны фраз :-)

Voin sveta Собкор
08:07:32 2017-09-02

Лучший пароль - пароль, который хранится в голове. А остальное уже дело техники!

Родриго
23:17:30 2017-09-01

окей

Любитель пляжного футбола Собкор
23:16:41 2017-09-01

А пароли, хранящиеся на листке бумаги, неплохо было бы при возможности шифровать. Разные способы есть. Вот, например, пока не запомнил пин-код карты, таскал его с собой на клочке бумаги. Но пин был включён в состав телефонного номера, а рядом ещё имя было нацарапано для большей достоверности. Вариантов много.

А некоторые PIN-code записывают прямо на карте! А что, удобно ведь! :)))

dyadya_Sasha Собкор
23:15:00 2017-09-01

Кликов по ссылке "Забыли пароль" станет ещё больше.

aleks_ku
22:40:10 2017-09-01

Пароль - теперь для всех актуально

destructive07
22:31:40 2017-09-01

Да,баланс между длиной и запоминаемостью находить трудновато.

Dvakota
22:05:27 2017-09-01

Проблема с паролями . Чтобы сложный был и запоминался .

vla_va
21:50:33 2017-09-01

Всегда сложный вопрос - новый пароль

AxooxA
21:29:52 2017-09-01

parole

В...а
21:25:27 2017-09-01

Очень важное и опасное слово

Littlefish Собкор
21:15:46 2017-09-01

@Вячeслaв, ого, заинтриговали, буду ждать :-)

НинаК
21:09:09 2017-09-01

заботиться о паролях надо!

ek
20:51:18 2017-09-01

Когда к нашему антивирусу добавится защищенный менеджер паролей?!

Шалтай Александр Болтай Собкор
20:41:35 2017-09-01

короткий пароль - плохо, длинный - сложно. Нужна золотая середина!

Шалтай Александр Болтай Собкор
20:30:30 2017-09-01

Опытный лесник знает до десяти рифм на слово Аууу.

kva-kva
20:25:37 2017-09-01

Нужные слова :)

mk.insta
20:12:53 2017-09-01 Именинник

Эмодзи?

Геральт Собкор
19:40:06 2017-09-01

Длина и сложность пароля-залог безопасности.

Damir Собкор
19:29:49 2017-09-01

Все пароли держу в отдельном блокноте.

orw_mikle
18:37:14 2017-09-01

В выпуске написано все правильно, но есть ОДНО НО! Такие пароли запомнить НЕ РЕАЛЬНО!!! Тем более очень много разных сервисов, соц.сетей, онлайн-банков, почт, и т.д. И у всех должен быть разный пароль. Такую кучу сложных паролей можно только записать где-то, чтобы не забыть. Если эти записи потерять, то это ещё хуже.

razgen Собкор
17:53:13 2017-09-01

Требования к стойкости пароля возрастают. Ещё совсем недавно многие ресурсы, при регистрации у них, рекомендовали длину не менее 6 символов. На некоторых из них, малозначительных, я так до сих пор использую такие, легко запомнившиеся для меня, пароли из 6 символов. Ну а для серьёзных ресурсов и пароль соответственно необходим обладающий высокой стойкостью от взлома.

Пaвeл Собкор
15:57:48 2017-09-01

Пароль с длиной 64 символа, это что-то уже перебор. Но за очередное напоминание спасибо!

Alexander Собкор
13:18:15 2017-09-01

Такая интересная и притягательная тема. Очень широкая и многоплановая. Так и хочется себя уверить, что вот сейчас придумаю сверхсложный и просто запоминающийся пароль, - и все - мне защита от любопытства постороннего обеспечено. Производители программ "менеджеров паролей" - тоже нас в этом убеждают. И программы, и дополнения к браузерам для "авто-заполнения форм" подталкивают нас к "удобству" ввода сохраненных паролей. Не спорю - это действительно удобно, но это также и "яйца в одной корзине" и, нередко, добровольное хранение паролей в незашифрованном виде на постороннем ресурсе. На мой взгляд, важно всегда для себя понимать, что пароль - это лишь один из элементов защиты информации. Разные программы используют наши пароли, по крайней мере, двумя разными способами. Первый, когда пароль является составной частью полного шифрования информации; второй - является лишь цепочкой (ключом) к незашифрованному файлу (документу, страничке аккаунта). При втором способе найти "любопытствующему" способ обхода гораздо проще, но именно этот способ использования наших паролей наиболее распространен.
В сегодняшней короткой статье, конечно, доступно можно изложить лишь "ликбез". Это совершенно необходимо и важно. Даже этот минимум усилит личную защиту от постороннего вмешательства. Спасибо за статью.
Очень понравились и воодушевили слова Вячеслава (09:35:45 2017-09-01), -
"мы планируем добавить то, чего нет у конкурентов :-) ждите релиза!". Спасибо. Жду!

vinnetou
12:07:00 2017-09-01

Спасибо за выпуск и рекомендации!!!

Vlad
11:03:16 2017-09-01

Все просто. но даже столь простые правила пользователи не хотят соблюдать.
QWERTY+ это максимум ))))))

a13x Собкор
09:55:03 2017-09-01

@SGES, @Марина, @A1037, @tigra, @Vlad, пароли на бумажном носителе лучше не хранить.

Точнее: непосредственный пароль от какого аккаунта, личного кабинета и прочих сервисов лучше на бумажном носителе не оставлять. Но вот тяжелую кодовую комбинацию - да. То есть то, что позволит вернуть доступ к личному кабинету, аккаунту, почте, если вы вдруг забываете пароль.

ОДНАКО! Лучше данную информацию записать на какой-либо закладке, обрывке бумаги, карточке, которую поместить среди вещей, которые явно сберегут этот предмет со сложным паролем. В таком случае вы будете знать, куда обратиться, а если кто-то набредет на эту бумажку - то и знать никто не будет откуда она и для чего именно. То есть по факту мини квест для самого себя, с учётом своей собственной логики мышления - и ваши шансы на безопасность многократно возрастают.

Особенно это удобно для аккаунтов, сервисов, кабинетов, которыми вы не часто пользуетесь.

a13x Собкор
09:47:53 2017-09-01

Обязательно прислушаюсь к советам.

Вячeслaв Собкор
09:35:45 2017-09-01

@Littlefish, мы планируем добавить то, чего нет у конкурентов :-) ждите релиза!

sapfira
09:34:41 2017-09-01

Без бумажки ты - ***ашка, ...)

Вячeслaв Собкор
09:33:58 2017-09-01

@Littlefish, тут интересно. бОльшая длина паролей рекомендуется как защита от перебора. Но нормальные системы уже после 3х примерно попыток блокируют доступ. Таким образом 64 символа более чем достаточно для создания сложного пароля, не совпадающего с утекшими в сеть, а защиту от перебора обеспечивает ресурс, для которого вы создали пароль.

Littlefish Собкор
09:29:29 2017-09-01

@admin, скажите пожалуйста, не планируете добавлять в Security Space функционал, как у конкурентов? - программа для автозаполнения паролей с одним (сложным естественно) паролем и тогда не нужно будет помнить десятки или даже сотни сложных паролей, а просто помнить один единственный сложный пароль. Плюс можно добавить генератор сложных паролей (для тех случаев, когда уже фантазии не хватает), в котором будут реализованы все рекомендации написанные в выпуске.

Littlefish Собкор
09:22:59 2017-09-01

@Natalya_2017, так ведь уже писали, что можно ведь записывать на бумажный носитель, так что даже забыв, можно обратиться к написанному.
Что написано пером, того не вырубишь топором :-)

DrKV Собкор
08:34:13 2017-09-01

Очередное спасибо за напоминание о паролях.
Был у меня в своё время руководитель с любимой фразой: "Даже самый тупо заточенный карандаш с успехом заменяет самую острую память!"
Поэтому, да, пароль - в блокнотик.

Раш КХ
08:30:35 2017-09-01

Стараемся разные пароли

maestro431
08:22:11 2017-09-01

Пароль - это замок! Чем сложнее, тем тяжелее взломать!

Natalya_2017
08:17:53 2017-09-01

@Littlefish, и составлять такой пароль, который не забудешь. Иначе тоже есть риск потерять доступ к всему.

Влад
08:17:33 2017-09-01

да уж..

user
08:14:14 2017-09-01

Замахнулись на статью. Краткость сестра таланта. Буквально недавно была новость на Securitylab - Исследователь в области безопасности Трой Хант (Troy Hunt) опубликовал доступную для поиска базу данных, включающую порядка 320 млн уникальных хешей паролей, собранных в результате различных утечек данных.

Littlefish Собкор
08:13:33 2017-09-01

@admin, а по какой причине не рекомендуется более 64 символов?

Littlefish Собкор
08:11:26 2017-09-01

В идеале конечно не следует использовать единый пароль для всего, так как при утечке можно потерять доступ ко всему.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Пароль – больше, чем «слово»

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей