Почему генераторы «сложных» паролей больше не работают

13.11.2020|Александр Шихов|Комментарии

Во всех популярных браузерах теперь есть генераторы сложных паролей вроде таких «b0B*A$WA». Такая комбинация должна защитить нас от взлома любыми хакерами. Но это в теории. Почему сложный пароль не гарантирует безопасность ваших данных, и как защититься от взлома эффективнее и проще — в этой статье.

Сложный не значит трудный

Приведенный выше пароль действительно сложно подобрать. Для объективной оценки трудности взлома есть специальные бесплатные сервисы. Например, используем Kaspersky Password Checker.

Для комбинации «b0B*A$WA», придуманной генератором на взлом нужно потратить 12 дней.

Теперь проверим легко запоминаемый пароль по приведенной в нашей статье методике, тоже из 8 символов. Например, «<!-MF-!>». По мнению Касперского, он так же хорош, как и предыдущий. А если нет разницы, зачем создавать базу паролей, записывать их на бумажке и искать блокнот при каждой авторизации?

Более того, я могу создать пароль любой сложности. Комбинация «<!-MyFr-!>» потребует на подбор уже 4 года.

Сервис Касперского может натолкнуть на неверный вывод. Все комбинации одинаковой длины, использующие определенный набор символов, вроде бы считаются одинаково сложными. Стоит добавить в нашу последовательность пару знаков, и она сразу станет сложнее — до 4 веков кропотливого подбора.

Лукавство состоит в том, что если комбинация утечет в сеть, то попадет в базы, по которым злоумышленники подберут его за секунды. Например, на «qwe123qwe» у злоумышленников уйдет 41 секунда.

Используя сложный пароль, вы создаете проблему себе, а не хакеру

Основной жертвой применения сгенерированных последовательностей символов является владелец аккаунта. Каждый день нужно запускать менеджер паролей или открывать записи. Что будет, если вы потеряете доступ к программе вроде KeePass или свой блокнот?

Хакеры же все равно пользуются иными средствами взлома. После неудачной попытки подбора комбинации, могут быть использованы фишинговые ссылки в электронных письмах, кейлоггеры и прочие вирусы-трояны.

Чтобы защитить себя по-настоящему, используйте двухфакторную авторизацию везде, где это можно. Тогда хранить пароли можно доверить браузеру, а на ключевых ресурсах. например, онлайн-клиентах банков, ключевые операции подтверждаются кодом в смс, предъявлением QR-кода или иным безопасным способом.

Я отказался от генераторов секретных комбинаций примерно 3 года назад. Использую только придуманные человеческой логикой пароли и доверяю их браузеру с мастер-паролем (Яндекс Браузер). Если забыл — сразу меняю на новый с помощью подтверждения по телефону. Пока полет нормальный.