Почему генераторы «сложных» паролей больше не работают
Во всех популярных браузерах теперь есть генераторы сложных паролей вроде таких «b0B*A$WA». Такая комбинация должна защитить нас от взлома любыми хакерами. Но это в теории. Почему сложный пароль не гарантирует безопасность ваших данных, и как защититься от взлома эффективнее и проще — в этой статье.
Сложный не значит трудный
Приведенный выше пароль действительно сложно подобрать. Для объективной оценки трудности взлома есть специальные бесплатные сервисы. Например, используем Kaspersky Password Checker.
Для комбинации «b0B*A$WA», придуманной генератором на взлом нужно потратить 12 дней.
Теперь проверим легко запоминаемый пароль по приведенной в нашей статье методике, тоже из 8 символов. Например, «<!-MF-!>». По мнению Касперского, он так же хорош, как и предыдущий. А если нет разницы, зачем создавать базу паролей, записывать их на бумажке и искать блокнот при каждой авторизации?
Более того, я могу создать пароль любой сложности. Комбинация «<!-MyFr-!>» потребует на подбор уже 4 года.
Сервис Касперского может натолкнуть на неверный вывод. Все комбинации одинаковой длины, использующие определенный набор символов, вроде бы считаются одинаково сложными. Стоит добавить в нашу последовательность пару знаков, и она сразу станет сложнее — до 4 веков кропотливого подбора.
Лукавство состоит в том, что если комбинация утечет в сеть, то попадет в базы, по которым злоумышленники подберут его за секунды. Например, на «qwe123qwe» у злоумышленников уйдет 41 секунда.
Используя сложный пароль, вы создаете проблему себе, а не хакеру
Основной жертвой применения сгенерированных последовательностей символов является владелец аккаунта. Каждый день нужно запускать менеджер паролей или открывать записи. Что будет, если вы потеряете доступ к программе вроде KeePass или свой блокнот?
Хакеры же все равно пользуются иными средствами взлома. После неудачной попытки подбора комбинации, могут быть использованы фишинговые ссылки в электронных письмах, кейлоггеры и прочие вирусы-трояны.
Чтобы защитить себя по-настоящему, используйте двухфакторную авторизацию везде, где это можно. Тогда хранить пароли можно доверить браузеру, а на ключевых ресурсах. например, онлайн-клиентах банков, ключевые операции подтверждаются кодом в смс, предъявлением QR-кода или иным безопасным способом.
Я отказался от генераторов секретных комбинаций примерно 3 года назад. Использую только придуманные человеческой логикой пароли и доверяю их браузеру с мастер-паролем (Яндекс Браузер). Если забыл — сразу меняю на новый с помощью подтверждения по телефону. Пока полет нормальный.
Понравилась статья? Поделитесь!