Почему опасно проверять надежность своих паролей

Антон Максимов30.09.2020

Сервисы для проверки паролей заманивают вас протестировать свои комбинации на стойкость ко взлому. И ведь правда хочется удостовериться, что твои учетные записи хорошо защищены. Ниже я расскажу, почему вообще не стоит вводить на таких сайтах что-либо актуальное и как удостовериться в надежности своей защиты.

Как взламывают пароли

Специальные программы последовательно подставляют пароли из списка, подбирая таким образом комбинации символов для получения доступа к учетным записям и защищенным файлам/папкам. Списки при этом создаются различными способами. Гарантированно подобрать комбинацию можно методом посимвольного перебора. Но в случае длинных комбинаций это долгий процесс, который будет длиться годами и даже тысячелетиями.

Например, несложный пароль из 6 цифр взламывается за 3 часа.

Простой пароль из нескольких цифр

Комбинация из пары слов взламывается аналогично.

Пароль и пары простых слов

Набор из 9 произвольных латинских букв и цифр немного надежнее, но его можно подобрать достаточно быстро (4 месяца).

Пароль из 9 символов и цифр

Но что будет, если создать последовательность из 15 букв и цифр? А получился очень крутой пароль, который подобрать перебором при текущих мощностях будет практически невозможно!

Пароль из 15 символов разного регистра и цифр

Для ускорения процесса в качестве источника также используют библиотеки готовых паролей, которые собираются из разных источников. Туда входят утекшие ранее популярные пароли, которые люди чаще всего используют на своих компьютерах. Но не факт, что ваш окажется в этом списке. Соответственно, чем больше комбинаций будет собрано в словарях, тем выше вероятность подобрать вашу при работе по словарям. Это важно понимать при создании пароля на основе какой-то фразы.

Почему не стоит вводить действующие пароли для проверки

Несмотря на то, что такие сервисы призваны помочь проверить стойкость ко взлому, мы не знаем, что с введенными данными становится после этого. Такой сайт может легко составлять таким образом собственные словари.

Я бы в любом случае не советовал доверять компаниям действующие пароли, независимо от их известности. Даже если в компании не будут пользоваться собранной информацией, то их могут когда-нибудь взломать и украсть эти данные. В результате актуальные пароли для входа в ваши учетные записи пополнят базы данных для взлома.

Кстати, это еще одна причина время от времени менять свои реквизиты доступа на сайтах. Конечно, достаточно скучное занятие, но необходимое.

Как не навредить себе при проверке

Сгенерируйте и проверьте похожий набор знаков. Если он достаточно стойкий по мнению сервиса, то создайте на его основе новый и используйте уже его.

Если вы генерируете на основе наших рекомендаций, то чуть измените алгоритм по аналогии со своим. Так вы не «засветите» свой принцип создания сложных последовательностей и сможете примерно оценить его стойкость.

Какие пароли лучше использовать?

Эдвард Сноуден, бывший агент национальной безопасности США, рекомендует использовать парольные фразы. Просто выберите длинную фразу из 5-7 слов, уберите пробелы и используйте их. Часть слов лучше писать с заглавной буквы.

Возьмите за основу русскую фразу, переключитесь на английскую раскладку и напечатайте ее.

Например, возьмем фразу «Самый добрый в мире человек это я». Меняем раскладку и убираем пробелы. Получается такой набор символов:

Cfvsqlj,hsqdvbhtxtkjdtr“njz

Если ввести его в сервис проверки от Лаборатории Касперского, то он покажет, что на подбор такой комбинации потребуется более 10000 тысяч веков.

Ни в коем случае не используйте один пароль для нескольких сервисов или программ. Подобные штуки лучше задействовать для шифрования базы от менеджера паролей KeePass. А внутри базы уже генерировать максимально сложные комбинации через встроенный генератор.

# # #

Не стоит полагаться на надежность пароля. Помните также и о том, что можно узнать ваш пароль другими способами, помимо перебора. Например, заразив ваш ПК вирусом, который сможет помимо прочего записывать все ваши нажатия клавиш и передавать их злоумышленнику. Не забывайте включать дфухфакторную авторизацию всюду, где это возможно, и лучше через телефон.