Сергей Слесарев - Вся правда о паролях

видеокарте, при помощи которой российский разработчик ElcomSoft проверил 103000 вариантов всего за 1 секунду. Если произвести несложный подсчет и разделить миллион на этот показатель, получим результат в 9.7 секунд. Это и есть то время, за которое хакер узнает ваш пароль.

А теперь смотрим на таблицу. Обратите внимание, в какой геометрической прогрессии при использовании комбинации из строчных и прописных букв увеличивается время на взлом пароля, добавив всего один символ.

 При использовании всех символов разница в прогрессии просто огромна.

Вот так, с помощью нехитрой манипуляциии чисел, можно оценить надежность пароля и сделать соответствующий вывод о безопасности уже используемых паролей.

Популярные заблуждения

Давайте разберём популярные заблуждения, которые очень часто можно услышать на просторах Интернета.

Ненавижу, когда пароль на экране заменяется звездочками. Если мне нужно набрать пароль в переполненном трамвае, я могу просто отгородиться ладошкой от пассажиров, пытающих подсматривать его через мое плечо. Профессионального шпиона это не остановит, он сумеет изъять пароль просто по тем кнопкам, которых я касаюсь - их-то вы звездочками не закроете.

Кроме переполненного трамвая, существуют миллионы офисных работников, мониторы которых постоянно на виду. Заменять символы пароля звездочками - это совершенно необходимое требование. Сейчас многие сервисы в конце строки пароля ставят специальный символ, при нажатии которого пароль будет высвечен - отличное решение.

Не понимаю разработчиков, которые предупреждают: «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" - это мое личное дело, а не ваше! А свои инструкции с заглавными буквами сами используйте.

Ребята, ну это вообще бред. Сервисам и без этого приходит масса претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали. Помнится, некая "статусная дама" Мария Арбатова чуть ли не среди ночи поднимала Антона Носика с постели звонком в истерике о том, что ее аккаунт в ЖЖ взломали, а руководство ЖЖ ничего не делает. У «статусной дамы», насколько я помню, как раз был пароль "123", а отвечать за это почему-то должен был Носик. Поэтому правильно сервисы требуют от пользователей задавать хоть сколько-нибудь стойкие пароли: от этого всем будет хорошо - и пользователям, и сервисам... 

Пару слов о фишинге.

Это очень распространенный вид мошенничества, который осуществляется путем подставных страниц. Подставная страница – это страница того или иного интернет-ресурса, где вы проходите авторизацию, вам требуется ввести логин и пароль. На внешний вид она практически не отличается от оригинальной. Например, подставная страница социальной сети ВКонтакте может быть полной копией официальной страницы, но с одним отличием, незаметным большинству пользователей – адресом.

Обратите внимание на адресную строчку. Все знают, что официальный сайт социальной сети ВКонтате имеет адрес вида: http://vk.com. То есть, первый рисунок - это и есть официальный сайт, второй – подставная страница. Как видите, изменена всего одна буква адреса с http://vk.com  на http://vk.cm. Адрес может быть любой, вы, скорее всего, просто не обратите на это внимание. Задача хакера - подсунуть вам подставную страницу, надеясь на вашу невнимательность, где вы введете свой логин и пароль от официальной страницы. Как попадаются на подставные страницы? Очень просто. Допустим, вы пользуетесь оповещением с социальных сетей, которые приходят к вам на почту. Как часто вы получаете оповещение, что вам кто-то написал или прокомментировал ваше фото или просит добавиться в друзья? Да практически каждый день, если вы, конечно, активный пользователь соц. сетей. Одно из таких оповещений может быть отправлено хакером.

--">