Самым популярным паролем 2018 года стала комбинация "123456". Она была признана таковой в шестой раз подряд. Рейтинг в середине декабря составила SplashData, в которой проанализировали утечки данных интернет-сервисов. Его приводит издание N+1.

В 2018 году специалисты компании проанализировали более пяти миллионов паролей, содержавшихся в утечках сервисов из Северной Америки и Западной Европы, без учета паролей от аккаунтов на сайтах для взрослых. Так выглядят первые 25 самых популярных паролей в этих утечках (список из 100 первых позиций рейтинга опубликованна сайте компании):

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

Удивляет не только то, что самыми популярными паролями стали настолько простые комбинации, но и статистика их использования. Так, пароль 123456 использовали три процента пользователей, а каждый десятый пользователь использует один из паролей, попавший в топ-25. Поскольку данные исследования SplashData выглядят достаточно удручающе, редакция N + 1 решила рассказать читателям о том, какие пароли считаются хорошими и какие меры, помимо надежного пароля, помогут спасти аккаунт от взлома.

Большинство пользователей интернета видели при регистрации в различных сервисах цветовую полоску и надпись, подсказывающую, насколько хороший пароль решил установить пользователь. Но что значит «хороший»? В целом, стойкость пароля определяется тем, сколько попыток злоумышленник должен совершить для подбора пароля методом полного перебора. Помимо метода полного перебора, хакеры прибегают также к перебору по словарю, но об этом чуть позже.

Обычно для формализации стойкости используют информационную энтропию. Для случайного пароля ее величина определяется как двоичный логарифм от количества возможных символов, возведенного в степень длины пароля: H = log2NL, где N — это набор символов, а L — это длина пароля. Под количеством возможных символов подразумевается то, какой набор символов использовал пользователь. К примеру, для строчных букв латинского алфавита это 26 символов. Если добавить к ним прописные, количество увеличится уже до 52. Кроме того, к ним можно добавить обычные символы ASCII, такие как скобки и знаки препинания, а также расширенные символы ASCII.

В результате после расчета логарифма пользователь может получить количество бит энтропии для своего пароля. Согласно теории информации, количество возможных комбинаций всех символов из набора равно двойке, возведенной в степень величины энтропии. Именно поэтому увеличение энтропии положительно влияет на стойкость пароля, ведь увеличение энтропии всего на один бит увеличит количество паролей, которое придется перебирать злоумышленнику, в два раза.

Рассчитывать энтропию можно не вручную а с помощью множества программ, большинство из которых бесплатны. Национальный институт стандартов и технологий США в 2000-х годах рекомендовал использовать пароли с энтропией, равной не менее 80 бит, но в 2017 году пересмотрел стандарт и повысил величину до 112 бит.

При этом стоит понимать, что метод полного перебора — максимально сложный и долгий из всех возможных, поэтому злоумышленники стараются облегчить себе задачу другими методами. К примеру, часто используется частотный анализ и перебор по словарю, при котором алгоритм сначала создает различные комбинации из часто применяемых людьми фрагментов паролей, а затем тестирует их. Именно поэтому желательно, чтобы пароль был случайным.

Итак, лучше всего придумывать для каждого сайта уникальный пароль, состоящий из случайной комбинации букв разных регистров, цифр, а может быть, и других символов, да еще и длиной не менее 12-14 символов. Но как это все запоминать?

Проще всего использовать менеджеры паролей. В этом случае пользователю необходимо запомнить лишь один хороший пароль для доступа к программе, а все остальные будут храниться в надежно зашифрованной базе данных, причем создавать их можно там же, нажатием одной кнопки.

Менеджеры паролей можно разделить на два основных типа. Одни используют облачное хранилище и легко синхронизируют базу между разными устройствами. Другие хранят всю информацию только на устройстве пользователя, не передавая ее интернет-серверам, и часто имеют открытый исходный код, но вся ответственность за хранение и синхронизацию в таком случае лежит на самом пользователе. Единого мнения о том, какой из подходов лучше, нет.

Но есть еще один аспект, который, пожалуй, играет не менее важную роль в защите аккаунтов и по своему значению сравним со стойким паролем. Речь идет о многофакторной аутентификации. Она подразумевает, что при попытке доступа к аккаунту у пользователя, помимо стандартной пары из логина и пароля, спрашивают еще один или даже несколько факторов, подтверждающих, что в аккаунт прямо сейчас пытается войти именно он.

Как правило, вторым фактором выступает СМС-сообщение, код из специального приложения или USB-токен. Даже если злоумышленник украл ваш пароль, то в случае двухфакторной аутентификации ему необходимо будет украсть ваш одноразовый пароль из СМС или токен, что, согласитесь, довольно нетривиальная задача.

На сегодняшний день абсолютное большинство крупных сервисов поддерживает двухфакторную аутентификацию, на ее настройку уходит пара минут, а вход, как правило, усложняется лишь тем, что вам необходимо будет ввести лишние шесть цифр с экрана лежащего рядом смартфона.

Как сообщала "Страна", в России военным запретили выкладывать фото в соцсетях. Запрет коснется как контрактников, так и срочников, пояснил замглавы Минобороны РФ Николай Панков.

Напомним, что соцсеть Google+ прикроют раньше из-за новой "дыры" в защите персональных данных 52,5 миллионов пользователей.

 

Подпишитесь на телеграм-канал Политика Страны, чтобы получать ясную, понятную и быструю аналитику по политическим событиям в Украине.