Новости о сливе новой базы паролей появляются несколько раз в год. Google придумал, как сделать пароли безопаснее, и реализовал это в расширении Password Checkup для браузера Chrome.
реализовал это в расширении Password Checkup для браузера Chrome.
При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.
У создателей (администраторов) сайта нет доступа к данным пользователей ))
Если речь идёт о хешах паролей, то уже есть таблицы хешей паролей (специально для взлома). Понятно, что не всех, а только коротких.
Google прочитает всё, что нужно.
А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*
(1)Дополнение: Есть такой сайт https://howsecureismypassword.net который показывает сколько времени нужно хакерам чтобы брутфорсить ваш пароль. Не рекомендую вводить туда ИМЕННО ВАШИ пароли от популярных сервисов, лучше для теста попробовать что-то похожее на них.
(2)Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов). Например 10 символьный пароль (в разном регистре и с цифрами) можно подобрать за 41 год. Для рядового пользователя - это вполне достаточная безопасность (особенно для паролей, хотя раз в несколько лет) - но в целом, это достаточно быстро. Интересно, какая методика оценки времени. Наверняка - доступные мощности хакеров завышены - небось взяли в расчёт гетерогенную бот-сеть топовых компьютеров из более чем миллиона штук, которые подбирают хеш. Аккаунты обычных пользователей так никто ломать не будет - это очень дорого!
Любопытно - что у этого сервиса время подбора пароля мало зависит от раскладки и наличия простых спецсимолов - в основном только от длины !
Особенно быстро растёт время при использовании специсимволов вне ангийской рассклаки!
Вот Вам и способ сильно усложнить пароль не увеличивая его длину - введите в слово какой-то специмвол, не доступный в английской раскладке - например "№" (проще всего, не меняя раскладку, его ввести с клавиатуры ALT+252 на цифровом блоке или какой-то другой нестандартный символ - например русская ё - ALT+241 и т.п.) - и время подбора такого пароля вырастает очень быстро - если ещё таких символов добавить.... ух как вырастает!
Пароль: ohmygod подбирается мгновенно
Пароль: OhMyGoD подбирается за 2 минуты
Пароль: O#MyG0D подбирается за 7 минут
Пароль: O#_My_G0D подбирается за 4 недели
Пароль: №№G0D№№ подбирается за 1 тысячу лет
Пароль: ohmygod№ подбирается 973 тысчи лет
Пароль: OhMyGoD№ подбирается за 1 миллион лет
Пароль: Oh_My_GoD№ подбирается за 2 триллиона лет
Пароль: Oh№My№GOD№ подбирается за 2 триллиона лет
Пароль: *h№My№@0D№ подбирается за 2 триллиона лет
Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов).
Суперкомпьютер, большая бот сеть. Плюс это на сферическом сервере в вакууме (как я понял), то есть без учета сети, всяких задержек апи, итд. Да, нашей с вами перепиской не будут так тщательно интересоваться, как правило переберут 8 символов + словарь и все.
Кстати, недавно подключался к глав. бухгалтеру КРУПНОЙ конторы, и знаете сколько времени нужно чтобы подобрать пароль к упр.(и бух) базе, которая, кстати, опубликована в вебе?
It would take a computer about
3 HUNDRED PICOSECONDS
to crack your password
Да, нестандарные символы редко проверяют, идея кстати зачет! Можно еще юникодом смайлики на пароль ставить :)
(30)Вот вот. Ну раньше юникод вообще мало кто поддерживал - сейчас уже другие времена - но лучше всё-таки не заморачиваться с ним! Да и то, что япредложил - про ввод сиволо через ALT- тоже не лучшее решение - да безопасность повышает очень хорогшо - но ввести такой пароль можно будет только с клаиатуры, имеющий такой цифровой блок - без него не ввести!
(1) по поводу п.2 где-то видел исследование о длинен пароля - что увеличение длинны от 16 символов (или около того) не приводит к существенному росту безопасности, а скорее наоборот - снижает её. Точно не помню почему - может дело в психологии составления таких паролей? Особенно когда их много и/или приходится часто менять.
Лучше относительно короткий пароль (ну символов 9-12), даже пусть имеющий смысловую интерпретацию, но в разном регистре символов и хотя бы с одной-двмя цифрами - но не в конце/в начале - а где-то посреди фразы или вместо буквы. А если ещё и хотя бы один спецсимвол добавить - пароль будет меганаджен! Но много спецсимволов - это плохо - каждый такой спецсимвол увеличивает сложность запоминания пароля в 2 раза минимум, а то и экспоненциально.
(3)
Пароли от wi-fi c длиной 8 символов ломаются, кажется за 2 часа.
А что касается очень длинных паролей, как их запоминать. Можно где-то его хранить на компьютере и менять в нем, при вводе, несколько символов.
(29)Если гуглу через Андрой нужно будет скрытно читать смс - он не будет это делать через стандартны приложения - он это сделает на уровне ядра! Вот только навряд ли Гуглу нужны эти смс - важную информацию (для Гугла) через них явно никто не будет отправлять!
(5)ну если через буфер копировать а потом менять пру *-чек (ткнув в новую позицию мышкой) - это высоконадёжно даже против кейлогера (если он, конечно, не специально под вас заточен), ещё можно пользоваться виртуальной клавиатурой (в windows встроена, а многих банков, например, тоже есть прямо на сайте).
(14)Ну, я не знаю - тут нет 100% защиты! Только специальные физические устройства аутентификации дают действительно хорошую защиту! Например через токены аутентификации.
(4)Ну мне трудно в это поверить (когда пароль из 8-символов написан сложно) - ЕСЛИ ТОЛЬКО ДЛЯ ВЗЛОМА НЕ БУДЕТ ЗАДЕЙСТВОВАНА БОТ-НЕТ СЕТЬ ИЗ МОЩНЫХ КОМПЬЮТЕРОВ ГИГАНТСКИХ РАЗМЕРОВ!
Сгенерированные пароли достаточной длинны и сложности очень тяжело запоминать
Смысл их запоминать? Много ли таких паролей сможет запомнить обычный юзер? Менеджер паролей и как вы говорите вставлять случайные символы при копипасте и менять их раз в..
(17)Это очень сложно - годится только для случаев требующих действительно высокой надёжности! Да и компьютер, например, так разблокировать не получится!
А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*
(6)Ну, сливают обычно как раз-таки базу хешей из сервиса (а не от пользователя) - и потом её брутфорсят. У пользователя - проще кейлогер поставить!
Но сейчас хеши вроде со случайной добавкой хранятся (уже давно) - их по словарю хешей нереально брутфорсить - только по прямым перебором всех символов - но, мне кажется, это будет намнго дольше, чем показывает сервис https://howsecureismypassword.net
этот сервис вообще непонятно что показывает. восьмизначный числовой пароль будет взломан за 3 миллисекунды причем не важно какая именно будет комбинация цифр. очевидно же что на полный перебор 18473649 и 53741832 уйдет разное количество времени, если начинать например с 00000000 по возрастающей.
(21)НУ Я, ДУМАЮ, ЧТО ОЦЕНКА СТРОИТСЯ НА ОСНОВЕ БОЛЕЕ ХИТРЫХ АЛГОРИТМОВ. Думаю такие простые пароли просто взламываются по известному хешкоду (словарю) - а там время не сильно зависит даже от длины пароля!
(28)Не совсем.
1. Словари индексированы - поиск по ним идёт по бинарному дереву (как популярный вариант, но это не обязаельно) - поэтому поиск даже по большому словарю по ключу-хешу (длиной, чаще всего не более 128 бит, т.е. по 16 символам, хотя даже применение 1024 битного ключа не принципиально замедлит скорость) среди миллиардов записей идёт доли секунды - в среднем значение находится всего за несколько десятков/сотен/тысяч шагов по дереву (а то и быстрее) - а один шаг это всего лишь несколько тактов микроопроцессора, коих современные микропроцессоры делают триллионы в секунду на ядро.
2. Перебирать строки (даже без индексов) не такая уж трудоёмкая задача. Она не сравнима с тем, сколько времени нужно потратить на вычисление хеша - скажем так - найти среди миллиардов строк одну строку по ключу-хешу на порядок быстрее, чем вычислить этот хеш - и чем длинее битность хеша - тем он медленнее вычисляется (но это замедление от длины хеша будет не сильно расти от длины хеша, как, впрочем и от длинны пароля).
3. Поиск по слварю оченть неплохо распараллеливается по гетерогенным кластерных сетям - с гигантским числом компьютеров! Поэтому можно считать, что первый этап поиска по словарю практически любого размера (при налиичии достаточного числа компьютеров в кластере) по ключу-хешу любой длинны занимает время не более микросекунды! То есть им можно пренебречь!
4. В таком словаре уже наверняка есть все комбинации символов, доступных с клавиатуры на разных языках (но возможно набираемые только в одной языковой раскладке - иначе комбинаций будет слишком много для всех языков), до определённой длинны (увы не знаю какой, но думаю до 6 точно есть, а то и до 8 может быть - ну для английской раскладки, как самой популярной для паролей, уж точно до 8 должны быть все комбинации, а то и больше).
Но в словарь не поместить все пароли - поэтому алгоритм (после прохода по словарю) должен будет перейти к составлению новых версий паролей. Причём в этом случае будет применяться метод реверс-инженеринга - алгоритм будет операться на конечный хеш пароля - и пытаться из него восстановить исходный пароль - это не простая задача. Особенно для стандартов хеширования SHA2 и SHA3. Тут тоже используются свои переборы. Но комбинаций уже гораздо больше чем у словаря готовых паролей - плюс нужно постоянно пересчитывать хеш - а это, как я написал выше, более трудоёмко!
Но тут тоже может быть поиск по словарю - частей полувычесленных хешей - чтобы не вычислять их повторно!
Ну и замечу, что хакеры не стоят на месте - и при реализации взломов постоянно получают новые комбинации символов возможных паролей и их хешей - и постоянно дополняют ими готовую базу словаря! Поэтому если сейчас в ней 2ярда паролей - то через 10 лет в ней будут уже десятки триллионов паролей! Рано или поздно в ней будут все комбинации символов для паролей меньше определённой длинны!
(1) Наивные люди. Взломанные пароли попадают в эти базы, не потому что пароль подобрали или как то взломали, а потому что взломали весь сервер и слили все пароли сервера.
Для защиты своих аккаунтов нужно менять пароль пару раз в год. И причем пароль лучше создавать не как все рекомендуют 8 символов в разнобой, а в 2-3 слова, лучше с ошибками. Например: ветИркАПтельная. Такие пароли проще заполнить и намного сложнее подобрать.