Як захиститися: технічний аспект - Криптостійкий пароль
навігація по розділу
Локації Словник Досягнення
Авторизація
Щоб отримувати досягнення за проходження матеріалів авторизуйся, будь ласка
Електронна пошта * Пароль * Hагадати пароль
або
Реєстрація
Заповніть форму
Імя та прізвише * Електронна пошта *
на цю адресу прийде лист з підтвердженням
Пароль *
Нагадати пароль
Після заповнення форми, на вашу електронну адресу прийде інструкція з відновлення паролю
Електронна пошта *
Вітаємо! Ви успішно зареєструвалися на МедіаДрайвер.
Для активації облікового запису, будь ласка, підтвердіть e-mail, вказаний вами при реєстрації. Для цього необхідно перейти за посиланням в листі, який ми щойно вам надіслали.


Якщо ви не одержали листа протягом 10-15 хвилин:
1. Будь ласка, перевірте папку «Спам» у вашій поштовій скриньці.
2. Для Gmail подивіться в папці
«Категорії» → «Промоакції»
(Categories → Promotions)

В іншому випадку, будь ласка, відправте лист повторно

А поки ви чекаєте лист, можете розпочати свою подорож

Вітаємо!
На вашу електронну пошту надіслано інструкцію з відновлення паролю облікового запису.


Якщо ви не отримали листа протягом 10-15 хвилин:
1. Будь ласка, перевірте папку «Спам» у вашій поштовій скриньці.

В іншому випадку, будь ласка, спробуйте ще раз

А поки ви чекаєте лист, можете розпочати свою подорож

Криптостійкий пароль

Одна з найважливіших ліній захисту вашої цифрової особистості — пароль. По суті, це кодова фраза, яка дозволяє постачальникам цифрових послуг однозначно сказати, що ви є реальною особистістю, яка хоче отримати доступ до своєї власності. Та попри важливість цього захисту, щороку дослідження показують одну й ту ж статистику: переважна більшість користувачів має дуже прості паролі, тож зловмисники навіть не напружуються, щоби дізнатися їх.

Згідно з рейтингом ресурсу SplashData, 25 найпопулярніших (і найгірших) паролів виглядають так:

passworddd

Цікаво, чи є в цьому переліку ваш пароль? Якщо так — слід визнати, що його знає мало не півсвіту. Та проблема цих паролів не в тому, що я можу здогадатися про їхній зміст. Річ у тім, що я навіть не намагатимуся зламати ваш пароль за допомогою здогадки. Для цього є спеціальні програми, які підбирають правильний варіант. Отже, проблема цих паролів полягає — у їхній не криптостійкі.

Криптостійкість — це здатність вашого паролю протистояти атакам. Вона характеризує силу паролю й визначається кількома параметрами:

  1. Довжина паролю — сукупна кількість символів парольної фрази. Чим довший ваш пароль, тим тяжче його атакувати. Враховуючи зростання технологій, за допомогою яких можна атакувати ваш пароль, він має бути не коротшим за 12 символів.
  2. Використання прописних літер. Із погляду криптографії велика й мала літери є різними символами. Тобто паролі «Justification» та «justification» є абсолютно різними.
  3. Використання цифр. Наявність у паролі чисел також зміцнює його, адже в такому випадку для атаки доведеться використовувати не лише абетку, але й цифри.
  4. Використання інших знаків. Ідеться, зокрема, про знак оклику, знак питання, нижнє підкреслення, равлик (@), дефіс, знак долара, амперсанд (&) тощо. Якщо їх використано в паролі, атака ускладнюється й може тривати століття.

 

Щоби наочно зрозуміти, чому важливо мати довгий пароль (від 12 символів) із використанням великих літер, цифр та інших знаків, виконайте завдання. Перейдіть за посиланням https://howsecureismypassword.net/ і послідовно вводьте у вікно «Enter password» такі паролі (увага: не вводьте в це вікно своїх справжніх паролів!):
  • starwars,
  • Starwar,
  • Starwars2,
  • Starwars_2016.

Зверніть увагу, як змінюється час, потрібний для атаки. Якщо перший пароль гарантовано буде зламаний практично миттєво, то на останній знадобиться близько трьох мільйонів років. А це вже чимало.

Утім, це лише частина захисту. Адже груба атака перебором застосовується лише тоді, коли є ймовірність, що ваш пароль слабкий. Якщо ж пароль міцний — постає потреба шукати інші шляхи атакувати вас. Одним із найпоширеніших способів є так званий фішинг (англ. fishing — риболовля).

На відміну від грубої атаки перебором, фішинг вимагає радше навичок особистої комунікації, аніж технічної підготовки. Саме тому цей спосіб належить до елементів соціальної інженерії. Мені не потрібно витрачати три мільйони років, щоб отримати ваш пароль, достатньо зробити так, щоб ви самі мені його віддали.

Для цього застосовують кілька прийомів. Наприклад, надсилання фішингових листів, які би змусили вас перейти на сайт, зовнішньо схожий на сторінку входу до соціальної мережі чи пошти. Отакого листа отримав я:

Figure002

У цьому випадку яку би я клавішу не натиснув, існує висока ймовірність, що в результаті переходу я втрачу доступ до власної пошти або профілю в соціальній мережі. До речі, в соцмережі фішинг практикується не тільки надсиланням повідомлень із посиланнями, але й за допомогою позначень вас на фото або відео. Таким чином відео може з’явитися на вашій сторінці (якщо ви не виключили такої можливості в налаштуваннях профілю) і його побачать ваші друзі, кожен із яких може стати об’єктом атаки. Подібні повідомлення виглядають приблизно так:

Figure003

Нижче приклад фішингового листа. Більше прикладів ви можете побачити за цим посиланням.

Figure004
Автор зображення: Марина Шабелюк

На завершення теми міцних паролів зауважмо два моменти. По-перше, дуже важливо, щоб ви використовували різні паролі для: входу в операційну систему, до профілів у соціальних мережах, до пошти й до банкінгу. По-друге, заведіть для себе звичку змінювати паролі щотри місяці. Це потрібно, щоби крадіжка одного з ваших паролів не відкрила шахраям доступу одразу до всього.