Для чего нужен пароль
Исследование на тему паролей
Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Пароль [parole] — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Sony Pictures database
Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Длина пароля
Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.
Используемые символы
Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.
Словарные пароли
При данной проверке использовался словарь на 1.7 млн слов. Взять можно здесь dazzlepod.com/site_media/txt/passwords.txt Как видим результат неутешительный, больше трети пассов, словарные.
Тест на уникальность
В базу Sony Pictures так же включены пароли для других сервисов. Собственно на таблице отображено, сколько юзеров везде используют один и тот же пасс.
Брутфорс хеша
Поскольку все пароли хранились в открытом виде, но даже в случае если это были-бы хеши, нам удалось бы дешифровать примерно 82% от общего числа, с применением радужных таблиц.
E-mail password’s
Пароли можете даже не пробовать сопоставлять, поскольку все это дело было намерено перемешано. Поскольку целью было не компрометация пользователей, а проведение анализа используемых паролей. Изначально список состоял из 24,546 записи. Все они имели следующий формат username@domain/password. После проведение небольшой очистки, осталось 23,573 аккаунта. Затем были удалены дубликаты и на выходе получился список из 21,686 аккаунта.
Основная масса это были мыльники популярного зарубежного почтовика hotmail.com. Но надо отметить, что присутствовали и другие почтовые системы, такие как Yahoo, Gmail, AoL и т.д. Нижу будет представлен ТОП-20 доменов и количество учетных записей для каждого из них.
1. hotmail.com – 12478
9. sbcglobal.net – 275
10. hotmail.co.uk – 206
11. neomail.com – 153
15. bellsouth.net – 95
20. earthlink.net – 46
Если мы посмотрим на имена пользователей, то можем наблюдать, что первые 9,586 из них расположены в алфавитном порядке. Они начинаются с букв «A» & «B». Исходя из используемых ими паролями, можно сделать вывод, что они относятся к латинскому сообществу. Но так же присутсвуют аккаунты со всего мира.
Наиболее часто используемый пароль по прежнему остается 123456. Как вы можете увидеть ниже, из общего числа в 21,866 паролей, 91 из них 123456. Вот ТОП-100 наиболее часто используемых паролей из списка.
1. 123456 – 91
2. neopets – 39
3. monkey – 27
4. 123456789 – 26
5. 123321 – 24
6. password – 23
7. iloveyou – 17
8. princess – 16
9. horses – 16
10. tigger – 15
11. pokemon – 14
12. cheese – 14
13. 111111 – 13
14. kitty – 13
15. purple – 12
16. dragon – 12
17. nicole – 12
18. 1234567 – 11
19. alejandra – 11
20. daniel – 11
21. bubbles – 10
22. alejandro – 10
23. michelle – 10
24. 12345 – 10
25. hello – 10
26. c***** – 10
27. chocolate – 9
28. hottie – 9
29. alberto – 9
30. 12345678 – 9
31. fluffy – 9
32. buddy – 9
33. 123123 – 9
34. cassie – 9
35. andrea – 9
36. secret – 9
37. shadow – 9
38. tequiero – 9
39. ****llica – 9
40. poop – 8
41. hi – 8
42. sebastian – 8
43. jessica – 8
44. adopt – 8
45. 654321 – 8
46. justin – 7
47. newpw123 – 7
48. scooter – 7
49. soccer – 7
50. holly – 7
51. hannah – 7
52. flower – 7
53. 1234 – 7
54. jessie – 7
55. ashley – 7
56. tiger – 7
57. lauren – 7
58. football – 7
59. elizabeth – 7
60. casper – 7
61. roberto – 7
62. 000000 – 7
63. legolas – 7
64. estrella – 7
65. 159753 – 7
66. anime – 7
67. sabrina – 6
68. moomoo – 6
69. angelica – 6
70. cat123 – 6
71. bonita – 6
72. buster – 6
73. kitten – 6
74. killer – 6
75. qwerty – 6
76. chelsea – 6
77. sasuke – 6
78. olivia – 6
79. theresa – 6
80. america – 6
81. beatriz – 6
82. mariposa – 6
83. oscar – 6
84. rainbow – 6
85. yellow – 6
86. cool – 6
87. ginger – 6
88. maggie – 6
89. friends – 6
90. asdfgh – 6
91. abc123 – 6
92. neopet – 6
93. dancer – 6
94. amanda – 6
95. avatar – 6
96. boogie – 6
97. greenday – 6
98. thumper – 6
99. 666666 – 6
100. bob – 6
По формату паролей, можно извлечь следующую статистику.
43.3% — буквы, в нижнем регистре. Пример: monkey
2.1% — буквы, верхний и нижний регистр. Пример: Thomas
15.8% — только цифры. Пример: 123456
35.1% — буквы и цифры. Пример: j0s3ph
3.6% — буквы, цифры и спец. символы. Пример: sandra19_1961
30% — заканчивается цифрой. Пример: hello1
Если мы посмотрим на длину пароля в следующем графике, то мы увидим, что большинство из них 6-символьные. 
Rootkit.com
6 февраля 2011, как часть атаки на HBGary, группировка Anonymous, с применением методов социальной инженерии, удалось скомпрометировать Jussi Jaakonaho, одного их технических админов rootkit.com. В итоге был заполучен полный дамп ресурса со всей базой данной, в том числе и пользователей.
Для дешифровки использовался John the Ripper. Большинство паролей были подобраны с применением словаря на 17.5 MB, а остальные добивались с помощью других комбинированных атак. Ниже представлены 10 наиболее часто используемых паролей.
Rank Password Accounts
1 | 123456 | 1023
2 | password | 392
3 | rootkit | 341
4 | 111111 | 190
5 | 12345678 | 181
6 | qwerty | 175
7 | 123456789 | 170
8 | 123123 | 99
9 | qwertyui | 92
10 | letmein | 91
Как мы видим снова засветился уже побитый 123456. Так же стоит отметить тот факт, 3 место по популярности, занял пароль аналогичный названию ресурса, аж 341 результат. Я так же хочу добавить основываясь на своем многочисленном опыте, когда работаешь с базами, по дешифровке пассов, довольно часто попадаются ресурсы, которые в качестве пароля используют адрес этого самого ресурса. При этом данное наблюдение не является правило. Но на моей практике уже были порталы, где % таких пассов был достаточно велик, а были где вообще не использовался ни разу. Я пока не нашел зависимости данного наблюдения.
А по следующей ссылке вам будет доступен ТОП-500 используемых паролей на ресурсе rootkit.com:
dazzlepod.com/rootkit/password
Для проверки надежности пароля
Скорость подбора с помощью пароля можно описать нехитрой математической формулой: количество возможных символов, возведенное в степень длины пароля, поделенное на количество перебираемых паролей в секунду. В результате получается примерное время в секундах. Впрочем, чтобы доказать человеку, что на деле означает простой пароль, не нужно грузить его математикой. Достаточно зайти на сайт How Secure Is My Password?, ввести <> (слово > в латинской раскладке) и показать, что такой пасс сбрутится на обычном PC за 30 секунд. Вобщем потестить пароли довольно интересно: сразу становится видно, что длина пароля намного важнее его сложности. Для взлома «#R00t$H3ll» уйдет 195 лет, а на, казалось бы, простой «abcdefg1234567» — 5722 года.
И как когда-то написал админ insidepro:
Интересное наблюдение — последние пару недель наша база hash.insidepro.com по параметру «Webcrack today» ежедневно лидирует, что не может не радовать. Причем наступающий «на пятки» сервис www.md5decrypter.co.uk (очень достойный сервис, имхо) имеет базу в 5 млрд. хэшей, но получается, что наша 33-миллионная база эффективней, несмотря на то, что она меньше более чем в 150 раз. Это еще раз подтверждает тезис — «дело не в количестве, а в качестве».
Поэтому чтобы удачно вскрывать и дешифровывать пароли, не надо сразу лезть качать rainbow table которые весят сотни гигабайт. А достаточно разобраться в вопросе, тогда относительно не большая база, которую вы будете время от времени пополнять, будет показывать очень хороший результаты по пробиваемости.
Мои логин и пароль — что это такое, как их правильно создать и безопасно хранить
Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Вроде бы простой вопрос, но он все же зачастую возникает у начинающих пользователей интернета, когда они создают впервые учетную запись их просят придумать ник, логин и пароль.
Лучше будет, если я сразу предупрежу и постараюсь пояснить важность придуманных вами своих логинов и паролей, ибо в интернете ломают все подряд, а не только то, где что-то лежит.
Что такое «мой логин» и его отличия от имени пользователя?
Итак, логин это ваш индивидуальный идентификатор (должен быть уникален для того сервиса, где вы регистрируетесь). Сейчас на многих сервисах допускается использование в качестве своих логинов имен или ников написанных русскими буквами, но раньше поголовно требовалось при его написании использовать исключительно латинские символы и цифры.
Связано это, видимо, с тем, что данные, полученные при регистрации пользователя (login и password), хранятся в базе данных. Поэтому я пользуюсь при вводе моего логина тем же правилом, что и допустимо использовать в Урл адресах — 9,[a-z],[A-Z],[_],[-]. Такое написание подойдет при регистрации на любом сервисе.
Следуете еще разобраться что такое логин, а что такое имя пользователя. Очень часто одно отличается от другого. У этой путаницы ноги растут все из того же упомянутого выше правила использования при регистрации только латинских символов, в то время как на форуме, сайте, блоге и социальной сети, где вы регистрируетесь, было бы уместно использование имен пользователей (настоящих или ников) написанных на русском языке.
Поэтому и приходится зачастую заполнять в форме регистрации два поля: login (только на латинице) и имя (можно по русски). Правда сейчас в интернете идет всеобщая тенденция к упрощению и таких сайтов, где вас путают непонятными полями с двумя похожими понятиями, становится все меньше.
Сейчас зачастую в качестве своего логина используют просто адрес вашего почтового ящика или номер указанного при регистрации мобильного телефона. Причем, можно использовать любой из этих идентификаторов (login, телефон или E-mail). Понятно, что я говорю не про форумы, а про сайты подобные Пейпалу или Ебей.
Придумывать свой логин тоже стоит с умом, ибо указанные в нем ваши личные данные (ФИО) могут помочь злоумышленникам в применении к вам методов социального инжиниринга, если ненароком вы станете объектом интереса подобных личностей (таким образом очень часто уводят кошельки в системах электронных платежей, почтовые и социальные аккаунты, а так же много еще чего).
В наш цифровой век нужно учиться быть бдительным и перебарывать свою врожденную доверчивость. Не думайте, что вы никому не нужны. Нужны, но не вы конкретно, а в купе с еще тысячами таких как вы беспечных юзеров. Аккаунты уводят на потоке, а потом продают их оптом спаммерам и прочим нехорошим личностям.
Кроме этого учтите, что на большинстве сервисов созданный вами логин нельзя будет потом изменить, разве что только путем регистрации нового аккаунта. Поэтому постарайтесь продумать заранее все неловкие моменты, которые могут возникнуть по этому поводу (например, зарегистрировавшись в Collaborator под ником одного известного персонажа в мире SEO, я несколько раз получал вопросы от администрации о принадлежности мне тех или иных сайтов добавленных в эту систему).
Сложный пароль — это то, что позволит вам спать спокойно
Ну, а теперь поговорим про вторую часть личных данных, которая так необходима будет вам при авторизации на каком-либо сервисе в интернете. Я говорю про пароль (password). Что это такое? В идеале, это очень сложно подбираемый и сложно прогнозируемый набор символов, которые не всегда являются буквами или цифрами.
Чем сложнее будет мой пароль, тем труднее будет злоумышленникам взломать мой почтовый ящик, аккаунт на форуме, сайте или соцсети простым перебором по словарям. Примером плохих вариантов может служить ваше имя набранное в латинской раскладке, варианты qwerty, 123456 и тысячи других, списки которых имеются у любого самого завалящегося взломщика.
Понятно, что вы подстраховываетесь на случай, если забудете придуманный вами пароль или потеряете бумажку, на которой его записали. Но все, что поможет вам его восстановить, поможет и взломщику его вычислить. Старая добрая поговорка все еще в силе: подальше положишь — поближе возьмешь.
Лично я осознал необходимость использования надежного менеджера для хранения моих паролей и логинов лишь после кражи средств с моего кошелька в Вебмани и после заражения вирусами почти всех моих сайтов. В обоих случаях была банальная кража паролей (в первом случае, похоже методом перебора взломали мой почтовый ящик с password равным qwertyqwerty, а во втором — вытащили хранящиеся в открытом виде в файлзиле мои пароли доступа к сайтам по ФТП).
Беспечность она всегда наказуема, особенно в интернете, где обстановка похожа на лихие девяностые в России. При выборе менеджера паролей я руководствовался отзывами в интернете, а еще тем, чтобы он был бесплатным и с открытым исходным кодом (любой понимающий программист способен будет выявить лазейки разработчиков, если они существуют).
Последнее важно, ибо доверять все свои данные одной единственной программе довольно чревато. Но если «закладок» в коде нет, то открыть базу без ввода мастер-password или указания ключевого файла будет практически невозможно, ибо взлом сложного ключа шифрования базы с паролями методом подбора может даже на суперкомпьютере занять годы.
Моего хранителя паролей зовут KeePass. Он умеет не только надежно хранить загруженные в него данные (login и password для каждого вашего аккаунта где бы то ни было), но и позволяет их безопасно использовать.
Имеются горячие клавиши для автоматического заполнения всех полей в форме авторизации на сайте или в любой программе на вашем компьютере. Имеется также и мощный генератор паролей с различной степенью сложности. Данная программа имеет возможность делиться своей зашифрованной базой с различными мобильными приложениями, что делает ее еще более удобной и востребованной.
Про все перипетии работы с KeePass читайте в приведенной статье и обязательно перенесите все ваши логины и пароли с листочка бумажки или файлика в компьютере в зашифрованную базу Кипаса, которую на всякий случай храните в облаке.
Если для созданных login и password вы по-прежнему предпочитаете использовать текстовый файлик на компьютере, то хотя бы храните его в папке с вашим паролем созданным TrueCrypt.
Программа опять же бесплатная и с открытым исходным кодом — надежность проверенная временем. В общем, будьте бдительны и не доверяйте даже самим себе в вопросах безопасности.
Что такое логин и пароль: для чего нужен, как создать, каким должен быть для регистрации
В настоящее время вряд ли найдется в мире человек, который не пользуется интернетом. Конечно, если не принимать во внимание географическое положение, ментальность или разного рода ограничения, вводимые политическим строем некоторых стран.
Всемирной сетью пользуются все, от мала до велика: для развлечения, общения, образования, шоппинга или ведения бизнеса. Независимо от сути пребывания на том или ином онлайн-сервисе, чтобы иметь возможность совершать какие-либо действия, нужна процедура регистрации личного профиля. И первое, с чем на этом этапе сталкивается новоявленный пользователь ресурса, это создание логина и пароля.
Что такое логин и пароль
Логин имеет англоязычное происхождение и выражает смысл слова «войти» (дословный перевод английского login). Его создание – одна из основных составляющих частей процедуры регистрации. Может состоять из букв латинского алфавита, символов и цифр.
Следует отметить, что на некоторых ресурсах в поле регистрации вместо строки логин используется имя пользователя. Несмотря на бытующее иное мнение, важно понимать, что это не одно и то же, хотя на стадии входа в личный аккаунт выполняет одинаковую функцию идентификации пользователя.
Login является одной из основных частей доступа в личный кабинет, не является общедоступной информацией и известен только непосредственно владельцу профиля и администрации ресурса, на котором открыт аккаунт. В то время как имя пользователя – это реальное имя и фамилия, псевдоним или ник, которое будет видно всем участникам сообщества, подписчикам и т.д. Для сохранения безопасности профиля лучше все-таки разделять два этих понятия и не использовать имя пользователя в качестве логина.
Пароль (Password) для входа в аккаунт также задается на стадии регистрации и сохраняет в сети интернет свою основную смысловую нагрузку, то есть, выполняет такие же функции защиты от постороннего доступа, как и в других сферах жизни.
Для чего нужен
Из сказанного выше можно сделать вывод, что логин и пароль являются основными идентификаторами пользователя, зарегистрировавшегося на определенном ресурсе, и используются им для входа в личный кабинет (профиль, аккаунт). Они, как два сапога, не функционируют отдельно друг от друга, только порой. При неверном введении в соответствующие строки одного из параметров в доступе к аккаунту будет отказано.
Как создать
В зависимости от того, на каком ресурсе необходимо зарегистрироваться, логин и пароль нужно придумывать самостоятельно, либо они будут предложены системой (в некоторых случаях с возможностью последующего изменения на свои варианты – рекомендуется).
В связи с тем, что интернет сообщество увеличивается постоянно, при каждой новой регистрации стало довольно сложно придумать уникальный (никем не используемый на конкретном сервисе) логин, а это необходимо для последующей идентификации пользователя. Может возникнуть ситуация, когда вводимое значение не принимается системой и, обычно, предлагаются иные варианты с добавлением к исходнику цифр или символов. Тут дело личного выбора: согласиться с одним из предложенных вариантов или все-таки придумать новый уникальный (рекомендуется).
Создание пароля – дело не менее ответственное. Не желательно использовать при кодировании имена детей и близких родственников, клички домашних питомцев, даты рождения или других знаковых событий, о которых можно узнать из общедоступных источников информации. Именно такие данные используются мошенниками в первую очередь при попытке взлома.
Требования и рекомендации для регистрации
Обычно длина логина ограничивается интервалом шесть-двадцать символов. Начинается пароль как правило с буквы, а далее можно добавлять цифры или символы (тире, нижнее подчеркивание или точка, но не завершающим символом). Пробелы не допускаются. Так как логин можно вводить в любом регистре, то нет необходимости использовать в нем заглавные буквы: MOREMAN, moreman, mOrEman – это все одни и тот же символы.
Что касается пароля, то в нем наоборот рекомендуется использование букв в разных регистрах, наряду с цифрами и символами. Максимальная длина кода не ограничивается и зависит от предпочтений пользователя. А вот минимальные ограничения есть: восемь символов, не менее.
Какой логин лучше придумать
Несмотря на неоднократно встречающиеся в сети советы типа: «придумайте звучный и легко запоминающийся», не рекомендуется использовать в нем реальные фамилию и имя (пусть даже и на латинице). Как уже говорилось выше логин и имя пользователя – это схожие, но, тем не менее, разные понятия. Достаточно придумать такой, который легко запомнится автором и будет принят системой.
Какой пароль лучше придумать
Как уже сказано выше, количество знаков в пароле должно быть не менее восьми символов. Хочется больше? – это только увеличит надежность кода. Использовать лучше строчные и заглавные буквы в комбинации с цифрами и символами. Также хорошим вариантом кодировки считается написание слов на русском языке в английской раскладке (только важно помнить, что слово при этом не должно быть простым). Хорошим подспорьем, помимо комбинации с цифрами в начале или в конце пароля, будет использование замены одной или нескольких букв «внутри» слова цифрами с похожим начертанием.
Зачем нужен сложный пароль
Чем сложнее замок, тем труднее подобрать отмычку.
Одна из самых важных рекомендаций: не использовать один и тот же пароль на разных сервисах. Это, конечно, облегчает задачу запоминания, но и решение мошенников по взлому сразу нескольких аккаунтов пользователя будет значительно упрощено. Не стоит давать им такую фору. Даже если содержащаяся в профилях конфиденциальная информация, содержащаяся в личном кабинете, на ваш взгляд не представляет никакой ценности, она может быть использована мошенниками во вред.
Еще один важный момент: не рекомендуется разрешать браузерам запоминание пароля. Лучше пользоваться старым дедовским методом и записывать все в блокнот. Это не очень современно, но зато надежно. Если по роду деятельности или социальной активности у вас имеется большое количество аккаунтов на разных площадках, то есть вариант использования специальных софтов для хранения идентификационных данных. Здесь желательно получить совет у квалифицированного специалиста или продвинутого программиста.
Что делать если забыл логин или пароль
Восстановление конфиденциальной информации возможно. Главным образом, именно для этого проводится процедура подтверждения контактных данных в момент регистрации аккаунта. В поле входа на тот или иной ресурс (обычно внизу окна) находится кнопка «забыли пароль?». Именно посредством нажатия этой кнопки создается системный запрос на восстановление логина или пароля. Новые варианты кодов для доступа в профиль будут присланы на электронную почту. После восстановления доступа рекомендуется изменить пароль в личных настройках аккаунта.
Как сменить
Чаще всего изменение логина невозможно, за исключением тех сервисов, на которых это адрес электронной почты, указанный при регистрации. Тем не менее, изменение не рекомендуется, так как это основной идентификатор, по которому пользователь распознается системой.
Изменение старого пароля на новый возможно и даже рекомендуется (один-два раза в год с целью безопасности аккаунта). Обычно эта процедура доступна в настройках личного кабинета и достигается двойным введением нового пароля в соответствующем запросе.
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.
Что такое логин и пароль? Подробно и наглядно для новичков.
Логин – это набор символов, имя, сочетание цифр или адрес почтового ящика, использующийся для идентификации пользователя сайта, говоря простым языком – это ваш уникальный идентификатор.
Логин служит для авторизации на сайтах и в большинстве случаев является публичным и открытым.
Пароль – это набор символов (букв, цифр), предназначенный для авторизации под определенным логином (именем) пользователя.
Смысл пароля заключается в защите ваших персональных данных (личных сообщений, переписок, сохранённой информации), которые доступны при входе на сайт под вашим логином. Пароль обязательно должен быть уникальным и не должен быть показан в публичном доступе.
Как подобрать логин и пароль?
Связка логин-пароль используется на большинстве современных сайтов для регистрации пользователей, как правило, в качестве логина используется адрес электронного почтового ящика или номер мобильного телефона.
Большинство социальных сетей сегодня используют номер мобильного телефона в качестве логина пользователя поэтому с подбором логина в этом случае проблем возникнуть не может.
Подбор логина
Подбор пароля
Примеры паролей разной степени защиты
Плохие пароли:
Примеры хороших паролей:
Заключение
Теперь вы знаете что такое логин и пароль и зачем они нужны, подбирайте для себя только надежные логины и пароли, а также используйте для каждого сайта уникальные и новые данные.