Комментарии 34
13,37% паролей содержат только цифры;
но только 4,522% паролей начинаются с цифр.
Кто-то врет или я что то не понимаю.
(тут, вероятно, имеются в виду смешанные пароли — с буквами и цифрами).
Пароль, который начинается с цифры, может содержать не только цифры
Ну да, и все пароли, которые содержат только цифры начинаются с цифрой.
И поэтому пароли, которые начинаются с цифр должны быть больше паролей которые содержат только цифры. А здесь наоборот и примерно вдвое.
Очевидно, дело не в том, что пользователи ленивы, а в том, что им позволяют использовать 123456
Выбор пароля никак нельзя ограничивать! Потому что каждое ограничение уменьшает безопасность системы. Такой парадокс — то что пользователь может выбрать 123456 само по себе прекрасно. Плохо то, что он ее все-таки выбрал. :D
Ну не работает это так. Какие бы вы и ограничения на ставили, они всегда только уменьшают энтропию. И хорошо, если это условие только отсутствие пароля в неким конечном списке. Тогда энтропия уменьшится незначительно. Но например ограничения на состав пароля (обязательно цифры, обязательно символы и т.д.) уменьшают энтропию очень сильно.
И кстати, обманываются такие ограничения очень легко — ведь потребитель хочет чтобы легко запоминалось. И этим еще больше уменьшают безопасность системы. Вот вам пароль, которой выполняет все ограничения прекрасно но по сути словарный пароль: "HabrRulez!@34"
(Словарные варианты включают и составные и «словарный плюс пара рандомных символов», всё это надо запрещать, только полная энтропия, только хардкор. Т.е. такая энтропия, которую винрар уже ни на байт не сожмет, условно говоря)
Ну не можете вы меня ограничить никак. Какой бы набор ограничении вы не придумали бы, я смогу придумать пароль такой, что будет легкий к запоминанию и по сути словарный. Хотите попробуем?
Что-то несколько сумбурно описано.
Например пароль только из букв можно? И вообще-то я понимаю что постарались написать посложнее, (челендж, такой челендж ;) ) Но мне хочется чтобы мог бы проверять свои творения прежде чем выложить.
Слова использовать можно, но каждое слово...
А как вы будете определять что является словом?
Несколько очевидных способов трансформации вроде записи транслитом или русским в английской раскладке или такой З1а2п3и4с5и тоже учтем.
Это вообще написано так чтобы можно было придраться абсолютно ко всему.
А если попрошу написать тест? Я совершенно не отказываюсь, но ограничения должны быть такими, чтобы можно было их (хотя бы в теории) реализовать на компьютере.
Пароль только из букв можно, «dhqocnfsuz» например. Или добавим слово в середину (считается за 1 символ) «dhqocatnfsuz».
Ок, конкретизирую:
1) Не должно быть повторов последовательностей длиной 2 и более символов (*Ab*Ab*).
2) Не должно быть возрастания или убывания 3 и более символов подряд по алфавиту, числовому ряду или раскладке клавиатуры ("*abc*, *876*, «asd»).
3) Пункт 2 применим для последовательности из всех четных и всех нечетных символов пароля.
Суть в том, чтобы наиболее популярные варианты покрыть, а какие-то единичные попытки конкретного юзера придумать себе способ шифрования злоумышленник тоже не знает и устанет перебирать все возможные способы. Базы злоумышленников тоже утекают, если они найдут какие-то популярные среди юзеров алгоритмы обфускации простого пароля, мы их тоже себе будем добавлять в проверку сложности пароля.
Хорошо. Но 2+3 вообще выкинут большую часть словарей. Потому что слоги в словах вообще-то повторяются. И этим уменьшать энтропию пароля намного.
Но пожалуйста: "Любя, съешь щипцы; вздохнёт мэр кайф жгуч." — 10 "символов", энтропией здесь и не пахнет. И помнится просто. :P
энтропией здесь и не пахнетКак по мне, очень даже пахнет, ну в рамках оговоренной длины пароля, не хуже энтропиии 10 рандомных знаков и точно сложнее подобрать по словарю, даже учитывая ограничение на корректное построение фраз.
У Вавилонской библиотеки, даже со строгими формальными ограничениями на тексты — орфография, грамматика, осмысленность, количество томов далеко стремится к бесконечности, что сделает невозможным любой перебор, а 10^100 обезьян, даже манипулируя готовыми словами, а не буквами, не напишут войну и мир за разумное время, сравнимое с временем жизни Вселенной.
Это словарный пароль. Напишите в google и уверитесь сами.
2) Любой рандомный пароль может быть скомпрометирован и попасть в словарь, это не делает его слабым (изначально), а после конечно он будет словарный и небезопасный. Шансы на то, что другой человек придумает себе именно такой пароль и пострадает крайне малы в силу его рандомности.
«HabrRulez!@34»
Проверил. Подходит ;)
С высокоэнтропийными паролями (которые в идеале еще и регулярно менять надо) — есть одна "маленькая" проблема. Юзеры их на бумажке записывают, и бумажку эту на монитор или клавиатуру приклеивают.
А если серьезно — чем сложнее пароль, тем труднее его запомнить. И тем больше шансов, что его где-нибудь запишут.
Эффективных решений здесь вижу только два — 1) биометрия, 2) двухфакторная аутентификация.
Но нет: "должно быть не менее одной цифры, но не более 10 символов!". Што?!
Вообще, на мой взгляд, сам подход с навязыванием жёстких правил парольной политики — плохая практика.
В корпоративной среде юзеры, замученные требованиями к возрасту, повторяемости и сложности паролей, будут их записывать на бумажках и прятать под клаву (и они это делают, я гарантирую).
А в некорпоративной среде — вообще непонятно как сервисы додумываются декларативно выставлять какие-то требования — пусть рекомендуют и предупреждают красненьким, это приемлемо. А требовать и жёстко ограничивать выбор — некорректно.
Я вот люблю длинные парольные фразы без спецсимволов и цифр.
И это боль: пробелы у многих сервисов почему-то запрещены, длина в 30 символов считается перебором, ну и отсутствие цифр, конечно тоже (без цифр даже не суйся).
Поддерживаю.
В корпоративной среде юзеры, замученные требованиями к возрасту, повторяемости и сложности паролей, будут их записывать на бумажках и прятать под клаву (и они это делают, я гарантирую).
Кстати, многие системы, похоже, проверяют повторяемость не пароля, а его хеша. То есть пароли вида <константа>+<текущий месяц>
, например QW#Mar20
, QW#May20
, QW#Jun20
и QW#Jul20
по факту считаются разными и неповторяющимися, и одобряются системой.
Ну, и 64-символьные пароли подобного вида: aqMPKqCHPYs4Zomr6FVKeQ8oVDZ2Acjn37Jyiu0JvZJc2G7vzhrtvtSqyuIdc7jX
считаются многими сервисами недостаточно защищёнными: в них, видите ли, нет спецсимволов. А вот HabrRulez!@34
комментариями выше – норм...
Надо какую-то типовую библиотеку стандартизировать, чтобы степень энтропии пароля была не ниже определённого числа, но это решение слишком техническое, а не бизнесовое.
около 7 миллионов строк были с паролем «123456». По словам специалиста, этот «пароль» является самым распространенным у пользователей последние пять лет.
Мне так кажется что тут фишка в том что такие пароли применяют только на всяких мусорных сайтах уровня «Что бы скачать файл с нашего файлообменика вам нужно зарегистрироваться», а вся проблема не в том что такой пароль применяют, а в том для всякого мусора нужна регистрация для которого глупо делать сложные пароли
Астрологи объявили месяц хакера. Количество взломов WiFi увеличено на 100%. Airslax, Kali и прочее))), можно будет поиграться)
love love love
zxcvbnm
0987654321
день рождения
классика
списки из 150-ти самых слабых паролей среди пользователей, которые говорят на различных языках, например, на русском
nikita — не самое распространенное имя. Скорее ожидал увидеть misha или sasha. Впрочем Насть и Анастасий аж несколько. Украинский список более логичен и имен там больше.
tresd5 — даже в голову прийти не могло такое. Хотя набирать удобно.
102030 — как такое в голову придёт нескольким людям сразу?
master — неполиткорректно.
147258369 — тот случай, когда и сам не запомнишь, а подбирать удобно.
файлы, содержащие сборники (1 тыс., 10 тыс., 100 тыс., 1 млн и 10 млн) самых популярных паролей
замутили бы сервис для проверки паролей по этим базам, например прямо в браузере.
Не очень понятно зачем мы это читали.
Анализ 170 млн утекших паролей: интересные находки