Як вигадати надійний пароль?
Необхідність захисту в мережі персональних або комерційних даних вимагає від користувачів використовувати для своїх облікових записів надійні паролі. Однак для їх створення необхідно володіти деяким обсягом спеціальних знань або керуватися однією з численних інструкцій для користувачів, які створюються, наприклад, фінансовими установами відповідно до існуючої політики безпеки. Наведемо тут деякі рекомендації щодо складання надійного пароля для досвідчених та пересічних користувачів мережі.
Потрібен надійний пароль? Скористайтеся нашим генератором паролів, який автоматично генерує безпечні паролі, які відповідають усім сучасним вимогам безпеки.
Що таке надійний пароль
В ідеалі, надійний пароль є прихованим кодом для ідентифікації користувача, який неможливо зламати або вгадати. Однак, як показують теорія та практика, будь-який пароль може бути зламаний – це лише справа часу. Тому тут доречно говорити лише про умовну надійність пароля, яка дозволить веб-системі «протриматися» певний обмежений проміжок часу, не будучи при цьому зламаною. Величина цього часового відрізка безпосередньо залежить від складності використовуваного коду - чим він складніший, тим надійніший.
Таким чином, поняття «складність» та «надійність» пароля перебувають у діалектичній взаємозалежності.
В інформаційній галузі складність пароля найчастіше оцінюється за допомогою величини інформаційної ентропії символів, що вимірюється у бітах. Чим вона вища, тим вищий рівень складності. Причому загальна інформаційна ентропія є сумою алгебри ентропій, що входять у слово символів.
Загальна формула для обчислення складності випадкового пароля має такий вигляд:
H = log2 NL = Llog2 N
Де H - складність пароля (ентропія), що вимірюється в бітах; N – кількість символів, яка може бути використана для формування секретної комбінації, тобто набір допустимих символів; L – кількість символів у слові.
З наведеної формули, зокрема, випливає, що чим більший діапазон символів використовується для формування пароля, тим складніше. Наприклад, для слова, що складається з одного символу (L=1) при використанні лише малих літер латинського алфавіту (N=26), складність буде такою:
H = log2 261 = 4 біт
У разі використання малих і великих букв латинського алфавіту (N=52), складність буде вже більшою:
H = log2 521 = 5,7 біт
Для використання всіх друкованих ASCII символів (N=95) отримуємо таке значення складності коду:
H = log2 951 = 6,6 біт
В результаті ми отримали найбільше значення ентропії для одного символу, яке в 1,65 (6,6/4) рази більше в порівнянні з варіантом, коли для формування коду використовуються лише малі літери латинського алфавіту.
Нами було розраховано ентропії для коду, що складається лише з символу. Якщо таких символів буде 10, то значення складності коду, а, значить, і його надійності збільшиться в десять разів. Якщо їх буде 20, то складність зросте в стільки ж разів, згідно з наведеною вище формулою.
Чому паролі можуть бути ненадійними
Основна причина низького ступеня надійності секретного коду – це відхід від наведених вище принципів формування. І чим він більший, тим менш надійним буде пароль для входу на сервер, адміністративну панель сайту та інші ресурси. Це викликано тим, що користувачі, які мають спеціальної підготовки, неспроможна сформувати секретний код, має достатній рівень складності чи ентропії.
Як доказ нашого твердження наведемо результати дослідження, проведеного Google кілька років тому. Згідно з цими даними, найчастіше при формуванні секретного коду користувачами використовується наступна інформація:
- Дати історичних чи сімейних подій;
- Місце народження своє та близьких родичів;
- Імена рідних та близьких;
- Слово "password";
- Прізвиська домашніх вихованців;
- Події зі спортивного життя щодо улюбленого виду спорту.
Паролі, сформовані на підставі зазначених відомостей, за визначенням не можуть бути надійними. Це випливає із самих принципів їх формування, коли одні з них складаються лише з цифр (у разі вказівки дат), інші з набору взаємопов'язаних символів (ім'я, прізвисько тощо). За таких комбінацій символів складність чи ентропія кодового слова буде мінімальною, як ми встигли переконатися з розгляду відповідної формули. Адже чим вужчий діапазон символів, що використовуються, тим менша складність коду.
Особливо яскраво це проявляється у разі використання персональних імен як кодове слово. Для їхнього найшвидшого виявлення та злому зловмисники широко використовують списки найбільш уживаних слів та паролів, що формуються відповідними сервісами. Само собою, там вже присутні імена, прізвиська та назви різноманітних заходів та свят. Такі кодові слова мають найнижчий рівень складності, отже, надійності. Час їхнього злому становить соті частки секунди.
Поради для створення надійного пароля
Американський Інститут стандартів і технологій дослідив питання формування секретного коду заданого рівня складності та дійшов висновку, що найбільш оптимальним буде код, що має значення ентропії у вісімдесят біт (H=80). Для досягнення зазначеного рівня складності необхідно використовувати символи з діапазону ASCII. При цьому їх кількість може бути від 12 до 14. Це легко перевірити під час встановлення значень (L=12, N=95) у наведену нами вище формулу розрахунку ентропії.
Таким чином, цілком реально вигадати надійний пароль, що складається з букв цифр та інших символів.
Підіб'ємо підсумки та сформуємо остаточні рекомендації, як створити надійний пароль для облікового запису достатнього рівня складності:
- Мінімальна довжина коду – від 12 до 14 символів;
- Задіяти всі символи з діапазону ASCII, включаючи спеціальні;
- Використовувати малі та великі літери;
- Не використовувати літерні чи числові послідовності символів;
- Не використовувати свої біографічні дані та родичів;
- Для кожного веб-ресурсу має бути свій секретний код.
При виконанні зазначених рекомендацій можна отримувати досить надійні секретні коди навіть без використання випадкових генераторів чисел. Однак, у разі наявності доступу до нього, можна скористатися і цим засобом.
