Я не считаю себя профессионалом в области криптографии, но наблюдая за большим числом паролей, которые до сих пор выбирают люди я решил написать эту статью. Сейчас для множества различных сервисов существуют программы подбора паролей. По моим наблюдениям, российские пароли не так уж легко сломать по словарю, то есть последовательно проверяя различные распространенные пароли. Это происходит, по-моему мнению, в основном от плохого знания английского языка и просто из-за особенностей русского языка, допустим Вася латинскими буквами могут писать как: Vasya, Vasia, Baca и т. п. Учитывая все эти различные написания, словарь пришлось бы делать слишком значительного размера, поэтому чаще программы подбора пароля используют прямой перебор всех возможных комбинаций символов, то есть brute force. Возьмем среднюю длину пароля - 6 символов. Со скоростью перебора 200 000 комбинации в секунду (примерно как на сотом пентиуме) для пароля из 6 знаков время подбора можно узнать из таблички:
| Набор символов | Максимальное время |
| только цифры | 5.0 секунд |
| только строчные буквы | 25.7 минуты |
| только символы | 1.8 часа |
| строчные и заглавные буквы | 27.5 часа |
| строчные, заглавные, цифры | 3.3 дня |
| строчные, заглавные, цифры, символы | 42.5 дня |
Сейчас уже много у кого есть компьютеры с частотой процессора превышающей гигагерц, то есть например на 1.4 ГГц цифровой пароль подберется за несколько секунд. А пароли из дат рождения или чего-то в это роде не редкость... Обычные пароли, из одних букв, которые наиболее часто встречаются, тоже подобрать много времени не составит. Средний компьютер, допустим 333Гц, подберет пароль меньше чем за сутки, начиная с количества символов 3 и заканчивая 8(самые распространенные длины паролей среди обычных пользователей). Мало кто может и хочет запоминать такие пароли, вроде "h!7dbep#4vre", доверять различным программам, которые запоминают все ваши пароли, мне кажется еще хуже. О различных известных программах есть сведения о том, где лежит вся куча паролей, то есть "злоумышленнику" только облегчается задача, он сразу соберет все ваши пароли, расшифровав защиту той программы. А если пользоваться малоизвестными программами... Кто знает, вдруг все ваши пароли окажутся на анонимном мыле fanx4pass@yahoo.com?
Что же делать? Можно придумать один сложный пароль и пользоваться им везде, но это тоже сомнительный и спорный вариант. Я предлагаю вот какой способ. Сделать начало/середину/концовку всех паролей одинаковой, а вкрапливать в нее только, например, свои сокращения для каждого сервиса. Допустим сложная часть будет "!4g8$S", шесть символов. Одна эта часть будет очень долго подбираться, а для того чтобы улучшить удобность запоминания разных паролей для разных мест, то можно сделать следующее: для почты например использовать пароль "!4g8$Smail", для входа в сеть "!4g8$Slgn" и так далее. Здесь все равно есть проблема, если кто-то узнает сразу несколько ваших паролей, то он наверняка поймет логику... Поэтому для мест, где ваш пароль могут случайно подсмотреть или узнать, лучше пользоваться еще одной антибрутфорсной комбинацией, но, так сказать, публичной. Публичной же комбинацией можно пользоваться при регистраций в малоизвестных подозрительных сервисах, где вас попросят выбрать свой пароль. Так злоумышленник, если он знаком с вами, может пробовать этот пароль потом в других ваших сервисах, в надежде на то, что вы используете один и тот же пароль везде. Хоть это будет и не так :), но все равно, даже одну вашу антибрутфорсную комбинацию знать злоумышленнику незачем.
Я думаю, что этим способом намного проще запомнить все свои пароли и труднее куда-нибудь их забыть. А если и забыл, не составит труда подобрать самому пароль, пробую различные сокращения, приплюсовывая их к известной комбинации.
Ну вот, надеюсь любители паролей "123", "qwerty" и т. п. не замедлят сменить их,потому что даже если злоумышленник будет подбирать их не вручную, это займет очень мало времени... А уж подбор по словарю будет совершенно безопасен для паролей с антибрутфорсной комбинацией :).
А напоследок несколько советов и пожеланий:
В
сервисах, где вам сами генерируют пароль, но
потом есть возможность его изменить,
меняйте пароль.
Не
используйте в паролях имена, слова, даты,
связанные с вашей жизнью, которые могут
слышать окружающие вас люди. Если вы
никогда не слышали про социальную инженерию,
не думайте, что ее не существует.
Не
записывайте своих паролей на клочках
бумажек и прочих местах, которые потом
смогут увидеть не те люди.
Если
вам необходимо набрать свой пароль, а кто-то
стоит рядом и может заметить его, не
стесняясь попросите этого человека отойти
на должное расстояния и отвернуться.
При
возможной утечки пароля, не медля сменить
его везде на новый
Мои пароли(а я, естественно, пользуюсь этой своей методикой :)) еще ни разу не были узнаны или подобраны, чего и вам желаю.