За последние десять с лишним лет правила и рекомендации по выбору паролей изменились не так уж сильно. Обычно они ограничиваются выбором уникальных, надежных, длинных и сложных паролей.
Хотя соблюдать эти правила относительно просто, особенно если использовать менеджер паролей, многие пользователи Интернета по-прежнему не следуют им. Они используют пароли многократно или выбирают слабые пароли, которые можно взломать за считанные секунды.
Полный перебор паролей (брутфорс) и перебор по словарю: две распространенные атаки на пароли. В переборе по словарю используются списки паролей, часто встречающиеся в утечках, так как это быстрый метод, позволяющий взломать определенный процент паролей. Брутфорс — это попытка подобрать к паролю любую комбинацию из набора символов, например все цифры, заглавные и строчные буквы.
Таблица взлома паролей 2024
Исследователи из Hive Systems обновили диаграмму взлома паролей, чтобы отразить прогресс в вычислительной мощности и безопасности.
Она показывает, сколько времени потребуется системе с двенадцатью видеокартами RTX 4090 для взлома пароля. Данные приведены для случаев:
- Numbers Only – только цифры
- Lowercase Letters – строчные буквы
- Upper and Lowercase Letters – заглавные и строчные буквы
- Numbers, Upper and Lowercase Letters – цифры, заглавные и строчные буквы
- Numbers, Upper and Lowercase Letters Symbols – цифры, заглавные и строчные буквы, спецсимволы
Пароль из 8 символов, состоящий только из цифр, взламывается установкой за 37 секунд. Если изменить его на строчные буквы, то время увеличится до 22 часов. В худшем случае на взлом пароля у машины уйдет 7 лет.
Чтобы узнать, насколько надежным является пароль, подсчитайте количество символов. Получив количество символов, найдите соответствующую строку. Теперь проанализируйте состав символов. Есть ли в нем только цифры или строчные буквы? Или комбинация? Проверьте столбец и получите значение. Это время, которое потребуется машине Hive System для взлома пароля.
Примечание: более мощные системы значительно сокращают время перебора паролей. Даже если на этом графике время выглядит нормально, оно будет значительно меньше в случае более мощных устройств.
Рекомендации по выбору пароля в 2024
- Всегда включайте в пароль цифры, заглавные и строчные буквы и символы, при условии поддержки сервисом или приложением.
- Выбирайте 16 и более символов, опять же при условии, что сервис или приложение поддерживают это число.
- Всегда используйте уникальные пароли.
Поскольку большинство пользователей не в состоянии запомнить множество уникальных 16-символьных паролей, рекомендуется использовать менеджер паролей.
Вы можете попробовать Bitwarden, он имеет открытый исходный код и бесплатную версию. Платная версия предлагает дополнительные функции и стоит всего 10 долларов в год.
Некоторые атаки могут раскрыть пароли без необходимости их перебора или взлома. Это касается в том числе фишинг-атак, когда жертву пытаются заманить на поддельный сайт или приложение с целью кражи учетных данных.
Двухфакторная аутентификация добавляет второй этап проверки подлинности. Все, что вам нужно: это приложение-аутентификатор и несколько минут, чтобы настроить эту функцию безопасности для важных учетных записей. При следующем входе в систему вы по-прежнему указываете имя пользователя и пароль на первом этапе, а затем код, сгенерированный приложением.
Вы можете выбрать использование приложения-аутентификатора, например Google Authenticator или Microsoft Authenticator. Есть также альтернативы с открытым исходным кодом, такие как Aegis Authenticator для Android, или 2FAS Authenticator для Android / 2FAS Authenticator для iPhone или Ente Auth (Android, iOS).
Если злоумышленники украдут имя пользователя и пароль, используя брутфорс-атаку или другие техники, доступ все равно будет предотвращен благодаря второму уровню безопасности.
А вы используете менеджер паролей и двухфакторную аутентификацию? Как быстро взламываются ваши пароли согласно таблице?
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах