نحوه ساختن رمز ورود پیچیده چگونه می توان یک رمز عبور قوی ارائه کرد که به راحتی به خاطر سپرده شود. حلقه گذرواژه ها با استفاده از فرهنگ لغت

امروز ، هر کاربر مجبور است با بسیاری از خدمات در. برای نمایه خود در شبکه های اجتماعی ، سایت های سرگرمی و حرفه ای ، صندوق ورودی ایمیل خود ، برای دسترسی به حساب بانکی خود ، باید شخصی را پیدا کنید که هک کردن آن حتی برای یک هکر باتجربه دشوار باشد ، زیرا شخصی اغلب با ضررهای مادی همراه است.

کدام رمز عبور ضعیف در نظر گرفته می شود؟

هنگام ثبت نام برای مورد بعدی ، باید چندین معیار را به خاطر بسپارید که باید در نظر گرفته شوند. رمزهای عبور برای سرویس های مختلف باید متفاوت باشد!

نمی توانید با رمزهای عبور ساده وارد شوید. نمونه هایی از این قبیل گذرواژه ها عبارتند از: 123 ، 12345 ، 321 ، 654321 ، 123456789 ، qwerty ، گذرواژه ، (تاریخ تولد شما) ، (نام / نام خانوادگی / نام خانوادگی) ، (نام گربه مورد علاقه شما) و مواردی از این دست.

رمز عبور نباید کوتاه باشد. توصیه می شود حداقل یک رمز عبور با 8-10 کاراکتر داشته باشید.

دو راه بسیار آسان برای دستیابی به یک رمز عبور قوی

راه اول حروف (بزرگ و کوچک) ، اعداد و نویسه های خاص (به عنوان مثال ، & ،٪ ،) ،\u003e و غیره را به هر ترتیب در یک ویرایشگر متن وارد کنید.

راه دوم یک کلمه روسی را به یاد بیاورید و آن را در طرح انگلیسی بنویسید (به عنوان مثال ، گردن بلند - lkbyyjittt) ، سپس برخی حروف را با حروف بزرگ جایگزین کنید ، و چند عدد و نویسه خاص بین آنها وارد کنید. شما باید چیزی مانند - [ایمیل محافظت شده]+ ttT

مشاوره مفید: به خاطر سپردن چنین رمز عبوری دشوار است ، بنابراین آن را روی یک کاغذ بنویسید و آن را در مکانی امن پنهان کنید. لیست گذرواژه ها را فقط در رایانه یا تلفن هوشمند ذخیره نکنید ، زیرا در صورت خراب شدن اسبابک ها ، دسترسی به خدمات از دست خواهید داد.

کلمه عبور- تنها چیزی که واقعاً از همه اطلاعات مهم ما در برابر هک محافظت می کند. روش های زیادی برای هک کردن حساب های کاربری و دستیابی به اطلاعات محرمانه ، شخصی ، تجاری و مالی وجود دارد. این امر به ویژه در مورد صاحبان مشاغل که نگران امنیت داده های خود هستند ، صادق است. اغلب کافی است که مجرمان اینترنتی به ایمیل یک کارمند نفوذ کنند تا به اطلاعات مهم تجاری کل شرکت دسترسی پیدا کنند. به همین دلیل است که آموزش کارمندان در مورد امنیت آنلاین ، به ویژه توضیح اینکه رمزهای عبور چیست و چگونه یک رمز عبور درست درست کنیم ، بسیار مهم است. و این برای تک تک کاربران که از اینترنت برای برقراری ارتباط و انجام معاملات پرداخت با معرفی مشخصات کارت بانکی خود استفاده می کنند ، از اهمیت کمتری برخوردار نیست.

چگونه می توانم رمزعبور ایجاد کنم و چرا گذرواژه های سبک بی تأثیر هستند؟

اکثر کاربران تعجب نمی کنند که چگونه می توانند با رمز عبور وارد شوند. اگر رمز ورود آسان دارید ، مطمئن باشید که دیر یا زود هک خواهید شد. رمز عبور سبک چیست و چرا اینقدر مستعد ترک خوردگی است؟ به طور معمول ، این ترکیبی از یک کلمه و یک عدد است. بیشتر اوقات ، کاربران نام خانوادگی و تاریخ تولد خود را به عنوان رمز عبور انتخاب می کنند. به عنوان مثال ، Ivanov1976. اگر آنها قصد دارند شما را هک کنند ، به احتمال زیاد ابتدا این ترکیب وارد می شود. هر واژه نامه دیکشنری نیز بی تأثیر است ، زیرا جستجوی رمزهای عبور با استفاده از فرهنگ لغت یکی دیگر از روش های حمله رایج است. در عرض چند ساعت رمز عبور شکسته می شود.

چه رمز عبوری باید پیدا کنم؟ اول ، طولانی است. اگر رمز ورود شما کمتر از هشت حرف (لاتین و اعداد) داشته باشد ، به این معنی است که تعداد ترکیبات احتمالی آنها 78 364 164 096 است و با استفاده از روش brute-force (با استفاده از یک برنامه خاص) چنین رمز عبوری حداکثر در 9 روز شکسته می شود (اگر سرعت جستجو 100000 رمز عبور در هر ثانیه). یک نماد دیگر اضافه کنید و یک مهاجم 11 ماه طول خواهد کشید. بنابراین ، رمزهای عبور قوی حاوی بیش از 8 کاراکتر است که حروف بزرگ و کوچک ، اعداد و شخصیت های خاص را با هم ترکیب می کند.

امروزه ، تقریباً همه از ضرورت داشتن رمزهای عبور پیچیده برای هر حساب خود آگاه هستند ، اما اکثر آنها همچنان از اصول اساسی امنیت در اینترنت غافل می شوند. اگر گارد خود را گم کنید و داده های خود را در سایت های فیشینگ وارد کنید (به عبارت دیگر سایت های جعلی) ، پسوردهای خود را در مرورگر ذخیره کنید (توسط Trojan سرقت شود) یا بارگیری برنامه هایی با منشاious مشکوک ، حتی پیچیده ترین رمز عبور را نیز می توان سرقت کرد. سرقت تمام داده های وارد شده توسط کاربر). به زبان ساده ، هرکسی می تواند قربانی کلاهبرداری اینترنتی شود. با این حال ، دانش به معنای مسلح است. اگر دقیق و دقیق هستید ، و همچنین می دانید که چگونه یک رمز عبور قوی ارائه دهید ، می توانید از خود در برابر مزاحمان محافظت کنید.

چگونه می توانم یک رمز عبور قوی ایجاد کنم؟

بنابراین ، ما قبلاً فهمیدیم که گذرواژه های پیچیده بیش از 8 کاراکتر دارند. اینها باید حروف بزرگ و کوچک (یعنی کوچک و بزرگ) ، اعداد و نویسه های خاص باشند.

برای پاسخ به س theال نحوه ایجاد رمز عبور ، ساده ترین راه پیشنهاد استفاده از ژنراتور آنلاین است که در وب سایت ما پیدا خواهید کرد. او انواع مختلفی از ترکیب حروف ، اعداد و نمادهای لاتین را برای شما ایجاد خواهد کرد. این برنامه به ترتیب کاملاً تصادفی رمزهای عبور تولید می کند و می توانید از بی نظیر بودن رمز ورود خود مطمئن باشید. اما اگر می خواهید آن را منحصر به فرد کنید ، می توانید هر کدام از نمادها را با آنچه دوست دارید جایگزین کنید. البته به خاطر سپردن چنین ترکیباتی کاملاً دشوار است و اغلب تنها گزینه نوشتن چنین رمز عبوری در دفترچه یادداشت است که فقط در دسترس شما خواهد بود.

رمزهای عبور قوی و پیچیده: ایجاد

با این حال ، می توانید یک رمز عبور پیچیده ارائه دهید که به راحتی بخاطر داشته باشید. چندین سناریو استاندارد برای این کار وجود دارد.

1. دو کلمه در روسی انتخاب کنید - بگذارید یک اسم و فعل باشد. برای مثال، " پرده"و" بدوز»، به این سال تولد نویسنده ، هنرمند ، موسیقی دان مورد علاقه خود را اضافه کنید. بگذارید باشد 1924 ... هر کاراکتر دیگر اضافه کنید - به عنوان مثال ،٪. حالا بیایید همه را با هم بنویسیم " پرده 19٪ گلدوزی 24"(به هر ترتیب). و در آخر ، آن را به زبان لاتین یادداشت می کنیم. معلوم خواهد شد Uahlbyf19٪ Dsibdfnm24... این برای یک مهاجم برای همیشه لازم است که چنین رمز عبوری را مجبور کند.
2. راه دوم برای ایجاد رمز عبور پیچیده است یک خط از یک شعر یا پیچاندن زبان بگیرید... از هر کلمه دو حرف بگیرید و آن را به زبان لاتین یادداشت کنید و برای هر حرف اول از حروف بزرگ استفاده کنید. این رمز عبور پیچیده دیگری است.
3. هر کلمه ترکیبی را انتخاب کنید که بندرت در گفتار استفاده شود. هرچه حرف بیشتر باشد بهتر است. آن را با حروف لاتین یادداشت کنید ، یک تاریخ قابل توجه اضافه کنید (اگر این کلمه به نوعی با این تاریخ مرتبط شود بهتر به یاد می آورید) ، و کلمه را با این تاریخ به دو قسمت تقسیم کنید.

چنین سناریوهایی می تواند بی نهایت باشد و شاید با کمی فکر بتوانید به سناریوهای خود برسید. اگر هنوز نمی دانید چه رمز عبوری فکر می کنید ، از رمز عبور ما استفاده کنید. نکته اصلی - فراموش نکنید که نمی توانید گذرواژه های خود را به کسی بگویید ، آنها را در مرورگر ، در نوت بوک های رایانه خود ذخیره نکنید.

گذرواژه ها همه جا هستند: در شبکه های اجتماعی ، سیستم های پرداخت ، در رایانه و تلفن شما. غیر واقعی است که اطلاعات زیادی را در ذهن خود نگه دارید ، بنابراین بسیاری از کاربران مسیر کمترین مقاومت را دنبال می کنند - آنها یک کلید پیدا می کنند که به راحتی به خاطر سپرده می شود و سپس آن را در همه سایتهایی که ثبت نام کرده اند وارد می کنند.

این رویکرد امنیتی می تواند به فاجعه ختم شود. اگر کد دسترسی برای VKontakte یا Odnoklassniki بدون عواقب جدی مالی گم شود ، بنابراین لازم نیست مشکل ایجاد کنید ، برای ثبت نام در سیستم پرداخت یا ایجاد شناسه اپل باید رمز عبوری ایجاد کنید تا به غیر از مالک هیچ کس به داده ها دسترسی پیدا نکند.

قوانین رمز عبور

تقریباً همه سایتها لیستی از نیازهای رمز عبور هنگام ثبت نام دارند. با این حال ، این الزامات معمولاً کم است: حداقل 8 حرف نمی تواند فقط از اعداد یا حروف و غیره تشکیل شود. چند محدودیت دیگر نیز وجود دارد که باید ایجاد کنید تا یک رمز عبور واقعاً قوی ایجاد کنید.

• ورود و رمز ورود نباید یکسان باشد.
• استفاده از هرگونه اطلاعات شخصی توصیه نمی شود ، خصوصاً اگر می توانید از شبکه های اجتماعی یا منابع دیگر بدست آورید.
• استفاده از کلمات توصیه نمی شود.

برای درک منطق این ممنوعیت ها ، کافی است که به نحوه شکستن رمزهای عبور نگاهی بیندازید. به عنوان مثال ، یک کلید 5 رقمی فقط 100000 ترکیب است. یک برنامه هک کردن ، اگر نه کمتر ، با صرف مرور همه گزینه ها ، در 2 دقیقه ترکیب مناسبی پیدا می کند. یک کلمه نادر برای کد دسترسی کار نمی کند. یک مهاجم می تواند فرهنگ لغت های مختلف را به زبان های مختلف تجزیه و تحلیل کرده و مطابقت پیدا کند. تنها سوال این است که چه مدت طول خواهد کشید - چند دقیقه یا چند ساعت.

برنامه پیشرفته بازیابی رمز عبور PDF برای شکستن رمزهای عبور نصب شده در اسناد PDF. از نیروی بی رحمانه استفاده می کند ، به شما امکان می دهد با علامت گذاری علامت های استفاده شده در رمز عبور ، انتخاب را تنظیم کنید.

ترکیبی از یک کلمه و اعداد نادر نیز کار نخواهد کرد. فناوری Bruteforce به شما امکان می دهد ترکیبی از اعداد و کلمات را جستجو کنید ، بنابراین در صورت لزوم ، چنین کلیدی افتاده است. البته کمی بیشتر از 123456789 دوام خواهد آورد ، اما اگر به دلیل هک ضرر کنید ، این اختلاف زمان به سختی قابل توجه به نظر می رسد. برای درک اینکه کدامیک از رمزهای عبور قوی است و کدامیک از آنها بسیار قوی نیست ، بیایید به نمونه های خاص نگاه کنیم زمان تخمینی شکستن با استفاده از خدمات تأیید رمز عبور محاسبه می شود ، که در زیر توضیح داده شده است.

• تاریخ تولد (05041992) - در 3 میلی ثانیه شکسته خواهد شد.
• نامی با یک حرف کوچک یا بزرگ (Segey، sergey) - 300-500 میلی ثانیه طول می کشد ، یعنی کمتر از نیم ثانیه.
• ترکیبی از اعداد و حروف کوچک (1k2k3d4a9v) - تقریباً 1 روز.
• شکستن رمز عبوری مانند HDA5-MHJDa حدود 6 سال طول خواهد کشید.
• ترکیبی از AhRn و Mkbl363NYp در 16 میلیون سال رمزگشایی می شود.

یک کرک برای 16 میلیون سال یا حتی 6 سال کار نمی کند - این مقدار فقط نشان می دهد که شکستن رمز عبور در یک بازه زمانی قابل قبول غیرممکن است.

ایجاد گذرواژه

دانستن قوانین یک چیز است ، پیروی از آنها چیز دیگری است. اکثر کاربران می دانند که شما نمی توانید از کد دسترسی متشکل از تاریخ تولد یا نامی برای ثبت نام استفاده کنید ، اما تعداد کمی از افراد با این کار متوقف می شوند. دو مشکل وجود دارد:

• دشوار است که یک رمز عبور پیچیده ارائه دهید.
• حتی اگر رمز عبوری ایجاد کنید که شامل مجموعه ای تصادفی از نویسه ها باشد ، به خاطر سپردن آن دشوار است (که بعضاً غیرممکن است).

یک تولید کننده رمز عبور آنلاین با اولین مشکل به شما کمک می کند. در اینترنت ، می توانید تعداد زیادی از خدمات را پیدا کنید که به سرعت می توانید یک رمز عبور پیچیده از حروف ، اعداد ، نویسه های خاص ایجاد کنید.

ژنراتورهای آنلاین مطابق با همان اصل کار می کنند: شما مشخص می کنید از کدام کاراکترها استفاده کنید ، تعداد کاراکتر مورد نیاز را انتخاب کرده و "ایجاد" را کلیک کنید. خدمات فقط در لحظات خصوصی متفاوت هستند.

به عنوان مثال ، در Pasw.ru می توانید همزمان چندین ده رمز عبور (حداکثر 99 ترکیب) ایجاد کنید. PassGen به شما امکان می دهد گزینه ای را انتخاب کنید که نویسه های تکراری را به طور خودکار از کلید امنیتی حذف کنید ، یعنی همه کاراکترهای موجود در آن منفرد خواهند بود.

نگه داشتن کلیدها

اگر می توانید به صورت آنلاین رمز عبور ایجاد کنید ، پس باید کلیدها را در رایانه خود ذخیره کنید. نوشتن رمز عبور بر روی یک قطعه کاغذ ، در یک سند جداگانه بر روی کامپیوتر ، بر روی برچسب چسبیده به صفحه ، راهی برای دسترسی غیرمجاز به داده ها است. بنابراین در اینجا مشکل دوم پیش می آید: نحوه به خاطر سپردن کلید تولید شده.

شما نباید به حافظه اعتماد کنید ، اما می توانید به یک مدیر رمز عبور اعتماد کنید. بسیاری از کاربران KeePass را انتخاب می کنند. این برنامه رایگان است و در ویندوز 7 ، ویندوز 10 و سایر نسخه های مدرن سیستم عامل از مایکروسافت کار می کند. بعلاوه ، KeePass دارای یک مولد رمز عبور داخلی است ، بنابراین لازم نیست هر بار به دنبال خدمات آنلاین باشید.

تنها عیب مدیر رمز عبور این است که به کد دسترسی نیز احتیاج دارد که به آن رمز عبور اصلی می گویند. اما به خاطر سپردن یک رمزعبور اصلی بسیار آسان تر از به خاطر سپردن چندین ده ترکیب پیچیده است. علاوه بر این ، هنگام ایجاد آن ، می توانید از یک ترفند استفاده کنید - شعرها ، شمارنده ها یا هر خط به یاد ماندنی دیگری را مبنا قرار دهید و آنها را به ترکیبی از حروف ، اعداد و علائم تبدیل کنید.

به عنوان مثال ، می توانید یک رباعی بردارید ، اولین حروف و علائم نگارشی را انتخاب کنید و سپس آنها را در طرح لاتین بنویسید. برخی از حروف را می توان با اعداد جایگزین کرد - "z" تا "3" ، "o" تا "0" ، "h" تا "4". در نتیجه چنین دستکاری چهار سطر از یک شعر کودکانه ، که هرگز از ذهن من خارج نخواهد شد ، ما رمز U0d؟ D3ep.Gzc3hek را دریافت می کنیم ، که شکستن آن 3 تریلیون سال طول می کشد.

بررسی پیچیدگی

در بسیاری از سایت ها ، هنگام ثبت نام ، به کاربر نشان داده می شود که آیا رمز عبور خوبی دارد یا خیر. برای اطمینان از پیچیده بودن کد تولید شده ، و شما قادر به شکستن سریع آن نیستید ، آیا می توانید خودتان از این سرویس استفاده کنید؟ در قسمت "Enter Password" ، رمز ورود ایجاد شده را جایگذاری کنید. در پاسخ ، زمان تقریبی را که صرف کرک کردن کلید در یک رایانه معمولی می شود ، دریافت خواهید کرد. اگر قدمت آن چندین میلیون یا حتی هزاران سال باشد ، کد بدون ابهام قابل اعتماد است.

برای بررسی قابلیت اطمینان می توانید از سرویس های دیگری استفاده کنید: به عنوان مثال ، از آزمایشگاه کسپرسکی. این همچنین زمان لازم برای شکستن رمز عبور را نشان می دهد ، در همان زمان اطلاع می دهد که چه کاری می تواند در مدت زمان مشخص انجام شود.

روش جالب دیگر برای بررسی سرویس Password Strength در وب سایت 2ip.ru است. در اینجا نتیجه طبقه بندی می شود: کلید قابل اعتماد است یا خیر.

شما باید بدانید که زمان کرک نشان داده شده توسط این سرویس ها بسیار دلخواه و محاسبه شده در صورت استفاده از ترقه از رایانه معمولی است. یک ابر رایانه با عملکرد خارق العاده سریعتر کار خواهد کرد ، همانطور که ماشین های ترک رمز عبور اختصاصی نیز قادر به آزمایش 90 میلیارد کلید در ثانیه هستند. اما بعید است افرادی که چنین تجهیزاتی دارند برای ایمیل ، اسکایپ یا Wi-Fi به رمز ورود شما احتیاج داشته باشند.

همه می دانند که بهترین رمز عبور به این شکل است: vAeJZ! Q3p $ Kdkz / CRHzj0v7. با این حال ، به یاد داشتن آن برای یک فرد عادی تقریباً غیرممکن است. سایت چند نکته برای کمک به شما در انتخاب رمز عبور قوی و دیوانه نشدن انتخاب کرده است.

قوانین اساسی

رمز ورود باید حداقل هشت حرف داشته باشد (یا بهتر - از 12 تا 20).

رمز ورود باید یکجا حاوی همه چیز باشد: حروف ، اعداد و نویسه های خاص.

برای همه سرویس ها نمی توانید از یک رمز عبور استفاده کنید.

رمزهای عبور را روی کاغذ ننویسید.

اگر نگه داشتن همه چیز در ذهن دشوار است ، از یک مدیر رمز عبور استفاده کنید (اما باید رمز عبور آن را بخاطر بسپارید).

رمزعبور روشن از abracadabra بهتر است

قانون اصلی هنگام انتخاب رمز عبور استفاده نکردن از کلمات کامل است. هنگام حدس زدن کلیدها ، ابتدا هکرها با استفاده از برنامه های ویژه ، محتوای فرهنگ لغت را مرتب می کنند. بنابراین ، رمز ورود "من فوتبال را دوست دارم" چند ثانیه طول می کشد ، تاریخ تولد شما بعد سقوط می کند ، k0rovA نیز مشکلی ایجاد نمی کند.

متخصص امنیت ، بروس شنیر ، روش جالبی را برای انتخاب ترکیبی از نمادها پیشنهاد کرد: به یک جمله طولانی فکر کنید و آن را به یک مخفف فشار دهید.

"اگر می خواهید حدس زدن رمز عبور خود دشوار باشد ، یکی را انتخاب کنید که قبل از آن هکرها منصرف شوند - او می نویسد. - توصیه من: جمله ای بیاورید و آن را به رمز عبور تبدیل کنید. چیزی مانند "این قلک کوچک به بازار رفت - tlpWENT2m". این نه حرف در هیچ فرهنگ لغتی وجود نخواهد داشت. البته ، شما نباید از این رمز عبور استفاده کنید ، من قبلا در مورد آن نوشتم. "

در اینجا چند مثال دیگر از یک محقق آورده شده است - تقریباً در مورد هر عبارتی که می توانید به هر زبانی حفظ کنید - یک آهنگ ، یک شعر ، یک نقل قول از یک فیلم یا یک مزاحم کودکان.

مدتها پیش در کهکشان نه چندان دور - [ایمیل محافظت شده]~ Faaa!

تا همین لحظه ، این رمزهای عبور هنوز امن بودند - uTVM، TPw55: utvm، tpwstillsecure

وقتی هفت ساله بودم ، خواهرم یک خرگوش آورد - Kmb7letmsestrapk ...

آه ، آن کاناپه متعفن است؟ - Oi ، etdich ، vo؟

رمز عبور تاس

یکی از ایمن ترین راه ها برای دریافت رمز عبور خوب ، تکنیک Diceware ("تاس") است. برای انجام این کار ، شما نیاز به یک لیست کلمه خاص (به روسی یا انگلیسی) و تاس دارید (موارد مجازی نیز مناسب هستند).

لیست کلمات Diceware شامل 7776 کلمه است و چیزی شبیه به این دارد:

51515 plebs

51516 هایمن

51522 قبیله

چلپ چلوپ 51524

شلاق 51525

برای دریافت رمز عبور ، به 25 یا 30 رول تاس نیاز دارید ، همه نتایج باید در گروه های پنج عددی نوشته شود. به عنوان مثال ، مانند این: 61253 ، 54611 ، 32513 ، 21341 ، 64325. هر گروه از اعداد تعداد یکی از کلمات موجود در لیست است.

در نتیجه ، ترکیبی مانند "تشک سبیل آناتومیست سبزه پلو" دریافت خواهید کرد - این رمز عبور جدید شما خواهد بود. موافقم ، به خاطر سپردن آن بسیار راحت تر از vAeJZ خواهد بود! Q3p $ Kdkz / CRHzj0v7.

سطح حفاظت چنین رمز عبوری بسیار بالاتر از ترکیبی کوتاه از نویسه ها است. رایانه ای که در مدت 6 ساعت رمز 8 حرفی را ترک کند ، با رمز 5 کلمه ای Diceware به زبان انگلیسی حدود 7300 ساعت یا 10 ماه کار خواهد کرد.

یکی از مهمترین نگرانیهای امنیتی در سازمان ، رمزهای عبور برای حسابهای کاربری مهم است. حتی اگر تنظیمات امنیتی Group Policy ، از جمله تنظیمات فایروال با Advanced Security را به دقت برنامه ریزی و پیکربندی کنید ، نرم افزار آنتی ویروس را پیاده کنید و سیستم و نرم افزار آنتی ویروس خود را به روز نگه دارید ، سیاست های IPSec را پیکربندی کنید ، سرورهای NAP را مستقر کنید و کاربران شما به اندازه کافی رمزهای عبور قوی ندارند ، ممکن است امنیت کل شرکت شما در معرض خطر باشد

البته ، شما می توانید و حتی باید از Group Policy برای محدود کردن تولید گذرواژه های پیچیده ، تعیین فاصله زمانی برای مسدود کردن حساب در صورت عدم ورود رمز ورود به اشتباه و پیکربندی سیاست های حسابرسی برای تجزیه و تحلیل تلاشهای ناموفق برای ورود به سیستم ، استفاده کنید. اما حتی کلمه عبورهایی که سیستم عامل پیچیده در نظر خواهد گرفت (یعنی طول رمز عبور از تعداد مشخصی کاراکتر فراتر خواهد رفت ، رمز عبور شامل حروف بزرگ و کوچک و همچنین اعداد خواهد بود) در واقع برای متجاوزانی که آنها را شکست خواهند داد آسیب پذیر و آسان هستند ... این مرحله از تأمین امنیت شرکت شما است که ممکن است برای شما دشوارترین باشد ، زیرا در اینجا مشارکت شما فقط نقش متوسطی دارد و هرگونه سهل انگاری از طرف کاربران شما می تواند به طور مهمی بر زیرساختهای کل شرکت تأثیر بگذارد. به عبارت دیگر ، در این حالت ، شما باید سعی کنید کاربران خود را مجبور به ایجاد رمزهای عبور امن کنید ، آنها را بخاطر بسپارید ، این گذرواژه ها را به صورت دوره ای تغییر دهید و همچنین این رمزهای عبور را نزد خود نگه دارید ، که در حقیقت ، دشوارتر از برنامه ریزی زیرساخت های سازمان و همچنین سرور را با نقش های مناسب سرور مستقر و نگهداری کنید.

در این مقاله کمی درباره دلایل ایجاد گذرواژه و همچنین دقیقاً نحوه ایجاد گذرواژه برای حسابهایتان صحبت خواهم کرد. بیایید همه چیز را به ترتیب در نظر بگیریم.

تکنیک های شکستن رمز عبور

یکی از متداول ترین روش های حمله به هر زیرساخت ، شکستن رمزهای عبور کاربر است که برای دسترسی به شبکه داخلی سازمان احراز هویت می شوند. بر این اساس ، اگر مهاجمی به حساب کاربری خود دسترسی پیدا کند ، می تواند به هرگونه اسناد داخلی شرکت و سایر اطلاعات محافظت شده دسترسی پیدا کند. علاوه بر حساب های کاربری برای دسترسی به شبکه داخلی سازمان ، مجرمان سایبری نیز اغلب سعی می کنند حساب های ایمیل ، شبکه های اجتماعی ، وبلاگ ها و موارد دیگر را هک کنند. بنابراین ، باید به کاربران آموزش داده شود که نمی توانند از کلمه عبور یکسان برای همه حساب های خود استفاده کنند ، چه رسد به یک رمز عبور ساده.

در اصل ، روش های زیادی برای شکستن رمزهای عبور وجود دارد ، اما در این مقاله به طور خلاصه فقط روش های اساسی که در زمان ما رایج است ، بحث می شود. این روش ها شامل حدس منطقی ، شمارش فرهنگ لغت ، نیروی بی رحم (یا نیروی بی رحم) و همچنین جدی ترین روش - استفاده از عامل انسانی است.

حدس منطقی

این روش ساده ترین است و معمولاً با حدس منطقی رمز عبور شروع می شود. به عنوان مثال ، یک مهاجم ممکن است با دانستن نام ، نام خانوادگی و مثلاً سال تولد کاربر ، سعی کند رمز ورود کاربران شما را حدس بزند. به عنوان مثال ، اگر یک کاربر گذرواژه ای از نوع "نام خانوادگی + سال تولد" یا ورود به سیستم معین با ترتیب معکوس ایجاد کند ، لازم نیست زیاد نگران باشید ، پس از چند دقیقه چنین رمز عبوری شکسته خواهد شد.

حلقه گذرواژه ها با استفاده از فرهنگ لغت

از آنجا که بسیاری از کاربران دوست دارند یک کلمه را به عنوان یک رمز عبور به هر یک از حساب های خود نشان دهند ، این نام یک آتشفشان در ایسلند یا نام یک خرگوش مورد علاقه است و حداکثر ، یک رقم را به چنین رمز عبور اضافه می کنند ، مهاجمان می توانند با استفاده از رمزهای عبور از پیش انتخاب شده چنین رمز عبور را خراب کنند که از فرهنگ های خاص بارگیری می شوند. این گونه فرهنگ نامه ها معمولاً شامل کلماتی از زبانهای مختلف هستند که ممکن است توسط کاربران بی تجربه یا ناامن استفاده شوند. حدس زدن رمز عبور با استفاده از این روش معمولاً زمان زیادی نمی برد و یک مهاجم فقط در عرض چند ساعت می تواند به داده های کاربران شما دسترسی پیدا کند. و از آنجا که این تعداد فرهنگ لغت در اینترنت زیاد است ، باید فوراً به کاربران توضیح دهید که نباید از چنین گذرواژه هایی استفاده کنند ، زیرا نه تنها حساب شبکه اجتماعی آنها ، بلکه کل زیرساخت های شرکت نیز آسیب می بیند.

روش دیگر مربوط به brute force فرهنگ لغت ، brute force در جدول رمز عبور hashed است. این روش زمانی مورد استفاده قرار می گیرد که مهاجم قادر به تعیین هش گذرواژه باشد و او فقط باید یک رمز عبور در پایگاه داده پیدا کند که کاملا با هش داده شده مطابقت داشته باشد.

روش نیروی بی رحم

Brute force یا روش brute-force کامل (مستقیم) با روش قبلی تفاوت دارد به این دلیل که هنگام حدس زدن رمز عبور ، از فرهنگ لغت خاصی استفاده نمی شود که بر اساس آن یک رمز عبور ساده پیدا شود ، اما تعداد زیادی از ترکیبات احتمالی وجود دارد. در این حالت ، همانطور که می فهمید ، همه چیز به پیچیدگی رمز عبور و تعداد کاراکترها بستگی دارد. من فکر می کنم بسیاری از شما جدول زیر را مشاهده کرده اید ، بر این اساس ، می توانید به طور تقریبی پیچیدگی رمزهای عبور ایجاد شده را تخمین بزنید ، با توجه به اینکه گذرواژه ها فقط حروف یک رجیستر با شماره را شامل می شوند و سرعت بی رحم 100000 رمز عبور در یک ثانیه است:

بر این اساس ، یک رمز عبور کم و بیش قوی می تواند یک رمز عبور در نظر گرفته شود ، طول آن حداقل از هشت کاراکتر تشکیل خواهد شد. از آنجا که هنگام نوشتن این مقاله ، کار اصلی در نظر گرفتن روش هایی برای ایجاد رمزهای عبور قوی بود ، این روش استفاده از brute force برای رمز عبور brute force را در نظر نخواهد گرفت.

با استفاده از عامل انسانی

علیرغم این واقعیت که هنگام استفاده از فاکتور انسانی ، از هیچ فناوری استفاده نمی شود ، این روش در بیشتر موارد موثرترین و حتی گاهی سریعترین در نظر گرفته می شود ، زیرا در این حالت مهاجمان با استفاده از روش غیرقانونی از خود کاربران رمز عبور می گیرند و دومی حتی ممکن است شک نکن اول از همه ، هنگام استفاده از این روش برای به دست آوردن رمزهای عبور کاربر ، مهاجم معمولاً اسامی کارکنان سازمان را می فهمد ، که هم می تواند ابتدا آنها را بشناسد و هم در همان سایت ، مثلاً در وب سایت شرکت ، پیدا کند و پس از آن ، طبق سناریوی که قبلاً فکر کرده بود ، مهاجم می تواند تقریباً هرگونه اطلاعاتی از کاربران دریافت کنید. روشهای زیادی برای بدست آوردن رمزهای عبور کاربر با استفاده از عامل انسانی وجود دارد. بیایید به طور خلاصه روش های اصلی را در نظر بگیریم:

· فیشینگ... این یک روش نسبتاً معمول برای به دست آوردن اطلاعات لازم از کاربران است. اصطلاح فیشینگ (فیشینگ) خود از واژه انگلیسی (ماهیگیری) گرفته شده است که ماهیانه ترجمه می شود و نوعی کلاهبرداری است که وظیفه اصلی آن دستیابی به اطلاعات محرمانه کاربر است. این حمله به صورت زیر صورت می گیرد: کاربر نامه ای را به صندوق پستی خود ، مثلاً از بانکی دریافت می کند ، جایی که به کاربر پیشنهاد می شود رمز عبور خود را در وب سایت با کلیک کردن روی پیوند ارائه شده تغییر دهد. در واقع ، چنین پیوندی منجر به سایت هکر با صفحه ای می شود که شباهت زیادی به صفحه بانک دارد و هنگامی که می خواهید رمز عبور خود را تغییر دهید ، رمز عبور برای مهاجم ارسال می شود.

· آلوده کردن رایانه ها با اسب های تروا... همانطور که می دانید ، اسب تروا یک برنامه مخرب است که توسط مجرمان اینترنتی منتشر می شود ، و بسته به اینکه وظیفه خود را تعیین کرده است می تواند به داده ها دسترسی پیدا کند. به نوبه خود ، رمزهای عبور کاربر نیز از این قاعده مستثنی نیستند.

· Qwi pro quo... این روش از عبارت لاتین qui pro quo (یکی به جای دیگری) ناشی می شود ، که همچنین به معنای سوund تفاهم ناشی از اشتباه یک فرد ، چیز یا مفهوم با شخص دیگر است. در مورد سرقت رمز عبور ، این روش شامل فراخوانی مهاجمان به شرکت است. یک مهاجم می تواند خود را به عنوان یک تکنسین معرفی کند و از آسیب پذیری های سازمان مطلع شود و از آنها بهره برداری کند. یا فقط از طریق تلفن رمز ورود کاربر را پیدا کنید.

· بهانه، مستمسک... این روش ساده ترین روش است. به طور کلی ، با استفاده از این روش سرقت رمز عبور ، حتی ممکن است یک مهاجم تا حدی دور از پیاده روی باشد ، زیرا در این حالت ، اقداماتی انجام می شود که براساس بهانه از قبل تدوین شده یا به عبارت ساده تر ، یک سناریو کار شده است. او می تواند از طریق مکاتبات از طریق ایمیل ، پیام رسان های UIM و غیره در برخی از وب سایت ها با کاربر ارتباط برقرار کند. به دلایل واضح ، این روش ممکن است زمان بیشتری نسبت به تمام مواردی که قبلاً ذکر شده است ، طول بکشد ، اما با این وجود ، تقاضای آن نیز زیاد است.

ساده ترین روش برای سرقت رمز عبور در تصویر زیر نشان داده شده است:

ایجاد رمزهای عبور پیچیده

به احتمال زیاد ، همه شما تصویر زیر را مشاهده کرده اید.

در اینجا ، به شکلی کاملاً ساده و طنز ، ترسیم می شود که چه گذرواژه هایی را می توان ایجاد کرد و نحوه تعامل کاربران شما با چنین رمزهای عبور. صادقانه بگویم ، شما می توانید با روشی که در تصویر نشان داده شده مخالف باشید ، زیرا رمز دوم سریعتر از رمز اول شکسته می شود ، اگرچه مدتی طول می کشد تا مهاجم طول بکشد.

اول از همه ، همانطور که در ابتدای مقاله گفتم ، در هر صورت ، شما باید محدودیت ایجاد گذرواژه های پیچیده را با استفاده از Group Policy پیکربندی کنید ، علاوه بر این ، چنین سیاست هایی نباید محدود به یک بخش خاص ، بلکه برای کل دامنه باشد. مطمئناً ، با تنظیم سیاست های امنیتی ، از ایجاد رمزهای عبور مانند "123456" یا "qwerty" جلوگیری خواهید کرد ، که کاربران دوست دارند آنها را مشخص کنند ، رمزهای عبور کاربر هنوز هم در معرض خطر هکرها است.

به عنوان مثال ، اگر بخش فروش شما کاربری به نام ولادیمیر داشته باشد ، که در 9 ماه به دنیا آمده است ، ممکن است رمز عبور وی چیزی شبیه "Vladimir9" باشد. همانطور که مشاهده می کنید ، این رمز عبور نه نویسه است که به احتمال زیاد از طول رمز عبور تعیین شده توسط Group Policy بیشتر خواهد شد. علاوه بر این ، این رمز عبور شامل حروف دیگری است (خوب ، ذکر نام شما با یک حرف کوچک فایده ای ندارد) و این رمز شامل اعداد است (در این حالت تولد کاربر). بر این اساس ، رمز عبور با شرایط مشخص شده با استفاده از Group Policy مطابقت دارد ، اما در عرض چند ثانیه به معنای واقعی کلمه رمز می شود.

شما باید سعی کنید کاربران خود را متقاعد کنید که برای هر یک از حساب های خود رمزهای عبور پیچیده ایجاد کنند ، برای هر حساب رمزهای مختلف ایجاد کنند و رمزهای عبور خود را در حافظه خود ذخیره کنند. دو نکته آخر دشوارترین است ، زیرا بیشتر کاربران عادت دارند که یک رمز عبور برای حساب Active Directory خود داشته باشند ، و همچنین داشتن یک رمز عبور برای صندوق های پستی ، شبکه های اجتماعی ، ردیاب ها ، تالارها و غیره نیز خوب است. اگر هنوز کاربران خود را مجبور به ایجاد یک رمز عبور پیچیده می کنید ، به این واقعیت توجه کنید که بسیاری از افراد دوست دارند آن را روی یک کاغذ بنویسند و آن را به مانیتور ، صفحه کلید و غیره بچسبانند ، که غیرقابل قبول است ، زیرا نامگذاری رمز عبور برای آن دشوار است.

نحوه ایجاد رمز عبور خود

مطلوب است که رمز ورود کاربر حداقل 8 حرف داشته باشد و این رمز شامل حروف با حروف لاتین در رجیسترهای مختلف به ترتیب تصادفی باشد ، رمز ورود شامل اعداد باشد و همچنین نویسه های خاصی نیز وجود داشته باشد. اگر گذرواژه ای برای حسابی ایجاد شود که به سرور وارد شود ، توصیه می شود گذرواژه هایی با طول بیش از 12 کاراکتر ایجاد کنید. در بیشتر موارد ، کاربران به ندرت به فکر چنین رمزهای عبور می افتند. بنابراین ، شما باید رمزهای عبور یا به جای آنها را وارد کنید ، که بسیار ناخوشایند است ، زیرا اگر 20 کاربر داشته باشید ، مدتی طول می کشد ، اما می توانید از پس آن بر بیایید ، اما اگر بیش از 100 کاربر داشته باشید ، انجام چنین فعالیت بیهوده ای کل روز طول می کشد. و هنوز هم نیاز به تغییر دوره ای دارند ، tk. هیچ رمز عبوری نمی تواند کامل باشد.

بنابراین ، می توانید کاربران را به سایتهایی با مولد رمز عبور هدایت کنید ، به عنوان مثال به سایت http://genpas.narod.ru یا سایتهایی با عملکرد مشابه. در واقع تعداد زیادی از این سایت ها وجود دارد. همچنین می توانید صفحه ای در وب سرور داخلی خود بنویسید که عملکرد یکسانی را ارائه دهد ، بعید به نظر می رسد که حتی اگر مهارت برنامه نویسی وب را ندارید ، زمان زیادی را صرف آن کنید. و در مورد وجود چنین صفحه ای در سایت ، می توانید با استفاده از لیست پستی رسمی ، به کاربران اطلاع دهید. بر این اساس ، کاربران شما برای تهیه رمز عبور پیچیده نیازی به اتلاف وقت ندارند ، بلکه فقط باید آن را به خاطر بسپارند.

همچنین می توانید اسکریپت های ساده را به کاربران خود بگویید تا یک رمز عبور پیچیده اما به راحتی به خاطر بسپارید. شما می توانید به صدها سناریوی جالب توجه فکر کنید. بیایید چندین سناریو از این دست را در نظر بگیریم.

1. دو کلمه روسی بگیرید - یک فعل و یک اسم. به عنوان مثال ، کلمات "آشپز" و "شمعدان". یک عدد دلخواه اضافه کنید که به دو قسمت تقسیم شود ، به عنوان مثال ، سال تولد یک نویسنده مورد علاقه ، مثلاً 1966 ، و همچنین هر شخصیت خاص ، به عنوان مثال ، یک علامت سوال را در نظر بگیرید. اکنون هر آنچه را که قبلا پیدا کرده اید به ترتیب زیر بنویسید: کلمه اول با حرف بزرگ ، دو رقم اول از سال تولد ، یک علامت سوال ، کلمه دوم با یک حرف بزرگ و دو عدد آخر. شما باید چیزی شبیه به این داشته باشید: "Cook19؟ Candlestick66". اکنون رمز ورود دریافت شده را بر روی صفحه کلید انگلیسی تایپ خواهیم کرد. در نتیجه ، کاربر شما رمز عبور زیر را خواهد داشت: " Ujnjdbnm19؟ Gjlcdtxybr66" در چنین رمز عبوری ، 23 کاراکتر مشخص شد ، بعلاوه ، غیرقابل واقعی است که آن را با زور و بی رحمی انتخاب کنید ، و به زبان ساده ، بیش از یک ماه به یک مهاجم نیاز دارید.

2. هر زبانه چرخان را بگیرید ، به عنوان مثال ، "در روده های تاندرا ، سمورهای گتر در حال بستن هسته های سرو به سطل هستند" و تاریخ تولد خاله بزرگ کاربر را بگویید ، مثلاً در 29 اکتبر 1957. اکنون هر حرف اول هر کلمه را به انگلیسی بنویسید و هر کدام را بنویسید حرف دوم را با بزرگ و بین بعضی از کلمات یک بار یک عدد قرار دهید و در انتهای رمز عبور یک علامت تعجب بگذارید. شما باید موارد زیر را دریافت کنید: vN2tV9vG10tV19vY57k!" باز هم ، حدس زدن چنین رمز عبوری بسیار دشوار خواهد بود.

3. از هر شعر مورد علاقه خود استفاده کنید ، مثلاً "بیهوده نیست که همه روسیه از روز بورودین به یاد می آورند!" و از هر کلمه دو حرف را در طرح انگلیسی بنویسید و برای هر کلمه جدید ، یک حرف بزرگ بنویسید. در پایان می توانید روز تولد خود را قرار دهید. به عنوان مثال ، در این مورد موارد زیر باید مشخص شود: YtGjDcHjGhLt " رمز عبور پیچیده دیگری دریافت شده است.