можно ли пароль на русском языке
Как придумать пароль на Госуслуги
5 минут Автор: Алексей Шипунов 341
Поскольку к учетной записи на портале Государственных Услуг у многих пользователей привязаны важнейшие документы и функции, необходимо уделять особое внимание безопасности.
При авторизации в системе используются логин, которым может быть телефон или почта, а также защитная комбинация. Сегодня мы рассмотрим правила генерации пароля для Госуслуг, приведем несколько примеров и поговорим о способах изменения кода.
Правила создания пароля и примеры
Перед тем как перейти к процедуре создания или изменения пароля, следует ознакомиться с рекомендациями. Возможно, вы заранее сможете придумать максимально надежное сочетание, а затем применить его к аккаунту.
Если несколько лет назад большинство сервисов принимали пароли из цифр, то теперь такие простые комбинации не подойдут. В составе защитного кода должны находиться латинские буквы, цифры, а также специальные символы.
Рассмотрим полный список допустимых символов:
Пункт со знаками появился не так давно. Действующие пароли без соблюдения данного правила по-прежнему актуальны. Однако при смене защитных данных необходимо добавить специальный знак.
Теперь разберемся, сколько символов должен обязательно содержать пароль на Госуслугах. Вы должны составить ряд из 8 или более букв/цифр. Соотношение всех видов символов может быть произвольным. Главное, чтобы придуманный код отвечал правилам, перечисленным в списке выше.
Рассмотрим несколько наводящих советов, по которым можно составить надежный пароль:
Также остановимся на распространенных ошибках. Ни в коем случае не повторяйте их при регистрации в Госуслугах:
Ниже представлен ряд примеров, созданных автоматическим генератором портала:
Подобные сочетания лишены логики при составлении, а значит, их сложно запомнить. Вы можете воспользоваться нашими советами, чтобы получить более запоминающийся пароль, но не менее сложный:
Если при регистрации или восстановлении профиля вы столкнетесь с ошибкой «Пароль не соответствует требованиям безопасности», проверьте следующие моменты:
Правильный пароль.
Как взламывают пароли.
Таким образом, чтобы придумать правильный пароль, необходимо придерживаться следующих основных правил:
3. Правильный пароль должен содержать и заглавные, и прописные буквы.
Теперь рассмотрим, что нужно делать, чтобы правильный пароль был подобран максимально эффективно (с учетом ранее указанных требований):
1. Не стоит в пароле использовать личную информацию: дату рождения, свадьбы, номера телефонов и т.д.
2. Ответ на «секретный вопрос» не должен быть простым и легко угадываемым. Не нужно использовать ту информацию, которую легко узнать.
Генерация паролей и способы запоминания.
Для подбора правильного пароля вполне можно использовать генерацию паролей. Такой сервис весьма доступен. Можно без особых усилий подобрать комбинацию, которую нелегко будет распознать. Здесь, правда, есть один подводный камень: сложную комбинацию сложно и запомнить. Редкие сочетания сложно ложатся в память. Рассмотрим далее, как сделать так, чтобы не забыть или не потерять пароль.
В большинстве случаев при генерации пароля используется одна и та же комбинация. Иногда пароль модернизируется и выходит что-то вроде «parol1», «parol2» и т.д. Шаг хитрый, но зато можно быть уверенным, что пароль не забудется.
При использовании генератора паролей получается бессмысленный и нелогичный набор символов. Его нужно где-то хранить. Интересно, что у многих есть привычка записывать его на бумажке и клеить на монитор. Например, в офисе, где множество сотрудников, клиентов и случайных людей. С таким же успехом на рабочем столе можно создать файл с названием «мои пароли». Эффект будет тот же.
Итак, вот общие советы по хранению и запоминанию паролей:
1. Для каждого ресурса лучше создавать новый уникальный пароль.
3. Пароль не нужно держать у всех на виду.
4. Если пароль записан на листочке бумаги, нужно создавать его копию.
6. Если для хранения паролей используется специальная программа, нужно создавать ее копию.
И напоследок о правильном пароле.
Наконец, несколько полезных советов. В игровых клубах или интернет-кафе как можно реже вводите пароли. Это чужие компьютеры, поэтому могут быть использованы так называемые программы-шпионы: они легко запоминают комбинации, которые вводятся с клавиатуры.
Если все-таки пришлось зайти с чужого компьютера или использовать пароль не только дома, но и на работе или в другом месте, всегда выходите из ресурса (не просто закрывайте вкладку, а нажимайте «Выход») и не нажимайте «Запомнить меня». Иначе любой желающий может зайти даже без подбора пароля. Прискорбно, но подобным славятся даже серьезные порталы электронного обмена средств: у них есть функция «Запомнить», хотя ее не должно быть, а сессия должна быть ограничена.
Смысл в таких модных сегодня мобильных гаджетах отчасти в том, что на них можно получить доступ к нужному ресурсу в любой точке, где есть Интернет. При этом, не нужно заходить в Интернет-кафе или клуб, где легко могут просканировать пароль. Но и в них стоит выходить из аккаунта в целях безопасности. В целом же, указанные простые рекомендации способны полностью защитить от взлома пароля.
Как безопасно использовать и хранить пароли
1. Каким должен быть пароль?
Пароль должен быть сложным. Сложный пароль состоит из минимум восьми символов, включая большие и маленькие буквы, цифры и специальные символы. Пример такого пароля: «oPQ0nz$Hx4%!».
Не составляйте пароль из личных данных (имени, фамилии, никнейма, прозвища, важных дат, номеров телефонов, ИНН, СНИЛС, возраста или адреса) и очевидных слов, фраз или наборов символов. Примеры простых паролей: Ivanov1956, password, qwerty, 1234567.
Для каждого сайта необходимо создавать отдельный пароль. Использовать один и тот же пароль для нескольких сайтов небезопасно.
2. Как придумать надежный пароль и запомнить его?
Вы можете составить надежный пароль одним из следующих способов:
Чтобы запомнить, какой пароль для какого сайта вы создали:
Используйте единую основу для всех своих паролей. Решите:
3. Где хранить пароли?
Для хранения паролей используйте:
Не храните пароли на листке бумаги, прикрепленном к монитору или клавиатуре, в текстовом документе на рабочем столе, на флешке или в памяти телефона — это небезопасно.
4. Как защитить свои аккаунты?
Проверьте параметры восстановления пароля
Злоумышленники могут взломать электронную почту через стандартный функционал почтового сервиса «Восстановить пароль». Для защиты обычно используется секретный вопрос. Выберите такой ответ на него, который будет сложно угадать, например: «Ваше любимое животное?» — «Глобус».
Используйте двухфакторную аутентификацию
Инструкции по включению двухфакторной аутентификации, как правило, размещаются в справочных разделах сайтов.
Регулярно меняйте пароли
Меняйте пароли каждые три месяца или при признаках доступа к вашим данным. Обращайте внимание на публикации в СМИ об утечках паролей или персональных данных с ресурсов, которыми вы пользуетесь. Чтобы не придумывать каждый раз совершенно новый пароль, вы можете добавлять в базовый пароль вторую и четвертую буквы месяца, в котором вы поменяли пароль, и его порядковый номер в году.
Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Видели этот классический комикс о паролях от XKCD?
Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.
Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.
Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?
А что скажете о таком пароле в 4 символа?
Или о таком, в 8 символов?
Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?
«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».
Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.
Наш старый друг Юникод опять за свое.
Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.
Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?
aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword
usernamepassword
Конечно, нет. Вы вообще видели живых пользователей в последнее время?
Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:
Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.
Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:
123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII. То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.
(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)
Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.
И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)
Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:
1. Требования к паролям — полная чушь
2. Установите минимальную длину пароля в Юникоде
Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.
3. Сверяйтесь со списком самых распространенных паролей
Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода, достаточно прогнать первую тысячу, чтобы добиться шокирующе хороших результатов.
Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.
4. Контролируйте количество энтропии
Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.
Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!
5. Отлавливайте особые типы паролей
Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (я упоминал об этом в другой статье):
Также, возможно, вам стоит блокировать еще некоторые разновидности:
Пояснение
Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.
Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.
Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.
Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.
Как придумать надежный пароль для своего аккаунта
Базовые правила
1. Не используйте личные данные
Для создания пароля не используйте фамилию, номер школы, кличку питомца и т. п. Вся эта информация находится в открытом доступе и известна множеству людей.
2. Не используйте простые последовательности цифр
«Йцукен» или 123456789 — не для вас. Они взламываются мгновенно, методом программного перебора. Можете поэкспериментировать на сайте howsecureismypassword.net, чтобы определить, сколько времени займет подбор той или иной комбинации. Разумеется, свои реальные пароли там вводить не стоит. Идеальный пароль сочетает в себе и буквы, причем в разных рЕгисТраХ, и цифры.
3. Контрольное слово
Чтобы не забыть свой пароль, придумайте слово, которое вы будете постоянно использовать, и цифровую комбинацию к нему — это постоянная часть пароля. А переменной частью будет название сайта, на котором вы его вводите. Например, выбрали постоянной частью «RaDuGA1812@». И для регистрации на, допустим, Facebook, комбинируете пароль в «RaDuGA1812@_Fb»
4. Русские слова на латинице
Можно усилить защиту простым способом: то же самое слово «радуга», набранное по‑русски при включенной английской раскладке будет писаться как «hfleuf»; для программ взлома паролей это усложнит задачу. Алгоритм подбора в некоторых из них идет в первую очередь по словарю существующих слов.
Как придумать надежный пароль
Вначале ставьте буквы, потом цифры. Это имеет значение. В одном знаке пароля может содержаться 10 вариантов цифры (0−9) и 26 вариантов букв. Когда происходит познаковый подбор пароля, программа выдает взломщику ожидаемое время взлома. Оно, в среднем, составляет от нескольких минут до суток. Если в начале пароля буквы, то ожидаемое расчетное время взлома больше. Таким образом, если ваш аккаунт «не заказали» персонально, а ломают просто ради развлечения — с большой вероятностью взломщик предпочтет найти другой аккаунт.
Какой можно придумать надежный пароль? Например, используйте базовую часть «RaDuGA1812@» для почты и соцсетей, пусть она будет основной и постоянной. А, какой-нибудь «eHoT442@_» — для интернет-магазинов, куда вы заглядываете раз-другой. Для онлайн-игр, где взломы аккаунтов постоянное явление, заведите себе третий тип пароля.