Что значит наличие спецсимволов в пароле
Что такое символы в пароле при регистрации
Для ввода имени пользователя и пароля разрешается применять следующие символы. Имя пользователя и пароль следует вводить с учетом регистра.
Заглавные латинские буквы: от A до Z (26 символов)
Строчные латинские буквы: от a до z (26 символов)
Цифры от 0 до 9 (10 символов)
Имя пользователя для входа в систему
Пробелы, двоеточия и кавычки не допускаются.
Оно не может состоять только из цифр, и поле нельзя оставлять незаполненным.
Длина ограничивается 32 символами.
Пароль для входа в систему
Максимально допустимая длина пароля для администраторов и супервайзера составляет 32 символа, тогда как для пользователей длина ограничивается 128 символами.
В отношении типов символов, которые могут использоваться для задания пароля, никаких ограничений не установлено. В целях безопасности рекомендуется создавать пароли, содержащие буквы верхнего и нижнего регистров, цифры и другие символы. Чем большее число символов используется в пароле, тем более трудной является задача его подбора для посторонних лиц.
В подразделе [Политика паролей] раздела [Расширенная безопасность] вы можете установить требование в отношении обязательного включения в пароль букв верхнего и нижнего регистров, цифр и других символов, а также минимально необходимое количество символов в пароле. Для получения сведений об определении политики паролей см. Настройка функций расширенной безопасности.
Пароль – это строка символов, который используется для доступа к информации на компьютере. Парольные фразы – это длинные пароли, которые улучшают безопасность и содержат много слов, которые составляют фразу.
Пароли и парольные фразы позволяют исключить несанкционированный доступ к файлам, программам и другим ресурсам.
Создавая пароль или парольную фразу, делайте их надежными, чтобы их было трудно угадать или взломать.
Также не помешает использовать надежные пароли для всех учетных записей на компьютере. Если используется корпоративная сеть, возможно, администратор может потребовать использования надежного пароля.
Примечание: В беспроводной сети ключ безопасности защищенного доступа Wi-Fi Protected Access (WPA) поддерживает использование парольной фразы. Парольная фраза превращается в ключ, который используется для шифрования (этот процесс невидим для пользователя). Дополнительные сведения о ключах безопасности WPA см. Какие существуют способы защиты беспроводной сети?
Что делает пароль надежными
Надежная парольная фраза:
Надежные пароли и парольные фразы содержат символы, относящиеся к четырем категориям:
0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Символы на клавиатуре (все символы клавиатуры, которые не считаются буквами или цифрами) и пробелы
Пароль или парольная фраза могут соответствовать всем вышеуказанным требованиям и все равно быть ненадежными. Например, ПривитВ7! отвечает всем характеристикам надежного пароля, однако, он ненадежен, так как содержит целое слово. Пароль Прив1т В 7! является надежным вариантом – в слове некоторые буквы заменены на цифры, а сам пароль содержит пробелы.
Как запомнить надежный пароль или парольную фразу:
Создайте акроним из блока легкой для запоминания информации. Например, выберите фразу, которая будет иметь для вас смысл, вроде День рождения моего сына 12 декабря 2004 года. Руководствуясь этой фразой можно создать пароль вроде Днмс12/Гр, 4.
Замените буквы или слова на цифры, символы и орфографические ошибки в легкой для запоминания фразе. Например, День рождения моего сына 12 декабря 2004 может превратиться в ДнН @ р М0г0Сuн @ 12124 (использовать пробелы в паролях нельзя).
Свяжите пароль с хобби или любимым видом спорта. Например, Я люблю играть в бадминтон может превратиться в Люб # 8Б @ дм1нт () н.
Если вы хотите записать пароль, чтобы не забыть его, не отмечайте, что это пароль, и храните его в надежном месте.
Пароли с использованием символов ASCII
Также можно создавать пароли и парольные фразы, содержащие расширенные символы ASCII. Использование расширенных символов ASCII поможет обезопасить ваш пароль или парольную фразу, поскольку увеличивается количество символов, которые можно выбрать для создания пароля.
Перед использованием расширенных символов ASCII убедитесь, что такой пароль или парольная фраза будут совместимы с программами, которыми вы пользуетесь дома или на работе. Следует осторожно использовать расширенные символы ASCII в паролях и парольных фразах, если в вашей компании используется несколько операционных систем или другие версии Windows.
Дополнительные символы ASCII можно найти в таблице символов. Некоторые дополнительные символы ASCII не следует использовать в паролях и парольных фразах. Не используйте символ, если для него не указано сочетание клавиш.
Пароли Windows могут состоять из значительно большего количества символов, чем рекомендовано выше (восемь). На самом деле пароль может содержать до 127 символов.
Однако, если вы работаете в сети, к которой также подключен компьютеры под управлением Windows 95 или Windows 98, используйте пароль, который содержит не более 14 символов. Если пароль длиннее 14 символов, может случиться, что вы не сможете войти в сеть с компьютеров, работающих под управлением этих операционных систем.
Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.
Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:
В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.
Распределение символов
Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.
В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.
Неудивительно, что гласные «e», «a» и «o» очень популярны, а также цифры «1», «2» и «0» (в этом порядке). Заглавные буквы не входят в топ двадцатку. Мы также можем построить график суммарной вероятности для символов. В этом графике, красные точки показывают ожидаемый паттерн при использовании настоящих случайных паролей (ссылка на график побольше). 
Ясно, что пароли не так случайны как бы хотелось.
Порядок символов
Давайте рассмотрим порядок символов в пароле. Для простоты возьмем только 8-символьные пароли. Самая популярная цифра в пароле это «1». Если бы её расположение было случайным, то мы бы ожидали равномерное распределение. Но вместо этого мы получаем:
##Distribution of «1» over eight character passwords
0.06 0.03 0.04 0.04 0.13 0.13 0.22 0.34
Из этого следует, что из 84 процентов паролей, которые содержат цифру «1», эта цифра случается только во второй половине пароля. Ясно, что люди любят ставить единицу в конце пароля.
Та же картина с цифрой «2»:
0.05 0.05 0.04 0.05 0.13 0.11 0.30 0.27
И с «!»
#Small sample size here
0.00 0.00 0.00 0.00 0.00 0.11 0.16 0.74
Мы наблюдаем похожие паттерны и с остальными буквенно-цифровыми символами.
Число символов необходимых для угадывания пароля
Предположим, мы соберем все возможные пароли используя первые N самых популярных символов. Сколько паролей мы покроем в нашей выборке? Следующий график показывает пропорцию паролей покрытых в нашем списке используя первые N символов:
Для покрытия 50% паролей в списке, нам понадобилось 27 первых символов. Собственно, использование только 20 символов покрывает около 25% паролей, а использование 31 символа покрывает 80% паролей. Помните, что эти пароли не поддались атаке по словарю.
Обычно, когда мы подсчитываем вероятность угадывания пароля, мы предполагаем, что каждый символ выбирается с одинаковой вероятностью, то есть вероятность выбора «e» равна выбору «Z». Это явно неверно. Также, в последнее время много систем заставляют пользователей выбирать различные типы символов в паролях. А это так просто добавить циферку в конец. Я не хочу рассматривать эффективные техники подбора паролей, но понятно, что брутфорс не тот метод.
Лично, я забросил попытки запомнить пароли давным давно и просто использую менеджер паролей. Например мой WordPress пароль длинее 12-ти символов и состоит из совершенно случайных цифр, букв и спец. символов. Конечно, вам лишь нужно держать свой менеджер паролей защищенным…
От переводчика: Да, я таки попал в категорию людей приписывающих единички и восклицательные знаки для обхода настырных сайтов. Sad but true.
Как не обломать мозг об пароли вроде eLkdC,lk#jB
Нормальный стойкий пароль фиг запомнишь. Почти аксиома. Еще и безопасники радостно подбрасывают дровишек в этот костер ужаса, заставляя раз в месяц учить чудовищный фарш из мешанины символов. Параноидальные меры безопасности в лучших традициях «Хакера в столовой» приводят лишь к тому, что пользователи заботливо царапают пароли на мониторе или складывают под клавиатуру. Нет, серьезно, ну кто из обычных пользователей в здравом уме будет соблюдать требования к паролю в духе:
Энтропия
Классические пароли становятся более сложными для запоминания человеком и все более легкими в подборе для машины. Это прискорбно. На очередном очень важном и секьюрном сайте с кулинарными рецептами от вас требуют десятизначный пароль во всех регистрах и с цифрами? Тут могут быть три причины.
Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии (понятие из теории информации), измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле. Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 2 42 паролей и попытаться использовать их; один из 2 42 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный.
Википедия
Символы, которые можно использовать при вводе имени пользователя и пароля
Бесплатный генератор паролей онлайн. Создать пароль.
Здесь вы можете бесплатно сгенерировать (создать
) пароль любой длины и уровня сложности для ваших приложений, аккаунтов, соц. сетей, паролей к Windows, зашифрованным архивам и т.д.
Что такое пароль?
Пароль
– это секретный набор символов, который защищает вашу учетную запись.
Это что-то вроде пин-кода от пластиковой карточки или ключа от квартиры, автомобиля. Он должен состоять только из латинских букв и/или цифр. Никаких знаков препинания и пробелов. Регистр букв тоже имеет значение. То есть если присвоен пароль, в котором присутствует большая (заглавная) буква, но при его наборе пользователь печатает маленькую, то это будет ошибкой – в аккаунт его не пустят.
Пароль должен быть сложным! В идеале он должен состоять минимум из десяти знаков, среди которых есть цифры, большие и маленькие буквы. И никаких последовательностей – всё в разброс. Пример: Yn8kPi5bN7
Чем проще пароль, тем легче его взломать
. И если это произойдет, взломщик получит доступ к аккаунту. Причем, Вы об этом, скорее всего, даже не узнаете. А вот человек сможет, например, прочитать Вашу личную переписку или даже поучаствовать в ней.
Один из самых частых паролей, который указывают пользователи при регистрации – год рождения. Подобрать такой «ключ» совсем несложно. Еще очень часто используют набор цифр или букв клавиатуры, расположенных по порядку (типа 123456789 или qwerty
).
Как придумать сложный пароль?
Обязательные требования к надежному паролю
Пароль не должен содержать
Есть несколько эффективных способов придумать надежный пароль:
Сложновато? Зато пароль, который Вы придумаете таким способом, будет надежным.
Защита пароля
Как создать надёжный пароль
Как придумать надёжный пароль
Длина
. Рекомендуемая минимальная длина надёжного пароля — 8 символов. Считается, что взламывать пароли длиной 8 и более символов путём подбора — чересчур долгий процесс и шансы злоумышленника подобрать такую комбинацию чересчур малы.
Цифры и буквы
. Рекомендуется использовать и цифры, и буквы одновременно. Буквы должны быть из латинского алфавита.
Регистр
. Хороший пароль должен содержать буквы как нижнего, так и верхнего регистров.
Спецсимволы
. Сверх надёжный пароль наряду с буквами и цифрами содержит ещё и спецсимволы. Например #,
Итого, идеальным вариантом будет комбинация латинских букв верхнего и нижнего регистров, цифр и спецсимволов общей длиной не менее 8 символов. Например:
uE_xm932
9203Jb#1
29Rtaq!2
Что ни в коем случае нельзя использовать в качестве пароля
Никогда не используйте в качестве пароля или секретного слова:
Заключение
В завершение, хочу сказать — не пренебрегайте своей безопасностью. Не используйте одни и те же секретные слова для авторизации на разных сайтах и сервисах, какими бы сложными и надежными они ни были. Если увас один пароль для всего и везде, то взломав один сайт злоумышленники могут получить доступ ко всем вашим аккаунтам в сети, а значит, смогут увидеть информацию на вашем облачном диске, Google Фото, воспользоваться сохраненными учетными данными в браузере и прочей информацией. И помните: нет ничего более постоянного, чем временное. Поэтому не ленитесь придумывать надежные комбинации и устанавливайте сложные пароли сразу
— не откладывайте это дело на потом. Пускай ваша информация будет доступна только вам! Удачи!
Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Видели этот классический комикс о паролях от XKCD?
Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.
Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.
Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?
А что скажете о таком пароле в 4 символа?
Или о таком, в 8 символов?
Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?
«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».
Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.
Наш старый друг Юникод опять за свое.
Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.
Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?
aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword
usernamepassword
Конечно, нет. Вы вообще видели живых пользователей в последнее время?
Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:
Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.
Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:
123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII. То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.
(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)
Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.
И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)
Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:
1. Требования к паролям — полная чушь
2. Установите минимальную длину пароля в Юникоде
Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.
3. Сверяйтесь со списком самых распространенных паролей
Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода, достаточно прогнать первую тысячу, чтобы добиться шокирующе хороших результатов.
Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.
4. Контролируйте количество энтропии
Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.
Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!
5. Отлавливайте особые типы паролей
Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (я упоминал об этом в другой статье):
Также, возможно, вам стоит блокировать еще некоторые разновидности:
Пояснение
Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.
Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.
Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.
Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.