Почему ограничения по паролю на сайте не защищают вас

Почему ограничения по паролю на сайте не защищают вас

Почему ограничения по паролю на сайте не защищают вас

Если вы создали одну или две учетные записи в последние годы, вы, вероятно, заметили, что многие из этих сайтов ругают вас за использование небезопасного пароля при определенных условиях. Иногда вам даже не нужно нажимать кнопку «Регистрация», прежде чем вы увидите небольшое сообщение рядом с полем пароля, в котором говорится, что вы используете слабый пароль.

Хотя некоторые сайты могут помешать вам зарегистрироваться с использованием того, что они считают слабым полностью пароль, другие просто предупреждают вас и оставляют делать то, что вы хотите по собственному желанию. Несмотря на это, у этих сайтов (в основном) есть одна общая черта: их критерии безопасных паролей не приведут вас к безопасности.

Почему ограничения по паролю на сайте не защищают вас
Почему ограничения по паролю на сайте не защищают вас

Подделка вредных привычек

Первое, что вы заметите на большинстве веб-сайтов, — это то, что все они имеют схожие критерии для того, что считается надежным паролем. На большинстве сайтов критерии следующие:

  • Минимум 6 или 8 символов
  • Минимум одна цифра и одна буква
  • Иногда на как минимум одна заглавная буква.

В этом случае пароль типа Ironclad1 просто персиковый и соответствует требованиям конкретного веб-сайта. Поскольку большинство сайтов предъявляют только эти требования, люди могут привыкнуть к тому, что Ironclad1, Sallyepstein4, Michael1985 и т. д. являются хорошими паролями.

Любой, кто когда-либо читал первые три страницы книги по кибербезопасности, знает, что это невероятно небезопасно, но его молчаливо утверждают в качестве нормы миллионами сайтов в Интернете, где безопасность — это запоздалая мысль, стоящая пять строк кода.

Хакер может просто использовать атаку по словарю, чтобы взломать ваш пароль, и на этом все.

Некоторые веб-службы (например, Google) также требуют использования символа (например,! или $) для создания пароль. Это просто делает такие вещи, как $ allyepstein4 действительными паролями, а атаки по словарям с годами становятся все более изощренными. обсудите, что делает хороший пароль, но вместо того, чтобы разбираться и объяснять все нюансы, просто взгляните на некоторые вещи, с которыми все обычно согласны. Хороший пароль

  • Включает широкий диапазон буквенно-цифровых вариаций, таких как заглавные буквы, цифры и строчные буквы
  • Имеет символы в непредсказуемых местах (@shley менее безопасен, чем @ $ _ hley потому что в середине слова есть знак подчеркивания, где атака по словарю обычно сканирует на наличие @ замены a и $ замены s)
  • Содержит пробелы (как I @te a S4nDw1ch)
  • Достигает верхнего предела разумных пределов символов (I l0v3 LuC # Y менее безопасен, чем Th1S p4ssword sH_oulD b3 h @ rd to cr @ ck)
  • Содержит нетрадиционное написание слов (например,, schuld вместо must, beffe вместо beef, inszteda вместо вместо, mektekezier вместо maketecheasier и т. д.)
Почему ограничения по паролю на сайте не защищают вас

Конечно, один из лучших паролей, который вы могли бы иметь, не очень прост зафиксируйте в памяти (например: ifjecBucE083 $ && 8c ociefjC * # & $ 6c iof0e0 ($ * #). Обратите внимание, что приведенный пример — это просто полная тарабарщина с использованием всех вышеперечисленных правил, включая введение пробелов.

Это очень нетрадиционно даже для самых изощренных атак по словарю. При условии, что база данных, хранящая хэш для вашего пароля, безопасна и ключи шифрования управляются правильно, это сделает вашу учетную запись менее опасной для хакера.

Естественно, не все серверы защищены, и одна используемая вами служба может пострадать от взлома, раскрывающего ваш пароль. Вот почему важно иметь разные пароли для каждой службы.

Но вы не можете запомнить 15 паролей, не говоря уже о одной. Я привел в качестве примера один из лучших паролей, которые вы можете использовать буду иметь. Чтобы противодействовать этому, вы можете использовать высоконадежный сервис единого входа (также известный как управление идентификацией), который отслеживает ваши пароли, чтобы вам не приходилось их запоминать.

Хотя они существуют уже несколько лет, концепция все еще остается неизведанной территорией (по крайней мере, по моему профессиональному мнению), так что действуйте осторожно. Проведите собственное исследование и назовите название службы, а затем слово «нарушение», чтобы выяснить, был ли он когда-либо взломан.

Как можно решить проблему

Проблема, которую здесь пытаются решить, заключается в том, чтобы огромное количество людей, которые создают учетные записи в Интернете, понимали, что лучше практики для создания пароля. Это звучит как монументальная задача, не так ли?

На самом деле, это так же просто, как и где-то предоставлять информацию. Google хорошо справляется с этой задачей, руководствуясь своими рекомендациями, но это далеко не так далеко.

Несмотря на известность, я думаю, что было бы лучше добавить ссылку на эти рекомендации рядом с полем пароля, давая легкий доступ пользователя на этапе регистрации учетной записи. Если кто-то игнорирует это, это его собственная прерогатива, но никто на тот момент не мог сказать, что у него никогда не было возможности прочитать некоторые учебные материалы по этому вопросу.

Единственная сложная часть в этом — убедить миллионы людей. веб-сайты, которые содержат базы данных учетных записей для применения этой практики. Тем не менее, поскольку большинство этих веб-сайтов используют программное обеспечение для больших коробок (например, WordPress или Drupal), возможно, будет лучше обратиться к разработчикам этого программного обеспечения, чтобы они предлагали подобные вещи в своих будущих обновлениях.

Как только веб-сайты обновляют свое программное обеспечение, они автоматически размещают эти рекомендации на своих страницах регистрации!

Как вы думаете, что еще мы можем сделать, чтобы распространять информацию о надежных паролях? Давайте обсудим это в комментариях!

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Не стесняйтесь вносить свой вклад!

Добавить комментарий