Колко сигурна е вашата парола?
Мислите ли, че някой може би вече я знае?
Знаете ли колко време ще отнеме на някого да познае паролата ви или да я открие с инструмент проверяващ милиони комбинации в секунда?
Повечето правила и инструменти за сложност на паролата ви казват, че ако вашата парола е сложна (например от типа P@ssw0rd123, тя е защитена. Та нали има и голяма буква, и символ, и цифри и е над 12 символа. Грешка!
Ако някога някъде сте използвали тази парола, например в някой форум или сайт за онлайн пазаруване при регистрация, можете да я считате за вече компрометирана – особено, ако използвате същата парола и нейни варианти от години. Само няколко минути са нужни на един хакер, за да състави списък с пароли срещу вашия акаунт и да разбере дали вашата парола е в списъка.
Също така съществуват търсачки, където може да бъде въведен даден имейл адрес и които показват всички пароли, използвани някога от този човек.
Как хакерите получават списъците си с пароли? Те ги получават чрез хакване на стотици хиляди уебсайтове по целия свят. И има доста голяма вероятност, че един от тези уебсайтове е такъв, където сте имали акаунт или където някой като вас е имал парола, точно като вашата!
За да свалите файла с резултатите от наше изследване за най-често използваните пароли, кликнете тук!
Всички листове от този екселски файл са филтрирани с помощта на разширен филтър (” “съдържа ????????” “), който показва само пароли с 8 или повече знака.
91% от хората биха избрали една от паролите този файл. 93% от паролите, изтекли наскоро от LinkedIn, се съдържат в този списък. Това ще бъде същото с всички изтекли пароли в бъдеще – което прави списъка от пароли в този файл наистина ценен.
Препоръчвам ви да поставите всичко това в черния списък с пароли на вашата компания (надяваме се имате такъв?) и да добавите 500-те най-лоши пароли + забранените в twitter.
След това, за ваше удобство, можете да вземете някои от шаблоните с пароли (онези, за които говорихме – zxc, qaz, qwerty и т.н.) от компрометирания списък на RockYou в Excel – и да ги добавите в своя черен списък, ако е необходимо.
Списъкът е валиден само ако вашата система НЕ приема пароли под 8 знака. Ако е така, препоръчвам да използвате списъка “10 000 най-използвани”, също включен.
Листът PHPBB във файла съдържа пароли с 8 или повече символа от хакването на phpbb (популярен форум).
Силно НЕ препоръчваме да добавяте пароли, присъстващи в базите с изтекли пароли от RockYou или phpbb в черния си списък, тъй като по този начин ще ограничите потребителите си да използват валидни силни пароли – което не е необходимо. Просто изискването на цифра в паролата и символ + дължина от над 12 символа би било достатъчно добра политика, съчетана със списъците за най-лоши пароли в същия файл.
Тъй като не съществува софтуер (нито алгоритъм), който да генерира модели въз основа на предпочитанията на човека да натиска определени клавиши, но знаем кои са моделите (започвайки с q, z, asdf, – zxc, qwe и т.н.) – можете просто да ги потърсите в листовете phpbb или rockyou във файла и да ги добавете във вашия черен списък.
