Докато търсех в интернет точната дeфиниция на едно правило за съставяне на пароли, попаднах на интересна статия, която не само ми допадна, но и ме накара да се замисля за това, колко от хората се ръководят от някакви разумни правила при съставянето на пароли за електронната си поща, за компютъра си или за сайтове, на които са потребители.

Не намерих отговора на моето търсене, но пък реших да преведа и споделя въпросната статия, с надеждата че ще се окаже полезна за някой.

Оригиналът на статията можете да намерите тук, а за тези които предпочитат да четат на български, ето го и любителският ми превод:

ПАРОЛАТА И НЕЙНОТО ЗНАЧЕНИЕ ЗА СИГУРНОСТТА

Кое прави една парола "добра"?

Съществуват известен брой технически действия, които можете да предприемете, за да направите паролата си възможно най-сигурна. Все пак, преди да разгледаме този въпрос, трябва да подчертаем важността на сигурното съхранение на данните. Без значение колко сигурна е нашата инфраструктура, без значение на добрите потребителски практики, които се прилагат, възможността за неоторизиран достъп ще съществува винаги. Благоразумното съхранение на данни/информация изисква от вас да пазите винаги поне две техни копия, като едното трябва да бъде на друг носител и на място, (физически) различно от това, в което се съхранява първото копие. Без значение на това каква щета би могло да нанесе лицето, получило ноеторизиран достъп, първата стъпка към успешно възстановяване е притежаването на точно архивно копие на критичната информация. С написаното дотук наум, вече можем да продължим към факторите, които участват във формирането на една "добра" парола.

Избягвайте очевидното!

Първото правило на доброто съставяне на пароли е "избягвайте очевидното". Всички технически усилия на света биха били безполезни, ако вашата парола е лесна за отгатване или прочитане от бележка, залепена на монитора ви. Като допълнение към това необикновено разумно правило още три важни неща трябва да бъдат взети предвид:

a) дължината на паролата,

б) произволността на символите в нея и

в) употребата на специални знаци.

Всеки знак във вашата парола добавя още едно число, което трябва да бъде декодирано. Повечето технически анализатори се обединяват около твърдението, че 14 знака е оптималната дължина, която се изисква за една "силна" парола, в смесено обкръжение на Windows NT/9x/XP/2x - доста знаци за запомняне! Ние препоръчваме използавето на мининум 8 знака - баланс между технологията и лесното запомняне.

Произволност

Произволността е още един от факторите. Обичайните хакерски програми се опитват да разбият паролата ви с помощта на речник: например думата "мотор" не е добра парола, нито пък думата "България". Паролата ви ще бъде много по-сигурна, ако използвате комбинации от символи, които не съставят някаква позната дума, нещо което не може да бъде срещнато в речника.

Специални знаци

Накрая, използването на специални знаци би било в помощ, ако не и от съществено значение. Това включва (!@#$%^&*()_+ и др. Включва числа и букви - малки и главни.

Обобщение

Да обобщим:

1. Избягвайте очевидното - никакви имена на вашите деца, домашните ви любимци или любимият ви футболен играч (особено ако имате плакат на Дейвид Бекъм на стената в офиса или в стаята ви!);

2. Минимална дължина на паролата - 8 знака;

3. Избирайте знаците произволно - избягвайте думи от речника на английски или какъвто и да е друг език;

4. Вмъквайте специални знаци, смесвайте цифри и букви - малки и главни.

"ИЗПОЛЗВАЙТЕ" и "НЕ ИЗПОЛЗВАЙТЕ"

НЕ ИЗПОЛЗВАЙТЕ за парола цяла съществуваща в английския, българския или който и да е чужд език дума. Имайте предвид, че някои системи дори няма да ви позволят да използвате парола, част от която е някаква речникова дума.

НЕ ИЗПОЛЗВАЙТЕ потребителски имена, рождени дати, ЕГН, собствени имена или тези на любимите ви филмови герои: в общи линии всичко, което е лесно за отгатване и налучкване.

НЕ ИЗПОЛЗВАЙТЕ главни букви в средата на паролата - трудни са за правилно изписване.

НЕ ИЗПОЛЗВАЙТЕ две последователни еднакви букви. Лесно е да напишете грешно "ww". Всъщност, избягвайте да повтаряте знаците въобще. Факт е, че думата "enterer" е трудна за правилно изписване (при писане по десетопръстната система).

НЕ ИЗПОЛЗВАЙТЕ интервали и не започвайте с число - някои системи не поддръжат това.

НЕ ИЗПОЛЗВАЙТЕ широкоразпространената препоръка да превърнете фраза като "Отидох до магазина и купих малко хляб" в паролата "Одмикмх" - това най-вероятно ще доведе до трудни за писане пароли.

НЕ ИЗПОЛЗВАЙТЕ каквато и да е част от стари пароли. Не само че това е лоша идея, но и много системи няма да го позволят.

НЕ ИЗПОЛЗВАЙТЕ денят преди уикенда или преди излизането ви в отпуск, за да смените паролата си.

ИЗПОЛЗВАЙТЕ числа, малки и главни букви, и символи като "%". Някои системи изискват по един или дори по два от всеки вид.

ИЗПОЛЗВАЙТЕ съставени от вас думи, които са лесни за произнасяне и писане. Препоръчваме ви да вмъквате винаги поне по една цифра, малка или главна буква, някъде в последователността от знаци.

ИЗПОЛЗВАЙТЕ различна парола за сайтовете, които лесно можете да си позволите да пожертвате (най-често някои новинарски сайтове, които изискват регистрация). Това може да е някоя лесна парола, която можете да използвате отново и отново за множество сайтове, при които най-лошото, което може да се случи, е някой да се представя за вас, докато чете новините.

И една тънка подробност за хората, които пишат по-бързо: имайте предвид, че съществуват определени правописни грешки, които се появяват, защото използваният модел е по-бърз. Това е една от причините, поради които думата "яма" (например) често се изписва като "яам" - буквите "а" и "м" са на един ред, но буквата "м" попада под дясната ръка. Опитайте се да изберете модел, който работи въпреки, а не срещу това. Който предложи за парола думата "typewriter" (думата се изписва само с букви от един и същи ред), ще бъде напляскан. Като цяло намираме буквите, преминаващи отдясно наляво за по-подходящи. Възможно е някои букви от долния ред да ни ядосват отвреме навреме.

И накрая, забавлявайте се. Парола, която значи нещо за вас, ще е по-лесна за запомняне.

Източник: WorldLink Communications PVT. Ltd.

Mного добра идея за тема! Поздравления, Daemon. Пък и преводаа си го бива.

Лично аз за уеб-базираните си пощи използвам 14-15-значни пароли - точно по правилата в сатията.

Винаги съм се придържал към това:

1. Избягвайте очевидното - никакви имена на вашите деца, домашните ви любимци или любимият ви футболен играч (особено ако имате плакат на Дейвид Бекъм на стената в офиса или в стаята ви!);

2. Минимална дължина на паролата - 8 знака;

ИЗПОЛЗВАЙТЕ числа, малки и главни букви, и символи като "%". Някои системи изискват по един или дори по два от всеки вид.

ИЗПОЛЗВАЙТЕ съставени от вас думи, които са лесни за произнасяне и писане. Препоръчваме ви да вмъквате винаги поне по една цифра, малка или главна буква, някъде в последователността от знаци.

Според мене това са най-важните правила. Съветвам и всички да ги спазват. :bye:

Благодаря за добрата тема... за пореден път 'kaldata.com' доказва, че е нашата пътеводна светлина...

Докато търсех в интернет точната дeфиниция на едно правило за съставяне на пароли, попаднах на интересна статия, която не само ми допадна, но и ме накара да се замисля за това, колко от хората се ръководят от някакви разумни правила при съставянето на пароли за електронната си поща, за компютъра си или за сайтове, на които са потребители.

Не намерих отговора на моето търсене, но пък реших да преведа и споделя въпросната статия, с надеждата че ще се окаже полезна за някой.

...

<{POST_SNAPBACK}>

Добър вариант е ползуването на програма като KeePass Password Safe.

Има генератор за пароли, като избирате какви символи да участват.

Списъкът с паролите може да бъде експортиран в текстови файл.

Да, този род програми генерират произволни комбинации от символи, които могат да бъдат наречени сигурни, но повечето подобни продукти имат един сериозен недостатък - не се подчиняват на правилата за създаване на лесни за запомняне и изписване пароли, на същите правила, на които е обърнато внимание в края на статията. Аз имам поне 10 различни пароли за различни места, всяка от които генерирана от подобен генератор за пароли. Някои от тях са с дължина 16 знака, и ги изписвам ежедневно поне по няколко пъти, но и до ден днешен продължавам да бъркам при изписването им, защото последователността от знаци предразполага към такива грешки.

Да, този род програми генерират произволни комбинации от символи, които могат да бъдат наречени сигурни, но повечето подобни продукти имат един сериозен недостатък - не се подчиняват на правилата за създаване на лесни за запомняне и изписване пароли, на същите правила, на които е обърнато внимание в края на статията. Аз имам поне 10 различни пароли за различни места, всяка от които генерирана от подобен генератор за пароли. Някои от тях са с дължина 16 знака, и ги изписвам ежедневно поне по няколко пъти, но и до ден днешен продължавам да бъркам при изписването им, защото последователността от знаци предразполага към такива грешки.

<{POST_SNAPBACK}>

Недостатък или предимство? Щом дори собственика на паролите изпитва затруднения при въвеждането им, какво остава за този, който се опита да ги налучка. Всичко опира до конкретния случай - дали се търси сигурност или лесно запомняне.

Благодаря за полезната информация, темата е наистина коклкто интересна толкова и полезна. Аз лично не ползвам подобен род програми за генериране на пароли, защото парола каквато собствения ти мозък може да измисли, НЕ може да я генерира никоя програма. Поздрави, rainov!

Редактирано 23 февруари 200620 г. от rainov (преглед на промените)

Благодаря за полезната информация, темата е наистина коклкто интересна толкова и полезна. Аз лично не ползвам подобен род програми за генериране на пароли, защото парола каквато собствения ти мозък може да измисли, НЕ може да я генерира никоя програма. Поздрави, rainov!

<{POST_SNAPBACK}>

Какво ще кажеш за тази:

’Ђfђh™ЬСШЫNЊл1‚E±UщАd(Q%gqПЗ@Ѓ

Какво ще кажеш за тази:

’Ђfђh™ЬСШЫNЊл1‚E±UщАd(Q%gqПЗ@Ѓ

<{POST_SNAPBACK}>

Въведи я 3 пъти подред правилно и ще те призная.

Без да гледаш от никъде!

Въведи я 3 пъти подред правилно и ще те призная.

Без да гледаш от никъде!

<{POST_SNAPBACK}>

Не, това беше коментар по темата "човешки мозък vs. програма за генериране на пароли". Иначе и през ум не ми минава да си сложа подобно нещо...

Не, това беше коментар по темата "човешки мозък vs. програма за генериране на пароли". Иначе и през ум не ми минава да си сложа подобно нещо...

<{POST_SNAPBACK}>

Под добра парола имам предвид такава, която:

Се помни лесно

Лесно се пише

трудно се отгатва

А че програма може да генерира по сложна това е ясно. Поздрави, rainov!

Дотук никой не даде конкретни примери, аз ще се опитам да го направя.

В практиката си никога не използвам програми за генериране и особено за съхранение на пароли, защото считам, че най-добре ги съхранявам в главата си.

Да, този род програми генерират произволни комбинации от символи, които могат да бъдат наречени сигурни, но повечето подобни продукти имат един сериозен недостатък - не се подчиняват на правилата за създаване на лесни за запомняне и изписване пароли, на същите правила, на които е обърнато внимание в края на статията. Аз имам поне 10 различни пароли за различни места, всяка от които генерирана от подобен генератор за пароли. Някои от тях са с дължина 16 знака, и ги изписвам ежедневно поне по няколко пъти, но и до ден днешен продължавам да бъркам при изписването им, защото последователността от знаци предразполага към такива грешки.

Предполагам сте чували за понятието мнемоника или мнемотехника. Можете да погледнете в коя да е енциклопедия. Най-бързо става в Уикипедия, цитирам:

"Мнемониката е изкуство и техника за запаметяване (мнемотехника); съвкупност от прийоми, обезпечаващи облекченото запомняне на максимален обем информация чрез създаване на изкуствени асоциации.

Името мнемоника произлиза от древногръцката богинята на паметта Мнемозина."

Е, аз използвам обикновено този метод за да си създам пароли, които се помнят лесно и достатъчно добре отговарят според мен на това, което се препоръчва в статията преведена от Daemon и от предния ми пост в темата. Ще се опитам да ви дам примери:

Цяла България знае фразите "Само Левски!" , "Само ЦСКА!", "Долу ЦСКА!" и пр. Да напишем:

samolevski - пише се сравнително бързо едновременно с двете ръце. И да модифицираме:

s@molevski - да, ама това е просто - да, спор няма, но да продължим:

s2m0levsk1

s2m0l3vsk1 - това вече мисля е добре, а? Ако го помните като комбинация от букви и цифри - трудничко ще ви е май, но на базата на фразата, от която тръгнахме, мисля че няма.

Ами това - как ви се струва: s2m0l3vsk1d0lycsk@ - май ще свърши работа!

Разбира се не е нужно да тръгвате от фраза, която знаят всички, а от фраза, която знаете вие, или пък и много други, но пък която по-рядко се използва, например:

Майстор Тричко знае всичко , която може да се модифицира до:

m21st0r34kozn23vsi4k0

Надявам се, че ме разбрахте добре!

Недостатък или предимство? Щом дори собственика на паролите изпитва затруднения при въвеждането им, какво остава за този, който се опита да ги налучка. Всичко опира до конкретния случай - дали се търси сигурност или лесно запомняне.

<{POST_SNAPBACK}>

По-скоро недостатък. Трудността за запомняне и изписване не означава леснота за отгатване! Твърдя, че трудната за изписване парола не е сигурна парола. Защо ли? Представете си хипотетичната ситуация, при която ви се налага да въведете сложна за изписване или запаметяване парола, докато над главата ви стоят 1-2 човека и чакат да им покажете нещо, защитено с тази парола. Какво се получава:

1. Ако не помните добре паролата е възможно да объркате някой и друг знак при изписването й, което води до необходимостта да я въведете отново, а може би и трети път, но вече по-бавно.

2. Помните паролата, но разположението на клавишите, както и тяхното подреждане предразполага към грешка (ах тези клавиши от долния ред!). И пак се налага да въведете паролата повторно, този път по-бавно.

Обаче зад вас има 1-2 чифта очи, които не е задължително да са доброжелателни, и за които комбинацията от символи ще стане ясна още при второто й въвеждане, ако внимават добре.

Разбира се, винаги можете да помолите хората да се обърнат докато пишете паролата, но мнозина не биха го направили от нежелание да "обидят" придружителите си, въпреки че според мен е крайна проява на наглост, да зяпаш в ръцете на онзи, който пише парола.

По-скоро недостатък. Трудността за запомняне и изписване не означава леснота за отгатване! Твърдя, че трудната за изписване парола не е сигурна парола. Защо ли? Представете си хипотетичната ситуация, при която ви се налага да въведете сложна за изписване или запаметяване парола, докато над главата ви стоят 1-2 човека и чакат да им покажете нещо, защитено с тази парола. Какво се получава:

1. Ако не помните добре паролата е възможно да объркате някой и друг знак при изписването й, което води до необходимостта да я въведете отново, а може би и трети път, но вече по-бавно.

2. Помните паролата, но разположението на клавишите, както и тяхното подреждане предразполага към грешка (ах тези клавиши от долния ред!). И пак се налага да въведете паролата повторно, този път по-бавно.

Обаче зад вас има 1-2 чифта очи, които не е задължително да са доброжелателни, и за които комбинацията от символи ще стане ясна още при второто й въвеждане, ако внимават добре.

Разбира се, винаги можете да помолите хората да се обърнат докато пишете паролата, но мнозина не биха го направили от нежелание да "обидят" придружителите си, въпреки че според мен е крайна проява на наглост, да зяпаш в ръцете на онзи, който пише парола.

<{POST_SNAPBACK}>

Абсолютно съм съгласен с теб, Daemon. Много добре си го написал.

Именно поради това, че в един по-ранен период от живота ми зад гърба си имах недоброжелателни очи прибягнах до прилагането на мнемонични техники за запомняне на пароли, за които пиша в предния си пост. Паролата трябва да е лесна за помнене, да може бързо да се набира на клавиатурата, на един дъх дето се вика и същевременно да отговаря на изискванията за сигурност за които стана въпрос по-горе.

m21st0r34kozn23vsi4k0

С интерес прочетох постовете по-горе... Аз лично смятам, че срещу атака на пароли има една много ефикасна защита - смяната на паролата с нова през определен период от време.

Здравейте! Това е доста интересна тема. И искам да добавя някои неща, което ви убягват. 1. При измислянето на паролите избягвайте знаци, които са на различно място при различните модели и типове клавиатури. Знаците | \ { } [ ] са такива примери. Ако някой път ви се наложи да въведете такава парола на най-старата ми клавиатура... има доста да се чешете по врата. Някои от клавишите и са изтрити, освен, че са на нестандартни места. Като цяло е добре да използвате само знаци, които са 100% идентични при абсолютно всички клавиатури. 2. Каквато и клавиатурна подредба да използвате принципно, въвеждайте паролите само в qwerty подредба и само в режим американски английски. Така няма да имате проблеми, дори да ви се наложи да си въвеждате паролата от Камбоджа. 3. За бога НЕ използвайте символи извън ASCII таблицата. Представете си ако ви се наложи да въведете паролата си от клавиатурата на мобилен телефон или в конзолата на UNIX система, през вградения и терминал. В това отношение изключения може да има само са свръх секретни системи, където цялата парола може да бъде съставена изцяло от символи от регистър измислен специално за нея. Това гарантира, че паролата фактически не може да бъде въведена от никъде другаде, освен от терминала на въпросната система. Но никой от нас не администрира сървърите на FBI, така, че трябва стриктно да се придържаме към ASCII. 4. Научете се да въвеждате паролата си използвайки десетопръстната система за печатане. Така тя ще е доста по-трудна за разгадаване, ако ви гледат пръстите. Научете се да натискате правилния Shift за всяка от главните букви, или за всеки от символите. Когато пишете @ трябва да натискате десния шифт, а когато пишете ( - левия шифт. Акробатики, като натискане на шифт с малкия пръст на лявата ръка и "А" с безименния и пръст са много вредни практики. Особено при писането на пароли. При такова действие от ваша страна и най-ненаблюдателния вижда, че паролата ви съдържа А. 5. По дяволите, никога не използвайте num pad-а за да въвеждате цифрите в паролата си. Дори те да са 10 поредни. Дори и паролата ви да е само от цифри (което е непрепоръчително). Колкото и елегантно да изглежда този тип въвеждане, това е най-лесния начин половината ви колеги да знаят паролата ви. 6. Използвайте пароли, които можете да въведете и на тъмно, и със затворени очи. И на клавиатура с напълно изтрити бутони. И то бързо!!! В този смисъл, главните букви са по-добри от цифрите и символите от този ред. Разбира се, трябва да се използват и те, но парола съставена само от символи от най-горния ред на клавиатурата е доста неприятна за въвеждане на тъмно... 7. Научете се да използвате "празни символи" в пароли, които въвеждате пред хора. Такива празни символи са Ctrl, Alt, Shift. Един мой приятел въвежда по няколко от тях между символите на паролите си. Така ако стоите от страни, няма как да разберете по шума от клавиатурата му колко символа въвежда. Друга добра практика е неколкократното включване и изключване на CapsLock по време на въвеждането на паролата и същевременно изписване на част от малките букви със шифт.

много благодаря и от мен-наистина полезно..

И един немаловажен нюанс. Когато въвеждате парола, бъдете сигурни, че я въвеждате на правилното място. Виждал съм как от бързане да се въведе, паролата или поне част от нея бива "накълвавана" в полето предназначено за потребителското име. Много неприятно - въвежда се паролата, а всичко наоколо я виждат. За това - внимателската - само спокойствие и без излишно бързане !!!

Чудесна тема и идеи, но ми се случва да си забравям паролите и от доста време търся програмка, която да запаметява всички пароли написани на псто, на което тази програма е инсталирана. Съществува ли такова животно? Мерси.

Че има,има .Лично аз преди използвах :

Password Manager XP тук

и

AI Roboform tuk

Самият FireFox пък и Opera си имат доста добри "запомвачи на пароли"......

Редактирано 2 ноември 200619 г. от Trichocephalus (преглед на промените)

Да знам за FireFox, но за ИЕ доколкото знам няма, а аз използвам и двете. Благодаря за тези, които ми препоръча, ще ги пробвам Само да добавя, че преди използвах една, но не нямаше много опции. Не знам за тези двете, но дали запомнят например паролата, когато се логвам в пощата си от IE, без да я запомням?

Може да кажете че съм старомоден, но паролите си ги записвам в тефтерче.

Редактирано 2 ноември 200619 г. от MDMA (преглед на промените)

Разбира се, винаги можете да помолите хората да се обърнат докато пишете паролата, но мнозина не биха го направили от нежелание да "обидят" придружителите си, въпреки че според мен е крайна проява на наглост, да зяпаш в ръцете на онзи, който пише парола.

Значи трябва не да се помолят, а да им се "напомни" - въпрос на формулиране.

Искам да знам когато си правиш някъде регистрация кои знаци са позволени за паролата. Или по точно ме интересува ето тези знаци дали са позволени +-=#@?!_:

Редактирано 11 февруари 200719 г. от AleksofT (преглед на промените)

Искам да знам когато си правиш някъде регистрация кои знаци са позволени за паролата.

Или по точно ме интересува ето тези знаци дали са позволени +-=#@?!_:

Реално паролата ти не се пази в базата от данни. Пази се нейн хеш (не съм сигурен дали е md5 или sha1), но реално и двата метода правят хеширане на бинарният код, което означава, че хеш алгоритъма може да сметне парола с тези символи. Друг е въпорса дали част от тези символи не се escape-ват поради решения за сигурността. Не виждам кавичките, апострофа и още няколко сивмола като ` ~ ( ) & които също е добре да се ползват при пароли. Ще взема и аз да направя една малка статия за паролите, че тук проблема не е разгледан на 100% Daemon, не се сърди, свършил си прекрасна работа, просто се сещам за разни хитринки които не си описал, а пък е хубаво да се опишат