シンプルで強力なパスワード-集合的な創造性

多くの関連文献を読み、たくさんのhabratopikを見てから（記事の最後に興味深いものへのリンクがあります）、信頼できる覚えやすいパスワードを生成する主な方法に関する情報をまとめることにしました。



まず、素晴らしいKeePassプログラムを使用して、パスワードを生成して保存します。 その機能は、私の控えめなウェブマスターのニーズすべてに十分です。 その主な欠点は、1つのメインパスワードを覚えておく必要があるという事実です。 したがって、パスワードの発明に関するこのような大騒ぎは、私と、KeePassプログラムまたはその類似物のすべての幸せな所有者にも関係しています。 まだ1つのパスワードが必要です。

ハッキング方法について話しましょう

問題の完全な深さを理解するために、ハッキング手法にいくつかの行を割きます。 それで、攻撃者はどのようにしてパスワードを知る/推測する/推測することができますか？

1. 論理的な推測の方法。 多数のユーザーがいるシステムで機能します。 攻撃者は、パスワード（ログイン+ 2文字、逆にログイン、最も一般的なパスワードなど）をコンパイルするときにロジックを理解しようとし、このロジックをすべてのユーザーに適用します。 多数のユーザーがいる場合、衝突がすぐに発生し、パスワードが推測されます。
2. 辞書検索。 このタイプの攻撃は、ハッシュ化されたパスワードを持つデータベースがサーバーから漏洩した場合に使用されます。 これは、文字の置換（タイプミス）と組み合わせたり、接頭辞または接尾辞として単語の先頭または末尾にある数字/単語を置換したりすることができます。 間違ったキーボードレイアウトで入力された辞書も使用されます（英語のレイアウトのロシア語）。
3. ハッシュ化されたパスワードテーブルを反復処理します。 ハッシュが既に生成され、残っているすべてがパスワードをクラックする高度な方法は、データベース内のパスワードに一致するハッシュを見つけることです。 弱いマシンでも非常に高速に動作し、短いパスワードの所有者にはチャンスがありません。
4. その他の方法：ソーシャルエンジニアリングとソーシャルエンジニアリング、キーロガー、スニファー、トロイの木馬などの使用

パスワード強度

さまざまな信頼できるソースから取得した情報を要約して、クラッキングに耐えるパスワードの主な兆候を強調します（クラッキングとは、ハッシュアルゴリズムが事前にわかっている場合にハッシュをハッシュすることを意味します ）。

1. パスワードの長さ（長ければ大きいほど良い）。高度な場合には、15文字のパスワードを使用することをお勧めします。
2. パスワードに辞書の単語と一般的なパスワードの一部がない;
3. パスワードをコンパイルする際のテンプレートの欠如（テンプレートとは、たとえば「Med777」、「12 @ ytsu @ 21」、さらには「q1w2e3r4t5」など、パスワードを生成するための論理アルゴリズムを意味します）。
4. さまざまなグループの文字の確率的シーケンス（小文字、大文字、数字、句読点、特殊文字）。

ただし、私たちは全員、一貫性のない情報を覚える能力がかなり限られているため、上記のパラメーターに適合するパスワードは、一方ではハッキングに対して非常に抵抗力がありますが、一方では覚えるのが非常に困難です。 したがって、パスワードをコンパイルして記憶するための偏執性の少ないオプションを検討します。

ユーザーはどのようにパスワードを覚えていますか？

無作法な人々のためにパスワードを生成する方法を分析した後、私はパスワードを記憶するための主な方法論が論理的または連想的なシリーズの編集に基づいているという結論に達しました。 あらゆる種類の単語の歪みも使用されます。 次のいずれかです。

1. ログインが散在するドメイン名（「gooUSERglcom」、「UmailruSer」）;
2. ドメインに関連付けられている特定の標準フレーズ（ "passgoogleru"、 "passhabrahabrru"）;
3. 重要な数字やその他の記号が散在する一般的な単語（ " 321DR67ag0On "、ここで32167は、ヒーローズオブマイト＆マジックで5人の黒いドラゴンを引き起こしたチートです）。
4. 英語レイアウトのロシア語（ "、k.lj [htyf"-"horseradish dish"）;
5. 文字の再配置（「Moina and Vir」、「twirret」）;

最も記憶に残るのは、衝撃的な不条理のテクニックです。「 軟体動物は私のダンスの性器を噛み砕き ます 」 加入者として携帯電話にパスワードを書き留め 、可能なパスワードの辞書のように百科事典で作業します。

専門家からのパスワードを記憶するための推奨事項

人間の脳は、完全にランダムなシーケンスを作成するのが得意ではありません。 したがって、パスワードを覚えやすくするのに十分に相互接続された一連の単語を編集するという長所を使用できます。 そのため、Perfect Passwordの作者であるMark Burnettの例を使用したガイドラインを次に示します。 選択、保護、認証（注：すべての例は私のものです）：

1. 句読点と数字（「18歳の若い」、「svetlo！Dark」、「dog = @」）とのさまざまな組み合わせで、パスワードに反意語 、 同義語 、 同音異義語などを使用します。
2. 式と式を使用します（ "12！= 12.1"、 "@ die（ 'hard'）"、 "echo $ string"）;
3. 偽のメールアドレス（ "Ya.Krevedko@ya.ya"）を使用します。
4. パスワードに韻を使用します（「google'shmugl」、「HABRa_kadabra」）。
5. 繰り返し（ "http：// http：// double_pass"、 "zloe_zlo"）;
6. 視覚化（「ゾンビは私に3gを食べさせた」、「ククラ、ダーシャ、叫び」）;
7. 誇張（「朝の25時」、「プーチンの市長！」、「お腹を掻く」）;
8. パスワードにマットを使用します（ここでは自分で練習します）。
9. パスワードを覚える最も信頼できる方法の1つは、キーボードで繰り返し入力することです。

結論の代わりに

ネットワーク上の多くのユーザーは、私がかつてやったように振る舞います。重要でないサイトへの1回限りのアクセスのための1つの単純なパスワードと、他のすべてのための2つまたは3つの長く複雑なSUPERパスワードを持っています。 もちろん、これはすべてに対して1つのパスワードよりも優れています。 ただし、各サイトに独自のパスワードを設定することをお勧めします。クラッカーの寿命を単純化したくありません。

そして最後に、妄想の事実

1. パスワードの最も一般的な数は1であり、パスワードの21％にありますが、残りの数は7％〜10％のケースにあります。
2. すべてのパスワードの24％は6文字で構成されています。
3. すべてのパスワードの60％以上には小文字のみが含まれています。
4. ネットワークで最も一般的なパスワード： "123456";
5. 周波数が3 GHzのPentium 4プロセッサで毎秒100万を超えるパスワードをチェックできるプログラムがあります。
6. 標準キーボードのすべてのタイプの文字を使用できる（英語レイアウトで）15文字の長さの可能なパスワードオプションの数は、463,291,230,159,753,000,000,000,000,000バリアントです。

参考文献とインスピレーションのソースのリスト

• このトピックで パスワードカードとHabratopik を使用する 。
• それが微妙である場合、それは壊れます -妄想的な安全性の問題;
• パスワードマッチングアルゴリズムに関するブルースシュナイアー 。
• 元のアルゴリズムを使用してパスワードを生成する方法 。

UPD 1： Microsoftパスワード強度テストサービス