Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Надійність пароля є мірою ефективності пароля від вгадування або брутфорс атак. У своїй звичайній формі, він оцінює, скільки спроб зловмисникові, не маючи прямого доступу до пароля, потрібно, в середньому, щоб правильно вгадати його. Сила пароля — це функція, що враховує довжину, складність і непередбачуваність.
Використання складних паролів знижує загальний ризик виникнення порушення безпеки, але складні паролі не заміняють необхідність для інших ефективних заходів безпеки. Ефективність пароля заданої міцності в значній мірі визначається розробкою і включенням інших факторів.
Швидкість, з якою зловмисник може підібрати вгадувані паролі до системи є ключовим чинником у визначенні системи безпеки. Деякі системи накладають тайм-аут на кілька секунд після невеликої кількості (наприклад, трьох невдалих спроб введення) пароля. При відсутності інших вразливостей, такі системи можуть бути ефективно забезпечені порівняно простими паролями. Однак система повинна зберігати інформацію про користувача, паролі в тій або іншій формі і якщо ця інформація вкрадена, то у такому випадку оповіщають, що система безпеки, паролі користувачів можуть опинитися під загрозою.
Створення пароля
Паролі можуть бути створені або автоматично (використовуючи ), або людиною; останній випадок є більш поширеним. У той час як надійність випадково створених паролів від перебору може бути розрахована з точністю, то визначення міцності людського паролів є складнішим завданням.
Як правило, людей просять вибрати пароль, іноді керуючись пропозиціями або обмеженим набором правил, при створенні нового облікового запису в комп'ютерній системі або на інтернет-сайті. Тільки груба оцінка міцності пароля можлива, оскільки люди схильні діяти за шаблоном у таких завданнях, і ці моделі, як правило, допомагають зловмисникові. Крім того, списки найпопулярніших паролів широко доступні для використання програмами підбору пароля. Такі списки включають безліч онлайн-словників для різних мов, вкрадені бази даних незашифрованих паролів і найпопулярніші паролі у сфері інтернет-бізнесу та соціальних мереж, поряд з іншими поширеними паролями. Всі паролі в таких списках вважаються слабкими, як і самі паролі, так і їхні прості модифікації.
Є 2 популярних способи створення пароля: генерування випадкових символів (класичний) та новіший — генерація речення (passphrase) шляхом вибору випадкових слів із словника. Паролі отримані другим способом легше запамʼятати, але зазвичай вони довші за паролі отримані генеруванням послідовності випадкових символів.
Перевірка вгадалого пароля
Системи, які використовують паролі для аутентифікації, повинні мати можливість перевірити будь-який пароль на можливість отримання доступу. Якщо дійсні паролі зберігаються у файловій системі або у базі даних, зловмисник, який отримує достатній доступ до системи, може отримати всі паролі користувачів, надаючи атакуючому доступ до всіх облікових записів на атакованій системі, і, можливо, інших систем, де користувачі використовують однакові або схожі паролі. Один зі способів зменшити цей ризик є зберігання тільки криптографічного хешу кожного пароля, а не самого пароля. Стандартні криптографічні хеш-функції, такі як SHA-2, не дозволяють підібрати пароль до хешу за раціональний час, а тому зловмисник, якому до рук потрапили хеш-значення, не може безпосередньо відновити пароль. Однак, знання хеш-значення дозволяє зловмисникові швидко перевірити здогади в автономному режимі. Для підвищення безпеки хешування до пароля перед хешуванням додають певне випадкове значення — "сіль", щоб хеші однакових паролів не були однаковими. Використання "солі" під час хешування захищає від атак із словником — коли зловмисник наперед підбирає хеші до популярних паролів і звіряє їх із хешами, для яких потрібно підібрати пароль. Словник наперед підібраних хешів називають .
Оцінка надійності пароля через ентропію
Зазвичай надійність паролів визначається через кількість ентропії — поняття із теорії інформації, яке вимірюється в бітах. Замість кількості спроб потрібних для того, щоб точно дізнатись пароль використовують логарифм за основою 2 від цього числа, це і є кількість ентропії (в бітах) цього пароля. Наприклад пароль із 42 бітами ентропії буде відповідати за надійністю бітовому рядку, отриманому підкиданням монети 42 рази. Для того, щоб точно підібрати такий пароль знадобиться 242 (4,398,046,511,104) спроб. Кожен новий біт ентропії збільшує складність пароля вдвічі, що вдвічі ускладнює завдання для зловмисника. В середньому зловмиснику доведеться спробувати половину можливих варіантів для успішного підбору пароля.
Паролі вигадані людьми
Люди погано вміють вигадувати паролі. Паролі вигадані людьми зазвичай недостатньо випадкові - в середньому 40.54 біти ентропії, це повʼязано із поганим сприйняттям випадковості людьми (наприклад число 20 здається менш випадковим за число 17, але насправді рівень випаковість визначається лише способом генерації числа, а не самим числом, тому 17 і 20 мають однаковий рівень випадковості якщо згенеровані однаковим способом). Також намагаючись обрати випадкові послідовності символів для створення пароля люди не використовують всі символи рівномірно (наприклад літера "e" використовується набагато частіше за літеру "f", при цьому якби люди обирали символи випадково, то кожна літера використовувалась би приблизно однакову кількість разів).
Див. також
Примітки
- . Choosing and Protecting Passwords. US CERT. Архів оригіналу за 7 липня 2009. Процитовано 20 червня 2009.
- (PDF) (Англійською) . Архів оригіналу (PDF) за 12 липня 2004. Процитовано 29 квітня 2018.
- Florencio, Dinei; Herley, Cormac (1 листопада 2006). (PDF). Microsoft Research (амер.). Архів оригіналу (PDF) за 7 червня 2022. Процитовано 29 квітня 2018.
- (PDF) (Англійська) . Université de Rouen. Архів оригіналу (PDF) за 2 січня 2019. Процитовано 29 квітня 2018.
- Burnett, Mark (2006). Perfect Passwords (Англійською) . Rockland, Massachusetts: Syngress Publishing. ISBN .
 | Це незавершена стаття про інформаційні технології. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Nadijnist parolyaye miroyu efektivnosti parolya vid vgaduvannya abo brutfors atak U svoyij zvichajnij formi vin ocinyuye skilki sprob zlovmisnikovi ne mayuchi pryamogo dostupu do parolya potribno v serednomu shob pravilno vgadati jogo Sila parolya ce funkciya sho vrahovuye dovzhinu skladnist i neperedbachuvanist Menyu nalashtuvan programi generaciyi paroliv Vklyuchennya simvoliv pidmnozhin pidvishuye nadijnist zgenerovanih paroliv tak samo yak i zbilshennya dovzhini Vikoristannya skladnih paroliv znizhuye zagalnij rizik viniknennya porushennya bezpeki ale skladni paroli ne zaminyayut neobhidnist dlya inshih efektivnih zahodiv bezpeki Efektivnist parolya zadanoyi micnosti v znachnij miri viznachayetsya rozrobkoyu i vklyuchennyam inshih faktoriv Shvidkist z yakoyu zlovmisnik mozhe pidibrati vgaduvani paroli do sistemi ye klyuchovim chinnikom u viznachenni sistemi bezpeki Deyaki sistemi nakladayut tajm aut na kilka sekund pislya nevelikoyi kilkosti napriklad troh nevdalih sprob vvedennya parolya Pri vidsutnosti inshih vrazlivostej taki sistemi mozhut buti efektivno zabezpecheni porivnyano prostimi parolyami Odnak sistema povinna zberigati informaciyu pro koristuvacha paroli v tij abo inshij formi i yaksho cya informaciya vkradena to u takomu vipadku opovishayut sho sistema bezpeki paroli koristuvachiv mozhut opinitisya pid zagrozoyu Stvorennya parolyaParoli mozhut buti stvoreni abo avtomatichno vikoristovuyuchi abo lyudinoyu ostannij vipadok ye bilsh poshirenim U toj chas yak nadijnist vipadkovo stvorenih paroliv vid pereboru mozhe buti rozrahovana z tochnistyu to viznachennya micnosti lyudskogo paroliv ye skladnishim zavdannyam Yak pravilo lyudej prosyat vibrati parol inodi keruyuchis propoziciyami abo obmezhenim naborom pravil pri stvorenni novogo oblikovogo zapisu v komp yuternij sistemi abo na internet sajti Tilki gruba ocinka micnosti parolya mozhliva oskilki lyudi shilni diyati za shablonom u takih zavdannyah i ci modeli yak pravilo dopomagayut zlovmisnikovi Krim togo spiski najpopulyarnishih paroliv shiroko dostupni dlya vikoristannya programami pidboru parolya Taki spiski vklyuchayut bezlich onlajn slovnikiv dlya riznih mov vkradeni bazi danih nezashifrovanih paroliv i najpopulyarnishi paroli u sferi internet biznesu ta socialnih merezh poryad z inshimi poshirenimi parolyami Vsi paroli v takih spiskah vvazhayutsya slabkimi yak i sami paroli tak i yihni prosti modifikaciyi Ye 2 populyarnih sposobi stvorennya parolya generuvannya vipadkovih simvoliv klasichnij ta novishij generaciya rechennya passphrase shlyahom viboru vipadkovih sliv iz slovnika Paroli otrimani drugim sposobom legshe zapamʼyatati ale zazvichaj voni dovshi za paroli otrimani generuvannyam poslidovnosti vipadkovih simvoliv Perevirka vgadalogo parolyaSistemi yaki vikoristovuyut paroli dlya autentifikaciyi povinni mati mozhlivist pereviriti bud yakij parol na mozhlivist otrimannya dostupu Yaksho dijsni paroli zberigayutsya u fajlovij sistemi abo u bazi danih zlovmisnik yakij otrimuye dostatnij dostup do sistemi mozhe otrimati vsi paroli koristuvachiv nadayuchi atakuyuchomu dostup do vsih oblikovih zapisiv na atakovanij sistemi i mozhlivo inshih sistem de koristuvachi vikoristovuyut odnakovi abo shozhi paroli Odin zi sposobiv zmenshiti cej rizik ye zberigannya tilki kriptografichnogo heshu kozhnogo parolya a ne samogo parolya Standartni kriptografichni hesh funkciyi taki yak SHA 2 ne dozvolyayut pidibrati parol do heshu za racionalnij chas a tomu zlovmisnik yakomu do ruk potrapili hesh znachennya ne mozhe bezposeredno vidnoviti parol Odnak znannya hesh znachennya dozvolyaye zlovmisnikovi shvidko pereviriti zdogadi v avtonomnomu rezhimi Dlya pidvishennya bezpeki heshuvannya do parolya pered heshuvannyam dodayut pevne vipadkove znachennya sil shob heshi odnakovih paroliv ne buli odnakovimi Vikoristannya soli pid chas heshuvannya zahishaye vid atak iz slovnikom koli zlovmisnik napered pidbiraye heshi do populyarnih paroliv i zviryaye yih iz heshami dlya yakih potribno pidibrati parol Slovnik napered pidibranih heshiv nazivayut Ocinka nadijnosti parolya cherez entropiyuZazvichaj nadijnist paroliv viznachayetsya cherez kilkist entropiyi ponyattya iz teoriyi informaciyi yake vimiryuyetsya v bitah Zamist kilkosti sprob potribnih dlya togo shob tochno diznatis parol vikoristovuyut logarifm za osnovoyu 2 vid cogo chisla ce i ye kilkist entropiyi v bitah cogo parolya Napriklad parol iz 42 bitami entropiyi bude vidpovidati za nadijnistyu bitovomu ryadku otrimanomu pidkidannyam moneti 42 razi Dlya togo shob tochno pidibrati takij parol znadobitsya 242 4 398 046 511 104 sprob Kozhen novij bit entropiyi zbilshuye skladnist parolya vdvichi sho vdvichi uskladnyuye zavdannya dlya zlovmisnika V serednomu zlovmisniku dovedetsya sprobuvati polovinu mozhlivih variantiv dlya uspishnogo pidboru parolya Paroli vigadani lyudmiLyudi pogano vmiyut vigaduvati paroli Paroli vigadani lyudmi zazvichaj nedostatno vipadkovi v serednomu 40 54 biti entropiyi ce povʼyazano iz poganim sprijnyattyam vipadkovosti lyudmi napriklad chislo 20 zdayetsya mensh vipadkovim za chislo 17 ale naspravdi riven vipakovist viznachayetsya lishe sposobom generaciyi chisla a ne samim chislom tomu 17 i 20 mayut odnakovij riven vipadkovosti yaksho zgenerovani odnakovim sposobom Takozh namagayuchis obrati vipadkovi poslidovnosti simvoliv dlya stvorennya parolya lyudi ne vikoristovuyut vsi simvoli rivnomirno napriklad litera e vikoristovuyetsya nabagato chastishe za literu f pri comu yakbi lyudi obirali simvoli vipadkovo to kozhna litera vikoristovuvalas bi priblizno odnakovu kilkist raziv Div takozhKeystroke logging Fishing Urazlivist komp yuterna bezpeka Primitki Choosing and Protecting Passwords US CERT Arhiv originalu za 7 lipnya 2009 Procitovano 20 chervnya 2009 PDF Anglijskoyu Arhiv originalu PDF za 12 lipnya 2004 Procitovano 29 kvitnya 2018 Florencio Dinei Herley Cormac 1 listopada 2006 PDF Microsoft Research amer Arhiv originalu PDF za 7 chervnya 2022 Procitovano 29 kvitnya 2018 PDF Anglijska Universite de Rouen Arhiv originalu PDF za 2 sichnya 2019 Procitovano 29 kvitnya 2018 Burnett Mark 2006 Perfect Passwords Anglijskoyu Rockland Massachusetts Syngress Publishing ISBN 1 59749 041 5 Ce nezavershena stattya pro informacijni tehnologiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi