О сложности сложных паролей

Не секрет, что большинство людей используют пароли, которые не отличаются высокой стойкостью ко взлому. Это словарные пароли, которые состоят из общеупотребительных слов или словосочетаний. Это легендарные клавиатурные комбинации qwerty, 12345, asdfg и другие. Это общеупотребительные русские слова, набранные в другой раскладке (например, пароль = gfhjkm и т.д.).

В большей степени взломостойкость пароля зависит не от его сложности, а от системы авторизации. Другими словами, пароль zaika88 более надёжен чем Z@!kABB, если во втором случае мы имеем возможность свободного перебора паролей, а в первом получаем задержку между попытками ввода, пропорциональную количеству неудачных попыток. Но пароль zaika88 значительно проще подобрать, чем Z@!kABB при равных скоростях подбора.

Apple ID требует (требовал несколько лет назад точно) создать пароль с обязательным использованием спецсимволов, наличием цифр и заглавных букв. Я начал размышлять над сложностью паролей, которые используются в AppleID.

— Вероятнее всего заглавная буква будет использована в самом начале пароля. Маловероятно, что она будет использована где-либо ещё (за исключением 8 = B). Мы привыкли писать новые предложения с большой буквы, поэтому если нам предложат создать пароль хотя бы с одной большой буквой, мы разместим её в самом начале.

— Спецсимвол, в отсутствие альтернатив, скорее всего будет добавлен в самом конце пароля. Но обычно спецсимволами заменяют некоторые буквы: i = !, a = @, s = $. Знаки теперь используются разные, но сами буквы визуально похожи. Да и алгоритм замены вполне понятен, так что это не сильно затягивает процесс взлома.

— Обязательные цифры в большинстве случаев будут заменять похожие буквы: o = 0, b = 8, t = 7, 1 = i, 9 = g. Снова та самая визуальная «похожесть» знаков. Цифры можно добавить в конце слова, но это совсем уж детский сад.

— Скорее всего такие требования к паролю (а Apple постоянно говорит, что ещё нужно добавить в пароль), приведут к тому, что пользователь будет шифровать подобными методами самые очевидные слова.

Какая собственно разница между Barcelona и Barcel0n@. Разница в том, что второй пароль принимается яблочным сервисом, так как отвечает всем «требованиям» о сложности пароля. Но, тем не менее, это всё то же словарное слово. И таких «подтасовок» лучше избегать.

Подпись к картинке гласит: «Сложные пароли должны состоять не менее чем из восьми символов и включать в себя заглавные и строчные буквы, цифры, специальные символы». Причём из всех повторяющихся строк самая нижняя не очень-то отличается от оригинала. Шифровать слова таким методом сегодня точно не стоит.

Это стоило делать в эпоху BBS, когда компьютеры были большими, а скорости передачи данных — маленькими. К слову, вот эта самая «замена» называется «leet», на Википедии есть подробная статья, но можно просто ознакомиться со списком слов. Сегодня, когда мощь компьютеров и скорость передачи данных выросли в сотни раз (и я не шучу), такие «сложные пароли» вскрываются на раз-два. Здесь гарантируют это!


Лучше маленький лайк и репост, чем большое спасибо в комментах. По этой причине комментарии выключены, а кнопки репостов — вас ждут. Пользуйтесь, прошу :)