Вопрос о том, каким должен быть пароль, зависит от многих факторов. В целом, рекомендуется создавать пароли, содержащие комбинацию букв в верхнем и нижнем регистрах, цифр и специальных символов. Избегайте легко угадываемых паролей, таких как "password" или "123456", и предпочитайте длинные комбинации символов.
Такой ответ написала мне нейросеть... У меня на такой ответ возникает резонный вопрос: почему тогда на банковской карте как был N-цать лет назад пароль из 4 цифр, так и остался? Банковские карты не настолько важны?... Спросим нейросеть:
Использование 4-значного PIN-кода на банковской карте – это компромисс между безопасностью и удобством. Существует несколько причин, почему банковские карты обычно используют 4-значные PIN-коды:
* Удобство для пользователей
* Ограниченные попытки ввода
* Специфика применения:
Значит когда дело касается моих денег на карте банк заботит "моё удобство", а когда я устроюсь к ним на работу, то пароль от рабочего компьютера мне придётся придумывать символов 14. Да ещё и менять раз в три месяца...
Ладно, простим нейросеть за такие ответы. Она просто начиталась глупостей в интернете. А теперь будем разбираться.
Чем PIN-код на банковской карте отличается от пароля?
С точки зрения безопасности основное отличие пароля от ПИН-кода в способе его хранения/передачи (в целях этой статьи термины "хранение" и "передача" используются как синонимы, то есть "хранение" - это передача во времени).
Пароль в системах обычно хранится в виде хэш-суммы - это набор из шестнадцатеричных символов определённой длины.
Пример:
PaS$W0RT -> MD5 -> f6d3745422d7df9c40ff027442556512
MD5 в данном примере - один из множества общепринятых алгоритмов вычисления хэш-суммы. Математически такое преобразование считается односторонним, что делает с математической точки зрения такой способ хранения пароля достаточно надежным.
Но по факту хакерам достаточно легко удаётся украсть хэш-сумму и совершить обратное преобразование для паролей небольшой длинны, то есть из хэш-суммы получить пароль, путем полного перебора всех возможных комбинаций.
В интернете много таблиц, похожих на эту,
по которой наглядно видно, за какое примерное время можно осуществить полный перебор паролей определенной длины и сложности. Более того, из этой таблицы видно, что длина пароля сильнее влияет на его стойкость, чем сложность (размер алфавита).
Как же хранится PIN?
А PIN хранится... никак! Серьёзно!
Так написано в банковских стандартах - нельзя хранить PIN нигде и ни в каком виде! Как же тогда банк проверяет PIN? Существует два стандарта проверки PIN:
- Visa PVV
- IBM 3624 PIN offset
Подробно о методах проверки PIN написано здесь.
Если коротко, то с PIN тоже совершаются односторонние преобразования, но в эти преобразования заложена дополнительная конфиденциальная информация, как со стороны клиента, так и со стороны банка. Получается, что даже если хакеру удастся украсть результат таких преобразований - некое число, хранящееся в банковской системе, он не сможет провести перебор всех PIN, потому что не будет иметь доступа к дополнительным секретным данным.
Кстати у ПИН-кода на вашем компьютере и телефоне тоже такие данные есть и хранятся они в специальном защищенном модуле на материнской плате.
Так какой пароль надежный в 2024 году?
Существуют онлайн-сервисы, которые следят за актуальными возможностями хакеров по перебору паролей и могут оценить стойкость вашего пароля. Вот некоторые из них:
Самый главный критерий на 2024 год - 12 символов и более! Естественно только цифры не рассматриваются даже. Обязательно буквы в разных регистрах и желательно спецсимволы. Большинство специалистов по безопасности также скажут, что необходим "второй фактор", если это возможно. В большинстве случаев вторым фактором является код из СМС или Email. Ну и пароли должны быть разными для разных систем.
Но как придумать столько длинных и сложных паролей?
Человеческий мозг, конечно, способен решать многие задачи. И если постараться, то можно его заставить придумать десятки длинных и сложных паролей. Однако, для этого существуют и автоматизированные инструменты - парольные генераторы и парольные менеджеры. Я тут вдохновился на создание своего парольного генератора в виде бота в Telegram:
В методе генерации пароля я постарался найти баланс между необходимой на сегодняшний день сложностью пароля и легкостью восприятия для человека, на сколько это возможно. А также реализовал идею хранения пароля именно в телеграмме и возможность указать метку (тег) для каждого из паролей, чтобы не запутаться в них.
Подробнее о боте расскажу в следующей статье.