«Цифровая гигиена» при использовании паролей:
- Пароль нельзя никому сообщать.
- Регулярно меняйте пароль. Чем чаще, тем лучше.
- Не используйте один и тот же пароль на разных сервисах.
- Не используйте функцию «Запомнить меня», если вашим компьютером пользуется кто-нибудь еще или вы входите с общественного компьютера.
- После окончания работы на общественном компьютере выходите из всех своих аккаунтов, а также завершите свою рабочую сессию на Рамблере с помощью кнопки «Выйти».
- Регулярно обновляйте браузер до последней версии.
- Не открывайте ссылки из подозрительных писем или текстовых сообщений. Проверяйте, с какого адреса вам пришло письмо или на какой адрес ведет ссылка из сообщения. Никогда не размещайте личную информацию на сайтах, которые вызывают у вас подозрения. Узнайте больше о том, как выявлять попытки фишинга.
- Будьте готовы к ситуации, когда кто-то может получить ваш пароль. Необходимо привязать дополнительный адрес электронной почты, номер телефона и придумать контрольный вопрос и ответ для восстановления Рамблер/почты.
- Будьте внимательны, если вас попросят сменить пароль и пришлют для этого ссылку. Если вы не запрашивали смену пароля, игнорируйте такое сообщение.
- Если вам трудно запомнить все свои пароли, узнайте в интернете о менеджерах паролей — эти программы позволят вам безопасно хранить ваши реквизиты от разных сервисов.
- Все сайты Rambler Group защищены SSL-сертификатами для обеспечения вашей конфиденциальности. Пожалуйста, убедитесь, что адрес страницы, на которой вы вводите пароль, начинается с https или содержит значок замка слева от адреса.
Информация была для вас полезной? Статья полезна! | Статья бесполезна!
Напишите, чего не хватает и мы сделаем статью лучше ОтменитьСмотрите также:
- Как восстановить пароль
- Как изменить пароль
- Как узнать, откуда и с каких устройств были входы в профиль
- Зачем нужен телефон для восстановления профиля
Минимальная длина пароля — Windows Security
- Статья
Область применения
- Windows 11
- Windows 10
В этой статье описываются рекомендуемые методики, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики безопасности минимальной длины пароля
Справочные материалы
Параметр политики Минимальная длина пароля определяет наименьшее количество символов, которые могут составлять пароль для учетной записи пользователя. Можно задать значение от 1 до 14 символов или установить, что пароль не требуется, задав количество символов равным 0.
Возможные значения
- Указанное пользователем число символов в диапазоне от 0 до 14
- Не определено
Рекомендации
Задайте минимальную длину пароля не менее 8. Если для числа символов задано значение 0, пароль не требуется. В большинстве сред рекомендуется использовать пароль из восьми символов, так как он достаточно длинный, чтобы обеспечить достаточную безопасность, и по-прежнему достаточно короткий, чтобы пользователи легко запоминали. Минимальная длина пароля больше 14 в настоящее время не поддерживается. Это значение поможет обеспечить адекватную защиту от атаки методом подбора. Добавление требований к сложности поможет снизить вероятность атаки по словарю. Дополнительные сведения см. в статье Пароль должен соответствовать требованиям к сложности.
Разрешение коротких паролей снижает безопасность, так как короткие пароли можно легко сломать с помощью средств, которые выполняют словарные или методы подбора атак против паролей. Требование длинных паролей может привести к неправильному вводу паролей, что может привести к блокировке учетных записей и увеличить объем обращений в службу поддержки.
Кроме того, требование длинных паролей может фактически снизить безопасность организации, так как пользователи могут с большей вероятностью записывать свои пароли, чтобы избежать их забвения. Тем не менее, если пользователей учат, что они могут использовать парольные фразы (предложения, такие как «Я хочу выпить $ 5 молочный коктейль»), они должны быть гораздо более вероятно, чтобы помнить.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
---|---|
Политика домена по умолчанию | Семь символов |
Политика контроллера домена по умолчанию | Не определено |
Параметры по умолчанию для автономного сервера | Ноль символов |
Действующие параметры по умолчанию для контроллера домена | Семь символов |
Действующие параметры по умолчанию для рядового сервера | Семь символов |
Действующие параметры GPO по умолчанию на клиентских компьютерах | Ноль символов |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Типы атак по паролю включают атаки по словарю (которые пытаются использовать распространенные слова и фразы) и атаки методом подбора (которые пытаются использовать все возможные сочетания символов). Кроме того, злоумышленники иногда пытаются получить базу данных учетных записей, чтобы использовать средства для обнаружения учетных записей и паролей.
Противодействие
Настройте для параметра политики минимальная длина пароля значение 8 или более. Если для числа символов задано значение 0, пароль не потребуется.
В большинстве сред мы рекомендуем использовать пароль из восьми символов, так как он достаточно длинный, чтобы обеспечить достаточную безопасность, но не слишком трудно запоминать. Эта конфигурация обеспечивает адекватную защиту от атак методом подбора. Использование параметра политики «Пароль» должно соответствовать требованиям к сложности в дополнение к параметру Минимальная длина пароля помогает снизить вероятность атаки по словарю.
Примечание.
В некоторых юрисдикциях установлены юридические требования к длине пароля в рамках установления правил безопасности.
Возможное влияние
Требования к длинным паролям могут фактически снизить безопасность организации, так как пользователи могут оставить информацию в незащищенном расположении или потерять ее. Если требуются длинные пароли, неправильно введенные пароли могут привести к блокировке учетных записей и увеличению количества обращений в службу поддержки. Если в вашей организации возникают проблемы с забытыми паролями из-за требований к длине паролей, рассмотрите возможность обучения пользователей парольным фразам, которые часто легче запомнить, а из-за большого количества сочетаний символов гораздо труднее обнаружить.
- Политика паролей
Почему пароли должны состоять как минимум из 8 символов?
Похоже, каждая платформа предъявляет разные требования к паролям.
И сложность может привести к некоторому беспорядку, когда дело доходит до запоминания того, как получить доступ к учетным записям.
Одно требование, однако, довольно последовательное: пароль должен состоять из определенного количества символов. Текущая рекомендация Национального института стандартов и технологий (NIST) — не менее восьми символов.
Но почему?
Менеджер по системной интеграции Essent Деймон Копп недавно провел корпоративный тренинг по паролям и попутно рассказал несколько интересных идей, в том числе почему восемь символов являются стандартом. Вот кое-что из того, что мы узнали.
Древние пароли
Пароли использовались, по крайней мере, еще в римской армии.
Пароли появились раньше Интернета, компьютеров и даже электричества.
Буквально, пароль — это слово, которое позволяет вам пройти в определенную область, и понятно, как это может быть полезно в военных ситуациях. Пароли также определяются как слова, которые различают друг и враг.
Скомпрометированы миллиарды адресов электронной почты
Многие взломы паролей незначительны, например, проникновение вашей электронной почты в маркетинговый список. Но многие нет.
По словам эксперта по веб-безопасности и писателя Троя Ханта, почти 6,5 миллиарда учетных записей электронной почты были скомпрометированы. У Ханта есть веб-сайт, на котором вы можете проверить, был ли когда-либо скомпрометирован ваш адрес электронной почты.
Многие из них второстепенны, например, бот очищает ваш адрес электронной почты, чтобы составить маркетинговый список. Но многие из них не являются таковыми, особенно если в казенной части есть пароль или если пароль, прикрепленный к вашей учетной записи электронной почты, не является надежным.
Не дублируйте свои пароли
Мы знаем — сейчас практически невозможно запомнить ваши пароли даже без индивидуализации для каждого сайта. Но есть инструменты и стратегии.
Использование одного пароля для более чем одной платформы сопряжено с риском, потому что если кто-то взломает ваш пароль на одной платформе, теперь у него будет ваш пароль для нескольких платформ.
Знаем-знаем — запомнить свои пароли сейчас в принципе невозможно даже без индивидуализации для каждого сайта. Но есть стратегии и инструменты, которые облегчают эту задачу.
Одна из стратегий заключается в использовании префикса или суффикса для каждой платформы. Например, если ваш обычный пароль — 12345 (надеемся, что нет!), то ваш пароль электронной почты может быть 12345-mailbox, а логин для фэнтези-спорта — pigskin-12345.
Кроме того, LastPass, принадлежащий производителю GoToMeeting Citrix, представляет собой инструмент для управления паролями. Он хранит все ваши пароли под одним мастер-паролем, так что вам нужно запомнить только один мастер-пароль (хотя лучше сделать этот пароль крутым!).
Иногда приходится быть лжецом
Не задавайте вопросы честно!
Насколько сложно кому-то найти в Google талисман вашей школы?
Наводящие вопросы — это такие вопросы, как «Какова девичья фамилия вашей матери?» или «Какой у тебя был школьный талисман?» что платформы часто спрашивают, когда вы пытаетесь сбросить свой пароль.
Проблема в том, что правдивые ответы на многие из этих вопросов легко узнать другим. Ваш профиль в социальных сетях, вероятно, уже говорит или делает выводы, где вы учились в средней школе — насколько сложно кому-то будет найти в Google талисман вашей средней школы?
Когда вы настраиваете свою учетную запись, вам будет безопаснее придумать фальшивую школу или назвать школу вашего друга. Ответы на контрольные вопросы на самом деле не должны быть правильным ответом на вопрос.
Восемь символов — это только начало
Хакеры используют алгоритмы «грубой силы», которые генерируют тысячи вариантов подбора пароля в секунду. Чем длиннее пароль, тем больше вычислительной мощности требуется для правильного подбора пароля.
А теперь, наконец, вернемся к длина пароля.Зачем восемь символов?
Хакеры запускают алгоритмы, которые пытаются подобрать правильный пароль, непрерывно генерируя случайные пароли.
Но для непрерывной генерации паролей требуется определенная мощность компьютера — мы говорим о тысячах в секунду. И так каждый лишний символ в пароле требует экспоненциально большей мощности компьютера для взлома
При постоянном увеличении мощности компьютера минимальная требуемая длина пароля — это движущаяся цель, которая будет только увеличиваться Но для сегодняшних вычислительных мощностей восемь — это минимум количество символов, рекомендованное NIST
Один из наших коллег на сессии усмехнулся, когда спросил, какой длины должны быть пароли, когда квантовые вычисления станут более доступными.
Суть в том, что будьте готовы к более длинным паролям. Национальный институт стандартов и технологий уже рекомендует пароли длиной до 64 символов.
Теги: важное место, безопасность
Не менее 8 символов, включая 1 заглавную букву и 1 цифру | Вадим Авнилов
Чтение через 4 мин.·
12 сентября 2018 г.Каждый раз, когда мы подписываемся на новую услугу, нам нужно придумывать новый пароль. И почти каждый раз существуют определенные условия, которым должен соответствовать пароль, чтобы считаться «надежным» или «безопасным» паролем. Нас, как потребителей, заставляют поверить, что мы полностью должны убедиться, что наша учетная запись не будет взломана, но это далеко от истины. Хотя выбор пароля, который даже нам самим будет трудно запомнить, например, «VjWx2!b8m», намного лучше, чем пароль «Пароль», этого далеко недостаточно для защиты наших учетных записей от хакеров. Более важно то, как веб-сайт или служба обрабатывает и хранит наши пароли, и, к сожалению, это не зависит от нас.
Обычный текст
К сожалению, около 30% веб-сайтов хранят ваши пароли в виде обычного текста. Это означает, что если кто-то взломает этот веб-сайт и получит доступ к их базе данных, независимо от того, насколько сложен ваш пароль, хакер сможет просто прочитать его — не нужно ничего расшифровывать!
Даже если это не хакер, администраторы сайта также имеют доступ к вашему паролю в виде простой строки. Что, если они станут мошенниками и продадут его, а вы используете этот пароль для кучи других сервисов?
С веб-сайтами, которые хранят ваши пароли в виде простого текста, ваша информация просто небезопасна в Интернете.
Зашифрованные пароли
Звучит очень безопасно. Но часто это не так. Все средства шифрования заключаются в том, что к вашему паролю применяется алгоритм для его расшифровки. Однако, если алгоритм не сложен, его можно довольно легко перепроектировать, раскрывая ваш пароль.
Рассмотрим алгоритм ROT13.
ROT13ROT13 — это всего лишь алгоритм, который берет строку, состоящую только из символов A-Z и az, и вращает ее на 13 пробелов в алфавите. ROT47 — это вариант, который также учитывает числовые и специальные символы.
пароль => A2DDH@C5
Все это говорит о том, что даже если ваш надежный пароль зашифрован, если сервер взломан и алгоритм шифрования недостаточно силен, вся информация может быть расшифрована и ваш пароль может также быть в виде обычного текста.
Хешированные пароли
Алгоритм хеширования берет ваш пароль и преобразует его в строку случайных символов. Независимо от длины вашего исходного пароля, результирующая строка имеет фиксированную длину и будет сильно различаться при небольших изменениях ввода. Ниже я ввел три случайных пароля в генератор хэшей md5, чтобы получить результирующие хэши.
эй => 6057f13c496ecf7fd777ceb9e79ae285
сено => 4982b37aa4ff1d1761d9567323d2cf38
пароль => 5f4dcc3b 5aa765d61d8327deb882cf99
ihoIDO*&Y&*y8HIOH#Oho => 727740c307bcdafbf2723b5e60501147
Лучшие алгоритмы хеширования разработаны таким образом, что невозможно превратить хэш обратно в его исходная строка. Общие из них включают md5, SHA-1 и SHA-256.
Однако существуют радужные таблицы , которые сопоставляют общие пароли с их хешированными значениями, что упрощает получение хешированных паролей из взломанной базы данных и определение исходной строки.
Соленые хэши и медленные хэши
Они строятся на основе хэшей, чтобы сделать пароли максимально невзламываемыми.
Соленые хэши добавляют случайных, длинных, сложных набора данных к каждому отдельному паролю ПЕРЕД его запуском через алгоритм хеширования. Это отпугивает большинство хакеров, поскольку радужные таблицы теперь почти устарели. Даже если ценность соли будет известна, хакерам потребуется гораздо больше времени, чтобы взломать пароль с помощью грубой силы.
Медленные хэши добавляют уровень временной безопасности к хэшам для сдерживания хакеров, ограничивая их количество попыток в секунду. Они считаются лучшими в отрасли с точки зрения уровня безопасности.
Leave A Comment