Теги → пароли
Быстрый переход

Данные пользователей популярного менеджера паролей Passwordstate утекли в Сеть

Австралийская компания Click Studios, разработчик менеджера паролей Passwordstate, сообщила пользователям о возможной утечке их паролей. Злоумышленники распространили вредоносное обновление программы, которое может привести к утечке данных. Об этом сообщили польские эксперты по безопасности из Niebezpiecznik.

Леон Нил, Getty Images

Леон Нил, Getty Images

Предположительно вирусное обновление распространялось с 20 по 22 апреля. На устройства клиентов скачивался архивный пакет, после распаковки которого устанавливался специальный dll-файл, который передавал злоумышленникам различные сведения с устройства пользователя. Подробный процесс его работы можно найти в блоге Тахи Карима (Taha Karim). 

В украденных данных могут храниться пароли от корпоративных систем. Как отметил специалист по безопасности SentinelOne Хуан Андре (Juan Andres), скачиваемые пароли зашифрованы, однако их можно легко расшифровать при помощи инструментов, находящихся в свободном доступе.

Важно отметить, что масштаб утечки неизвестен. Сервисом Passwordstate пользуются более 370 тысяч IT-специалистов по всему миру и 29 тысяч компаний. Многие клиенты входят в рейтинг Fortune 500. Разработчики уже выпустили исправление, призванное удалить вредоносное ПО, и рекомендовали пользователям сменить все пароли. Исследователь безопасности Таха Карим считает, что этого может быть недостаточно и потенциальным жертвам следует исследовать и проверить всю свою инфраструктуру.

В SolarWinds, ставшей жертвой атаки хакеров, использовали для доступа к системе пароль solarwinds123

В минувшую пятницу на совместных слушаниях комитетов по надзору и внутренней безопасности Конгресса США были рассмотрены причины одного из самых серьёзных нарушений безопасности в истории страны. В результате взлома серверов SolarWinds пострадало около 100 компаний и 9 федеральных агентств США.

В качестве одной из версий успешного проникновения хакеров рассматривается утечка пароля «solarwinds123», который использовался сотрудниками компании для доступа к системе. Его обнаружил в 2019 году в свободном доступе в Интернете независимый исследователь по вопросам безопасности Винот Кумар (Vinoth Kumar), который предупредил компанию о существующей опасности взлома сервера SolarWinds из-за утечки.

Бывший гендиректор SolarWinds Кевин Томпсон сообщил, что проблема с паролем была «ошибкой, которую допустил стажёр». Он отметил, что служба безопасности сразу исправила проблему, как только стало известно. Фактически неназванный стажёр дважды нарушил базовые правила безопасности: он не только использовал примитивный пароль, но и «догадался» выложить его в своём репозитории на GitHub.

В свою очередь, нынешний гендиректор SolarWinds Судхакар Рамакришна (Sudhakar Ramakrishna) сообщил, что этот пароль стажёр использовал для доступа ещё в 2017 году. Ни Томпсон, ни Рамакришна не объяснили законодателям, почему компания вообще позволяет использовать столь простые пароли. «У меня есть более надёжный, чем „solarwinds123“, пароль, чтобы мои дети не смотрели слишком много видеороликов YouTube на своих iPad», — отметила член Палаты представителей США Кэти Портер (Katie Porter).

Винот Кумар ранее рассказал ресурсу CNN, что до того, как компания исправила проблему в ноябре 2019 года, пароль был доступен онлайн как минимум с июня 2018 года. Это позволило ему войти в систему и успешно разместить файлы на FTP-сервере SolarWinds, с которого клиенты скачивали обновления ПО. Кумар тогда предупредил компанию, что, используя эту тактику, любой хакер сможет загружать вредоносные программы в SolarWinds.

В популярном менеджере паролей LastPass для Android обнаружилось множество рекламных трекеров

Немецкий исследователь безопасности проанализировал популярный менеджер паролей LastPass для Android. В результате проверки стало известно, что в приложение встроены целых семь трекеров, которые могут использоваться издателем приложения или его партнёрами для сбора данных в рекламных целях.

appleinsider.com

appleinsider.com

Майк Кукетц (Mike Kuketz), эксперт по кибербезопасности, был удивлён, обнаружив семь трекеров в приложении, которому пользователи доверяют свои пароли. Стоит отметить, что LastPass было установлено из Google Play более десяти миллионов раз. Исследователь обнаружил в приложении следующие трекеры:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPixel
  • Segment

Трекеры стали обычным явлением в таких приложениях таких типов, как социальные сети и клиенты интернет-магазинов. А вот что касается программ, предназначенных для обеспечения конфиденциальности, таких как менеджеры паролей, исследователи сходятся во мнении, что включение в них трекеров является крайне неэтичным. Кукетц отмечает, что шесть из семи трекеров в LastPass активируются ещё до того, как пользователь начинает взаимодействие с приложением. Отдельно стоит отметить тот факт, что они не спрашивают у пользователя, согласен ли он предоставлять свои данные третьим лицам.

appleinsider.com

appleinsider.com

Конечно, трекеры не имеют доступа к паролям, хранящимся в приложении, однако они отслеживают практически все действия пользователя. Стоит отметить, что разработчик приложения LastPass полностью отрицает наличие в нём каких-либо трекеров. Надо заметить, что ярлыки конфиденциальности в Apple AppStore также указывают на то, что версия LastPass для iOS собирает ряд пользовательских данных, включая местоположение, список контактов, а также имеет доступ к пользовательскому контенту и рекламному идентификатору.

Самые популярные пароли 2020 года. Проверьте свой в списке

Хотя на дворе XXI век, заставить людей мыть руки смогла только эпидемия COVID-19. Вероятно, нечто подобное должно произойти в мире цифровой безопасности, чтобы люди перестали массово использовать очевидные пароли типа «пароль» или «123». Но пока этого не происходит. Аналитика показывает, что год за годом подавляющее большинство людей использует одни и те же простейшие пароли, на взлом которых бот-хакер тратит менее секунды.

Источник изображения: Getty Images

Источник изображения: Getty Images

Компания North Pass по разработке приложений по безопасности опубликовала список самых популярных 200 паролей 2020 года. Надеемся, наши читатели не найдут в нём свои пароли. Все представленные в перечне секретные слова выявлены в процессе анализа утечек и взломов в прошлом году. В списке против каждого пароля можно увидеть, сколько людей его используют одновременно, время, которое необходимо боту на взлом пароля и частота взломов этого пароля в течение года.

Источник изображения: North Pass

Источник изображения: North Pass

Самым массовым остаётся пароль «123456» или один из множества его вариантов. Такой пароль взламывается менее чем за секунду. На второе место вышел новый пароль «picture1», который сменил популярный в 2019 году пароль «test1». На взлом этого «сложного» пароля боту требуется около трёх часов и случаев его взлома пока немного. Годами продолжают лидировать два других пароля: «qwerty» и «password» либо их незначительные модификации. Все они также взламываются менее секунды. В прошлом году в топ вырвалось слово «senha», что означает «пароль» по-португальски. На его взлом ушло целых 10 секунд, что погоды не делает.

Разработчики LastPass намерены ограничить возможности бесплатных аккаунтов сервиса

Стало известно о том, что сервис хранения паролей LastPass изменит схему взаимодействия с пользователями. С середины марта этого года обладатели бесплатных аккаунтов LastPass смогут хранить пароли только на устройствах одного типа. Об этом разработчики официально объявили в своём блоге.

В настоящее время пользователи с бесплатными аккаунтами LastPass могут взаимодействовать с сервисом на устройствах разного типа, например, компьютерах и смартфонах. Ситуация изменится 16 марта, когда в силу вступят новые правила работы с сервисом. Начиная с этой даты упомянутым пользователям придётся остановить свой выбор только на устройствах одного типа. Это означает, что при использовании LastPass на компьютерах и ноутбуках, нельзя будет хранить пароли на смартфонах и планшетах и наоборот. Разработчики предоставят три возможности изменения типа используемых устройств, чтобы пользователям было проще определиться, какой вариант более удобен.

Также было объявлено, что с 17 мая поддержка по электронной почте будет предоставляться только платным пользователям, т.е. обладателям премиальных аккаунтов и в рамках семейной подписки. До этой даты бесплатные пользователи смогут обращаться в службу поддержки, в том числе для прояснения вопросов, связанных с изменениями в политике сервиса.

Что касается премиального аккаунта, то его стоимость оценена в $3 в месяц. В настоящее время действует ограниченная по времени акция, в рамках которой стать обладателем премиального аккаунта LastPass можно за $2,25 в месяц.

Microsoft добавила в менеджер паролей Authentificator функцию автозаполнения полей

Компания Microsoft выпустила важное обновление для своего приложения Authentificator, теперь его пользователи получили функцию автозаполнения полей логина и пароля. Обновление дебютирует в том числе на iOS и Android. Об этом сообщает Engadget.

Источник изображения: Microsoft

Источник изображения: Microsoft

Обновление позволяет интегрировать Authentificator в браузер Edge, после чего синхронизировать сохранённые пароли с приложением и использовать их на других устройствах. Также компания представила расширение для браузеров на движке Chrome, которое обладает аналогичной функцией для автозаполнения и синхронизации.

В Authentificator также можно импортировать логины и пароли из CSV-файлов и некоторых других сервисов для менеджмента данных. В компании отмечают безопасность их разработки, потому что Authentificator перед автозаполнением требует ввести пароль или произвести биометрическое сканирование. Все данные внутри Authentificator хранятся в зашифрованном виде, а чтобы получить к ним доступ необходимо пройти двухфакторную аутентификацию.

Данную функцию Microsoft анонсировала ещё в декабре 2020 года и всё это время проводила тестирование. Недавно Apple тоже выпустила расширение для Chrome, которое позволяет хранить и использовать пароли iCloud.

В Google Chrome появился анализатор паролей — браузер подскажет, какие из них лучше заменить

Google добавила в браузер Chrome анализатор паролей. Теперь система подскажет пользователю, какие из них лучше заменить, если они недостаточно уникальны или повторяются в разных сервисах. Об этом сообщается на сайте Google.

Forbes

Forbes

Опция призвана повысить безопасность пользователей в Сети. Чтобы воспользоваться функцией, достаточно будет ввести в адресную строку «chrome: // settings / passwords» или нажать на значок ключа в поле управления учётной записью. Затем необходимо нажать кнопку «Проверить пароли». В ответ система покажет пользователю, какие коды доступа она посчитала слабыми. Также браузер предоставит пользователю ссылку на ресурс для нужных изменений. Владелец устройства также сможет попросить Chrome сгенерировать для него безопасные пароли.

Компания уточнила, что нововведение призвано обеспечить лучшую безопасность пользователя. По словам разработчиков, нововведения в 2020 году позволили сократить объём скомпрометированных данных на 37 %.

Сейчас функция доступна на iOS и компьютерах, которые используют Chrome 88-й версии. Компания пообещала в ближайшее время добавить опцию на Android.

Microsoft перестанет использовать традиционные пароли в своих продуктах в 2021 году

Microsoft уже давно заявляет о небезопасности стандартных паролей и работает над технологиями, которые позволят отказаться от их использования. Стало известно о планах компании, связанных с полным отказом от паролей в своей продукции. Предполагается, что все клиенты Microsoft смогут перестать их использовать уже в следующем году.

Источник говорит о том, что в настоящее время Microsoft занимается созданием новых API-интерфейсов и пользовательского интерфейса для управления ключами безопасности на основе стандарта FIDO2. Кроме того, разрабатывается «конвергентный портал регистрации», который мог бы использоваться клиентами для управления ключами безопасности. В компании убеждены, что отказ от привычных паролей, которые в Microsoft считают устаревшим средством защиты информации, значительно упростит взаимодействие с веб-пространством.   

Стоит отметить, что Microsoft уже давно работает в данном направлении. В рамках этой деятельности была создана технология Windows Hello (распознавание пользователя по отпечаткам пальцев или лицу), запущено приложение для аутентификации Microsoft Authenticator, а также созданы ключи безопасности на основе стандарта FIDO2, с помощью которых можно входить в разные учётные записи, не используя обычные пароли.

По данным Microsoft, почти 80 % кибератак нацелены на кражу паролей, и ежемесячно из-за этого взламывается каждая 250-я корпоративная учётная запись. Несмотря на это, Microsoft продолжает прилагать усилия, направленные на дальнейшее внедрение собственных технологий, позволяющих отказаться от паролей. Если в ноябре 2019 года технологии Microsoft для авторизации без пароля использовали 100 млн человек по всему миру, то в мае 2020 года их количество выросло до 150 млн человек. Это говорит о том, что миллионы людей по всему миру готовы отказаться от использования привычных паролей, которые не только небезопасны, но и требуют запоминания или же хранения в специальном приложении.

Microsoft представила менеджер паролей с поддержкой Edge, Google Chrome и приложений iOS и Android

Компания Microsoft встроила в приложение Microsoft Authenticator бета-версию нового менеджера паролей, который синхронизирует пароли в браузерах Edge, Google Chrome, а также на мобильных платформах iOS и Android. Основная функция Microsoft Authenticator, как и большинства подобных приложений, заключается в автозаполнении логинов и паролей для экономии времени.

Источник изображения: The Verge

Источник изображения: The Verge

Приложение может запомнить или автоматически создать надёжный пароль и вводить его каждый раз при входе в аккаунт, поэтому пользователю его запоминать не обязательно. Пароли синхронизируются из базы Microsoft Edge и могут использоваться на разных устройствах, подключённых к одной учётной записи Microsoft. Также поддерживается синхронизация паролей с Google Chrome с помощью расширения Автозаполнение Microsoft. Синхронизация выполняется для всех паролей, сохранённых в учётной записи Microsoft.

Источник изображения: Microsoft

Источник изображения: Microsoft

Как указывает ресурс The Verge, ещё в прошлом году ходили слухи о том, что Microsoft занимается разработкой полноценного менеджера паролей для пользователей подписки Microsoft 365, но, похоже, речь шла именно о менеджере для Microsoft Authenticator. Функция автозаполнения будет полезна для пользователей учётной записи Microsoft, работающих сразу на нескольких устройствах. Однако полноценный менеджер паролей, такой как Sticky Password, 1Password или LastPass, всё равно является более предпочтительной альтернативой, отмечает издание.

Новая функция автозаполнения паролей уже доступна в приложении Microsoft Authenticator. Для её использования необходимо включить соответствующее средство автозаполнения в настройках устройства iOS или Android.

Источник изображения: Comss.ru

Источник изображения: Comss.ru

Источник изображения: Comss.ru

Источник изображения: Comss.ru

Автозаполнение работает только с пользовательскими учётными записями Microsoft и отключено для корпоративных пользователей, которые используют приложение для входа по телефону или для многофакторной аутентификации. Компаниям необходимо дополнительно подключать опцию автозаполнения для корпоративных пользователей Microsoft Authenticator.

Опубликован рейтинг самых популярных паролей 2020 года: победил «123456»

Согласно анализу базы данных компании NordPass, предоставляющей сервис хранения паролей, было выявлено, что пользователи Сети по-прежнему используют самые простые пароли, подбор которых не составляет никакого труда. Обработав данные почти 300 миллионов пользователей, NordPass опубликовала рейтинг самых используемых в 2020 году паролей.

gizchina.com

gizchina.com

Первое место заняла комбинация «123456», которой пользуется два с половиной миллиона пользователей. В прошлом году этот пароль занимал вторую строчку рейтинга. NordPass сообщает, что за год он был взломан более 23,5 миллионов раз. Данные показывают, что несмотря на угрозы безопасности, многие пользователи упёрто используют откровенно слабые пароли. В прошлом году лидером рейтинга был ещё более короткий «12345», который в этом году сместился на восьмую позицию. Этим паролем по-прежнему пользуется 188 тысяч пользователей. К слову, оба пароля взламываются менее чем за секунду.

gizchina.com

gizchina.com

NordPass сообщает, что 78 процентов паролей в рейтинге 2020 года являются новыми. Исследования показали, что из-за удобства люди используют простые и легко запоминающиеся комбинации, а также ругательства, даты, имена и названия блюд. В первую десятку пробились такие пароли, как «111111», который за год поднялся с 17-го на шестое место, а также «123123», который вышел на седьмую позицию с 18-ой в 2019.

В число наиболее используемых вошёл пароль «picture1», который удостоился третьей позиции и является самым сложным в топ-10. На его взлом уходит три часа. Замыкает десятку лидеров «senha», что переводится с португальского как «пароль». Его взлом занимает десять секунд. Все остальные пароли из первой десятки взламываются менее чем за одну секунду.

Dropbox запустила менеджер паролей для Android

Dropbox без лишней шумихи опубликовала в магазине приложений Google Play программу, предназначенную для управления пользовательскими паролями. Приложение, которое получило название Dropbox Passwords, представляет собой менеджер паролей, который в данный момент находится в стадии закрытого бета-тестирования и доступен только по приглашениям для действующих клиентов Dropbox.

neowin.net

neowin.net

Интерфейс приложения напоминает большинство других менеджеров паролей, таких как LastPass или 1Password, но выполнен с более минималистичным подходом. Dropbox Password имеет возможность синхронизировать пароли для всех устройств пользователя. Программа поддерживает «шифрование с нулевыми знаниями», что значит, что только владелец имеет доступ к своим паролям. Приложение также поддерживает функцию автозаполнения, благодаря чему авторизоваться на сайтах или в приложениях можно буквально в один клик.

neowin.net

neowin.net

Dropbox Password можно загрузить из Google Play, однако воспользоваться им смогут только пользователи, которые получили приглашение на участие в бета-тестировании. Есть неподтверждённая информация, что в будущем приложение выйдет и для iOS. Несмотря на доступность Dropbox Password в Google Play, компания пока официально его не анонсировала.

Браузер Firefox теперь предупреждает пользователя об утечке пароля

Mozilla сегодня выпустила стабильную версию браузера Firefox 76 для настольных ОС Windows, macOS и Linux. Новый релиз вышел с исправлениями ошибок, патчами безопасности и новыми возможностями, самые интересные из которых заключаются в улучшенном менеджере паролей Firefox Lockwise.

Изюминкой версии Firefox 76 являются нововведения, добавленные во встроенный менеджер паролей Firefox Lockwise (доступен по адресу about:logins). Во-первых, Lockwise станет запрашивать у пользователя данные от его учетной записи в установленной ОС Windows или macOS (если не установлен мастер-пароль), прежде чем показывать какие-либо пароли в открытом виде. Компания Mozilla заявила, что добавила эту функцию по просьбе сообщества Firefox. Ранее пользователи жаловались на то, что злоумышленник мог дождаться пока владелец ПК отойдет от своего рабочего места, а затем быстро получить доступ к встроенному менеджеру паролей Firefox, чтобы найти и скопировать пароли на обычный лист бумаги.

Во-вторых, теперь встроенный менеджер паролей Firefox сканирует все сохраненные пароли пользователя на предмет утечки. Компания-разработчик сообщает, что если один из паролей пользователя идентичен паролю, который ранее был скомпрометирован в Интернете, браузер покажет соответствующее предупреждение с рекомендацией изменить пароль. Так как этот пароль теперь, скорее всего, является частью списков словарей паролей, которые хакеры используют для брут-форса.

В-третьих, Lockwise получил ещё одно повышение уровня безопасности, которое заключается в интеграции сервиса с Firefox Monitor. Данная платформа позволяет пользователям проверять, не оказались ли их учетные данные в Интернете. Начиная с Firefox 76, Lockwise будет также показывать предупреждения для сайтов, которые недавно столкнулись с нарушением безопасности (например, пароли от которых попали в хакерские базы), призывая пользователей изменить свои учетные данные.

Mozilla заверяет, что не нужно паниковать по поводу представленных новшеств безопасности, поскольку веб-браузер Firefox оперирует не самими паролями, а зашифрованными версиями учетных данных, дабы сохранить конфиденциальность своих пользователей.

Обновиться до Firefox 76 можно с помощью встроенного инструмента обновления браузера, доступного в разделе «Справка» -> «О Firefox» (Help -> About Firefox). Либо актуальную версию браузера можно скачать с официального сайта

На свалках найдены бортовые компьютеры Tesla с личными данными автомобилистов

После замены бортового компьютера автомобилей Tesla сотрудники заводов и сервисных центров выбрасывают их на свалку, не стирая конфиденциальную информацию об их бывших владельцах. Это ставит под угрозу такие личные данные автомобилистов, как их имена, платёжные данные, а также пароли от учётных записей Google, Spotify и других сервисов. Об этом в своём твиттере сообщил хакер под ником Green, предварительно уведомив Tesla об обнаруженной проблеме.

Бывшие в употреблении бортовые компьютеры Tesla сейчас можно найти на торговой площадке eBay. Хакер под ником Green попробовал приобрести несколько таких компьютеров и действительно нашёл в них информацию о предыдущих владельцах. Данные были не зашифрованы, то есть любой покупатель мог легко завладеть аккаунтами чужого человека.

Хакер сообщил о проблеме представителям Tesla и те пообещали провести расследование. Когда он поделился идентификационными номерами транспортных средств, в которых купленные бортовые компьютеры стояли раньше, Tesla объявила, что эти компьютеры были у неё «украдены». В ответ на это хакер объявил, что старые бортовые компьютеры с не зашифрованными данными можно найти даже в мусорных контейнерах рядом с заводами и сервисными центрами Tesla.

Бортовые компьютеры Tesla на торговой площадке eBay

Бортовые компьютеры Tesla на торговой площадке eBay

Tesla утверждает, что по ее правилам, все данные с бортовых компьютеров до выбрасывания на свалку должны удаляться. Она вполне может контролировать этот процесс на заводах, но сотрудники сервисных центров могут и не подчиняться правилу. По словам хакера, у него есть знакомые, которые занимаются неофициальным ремонтом автомобилей Tesla. Они сообщили ему, что иногда покупают старые бортовые компьютеры у самих сотрудников Tesla. То есть, после замены старое оборудование может вовсе миновать мусорную урну и прямиком отправиться в другой автомобиль.

На данный момент Tesla обещает, что свяжется с владельцами автомобилей, которые могли пострадать из-за обнаруженной проблемы. Нынешним владельцам Tesla же следует помнить, что в случае замены бортового компьютера важно поменять свои пароли, чтобы не допустить взлома.

«Связка ключей iCloud» в iOS 14 станет более функциональной

В коде системы iOS 14, который утёк в Сеть несколько недель назад, эксперты издания 9to5mac обнаружили информацию о том, что служба «Связка ключей iCloud» претерпит массу изменений. Напомним, данная функция предназначена для хранения пользовательских паролей от различных сайтов и приложений, и позволяет синхронизировать их между устройствами под управлением macOS и iOS.

9to5mac.com

9to5mac.com

В новой версии «Связки ключей» появятся предупреждения о том, что тот или иной пароль используется повторно. Это очень полезная особенность, поскольку повторное использование паролей может быть чревато тем, что зная пароль для одного сайта или приложения, злоумышленник может воспользоваться полученной информацией для входа во все учётные записи, защищённые этим паролем.

9to5mac.com

9to5mac.com

Также появится новое средство для работы с кодами двухфакторной аутентификации. Пользователи получат возможность входить в аккаунты с двухэтапной аутентификацией только посредством «Связки ключей», без необходимости подтверждения по SMS.

Расширение функциональности «Связки ключей iCloud» поможет Apple конкурировать со сторонними сервисами хранения учётных данных, такими как 1Password. Операционная система iOS 14, включающая обновлённую «Связку ключей iCloud», скорее всего будет представлена осенью, вместе с новым поколением iPhone.

ФБР рекомендует: вместо коротких сложных паролей лучше перейти на простые парольные фразы

Вряд ли кто-то будет оспаривать необходимость паролей для защиты учётных записей в Интернете и на ПК. Но сделать это можно по-разному. Пароль может быть коротким, из невообразимых комбинаций букв, цифр и символов, а может быть длинным и состоящим из простых слов. Как считает ФБР, второй способ представляется наилучшим выбором.

На этой неделе офис ФБР в Портленде распространил рекомендации пользоваться длинными парольными фразами из простых слов вместо коротких и сложных паролей. Рекомендации были сформированы в рамках технических консультаций. Короткий пароль, состоящий из букв в разных регистрах, цифр и специальных символов большинству пользователей крайне сложно запомнить. Парольная фраза из простых слов, напротив, легко запоминается человеком за счёт ассоциативного мышления.

Национальный институт стандартов и технологий США (NIST) выпустил похожие рекомендации ещё в 2017 году. Согласно этим рекомендациям, на сайтах необходимо было размещать поля для паролей длиной до 64 символов. Пользователям же рекомендовалось использовать парольные фразы вместо сложных паролей. Аналогичную рекомендацию в ноябре 2019 года в советы по безопасности включило Министерство национальной (внутренней) безопасности США (DHS).

В рекомендации ФБР предлагается использовать несколько простых слов в цепочке длиной не менее 15 символов. «Дополнительная длина парольной фразы усложняет взлом, а также облегчает запоминание». На взлом парольных фраз даже из простых слов потребуется гораздо больше времени, чем на взлом предельно сложного по конструкции, но короткого пароля. Это подтверждают также академические исследования, результаты которых были обнародованы в 2015 году: «эффект увеличения длины превосходит эффект расширения алфавита [добавление сложности]».

XKCD.com/936/

XKCD.com/936/

На тему парольных фраз лет семь-восемь назад появился комикс XKCD. Позже даже был открыт сайт для генерации парольных фраз в стиле этого комикса. Кроме того, существуют библиотеки с открытым кодом, которые могут наделить службы и приложения функцией автоматической генерации парольных фраз. Но всё это не имеет смысла, если пользователи сознательно не начнут использовать парольные фразы вместо коротких сложных паролей или, что тоже себя не изжило, комбинаций «12345».

window-new
Soft
Hard
Тренды 🔥
TikTok получил интеграцию со сторонними сервисами 58 мин.
Глава студии-разработчика Abandoned впервые показался на видео — он действительно не Кодзима 59 мин.
Анализ Cyberpunk 2077 на PlayStation 4: стабильные 30 кадров/с, но ценой снижения детализации и количества NPC 3 ч.
Дизайнер Portal теперь будет продвигать облачный гейминг в Microsoft и работать с внешними студиями — в том числе Kojima Productions 3 ч.
В интернет-зависимости сознались больше 40 % жителей России 3 ч.
Microsoft намекнула на добавление детективного экшена Judgment в Xbox Game Pass 3 ч.
Градостроительная стратегия Industries of Titan добралась до Steam, не выходя из раннего доступа 4 ч.
Пациент скорее жив, чем мёртв: создатель Tekken опроверг отмену многострадального файтинга Tekken x Street Fighter 4 ч.
Пиксельный ролевой экшен No Place For Bravery поступит в продажу к концу года 4 ч.
Хакеры опубликовали около 700 Гбайт украденной у ADATA информации 13 ч.