Наука и технологии
6 августа 2012, 07:28

Сайт дня: HowSecureIsMyPassword.net - Будь уверен! Будь защищён!

Сегодня сайтом дня объявляется сервис HowSecureIsMyPassword.net, который тестирует пароли на надёжность. Совсем недавно такие сайты казались бессмысленной игрушкой для гиков и параноиков, однако после громких скандалов со взломами ряда крупных сервисов тема обрела заслуженную популярность. Всё-таки, хакеры справились с защитой не домашней странички Васи Пупкина, а с такими сайтами, как Yahoo Voices, Formspring, Last.fm, eHarmony, LinkedIn, AndroidForums и Dropbox. В результате даже до рядовых пользователей дошло, что хакеры, укравшие хеши паролей, не будут ломать шифрование md5 и sha2 при помощи квантовых компьютеров или инопланетного разума. Они начнут с того пробьют хеши по базе самых распространённых паролей.

Естественно, есть люди, для которых ничего не изменилось. Кто-то и раньше пользовался надёжными паролями, а кто-то и дальше будет хранить свои банковские аккаунты и домашнее порно за паролем "123456", но достаточно много пользователей задумались над тем, как определить, насколько легко ломается та или иная последовательность символов, так что сайты, проверяющие надёжность надёжность паролей, снова входят в моду.

Главная страница сайта HowSecureIsMyPassword.net

Сайт HowSecureIsMyPassword.net хорош тем, что он не просто показывает пользователю значение на шкале от "надёжно" до "ненадёжно". Пользователю сообщаются конкретные ошибки, из-за которых его пароль попадает в категорию "легко ломается неопытным хакером". Для многих станет откровением, что реальные слова английского (да и любого другого) языка ломаются от нечего делать. Или что пароли только из строчных букв (а тем более - только из цифр) значительно слабее, чем смешанные. Многих неприятно удивит, что их любимый "оригинальный" пароль входит в десятку самых распространённых.

Оценка простого пароля на сайте HowSecureIsMyPassword.net

Также на сайте HowSecureIsMyPassword.net сообщается, сколько времени займёт взлом предложенного пароля на современном десктопном компьютере (квантовые-то пока есть не у всех хакеров). Цифры, конечно же, приблизительные и усреднённые, но порядок величин вполне правдоподобный.

Вот, например, как оценивается десятисимвольный пароль, сгенерированный LastPass:

Оценка сложного пароля на сайтеHowSecureIsMyPassword.net

На его взлом уйдёт около 58 лет. То есть, в эпоху распределённых вычислений, такие пароли стоит менять хотя бы раз в полгода.

А вот, что думает сайт HowSecureIsMyPassword.net про тринадцатисимвольный пароль "G5*Dt89((hY-R":

Оценка действительно надёжного пароля на сайтеHowSecureIsMyPassword.net

Понятно, что если такой пароль суметь запомнить, но нигде не светить, то его можно не менять всю жизнь. Даже если компьютеры станут намного быстрее, то и тогда этот пароль останется довольно надёжным.

Напоследок хочу напомнить, что даже самый крутой пароль сильно теряет в надёжности, если его диктовать вслух, записывать на бумажке или вводить с клавиатуры на незнакомом компьютере.

Знаете ещё хорошие сайты? Пишите на sitesoftheday@ferra.ru.