что такое пароль в информатике
Краткая история паролей от античности до наших дней
Пароль жизни и смерти
Кодовые фразы в привычной нам форме использовались как минимум за 200 лет до Рождества Христова, уже в Древнем Риме. От желающих попасть на территорию городов требовали конкретную фразу, которую часовые получали на деревянной табличке. Что забавно, уже тогда использовался своеобразный аналоговый древнеримский блокчейн — при передаче таблички всегда было известно, у какой группы людей она находится прямо сейчас и если в нужный момент она не возвращалась обратно на регулярную «верификацию», этой группе людей грозили серьезные неприятности.
Следующим логичным шагом в развитии аналоговых паролей стало end-to-end-шифрование. Во многих военных операциях (например, битве за Нормандию), ключевой частью коммуникации стало не только знание пароля, но и знание ответа, которые менялись максимально часто. Практически сличение эмодзи в секретных чатах Telegram.
Первый цифровой пароль и первые утечки
Операционной системой, где был представлен вход по паролю, стала Compatible Time-Sharing System (CTSS), разработанная в MIT. Одной из главных задач в ходе ее создания было распределение ценнейшего ресурса — времени, в течение которого люди могли работать с системой. После ввода пароля человек мог работать в течение четырех часов, за которые нужно было успеть выполнить максимум задач.
Во время ввода пароля был даже аналог современных «звездочек»: если это было возможно, система отключала печатающий механизм для большей приватности во время ввода.
Разумеется, известно и имя «отца» концепции. Это Фернандо Корбато, руководитель команды, создавшей CTSS. Забавно, что, хотя целью было обеспечение информационной безопасности, безопасное хранение самих паролей предусмотрено не было. Причина прозаична: ресурсов у компьютерных систем того времени было не так много, и тратить их еще и на решение этой проблемы было чистым расточительством. «Никто не хотел посвящать слишком много машинных ресурсов задачам аутентификации», — вспоминал Корбато. Разумеется, при таких исходных просто не могли не случиться первые инциденты безопасности.
Они произошли в начале 1960-х. Один из сотрудников обнаружил, что мастер-файл с паролями можно просто распечатать, подав соответствующую команду. Простой и очевидный способ обойти защиту. Первый задокументированный случай стопроцентного компрометирования базы пользователей одного «сервиса».
А в 1966 году кто-то перепутал приветственное сообщение ОС и мастер-файл с паролям. То есть любой, кто заходил в систему, получал доступ ко всем данным сотрудников. По воспоминаниям Корбато, даже нашлись люди, которые воспользовались этим. Ничего криминального: просто сотрудники ради шутки заходили в файлы коллег и оставляли там разные сообщения. Такой вот троллинг на огромных вычислительных машинах 1960-х. Возможность хранить пароли в операционных системах Unix в хешированном виде появилась только в 1970-х.
Обозреваем на Хабре самые интересные и дискуссионные темы из мира IT. Если хотите быть в курсе новостей, традиционно входящих в топ читаемых, подписывайтесь на наш блог.
Возврат к истокам
Следующий этап эволюции — это менеджеры для всех сервисов. Они поспособствовали популяризации мнения, что записать мастер-пароль на бумаге и положить в надежное место — лучшее, что можно здесь сделать. Доводов в пользу этого всего два, но звучат они весьма логично.
Пароль как зло
Что интересно, в 2014 году Корбато охарактеризовал придуманную им систему паролей как «кошмар». По его словам, в момент создания они не могли предвидеть появления интернета в его современном виде. По его мнению, ситуация очевидна: никто не может запомнить множество разных сложных слов для всех нужных сервисов, поэтому в реальном мире происходит одно из двух. Либо люди пользуются костылями для запоминания, которые серьезно снижают эффективность концепции, либо пользуются менеджерами, которые Корбато тоже не считает чем-то надежным.
По признанию самого Корбато, у него было около 150 паролей от различных сервисов, и он пользовался различными ухищрениями, чтобы их запомнить. В июле 2019 года он умер в возрасте 93 лет.
Судя по всему, на этом моменте история паролей заканчивается, и они, возможно, переродятся во что-то более надежное и интересное. Конечно, избавление от паролей — процесс не быстрый, но, если идея приживется, через несколько лет мы сможем ощутить результаты изменений. Хотелось бы, чтобы они были положительными.
Исследование на тему паролей
Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Пароль [parole] — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Sony Pictures database
Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Длина пароля
Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.
Используемые символы
Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.
Словарные пароли
При данной проверке использовался словарь на 1.7 млн слов. Взять можно здесь dazzlepod.com/site_media/txt/passwords.txt Как видим результат неутешительный, больше трети пассов, словарные.
Тест на уникальность
В базу Sony Pictures так же включены пароли для других сервисов. Собственно на таблице отображено, сколько юзеров везде используют один и тот же пасс.
Брутфорс хеша
Поскольку все пароли хранились в открытом виде, но даже в случае если это были-бы хеши, нам удалось бы дешифровать примерно 82% от общего числа, с применением радужных таблиц.
E-mail password’s
Пароли можете даже не пробовать сопоставлять, поскольку все это дело было намерено перемешано. Поскольку целью было не компрометация пользователей, а проведение анализа используемых паролей. Изначально список состоял из 24,546 записи. Все они имели следующий формат username@domain/password. После проведение небольшой очистки, осталось 23,573 аккаунта. Затем были удалены дубликаты и на выходе получился список из 21,686 аккаунта.
Основная масса это были мыльники популярного зарубежного почтовика hotmail.com. Но надо отметить, что присутствовали и другие почтовые системы, такие как Yahoo, Gmail, AoL и т.д. Нижу будет представлен ТОП-20 доменов и количество учетных записей для каждого из них.
1. hotmail.com – 12478
9. sbcglobal.net – 275
10. hotmail.co.uk – 206
11. neomail.com – 153
15. bellsouth.net – 95
20. earthlink.net – 46
Если мы посмотрим на имена пользователей, то можем наблюдать, что первые 9,586 из них расположены в алфавитном порядке. Они начинаются с букв «A» & «B». Исходя из используемых ими паролями, можно сделать вывод, что они относятся к латинскому сообществу. Но так же присутсвуют аккаунты со всего мира.
Наиболее часто используемый пароль по прежнему остается 123456. Как вы можете увидеть ниже, из общего числа в 21,866 паролей, 91 из них 123456. Вот ТОП-100 наиболее часто используемых паролей из списка.
1. 123456 – 91
2. neopets – 39
3. monkey – 27
4. 123456789 – 26
5. 123321 – 24
6. password – 23
7. iloveyou – 17
8. princess – 16
9. horses – 16
10. tigger – 15
11. pokemon – 14
12. cheese – 14
13. 111111 – 13
14. kitty – 13
15. purple – 12
16. dragon – 12
17. nicole – 12
18. 1234567 – 11
19. alejandra – 11
20. daniel – 11
21. bubbles – 10
22. alejandro – 10
23. michelle – 10
24. 12345 – 10
25. hello – 10
26. c***** – 10
27. chocolate – 9
28. hottie – 9
29. alberto – 9
30. 12345678 – 9
31. fluffy – 9
32. buddy – 9
33. 123123 – 9
34. cassie – 9
35. andrea – 9
36. secret – 9
37. shadow – 9
38. tequiero – 9
39. ****llica – 9
40. poop – 8
41. hi – 8
42. sebastian – 8
43. jessica – 8
44. adopt – 8
45. 654321 – 8
46. justin – 7
47. newpw123 – 7
48. scooter – 7
49. soccer – 7
50. holly – 7
51. hannah – 7
52. flower – 7
53. 1234 – 7
54. jessie – 7
55. ashley – 7
56. tiger – 7
57. lauren – 7
58. football – 7
59. elizabeth – 7
60. casper – 7
61. roberto – 7
62. 000000 – 7
63. legolas – 7
64. estrella – 7
65. 159753 – 7
66. anime – 7
67. sabrina – 6
68. moomoo – 6
69. angelica – 6
70. cat123 – 6
71. bonita – 6
72. buster – 6
73. kitten – 6
74. killer – 6
75. qwerty – 6
76. chelsea – 6
77. sasuke – 6
78. olivia – 6
79. theresa – 6
80. america – 6
81. beatriz – 6
82. mariposa – 6
83. oscar – 6
84. rainbow – 6
85. yellow – 6
86. cool – 6
87. ginger – 6
88. maggie – 6
89. friends – 6
90. asdfgh – 6
91. abc123 – 6
92. neopet – 6
93. dancer – 6
94. amanda – 6
95. avatar – 6
96. boogie – 6
97. greenday – 6
98. thumper – 6
99. 666666 – 6
100. bob – 6
По формату паролей, можно извлечь следующую статистику.
43.3% — буквы, в нижнем регистре. Пример: monkey
2.1% — буквы, верхний и нижний регистр. Пример: Thomas
15.8% — только цифры. Пример: 123456
35.1% — буквы и цифры. Пример: j0s3ph
3.6% — буквы, цифры и спец. символы. Пример: sandra19_1961
30% — заканчивается цифрой. Пример: hello1
Если мы посмотрим на длину пароля в следующем графике, то мы увидим, что большинство из них 6-символьные. 
Rootkit.com
6 февраля 2011, как часть атаки на HBGary, группировка Anonymous, с применением методов социальной инженерии, удалось скомпрометировать Jussi Jaakonaho, одного их технических админов rootkit.com. В итоге был заполучен полный дамп ресурса со всей базой данной, в том числе и пользователей.
Для дешифровки использовался John the Ripper. Большинство паролей были подобраны с применением словаря на 17.5 MB, а остальные добивались с помощью других комбинированных атак. Ниже представлены 10 наиболее часто используемых паролей.
Rank Password Accounts
1 | 123456 | 1023
2 | password | 392
3 | rootkit | 341
4 | 111111 | 190
5 | 12345678 | 181
6 | qwerty | 175
7 | 123456789 | 170
8 | 123123 | 99
9 | qwertyui | 92
10 | letmein | 91
Как мы видим снова засветился уже побитый 123456. Так же стоит отметить тот факт, 3 место по популярности, занял пароль аналогичный названию ресурса, аж 341 результат. Я так же хочу добавить основываясь на своем многочисленном опыте, когда работаешь с базами, по дешифровке пассов, довольно часто попадаются ресурсы, которые в качестве пароля используют адрес этого самого ресурса. При этом данное наблюдение не является правило. Но на моей практике уже были порталы, где % таких пассов был достаточно велик, а были где вообще не использовался ни разу. Я пока не нашел зависимости данного наблюдения.
А по следующей ссылке вам будет доступен ТОП-500 используемых паролей на ресурсе rootkit.com:
dazzlepod.com/rootkit/password
Для проверки надежности пароля
Скорость подбора с помощью пароля можно описать нехитрой математической формулой: количество возможных символов, возведенное в степень длины пароля, поделенное на количество перебираемых паролей в секунду. В результате получается примерное время в секундах. Впрочем, чтобы доказать человеку, что на деле означает простой пароль, не нужно грузить его математикой. Достаточно зайти на сайт How Secure Is My Password?, ввести <> (слово > в латинской раскладке) и показать, что такой пасс сбрутится на обычном PC за 30 секунд. Вобщем потестить пароли довольно интересно: сразу становится видно, что длина пароля намного важнее его сложности. Для взлома «#R00t$H3ll» уйдет 195 лет, а на, казалось бы, простой «abcdefg1234567» — 5722 года.
И как когда-то написал админ insidepro:
Интересное наблюдение — последние пару недель наша база hash.insidepro.com по параметру «Webcrack today» ежедневно лидирует, что не может не радовать. Причем наступающий «на пятки» сервис www.md5decrypter.co.uk (очень достойный сервис, имхо) имеет базу в 5 млрд. хэшей, но получается, что наша 33-миллионная база эффективней, несмотря на то, что она меньше более чем в 150 раз. Это еще раз подтверждает тезис — «дело не в количестве, а в качестве».
Поэтому чтобы удачно вскрывать и дешифровывать пароли, не надо сразу лезть качать rainbow table которые весят сотни гигабайт. А достаточно разобраться в вопросе, тогда относительно не большая база, которую вы будете время от времени пополнять, будет показывать очень хороший результаты по пробиваемости.
PASSWORD
Password — 1) Пароль. Код доступа для получения закрытой информации (например, для входа в ваш почтовый ящик).
2) Пароль, необходимый для идентификации пользователя, например, при работе в сети
Смотреть что такое PASSWORD в других словарях:
PASSWORD
PASSWORD
PASSWORD
password: translation nounADJECTIVE ▪ correct, valid ▪ user ▪ Please supply a valid user password. ▪ secret VERB + PASSWORD ▪ know, remember ▪ ch. смотреть
PASSWORD
password: translation password pass‧word [ˈpɑːswɜːd ǁ ˈpæswɜːrd] noun [countable] COMPUTING a series of secret letters or numbers that. смотреть
PASSWORD
• Computer access code • Dad’s saber? • Durable 1960s game show • Game show on which Oscar gave the clue Aristophanes and Felix correctly answered Rid. смотреть
PASSWORD
Password: übersetzung Pass|word 〈[ pa:swœ:d] n. 15; bes. EDV〉 = Passwort [engl.]* * * Password [dt. Kennwort\], Passwort.
PASSWORD
Password: traducciónContraseña Clave para proteger cualquier tipo de información. En Internet es recomendable utilizar contraseñas de, como mínimo, o. смотреть
PASSWORD
[ʹpɑ:swɜ:d] n1) воен. пароль, пропуск2) вчт. пароль
PASSWORD
<ʹpɑ:swɜ:d>n 1) воен. пароль, пропуск 2) вчт. пароль
PASSWORD
пароль код (последовательность символов), используемый для получения доступа к закрытой (защищенной) системе см. тж. access code, brute-force attack, cleartext password, login, one-time password, password equivalence, password protection, PIN. смотреть
PASSWORD
password: translationA secret word or distinctive sound used to reply to a challenge. See also challenge; countersign.
PASSWORD
PASSWORD
PASSWORD
1) код идентификации (личности обслуживающего персонала) 2) пароль (ограничивает доступ к данным знающими его лицами)
PASSWORD
password [ˊpɑ:swɜ:d] n паро́ль; про́пуск
PASSWORD
1) код идентификации (личности обслуживающего персонала) 2) пароль (ограничивает доступ к данным знающими его лицами)
PASSWORD
password [ʹpɑ:swɜ:d] n 1) воен. пароль, пропуск 2) вчт. пароль
Пароль
Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Связанные понятия
Связанные понятия (продолжение)
Экспло́ит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные.
В контексте сетевой безопасности spoofing attack (англ. spoofing — подмена) — ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества.
Смешанная сеть (англ. Mix network) — протоколы маршрутизации, создающие трудно прослеживаемую связь, используя цепь прокси серверов известных как mixes, которые принимают сообщения от множества пользователей, перемешивают их и рассылают дальше в случайном порядке до следующего пункта назначения(возможно в другой mix узел). Это разрушает связь между источником сообщения и получателем, усложняя перехват сообщения при end-to-end общении. Более того, каждый узел знает только информацию о предыдущем узле.
U2F (англ. Universal 2nd Factor) — открытый, бездрайверный протокол для двухфакторной аутентификации, основанный на вызов-ответной аутентификации, позволяющий интернет-пользователям использовать U2F устройство как второй фактор для аутентификации на большом количестве онлайн-сервисов.
Что такое логин и пароль? Подробно и наглядно для новичков.
Логин – это набор символов, имя, сочетание цифр или адрес почтового ящика, использующийся для идентификации пользователя сайта, говоря простым языком – это ваш уникальный идентификатор.
Логин служит для авторизации на сайтах и в большинстве случаев является публичным и открытым.
Пароль – это набор символов (букв, цифр), предназначенный для авторизации под определенным логином (именем) пользователя.
Смысл пароля заключается в защите ваших персональных данных (личных сообщений, переписок, сохранённой информации), которые доступны при входе на сайт под вашим логином. Пароль обязательно должен быть уникальным и не должен быть показан в публичном доступе.
Как подобрать логин и пароль?
Связка логин-пароль используется на большинстве современных сайтов для регистрации пользователей, как правило, в качестве логина используется адрес электронного почтового ящика или номер мобильного телефона.
Большинство социальных сетей сегодня используют номер мобильного телефона в качестве логина пользователя поэтому с подбором логина в этом случае проблем возникнуть не может.
Подбор логина
Подбор пароля
Примеры паролей разной степени защиты
Плохие пароли:
Примеры хороших паролей:
Заключение
Теперь вы знаете что такое логин и пароль и зачем они нужны, подбирайте для себя только надежные логины и пароли, а также используйте для каждого сайта уникальные и новые данные.