В пароле нельзя использовать кириллицу что это такое


Что такое кириллица в пароле? Подробный разбор

В статье рассказывается о том, что такое кириллица в пароле, почему использовать ее нельзя, и из-за чего возникает ошибка с таким содержанием.

Пароль

В наш век цифровых технологий сложно найти человека, который бы не пользовался различными электронными устройствами и гаджетами. И в каждом из них порой возникает необходимость защиты информации от доступа посторонних, и самое удачное решение – это обычный пароль. Также нужен он и для авторизации в программах и интернет-сервисах. И если с именем все понятно, то как понять, что именно его владелец пытается войти в тот же «ВКонтакте»? В этом случае на помощь приходит пароль. Но часто система его не принимает, ругаясь на наличие русских букв. Так что такое кириллица в пароле, и почему ее использование ошибочно?

«Неправильный пароль»

Подобное системное сообщение возникает в случае его ошибочности. К примеру, пользователь случайно ввел не тот символ и не обратил на это внимания. Но порой, казалось бы, все верно, многократно проверено, но войти под своей учетной записью все не выходит. Одна из возможных причин ошибки – это то, что человек забыл сменить раскладку клавиатуры или же использовал в нем кириллический символ. Обычно для удобства пользователей сайт или приложение может об этом предупредить, выдав подсказку, что в кодовой фразе есть буква русского алфавита. Но подобная функциональность встречается не во всех сервисах. Так что мы разобрались с тем, что такое кириллица в пароле.

Для исправления такой ошибки нужно просто быть внимательнее, – проверить, на каком языке вводится информация, и не включена ли клавиша Caps Lock. Ведь к примеру, Planeta и PlAnEtA – совершенно разные пароли, и об этом стоит помнить. Но почему использование наших «родных» букв запрещено?

Универсальность

Разбирая вопрос, что такое кириллица в пароле, нужно упомянуть общее положение дел в компьютерном мире. Все дело в том, что они и Интернет распространены по всем странам, как и их различные сервисы. И большое количество программного обеспечения, названий, документации и прочего переводится на язык нужного региона, но так бывает не всегда и не со всеми. Ведь одно дело – интерфейс программы или сайта, а другое – техническая информация, внутренние файлы настроек и то, что обычному пользователю вовсе не понадобится. Все это составляется на английском языке. Как и с реальной жизнью, в компьютерном мире он тоже является универсальным и международным.

Именно потому в пароле нельзя использовать кириллицу, как и арабские символы с китайскими иероглифами.

Описание кириллицы, ее использование в пароле и при регистрации

В России имеется свой алфавит и свои особенности написания. Они выражаются в так называемой кириллице, которую используют как для письма в любых видах, так и для регистрации в доменной зоне Российской Федерации.

Современная версия кириллицы представляет собой усовершенствованный вариант алфавита от Кирилла и Мефодия. Именно она и станет предметом изучения статьи.

Немного предыстории

Начало кириллического правописания восходит к IX веку. Инициатором ее создания выступил византийский император Михаил Третий, желавший донести религиозные тексты до верующих. Разработка этой темы была поручена Кириллу и Мефодию.

Теперь немного интересных фактов из истории кириллицы:

  1. Создателей кириллицы, а именно Кирилла и Мефодия, называли солунскими братьями.
  2. В качестве основы выступал греческий уставной язык, а некоторые буквы применялись также и для цифрового обозначения с помощью надстрочного символа титло.
  3. Несмотря на то, что язык предназначался для славянских народов, распространение он получил лишь после прихода христианства.
  4. Первой кириллическую письменность приняла Болгария, а Киевская Русь начала осваивать данный язык лишь в конце X века.

Вместе с развитием языка начинается распространение таких книг, как Библия, Евангелие, иные церковнославянские издания. Однако в своем первоначальном виде кириллица не сохранилась. Она претерпела изменения вместе с развитием страны.

Современный алфавит

В своем нынешнем виде кириллический алфавит имеет всего 33 буквы. Современный русский язык стал таковым в результате масштабной орфографической реформы, проведенной в 1917—1918 годах. Целью данных преобразований было упрощение алфавита и более широкий доступ к соответствующей письменности простых граждан. Именно современная версия кириллической азбуки стала основой для ряда неславянских языков на территории бывшего СССР и Монголии. Самым распространенным является гражданский шрифт, которым пользуются большинство граждан России, Украины, Беларуси, Болгарии и многих других.

Кириллица в кодировке

В настоящее время получило распространение использование кириллицы при регистрации сайтов, доменов, различных операторов в Интернете. Некоторые люди задаются вопросом: что такое кириллица в пароле? Это означает, что она записана в вордовском документе или зарегистрирована с помощью определенной кодировки.

На сегодняшний день имеются следующие виды кодировки, применяемые на компьютере:

  1. Главная кодировка.
  2. Болгарская кириллица.
  3. Альтернативная кодировка СР866.
  4. КОИ-8 и ДКОИ-8.
  5. Windows-1251.
  6. MacCirillic.

Каждая из кодировок имеет место в качестве используемой в том или ином документе. Вы можете настроить в документе в соответствующем разделе собственную кодировку. Однако наиболее популярно написание русских символов, настраиваемое через юникод, потому что данная программа установлена на большинстве компьютеров.

Юникодовская кириллица

Последняя, 9 версия программы Юникод установила для данной письменности 5 блоков. Помимо основного кода под названием Cirillic, имеются дополнения в виде Supplement, Extended-A, B, C. Последние 3 варианта кодировки представляют собой расширенную версию кириллицы.

В стандартной кодировке имеются обычные буквы, исторические, дополнительные символы для славянских языков. В расширенных версиях также добавляются такие элементы, как надстрочные буквы, предназначенные для церковнославянского языка, исторические начертания современных букв и некоторые другие старинные буквы.

При этом следует отметить, что юникод не имеет в своем арсенале ударений. Если это необходимо использовать при написании тех или иных документов, то следует делать их составными. Для этого добавляют так называемый U+0301, он же combining acute accent. Его ставят после гласной ударной буквы, это такие, как е, ы, ю, я и некоторые другие гласные, в которых надо поставить ударение.

Достаточно длительное время для юникода было проблемным составлять церковнославянскую письменность, но после версии 5.1 данная проблема практически исчезла и нужные символы были добавлены в качестве используемых.

История данной письменности достаточно интересная и познавательная. Претерпев значительные изменения, она обрела свой нынешний вид и активно используется как в обычном письме, так и в компьютерных программах. Последние предлагают немало вариантов кодировки, каждый из которых подойдет под определенные задачи. Несмотря на относительную простоту, кириллица имеет значительную популярность и применяется даже в неславянских языках в качестве базы для дальнейшего развития.

При этом предпринимаются попытки отказа от кириллической письменности в пользу латиницы, что произвели немало стран бывшего советского пространства. Однако кириллическая письменность продолжает существовать и развиваться. Удачного изучения кириллицы и русского алфавита, в них можно найти много познавательных вещей!

Видео

Из этого видео вы узнаете, что же такое кириллица.

Что такое кириллица в пароле? Подробный разбор

В статье рассказывается о том, что такое кириллица в пароле, почему использовать ее нельзя, и из-за чего возникает ошибка с таким содержанием.

Пароль

В наш век цифровых технологий сложно найти человека, который бы не пользовался различными электронными устройствами и гаджетами. И в каждом из них порой возникает необходимость защиты информации от доступа посторонних, и самое удачное решение – это обычный пароль. Также нужен он и для авторизации в программах и интернет-сервисах. И если с именем все понятно, то как понять, что именно его владелец пытается войти в тот же «ВКонтакте»? В этом случае на помощь приходит пароль. Но часто система его не принимает, ругаясь на наличие русских букв. Так что такое кириллица в пароле, и почему ее использование ошибочно?

«Неправильный пароль»

Подобное системное сообщение возникает в случае его ошибочности. К примеру, пользователь случайно ввел не тот символ и не обратил на это внимания. Но порой, казалось бы, все верно, многократно проверено, но войти под своей учетной записью все не выходит. Одна из возможных причин ошибки – это то, что человек забыл сменить раскладку клавиатуры или же использовал в нем кириллический символ. Обычно для удобства пользователей сайт или приложение может об этом предупредить, выдав подсказку, что в кодовой фразе есть буква русского алфавита. Но подобная функциональность встречается не во всех сервисах. Так что мы разобрались с тем, что такое кириллица в пароле.

Для исправления такой ошибки нужно просто быть внимательнее, – проверить, на каком языке вводится информация, и не включена ли клавиша Caps Lock. Ведь к примеру, Planeta и PlAnEtA – совершенно разные пароли, и об этом стоит помнить. Но почему использование наших «родных» букв запрещено?

Универсальность

Разбирая вопрос, что такое кириллица в пароле, нужно упомянуть общее положение дел в компьютерном мире. Все дело в том, что они и Интернет распространены по всем странам, как и их различные сервисы. И большое количество программного обеспечения, названий, документации и прочего переводится на язык нужного региона, но так бывает не всегда и не со всеми. Ведь одно дело – интерфейс программы или сайта, а другое – техническая информация, внутренние файлы настроек и то, что обычному пользователю вовсе не понадобится. Все это составляется на английском языке. Как и с реальной жизнью, в компьютерном мире он тоже является универсальным и международным.

Именно потому в пароле нельзя использовать кириллицу, как и арабские символы с китайскими иероглифами.

Символы, которые можно использовать при вводе имени пользователя и пароля

Первая страница > Руководство по безопасности > Начало работы > Настройка аутентификации администратора > Регистрация и замена администраторов > Символы, которые можно использовать при вводе имени пользователя и пароля

Для ввода имени пользователя и пароля разрешается применять следующие символы. Имя пользователя и пароль следует вводить с учетом регистра.

  • Заглавные латинские буквы: от A до Z (26 символов)

  • Строчные латинские буквы: от a до z (26 символов)

  • Цифры от 0 до 9 (10 символов)

  • Символы: (пробел) ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _` { | } ~ (33 символа)

Имя пользователя для входа в систему

  • Пробелы, двоеточия и кавычки не допускаются.

  • Оно не может состоять только из цифр, и поле нельзя оставлять незаполненным.

  • Длина ограничивается 32 символами.

Пароль для входа в систему

  • Максимально допустимая длина пароля для администраторов и супервайзера составляет 32 символа, тогда как для пользователей длина ограничивается 128 символами.

  • В отношении типов символов, которые могут использоваться для задания пароля, никаких ограничений не установлено. В целях безопасности рекомендуется создавать пароли, содержащие буквы верхнего и нижнего регистров, цифры и другие символы. Чем большее число символов используется в пароле, тем более трудной является задача его подбора для посторонних лиц.

  • В подразделе [Политика паролей] раздела [Расширенная безопасность] вы можете установить требование в отношении обязательного включения в пароль букв верхнего и нижнего регистров, цифр и других символов, а также минимально необходимое количество символов в пароле. Для получения сведений об определении политики паролей см. Настройка функций расширенной безопасности.

Как придумать надежный пароль - Помощь по единому профилю

Пароль должен быть сложным, для этого необходимо следовать следующим правилам:

  • Пароль должен состоять из восьми или более символов латинского алфавита, содержать заглавные и строчные буквы, цифры. Для усложнения рекомендуем добавить символы и знаки препинания ! @ $ % ^ & * ( ) _ - +
  • Нельзя использовать предыдущие пароли.
  • Пароль не должен совпадать с логином, именем, датой рождения или фамилией пользователя.
  • Избегайте паролей, придуманных на основе словарного слова или состоящих из простых последовательных комбинаций цифр или букв (77777777, 12345678, qwertyuiop и так далее).
  • При создании пароля обращайте внимание на подсказку системы. Если пароль слишком простой, система оповестит об этом.

«Цифровая гигиена» при использовании паролей:

  1. Пароль нельзя никому сообщать.
  2. Регулярно меняйте пароль. Чем чаще, тем лучше.
  3. Не используйте один и тот же пароль на разных сервисах.
  4. Не используйте функцию «Запомнить меня», если вашим компьютером пользуется кто-нибудь еще или вы входите с общественного компьютера.
  5. После окончания работы на общественном компьютере выходите из всех своих аккаунтов, а также завершите свою рабочую сессию на Рамблере с помощью кнопки «Выйти». Если вы просто закроете страницу браузера, то следующий пользователь компьютера откроет вашу почту без пароля!
  6. Регулярно обновляйте браузер до последней версии.
  7. Не открывайте ссылки из подозрительных писем или текстовых сообщений. Проверяйте, с какого адреса вам пришло письмо или на какой адрес ведет ссылка из сообщения. Никогда не размещайте личную информацию на сайтах, которые вызывают у вас подозрения. Узнайте больше о том, как выявлять попытки фишинга.
  8. Будьте готовы к ситуации, когда кто-то может получить ваш пароль. Необходимо привязать дополнительный адрес электронной почты, номер телефона и придумать контрольный вопрос и ответ для восстановления Рамблер/почты.
  9. Будьте внимательны, если вас попросят сменить пароль и пришлют для этого ссылку. Если вы не запрашивали смену пароля, игнорируйте такое сообщение.
  10. Если вам трудно запомнить все свои пароли, узнайте в интернете о менеджерах паролей — эти программы позволят вам безопасно хранить ваши реквизиты от разных сервисов.
  11. Все сайты Rambler Group защищены SSL-сертификатами для обеспечения вашей конфиденциальности. Пожалуйста, убедитесь, что адрес страницы, на которой вы вводите пароль, начинается с https или содержит значок замка слева от адреса.

Почему нельзя использовать один и тот же пароль для нескольких сервисов

Использовать один пароль на все случаи жизни очень удобно, но крайне небезопасно. Рассказываем на примере молодого дизайнера Васи.

Вася — обычный парень. У него есть электронная почта, учетные записи в Facebook и Instagram, также Вася регистрировался на форуме своей любимой игры, в Amazon, на eBay, в десятке интернет-магазинов, в Steam и Battle.net. И все эти учетные записи привязаны к электронной почте.

Однажды база данных клиентов одного из интернет-магазинов, которым пользовался Вася, утекает в Сеть — оказывается, что магазин хранил ее на сервере в открытом доступе. Данные кредитных карт при этом не пострадали — в базе были только электронные адреса, имена и пароли, которые магазин даже не шифровал. Казалось бы, беспокоиться особо не из-за чего — такие утечки случаются, это всего лишь небольшой интернет-магазин.

Но злоумышленник, наложивший руки на базу, решает попытать счастья: вдруг найдется кто-нибудь, у кого пароль для входа в магазин и для входа в почту совпадает? И ему везет: Вася использует один и тот же пароль везде.

Так злоумышленник получает доступ к Васиной электронной почте. В ней он находит не только фотки, которые тот отправлял Машеньке, но и письма от Amazon, eBay и других аккаунтов, — так он понимает, какими сервисами Вася пользуется. Злоумышленник пробует зайти в аккаунт Amazon с тем же паролем — и у него получается! Пароль ведь тот же самый, что и у почты, и у интернет-магазина, чья база утекла.

К аккаунту в «Амазоне» привязана кредитка — злоумышленник на радостях заказывает себе через Васин аккаунт пару десятых айфонов. В «Фейсбуке» от лица Васи мошенник просит у его друзей денег: ребята, срочно надо, зарплату завтра дадут — и все верну. Многие друзья оказываются отзывчивыми и переводят деньги — на карту мошенника, конечно же.

Злоумышленник потирает руки и меняет пароли от всех учетных записей, до которых может добраться, — а добраться получается почти везде. Ведь у Васи везде один и тот же пароль.

Кто-то из друзей сомневается, действительно ли это Вася просит в долг, решает проверить, не взломали ли Васю, — и звонит ему на телефон. Вася берет трубку, ужасается происходящему и срочно бежит к компьютеру менять пароль от «Фейсбука». Но пароль уже поменял до него злоумышленник, и попасть в Facebook не получается. Вася пытается восстановить пароль и просит Facebook послать ему ссылку для сброса пароля на почту — но выясняет, что попасть в свою почту он тоже не может. По той же причине.

Вася понимает: его взломали. Вася звонит в банки, блокирует кредитные карты, судорожно пытается поменять пароли хотя бы в каких-то сервисах, до которых еще не успел добраться злоумышленник, и звонит всем друзьям, объясняя, что это не он просит у них деньги. Извиняется перед теми, кто уже перевел мошеннику, — и клянется все компенсировать.

И обещает себе больше никогда, ни за что на свете не использовать один и тот же пароль для разных сервисов. А также включать двухфакторную аутентификацию везде, где можно.

Требования к паролям — полная чушь / Цифровые Экосистемы corporate blog / Habr

Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».

Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.

Мир буквально погряз в ужасных правилах создания паролей:

→ Тупые требования
→ Примеры плохой политики
→ Доска позора

Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.

Видели этот классический комикс о паролях от XKCD?

Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.

Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.

Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?

А что скажете о таком пароле в 4 символа?

Или о таком, в 8 символов?

Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?

«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».

Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.

Господи.

Наш старый друг Юникод опять за свое.

Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.

Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?

aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword
usernamepassword

Конечно, нет. Вы вообще видели живых пользователей в последнее время?

Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:

  • должны содержать прописные буквы;
  • должны содержать строчные буквы;
  • должны содержать числа;
  • должны содержать специальные символы.

в мире, где есть Юникод и смайлики, значит не иметь воображения.

Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.

Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:

123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e

Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII. То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.

(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)

Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.

И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)

Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:

1. Требования к паролям — полная чушь

  • Они не работают.
  • Они наказывают аудиторию, которую вам нужно привлекать в первую очередь, — тех, кто пользуется рандомными генераторами паролей. Прикиньте, рандомный пароль может и не содержать в себе цифры или символа. Я два раза сверился с учебником по математике, и да, вроде бы такое вполне возможно.
  • Они раздражают основную массу пользователей, отбивая у них охоту с вами сотрудничать и подстегивая искать всякие «остроумные» лазейки. В результате пароли получаются менее надежными.
  • Они часто ошибочны, в том смысле, что предложенный набор правил недостаточен или попросту нелеп. Достаточно посмотреть на любой пример с доски позора, на которую я ссылался выше.
  • Нет, правда, ради всего святого, хватит уже этой ерунды с произвольными требованиями к паролям. Если не верите мне, почитайте рекомендации по требованиям к паролям от NSIT. Вот, так и написано: «избегайте устанавливать правила создания паролей». Хотя, на мой взгляд, тут есть одна неточность, надо было написать: «избегайте устанавливать тупые правила».
2. Установите минимальную длину пароля в Юникоде

Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.
  • Это просто. Пользователи умеют считать. Ну, большинство умеет.
  • Это работает. Статистика подтверждает, что это работает: просто скачайте любой список популярных паролей на ваш выбор и рассортируйте их по длине.
  • Математика не даст соврать. При прочих равных условиях длинный пароль будет более рандомным, чем короткий, а значит, и более надежным.
  • Смиритесь с тем, что даже у этого единственного правила будут исключения. Минимальная длина в 6 символов на китайском сайте — это вполне разумно. С другой стороны, пароль в 20 символов может быть до смешного простым для взлома.
  • Если в ваше поле пароля нельзя ввести (практически) любой символ из Юникода, вы скорее всего что-то делаете не так.
  • Это уже больше относится к частностям реализации, но не забудьте также установить вменяемую максимальную длину пароля.
3. Сверяйтесь со списком самых распространенных паролей

Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода, достаточно прогнать первую тысячу, чтобы добиться шокирующе хороших результатов.
  • у 1.6% пользователей пароль из числа 10 самых популярных;
  • у 4.4% пользователей пароль из числа 100 самых популярных;
  • у 9.7% пользователей пароль из числа 500 самых популярных;
  • у 13.2% пользователей пароль из числа 1000 самых популярных;
  • у 30% пользователей пароль из числа 10 000 самых популярных.

Но вам повезло: в Сети можно найти целые миллионы списков «обнародованных» паролей. Производить расследование с опорой на эти данные даже весело — ведь это не какие-то вам абстрактные, искусственные правила, которые насочинял какой-нибудь программист со скуки. Нет, это самые настоящие пароли, которые использовали самые настоящие пользователи.

Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.

4. Контролируйте количество энтропии

Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.

Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!

5. Отлавливайте особые типы паролей

Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (я упоминал об этом в другой статье):
  • пароль, который совпадает с именем пользователя;
  • пароль, который совпадает с e-mail.

Если у вас стоит Discourse версии 1.3 и ниже — мне очень жаль, пожалуйста, обновите его как можно скорее.

Также, возможно, вам стоит блокировать еще некоторые разновидности:

  • пароль, который совпадает с URL сайта или именем домена;
  • пароль, который совпадает с названием приложения.

Если вкратце, старайтесь мыслить, выходя за рамки поля для ввода — совсем как ваши пользователи.
Пояснение

Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.

Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.

Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.

Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.

Бесплатный генератор паролей онлайн. Создать пароль.

  • Главная
  • Инструменты
  • Работа с текстом
  • Бесплатный генератор паролей онлайн

Здесь вы можете бесплатно сгенерировать (создать) пароль любой длины и уровня сложности для ваших приложений, аккаунтов, соц. сетей, паролей к Windows, зашифрованным архивам и т.д.

Что такое пароль?

Пароль – это секретный набор символов, который защищает вашу учетную запись.

Это что-то вроде пин-кода от пластиковой карточки или ключа от квартиры, автомобиля. Он должен состоять только из латинских букв и/или цифр. Никаких знаков препинания и пробелов. Регистр букв тоже имеет значение. То есть если присвоен пароль, в котором присутствует большая (заглавная) буква, но при его наборе пользователь печатает маленькую, то это будет ошибкой – в аккаунт его не пустят.

Пароль должен быть сложным! В идеале он должен состоять минимум из десяти знаков, среди которых есть цифры, большие и маленькие буквы. И никаких последовательностей – всё в разброс. Пример: Yn8kPi5bN7

Чем проще пароль, тем легче его взломать. И если это произойдет, взломщик получит доступ к аккаунту. Причем, Вы об этом, скорее всего, даже не узнаете. А вот человек сможет, например, прочитать Вашу личную переписку или даже поучаствовать в ней.

Один из самых частых паролей, который указывают пользователи при регистрации – год рождения. Подобрать такой «ключ» совсем несложно. Еще очень часто используют набор цифр или букв клавиатуры, расположенных по порядку (типа 123456789 или qwerty).

Как придумать сложный пароль?

Обязательные требования к надежному паролю

  • Пароль должен содержать не менее 8 символов.
  • Пароль должен содержать заглавные и строчные буквы, цифры, пробелы и специальные символы.
    Например: oNQZnz$Hx2.

Пароль не должен содержать

  • Личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения.
  • Очевидные и простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать. Например: password, parol, abcd, qwerty или asdfg, 1234567.

Есть несколько эффективных способов придумать надежный пароль:

  • Смешение. Набираем кириллическое слово латинским регистром, вставляем после каждой буквы значимые для Вас цифры (номер дома, квартиры) или трансформируем некоторые буквы в цифры (вместо буквы Б ставим цифру 6, вместо Я – 9I и т.п.)
  • Набираем слово или словосочетание с пробелами в неправильных местах. Например, «мо йпа роль».
  • Вводим фразу, попеременно нажимая клавишу Shift. Например, ВоТ-ВеДьЗ@сАдА
  • Выбираем два слова – имя прилагательное (свободный) и глагол (бегать). Добавляем знаменательный год, например 1980 и любой символ. Получаем: Свободный19%БеГать80!
  • Придумываем пароль с орфографическими ошибками и снабжаем его символами и цифрами: КоКой№&_Пороль.
  • Вспоминаем русский фольклор или поэзию и шифруем послание. Например, возьмем пословицу «Терпение и труд все перетрут». Запишем каждую первую букву каждого слова на английском языке в нижнем регистре, а каждую вторую – в верхнем. Между словами поставим знаки препинания. Получаем: tE!i?tR?vS!pT.

Сложновато? Зато пароль, который Вы придумаете таким способом, будет надежным.

Защита пароля

  • Никому не сообщайте и не отправляйте свои пароли.
  • Не оставляйте в доступном месте пароли, записанные на бумаге.
  • Используйте менеджер паролей или встроенное в браузер хранилище паролей.
  • Используйте разные пароли для ваших учетных записей. Если вы будете использовать одинаковые пароли, а злоумышленник узнает пароль от одной учетной записи, он сможет получить доступ ко всем остальным.

Рекомендуем использовать как минимум заглавные, маленькие буквы и цифры, но если вы добавите еще и какой либо символ (!,.?%: и т.д.), то такой пароль вскрыть будет намного сложнее.

В вашем браузере отключен Javascript.
Чтобы произвести расчеты, необходимо разрешить элементы ActiveX!

Создание пароля для Госуслуг: примеры (надежные и легкие)

Чем надежнее будет пароль на Госуслугах, тем лучше будет защищен ваш профиль от взлома. Поскольку на портале хранятся ваши личные данные, злоумышленникам открывается широкий простор для манипуляций при попадании в ваш личный кабинет.

Мы приведем примеры паролей в начале статьи, но лучше прочитайте ее полностью, чтобы иметь полное представление о его составлении.

Примеры:

Если вы наблюдаете ошибку при вводе пароля (даже сгенерированного самим сайтом), то прочтите эту статью, где находится решение данной проблемы.

Требования к безопасности пароля

Основные требования (от портала Госуслуг)

Поскольку основным и самым простым методом получения пароля является его «перебор» специальными программами, требования, которые предъявляет портал Госуслуг к паролю, являются обоснованными.

Чтобы система портала одобрила ваш пароль, необходимо чтобы он соответствовал некоторым требованиям:

  • 8 и более символов. Пароль должен содержать минимум 8 символов.
  • Прописные латинские буквы (D, E, F, G, J, K…). Большие буквы только английской раскладки клавиатуры.
  • Строчные латинские буквы (d, e, f, g, j, k…). Маленькие буквы только английской раскладки клавиатуры.
  • Цифры. В пароле должны обязательно присутствовать цифры.
  • Знаки пунктуации (!?,.+-*/<_> и т. п.). В пароле должны обязательно присутствовать знаки пунктуации.

Все эти пункты должны соблюдаться одновременно в вашем пароле.

Дополнительные требования

Помимо основных требований, помните что:

  • Нельзя использовать русские символы, то есть при составлении пароля раскладка клавиатуры должна быть переключена на английскую.
  • Нельзя использовать повторяющиеся символы (Anna, 1998, AASSFF).
  • Вы может использовать свое имя, фамилию, профессию, либо другие данные, хорошо вам знакомые, но не будьте слишком очевидными при составлении пароля. В случае, если злоумышленник владеет минимальной информацией о вас, он может использовать эти знания для упрощения подбора символьной комбинации.
  • Не храните пароль на видном месте. Пароль не должен попасть в чужие руки.
  • Не записывайте пароль так, чтобы можно было догадаться для чего он. Например, рядом с паролем не должно быть таких заметок: «Пароль», «Пароль для Госуслуг», «Госуслуги», «От сайта Госуслуг», «Вход на сайт» и т. п.

Сгенерированный пароль или свой?

Сгенерированный пароль, который тут же можно получить на сайте, является наиболее надежным от простых методов взлома личного кабинета. Он не содержит логики, в нем используется много комбинаций редких символов, поэтому он сложен для подбора. Но, основным его минусом является невозможность воспроизвести его по памяти. Вряд ли вы запомните такие комбинации символов «X%5x|rFd», «0EtAyUL7» «~Eb*2BCK» и т. п.

Если вы планируете регулярно пользоваться порталом Госуслуг, то вам нужен другой пароль – надежный, но запоминающийся.

Примеры пароля для Госуслуг

В соответствии с требованиями портала, составим следующие пароли:

Данные пароли представлены только в качестве примера. Мы рекомендуем составить «логику» символьной комбинации самостоятельно.

Ограничение максимальной длины пароля / Habr

Каждый раз, когда вы ограничиваете в чём-то пользователя, спросите себя, зачем вы это делаете и кому от этого станет лучше. Нарушение этого правила ведёт к странным, а иногда и вредным ограничениям. Один из примеров — максимальная длина пароля.

С ограничением длины снизу всё понятно, но кому нужно ограничение сверху? Пусть пользователь вводит хоть 200 символов, если ему хочется, фрику будет приятно. Жалко байтиков в POST-запросе? Место в базе данных? Но вы же (я надеюсь!) храните хэш от пароля, который всегда постоянной длины! Считаете, что хэширование 200-символьных паролей убьёт производительность сервера? Не смешно.

При всём при этом создатель сайта заставляет пользователя:

  • Воспринять и осмыслить лишнюю информацию;
  • Поволноваться, не превышает ли его любимый пароль указанное ограничение;
  • Дважды пересчитать символы в 12-символьном пароле, чтобы убедиться, что всё нормально;
  • Придумать новый пароль, если любимый оказался длиннее (не всем живым людям придёт в голову чисто компьютерное решение убрать последние символы пароля: он может стать неблагозвучным).


Мало того, что это поле ввода заботливо не даёт ввести больше 16 символов, так ещё и его размер подогнан. Ввёл я семнадцатый символ. На экране не изменилось вообще ничего. Я не знаю, то ли случилась прокрутка и кружочки уползли влево, то ли пароль обрезался. Я не уверен, что размер поля именно 16 символов. Или мне кружочки пересчитывать?

Конечно, это всё не так страшно. Подумаешь, сервер заботливо обрежет пароль. Я могу спокойно вводить свои 18 символов каждый раз и не замечать неудобств. Однако некоторые известные сайты в своей недружелюбности пошли дальше:

Я поменял пароль на свой любимый 18-символьный и поднял глаза на экран, увидев кружочки. Я не заметил, что 17-й и 18-й кружочек не появился, потому что сайт решил, что их слишком много. Кружочки я, конечно, тоже не пересчитывал. Положение усугубляет то, что здесь нет предупреждения о максимальной длине пароля. В результате я сам не заметил, как поменял пароль не на тот, что хотел, а на более короткий.

Желая посетить сайт в следующий раз, я наивно ввёл те же самые 18 символов в форму логина:

Если вы пересчитаете кружочки, вы заметите, что их тут 18. Видимо, эту форму писал другой специалист, который не посчитал нужным сделать такое же ограничение длины (очень разумно, если бы ограничения не было нигде). Опаньки — вы ввели неверный пароль, попробуйте ещё раз. Ещё раз, разумеется, тоже без ограничений длины.

Я два раза пользовался восстановлением пароля, списав всё поначалу на мою криворукость (но это надо умудриться — в форме установки пароля два раза ввести неправильный). Только на третий раз я заметил, что при смене пароля кружочки втихаря обрезаются.

Через поиск нашёл аналогичную историю в недавней статье «Цифровой динозавр 21-го века». Думаю, таких историй (включая нерассказанные) наберётся больше, чем может показаться разработчикам. Добавляя глупое ограничение, можно потерять клиента на ровном месте, затратив при этом время на написание лишнего кода для проверки этого ограничения.


Смотрите также