Генератор паролей

Длина (от 6 до 64)
Надежность

Скачайте бесплатный генератор паролей для Windows

Скачать
Бесплатное ПО Версия 1.2.0.217 Размер файла 7.81 Mb
Содержит дополнительное ПО

Создание сложных паролей: почему это важно в современном мире

Все мы становимся свидетелями постепенно ухода человечества в виртуальный мир. И чем глубже мы туда погружаемся, тем более зависимыми становимся от IT-технологий и всего, что с ними связано. Здесь всегда появляется необходимость создания паролей при регистрации аккаунтов — начиная от почтовых ящиков и социальных сетей, заканчивая личными кабинетами в более серьезных онлайн-сервисах (учетные записи в онлайн-банках, облачные хранилища с личными фотографиями и т.д.).

Каким же должен быть пароль, чтобы его невозможно было взломать? И что делать, чтобы он не попал в чужие руки? Попытаемся ответить на эти вопросы.

Вам все еще кажется, что ваш пароль надежен?

Казалось бы, такая простая вещь, как пароль от учетной записи в социальной сети или почтового ящика, практически ничего не значит. Многие при регистрации аккаунтов на сайтах вводят что-то вроде «123456qwerty» и думают: "Пойдет… легко запоминающийся пароль, никто все равно не сможет его разгадать".

Вообще, чтобы взломать значительный процент существующих сегодня учетных записей от разнообразных сайтов, даже хакером не нужно быть — логины во многих случаях и так видны (адрес почтового ящика, например), остается лишь подобрать парольную фразу. И если она "стандартная", вроде той, что упомянута выше, то успешность взлома — вопрос нескольких минут (или часов). Этим и пользуются злоумышленники.

Итак, первое правило создания надежного пароля — забудьте про легко запоминающиеся наборы букв и цифр, особенно если они находятся рядом друг с другом на клавиатуре. Простой пароль «123456qwerty» можно легко превратить в более сложный, не используя никаких других символов, например — «y16q2er45y3wt». А если к этому добавить написание букв в верхнем регистре (т.е. заглавных букв), он будет еще надежнее.

Как быстро взломать пароль?

Инструкций мы здесь приводить не будем, но опишем наиболее популярный метод по взлому паролей. Этот способ широко известен всем, кто хоть немного разбирается в IT-технологиях. Речь идет о брутфорсе (Brute force) — поиске парольных фраз путем их перебора. В качестве источника паролей используются словари, которые могут состоять из миллионов "стандартных" парольных фраз, или разнообразные алгоритмы для их автоматической генерации. В качестве инструмента взлома используются специальные программы и скрипты, которые широко распространены в интернете.

Вообще, методом взлома паролей путем перебора может воспользоваться кто угодно. Для запуска процесса брутфорсинга достаточно лишь выполнить несколько простых шагов:

  1. Указать программе цель — почтовый ящик, аккаунт в социальной сети, запароленный файл и т.д. (все зависит от функциональных возможностей этой программы).
  2. Подключить к программе словари со "стандартными" парольными фразами и/или выбрать алгоритм генерации паролей.
  3. Начать атаку (запустить функцию подбора пароля).
  4. Ждать.

К счастью, современные онлайн-сервисы методом брутфорса взломать практически невозможно (по крайней мере, при использовании широко распространенных программ). Наверняка вы сталкивались с сообщениями о временной блокировке учетной записи при вводе неправильного пароля несколько раз подряд — это один из способов защиты аккаунтов от взлома перебором парольных фраз.

Однако брутфорс все еще широко применяется злоумышленниками (как правило, далекими от хакерства) для взлома систем, где такая защита отсутствует. Также данный метод взлома используется для вскрытия запароленного (зашифрованного) архива или документа.

Здесь мы подошли ко второму правилу создания сложного пароля — старайтесь не использовать в них слова поодиночке, даже если они совмещены с цифрами или написаны в транслитерации (derevo, klaviatura, komputer). Брутфорс-словари, скорее всего, будут содержать придуманное такое слово, а алгоритмы генерации парольных фраз смогут подставить к нему цифру.

Когда в бой вступает социальная инженерия?

Брутфорс широко применялся для взлома паролей хакерами на рассвете интернет-технологий. В современных реалиях, как мы уже разобрались, этот метод не работает. Но ему на смену пришла социальная инженерия. Это понятие не ново, однако на вооружении злоумышленников социальная инженерия появилась относительно недавно.

Что же это такое и причем здесь пароли? Сухим энциклопедическим языком, социальной инженерией называется совокупность различных приемов, методов и технологий получения информации незаконным методом (если ее рассматривать с этой стороны медали). Все эти приемы направлены решение одной единственной задачи — получения доступа к конфиденциальным данным жертвы.

Стандартные техники социальной инженерии — это фишинг, вишинг (телефонный фишинг), ложные/несуществующие ссылки, вирусы, замаскированные под полезные программы, и т.д. Цель злоумышленника — заставить человека различными уловками самому выдать всю необходимую информацию, будь это пароль от чего-нибудь, ответ на секретный вопрос или кодовая фраза для авторизации.

Но если жертва сама выдает пароль, его сложность не имеет никакой разницы, спросите вы? Да, это так. Единственный способ не попасться на крючок мошенников — не идти у них на поводу. Однако…

Социальная инженерия — это еще и тщательное изучение жертвы. Возможно ли такое, что пользователь использует в пароле кличку своей собаки? Или номер автомобиля? Или фамилию близких? Конечно, все это может быть. Что делает злоумышленник? Составляет свой собственный набор (слова/цифры/буквы), которые так или иначе связаны с жертвой.

Допустим, в парольной фразе используется фамилия, к которой добавлен год рождения — «petrov1990», «2000ivanova2000». Может, в пароле фигурирует название любимой музыкальной группы, фотографиями и музыкальными композициями которой переполнена страница человека в социальной сети? Тогда берем слова «metallica», «muse», «notoriusbig». Что насчет любимых авторов книг, автомобилей, персонажей из фильмов, имен детей или родителей, адресов и название городов и улиц?

Итак, третье правило — не используйте в пароле слова, каким-либо образом связанные с увлечениями и жизнью в целом. Так можно серьезно облегчить задачу злоумышленникам, специализирующимся на взломе паролей с использованием методов социальной инженерии.

Взломали один пароль — взломают и другие

Это справедливо для случаев, когда пользователь использует один и тот же (либо немного отличающиеся) пароль во всех учетных записях. К примеру, злоумышленник смог получить доступ к какому-то онлайн-сервису. Стоит ему понять, что у жертвы есть другие профили, он обязательно постарается взломать и их. А вдруг жертва использовала точно такой же или немного измененный пароль?

Например, пароль от сервисов Google — «passwordforgoogle», а от сервисов Яндекса — «passwordforyandex», а от какого-нибудь слабо защищенного форума — «passwordforforum». Злоумышленнику удается подобать пароль к форуму, теперь ему не сложно догадаться, что и все прочие пароли жертвы содержат фразу «passwordfor». Остается лишь закончить ее, дописав название сайта, и, возможно, парочку цифр или букв.

Четвертое правило, как вы, наверное, догадались — не используйте одинаковые или похожие парольные фразы. Взломали один пароль, взломают и другие.

Каким должен быть надежный пароль, чтобы его не взломали?

На самом деле, все очень просто — придерживайтесь правил, которые были приведены выше:

  1. Не используйте легко запоминающиеся наборы символов.
  2. Не используйте в парольных фразах общеизвестные слова поодиночке.
  3. Не используйте в паролях слова, связанных с вами.
  4. Не используйте одинаковые/похожие пароли во всех учетных записях.

Однако эти правила лишь запрещают что-то использовать в паролях, но не несут рекомендации по их правильному составлению. Но и здесь нет ничего сложного. Достаточно соблюдать три условия:

  1. Количество символов в пароле — хотя бы 8, но лучше больше.
  2. Обязательно наличие в пароле и цифр, и букв (как в нижнем, так и верхнем регистре). Символы не должны составлять слова.
  3. Наличие спецсимволов в пароле (знаки препинания, скобки, математические символы и т.п.). Это не обязательное условие для случаев, когда использование спецсимволов запрещено правилами создания учетных записей.

Если придумать подобный сложный пароль сложно, это сделает наш генератор парольных фраз, представленный на данной странице. Он очень прост в использовании:

  • Установите длину пароля.
  • Включите (если требуется) дополнительные опции генерации пароля — использование спецсимволов, цифр и т.д.
  • Запустите генератор и за секунду получите результат.

Внимание! Наш сервис не хранит сгенерированные пароли. Да и зачем? Мы все равно не знаем, где они будут применяться пользователями.

Рекомендации по обеспечению безопасности

Даже создать пароль максимально возможного уровня сложности, это не значит, что его не смогут украсть. Взломать пароли вроде «3qR~t;HmnxW?87,%» или «KTrfnu7Vz94CnYPy» практически невозможно, но вот получить его другими путями — вероятность есть. Если кому-то сильно нужен пароль, ему ничего не остается, кроме как "включить режим" мошенника, вора, хакера или задействовать все эти свои способности разом.

Итак, для обеспечения защиты запароленных данных (чтобы они собой ни представляли) придерживайтесь следующего:

  1. Не сохраняйте пароли в браузерах, если речь идет, например, о личных кабинетах в онлайн-банках, финансовых биржах и любых других сайтах, представляющих большую значимость для вас. Если вы привыкли заполнять формы входа на сайты в автоматическом режиме, присмотритесь к специальным расширениям, позволяющим хранить логины и пароли в зашифрованном виде.
  2. Для хранения своих сложных паролей используйте специализирующиеся на этом программы. По ссылке можно ознакомиться с некоторыми из них. Кроме программ, хранить пароли можно и в обычном текстовом документе (TXT), предварительно заархивированном при помощи любого архиватора, который поддерживает создание зашифрованных архивов (например, 7Zip или WinRAR). Просто создайте текстовый файл, введите в него все ваши логины, пароли и иную текстовую информацию, а затем заархивируйте его, используя функцию установки пароля на архив. Не забудьте и этот пароль сделать сложным. Да — его тоже придется запомнить (это же относится и к использованию программ для хранения паролей).
  3. Храните особо важные пароли в нескольких экземплярах и в разных хранилищах (например, на компьютере и на телефоне, на флешке и в облачном хранилище). Это поможет избежать утраты запароленных данных при выходе из строя, потере, кражи и т.д. одного из устройств, случайного удаления, повреждения и т.д. одного из файлов с паролями.
  4. Не входите в свои учетные записи с чужих компьютеров. Галочка на сайтах «Чужой компьютер» под формой ввода логина/пароля не обеспечивает никакой безопасности (абсолютно!). Она нужна лишь для того, чтобы данные учетной записи не сохранялись в куки-файлах браузера.
  5. Не входите в учетные записи при выходе в сеть через публичные точки доступа Wi-Fi (например, в кафе или гостиницах), бесплатные VPN или прокси-серверы. Во всех этих случаях существует вероятность перехвата данных.
  6. Не пересылайте важную информацию (вообще любую) посредством незашифрованных каналов связи, таких как HTTP или FTP. Все передаваемые данные через эти каналы легко перехватить. Если возникла необходимость передать доверенному лицу логины, пароли или иные важные данные, убедитесь, что передача осуществляется посредством зашифрованных каналов связи — HTTPS, SFTP, FTPS, SMTPS, IPSec.
  7. Всегда можно защитить передаваемые по сети данные (включая пароли) благодаря средствам шифрования интернет-соединения. Даже если для выхода в сеть используются публичные Wi-Fi-соединения. Простейший способ — установка на компьютер VPN-клиента. Существуют и более "законспирированные" методы защиты передаваемой информации, например, создание зашифрованного SSH-туннеля между компьютером и домашним роутером посредством утилиты PuTTY. Выход в сеть посредством такого соединения — то же самое, что и работа в интернете на домашнем компьютере через домашний роутер, но на большом расстоянии от дома. Конечно, информация, передаваемая через VPN-клиенты или даже по SSH-туннелю в случае выхода в сеть посредством публичного Wi-Fi, так же может быть перехвачена, однако злоумышленнику достанутся непонятные наборы данных вместо искомых логинов и паролей. И не забывайте, пароль для подключения к VPN-серверу или шифрованию трафика в SSH-туннеле также должен соответствовать требованиям безопасности.
  8. При работе с любыми запароленными объектами (сайты, файлы и т.д.), представляющие особую важность, рекомендуем менять пароль хотя бы раз в 2-3 месяца.
  9. Задействуйте функцию двухфакторной аутентификации на сайтах и онлайн-сервисах, предоставляющую такую возможность. При включении этой функции для входа на сайт потребуется не только ввести логин и пароль, но и код из СМС-сообщения (либо подключить к компьютеру специальное устройство-ключ).
  10. Не открывайте в браузере важные сайты по ссылкам с других сайтов, из почтовых сообщений и любых других источников. Велика вероятность попасть на фишинговый-сайт, который выглядит в точности как оригинал. Любые данные, вводимые в веб-форму таких сайтов, автоматически утекут в руки злоумышленников. Лучше вводите адреса сайтов вручную либо переходите на них из ранее сохраненных в браузере закладок.
  11. С осторожностью относитесь к покупкам в интернет-магазинах и вообще использованию сайтов, на которых требуется ввод персональной информации. Предварительно проверьте, не входит ли адрес сайта в список фишинговых сайтов, используя разнообразные расширения для браузера (например, «WOT: Web of Trust»).
  12. Обязательно установите на компьютер антивирусную программу, которая поможет защититься от вирусов, созданных специально для хищения персональных данных.
  13. Скачивайте программы с только проверенных источников.
  14. Обновляйте модули безопасности системы сразу после выхода обновлений.
  15. Обновляйте браузер по мере выхода обновлений. Обычно это происходит в автоматическом режиме. После обновления браузер отображает соответствующее сообщение. Если их нет долгое время, нужно насторожиться — устаревшие браузеры могут иметь уязвимости к постоянно обновляющимся сетевым угрозам.
  16. Если доступ к компьютеру имеете не только вы (например, на работе), с осторожностью входите с него в свои учетные записи в интернете. На компьютере может быть установлена программа для перехвата нажатий клавиш клавиатуры (кейлоггер/клавиатурные шпионы) — идеальное для злоумышленников средство похищения паролей. Если у вас возникли подозрения их наличия на компьютере, просканируйте его, используя специальные средства поиска кейлоггеров и антивирусов.
  17. Еще по этой же теме — отключите функцию перехода компьютера в режим сна/гибернации, а также функцию использования файла подкачки. В этих файлах (hiberfil.sys и pagefile.sys) могут временно храниться личные данные, к которым можно получить доступ, обладая соответствующими средствами.
  18. Для защиты чрезвычайно важных данных, хранящихся на жестком диске или флешке, в дополнение к шифрованию файла с паролями используйте средства шифрования целого устройства. Например — VeraCrypt или Boxcryptor. Эти программы позволяют зашифровать (читай — запаролить) любой носитель информации. Даже если злоумышленник получит доступ к устройству, каким-то чудом взломав пароль к нему, ему еще предстоит повозиться с зашифрованным файлом, где хранятся пароли.
  19. Устанавливайте непроверенные программы сначала в виртуальной среде (песочнице), а только потом, когда убедитесь в их безопасности — установите на компьютер. В ОС Windows 10 версии 1903 есть своя собственная песочница — Windows Sandbox. Существуют и специализированные программы-песочницы: Sandboxie, VirtualBox, VMware Player и другие.
  20. Заведите как минимум 3 почтовых ящика на разных почтовых серверах (например, один на Gmail, другой на Яндекс.Почте, третий — на Mail.ru). Один почтовый ящик используйте для регистрации на наиболее важных сервисах, другой — для приема почты со всех остальных сайтов, третий — в качестве запасного ящика для восстановления паролей с важных сайтов.
  21. Для входа на наиболее важные сайты, где требуется ввод кода из СМС-сообщения, рекомендуем завести отдельный номер телефона, который вообще никому неизвестен, кроме вас (ну и сотового оператора, конечно).
  22. Заведите привычку автоматически удалять/игнорировать почтовые и СМС-сообщения, в которых просят перейти по какой-нибудь ссылке, чтобы затем сбросить пароль в целях безопасности, ввести какие-либо данные, подтверждающие, что тот или иной аккаунт принадлежит вам. Подобное рассылают только мошенники, а никак не владельцы того или иного сайта, веб-сервиса и т.д.
  23. Не устанавливайте никаких расширений и/или сертификатов в ваш браузер, установка которых навязывается вам при входе на тот или иной сайт. Расширения безопасно скачивать и устанавливать только с официальных сайтов разработчиков конкретного браузера. В случае с сертификатами — устанавливайте лишь те, что представлены на официальных сайтах того или иного онлайн-сервиса. Они, как правило, становятся доступными для скачивания после регистрации, а их установка никогда не навязывается пользователям "просто так".

Конечно, этот список рекомендаций — не полный, но вполне достаточный для того, чтобы быть не переживать за сохранность своих логинов, паролей и прочей персональной информации. Какие именно применять методы защиты, зависит от конкретной ситуации. Если вы обычный домашний пользователь ПК, просто установите на свой компьютер антивирус с функциями защиты от сетевых атак, а важные пароли храните в зашифрованном виде. Главное, не забывайте создавать сложные парольные фразы, следуя рассмотренным рекомендациям или, что еще проще, просто используйте наш генератор паролей.