• Генератор паролей

Случайный пароль

Украсть любой пароль одинаково сложно (или просто), а вот стойкость пароля к перебору зависит от его содержания. Перебирают пароли по-разному: исчерпывающим перебором, по словарю, или комбинируют эти методы. Исчерпывающий перебор — это как считать от 1 до бесконечности, причём и цифрами, и буквами — занятие нудное и при длине пароля в какие-нибудь 12 символов растягивается на десятилетия. Так делают редко, тем более этот тот лом, против которого нет приёма.

Все остальные методы перебора основаны на выявлении закономерностей. В переборе по словарю используется закономерность, что некоторые пароли встречаются чаще других. Строится база паролей и начинается перебор с самых часто встречающихся — такой метод более производительный.

Самый надёжный пароль

Чтобы обезопасить себя от перебора по словарю, нужно использовать как можно более редкий пароль. Самый редкий пароль — случайный — максимально неупорядоченный и лишенный дополнительной информации, которой наделяет его человек. В пароле вообще не должно быть закономерностей. Составить базу из таких паролей невозможно — она будет включать все возможные комбинации символов, причем с равными вероятностями — ни один не будет встречаться чаще другого. То есть перебор по словарю превратится в последовательный исчерпывающий перебор.

Можно ли его придумать?

Мы проанализировали базы данных зарегистрированных пользователей на двух совершенно разных сайтах и построили диаграммы частот использования различных символов в паролях. На обоих сайтах нельзя регистрироваться со слишком простым паролем и есть рекомендации пользоваться генератором паролей.

Частоты использования различных символов в пароле

Несмотря на это частоты использования различных символов сильно отличаются, так встретить в пароле букву a в 4-5 вероятнее, чем j, почти каждая десятая буква в каждом пароле — a. Эта настолько пёстрая картина получилась даже притом, что некоторые пользователи все же пользовались генератором паролей. Если бы пользовались все, то все столбцы диаграмм имели бы одинаковую высоту.

Человек читает по слогам и машинально для связки согласных использует гласные a и e. Все пользователи думают по-русски, поэтому английская буква j для выражения русских букв и звуков им не нужна: ж — это zh, я — это ya. Все это видно на диаграммах.

Получается, что при придумывании случайного пароля у разных пользователей мозги работают одинаково и пароли получаются похожими, на это влияет и умение читать, и владение русским языком. То есть на придуманное человеком «случайное» все равно влияет множество факторов.