Зміст:
- 1 Усі 10000 комбінацій з 4 цифр. Чи важко вгадати PIN-код пароль
- 2 Безпека понад усе: як легко створити надійний пароль
Усі 10000 комбінацій з 4 цифр. Чи важко вгадати PIN-код пароль
Незважаючи на важливу роль PIN-кодів у світовій інфраструктурі, досі не проводилося академічних досліджень про те, як, власне, люди обирають PIN-коди.
Дослідники з університету Кембриджу Sören Preibusch та Ross Anderson виправили ситуацію, опублікувавши перший у світі кількісний аналіз складності вгадування 4-циферного банківського PIN-коду.
Використовуючи дані про виток паролів з небанківських джерел та онлайн анкетування, вчені з’ясували, що до вибору PIN-кодів користувачі ставляться набагато серйозніше, ніж до вибору паролів для веб-сайтів: більшість кодів містять практично випадковий набір цифр. Тим не менш, серед вихідних даних присутні і прості комбінації, і дні народження, тобто при деякому везенні зловмисник може просто вгадати заповітний код.
Відправною точкою дослідження був набір 4-циферних послідовностей у паролях з бази RockYou (1.7 млн), та бази з 200 тисяч PIN-кодів від програми блокування екрану iPhone (базу надав розробник програми Daniel Amitay). У графіках, побудованих за цими даними, проступають цікаві закономірності — дати, роки, цифри, що повторюються, і навіть PIN-коди, що закінчуються на 69. На основі цих спостережень вчені побудували лінійну регресійну модель, яка оцінює популярність кожного PIN-коду в залежності від 25 факторів, – наприклад, чи є код датою у форматі ДДММ, чи він зростаючою послідовністю, і так далі. Цим загальним умовам відповідають 79% та 93% PIN-кодів у кожному наборі.
Отже, користувачі вибирають 4-циферні коди на основі лише кількох простих факторів. Якби так вибиралися і банківські PIN-коди, 8-9% із них можна було б вгадати лише за три спроби! Але, звичайно, до банківських кодів люди ставляться набагато уважніше. Зважаючи на відсутність скільки-небудь великого набору справжніх банківських даних, дослідники опитали більше 1300 осіб, щоб оцінити, наскільки реальні PIN-коди відрізняються від розглянутих. Враховуючи специфіку дослідження, у респондентів запитували не про самі коди, а лише про їх відповідність якомусь із вищезгаданих факторів (зростання, формат ДДММ тощо).
Виявилося, що люди справді набагато ретельніше вибирають банківські PIN-коди. Приблизно чверть опитаних використовують випадковий PIN, згенерований банком. Більше третини вибирають свій PIN-код, використовуючи старий номер телефону, номер студентського квитка або інший набір цифр, який виглядає випадковим. Згідно з отриманими результатами, 64% власників карток використовують псевдовипадковий PIN-код, – це набагато більше, ніж 23-27% у попередніх експериментах з не-банківськими кодами. Ще 5% використовують цифровий патерн (наприклад, 4545), а 9% віддають перевагу патерну на клавіатурі (наприклад, 2684). Загалом, зловмисник із шістьма спробами (три з банкоматом та три з платіжним терміналом) має менше 2% шансів вгадати PIN-код чужої картки.
| Чинник | приклад | RockYou | iPhone | Опитування |
|---|---|---|---|---|
| Дати | ||||
| ДДММ | 2311 | 5.26 | 1.38 | 3.07 |
| ДМГГ | 3876 | 9.26 | 6.46 | 5.54 |
| ММДД | 1123 | 10.00 | 9.35 | 3.66 |
| ММГГ | 0683 | 0.67 | 0.20 | 0.94 |
| РРРР | 1984 | 33.39 | 7.12 | 4.95 |
| Разом | 58.57 | 24.51 | 22.76 | |
| Клавіатурний патерн | ||||
| суміжні | 6351 | 1.52 | 4.99 | – |
| квадрат | 1425 | 0.01 | 0.58 | – |
| кути | 9713 | 0.19 | 1.06 | – |
| хрест | 8246 | 0.17 | 0.88 | – |
| діагональна лінія | 1590 | 0.10 | 1.36 | – |
| горизонтальна лінія | 5987 | 0.34 | 1.42 | – |
| слово | 5683 | 0.70 | 8.39 | – |
| вертикальна лінія | 8520 | 0.06 | 4.28 | – |
| Разом | 3.09 | 22.97 | 8.96 | |
| Цифровий патерн | ||||
| закінчується на 69 | 6869 | 0.35 | 0.57 | – |
| тільки цифри 0-3 | 2000 | 3.49 | 2.72 | – |
| тільки цифри 0-6 | 5155 | 4.66 | 5.96 | – |
| повторювані пари | 2525 | 2.31 | 4.11 | – |
| однакові цифри | 6666 | 0.40 | 6.67 | – |
| спадна послідовність | 3210 | 0.13 | 0.29 | – |
| зростаюча послідовність | 4567 | 3.83 | 4.52 | – |
| Разом | 15.16 | 24.85 | 4.60 | |
| Випадковий набір цифр | 23.17 | 27.67 | 63.68 |
Все б добре, але, на жаль, істотна частина опитаних (23%) обирає PIN-код у вигляді дати, і майже третина з них використовує дату свого народження. Це суттєво змінює справу, адже майже всі (99%) респонденти відповіли, що зберігають у гаманці з банківськими картками різні посвідчення особи, на яких цю дату надруковано. Якщо зловмисник знає день народження власника картки, то за грамотного підходу ймовірність вгадування PIN-коду злітає до 9%.
100 найпопулярніших PIN-кодів
0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-12 1956-2015, 2222, 2229, 2580, 3333, 4444, 5252, 5683, 6666, 7465, 7667.
PS На практиці, зрозуміло, зловмиснику набагато простіше підглянути ваш PIN-код, ніж вгадувати його. Але й від підгляду можна захиститись — навіть, здавалося б, у безвихідному становищі:
Нижче калькулятор призначений для генерації всіх поєднань з n по m елементів.
Число таких поєднань, як можна розрахувати за допомогою калькулятора Елементи комбінаторики. Перестановки, розміщення, поєднання.
Опис алгоритму генерації під калькулятором
Алгоритм
Комбінації генеруються у лексикографічному порядку. Алгоритм працює з порядковими індексами елементів множини.
Розглянемо алгоритм з прикладу.
Для простоти викладу розглянемо безліч із п’яти елементів, індекси в якому починаються з 1, а саме, 1 2 3 4 5.
Потрібно згенерувати всі комбінації розміру m = 3.
Спочатку ініціалізується перша комбінація заданого розміру m – індекси в порядку зростання
1 2 3
Далі перевіряється останній елемент , тобто i = 3. Якщо його значення менше n – m + i, він інкрементується на 1.
1 2 4
Знову перевіряється останній елемент, і знову він инкрементируется.
1 2 5
Тепер значення елемента дорівнює максимально можливому: n – m + i = 5 – 3 + 3 = 5, перевіряється попередній елемент з i = 2.
Якщо його значення менше n – m + i, він інкрементується на 1, а всіх наступних за ним елементів значення прирівнюється до значення попереднього елемента плюс 1.
1 (2+1)3 (3+1)4 = 1 3 4
Далі знову йде перевірка для i = 3.
1 3 5
Потім – перевірка для i = 2.
1 4 5
Потім настає черга i = 1.
(1+1)2 (2+1)3 (3+1)4 = 2 3 4
І далі,
2 3 5
2 4 5
3 4 5 – останнє поєднання, тому що всі його елементи дорівнюють n – m + i.Друзі! Якщо вже є в мене цей мертвий блокнот, використовую його для того, щоб задати вам завдання, над яким вчора билося три фізики, два економісти, один політехівський і один гуманітарій. Ми зламали собі весь мозок і в нас постійно виходять різні результати. Можливо, серед вас є програмісти та математичні генії, до того ж, завдання взагалі шкільне і дуже легке, у нас просто не виводиться формула. Тому що ми кинули заняття точними науками і натомість навіщось пишемо книги і малюємо картини. Вибачте.
Мені видали нову банківську картку і я, як водиться, граючи вгадала її пін-код. Але не підряд. У сенсі, скажімо, пін-код був 8794, а я назвала 9748. Тобто, я тріумфально вгадала всі цифри , які містилися в цьому чотиризначному числі. Ну так, не саме число , а просто його складові у гадала. Але цифри всі вірні! ПРИМІТКА – я діяла навмання, тобто мені не треба було розставити вже відомі числа в потрібному порядку, я просто діяла в дусі: ось тут є невідомі мені чотири цифри, і я вважаю, що серед них можуть бути 9, 7, 4 і 8, а порядок їх важливий. Ми відразу запитали, скільки в мене взагалі було варіантів (напевно, щоб зрозуміти, наскільки це круто, що я взяла і вгадала). Тобто, із скількох комбінацій чотирьох цифр мені треба було обирати? І тут, природно, почалося пекло. У нас весь вечір вибухала голова, і у всіх, зрештою, вийшли абсолютно різні варіанти відповіді! Я навіть почала виписувати всі ці комбінації в блокнот поспіль у міру зростання, але на чотирьох сотнях зрозуміла, що їх більше чотирьох сотень (принаймні це спростувало відповідь фізика Треша, який запевняв мене, що комбінацій чотири сотні, але все одно це не абсолютно однозначно) – і здалася.
Власне, суть питання. Яка ймовірність вгадування (у будь-якому порядку) чотирьох чисел, що містяться у чотиризначному числі?
Або ні, переформулюємо (я гуманітарій, вибачте, хоча до математики завжди мав велику слабкість), щоб було ясніше і чіткіше. Скільки не повторюваних комбінацій цифр міститься у ряді порядкових числівників від 0 до 9999? ( Будь ласка, не плутайте це з питанням “скільки комбінацій цифр, що не повторюються “!! ! цифри можуть повторюватися! в сенсі, 2233 і 3322 – це в даному випадку одна і та ж комбінація!!).
Або ще конкретніше. Мені потрібно чотири рази вгадати одну цифру із десяти. Але не підряд.
Ну чи ще якось. Загалом потрібно дізнатися, скільки у мене було варіантів числової комбінації, з якої складався пін-код картки. Допоможіть, люди добрі! Тільки, будь ласка, допомагаючи, не починайте одразу писати, що варіантів цих 9999 (вчора таке всім спадало на думку спочатку), тому що це ж дурниці – адже в тому ракурсі, який нас хвилює, число 1234, число 3421, число 4312 і так далі є одним і тим же! Ну і так, цифри можуть повторюватися, адже буває пін-код 1111 або там, наприклад, 0007. Можна уявити замість пін-коду номер машини. Припустимо, яка можливість вгадати всі однозначні цифри, з яких складається номер машини? Або щоб взагалі прибрати теорію ймовірності – зі скількох числових комбінацій мені потрібно було вибрати одну?
Будь ласка, підкріпіть свої відповіді та міркування якими-небудь точними формулами, бо ми вчора і так мало не збожеволіли. Заздалегідь усім дякую!
PS Одна розумна людина, програміст, художник і винахідник, щойно дуже вірно підказав правильне вирішення проблеми, подарувавши мені кілька хвилин прекрасного настрою . більше на її місці хвилювало не питання «яка ймовірність», а питання «чого я звертаю увагу на всі ці цифри?» Загалом навіть нічого додати:)
Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.
Безпека понад усе: як легко створити надійний пароль
Паролі оточують нас скрізь: пін-код або ключ для розблокування смартфона, паролі від Facebook, Instagram і інших соцмереж та сервісів. Все це потрібно пам’ятати і час від часу змінювати, аби мінімізувати ризик зламування та викрадення облікового запису.
Редакція Техно 24 підготувала кілька корисних порад, які допоможуть вам придумати складні паролі для кожного облікового запису та не забути їх.
Чому пароль має бути унікальним та складним
Особисту інформацію слід захищати надійно. Не дарма серед усіх порад із захисту інформації найчастіше можна почути про те, що пароль повинен бути складним: довгим, з використанням різних символів, цифр, та букв різного регістру. Порада здається достатньо логічною та зрозумілою, водночас саме нею найчастіше нехтують.
Цікаво! Компанія NordPass, яка займається питаннями безпеки в інтернеті, щороку публікує звіт про найпопулярніші паролі, якими користувачі захищають свої облікові записи. На початку року вона опублікувала рейтинг найпопулярніших паролів в Україні і все доволі сумно.
П’ятірка найпопулярніших паролів серед користувачів українського сегменту мережі інтернет виглядає так:
Мабуть, не потрібно пояснювати, чому це справді проблема. Простий пароль робить ваш акаунт легкою здобиччю шахраїв та хакерів. Їм не потрібно докладати жодних зусиль, щоб зламати обліковий захист “захищений” одним з вищезазначених паролів – для цього їм навіть не потрібні сторонні програми, адже такий пароль можна просто вгадати.
Навіщо придумувати унікальний пароль для кожного акаунта
Використовувати один пароль для усіх облікових записів в мережі – дуже погана ідея. Річ у тім, що різноманітні сайти доволі часто піддаються атакам хакерів, які можуть отримати доступ до бази паролів та поштових адрес або логінів. Далі ці бази продають, або ж просто зливають у мережу і доступ до облікового запису за логіном, поштою та паролем отримати дуже легко.
До речі, сьогодні деякі браузери, наприклад Firefox, Google Chrome MS Edge, дозволяють відстежувати відомі витоки облікових даних. В переліку їхніх функцій є можливість просканувати всі свої збережені паролі та порівняти їх зі злитими базами. Це дозволить вчасно змінити ваш пароль, щоб уникнути проникнення в обліковий запис сторонніх осіб. Крім того, вже досить давно браузери навчилися самостійно пропонувати згенеровані випадковим чином надійні паролі.
Мало приємного, усвідомлювати, що твій єдиний пароль від усіх сервісів став відомий комусь. І тепер лише питання часу, коли хакер спробує його ввести на інших сайтах в купі з вашою поштою або логіном. А там – бонусні бали в магазинах, адреси доставки та інші персональні дані.
Важливо! Короткий пароль без цифр та з літерами одного регістру – це небезпечно. Надійний пароль має бути максимально довгим та складним для злому.
Як придумати складний пароль та запам’ятати його
Як ми вже наголошували, придумати достатньо складний пароль та запам’ятати його – справа непроста. До такого завдання потрібно підходити системно і на це потрібно виділити трохи часу й уваги, але пам’ятайте, надійний та унікальний пароль – це безпека ваших особистих даних!
Хорошим варіантом буде застосування формули для створення пароля, яка допоможе зробити його легким для запам’ятовування та достатньо різноманітним і важким для зламування.
Унікальний та складний пароль потрібен для захисту ваших даних / Фото pxhere
Формула для створення пароля
- Оберіть просте слово, яке асоціюється із сайтом чи сервісом для якого ви придумуєте пароль. Бажано, щоб це слово легко перекладалося англійською або транслітерувалося та містило не менше 5 символів. Для прикладу візьмемо слово “безпека”. Транслітеруємо його або перекладаємо та пишемо з великої букви: Bezpeka або Security.
- Тепер підбираємо комбінацію з цифр, достатньо буде 3-4 цифри і краще, щоб вони не повторювалися або не йшли поспіль. Як варіант, це може бути дата народження когось дорогого вам або ж пам’ятна комбінація цифр.
- Далі нам потрібно ще кілька символів, які йтимуть після цифр. Беремо назву сайту на якому реєструємося і витягаємо з неї перші або останні три символи. Наприклад ви реєструєте акаунт на Facebook: отримуємо FAC або OOK.
- Тепер нам потрібен спецсимвол. Тут можна обрати будь-який, який вам подобається. Наприклад значок ₴, $, або ?.
- Усі частини нашого пароля готові, залишається скласти їх до купи. Тут використовуємо наступну формулу: СловО + число + адреса + спец.символ або спец.символ + число + СлОвО + адреса. Це лише деякі варіанти, скомбінувати які ви можете так, щоб краще запам’ятати.
В результаті отримуємо кілька різноманітних паролів:
Варіанти можуть бути найрізноманітніші, аби ви лише запам’ятали формулу, за якою згенерували пароль та принцип розстановки великих літер у словах.
Кілька важливих порад
- Не зберігайте паролі на телефоні, планшеті чи комп’ютері. Це може здатися очевидним, але люди часто зберігають свої паролі. Не робіть цього! Документи, електронні листи, нотатки, месенджери можуть зламати.
- Зберігайте пароль у таємниці. Навіть якщо ви повністю довіряєте людині, якій розкриваєте свій пароль, ризиковано надсилати пароль через текстове повідомлення або електронну пошту. Навіть якщо ви просто вимовляєте його вголос або пишете на листку, хтось зацікавлений може “підслуховувати”.
Використовуємо спеціальні програми
Вищезазначена формула допомагає самостійно згенерувати надійний ключ та запам’ятати його. Однак це не завжди буває зручно і навіть потрібно. Буває, що вам може не знадобитися такий довгий та складний пароль, потрібно придумати пін-код, або ж ви хочете просто автоматизувати це завдання та покластися на комп’ютер.
Важливо! Часто користувачі обирають для особистого кабінету на сайті пароль, який вони вже використовували раніше на інших ресурсах і той, який їм легко запам’ятати. Чому це неправильно ми вже писали вище. Такий спосіб захисту облікових записів дуже легкий для злому.
Тут вам у пригоді стануть генератори паролів. Таких програм є чимало, як у вигляді безкоштовних онлайн-генераторів, розширень для браузера, додатків на телефон та платних спеціалізованих програм. Вам не обов’язково придумувати пароль для кожного акаунта й тримати його в голові, за вас це можуть зробити такі програми, як:
- LastPass,
- RoboForm,
- KeePass,
- Sticky Password,
- OneSafe та багато інших.
Генератор паролів допоможе створити дійсно надійну та унікальну комбінацію для будь-якого типу облікового запису.
Більшість сервісів у процесі генерації можна налаштувати застосовуючи додаткові функції, наприклад, додавання літер верхнього регістру, спеціальних символів, чисел. Також можна вказати ступінь складності пароля – простий, середній та складний.
Якщо вам потрібно швидко придумати пароль в особистий кабінет, то генератор паролів допоможе впоратися із цим завданням у кілька кліків. Зручність ще й у тому, що більшість таких сервісів безкоштовні.
KeePass – генератор та менеджер паролів / Фото 24 каналу
Менеджери паролів
Ці програми допоможуть не лише згенерувати надійний пароль, але й зберегти його, щоб не забути. У такому випадку вам знадобиться пам’ятати лише один пароль до однієї програми, а вона вже міститиме ключі до інших сайтів, які ви зможете скопіювати та внести за потреби.
Незалежно від того, створюєте ви власні надійні паролі або шукаєте онлайн-сервіс, який зробить це за вас, використовуйте надійний менеджер паролів. Він генерує, зберігає та керує всіма вашими паролями в одному безпечному онлайн-акаунті. Все, що вам потрібно зробити, це зберегти всі паролі від ваших облікових записів у програмі, а потім захистити їх одним “головним паролем”.
Ми рекомендуємо такі програми:
Як додатково захистити обліковий запис в мережі
Яким би унікальним та складним не був ваш пароль, завжди є ризик, що його зламають, або він стане доступним у тому чи іншому вигляді третім особам. Саме тому важливим фактором є додатковий захист акаунта, такий, наприклад, як двофакторна автентифікація.
Двофакторна автентифікація (2FA) – це додатковий рівень безпеки. Навіть якщо комусь вдасться вкрасти ваш пароль, ви зможете запобігти доступу до вашого облікового запису. Зазвичай це одноразовий код, який може бути відправлений текстовим повідомленням або іншим способом.
Одноразовий код діє лише кілька хвилин або годин, після чого він самознищується. Таким чином, завдяки двофакторній автентифікації ваші онлайн-акаунти стають невразливими для кіберзлочинців.
Важливо! До речі, отримати SMS не найбезпечніший спосіб, тому що хакер здатний вкрасти номер вашого мобільного телефону в результаті шахрайства з заміною SIM-карток і отримати доступ до вашого коду перевірки.
Набагато безпечніше використовувати програми для двофакторної автентифікації. В такому випадку користувачу потрібно встановити програму на комп’ютер або смартфон, щоб отримати код. Програми динамічно генерують коди для користувача на короткий проміжок часу. Після успішного входу в обліковий запис користувачеві потрібно відкрити програму та ввести код, який згенерувала програму.
Програми для двофакторної автентифікації:
Додатки для двофакторної автентифікації / Фото 24 каналу
Такі програми легко використати. Код автоматично генерується у додатку для автентифікації. А ще такі програми мають кросплатформову підтримку – вони працюють на комп’ютері, і на смартфоні. Навіть якщо ви втратили смартфон, ви все одно зможете згенерувати код на комп’ютері.
Сподіваємося наші поради були корисними для вас. Пам’ятайте, що ваш смартфон приховує чимало секретів та неочевидних функцій з допомогою яких ви можете зробити користування телефоном зручнішим. Ми розповідаємо вам про найцікавіші секрети чи додатки у рубриці Поради Техно 24.