Пароль

Пароль , представляет , иногда называемый пас -кодом собой секретные данные, обычно строка символов, обычно используемые для подтверждения идентификации пользователя. Традиционно ожидалось, что пароли будут запоминаются , ^{[ 1 ]} Но большое количество защищенных паролем сервисов, которые типичные отдельные добычи могут сделать запоминание уникальных паролей для каждой службы непрактичным. ^{[ 2 ]} Использование терминологии руководящих принципов NIST Digital Identity, ^{[ 3 ]} Секрет принадлежит стороне, называемой заявителем, в то время как сторона, проверяющая личность заявителя, называется проверкой . Когда заявитель успешно демонстрирует знание пароля для проверки с помощью установленного протокола аутентификации , ^{[ 4 ]} Verifier способен вывести личность заявителя.

В целом, пароль является произвольной строкой символов , включая буквы, цифры или другие символы. Если допустимые символы ограничены как числовые, соответствующий секрет иногда называют личным идентификационным номером (PIN).

Несмотря на свое имя, пароль не должен быть реальным словом; Действительно, не слов (в словаре) может быть сложнее угадать, что является желательным свойством паролей. Запоминающаяся секрет, состоящая из последовательности слов или другого текста, разделенного пространствами, иногда называют пассивной фразой . Пассная фраза аналогична паролю в использовании, но первое, как правило, длиннее для дополнительной безопасности. ^{[ 5 ]}

История

Пароли использовались с древних времен. Sentries бросит вызов тем, кто желает ввести область, чтобы предоставить пароль или локомот , и позволит человеку или группе пройти только в том случае, если они знают пароль. Полибий описывает систему распределения лозунгов в римских военных следующим образом:

То, как они обеспечивают проходное раунд локомового слова за ночь, заключается в следующем: от десятого маниалика каждого класса пехоты и кавалерии, манипля освобожден от охраны, и он каждый день посещает за закатом в палатке Трибуны и получает от него лозунство - это деревянная табличка со словом, надписанным на нем - забирает его отпуск и при возвращении к своим кварталам проходит Лейс и планшет перед свидетелями командира следующего манипуля, который, в свою очередь, передает его рядом с ним. Все делают то же самое, пока не достигнет первых манипллов, которые расположены у палаток трибун. Эти последние обязаны доставить таблетку в трибуны перед темной. Так что, если все выпущенные возвращаются, Tribune знает, что лозунство было дано всем маниплам, и все прошло через все. Если кто -то из них пропал без вести, он сразу же делает запрос, как он знает по отметкам из какого квартала, планшет не вернулся, и тот, кто несет ответственность за остановку, встречает наказание, которое он заслуживает. ^{[ 6 ]}

Пароли в военном использовании развивались, чтобы включить не только пароль, но и пароль и Counterpassword; Например, в первые дни битвы за Нормандию десантники 101 -й воздушной дивизии США использовали пароль - вспышка , которая была представлена в качестве вызова, и ответил с правильным ответом - Thunder . Задача и ответ изменялись каждые три дня. Американские десантники также использовали устройство, известное как «крикет» в день D, вместо системы паролей в качестве временно уникального метода идентификации; Один металлический щелчок, данный устройством вместо пароля, должен был быть встречен двумя кликами в ответ. ^{[ 7 ]}

Пароли использовались с компьютерами с самых первых дней вычислений. Совместимая система совместного использования времени (CTSS), операционная система, введенная в MIT в 1961 году, была первой компьютерной системой, которая внедрила вход пароля. ^{[ 8 ]}^{[ 9 ]} У CTSS была команда входа в систему, которая запрашивала пароль пользователя. «После ввода пароля система отключает механизм печати, если это возможно, чтобы пользователь мог ввести свой пароль с конфиденциальностью». ^{[ 10 ]} В начале 1970 -х годов Роберт Моррис разработал систему хранения паролей в системе в хэшированной форме в рамках операционной системы UNIX . Система была основана на смоделированной крипто-машине Hagelin Rotor и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как Crypt (3) , использовала 12-битную соль и вызвала модифицированную форму DES Алгоритм 25 раз для снижения риска предварительно вычисленных атак в словаре . ^{[ 11 ]}

В наше время имена пользователей и пароли обычно используются людьми в процессе входа в систему, который управляет доступом к защищенным компьютерным операционным системам , мобильным телефонам , декодерам кабельного телевидения , автоматических машиностроениям (банкоматам) и т. Д. У типичного пользователя компьютера есть пароли для Многие цели: вход в учетные записи, получение электронной почты , доступ к приложениям, базам данных, сети, веб-сайтам и даже чтение утренней газеты онлайн.

Выбор безопасного и запоминающегося пароля

будет легче Чем проще пароль для владельца, как правило, означает, что злоумышленник угадать. ^{[ 12 ]} Тем не менее, пароли, которые трудно запомнить, могут также снизить безопасность системы, потому что (а) пользователям может потребоваться записать или хранить пароль в электронном виде, (б) пользователям потребуются частые сбросы пароля, и (c) пользователи с большей вероятностью будут повторно используйте один и тот же пароль на разных учетных записях. Точно так же, чем более строгие требования к паролю, такие как «иметь сочетание прописных и строчных букв и цифр» или «менять ежемесячно», тем больше степень, в которой пользователи будут подорвать систему. ^{[ 13 ]} Другие утверждают, что более длинные пароли обеспечивают больше безопасности (например, энтропия ), чем более короткие пароли с широким спектром символов. ^{[ 14 ]}

В запоминании и безопасности паролей , ^{[ 15 ]} Jeff Yan et al. Изучите эффект совета, данный пользователям о хорошем выборе пароля. Они обнаружили, что пароли, основанные на размышлении о фразе и принятии первой буквы каждого слова, столь же запоминающиеся, как и наивно выбранные пароли, и так же трудно взломать, как случайно сгенерированные пароли.

Объединение двух или более не связанных слов и изменение некоторых букв на специальные символы или числа - еще один хороший метод, ^{[ 16 ]} Но одно словесное слово нет. Наличие лично разработанного алгоритма для генерации неясных паролей является еще одним хорошим методом. ^{[ 17 ]}

Тем не менее, просить пользователей запомнить пароль, состоящий из «сочетания перспективных и нижних символов», похож на то, что попросить их запомнить последовательность битов: трудно помнить, и лишь немного сложнее взломать (например, всего в 128 раз больше Крэт за 7-буквенные пароли, меньше, если пользователь просто заработает одну из букв). Попрос пользователей использовать «как буквы, так и цифры» часто приведет к простым в себе замены, таких как «E» → '3' и «i» → '1', замены, которые хорошо известны злоумышленникам. Точно так же набрать пароль на одну клавишную строку выше - общий трюк, известный злоумышленникам. ^{[ 18 ]}

В 2013 году Google выпустил список наиболее распространенных типов паролей, все из которых считаются небезопасными, потому что их слишком легко догадаться (особенно после исследования человека в социальных сетях), что включает в себя: ^{[ 19 ]}

Название домашнего животного, ребенка, члена семьи или другого другого
Годовщины даты и дни рождения
Место рождения
Название любимого праздника
Что -то связано с любимой спортивной командой
Слово «пароль»

Альтернативы запоминания

Традиционные советы для запоминания паролей и никогда не записывать их стали проблемой из -за огромного количества паролей, которые пользователи компьютеров и Интернета должны будут поддерживать. Один опрос пришел к выводу, что средний пользователь имеет около 100 паролей. ^{[ 2 ]} Чтобы управлять пролиферацией паролей, некоторые пользователи используют один и тот же пароль для нескольких учетных записей, опасная практика, поскольку нарушение данных в одной учетной записи может поставить под угрозу остальные. Менее рискованные альтернативы включают использование менеджеров паролей , систем отдельных входов и просто хранение списков бумаги менее критических паролей. ^{[ 20 ]} Такая практика может сократить количество паролей, которые необходимо запомнить, такие как основной пароль менеджера паролей, до более управляемого номера.

Факторы в безопасности системы паролей

Безопасность защищенной паролем системы зависит от нескольких факторов. Общая система должна быть разработана для звуковой безопасности, с защитой от компьютерных вирусов , атаки человека в среднем уровне и тому подобное. Проблемы физической безопасности также вызывают беспокойство, от сдерживания серфинга на плечах до более сложных физических угроз, таких как видеокамеры и ненужники клавиатуры. Должны быть выбраны пароли, чтобы злоумышленник было трудно догадаться и трудно обнаружить, используя любую из доступных схем автоматической атаки. См. Сила пароля и безопасность компьютера для получения дополнительной информации. ^{[ 21 ]}

В настоящее время для компьютерных систем является обычная практика скрывать пароли по мере их набора. Цель этой меры - предотвратить просмотр пароля; Тем не менее, некоторые утверждают, что эта практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность показать или скрывать пароли при их печати. ^{[ 21 ]}

Эффективные положения о контроле доступа могут привести к крайним мерам по отношению к преступникам, стремящимся приобрести пароль или биометрический токен. ^{[ 22 ]} Менее экстремальные меры включают вымогательство , криптанализ резинового шланга и атаку бокового канала .

Некоторые конкретные проблемы управления паролем, которые следует учитывать при размышлении, выборе и обработке, следуют паролю.

Скорость, с которой злоумышленник может попробовать угадать пароли

Скорость, с которой злоумышленник может подать угадаемые пароли в систему, является ключевым фактором в определении безопасности системы. Некоторые системы накладывают тайм-аут на несколько секунд после небольшого числа (например, три) неудачных попыток ввода пароля, также известных как дроссельная. ^{[ 3 ]} ^{: 63b Sec 5.2.2} В отсутствие других уязвимостей такие системы могут быть эффективно защищены с относительно простыми паролями, если они были хорошо выбраны и их нелегко угадать. ^{[ 23 ]}

Многие системы хранят криптографический хэш пароля. Если злоумышленник получает доступ к файлу хэшированных паролей, догадывающихся догадки может быть сделано в автономном режиме, быстро тестирование паролей -кандидатов по значению хэша истинного пароля. В примере веб-сервера, онлайн-злоумышленник может догадаться только с той скоростью, на котором будет отвечать сервер, в то время как атакующий в автономном режиме (который получает доступ к файлу) может догадаться с ограниченной скоростью только оборудованием на который работает атака, и сила алгоритма, используемого для создания хэша.

Пароли, которые используются для генерации криптографических ключей (например, для шифрования дисков или безопасности Wi-Fi ) также могут быть подвергнуты высокой ставке. Списки общих паролей широко доступны и могут сделать атаки паролей очень эффективными. (См. Cracking Password .) Безопасность в таких ситуациях зависит от использования паролей или паролей адекватной сложности, что делает такую атаку невозможным для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA , применяют хэш с интенсивным вычислением к паролю для замедления таких атак. Смотрите ключевое растяжение .

Ограничения на количество догадок пароля

Альтернативой ограничению скорости, с которой злоумышленник может сделать догадки на пароль, является ограничение общего количества предположений, которые можно сделать. Пароль может быть отключен, требуя сброса, после небольшого количества последовательных плохих догадок (скажем, 5); И пользователю может потребоваться изменить пароль после большего кумулятивного количества плохих догадок (скажем, 30), чтобы не позволил злоумышленнику сделать произвольно большое количество плохих предположений, перемежая их между хорошими предположениями, сделанными законным владельцем пароля. ^{[ 24 ]} Злоумышленники могут наоборот использовать знания об этом смягчении, чтобы реализовать атаку в отказе от пользователя, намеренно запирая пользователя из собственного устройства; Это отказ в службе может открыть другие возможности для злоумышленника, чтобы манипулировать ситуацией в своих интересах с помощью социальной инженерии .

Форма сохраненных паролей

Некоторые компьютерные системы хранят пароли пользователей как открытый текст , против которого можно сравнить попытки входа в систему пользователя. Если злоумышленник получает доступ к такому внутреннему хранилище паролей, все пароли - и все учетные записи пользователей - будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.

Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к фактическому паролю будет все равно трудным для Snooper, который получает внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Наиболее безопасные не хранят пароли вообще, а односторонний вывод, такой как многочлен , модуль или расширенная хэш-функция . ^{[ 14 ]} Роджер Нидхэм изобрел теперь подход к хранению только «хэшированной» формы пароля с открытым текстом. ^{[ 25 ]}^{[ 26 ]} Когда пользователь вводит пароль в такой системе, программное обеспечение для обработки паролей проходит через алгоритм криптографического хэша, и если значение хэш, сгенерированное из записи пользователя, соответствует хэш, хранящемуся в базе данных пароля, пользователю разрешается доступ. Значение хэша создается путем применения криптографической хеш -функции к строке, состоящей из представленного пароля, и, во многих реализациях, еще одного значения, известного как соль . Соль не позволяет злоумышленникам легко составить список значений хэш для общих паролей и предотвращает масштабирование усилий по взлову пароля для всех пользователей. ^{[ 27 ]} MD5 и SHA1 часто используются криптографические хеш -функции, но они не рекомендуются для хэширования пароля, если они не используются как часть более крупной конструкции, например, в PBKDF2 . ^{[ 28 ]}

Сохраненные данные - иногда называемые «проверкой пароля» или «Хэш пароля» - часто хранятся в формате модульного крипта или в формате хэша RFC 2307, иногда в файле /etc /passwd или в файле /etc /shadow . ^{[ 29 ]}

Основными методами хранения паролей являются простой текст, хэша, хэширование и соленую, и обратимо зашифрована. ^{[ 30 ]} Если злоумышленник получает доступ к файлу пароля, то если он хранится как простой текст, трещины не требуется. Если он хэширован, но не соленый, то он уязвим для атак радужных столов (которые более эффективны, чем растрескивание). Если это обратимо зашифровано, то, если злоумышленник получает ключ расшифровки вместе с файлом, не требуется трещины, а если он не сможет получить ключ, трещины невозможно. Таким образом, из общих форматов хранения паролей только тогда, когда пароли были солены, и хешир взломает как необходимые, так и возможно. ^{[ 30 ]}

Если криптографическая хеш -функция хорошо спроектирована, вычислительно невозможно отменить функцию для восстановления пароля с открытым текстом . Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают, хэшируя возможные пароли и сравнивая результат каждого предположения с фактическими хэшами пароля. Если злоумышленник находит совпадение, они знают, что их предположение является фактическим паролем для ассоциированного пользователя. Инструменты взлома пароля могут работать с помощью грубой силы (то есть, пробуя каждую возможную комбинацию символов) или с помощью каждого слова из списка; Большие списки возможных паролей на многих языках широко доступны в Интернете. ^{[ 14 ]} Существование инструментов для взлома паролей позволяет злоумышленникам легко восстанавливать плохо выбранные пароли. В частности, злоумышленники могут быстро восстановить пароли, которые являются короткими, словарными словами, простыми вариациями словарных слов или используют легко догадаемые шаблоны. ^{[ 31 ]} Модифицированная версия алгоритма DES использовалась в качестве основы для алгоритма хэширования пароля в ранних системах UNIX . ^{[ 32 ]} Алгоритм крипты использовал 12-разрядное значение соли, так что хэш каждого пользователя был уникальным и итерал алгоритм DES в 25 раз, чтобы сделать функцию хеш медленнее, обе меры предназначены для разочарования автоматизированных атак догадок. ^{[ 32 ]} Пароль пользователя использовался в качестве ключа для шифрования фиксированного значения. Более поздние системы Unix или Unix (например, Linux или различные системы BSD ) используют более безопасные алгоритмы хеширования пароля, такие как PBKDF2 , BCRYPT и SCRYPT , которые имеют большие соли и регулируемые затраты или количество итераций. ^{[ 33 ]} Плохо разработанная хэш -функция может сделать атаки возможной, даже если выбран сильный пароль. См. Hash LM для широко развернутого и небезопасного примера. ^{[ 34 ]}

Методы проверки пароля по сети

Простая передача пароля

Пароли уязвимы для перехвата (то есть «Snooping»), когда они передаются на аутентификацию машины или человека. Если пароль переносится в виде электрических сигналов при необеспеченной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных пароля, он подлежит вынуждению методов прослушивания . Если он переносится в виде упакованных данных через Интернет, любой может смотреть пакеты, содержащие информацию в входе в систему, может прийти с очень низкой вероятностью обнаружения.

Электронная почта иногда используется для распределения паролей, но это, как правило, небезопасенный метод. Поскольку большая часть электронной почты отправляется в виде открытого текста , сообщение, содержащее пароль, можно читать без усилий во время транспортировки любым подслуженным. Кроме того, сообщение будет храниться как открытый текст, по крайней мере, на двух компьютерах: отправителя и получателя. Если он проходит через промежуточные системы во время своих путешествий, он, вероятно, будет храниться там и там, по крайней мере, в течение некоторого времени и может быть скопирована в резервного копирования , кэша файлы или истории в любой из этих систем.

Использование шифрования на стороне клиента будет защищать только передачу от сервера системы обработки почты до клиентской машины. Предыдущие или последующие реле электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, безусловно, на исходных и принимающих компьютерах, чаще всего в четком тексту.

Передача по зашифрованным каналам

Риск перехвата паролей, отправленных через Интернет, может быть снижен, среди прочих подходов, используя криптографическую защиту. Наиболее широко используемым является функция безопасности транспортного уровня (TLS, ранее называемый SSL ), встроенная в большинство нынешних интернет -браузеров . Большинство браузеров предупреждают пользователя об обмене TLS/SSL, защищенной от сервера, отображая значок закрытого блокировки или какой-либо другой знак, когда используется TLS. Есть несколько других методов, которые используются; Смотрите криптографию .

Хеш-методы задачи

Существует конфликт между сохраненными хэширующими словами и аутентификацией на основе хеша-ответа ; Последнее требует, чтобы клиент доказывал серверу, что он знает, что такое общий секрет (т.е. пароль), и для этого сервер должен быть в состоянии получить общий секрет из его сохраненной формы. Во многих системах (включая системы unix -типа), выполняющие удаленную аутентификацию, общий секрет обычно становится хэшированной формой и имеет серьезные ограничения обнаружения паролей для автономных атак. Кроме того, когда хэш используется в качестве общего секрета, злоумышленнику не нуждается в исходном пароле для удаленного аутентификации; им нужен только хэш.

Zero-Knowledge Password

Вместо того, чтобы передавать пароль или передавать хэш пароля, системы соглашения с ключевыми, автопословными, могут выполнить проверку пароля с нулевым знанием , которое доказывает знание пароля, не выявляя его.

Двигаясь дальше, дополненные системы для соглашения о ключевом договоре, а также согласие с автономным паролем (EG, AMP , B-Speke , PAK-Z , SRP-6 ) избегайте как конфликта, так и ограничения методов на основе хеша. Дополненная система позволяет клиенту доказывать знание пароля на сервере, где сервер знает только (не совсем) хэшированный пароль, и где для получения доступа требуется пароль с разбитыми.

Процедуры изменения паролей

Обычно система должна предоставить способ изменить пароль, потому что пользователь считает, что текущий пароль был (или мог быть) скомпрометирован, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованной форме, безопасность может быть потеряна (например, через телефонное разговоры ) до того, как новый пароль может быть установлен в базе данных пароля , и если новый пароль предоставлен компрометированному сотруднику, мало что получено. Полем Некоторые веб-сайты включают в себя отобранный пользователь пароль в незашифрованном сообщении электронной почты с очевидной повышенной уязвимостью.

Системы управления идентификацией все чаще используются для автоматизации выдачи замены для потерянных паролей, функции, называемой сбросом пароля самообслуживания . Личность пользователя проверяется, задавая вопросы и сравнивая ответы с ранее хранящимися (т. Е. Когда учетная запись была открыта).

Некоторые вопросы сброса пароля задают личную информацию, которая может быть найдена в социальных сетях, например, девичья фамилия Матери. В результате некоторые эксперты по безопасности рекомендуют либо создать свои собственные вопросы, либо дать ложные ответы. ^{[ 35 ]}

Дополнение пароля

«Старение пароля» - это функция некоторых операционных систем, которые заставляют пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такие политики обычно провоцируют протест пользователей и в лучшем случае, а в худшем-враждебность. Часто наблюдается увеличение количества людей, которые отмечают пароль и оставляют его там, где его можно легко найти, а также вызовы службы поддержки для сброса забытого пароля. Пользователи могут использовать более простые пароли или разработать шаблоны вариаций на последовательную тему, чтобы сохранить их пароли незабываемыми. ^{[ 36 ]} Из -за этих вопросов существует некоторые споры о том, эффективно ли отставание пароля. ^{[ 37 ]} Изменение пароля не предотвратит злоупотребления в большинстве случаев, поскольку злоупотребление часто было немедленно заметным. Однако, если кто -то мог иметь доступ к паролю с помощью некоторых средств, таких как обмен компьютером или нарушение другого сайта, изменение пароля ограничивает окно для злоупотребления. ^{[ 38 ]}

Количество пользователей на пароль

Выделение отдельных паролей каждому пользователю системой предпочтительнее иметь один пароль, разделяемый законными пользователями системы, безусловно, с точки зрения безопасности. Отчасти это связано с тем, что пользователи более склонны сообщать другому человеку (который не может быть авторизован) общий пароль, чем один исключительно для их использования. Одиночные пароли также гораздо менее удобны для изменения, потому что многим людям нужно сказать одновременно, и они усложняют удаление доступа конкретного пользователя, как, например, при выпускной или отставке. Отдельные логины также часто используются для подотчетности, например, чтобы узнать, кто изменил часть данных.

Архитектура безопасности пароля

Общие методы, используемые для повышения безопасности компьютерных систем, защищенных паролем, включают:

Не отображая пароль на экране отображения, когда он вводится или не затмевает его, когда он вводит с помощью звездочек (*) или пуль (•).
Разрешение паролей адекватной длины. (Некоторые устаревшие операционные системы, включая ранние версии ^{[ который? ]} Unix и Windows, ограниченные пароли до 8 максимума символов, ^{[ 39 ]}^{[ 40 ]}^{[ 41 ]} сокращение безопасности.)
Требование пользователей повторно ввести свой пароль после периода бездействия (политика полугода).
Обеспечение политики пароля для увеличения пароля силы и безопасности .
- Назначение случайно выбранных паролей.
- Требует минимальной длины пароля . ^{[ 28 ]}
- Некоторые системы требуют символов из различных классов символов в пароле, например, «должен иметь как минимум одну верхнюю и по крайней мере одну строчную букву». Тем не менее, пароли All-LowerCase более безопасны для клавишного, чем пароли смешанных заглавных букв. ^{[ 42 ]}
- Используйте черный список пароля, чтобы заблокировать использование слабых, легко угадаемых паролей
- Предоставление альтернативы вводу клавиатуры (например, разговорные пароли или биометрические идентификаторы).
- Требуя более одной системы аутентификации, такой как двухфакторная аутентификация (то, что есть у пользователя и что-то, что знает пользователь).
Использование зашифрованных туннелей или соглашения о ключах, предоставленном паролем для предотвращения доступа к передаваемым паролям через сетевые атаки
Ограничение количества разрешенных сбоев в течение определенного периода времени (чтобы предотвратить повторное угадание пароля). После того, как предел достигнут, дальнейшие попытки потерпят неудачу (включая правильные попытки пароля) до начала следующего периода времени. Тем не менее, это уязвимо для формы атаки отказа в обслуживании .
Введение задержки между попытками отправки пароля для замедления автоматических программ угадания пароля.

Некоторые из более строгих мер по обеспечению соблюдения политики могут представлять риск отчуждения пользователей, что, возможно, снижение безопасности в результате.

Повторное использование пароля

Среди пользователей компьютеров обычная практика - повторно использовать один и тот же пароль на нескольких сайтах. Это представляет существенный риск безопасности, потому что злоумышленник должен идти на компромисс только на одном сайте, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется также повторным использованием имен пользователей , и веб -сайтами, требующими входа в электронную почту, поскольку для злоумышленника облегчает отслеживание одного пользователя на нескольких сайтах. Повторное использование пароля можно избежать или минимизировать, используя методы мнемония , написание паролей на бумаге или с помощью диспетчера паролей . ^{[ 43 ]}

Это утверждало исследователи Redmond Dinei Florencio и Cormac Herley, а также Пол С. Ван Оршот из Университета Карлтона, Канада, это повторное использование пароля неизбежно, и что пользователи должны повторно использовать пароли для веб-сайтов с низкой безопасностью (которые содержат мало личных данных и Например, нет финансовой информации) и вместо этого сосредотачивает свои усилия на запоминании длинных, сложных паролей для нескольких важных счетов, таких как банковские счета. ^{[ 44 ]} Аналогичные аргументы были сделаны Forbes в том, что не изменяют пароли так часто, как советуют многие «эксперты» из -за тех же ограничений в памяти человека. ^{[ 36 ]}

Записание паролей на бумаге

Исторически, многие эксперты по безопасности просили людей запомнить свои пароли: «Никогда не записывайте пароль». Совсем недавно многие эксперты по безопасности, такие как Брюс Шнайер, рекомендуют людям использовать пароли, которые слишком сложны, чтобы запомнить, записать их на бумаге и держать их в кошельке. ^{[ 45 ]}^{[ 46 ]}^{[ 47 ]}^{[ 48 ]}^{[ 49 ]}^{[ 50 ]}^{[ 51 ]}

Программное обеспечение Manager Password также может хранить пароли относительно безопасно, в зашифрованном файле, запечатанном одним главным паролем.

После смерти

Чтобы облегчить администрацию недвижимости, людям полезно предоставить механизм, чтобы их пароли были переданы лицам, которые будут управлять своими делами в случае их смерти. Если будет подготовлена записи учетных записей и паролей, необходимо соблюдать осторожность, чтобы обеспечить безопасность записей, чтобы предотвратить кражу или мошенничество. ^{[ 52 ]}

Многофакторная аутентификация

Многофакторные схемы аутентификации объединяют пароли (как «факторы знаний») с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для скомпрометированных паролей. Например, простой двухфакторный логин может отправить текстовое сообщение, электронное письмо, автоматический телефонный звонок или аналогичное предупреждение, когда предпринимается попытка входа в систему, возможно, предоставляя код, который должен быть введен в дополнение к паролю. ^{[ 53 ]} Более сложные факторы включают такие вещи, как аппаратные токены и биометрическая безопасность.

Вращение пароля

Ротация пароля - это политика, которая обычно реализуется с целью повышения безопасности компьютерной безопасности . В 2019 году Microsoft заявила, что практика «древняя и устаревшая». ^{[ 54 ]}^{[ 55 ]}

Правила пароля

Большинство организаций указывают политику паролей , которая устанавливает требования для композиции и использования паролей, обычно диктуя минимальная длина, необходимые категории (например, верхний и нижний чехол, числа и специальные символы), запрещенные элементы (например, использование собственного имени, Дата рождения, адрес, номер телефона). Некоторые правительства имеют национальные рамки аутентификации ^{[ 56 ]} Это определяет требования к аутентификации пользователей в государственных услугах, включая требования к паролям.

Многие веб -сайты обеспечивают соблюдение стандартных правил, таких как минимальная и максимальная длина, но также часто включают в себя правила композиции, такие как по крайней мере одну заглавную букву и хотя бы одно число/символ. Эти последние, более конкретные правила были в значительной степени основаны на отчете 2003 года Национального института стандартов и технологий (NIST), написанного Биллом Берром. ^{[ 57 ]} Первоначально он предложил практику использования чисел, неясных символов и заглавных букв и регулярного обновления. В статье 2017 года в Wall Street Journal Барр сообщил, что сожалеет об этих предложениях и совершил ошибку, когда рекомендовал их. ^{[ 58 ]}

Согласно переписыванию этого отчета NIST за 2017 год, многие веб -сайты имеют правила, которые на самом деле оказывают противоположное влияние на безопасность своих пользователей. Это включает в себя сложные правила композиции, а также принудительные изменения пароля после определенных периодов времени. Хотя эти правила уже давно широко распространены, они также долгое время рассматривались как раздражающие и неэффективные как пользователи, так и эксперты по кибербезопасности. ^{[ 59 ]} NIST рекомендует людям использовать более длинные фразы в качестве паролей (и рекомендует веб-сайты для повышения максимальной длины пароля) вместо трудно помнить пароли с «иллюзорной сложностью», такими как «PA55W+RD». ^{[ 60 ]} Пользователь, который не мог использовать пароль «пароль», может просто выбрать «пароль1», если это необходимо, чтобы включить номер и прописную букву. В сочетании с вынужденными периодическими изменениями пароля это может привести к паролям, которые трудно запомнить, но легко взломать. ^{[ 57 ]}

Пол Грасси, один из авторов отчета NIST за 2017 год, еще более подробно рассказал: «Все знают, что восклицательный знак - это 1, или я, или последний символ пароля. $ - это S или 5. Если мы используем эти хорошо -Мысли, мы не обманываем ни одного противника. ^{[ 59 ]}

Пьерис Цоккис и Элиана Ставру смогли определить некоторые стратегии строительства плохих паролей посредством исследования и разработки инструмента генератора паролей. Они разработали восемь категорий стратегий построения паролей, основанных на открытых списках паролей, инструментах взлома паролей и онлайн -отчетами, ссылающимися на наиболее используемые пароли. Эти категории включают связанную с пользователем информацию, комбинации и шаблоны клавиатуры, стратегию размещения, обработку текстов, замену, капитализацию, даты добавления и комбинацию предыдущих категорий ^{[ 61 ]}

Перекачивание пароля

Попытка взломать пароли, пытаясь столько возможностей, сколько времени и денег - это грубая атака силы . Связанный метод, более эффективный в большинстве случаев, - это словарь . В атаке в словаре все слова в одном или нескольких словарях протестированы. Списки общих паролей также обычно протестируются.

Сила пароля - это вероятность того, что пароль не может быть догадаен или обнаружен, и варьируется в зависимости от используемого алгоритма атаки. Криптологи и компьютерные ученые часто относятся к силе или «твердости» с точки зрения энтропии . ^{[ 14 ]}

Пароли легко обнаружены, называются слабыми или уязвимыми ; Пароли очень трудные или невозможно обнаружить, считаются сильными . Существует несколько программ, доступных для атаки пароля (или даже аудита и восстановления персоналом систем), таких как L0PHTCRACK , John The Ripper и Cain ; Некоторые из которых используют уязвимости проектирования паролей (как найдено в системе Microsoft Lanmanager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предложенных пользователями.

Исследования производственных компьютерных систем последовательно показывают, что большая часть всех выбранных пользователей паролей легко догадается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей могут быть восстановлены без особых усилий. ^{[ 62 ]} По словам Брюса Шнайера , изучение данных из фишинговой атаки 2006 года, 55% паролей MySpace будут взломать за 8 часов, используя коммерчески доступный инструментарий для восстановления пароля, способный тестировать 200 000 паролей в секунду в 2006 году. ^{[ 63 ]} Он также сообщил, что единственным наиболее распространенным паролем был пароль1 , что еще раз подтвердило общее отсутствие информированной помощи при выборе паролей среди пользователей. (Тем не менее он сохранил, исходя из этих данных, что общее качество паролей улучшилось за эти годы - например, средняя длина составляла до восьми символов из менее семи в предыдущих опросах, а менее 4% были словарями. ^{[ 64 ]})

Инциденты

16 июля 1998 года CERT сообщил об инциденте, когда злоумышленник обнаружил 186 126 зашифрованных паролей. В то время, когда был обнаружен злоумышленник, 47 642 пароли уже были взломаны. ^{[ 65 ]}
В сентябре 2001 года, после смерти 658 из их 960 сотрудников Нью -Йорка в атаках 11 сентября , фирма по финансовым услугам Кантор Фицджеральд через Microsoft сломала пароли умерших сотрудников, чтобы получить доступ к файлам, необходимым для обслуживания учетных записей клиентов. ^{[ 66 ]} Техники использовали атаки грубой силы, и интервьюеры связались с семьями, чтобы собрать персонализированную информацию, которая может сократить время поиска более слабых паролей. ^{[ 66 ]}
В декабре 2009 года произошло крупное нарушение пароля на веб -сайте Rockyou.com , которое привело к выпуску 32 миллионов паролей. Затем хакер просочил полный список из 32 миллионов паролей (без какой -либо другой идентифицируемой информации) в Интернет. Пароли хранились в Clarext в базе данных и были извлечены с помощью уязвимости SQL -инъекции. Центр защиты приложений Imperva (ADC) провел анализ силы паролей. ^{[ 67 ]}
В июне 2011 года НАТО (Организация Северной Атлантического договора) пережила нарушение безопасности, которое привело к публичному выпуску имен, имен пользователей и паролей для более чем 11 000 зарегистрированных пользователей их электронного ягода. Данные были просочены как часть операции Antisec , движения, которое включает в себя анонимный , Lulzsec , а также другие хакерские группы и отдельные лица. Цель Antisec - разоблачить личную, чувствительную и ограниченную информацию в мире, используя любые необходимые средства. ^{[ 68 ]}
11 июля 2011 года Booz Allen Hamilton , консалтинговая фирма, которая работает для Пентагона , взломала их серверы и просочилась в тот же день. «Утечка, получившая название« Военным кризисом в понедельник », включает в себя 90 000 логиков военнослужащих, включая персонал из UscentCom , SOCOM , Корпус морской пехоты , различные ВВС объекты , внутреннюю безопасность , сотрудники Государственного департамента и то, что выглядит как подрядчики частного сектора». ^{[ 69 ]} Эти просочившиеся пароли оказались хэшированы в SHA1, а затем были расшифрованы и проанализированы командой ADC в Imperva , показывая, что даже военнослужащие ищут ярлыки и способы обоснования требований к паролю. ^{[ 70 ]}
5 июня 2012 года нарушение безопасности в LinkedIn привело к 117 миллионам похищенных паролей и электронных писем. Миллионы паролей были позже размещены на русском форуме. Хакер по имени «Мир» позже предложил для продажи дополнительные пароли. LinkedIn предпринял обязательный сброс всех скомпрометированных счетов. ^{[ 71 ]}

Альтернативы пароля для аутентификации

Многочисленные способы, которыми могут быть скомпрометированы постоянные или полупостоянные пароли, вызвали разработку других методов. Некоторые из них неадекватны на практике, и в любом случае немногие стали универсально доступными для пользователей, ищущих более безопасную альтернативу. ^{[ 72 ]} Документ 2012 года ^{[ 73 ]} Изучает, почему пароли оказались так трудно вытеснить (несмотря на многочисленные прогнозы, что скоро они станут в прошлом ^{[ 74 ]}); Изучая тридцать представленных предложенных замен в отношении безопасности, удобства использования и развертываемости, они завершают «ни один даже не сохраняет полный набор преимуществ, которые уже предоставляют устаревшие пароли».

Одноразовые пароли . Наличие паролей, которые действительны только один раз, делает много потенциальных атак неэффективными. Большинство пользователей находят одноразовые пароли чрезвычайно неудобными. Однако они были широко реализованы в личном онлайн -банке , где они известны как номера аутентификации транзакций (TAN). Поскольку большинство домашних пользователей выполняют лишь небольшое количество транзакций каждую неделю, в этом случае проблема одноразового использования не привела к невыносимой недовольству клиентов.
Синхронизированные по времени одноразовые пароли в некоторых отношениях похожи на одноразовые пароли, но значение, которое нужно ввести, отображается на небольшом (как правило, карманном) элементе и меняется каждую минуту или около того.
Одноразовые пароли Passwindow используются в качестве одноразовых паролей, но динамические символы, которые необходимо ввести, видны только тогда, когда пользователь накладывает уникальный печатный визуальный ключ на изображение сгенерированного сервером, показанное на экране пользователя.
Управление доступа на основе криптографии открытого ключа EG SSH . Необходимые ключи обычно слишком велики, чтобы запоминать (но см. Предложение Passmaze) ^{[ 75 ]} и должен храниться на локальном компьютере, токен безопасности или портативном устройстве памяти, например, USB -флэш -накопитель или даже дискет . Частный ключ может храниться на поставщике облачных услуг и активирован с помощью пароля или двухфакторной аутентификации.
Биометрические методы обещают аутентификацию на основе неизменных личных характеристик, но в настоящее время (2008) имеют высокую частоту ошибок и требуют дополнительного оборудования для сканирования, ^{[ нуждается в обновлении ]} Например, отпечатки пальцев , ирисы и т. Д. Они оказались легко подделать в некоторых известных инцидентах, тестирующих коммерчески доступные системы, например, демонстрация подделки отпечатков пальцев Gummie, ^{[ 76 ]} И, поскольку эти характеристики неизменны, их нельзя изменить, если они скомпрометированы; Это очень важное соображение в контроле доступа, поскольку скомпрометированный токен доступа обязательно небезопасен.
Утверждается , что отдельная технология регистрации устраняет необходимость наличия нескольких паролей. Такие схемы не освобождают пользователей и администраторов от выбора разумных отдельных паролей, ни разработчиков систем или администраторов, обеспечивая, чтобы информация о контроле за частным доступом, передаваемой между системами, обеспечивающими безопасность для атаки. Пока еще не был разработан удовлетворительного стандарта.
Основное количество технологий-это бесплатный способ обеспечения данных на съемных устройствах хранения, таких как USB-флэш-накопители. Вместо паролей пользователей контроль доступа основан на доступе пользователя к сетевому ресурсу.
Не текстовые пароли, такие как графические пароли или пароли на основе мыши на основе мыши. ^{[ 77 ]} Графические пароли являются альтернативным средством аутентификации для входа в систему, предназначенным для использования вместо обычного пароля; Они используют изображения , графику или цвета вместо букв , цифр или специальных символов . Одна система требует, чтобы пользователи выбирали серию лиц в качестве пароля, используя человеческого мозга способность легко вспоминать лица . ^{[ 78 ]} В некоторых реализациях пользователь должен выбрать из ряда изображений в правильной последовательности, чтобы получить доступ. ^{[ 79 ]} Другое решение графического пароля создает одноразовый пароль, используя случайно сгенерированную сетку изображений. Каждый раз, когда пользователь обязан аутентифицировать, они ищут изображения, которые соответствуют их предварительно выбранным категориям, и вводят случайно сгенерированный буквенно-цифровой символ, который появляется на изображении, чтобы сформировать одноразовый пароль. ^{[ 80 ]}^{[ 81 ]} Пока что графические пароли многообещают, но не широко используются. Исследования по этому вопросу были проведены, чтобы определить его удобство использования в реальном мире. Хотя некоторые считают, что графические пароли будут сложнее взломать , другие предполагают, что люди будут с такой же вероятностью выбирать общие изображения или последовательности, как и выбирать общие пароли. ^{[ Цитация необходима ]}
2D-ключ (2-мерный ключ) ^{[ 82 ]} это метод ввода 2D-подобного ключа, имеющий ключевые стили многослойной пассийской фразы, кроссворда, ASCII/Unicode Art, с необязательными текстовыми семантическими шумами, чтобы создать большой пароль/ключ за 128 бит, чтобы реализовать MEPKC (запоминающаяся криптография с общедоступной ключом)) ^{[ 83 ]} Использование полностью запоминающегося закрытого ключа на текущих технологиях управления частными ключами, таких как зашифрованный закрытый ключ, разделенный личный ключ и роуминг частного ключа.
Когнитивные пароли используют пары вопросов и ответов для проверки личности.

"Пароль мертв"

«Пароль мертв» - повторяющаяся идея в области компьютерной безопасности . Приведенные причины часто включают ссылку на юзабилити , а также проблемы с безопасностью паролей. Он часто сопровождает аргументы о том, что замена паролей более безопасным средством аутентификации является как необходима, так и неизбежная. Это утверждение было сделано многочисленными людьми, по крайней мере, с 2004 года. ^{[ 74 ]}^{[ 84 ]}^{[ 85 ]}^{[ 86 ]}^{[ 87 ]}^{[ 88 ]}^{[ 89 ]}^{[ 90 ]}

Альтернативы пароля включают биометрику , двухфакторную аутентификацию или отдельный вход , , Cardspace Microsoft , проект Хиггинса , Альянс Liberty , NSTIC Альянс FIDO и различные предложения Identity 2.0. ^{[ 91 ]}^{[ 92 ]}

Однако, несмотря на эти прогнозы и усилия по замене их паролей, все еще являются доминирующей формой аутентификации в Интернете. В «Постоянке паролей» Кормак Херли и Пол Ван Оршот предполагают, что все усилия должны быть предприняты, чтобы положить конец «впечатляющему неправильному предположению», что пароли мертвы. ^{[ 93 ]} Они утверждают, что «никакая другая отдельная технология не соответствует их сочетанию затрат, непосредственности и удобства», и что «пароли сами по себе лучше всего подходят для многих сценариев, в которых они используются в настоящее время».

После этого Bonneau et al. Систематически сравнили веб -пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертываемости и безопасности. ^{[ 94 ]}^{[ 95 ]} Их анализ показывает, что большинство схем лучше, чем пароли для безопасности, некоторые схемы лучше и ухудшаются в отношении удобства использования, в то время как каждая схема ухудшается, чем пароли при развертываемости. Авторы завершают следующее наблюдение: «предельные выгоды часто недостаточно для достижения энергии активации, необходимой для преодоления значительных переходных затрат, что может дать наилучшее объяснение того, почему мы, вероятно, будем жить значительно дольше, прежде чем увидеть похоронную процессию для паролей. на кладбище. "

Смотрите также

Ссылки

^ Ранджан, Пратик; Ом, Хари (6 мая 2016 г.). «Эффективная схема аутентификации пароля удаленного пользователя, основанная на криптосистеме Рабина» . Беспроводные личные коммуникации . 90 (1): 217–244. doi : 10.1007/s11277-016-3342-5 . ISSN 0929-6212 . S2CID 21912076 .
^ Jump up to: ^а ^{беременный} Уильямс, Шеннон (21 октября 2020 года). «Средний человек имеет 100 паролей - изучение» . Nordpass . Получено 28 апреля 2021 года .
^ Jump up to: ^а ^{беременный} Грасси, Пол А.; Гарсия, Майкл Э.; Фентон, Джеймс Л. (июнь 2017 г.). «NIST Special Publication 800-63-3: Руководство по цифровой идентификации» . Национальный институт стандартов и технологий (NIST). doi : 10.6028/nist.sp.800-63-3 . Получено 17 мая 2019 года . {{cite journal}}: CITE Journal требует |journal= ( помощь )
^ «Протокол аутентификации» . Центр ресурсов компьютерной безопасности (NIST). Архивировано из оригинала 17 мая 2019 года . Получено 17 мая 2019 года .
^ "Passfrase" . Центр ресурсов компьютерной безопасности (NIST) . Получено 17 мая 2019 года .
^ Полибий на римской военной архивировании 2008-02-07 на машине Wayback . AncientHistory.about.com (2012-04-13). Получено на 2012-05-20.
^ Марк Бандо (2007). 101 -й воздух: кричащие орлы во Второй мировой войне . MBI Publishing Company. ISBN 978-0-7603-2984-9 Полем Архивировано из оригинала 2 июня 2013 года . Получено 20 мая 2012 года .
^ Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Это было тоже бесполезно» . Проводной журнал . Получено 22 марта 2019 года .
^ Охота, Трой (26 июля 2017 г.). «Пароли развивались: руководство по аутентификации для современной эпохи» . Получено 22 марта 2019 года .
^ CTSS Руководство по программистам, 2 -е изд., MIT Press, 1965
^ Моррис, Роберт; Томпсон, Кен (3 апреля 1978 года). «Безопасность пароля: история случая». Bell Laboratories . Citeseerx 10.1.1.128.1635 .
^ Вэнс, Эшли (10 января 2010 г.). «Если ваш пароль - 123456, просто сделайте его взломом» . New York Times . Архивировано из оригинала 11 февраля 2017 года.
^ «Управление сетью безопасности» . Архивировано из оригинала 2 марта 2008 года . Получено 31 марта 2009 года . {{cite web}}: CS1 Maint: Bot: исходный статус URL неизвестен ( ссылка ) . Фред Коэн и Ассоциированные. All.net. Получено 20 мая 2012 года.
^ Jump up to: ^а ^{беременный} ^в ^{дюймовый} Лундин, Ли (11 августа 2013 г.). "Пына и пароли, часть 2" . Пароли . Орландо: Sleuthsayers.
^ Запоминание и безопасность паролей архивировали 14 апреля 2012 года на машине Wayback (PDF). ncl.ac.uk. Получено 20 мая 2012 года.
^ Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности . Cengage Learning. п. 162. ISBN 978-1-305-17673-7 .
^ «Как создать генератор случайного пароля» . PCMAG . Получено 5 сентября 2021 года .
^ Льюис, Дэйв (2011). Ctrl-Alt-Delete . Lulu.com. п. 17. ISBN 978-1471019111 Полем Получено 10 июля 2015 года .
^ Techlicious / Fox van Allen @techlicious (8 августа 2013 г.). «Google раскрывает 10 худших идей пароля | Time.com» . Techland.time.com. Архивировано с оригинала 22 октября 2013 года . Получено 16 октября 2013 года .
^ Флишман, Гленн (24 ноября 2015 г.). «Напишите свои пароли, чтобы повысить безопасность-нелогичное понятие оставляет вас менее уязвимыми для удаленной атаки, а не больше» . MacWorld . Получено 28 апреля 2021 года .
^ Jump up to: ^а ^{беременный} Блог Lyquix: нам нужно скрывать пароли? Архивировано 25 апреля 2012 года на машине Wayback . Lyquix.com. Получено 20 мая 2012 года.
^ Джонатан Кент Малайзийский автомобиль воры крадут пальцем, архивировали 20 ноября 2010 года на машине Wayback . Би -би -си (31 марта 2005 г.)
^ Стюарт Браун «Десять лучших паролей, используемых в Великобритании» . Архивировано из оригинала 8 ноября 2006 года . Получено 14 августа 2007 года . Полем ModernLifeisrubbish.co.uk (26 мая 2006 г.). Получено на 2012-05-20.
^ Патент США 8046827
^ Wilkes, MV Compulty Systems. American Elsevier, Нью -Йорк, (1968).
^ Шофилд, Джек (10 марта 2003 г.). «Роджер Нидхэм» . Хранитель .
^ Ошибка ошибки: Пароли, а архивировали 2 ноября 2013 года на машине Wayback . Bugcharmer.blogspot.com (20 июня 2012 г.). Получено на 2013-07-30.
^ Jump up to: ^а ^{беременный} Александр, Стивен. (20 июня 2012 г.) Заклинатель ошибки: как долго должны быть пароли? Архивировано 20 сентября 2012 года на машине Wayback . Bugcharmer.blogspot.com. Получено на 2013-07-30.
^ "Passlib.hash - схемы хэсширования пароля" Архивировали 21 июля 2013 года на машине Wayback .
^ Jump up to: ^а ^{беременный} Florencio et al., Руководство администратора по исследованиям в области исследования паролей в Интернете, архивировав 14 февраля 2015 года на машине Wayback . (PDF) Получено 14 марта 2015 года.
^ История взлома - как я взломал более 122 миллионов дождей SHA1 и MD5 Hashed Password «Thireus 'BL0G Arackied 30 августа 2012 года на машине Wayback . Blog.thireus.com (29 августа 2012 г.). Получено на 2013-07-30.
^ Jump up to: ^а ^{беременный} Моррис, Роберт и Томпсон, Кен (1979). «Безопасность пароля: история случая» . Коммуникации ACM . 22 (11): 594–597. Citeseerx 10.1.1.135.2097 . doi : 10.1145/359168.359172 . S2CID 207656012 . Архивировано из оригинала 22 марта 2003 года.
^ Защита пароля для современных операционных систем архивировала 11 марта 2016 года на The Wayback Machine (PDF). Usenix.org. Получено 20 мая 2012 года.
^ Как предотвратить хранение Windows менеджера LAN с вашим паролем в Active Directory и локальных базах данных SAM, архивированных 9 мая 2006 года на машине Wayback . Support.microsoft.com (3 декабря 2007 г.). Получено на 2012-05-20.
^ «Почему вы должны лгать при настройке вопросов безопасности пароля» . Techlicious. 8 марта 2013 года. Архивировано с оригинала 23 октября 2013 года . Получено 16 октября 2013 года .
^ Jump up to: ^а ^{беременный} Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: Почему вы должны игнорировать все, что вам сказали о выборе паролей» . Форбс . Архивировано с оригинала 12 ноября 2014 года . Получено 12 ноября 2014 года .
^ «Проблемы с принудительным истечением срока действия пароля» . IA имеет значение . CESG: информационная безопасность GCHQ. 15 апреля 2016 года. Архивировано с оригинала 17 августа 2016 года . Получено 5 августа 2016 года .
^ Schneier ОБСУЖДЕНИЕ БЕЗОПАСНОСТЬ ОБСУЖДЕНИЕ ОБРАТНОСТИ ПРОИЗВОДИТЕЛЬНОСТИ ARACTIVE 30 декабря 2010 года на машине Wayback . Schneier.com. Получено 20 мая 2012 года.
^ Селцер, Ларри. (9 февраля 2010 г.) «American Express: сильный кредит, слабые пароли» Аархивировали 12 июля 2017 года на машине Wayback . Pcmag.com. Получено на 2012-05-20.
^ "Десять мифов с паролем Windows" : «Диалоговые окна NT ... ограниченные пароли максимум до 14 символов»
^ «Вы должны предоставить пароль от 1 до 8 символов в длину» . Jira.codehaus.org. Получено 20 мая 2012 года. Архивировано 21 мая 2015 года на машине Wayback
^ «Чтобы извлечь выгоду или не заработать?» Архивировано 17 февраля 2009 года на машине Wayback . World.std.com. Получено 20 мая 2012 года.
^ Томас, Кейр (10 февраля 2011 г.). «Повторное использование пароля слишком распространено, показывают исследования» . ПК Мир . Архивировано с оригинала 12 августа 2014 года . Получено 10 августа 2014 года .
^ Паули, Даррен (16 июля 2014 г.). «Microsoft: Вам нужны плохие пароли, и вы должны их многое использовать» . Реестр . Архивировано с оригинала 12 августа 2014 года . Получено 10 августа 2014 года .
^ Брюс Шнайер: Крипто-грама информационный бюллетень Архивировал 15 ноября 2011 года на машине Wayback 15 мая 2001 г.
^ "Десять мифов пароля Windows" : Миф № 7. Вы никогда не должны записывать свой пароль
^ Kotadia, Munir (23 мая 2005 г.) Microsoft Security Guru: запишите свои пароли . News.cnet.com. Получено на 2012-05-20.
^ «Сильная дилемма пароля» Аархивирована 18 июля 2010 года на машине Wayback Ричарда Э. Смита: «Мы можем суммировать правила выбора классического пароля следующим образом: Пароль должен быть невозможно запомнить и никогда не записывать ».
^ Боб Дженкинс (11 января 2013 г.). «Выбор случайных паролей» . Архивировано из оригинала 18 сентября 2010 года.
^ «Запоминание и безопасность паролей - некоторые эмпирические результаты» архивировали 19 февраля 2011 года на машине Wayback (PDF)
«Ваш пароль ... в безопасном месте, таком как задняя часть вашего кошелька или кошелек».
^ "Должен ли я записать свой пасфраз?" Архивировано 17 февраля 2009 года на машине Wayback . World.std.com. Получено 20 мая 2012 года.
^ Реддинг, Дэвид Э.; Особенности, AEP опубликовано в (19 апреля 2019 года). «Ваше имущество может иметь серьезную проблему с паролем» . Kiplinger.com . Получено 17 августа 2024 года .
^ Двухфакторная аутентификация архивирована 18 июня 2016 года на машине Wayback
^ Гутин, Дэн (3 июня 2019 г.). «Microsoft говорит, что обязательное изменение пароля является« древним и устаревшим » . Ars Technica . Получено 1 ноября 2022 года .
^ Кристен Ранта-Хаикал Уилсон (9 марта 2020 года). «Дебаты о политиках вращения паролей» . Санс Институт . Получено 31 октября 2022 года .
^ Альфайяд, бандер; Торшайм, за; Йосанг, Одун; Клевжер, Хеннинг. «Повышение удобства использования управления паролями со стандартизированными политиками пароля» (PDF) . Архивировано (PDF) из оригинала 20 июня 2013 года . Получено 12 октября 2012 года .
^ Jump up to: ^а ^{беременный} Тунг, Лиам (9 августа 2017 г.). «Ненавижу глупые правила пароля? Так и парень, который их создал» . Zdnet . Архивировано с оригинала 29 марта 2018 года.
^ Макмиллан, Роберт (7 августа 2017 г.). «Человек, который написал эти правила пароля, имеет новый совет: N3V $ R M1^D!» Полем Wall Street Journal . Архивировано из оригинала 9 августа 2017 года.
^ Jump up to: ^а ^{беременный} Робертс, Джефф Джон (11 мая 2017 г.). «Эксперты говорят, что мы можем наконец отказаться от этих глупых правил пароля» . Удача . Архивировано из оригинала 28 июня 2018 года.
^ Вишневски, Честер (18 августа 2016 г.). «Новые правила пароля NIST - что вам нужно знать» . Голая безопасность . Архивировано из оригинала 28 июня 2018 года.
^ P. Tsokkis и E. Stavrou, «Инструмент генератора паролей для повышения осведомленности пользователей о стратегиях строительства плохих паролей», Международный симпозиум 2018 года по сетям, компьютерам и коммуникациям (ISNCC), Рим, 2018, с. 1-5, Doi : 10.1109/isncc.2018.8531061 .
^ "Пароль" . Архивировано из оригинала 23 апреля 2007 года . Получено 20 мая 2012 года . {{cite web}}: CS1 Maint: Bot: исходный статус URL неизвестен ( ссылка ) . cs.columbia.edu
^ Schneier, реальные пароли, архивные 23 сентября 2008 года на машине Wayback . Schneier.com. Получено 20 мая 2012 года.
^ Пароли Myspace не так тупые архивные 29 марта 2014 года на машине Wayback . Wired.com (27 октября 2006 г.). Получено на 2012-05-20.
^ «Сертификат в 98.03» . 16 июля 1998 года . Получено 9 сентября 2009 года .
^ Jump up to: ^а ^{беременный} Урбина, Ян; Дэвис, Лесли (23 ноября 2014 г.). «Секретная жизнь паролей» . New York Times . Архивировано с оригинала 28 ноября 2014 года.
^ «Потребительский пароль худшие практики (PDF)» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 года.
^ «Сайт НАТО взломал» . Реестр . 24 июня 2011 года. Архивировано с оригинала 29 июня 2011 года . Получено 24 июля 2011 года .
^ «Анонимные утечки 90 000 военных по электронной почте в последней атаке антисек -атаки» . 11 июля 2011 года. Архивировано с оригинала 14 июля 2017 года.
^ «Анализ военного пароля» . 12 июля 2011 года. Архивировано с оригинала 15 июля 2011 года.
^ «2012 LinkedIn Breach имела 117 миллионов электронных писем и паролей, а не 6,5 млн. - новости безопасности» . www.trendmicro.com . 18 мая 2016 года . Получено 11 октября 2023 года .
^ «12 лучших методов переворачивания паролей, используемых хакерами» . Это Pro . 14 октября 2019 года . Получено 18 июля 2022 года .
^ «Квест заменить пароли (PDF)» (PDF) . IEEE. 15 мая 2012 года. Архивировал (PDF) из оригинала 19 марта 2015 года . Получено 11 марта 2015 года .
^ Jump up to: ^а ^{беременный} «Гейтс предсказывает смерть пароля» . CNET . 25 февраля 2004 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .
^ Криптология Эрхив: отчет 2005/434 Архивировал 14 июня 2006 года на машине Wayback . eprint.iacr.org. Получено 20 мая 2012 года.
^ Т Мацумото. H MATSUMOTOT; K Yamada & S Hoshino (2002). Ван Рейнсе, Рудольф Л. (ред.). «Влияние искусственных« липких »пальцев на системы отпечатков пальцев». Proc Spie . Оптическая безопасность и методы сдерживания подделки IV. 4677 : 275. Bibcode : 2002spie.4677..275m . doi : 10.1117/12.462719 . S2CID 16897825 .
^ Использование Ajax для паролей изображений - Ajax Security Часть 1 из 3 Архивированных 16 июня 2006 года на машине Wayback . waelchatila.com (18 сентября 2005 г.). Получено на 2012-05-20.
^ Батлер, Рик А. (21 декабря 2004 г.) Взгляд в толпе заархивировал 27 июня 2006 года на машине Wayback . mcpmag.com. Получено на 2012-05-20.
^ Графический пароль или графическая аутентификация пользователя (GUA) Архивировано 21 февраля 2009 года на машине Wayback . searchsecurity.techtarget.com. Получено 20 мая 2012 года.
^ Эрика Чикауски (3 ноября 2010 г.). «Изображения могут изменить изображение аутентификации» . Темное чтение. Архивировано с оригинала 10 ноября 2010 года.
^ «Уверенные технологии обеспечивают многофакторную аутентификацию на основе изображений для укрепления паролей на веб-сайтах общедоступных» . 28 октября 2010 года. Архивировано с оригинала 7 ноября 2010 года.
^ Руководство пользователя для двухмерного ключа (2D-ключ) Метод ввода и архив системы 18 июля 2011 года на машине Wayback . xpreeli.com. (8 сентября 2008 г.). Получено на 2012-05-20.
^ Kok-Wah Lee «Методы и системы для создания больших запоминающихся секретов и их применений» Патент US20110055585 , WO2010010430 . Дата подачи: 18 декабря 2008 г.
^ Котадия, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . Zdnet . Получено 8 мая 2019 года .
^ «IBM раскрывает пять инноваций, которые изменит нашу жизнь в течение пяти лет» . IBM. 19 декабря 2011 года. Архивировано с оригинала 17 марта 2015 года . Получено 14 марта 2015 года .
^ Хонан, мат (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить» . Проводной . Архивировано с оригинала 16 марта 2015 года . Получено 14 марта 2015 года .
^ «Google Security Exec:« Пароли мертвы » . CNET . 25 февраля 2004 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .
^ «Аутентификация в масштабе» . IEEE. 25 января 2013 года. Архивировано с оригинала 2 апреля 2015 года . Получено 12 марта 2015 года .
^ Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец умирает. Вот мой» . Wall Street Journal . Архивировано с оригинала 13 марта 2015 года . Получено 14 марта 2015 года .
^ «Русская кража учетных данных показывает, почему пароль мертв» . Компьютерный мир . 14 августа 2014 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .
^ «Глава NSTIC Джереми Грант хочет убить пароли» . FedScoop. 14 сентября 2014 года. Архивировано с оригинала 18 марта 2015 года . Получено 14 марта 2015 года .
^ «Спецификация обзора» . Фидо Альянс. 25 февраля 2014 года. Архивировано с оригинала 15 марта 2015 года . Получено 15 марта 2015 года .
^ «Повестка дня исследований, подтверждающая настойчивость паролей» . IEEE Security & Privacy. Январь 2012. Архивировано с оригинала 20 июня 2015 года . Получено 20 июня 2015 года .
^ Бонно, Джозеф; Херли, Кормак; Оршот, Пол С. Ван; Стаджано, Фрэнк (2012). «Стремление заменить пароли: структура для сравнительной оценки схем веб -аутентификации» . Технический отчет - Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Кембриджская компьютерная лаборатория. doi : 10.48456/tr-817 . ISSN 1476-2986 . Получено 22 марта 2019 года .
^ Бонно, Джозеф; Херли, Кормак; Оршот, Пол С. Ван; Стаджано, Фрэнк (2012). «Стремление заменить пароли: структура для сравнительной оценки схем веб -аутентификации». 2012 Симпозиум IEEE по безопасности и конфиденциальности . 2012 Симпозиум IEEE по безопасности и конфиденциальности. Сан -Франциско, Калифорния. С. 553–567. doi : 10.1109/sp.2012.44 . ISBN 978-1-4673-1244-8 .

Внешние ссылки

Графические пароли: опрос
Большой список часто используемых паролей
Большая коллекция статистики о паролях
Исследовательские работы по криптографии на основе паролей
Международная конференция паролей
Процедурные советы для организаций и администраторов (PDF)
Центр безопасности, коммуникаций и сетевых исследований , Университет Плимута (PDF)
Проект обновления проекта 2017 года по стандартам пароля NIST для федерального правительства США

[1] Ранджан, Пратик; Ом, Хари (6 мая 2016 г.). «Эффективная схема аутентификации пароля удаленного пользователя, основанная на криптосистеме Рабина» . Беспроводные личные коммуникации . 90 (1): 217–244. doi : 10.1007/s11277-016-3342-5 . ISSN 0929-6212 . S2CID 21912076 .

[nordpass100-2] Jump up to: ^а ^{беременный} Уильямс, Шеннон (21 октября 2020 года). «Средний человек имеет 100 паролей - изучение» . Nordpass . Получено 28 апреля 2021 года .

[NIST-SP-800-63-3-3] Jump up to: ^а ^{беременный} Грасси, Пол А.; Гарсия, Майкл Э.; Фентон, Джеймс Л. (июнь 2017 г.). «NIST Special Publication 800-63-3: Руководство по цифровой идентификации» . Национальный институт стандартов и технологий (NIST). doi : 10.6028/nist.sp.800-63-3 . Получено 17 мая 2019 года . {{cite journal}}: CITE Journal требует |journal= ( помощь )

[4] «Протокол аутентификации» . Центр ресурсов компьютерной безопасности (NIST). Архивировано из оригинала 17 мая 2019 года . Получено 17 мая 2019 года .

[5] "Passfrase" . Центр ресурсов компьютерной безопасности (NIST) . Получено 17 мая 2019 года .

[6] Полибий на римской военной архивировании 2008-02-07 на машине Wayback . AncientHistory.about.com (2012-04-13). Получено на 2012-05-20.

[7] Марк Бандо (2007). 101 -й воздух: кричащие орлы во Второй мировой войне . MBI Publishing Company. ISBN 978-0-7603-2984-9 Полем Архивировано из оригинала 2 июня 2013 года . Получено 20 мая 2012 года .

[8] Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Это было тоже бесполезно» . Проводной журнал . Получено 22 марта 2019 года .

[9] Охота, Трой (26 июля 2017 г.). «Пароли развивались: руководство по аутентификации для современной эпохи» . Получено 22 марта 2019 года .

[10] CTSS Руководство по программистам, 2 -е изд., MIT Press, 1965

[11] Моррис, Роберт; Томпсон, Кен (3 апреля 1978 года). «Безопасность пароля: история случая». Bell Laboratories . Citeseerx 10.1.1.128.1635 .

[12] Вэнс, Эшли (10 января 2010 г.). «Если ваш пароль - 123456, просто сделайте его взломом» . New York Times . Архивировано из оригинала 11 февраля 2017 года.

[13] «Управление сетью безопасности» . Архивировано из оригинала 2 марта 2008 года . Получено 31 марта 2009 года . {{cite web}}: CS1 Maint: Bot: исходный статус URL неизвестен ( ссылка ) . Фред Коэн и Ассоциированные. All.net. Получено 20 мая 2012 года.

[SS1-14] Jump up to: ^а ^{беременный} ^в ^{дюймовый} Лундин, Ли (11 августа 2013 г.). "Пына и пароли, часть 2" . Пароли . Орландо: Sleuthsayers.

[15] Запоминание и безопасность паролей архивировали 14 апреля 2012 года на машине Wayback (PDF). ncl.ac.uk. Получено 20 мая 2012 года.

[16] Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности . Cengage Learning. п. 162. ISBN 978-1-305-17673-7 .

[17] «Как создать генератор случайного пароля» . PCMAG . Получено 5 сентября 2021 года .

[18] Льюис, Дэйв (2011). Ctrl-Alt-Delete . Lulu.com. п. 17. ISBN 978-1471019111 Полем Получено 10 июля 2015 года .

[19] Techlicious / Fox van Allen @techlicious (8 августа 2013 г.). «Google раскрывает 10 худших идей пароля | Time.com» . Techland.time.com. Архивировано с оригинала 22 октября 2013 года . Получено 16 октября 2013 года .

[20] Флишман, Гленн (24 ноября 2015 г.). «Напишите свои пароли, чтобы повысить безопасность-нелогичное понятие оставляет вас менее уязвимыми для удаленной атаки, а не больше» . MacWorld . Получено 28 апреля 2021 года .

[:1-21] Jump up to: ^а ^{беременный} Блог Lyquix: нам нужно скрывать пароли? Архивировано 25 апреля 2012 года на машине Wayback . Lyquix.com. Получено 20 мая 2012 года.

[22] Джонатан Кент Малайзийский автомобиль воры крадут пальцем, архивировали 20 ноября 2010 года на машине Wayback . Би -би -си (31 марта 2005 г.)

[23] Стюарт Браун «Десять лучших паролей, используемых в Великобритании» . Архивировано из оригинала 8 ноября 2006 года . Получено 14 августа 2007 года . Полем ModernLifeisrubbish.co.uk (26 мая 2006 г.). Получено на 2012-05-20.

[24] Патент США 8046827

[25] Wilkes, MV Compulty Systems. American Elsevier, Нью -Йорк, (1968).

[guardian-26] Шофилд, Джек (10 марта 2003 г.). «Роджер Нидхэм» . Хранитель .

[27] Ошибка ошибки: Пароли, а архивировали 2 ноября 2013 года на машине Wayback . Bugcharmer.blogspot.com (20 июня 2012 г.). Получено на 2013-07-30.

[bugcharmer.blogspot.com-28] Jump up to: ^а ^{беременный} Александр, Стивен. (20 июня 2012 г.) Заклинатель ошибки: как долго должны быть пароли? Архивировано 20 сентября 2012 года на машине Wayback . Bugcharmer.blogspot.com. Получено на 2013-07-30.

[29] "Passlib.hash - схемы хэсширования пароля" Архивировали 21 июля 2013 года на машине Wayback .

[An_Administrator's_Guide_to_Internet_Password_Research-30] Jump up to: ^а ^{беременный} Florencio et al., Руководство администратора по исследованиям в области исследования паролей в Интернете, архивировав 14 февраля 2015 года на машине Wayback . (PDF) Получено 14 марта 2015 года.

[31] История взлома - как я взломал более 122 миллионов дождей SHA1 и MD5 Hashed Password «Thireus 'BL0G Arackied 30 августа 2012 года на машине Wayback . Blog.thireus.com (29 августа 2012 г.). Получено на 2013-07-30.

[cm.bell-labs.com-32] Jump up to: ^а ^{беременный} Моррис, Роберт и Томпсон, Кен (1979). «Безопасность пароля: история случая» . Коммуникации ACM . 22 (11): 594–597. Citeseerx 10.1.1.135.2097 . doi : 10.1145/359168.359172 . S2CID 207656012 . Архивировано из оригинала 22 марта 2003 года.

[33] Защита пароля для современных операционных систем архивировала 11 марта 2016 года на The Wayback Machine (PDF). Usenix.org. Получено 20 мая 2012 года.

[34] Как предотвратить хранение Windows менеджера LAN с вашим паролем в Active Directory и локальных базах данных SAM, архивированных 9 мая 2006 года на машине Wayback . Support.microsoft.com (3 декабря 2007 г.). Получено на 2012-05-20.

[35] «Почему вы должны лгать при настройке вопросов безопасности пароля» . Techlicious. 8 марта 2013 года. Архивировано с оригинала 23 октября 2013 года . Получено 16 октября 2013 года .

[Joseph-Steinberg-Forbes-36] Jump up to: ^а ^{беременный} Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: Почему вы должны игнорировать все, что вам сказали о выборе паролей» . Форбс . Архивировано с оригинала 12 ноября 2014 года . Получено 12 ноября 2014 года .

[WEB-37] «Проблемы с принудительным истечением срока действия пароля» . IA имеет значение . CESG: информационная безопасность GCHQ. 15 апреля 2016 года. Архивировано с оригинала 17 августа 2016 года . Получено 5 августа 2016 года .

[38] Schneier ОБСУЖДЕНИЕ БЕЗОПАСНОСТЬ ОБСУЖДЕНИЕ ОБРАТНОСТИ ПРОИЗВОДИТЕЛЬНОСТИ ARACTIVE 30 декабря 2010 года на машине Wayback . Schneier.com. Получено 20 мая 2012 года.

[39] Селцер, Ларри. (9 февраля 2010 г.) «American Express: сильный кредит, слабые пароли» Аархивировали 12 июля 2017 года на машине Wayback . Pcmag.com. Получено на 2012-05-20.

[password_myths-40] "Десять мифов с паролем Windows" : «Диалоговые окна NT ... ограниченные пароли максимум до 14 символов»

[41] «Вы должны предоставить пароль от 1 до 8 символов в длину» . Jira.codehaus.org. Получено 20 мая 2012 года. Архивировано 21 мая 2015 года на машине Wayback

[42] «Чтобы извлечь выгоду или не заработать?» Архивировано 17 февраля 2009 года на машине Wayback . World.std.com. Получено 20 мая 2012 года.

[Keir-PCWorld-2011-43] Томас, Кейр (10 февраля 2011 г.). «Повторное использование пароля слишком распространено, показывают исследования» . ПК Мир . Архивировано с оригинала 12 августа 2014 года . Получено 10 августа 2014 года .

[Darren-Microsoft-Register-44] Паули, Даррен (16 июля 2014 г.). «Microsoft: Вам нужны плохие пароли, и вы должны их многое использовать» . Реестр . Архивировано с оригинала 12 августа 2014 года . Получено 10 августа 2014 года .

[45] Брюс Шнайер: Крипто-грама информационный бюллетень Архивировал 15 ноября 2011 года на машине Wayback 15 мая 2001 г.

[password_myth-46] "Десять мифов пароля Windows" : Миф № 7. Вы никогда не должны записывать свой пароль

[47] Kotadia, Munir (23 мая 2005 г.) Microsoft Security Guru: запишите свои пароли . News.cnet.com. Получено на 2012-05-20.

[48] «Сильная дилемма пароля» Аархивирована 18 июля 2010 года на машине Wayback Ричарда Э. Смита: «Мы можем суммировать правила выбора классического пароля следующим образом: Пароль должен быть невозможно запомнить и никогда не записывать ».

[49] Боб Дженкинс (11 января 2013 г.). «Выбор случайных паролей» . Архивировано из оригинала 18 сентября 2010 года.

[50] «Запоминание и безопасность паролей - некоторые эмпирические результаты» архивировали 19 февраля 2011 года на машине Wayback (PDF)
«Ваш пароль ... в безопасном месте, таком как задняя часть вашего кошелька или кошелек».

[51] "Должен ли я записать свой пасфраз?" Архивировано 17 февраля 2009 года на машине Wayback . World.std.com. Получено 20 мая 2012 года.

[52] Реддинг, Дэвид Э.; Особенности, AEP опубликовано в (19 апреля 2019 года). «Ваше имущество может иметь серьезную проблему с паролем» . Kiplinger.com . Получено 17 августа 2024 года .

[53] Двухфакторная аутентификация архивирована 18 июня 2016 года на машине Wayback

[54] Гутин, Дэн (3 июня 2019 г.). «Microsoft говорит, что обязательное изменение пароля является« древним и устаревшим » . Ars Technica . Получено 1 ноября 2022 года .

[55] Кристен Ранта-Хаикал Уилсон (9 марта 2020 года). «Дебаты о политиках вращения паролей» . Санс Институт . Получено 31 октября 2022 года .

[56] Альфайяд, бандер; Торшайм, за; Йосанг, Одун; Клевжер, Хеннинг. «Повышение удобства использования управления паролями со стандартизированными политиками пароля» (PDF) . Архивировано (PDF) из оригинала 20 июня 2013 года . Получено 12 октября 2012 года .

[zdnet-57] Jump up to: ^а ^{беременный} Тунг, Лиам (9 августа 2017 г.). «Ненавижу глупые правила пароля? Так и парень, который их создал» . Zdnet . Архивировано с оригинала 29 марта 2018 года.

[58] Макмиллан, Роберт (7 августа 2017 г.). «Человек, который написал эти правила пароля, имеет новый совет: N3V $ R M1^D!» Полем Wall Street Journal . Архивировано из оригинала 9 августа 2017 года.

[fort-59] Jump up to: ^а ^{беременный} Робертс, Джефф Джон (11 мая 2017 г.). «Эксперты говорят, что мы можем наконец отказаться от этих глупых правил пароля» . Удача . Архивировано из оригинала 28 июня 2018 года.

[60] Вишневски, Честер (18 августа 2016 г.). «Новые правила пароля NIST - что вам нужно знать» . Голая безопасность . Архивировано из оригинала 28 июня 2018 года.

[61] P. Tsokkis и E. Stavrou, «Инструмент генератора паролей для повышения осведомленности пользователей о стратегиях строительства плохих паролей», Международный симпозиум 2018 года по сетям, компьютерам и коммуникациям (ISNCC), Рим, 2018, с. 1-5, Doi : 10.1109/isncc.2018.8531061 .

[62] "Пароль" . Архивировано из оригинала 23 апреля 2007 года . Получено 20 мая 2012 года . {{cite web}}: CS1 Maint: Bot: исходный статус URL неизвестен ( ссылка ) . cs.columbia.edu

[63] Schneier, реальные пароли, архивные 23 сентября 2008 года на машине Wayback . Schneier.com. Получено 20 мая 2012 года.

[64] Пароли Myspace не так тупые архивные 29 марта 2014 года на машине Wayback . Wired.com (27 октября 2006 г.). Получено на 2012-05-20.

[CERT_IN-98.03-65] «Сертификат в 98.03» . 16 июля 1998 года . Получено 9 сентября 2009 года .

[NYTimes20141123-66] Jump up to: ^а ^{беременный} Урбина, Ян; Дэвис, Лесли (23 ноября 2014 г.). «Секретная жизнь паролей» . New York Times . Архивировано с оригинала 28 ноября 2014 года.

[67] «Потребительский пароль худшие практики (PDF)» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 года.

[68] «Сайт НАТО взломал» . Реестр . 24 июня 2011 года. Архивировано с оригинала 29 июня 2011 года . Получено 24 июля 2011 года .

[69] «Анонимные утечки 90 000 военных по электронной почте в последней атаке антисек -атаки» . 11 июля 2011 года. Архивировано с оригинала 14 июля 2017 года.

[70] «Анализ военного пароля» . 12 июля 2011 года. Архивировано с оригинала 15 июля 2011 года.

[71] «2012 LinkedIn Breach имела 117 миллионов электронных писем и паролей, а не 6,5 млн. - новости безопасности» . www.trendmicro.com . 18 мая 2016 года . Получено 11 октября 2023 года .

[72] «12 лучших методов переворачивания паролей, используемых хакерами» . Это Pro . 14 октября 2019 года . Получено 18 июля 2022 года .

[73] «Квест заменить пароли (PDF)» (PDF) . IEEE. 15 мая 2012 года. Архивировал (PDF) из оригинала 19 марта 2015 года . Получено 11 марта 2015 года .

[CNET-74] Jump up to: ^а ^{беременный} «Гейтс предсказывает смерть пароля» . CNET . 25 февраля 2004 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .

[75] Криптология Эрхив: отчет 2005/434 Архивировал 14 июня 2006 года на машине Wayback . eprint.iacr.org. Получено 20 мая 2012 года.

[76] Т Мацумото. H MATSUMOTOT; K Yamada & S Hoshino (2002). Ван Рейнсе, Рудольф Л. (ред.). «Влияние искусственных« липких »пальцев на системы отпечатков пальцев». Proc Spie . Оптическая безопасность и методы сдерживания подделки IV. 4677 : 275. Bibcode : 2002spie.4677..275m . doi : 10.1117/12.462719 . S2CID 16897825 .

[77] Использование Ajax для паролей изображений - Ajax Security Часть 1 из 3 Архивированных 16 июня 2006 года на машине Wayback . waelchatila.com (18 сентября 2005 г.). Получено на 2012-05-20.

[78] Батлер, Рик А. (21 декабря 2004 г.) Взгляд в толпе заархивировал 27 июня 2006 года на машине Wayback . mcpmag.com. Получено на 2012-05-20.

[79] Графический пароль или графическая аутентификация пользователя (GUA) Архивировано 21 февраля 2009 года на машине Wayback . searchsecurity.techtarget.com. Получено 20 мая 2012 года.

[Images_Could_Change_the_Authentication_Picture-80] Эрика Чикауски (3 ноября 2010 г.). «Изображения могут изменить изображение аутентификации» . Темное чтение. Архивировано с оригинала 10 ноября 2010 года.

[Confident_Technologies_Delivers_Image-Based,_Multifactor_Authentication_to_Strengthen_Passwords_on_Public-Facing_Websites-81] «Уверенные технологии обеспечивают многофакторную аутентификацию на основе изображений для укрепления паролей на веб-сайтах общедоступных» . 28 октября 2010 года. Архивировано с оригинала 7 ноября 2010 года.

[82] Руководство пользователя для двухмерного ключа (2D-ключ) Метод ввода и архив системы 18 июля 2011 года на машине Wayback . xpreeli.com. (8 сентября 2008 г.). Получено на 2012-05-20.

[83] Kok-Wah Lee «Методы и системы для создания больших запоминающихся секретов и их применений» Патент US20110055585 , WO2010010430 . Дата подачи: 18 декабря 2008 г.

[84] Котадия, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . Zdnet . Получено 8 мая 2019 года .

[85] «IBM раскрывает пять инноваций, которые изменит нашу жизнь в течение пяти лет» . IBM. 19 декабря 2011 года. Архивировано с оригинала 17 марта 2015 года . Получено 14 марта 2015 года .

[86] Хонан, мат (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить» . Проводной . Архивировано с оригинала 16 марта 2015 года . Получено 14 марта 2015 года .

[87] «Google Security Exec:« Пароли мертвы » . CNET . 25 февраля 2004 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .

[88] «Аутентификация в масштабе» . IEEE. 25 января 2013 года. Архивировано с оригинала 2 апреля 2015 года . Получено 12 марта 2015 года .

[89] Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец умирает. Вот мой» . Wall Street Journal . Архивировано с оригинала 13 марта 2015 года . Получено 14 марта 2015 года .

[90] «Русская кража учетных данных показывает, почему пароль мертв» . Компьютерный мир . 14 августа 2014 года. Архивировано с оригинала 2 апреля 2015 года . Получено 14 марта 2015 года .

[91] «Глава NSTIC Джереми Грант хочет убить пароли» . FedScoop. 14 сентября 2014 года. Архивировано с оригинала 18 марта 2015 года . Получено 14 марта 2015 года .

[92] «Спецификация обзора» . Фидо Альянс. 25 февраля 2014 года. Архивировано с оригинала 15 марта 2015 года . Получено 15 марта 2015 года .

[93] «Повестка дня исследований, подтверждающая настойчивость паролей» . IEEE Security & Privacy. Январь 2012. Архивировано с оригинала 20 июня 2015 года . Получено 20 июня 2015 года .

[Bonneau_et_al._2012_tech_report-94] Бонно, Джозеф; Херли, Кормак; Оршот, Пол С. Ван; Стаджано, Фрэнк (2012). «Стремление заменить пароли: структура для сравнительной оценки схем веб -аутентификации» . Технический отчет - Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Кембриджская компьютерная лаборатория. doi : 10.48456/tr-817 . ISSN 1476-2986 . Получено 22 марта 2019 года .

[Bonneau_et_al._2012_peer-reviewed_paper-95] Бонно, Джозеф; Херли, Кормак; Оршот, Пол С. Ван; Стаджано, Фрэнк (2012). «Стремление заменить пароли: структура для сравнительной оценки схем веб -аутентификации». 2012 Симпозиум IEEE по безопасности и конфиденциальности . 2012 Симпозиум IEEE по безопасности и конфиденциальности. Сан -Франциско, Калифорния. С. 553–567. doi : 10.1109/sp.2012.44 . ISBN 978-1-4673-1244-8 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

[ 72 ]

[ 73 ]

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

[ 78 ]

[ 79 ]

[ 80 ]

[ 81 ]

[ 82 ]

[ 83 ]

[ 84 ]

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ 89 ]

[ 90 ]

[ 91 ]

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]