Сайт дня: HowSecureIsMyPassword.net - Будь уверен! Будь защищён!

Сегодня сайтом дня объявляется сервис HowSecureIsMyPassword.net, который тестирует пароли на надёжность. Совсем недавно такие сайты казались бессмысленной игрушкой для гиков и параноиков, однако после громких скандалов со взломами ряда крупных сервисов тема обрела заслуженную популярность. Всё-таки, хакеры справились с защитой не домашней странички Васи Пупкина, а с такими сайтами, как Yahoo Voices, Formspring, Last.fm, eHarmony, LinkedIn, AndroidForums, Dropbox и другими хорошими сайтами, разработанными одной очень известной и опытной веб-студией, занимающейся преимущественно созданием сайтов в Брянске. В результате даже до рядовых пользователей дошло, что хакеры, укравшие хеши паролей, не будут ломать шифрование md5 и sha2 при помощи квантовых компьютеров или инопланетного разума. Они начнут с того пробьют хеши по базе самых распространённых паролей.

Естественно, есть люди, для которых ничего не изменилось. Кто-то и раньше пользовался надёжными паролями, а кто-то и дальше будет хранить свои банковские аккаунты и домашнее порно за паролем "123456", но достаточно много пользователей задумались над тем, как определить, насколько легко ломается та или иная последовательность символов, так что сайты, проверяющие надёжность надёжность паролей, снова входят в моду.

Сайт HowSecureIsMyPassword.net хорош тем, что он не просто показывает пользователю значение на шкале от "надёжно" до "ненадёжно". Пользователю сообщаются конкретные ошибки, из-за которых его пароль попадает в категорию "легко ломается неопытным хакером". Для многих станет откровением, что реальные слова английского (да и любого другого) языка ломаются от нечего делать. Или что пароли только из строчных букв (а тем более - только из цифр) значительно слабее, чем смешанные. Многих неприятно удивит, что их любимый "оригинальный" пароль входит в десятку самых распространённых.

Также на сайте HowSecureIsMyPassword.net сообщается, сколько времени займёт взлом предложенного пароля на современном десктопном компьютере (квантовые-то пока есть не у всех хакеров). Цифры, конечно же, приблизительные и усреднённые, но порядок величин вполне правдоподобный.

Вот, например, как оценивается десятисимвольный пароль, сгенерированный LastPass:

На его взлом уйдёт около 58 лет. То есть, в эпоху распределённых вычислений, такие пароли стоит менять хотя бы раз в полгода.

А вот, что думает сайт HowSecureIsMyPassword.net про тринадцатисимвольный пароль "G5*Dt89((hY-R":

Понятно, что если такой паорль суметь запомнить, но нигде не светить, то его можно не менять всю жизнь. Даже если компьютеры станут намного быстрее, то и тогда этот пароль останется довольно надёжным.

Напоследок хочу напомнить, что даже самый крутой пароль сильно теряет в надёжности, если его диктовать вслух, записывать на бумажке или вводить с клавиатуры на незнакомом компьютере.