Итак, сегодня мы поговорим о паролях, вернее о том, что ошибочно полагаем, будто знаем, как создать хороший пароль. Когда вы думаете о том, что делаете все правильно, ваши пальцы набирают что-то вроде этого: J@cal0pe3: сочетание строчных и заглавных букв, символов и цифр.
Но на самом деле вы ошибаетесь. Было бы гораздо лучше, если бы вы написали это: iboughtthejackalopeatwalldrugstoreinsouthdakota. И сейчас вы поймете почему.
В 2003 году Билл Берр (Bill Burr) работал в Национальном институте стандартов и технологий США (NIST), когда ему было поручено написать несколько кратких руководств по обеспечению безопасности паролей. Тогда он рекомендовал, чтобы пароли имели не менее восьми символов, состояли из заглавных букв, цифр и символов, и часто обновлялись.
Вскоре правила Берра были приняты организациями по всему миру. Теперь он сожалеет о своих рекомендациях, поскольку непреднамеренно побуждает людей выбирать плохие пароли, которые на самом деле легче всего взломать.
Читайте: 11 шагов разрушения Интернета
Как хакеры взламывают ваш пароль
Суть правил Берра заключалась в том, чтобы победить мощные атаки — это когда хакеры используют полную вычислительную мощность, чтобы опробовать тысячи возможных паролей, пока не наткнутся на правильную комбинацию. Добавляя в пароль большее количество различных символов, вы экспоненциально увеличиваете количество возможных комбинаций, которые атакующий должен подбирать.
Рассмотрим восьмисимвольный пароль (например, слово password). Если он содержит только строчные буквы, число возможных комбинаций составляет 26^8, около 208,8 миллиарда. Звучит впечатляюще, пока не поймете, что современный суперкомпьютер или бот-сеть взломать такой пароль сможет всего за 1,8 секунд.
Добавьте заглавные буквы (например, PassWord), и количество комбинаций умножается в 256 раз, до 52^8. Добавьте цифры и символы (например, P@$$w0rd), и оно достигает значения 95^8, требуя гораздо большего времени для взлома, даже для лучшей армии ботов.
Проблема, говорит Гернот Хейзер (Gernot Heiser), профессор в области компьютерных наук и инженерии, заключается в том, что сегодняшние хакеры редко начинают с чистого листа. Вместо этого они начинают с поиска похожих символов в английских словах, таких как $ и S. И это делает их очень хорошо приспособленными к разгадыванию паролей, созданных по всем правилам Берра.
Читайте: Стратегия работы с прайс-агрегаторами: что продвигать и сколько тратить
Как выбрать надежный пароль
Решение, говорит Хейзер, заключается в использовании длинных фраз, которые можно запомнить, а не паролей. В идеальном случае это комбинация самых разных слов, а не предсказуемое предложение. Чем больше символов вы добавите, тем труднее будет взломать ваш пароль.
«Если вы выбираете более длинные, более сложные фразы со случайными словами, хакерская атака математически становится значительно сложнее», — говорит Хейзер.
Он также говорит, что первоначальный совет Берра по смене паролей ошибочен хотя бы потому, что побуждает пользователей выбирать более короткие и простые пароли, в которые могут вноситься относительно небольшие изменения (например, P@ssw0rd1 в январе и P@ssw0rd2 в феврале).
«Подобная смена паролей ничего не дает, — объясняет Хейзер. — Безопаснее хранить более длинный и сложный пароль, чем регулярно менять его на простой, с вариантами, которые легче запомнить, но проще взломать».
Читайте: В первую очередь — уволить всех руководителей
Используйте менеджер паролей
Поскольку вся наша жизнь — в Интернете, мы собираем все больше и больше паролей. Дублирование их на разных сайтах опасно, поскольку утечка данных на одном из них может привести к открытию доступа и к остальным. Итак, как же нам запомнить все пароли?
Доцент Марк Грегори (Mark Gregory) из Школы инженерии в RMIT использует метод, с которым он работает начиная с 90-х годов: помещает свои пароли в текстовый файл, а затем шифрует его.
«Сейчас у меня около 1000 паролей, поэтому их невозможно запомнить, — говорит Грегори. — Шифруя их, я должен помнить только один супер пароль, предоставляющий доступ ко всем ним».
Более формальная версия этой же идеи — использование системы управления паролями, которая доступна онлайн. Она хранит все ваши пароли в одном месте в зашифрованном виде. Вам нужно всего лишь запомнить один пароль для доступа к системе — система позаботится обо всем остальном. Конечно, такие программы не бесплатны, но Грегори считает, что по сравнению с потенциальной катастрофой, вызванной хакерской атакой, эта оплата не так уж и велика. Только подумайте, что будет, если хакеры получат доступ в вашим банковским картам и начнут их активно использовать.
Читайте: Час расплаты «Пользовательских соглашений»
Как усилить безопасность паролей
Мэтью Бирн (Matthew Byrne), главный консультант в области предупреждения угроз и киберзащиты в Mandiant, предлагает добавить еще один уровень защиты, включив опцию многофакторной аутентификации, предлагаемую большинством онлайн-банков и основными поставщиками услуг, включая Facebook, Gmail, Skype и LinkedIn.
«Использование многофакторной функции проверки подлинности означает, что вы должны использовать как минимум два шага для доступа к вашей информации», объясняет Бирн.
«Это может быть ввод кода, отправленный на ваш телефон, или ответ на вопрос, который знаете только вы. Поэтому, если кто-то получит ваш пароль, у него будет только половина того, что нужно для взлома системы и кражи вашей личности».
Оба эксперта согласны с тем, что лучшая доступная безопасность — это сочетание паролей, многофакторной аутентификации и биометрии, такой как отпечаток пальца или распознавание лица. Это весьма усложняет задачу хакерам, но все же не является абсолютно безупречным методом. Вспомним хотя бы взлом системы аутентификации по радужке глаза смартфона Samsung 8 группой хакеров в 2017 году.
10 худших паролей
Это часть из списка 100 лучших худших паролей 2017 года: от самых распространенных до более редких. Во время исследования компания SplashData проанализировала более пяти миллионов паролей и выбрала те, которые были взломаны чаще всего. Итак, никогда не используйте следующее:
- 123456
- password
- qwerty
- letmein
- football
- iloveyou
- admin
- welcome
- monkey
- login
По материалам INTHEBLACK, The Washington Post
