Скажи волшебное слово

Ответы на простые вопросы о надежности паролей для защиты информации

Christiaan Colen / CC 3.0 BY

Мы привыкли к тому, что при работе с информацией нас повсюду окружают пароли: пароль для входа в почту, для доступа к мобильному банку, пароль от смартфона и так далее. Но что такое пароль как средство аутентификации? Легко ли взломать пароль методом перебора? А если украсть базу данных с паролями? И почему банки доверяют паролям защиту мобильных приложений для клиентов? В этом материале, партнером которого выступает AlfaLab, мы с помощью экспертов по информационной безопасности постарались ответить на эти и другие вопросы.


Что такое пароль?

Пароль — это знание, которое может подтвердить, что вы — это вы. При этом желательно, чтобы этим знанием никто больше не обладал.

В качестве примера приведем анекдот:

Муж — же­не:
— Лю­бимая, это ты заб­ло­киро­вала наш компь­ютер?
— Да.
— И ка­кой же па­роль?
— Да­та на­шей свадь­бы.
— Вот блин...


Я когда пароль новый придумываю, там обычно есть такая полоска, которая силу пароля обозначает. Что это вообще такое?

Это индикатор силы пароля, он показывает, насколько ваш пароль как бы хорошо защищает ваши данные. «Как бы» потому, что на самом деле никакого математического обоснования за этим нет. Иногда даже бывает, что один и тот же пароль маркируется как слабый на одном сайте и как надежный — на другом.Сложность пароля вообще вещь довольно субъективная. В качестве примера снова приведем анекдот:

Хакеры взломали мою почту, хотя я придумал очень нетривиальный пароль — год канонизации святого Доминика папой Григорием IX. Похоже, всем известно, что это событие случилось в 1234 году.


А еще говорят, обычные слова нельзя использовать. А в Gmail еще и цифры заставляют, а в Apple — еще чтоб буквы разного регистра. Это вообще зачем?

В пароли лучше не включать обычные слова — это чистая правда. Чем дальше, тем лучше хакеры учатся подбирать пароли, содержащие словарные слова, названия, имена и так далее. Есть даже списки наиболее легких для взлома паролей. А включать в пароль дату своего рождения или свадьбы плохая идея потому, что эту информацию часто можно найти в социальных сетях.

В теории информации (сейчас будет немного математики, не пугайтесь) обычно считают не вероятность подбора одного символа, а количество информации, которое потенциально может содержать пароль. Оно считается по формуле: n*log2 А, где n — это количество символов в вашем пароле, а А — это количество возможных вариантов, приходящихся на один символ. Есть критерии, согласно которым невозможно сломать 128-битный пароль, но в таком пароле будет не менее 22 символов, включающих комбинацию из цифр с буквами разных регистров. Для практических целей рекомендуется использовать пароли длиной 14–15 символов: такой пароль, с одной стороны, легче запомнить, а с другой — хакерам он тоже даст отпор.


История из жизни

Люди и правда очень легкомысленно относятся не только к своим паролям, но и к логинам. У нас в банке была такая история: один умелец прошелся по нашим клиентам во «ВКонтакте» и собрал их идентификаторы — слова, которые идут в командной строке после vk.com. Для каждого из таких идентификаторов он взял дату рождения со страницы пользователя. И стал массово подбирать пары логин-пароль: логином выступал этот самый публичный идентификатор, а паролем — дата рождения. Служба безопасности довольно быстро заметила умельца — с одного адреса шли попытки залогиниться в кучу разных аккаунтов. Но самое удивительное, что этому молодому человеку удалось таким образом сломать несколько десятков аккаунтов. То есть люди реально использовали в качестве логина свой идентификатор в «ВК», а в качестве пароля — дату рождения. Поэтому, если вы вдруг делаете так же, советуем вам прямо сейчас поменять и то, и другое.


Логарифмы какие-то приплели. Пароль-то сложный как придумать?

На этот вопрос отвечает наш эксперт Сергей Белов, ведущий исследователь ИБ Digital Security:

«Есть такая шутка: как придумать надежный пароль? $ openssl rand -base64 32 (мы не смеялись, но эксперт говорит, что это смешная шутка — прим. редакции). Пароль должен быть длиной хотя бы 8–12 символов и содержать цифры и буквы верхнего и нижнего регистра. Проще, конечно, использовать менеджеры паролей, но все же, если пароль надо запомнить, то есть техника, позволяющая придумывать и никогда не забывать разные и сложные пароли для каждого ресурса: нужно выбрать какую-то базу, которую вы никогда не забудете. Например, слово «privet». И придумать схему формирования пароля, например, брать первую и последнюю букву из домена ресурса. Пусть это будет «ВКонтакте». Его домен vk.com. Пароль будет «vprivetk». Для Яндекса (yandex.ru) — «yprivetx». Конечно, схему нужно придумать (как и базовое слово — желательно со спецсимволами) — свою и более сложную. И учесть, что иногда вход на сайты бывает на другом домене».

От себя добавим более понятную шутку: говорят, самые лучшие пароли у неграмотных людей.

Я видел в фильме, как хакеры специальной программой перебирают все варианты пароля. Могут мне так взломать почту?

В теории да, в жизни нет. Все крупные почтовые сервера не позволяют ошибиться более двух раз при вводе пароля. На третий раз сайт может предложить сделать пятиминутный перерыв, прежде чем попробовать снова. Для взломщика это фактически гарантирует неудачу: если ему надо хотя бы 3000000 попыток для взлома вашего пароля, то такая игра затянется на 5*1000000 минут, то есть почти на 10 лет.


В интернете постоянно публикуют какие-то списки паролей. Это вообще что? И зачем?

Это реальные пароли реальных пользователей. Хакеры используют их для атаки на аккаунты со словарем — то есть подбирают не случайные комбинации, а смотрят на списки популярных паролей. Ну и это, конечно, хороший способ оценить общее отношение к паролям. Напомним, что последние годы лидирует 123456.


Ох. И что делать, если пароль все-таки своруют?

Вот, что говорит по этому поводу Сергей: «Что делать, если у вас все-таки украли пароль? Мгновенно менять, конечно же. Если пароль выбирался по схеме, которую я объяснял выше, то по такой же схеме надо придумать принцип ротации паролей (т.е. что и где менять в схеме). Даже если в следующий раз вы введете неверный пароль, то сможете, применив измененную схему, зайти на ресурс. В будущем, возможно, парольные менеджеры будут поддерживать массовую смену паролей (через API ресурсов), но это пока лишь запрос на новый функционал в данном ПО».


История из жизни

На самом деле самые простые меры защиты самые действенные. То есть, по тем данным об атаках, которые есть у нас в банке, мы можем сказать: если вы заведете две разные почты — одну для работы и банковских дел, а другую для соцсетей и игр, то устойчивость к взлому вашего аккаунта вырастает на порядки. Это не шутка.


Как же тогда банки вообще этим паролям доверяют?

Крупные банки, как правило, пользуются многофакторными способами авторизации. Например, помимо ввода основного пароля вас попросят ввести одноразовый код, который придет в виде SMS-сообщения или будет напечатан на чеке из банкомата. Вероятность подбора одноразового кода убывающе мала — у вора будет всего одна попытка.

Другой способ — дополнительная проверка с помощью отпечатка пальца. А если вы пользуетесь мобильным приложением, банк запросит и другую вспомогательную информацию (он ее считывает автоматически): время и место авторизации, уникальный идентификационный код устройства и так далее, — и насторожится, если что-то покажется ему необычным. Ну и банк всегда советует своим клиентам не использовать простые, легко угадываемые пароли.


Ладно, успокоили. И все-таки, скажите вот что: допустим, у меня сложный пароль. Как его не забыть?

Для этого придумана специальная программа — менеджер паролей. Она сама будет создавать для вас длинные и сложные пароли для всех сайтов по вашему усмотрению, а также сама будет эти пароли туда вводить. При этом все пароли будут храниться в зашифрованном файле, который перебором взломать попросту невозможно. Единственный ключ к ним — это ваш мастер-пароль. Вот он действительно должен быть длинным и сложным, потому что, потеряв его, вы рискуете потерять все. Поэтому некоторые пользователи хранят свой мастер-пароль в распечатанном виде в банковской ячейке. Так, на всякий случай.

А про комбинации «qwerty» и «123456» забудьте навсегда.

Тарас Молотилин








Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.