Телесюжеты о безопасности паролей неизбежно включают интервью циничного эксперта, принижающего значение любого алгоритма создания надежных паролей. Многие профессионалы – приверженцы философии «запишите его». «Люди больше не в состоянии запомнить достаточно хорошие пароли, чтобы защититься от словарной атаки, и поэтому гораздо надежнее выбрать слишком сложный для запоминания пароль, а потом записать его, – советовал специалист по компьютерной безопасности Брюс Шнаейр в 2006 г., на заре цифровой эры. – Мы все хорошо умеем прятать маленькие листки бумаги. Я рекомендую записывать пароли на листочке и хранить его в кошельке вместе с другими такими же важными».
Однако даже с листком бумаги в руке набрать длинный и сложный для запоминания пароль не так-то просто. Поэкспериментируйте с виртуальной клавиатурой мобильного устройства. Разрыв между реальностью и представлениями специалистов иллюстрирует система, которой пользуется мой отец. Он пишет пароль на стикере, который приклеивает к монитору на письменном столе. В пароле нет ничего сложного – два слова без всяких цифр и причудливых значков. Реальные люди не только выбирают ненадежные пароли: они даже не удосуживаются их запомнить.
В странствиях по цифровому миру многие пытаются использовать одинаковые пароли для всех сайтов, не обращая внимания на риск. Однако некоторые сайты играют роль няньки, навязывая правила, касающиеся длины пароля и используемых символов. Пользователи вынуждены переделывать привычные пароли и затем, пытаясь войти на сайт, не могут вспомнить, как они это сделали.
Бо́льшая часть сведений о глупых паролях – результат взлома сайта RockYou.com, публикующего игры в Facebook; это произошло 4 декабря 2009 г. Хакер опубликовал 32 603 388 имен пользователей и незашифрованных паролей посетителей сайта. И до, и после были другие взломы, но масштаб этого создал ключевую базу данных как для «хороших», так и для «плохих» парней.
Самым популярным паролем RockYou был 123456. Его использовал 290 731 человек. Обнаружились существенные отличия в зависимости от пола и возраста. Для мужчин моложе 30 лет популярными источниками паролей были секс и непристойности: в верхней части списка располагались pussy, fuck, fucking, 696969, asshole, fucker, horny, hooters, bigdick, tits, boobs и другие подобные слова. Люди старшего поколения независимо от пола проявляли склонность к цитатам из поп-культуры. Пароль Epsilon793 был бы не так уж плох, если бы его не использовал капитан Пикар из сериала «Звездный путь: Следующее поколение» (Star Trek: The Next Generation). Часто встречающаяся комбинация из семи цифр, 8675309, оказалась телефонным номером из популярной песенки. Так называемые «восьмидесятники» хотят, чтобы пароли соответствовали их эпохе.
Нет ничего проще, чем создать надежный пароль. Используйте случайный набор символов. Эту операцию невозможно идеально осуществить в уме, но и не нужно. Многочисленные сайты и программные приложения снабдят вас случайными паролями, сгенерированными из атмосферных помех. Вот несколько примеров, которые я только что получил с random.org:
mvAWzbvf
83cpzBgA
tn6kDB4T
2T9UPPd4
BLJbsf6r
Проблема решена? Да, для фанатиков мнемотехники – или для тех, кто использует программу хранения паролей, использующую сканер отпечатка пальца. Всех остальных останавливает перспектива запоминать бессмысленный набор символов. Ситуацию усугубляет необходимость (как нам говорили) особого пароля для каждой учетной записи.
Большинство пользователей, в отличие от специалистов, озабочены удобством, а не безопасностью. И я не уверен, что в данном случае они ошибаются. У вас в доме есть специально оборудованное убежище? Скорее всего, нет, но те, у кого есть, скажут вам, что оно необходимо. Однако прежде чем бросаться устраивать убежище, возможно, стоит сначала убедиться, что вы всегда запираете входную дверь.
Реальные случаи взлома пароля можно разделить на три категории: они бывают случайными, массированной атакой и прицельными.
• Случайная угроза исходит от знакомых. У чрезмерно любопытного сотрудника или члена семьи может возникнуть желание войти в вашу учетную запись. Он попытается угадать пароль, основываясь на вашем близком знакомстве (не используя преимуществ программного обеспечения для взлома паролей). Любопытный человек может знать, что ваша футбольная команда в старших классах школы называлась Wildcats, и попробовать это слово. Но пароль wildCatz1 ему никогда не угадать.
• Массированная атака похожа на спам – ничего личного. Вор персональных данных не стремится войти именно в вашу учетную запись и ничего о вас не знает. Он пытается собрать список взломанных паролей, обычно для продажи. Похитители паролей используют специальные программы и начинают с попытки взлома самых незащищенных сайтов, допускающих множество попыток ввода пароля. Это может быть игровой сайт, где пароли не имеют финансовой ценности. Затем программа использует правильно угаданный пароль и его вариации для проникновения на защищенные учетные записи, например, банковские.
• Прицельная угроза предполагает частного или государственного детектива плюс программное обеспечение. Если информированный человек захочет войти в ваши учетные записи, и если на его стороне время и деньги (и законное право?), то он, скорее всего, добьется успеха. Единственная защитная мера – использовать достаточно длинный случайный пароль. В таком случае на взлом потребуется отрезок времени, превышающий среднюю продолжительность жизни.
Нельзя быть слишком уверенным, что вам не угрожает прицельная атака. Возможно, ваши конкуренты по бизнесу захотят украсть у вас ноутбук и израсходовать на его взлом необходимые ресурсы. Так же захотят поступить с богатым супругом при бракоразводном процессе. Хакеры могут испытывать неприязнь к определенным бизнесменам и политикам. Однажды был скомпрометирован сайт Twitter – из-за того, что администратор неблагоразумно выбрал пароль счастье. В 2009 г. хакер узнал пароль в результате словарной атаки и опубликовал его на сайте Digital Gangster, что привело к взломам лент Барака Обамы, Бритни Спирс, Facebook и Fox News.
Как и всё в жизни, пароли предполагают компромисс. Можно обеспечить одновременно максимальную безопасность и максимальное удобство пароля. Одна из лучших и весьма распространенных тактик – преобразовать в пароль фразу или предложение. Можно взять строчку из песни и составить пароль из первых букв слов. Например, May the force be with you превратится Mtfbwy.
Однако вы не станете обращаться к этой строчке, и именно в этом проблема. На память вам придет хорошо известная фраза из фильма, боевой девиз колледжа или слова из мультсериала «Южный парк». Сколько фраз из восьми слов вы знаете наизусть? И совершенно неочевидно, что наугад выбранную фразу угадать сложнее, чем случайное слово. Немногие дают себе труд декорировать полученный из фразы акроним. Он и так выглядит случайным!
