Большинству из нас известны простые советы, усложняющие пароль. Во-первых, он должен быть уникальным, во-вторых, достаточно длинным, и в-третьих, в нём необходимо использовать не только строчные и прописные буквы, но и различные символы и цифры.
Пользователи осознают наличие угрозы и стремятся обеспечить свою информационную безопасность. Но их подводит память. Как на практике выполнить распространённую рекомендацию не записывать, а запоминать секретное слово? Неужели существуют люди, способные удержать в голове множество странных сочетаний разрозненных символов?
Несомненно, такие люди если и есть, то их очень мало. Рядовые юзеры придумали простой выход. Они запоминают пару кажущихся им сложными выражений, модифицируя сочетание от регистрации к регистрации, либо по настоянию админа сайта несколькими буквами, цифрами или знаками в начале или конце. Казалось бы, требования выполнены: пароль уникальный, длинный и сложный. Но надёжность такого метода низкая.
Как злоумышленники узнают пароли?
Время, когда где-то кто-то сутками напролёт стучал по клавиатуре, пытаясь подобрать пароль, давно прошло, если вообще когда-то было. Периодически появляются сведения, что очередной интернет-гигант обнаружил утечку информации — базы данных паролей своих пользователей. Пароли воруют. Причём не по одному, а тысячами и миллионами, получив тем или иным способом доступ к базе данных популярного сайта.
Несмотря на то что представители атакованных компаний уверяют пользователей, что никто не понёс ущерба, так как база данных паролей хранится в зашифрованном виде, действительность несколько отличается от публичных заявлений.
Конечно, просто так взломать похищенную базу, даже обладая значительными вычислительными мощностями, способными перебирать миллиарды вариантов за несколько часов, очень и очень трудно. Практически невозможно. Но, благодаря самим пострадавшим, задача злоумышленников зачастую легче, чем кажется.
Всегда найдутся пользователи, которым безразлична судьба аккаунта. Их пароли — типа 12345, qwerty и пр. — подбирают первыми. С помощью методов криптографии, сопоставляя значения в открытом и зашифрованном виде, злоумышленники получают представление об алгоритмах шифрования, что упрощает им задачу автоматизированного подбора остальных секретных слов.
За простыми паролями «сдаются» псевдосложные, состоящие из использованных ранее в других местах сочетаний, дополненных парой предсказуемых знаков.
Несомненно, уникальные и сложные пароли устоят, их никогда не расшифруют. Но многие внешне неприступные стены мощных фортеций падут, оказавшись на деле лишь разрисованными акварельными красками иллюзорными картинками.
Каким должен быть пароль?
В американском Университете Карнеги-Меллон создана группа исследования паролей. Её члены видят свою задачу в выяснении методов, применяемых злоумышленниками для расшифровки секретных слов, и разработке чётких критериев надёжности защиты.
После серии онлайн-тестов, в которых приняли участие более 50 тыс. человек, и изучения практических паролей студентов и профессоров университета группа пришла к выводу, что пользователи очень часто считают надёжными выражения, таковыми не являющиеся.
Среди ошибок — составление длинных сочетаний из распространённых слов или выражений (например, passwordpassword) и изменение старого пароля добавлением лишнего символа. Нередко для создания «надёжных» секретных слов последовательно нажимают несколько соседних клавиш клавиатуры — 1qaz2wsx3edc — или используют слэнг определённых сообществ. Ненадёжны и такие методы, как замена в слове буквы «о» цифрой «0» или «а» символом «@».
Разрабатывая пароль, исследователи из Карнеги-Меллон советуют опираться на следующие рекомендации:
- выбирайте пароль длиной не менее 12 знаков;
- используйте знаки 2−3 различных типов: прописные и строчные буквы, цифры, специальные символы;
- размещайте символы разных типов вперемежку, не применяйте заглавные буквы исключительно в начале выражения, равно как цифры и символы только в конце;
- избегайте имён людей и кличек домашних животных, названий мест, в которых вы живёте, брендов, спортивных команд, дат рождения и пр.;
- не используйте распространённые фразы, тексты песен, стихи и цитаты;
- откажитесь от шаблонов, «подсказанных» расположением клавиш на клавиатуре;
- не применяйте один и тот же пароль в разных местах;
- хороший способ создания надёжного пароля — придумать оригинальное предложение и использовать одну или две начальных буквы каждого слова, разбавляя их другими символами;
- если выражение трудно запомнить, запишите его или используйте диспетчер паролей, но не отказывайтесь из-за удобства от безопасности информации.