Почему «Хороший пароль!» - действительно хороший пароль

17724

Можно ли придумать простой, но надежный пароль и существует ли альтернатива традиционным буквам и символам, которые используются для защиты информации, рассказывает Алексей Дрозд, эксперт компании SearchInform, специализирующейся на защите конфиденциальных данных

Все, что было секретно, но стало общедоступно, как правило, уже не имеет никакой ценности для первоначального обладателя. Эпоха взломанных ресурсов, хакерских атак и полный крах конфиденциальности – вот что такое XXI век.

Кто только не страдал от взломов и утечки паролей. Многие помнят громкую историю и скандальное расследование, связанные со взломом серверов Sony в апреле 2011, следом негодяи «угнали» из базы Twitter логины, почтовые адреса, зашифрованные и «засоленные» версии паролей 250 тыс. пользователей. Впечатляет и история с Adobе и 130 млн паролей, частично расшифрованных и выложенных в открытый доступ. Если бы для шифрования паролей использовалось качественное хеширование с «солью» (это строка случайных данных, которая используется для удлинения строки пароля), возможно, злоумышленники и не расшифровали базу. Но взломщики выяснили, каким именно способом кодировали комбинации, а дальше - статистика и дело техники. Все!

«Эпоха больших взломов» началась в 2009, когда в результате SQL-инъекции на сайте RockYou хакерам удалось утянуть 32 млн паролей. А за последние 5 лет техника взлома кардинально изменилась. Даже сравнивать неловко те примитивные методы атаки по словарю, которые использовались раньше, и аналитику на базе сотен миллионов утекших паролей, которые доступны специалистам сейчас.

Впрочем, обвинять во всем только злобных хакеров, неутомимо изучающих и изобретающих новые методы взлома, значит, как минимум, сильно упрощать ситуацию. И, соответственно, облегчать в будущем задачу злоумышленникам. Корень трудностей парольной защиты куда глубже, в самой ее природе.

Психология «парольного генератора»

Не кажется ли вам удивительным, что большая часть пользователей Сети с настойчивостью и упорством продолжает придумывать «гениальные» пароли вроде qwerty или 123? Ведь таким образом миллионы, да что там, миллиарды людей абсолютно игнорируют необходимость защиты своих аккаунтов и не соблюдают даже минимальных мер информационной безопасности.

Ничего удивительного в этом нет. Тот факт, что пользователи в большинстве своем склонны задавать слабые пароли, обусловлен физиологией человека, точнее, его мозга. Наше мышление ассоциативно и напрямую связано с речью, мы мыслим образами, каждый из которых имеет название, поэтому в качестве пароля мы выбираем название одного из них, а потому они легко подбираются методом перебора по словарю.

О слабой криптостойкости выбираемых пользователями паролей написаны сотни материалов. Одни из самых старых, которые можно найти на русском языке, относятся к 1990. Как вы думаете, изменился ли с тех пор мозг человека? Очевидно, что 25 лет, пусть даже весьма бурных и насыщенных событиями, - это ничто для эволюции. Поэтому с появлением первого пароля на экране люди не стали задавать более сложные комбинации букв и цифр для защиты своих данных. А вот мощности компьютеров выросли более чем в 16 тыс. раз, как и спрогнозировал в свое время Гордон Мур, основатель корпорации Intel и автор знаменитого закона. Подобрать пароль, соответственно, тоже стало проще и быстрее как минимум в те же 16 тыс. раз.

Почему не работают парольные политики

Чтобы пользователи не смогли довольствоваться простейшими паролями, на многих сайтах существует парольная политика. Она диктует требования к длине, типам символов, сложности паролей и т. д. И даже если сервис явно обязывает соблюдать какие-либо рекомендации к паролю (свод правил на странице регистрации), мы наступаем на одни и те же грабли: если в заданных условиях указана необходимость содержания как минимум одной цифры, больше половины пользователей этим минимумом и ограничивается.

В слабой полезности парольной политики виноваты и другие особенности человеческой психологии, например, известный «феномен первой цифры», подробно прочитать о котором можно в книге «Красота в квадрате» Алекса Беллоса. Вот что говорит сам Беллос об этом феномене:

«Выпишите из любой газеты все числа, которые там встречаются. Теперь обратите внимание на первые цифры в этих числах. Вы увидите, что числа, начинающиеся с цифры 1, встречаются чаще всего; затем следуют числа, первая цифра которых 2, потом 3 — и так до цифры 9, которая используется в начале чисел реже всего. Это действительно невероятно».

В 1938 физик Фрэнк Бенфорд открыл феномен первой цифры, обратив внимание на потрепанность страниц в книгах с таблицами логарифмов. Затем он подсчитал распределение первых цифр в других множествах данных: адресах нескольких сотен людей из биографического справочника, атомном весе химических элементов, статистике бейсбольных матчей и так далее. В большинстве случаев результаты были близки к ожидаемому распределению.

Это не просто любопытный математический закон. Многие применяют его на практике для расследования финансовых махинаций или других манипуляций с данными. Например, на основании закона Бенфорда политолог Мичиганского университета Уолтер Мибейн заявил о возможной фальсификации результатов президентских выборов в Иране.

Для создания действительно надежных паролей может использоваться только машинный генератор, но – вот беда! – сохранить в памяти такие комбинации чертовски трудно. Поэтому их запоминают в браузере, записывают на клейких листочках, которые прикрепляют на мониторы и принтеры офисные работники... и делают устойчивые пароли видимыми каждому, кто ими может поинтересоваться. То есть совершенно бесполезными.

Пароль против кодовой фразы

Может быть, нас спасут ответы на секретные вопросы? Не зря же такие вопросы задают практически везде, где нужно придумывать пароль! Увы, ответом будет «нет». Десять лет назад, в 2005, научные сотрудники Стэндфордского университета Гриффин и Якобсон провели исследование, выявившее, что ответы на самые популярные «секретные вопросы» в большинстве случаев можно найти в открытых источниках. Это блестяще подтвердилось на практике в 2008 во время президентских выборов в США, когда с помощью «секретного вопроса» была взломана учетная запись Сары Пэйлин, кандидата от республиканцев.

Может быть, вместо паролей и вопросов можно использовать целые фразы? Специалист службы безопасности компании Microsoft Роберт Хенсинг получил известность благодаря своему посту в блоге, в котором он пропагандировал эту замену. Давайте познакомимся с его идеями чуть ближе.

Для начала разберемся, что собой представляет кодовая фраза. Вот некоторые примеры, которые использовались в Microsoft в качестве «пароля»:

 • «Если бы мы не спятили, то сошли бы с ума».

 • «Обрушь на меня боль!»

 • «Подлые люди - это плохо!»

Чем же хороши эти кодовые фразы?

1. Они отвечают всем требованиям сложности пароля из-за использования заглавных/строчных букв и знаков препинания (вы не обязаны использовать цифры в вашем пароле, чтобы он соответствовал требованиям сложности).

2. Даже не смешно, что все запоминают их с такой легкостью. Вам и вашим сотрудникам тоже будет намного проще запомнить фразу из любимой песни или цитаты, нежели комбинацию «xYaQxrz!», которая, между прочим, является достаточно сложной и длинной (попробуйте сами произнести ее вслух), чтобы соответствовать обычным требованиям сложности пароля, и ненадежной, чтобы выдержать любые серьезные атаки LC5 (программа для аудита паролей), не говоря уже о «радужных таблицах» (они используются для вскрытия паролей).

Начиная с Windows 2000 системы Microsoft поддерживают пароли до 127 символов Юникода. Таким образом, эта поддержка работает практически в любой существующей системе Windows. Нет нужды говорить о мобильных устройствах, которые появились намного позже выхода Windows 2000. Иными словами, возможность ввода длинного пароля увеличивает его надежность.

Кодовая фраза скорее всего содержит читаемые слова (иначе это не кодовая фраза) и, следовательно, может быть подвержена атаке не на уровне букв, а на уровне слов. Согласно различным подсчетам, среднестатистический носитель языка (неважно, какого) знает около 20 тыс. слов, но в неделю использует 2 тыс. Так как пользователь употребляет слова, которые вошли в его активный запас, можно утверждать, что большинство кодовых фраз содержат одно из 5 тыс. часто употребляемых слов. И если ключевая фраза состоит из четырех слов, то количество возможных комбинаций равняются 50004.

Говоря простым языком, у взломщика намного меньше шансов вскрыть кодовую фразу, чем обычный пароль. Безусловно, наличие нескольких слов повышает надежность секретной комбинации, но мы должны также отметить: поскольку атака происходит на уровне слова, то его длина не имеет значения. Пароль «Подлые люди - это плохо!» будет настолько же надежен, как и «Чрезвычайно важный пароль», так как все используемые слова являются простыми.

Кодовую фразу «это мой пароль, и он только для меня» гораздо легче запомнить, чем «Syz8 # К3!», а также она гораздо надежнее, и занимает почти одинаковое количество времени для ввода. Если вы хотите увеличить надежность пароля, добавьте несколько цифр: «Мой адрес 1234 Гагаринская улица» или «номер Жанны - 867-5309». Пароль «Матвей», потому что это имя вашего сына, является не самым удачным, а вот пароль: «Имя моего старшего сына Матвей, ему 10 лет» ‑ это уже хороший пароль. Хотя и уязвимый по тем же причинам, по которым уязвимы ответы на «секретные вопросы».

Таким образом, кодовая фраза хоть и улучшает ситуацию, но не спасает от использования в ней общедоступных данных. Значит, у злоумышленников есть пространство для маневра.

В поисках решения

Было предпринято множество других попыток решить проблему паролей, не избавляясь от них самих (биометрия, USB-токены и т.п.). К примеру, в последнее время все чаще стало использоваться отрицаемое шифрование, которое дает пользователю шанс скрыть подлинное сообщение, даже если его вынудили раскрыть свой ключ. Впрочем, это решение несколько иной проблемы, чем неустойчивость секретных комбинаций к атакам.

Поэтому лучший способ обойти задачу паролей – это вовсе от них отказаться. Два года назад, в июле 2013, было образовано сообщество технологических компаний, которые по сей день занимаются поиском надежного стандарта аутентификации пользователя – Fast IDentity Online Alliance. Сегодня в сообщество входит более 200 компаний, среди которых Google, Intel, NTT DoCoMo, Lenovo, Samsung, PayPal, Validity и многие другие.

Изначально планировалось, что команда FIDO Alliance должна была разработать уникальную систему аутентификации пользователей, где вместо пароля используется аппаратно-программный комплекс. Тогда заоблачной, но реальной казалась некая гибридная система с USB-токеном и распознаванием голоса, или NFC + одноразовый пароль. Основной вопрос в том, чтобы разработанный способ смог одновременно стать и самым надежным, и самым практичным. Хотя, согласитесь, весьма сложно представить себе среднестатистического гражданина, пользующегося многоэтапной, сложной системой с токенами/биометрией/одноразовыми паролями.

В марте 2013 департамент Google, занимающийся вопросами безопасности, опубликовал свои варианты аутентификации пользователей. Самым растиражированным решением в прессе и социальных сетях стало что-то вроде hi-tech кольца, постоянно находящегося у пользователя и позволяющего ему работать с онлайн-сервисами. Да, «кольца всевластия» все-таки увидели свет, но мировой популярности не получили.

Этим летом эксперты из FIDO Alliance и Bluetooth SIG начали совместную работу над новой системой, позволяющей использовать смартфон в качестве альтернативы физическим USB-токенам безопасности. Последние широко распространены среди пользователей сервисов, в которых применяется двухфакторная аутентификация. Плюсами и достоинствами смартфонов посчитали наличие поддержки различных стандартов безопасности (PIN-кодов или биометрической аутентификации) и достаточно большого количества персональной информации, подтверждающей личность владельца. Словом, умы экспертов из FIDO и SIG сейчас заняты созданием платформы, использующей мобильные устройства по аналогии с USB-токенами безопасности для прохождения аутентификации.

Давайте попробуем порассуждать о том, к чему могут привести эти усилия.

Пароли завтра

С будущим паролей сегодня обычно связывают несколько технологий, уже активно используемых в реальной жизни. Поговорим немного о них.

NFC (Near field communication) в дословном переводе - коммуникация ближнего поля. Это технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами. NFC была анонсирована еще в 2004. Она проста, практична и представляет собой не что иное, как расширение стандарта бесконтактных карт. NFC нацелена, прежде всего, на использование в мобильных телефонах и планшетах, но в настоящее время используется в различных сферах. Как идентификатор воплотилась в «кольцах всевластия», но альтернативой паролям вряд ли станет.

Биометрическая аутентификация. Сегодня можно смело выделить четыре основных биометрических метода идентификации, которые нашли достаточно широкое применение.

1. Распознавание по отпечаткам пальцев. Это, наверное, самый известный метод, в основе которого лежит уникальность каждого человека – рисунок папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов;

2. Распознавание по геометрии кисти руки, которая также является уникальной биометрической характеристикой человека;

3. Распознавание по радужной оболочке глаза, основанное на уникальности ее рисунка;

4. Распознавание по голосу. В настоящее время развитие этого направления дает основу для его широкого использования. Существует достаточно много способов построения кода идентификации по голосу: как правило, это различные сочетания частотных и статистических характеристик последнего.

Для многих из перечисленных методов необходимо достаточно дорогое оборудование и не менее дорогое ПО. Более того, с развитием технологий роль биометрии, как средства аутентификации, будет уменьшаться, так как злоумышленнику получить доступ к таким данным становится все проще. Голос можно записать, лицо и глаза сфотографировать, а отпечатки пальцев отсканировать и затем создать компьютерную модель, и распечатать маску на 3D-принтере.

Выхода нет?

Очевидно, решить проблему паролей сегодня так же сложно, как и запомнить самые надежные из них. Несмотря на все свои минусы, пароли остаются дешевой и востребованной технологией, реальной альтернативы которой сегодня нет. В будущем, возможно, проблему решит повсеместное ношение популярных смарт-часов или других гаджетов с дешевыми биометрическими сенсорами. Вероятно, альянс ведущих ИТ-корпораций сможет предложить что-то более изящное – как бы то ни было, сегодня полноценного преемника паролям не видно.

Так что, похоже, пароли будут всегда, и точно так же всегда их будут взламывать.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить