Всемирный день пароля, который отмечается в первый четверг мая, это уместное напоминание о том, что пароли – это не что иное, как ключ к изобилию конфиденциальной информации о нас. Однако, практика использования плохих паролей, включая использование одних и тех же паролей для доступа к многочисленным аккаунтам, может стать причиной серьёзных рисков и разрушить нашу конфиденциальность и кибербезопасность.
Знай претенденты на звание «изобретателя пароля», сколько мороки будет вокруг компьютерного разнообразия паролей века спустя, они бы никогда не решились на своё изобретение. А, может быть изобретатель – то ли Галаадитянин, то ли римский легионер – просто представить не могли, на какие компромиссы придется нам идти, выбирая между безопасностью и удобством, создавая массу проблем в эпоху Интернета. Так или иначе, последствия военного девиза пришли к нам, чтобы остаться.
Уклонимся немного от темы. Для нас стало привычным: для входа в систему мы заводим своё имя пользователя и пароль, и мы «в шоколаде». Для повторного входа достаточно вспомнить и вновь ввести свои учётные данные. Вы знали об этом заранее, и «позаботились» о себе любимом, поэтому ваш аккаунт защищён легко запоминающимся паролем.
Вот откуда «растут ноги» проблемы. «Легко запоминающийся» часто равнозначен короткому, простому, т.е. такому, угадать который не представляет никакого труда. Это особенно хорошо работает в случае взламывающих пароли программ, которая делает ставку на то, что оператор намерен грубо взломать ваш аккаунт. Такая программа способна открывать сокровищницы как по мановению волшебной палочки, достаточно только сказать: «Сезам, откройся!».
С другой стороны, длинный, сложный пароль из набора символов сложнее взломать, но он труднее поддаётся запоминанию. И вы опять стоите перед проблемой! Попытки вспомнить невозможные угадать пароли и способность помнить, к какой онлайн услуге они относятся, эта задача под силу не каждому, если только вы не обладаете памятью Штирлица.
Конечно, пароли-фразы типа, «Я ЛЮБЛЮ читать ДаЗдравствуетБезопасность!» – могут здорово помочь в плане безопасности и удобства (последнее – просто символ запоминаемости). Однако, насколько дальновидно ждать от каждого пользователя, что он будет помнить фразу или пароль каждого онлайн аккаунта?
Так дальше продолжаться не может
Многие люди поступают просто – по крайней мере, те, кто не надеются на память – т.е. поступают в ущерб своей безопасности и используют чудовищный пароль типа «123456» + имя, и живут себе припеваючи… до поры – до времени. Прока их аккаунт не взломают и их онлайн персоны оказываются «засвечены», или, что ещё хуже, их персональные данные и деньги оказываются украденными. Воистину: «пока гром не грянет, мужик не перекрестится».
В самом деле, не бывает так, чтобы получить всё было в ажуре, т.е. чтобы все аккаунты отличались великолепными сильными, уникальными и запоминающимися паролями или фразами. Несколько удивительно, что наше внимание постепенно ослабевает, и мы начинаем искать лёгкие пути. Мы склоняемся к повторению паролей – прямая дорога в объятия хакеров.
Будучи чуждым пространству безопасности пользователя, вы можете поставить свой последний доллар на то, что утилизация пароля является непреложным условием наряду с другими наиболее частыми опрометчивыми нарушениями, допускаемыми пользователями в области паролей аутентификации. Пароли, созданные по часто повторяющемуся шаблону, который заключается в лёгкой модификации пароля каждого аккаунта («частичный повтор»), непременно оказываются предсказуемыми, а, следовательно, легко поддаются взлому.
Чем опасно повторное использование пароля?
Ваш ближайший сосед Интернет может оказаться отнюдь не самым приятным соседом в силу многих причин, особенно, когда утечка данных – это реалия нашего времени. Несанкционированные проникновения часто выводят напоказ детали логина – если вы пользуетесь ими для доступа к разным аккаунтам, и могут успешно использоваться для атак, известных как стаффинг. Это вызывает особую тревогу, когда взломщик пользуется украденными или просочившимися идентификационными данными доступа, которые взяты с одного аккаунта, для взлома другого аккаунта – который нередко оказывается более ценным. Благодаря частым свалкам паролей, комбинации пользователя/пароля всплывают без труда и совершенно бесплатно.
Если вы подвергнетесь взлому, а идентификационные данные не хранятся с помощью усовершенствованных крутых функций солёного хеширования (вспомните, например, хакерскую атаку против Adobeв 2013), сильного пароля, или даже фразы, может оказаться недостаточно для предотвращения использования номера банковской карточки в целях мошенничества в случае, если вы используете один пароль для доступа к разным услугам.
Факторинг в новом измерении
Многие попытки использования номера банковской карточки в целях мошенничества могут быть завуалированы под двух-факторную аутентификацию (2FA). Добавочный фактор аутентификации предоставляет дополнительный слой защиты помимо обычного пароля с кодом /пароля /фразы, и в любом случае, исправляет некоторые присущие человеку слабости, обычные в случае плохого выбора паролей.
Пока всё неплохо. Однако, многим провайдерам Интернет-услуг пока еще предстоит внедрить 2FAв свои схемы аутентификации. (Статус различных веб-сайтов vis-à-vis2FAможно посмотреть здесь: https://twofactorauth.org/.) Кроме того, как показал недавний отчёт относительно темпа восприятия 2FAактивными пользователями Googleаккаунтов (менее 10 процентов), даже если такая опция была доступна многие годы, многие пользователи не используют её преимуществ, и не важно – не знают они о ней, или просто у них есть заботы поважнее.
Конечно, есть и другиеформы аутентификации, которые снимут тяжесть с их плеч (и мозгов), будь то биометрия (напри., отпечаток пальцев или распознавание по радужной оболочке глаза) или алгоритмы измерения поведенческих характеристик (вроде ритм печатания) и т.п. Однако, их доступность, и в более широком смысле, внедрение отнюдь не столь широко внедрены.
А есть ли другой путь?
Да, есть, хотя он противоречит советам, раздаваемым теми, кто отвечает за безопасность. В 2014, отдел исследований Microsoftвыпустил документ, в которой предлагался другой способ. Представив различные веб-аккаунты как некую последовательность, документ констатировал, что в какой-то степени повторное использование пароля неизбежно, но сохранять его можно только для услуг с низким риском и низкой ценности. Иными словами, логический ход мыслей вел к тому, что все аккаунты не рождаются близнецами, и поэтому должны группироваться в зависимости от их ценности. Старший исследователь ESETДавид Харлей сделал ставку на такой подход, при этом намекнув в своей работе на потенциальные опасности.
С другой стороны, весьма вероятно, что вы не будете бесконечно перебирать ваши аккаунты до тех пор, пока не получите такое их число, которое легко управляется с помощью сильных и уникальных паролей или паролей-фраз. Да и вряд ли вы захотите заниматься серьёзной мнемотехникой или стремиться к участию в конкурсе на лучшую память.
С учётом всего, самая простая вещь, бесспорно, поместить все свои пароли (конечно, они должны быть сильными и уникальными) в некий дигитальный сейф. Это хранилище является целенаправленным программным обеспечением, которое, в идеале, шифрует и хранит все пароли локально и автономно от Интернета.
В самом деле, управляющие паролями неистово борются за безопасность паролей и, по совести говоря, трудно отрицать их достоинства. Кроме того, недавнее исследование показало, что управляющие паролями улучшают силу и уникальность паролей, хотя эта стратегия работает только если пароли генерируются программным обеспечением.
В любом случае, предположив, что вы доверяете внедрению вашего управляющего паролями пароля – вы ведь не стали бы его использовать, если бы не доверяли? – то его безопасность в подавляющей степени определяется надёжностью вашего главного пароля. Это вдвойне актуально, если вы считаете, что вы поступаете эффективно, укладывая все яйца (в т.ч. золотые) в одну корзину. По сути, такая корзина может стать единственным уязвимым местом.
Они не пройдут
Конечно, пароли ущербны. За исключением того, что мы живём в эпоху Интернета, когда не существует универсального метода аутентификации пользователя. Их неизбежный провал был предсказан ещё в 2004, так что пароли уже изжили себя. Но, похоже, пройдёт еще немало времени, пока они не повторят судьбу динозавров.
Подводя итоги, скажем, что некоторые моменты компьютерной безопасности находятся вне пределов контроля обычного пользователя, но почему бы не позаботиться и не исправить те, которые нам подвластны? Устойчивая практика плохих паролей многих людей дают вам шанс сыграть на опережение. Что в этом плохого?
Источник: Welivesecurity
