Цифровая безопасность: почему топ худших паролей не сильно изменился за 10 лет…

Предлагаем вашему вниманию статью заведующего кафедрой бизнес-информатики, доктора экономических наук, доцента Дмитрия Назарова, подготовленную в рамках научной работы совместно со студентом 4 курса группы ИБ-16 Александром Барановым на популярную  в гугл-поиске тему о создании надежных паролей в интернете.

Послание Президента РФ Федеральному Собранию еще раз подтвердило тренд на цифровизацию экономики, а это означает, что количество облачных и иных сервисов, которые предлагают онлайн-услуги и запрашивают с пользователя различные метаданные (в том числе и персональные), будет расти в геометрической прогрессии.  

Для того чтобы использовать онлайн-сервис, пользователю (потребителю услуги) требуется пройти процесс регистрации, для которого необходимо задать логин и пароль. Выбор логина и пароля − задача очень ответственная и, на самом деле, не совсем тривиальная. Многие интернет-сервисы сами дают рекомендации по их созданию. Как правило, на основании некоторых метаданных о потенциальном пользователе логин, а также придуманный пользователем пароль проверяют на «сложность».

Если в качестве логина пользователям обычно рекомендуют использовать e-mail, номер телефона и другие идентификаторы, то пароль каждый пользователь должен придумать сам (цифровой сервис лишь подсказывает, какой пароль «слабый» (красный цвет), «средний» (желтый цвет) и «сильный» (зеленый цвет). Но есть сервисы, где такой процедуры нет. В этом случае вся ответственность при выборе пароля лежит на пользователе. Пароль – это уникальная последовательность символов, которая позволяет получить доступ пользователя к аккаунту на цифровом сервисе.

Аккаунт пользователя любого сервиса (gosuslugi.ru, nalog.ru и другие) чаще всего включает в себя персональные данные, то есть те данные, по которым можно однозначно идентифицировать личность пользователя. Что касается коммерческих цифровых сервисов, то они, как правило, содержат некоторые метаданные о пользователе, включая данные банковских карт, историю покупок и так далее. Это означает, что пароль доступа к аккаунту пользователя является мерой защиты данных пользователя от посторонних лиц (мошенников, хакеров, преступников). Современные цифровые сервисы предлагают для обеспечения защиты данных пользователя и дополнительные меры (помимо пароля): подключить двухфакторную авторизацию, которая подразумевает ввод PIN-кода, приходящего в виде СМС на телефон. Если такая процедура предусмотрена на цифровом сервисе, то стоит ей воспользоваться.

Компания TeamsID, базируясь на многомиллионной базе паролей из интернета, анализирует данные и ежегодно составляет список топ-100 худших  паролей к различным сервисам (исключая сайты для взрослых). Приведем список 15 худших паролей за 2018 и 2019 год.

Анализируя таблицу, можно сказать, что «qwerty», «12345» и вытекающие из них в очередной раз занимают лидирующие позиции, и ставить такие пароли не следует. Также имена (#21 charlie), увлечения (#16  football) и стартовые пароли (#12 admin) не являются надежными в плане защиты. Давайте попытаемся ответить, почему так? Почему из года в год используются одни и те же ненадежные пароли. Главной причиной этого, скорее всего, является особенность человеческого мышления, заключающаяся в построении ассоциаций. Пользователям проще запомнить пароль, используя ассоциацию с чем-либо, с любимым актером, видом спорта, спецификой деятельности, днем рождения и так далее. Ассоциативная память человека, если так можно выразиться, мгновенна, а компьютерные системы, выполняющие миллионы операций в секунду благодаря алгоритмам искусственного интеллекта, только «учатся» таким операциям, осуществляя огромное количество промежуточных вычислений для этого. Но перебор огромного количества вариантов на компьютере можно выполнить гораздо быстрее, чем с этой задачей справится человек. Примеры этого приведены ниже.

На взлом пароля нужно время и определенные навыки, но в разы удобнее оценить время подбора пароля с помощью сервисов проверки надежности паролей:  https://howsecureismypassword.net/ и https://password.kaspersky.com/ru/

Результаты «HOW SECURE IS MY PASSWORD?»:

пароль: 18012020                                  ответ сервиса: 3 миллисекунды

пароль: 18.01.2020                                ответ сервиса: 3 часа

пароль: 18.01.2020God                         ответ сервиса 5 миллионов лет

пароль: 18.01.2020GodKrisi              ответ сервиса: 18 квадриллиона лет

Результаты «Kaspersky»:

пароль: 18012020                                  ответ сервиса: 2 минуты

пароль: 18.01.2020                                ответ сервиса: 5 минут

пароль: 18.01.2020God                         ответ сервиса: 2 дня

пароль: 18.01.2020GodKrisi                ответ сервиса: 900 лет

Получили интересный результат: пароль из 8 символов 18012020 разгадан очень быстро. Почему так? Очень просто: хакеры организуют «умный», «ассоциативный» перебор паролей, пишут специальные интеллектуальные модули, которые перебирают сначала частые, легко запоминаемые пароли, а потом только все остальные. Использование прописных и строчных букв одновременно увеличивает на несколько порядков время для разгадывания пароля, положительную роль с точки зрения уменьшения риска играет и символьная длина паролей.

Чтобы избавить себя от сомнений и тяжкого выдумывания пароля, можно также обратиться к сервисам, специализирующимся на этом. Специальные конструкторы смогут подобрать любой пароль, который вам нужен, и он будет надежным. Давайте попробуем протестировать несколько сайтов-сервисов: вышеуказанная компания NordPass имеет свой собственный открытый генератор паролей (https://nordpass.com/password-generator/), вместе с ними выдумывать пароли будет и LastPass со своим генератором паролей (https://www.lastpass.com/ru/password-generator).

Сгенерируем 12-символьные пароли с использованием спецзнаков и узнаем, сколько потребуется времени на их расшифровку:

LastPass: *x#@%$LdT*Ge: ответ Касперского – 4 века, ответ How secure is my password – 6 тысяч лет.

NordPass: vSJyFy$P&d3V: ответ Касперского – 4 века, ответ How secure is my password − 34 тысячи лет.

Поэтому советуем пользоваться доверенными сайтами генераторов паролей, но при самостоятельном выборе пароля предлагаем использовать следующие правила:

1. Используйте парольные фразы из двенадцати или более символов со смешанными типами (это снижает риск в 1000 раз примерно).
2. Для каждого логина используйте свой пароль, это обезопасит от мультидоступа (подобрав пароль к одному сервису, хакер не сможет его использовать для доступа к другому сервису или сайту).
3. Если у вас логинов и паролей более 5−7, то рекомендуем защиту своих персональных данных осуществлять с помощью использования менеджера для хранения паролей. О менеджерах для хранения паролей нужно говорить отдельно, но в рамках этой статьи перечислим лишь самые известные, которые для физических лиц бесплатны.

Самым надежным мультиплатформенным решением для бизнес-пользователей считается SplashID (http://www.splashid.com). Сервис Gpass (http://www.gpass.io) позволяет пользователям Google без проблем управлять паролями в своей учетной записи Google. Сервис Zoho Vault (https://www.zoho.com/vault/) − бесплатный для личного использования менеджер паролей. Приложение может сохранять бесконечное количество паролей и заметок, в нём можно хранить файлы и документы, есть генератор паролей и автосохранение. Сервис LogMeOnce (https://www.logmeonce.com/ru/) – бесплатный менеджер паролей, в котором поддерживается синхронизация и мультифакторная авторизация и другое.

Все эти сервисы работают по одному принципу, который заключается в создании зашифрованного по алгоритму 256-битного шифрования цифрового сейфа, доступного на любых устройствах, реализуя возможность доступа к важной информации в любое удобное для пользователя время. При этом, конечно, один пароль для входа в менеджер паролей нужно помнить, и он должен быть неуязвимым, но в этом вам помогут сами сервисы генерации паролей при создании аккаунта.

Используйте надежные пароли!

Предлагаем вашему вниманию статью заведующего кафедрой бизнес-информатики, доктора экономических наук, доцента Дмитрия Назарова, подготовленную в рамках научной работы совместно со студентом 4 курса группы ИБ-16 Александром Барановым на популярную в гугл-поиске тему о создании надежных паролей в интернете.