Предлагаем вашему вниманию статью заведующего кафедрой бизнес-информатики д.э.н., доцента Дмитрия Назарова, подготовленную в рамках научной работы совместно со студентом 4 курса группы ИБ-16 Александром Барановым на популярную в гугл-поиске тему о создании надежных паролей в интернете.
Послание президента РФ Федеральному собранию еще раз подтвердило тренд на цифровизацию экономики, а это означает, что количество облачных и иных сервисов, которые предлагают онлайн-услуги и запрашивают с пользователя различные метаданные (в том числе и персональные), будет расти в геометрической прогрессии.
Для того чтобы использовать онлайн-сервис, пользователю (потребителю услуги) требуется пройти процесс регистрации, для которого необходимо задать логин и пароль. Выбор логина и пароля − задача очень ответственная и на самом деле не совсем тривиальная. Многие интернет-сервисы сами дают рекомендации по их созданию. Как правило, на основании некоторых метаданных о потенциальном пользователе логин, а также придуманный пользователем пароль проверяют на «сложность».
Если в качестве логина пользователям обычно рекомендуют использовать e-mail, номер телефона и другие идентификаторы, то пароль каждый пользователь должен придумать сам (цифровой сервис лишь подсказывает, какой пароль «слабый» (красный цвет), «средний» (желтый цвет) и «сильный» (зеленый цвет). Но есть сервисы, где такой процедуры нет. В этом случае вся ответственность при выборе пароля лежит на пользователе. Пароль – это уникальная последовательность символов, которая позволяет получить доступ пользователя к аккаунту на цифровом сервисе.
Аккаунт пользователя любого сервиса (gosuslugi.ru, nalog.ru и др.) чаще всего включает в себя персональные данные, то есть те данные, по которым можно однозначно идентифицировать личность пользователя. Что касается коммерческих цифровых сервисов, то они, как правило, содержат некоторые метаданные о пользователе, включая данные банковских карт, историю покупок и т.д. Это означает, что пароль доступа к аккаунту пользователя является мерой защиты данных пользователя от посторонних лиц (мошенников, хакеров, преступников). Современные цифровые сервисы предлагают для обеспечения защиты данных пользователя и дополнительные меры (помимо пароля): подключить двухфакторную авторизацию, которая подразумевает ввод PIN-кода, приходящего в виде СМС на телефон. Если такая процедура предусмотрена на цифровом сервисе, то стоит ей воспользоваться.
Компания TeamsID, базируясь на многомиллионной базе паролей из интернета, анализирует данные и ежегодно составляет список топ-100 худших паролей к различным сервисам (исключая сайты для взрослых). Приведем список 15 худших паролей за 2018 и 2019 год.
Анализируя таблицу, можно сказать – «qwerty», «12345» и вытекающие из них в очередной раз занимают лидирующие позиции и ставить такие пароли не следует. Также имена (#21 charlie), увлечения (#16 football) и стартовые пароли (#12 admin) не являются надежными в плане защиты. Давайте попытаемся ответить, почему так? Почему из года в год используются одни и те же ненадежные пароли. Главной причиной этого, скорее всего, является особенность человеческого мышления, заключающаяся в построении ассоциаций. Пользователям проще запомнить пароль, используя ассоциацию с чем-либо, с любимым актером, видом спорта, спецификой деятельности, днем рождения и т.д. Ассоциативная память человека, если так можно выразиться, мгновенна, а компьютерные системы, выполняющие миллионы операций в секунду благодаря алгоритмам искусственного интеллекта, только «учатся» таким операциям, осуществляя огромное количество промежуточных вычислений для этого. Но перебор огромного количества вариантов на компьютере можно выполнить гораздо быстрее, чем с этой задачей справится человек. Примеры этого приведены ниже.
На взлом пароля нужно время и определенные навыки, но в разы удобнее оценить время подбора пароля с помощью сервисов проверки надежности паролей: https://howsecureismypassword.net/ и https://password.kaspersky.com/ru/
Результаты «HOW SECURE IS MY PASSWORD?»:
пароль: 18012020 ответ сервиса: 3 милисекунды
пароль: 18.01.2020 ответ сервиса: 3 часа
пароль: 18.01.2020God ответ сервиса 5 миллионов лет
пароль: 18.01.2020GodKrisi ответ сервиса: 18 квадриллиона лет
Результаты «Kaspersky»:
пароль: 18012020 ответ сервиса: 2 минуты
пароль: 18.01.2020 ответ сервиса: 5 минут
пароль: 18.01.2020God ответ сервиса: 2 дня
пароль: 18.01.2020GodKrisi ответ сервиса: 900 лет
Получили интересный результат: пароль из 8 символов 18012020 разгадан очень быстро. Почему так? Очень просто: хакеры организуют «умный», «ассоциативный» перебор паролей, пишут специальные интеллектуальные модули, которые перебирают сначала частые, легко запоминаемые пароли, а потом только все остальные. Использование прописных и строчных букв одновременно увеличивает на несколько порядков время для разгадывания пароля, положительную роль с точки зрения уменьшения риска играет и символьная длина паролей.
Чтобы избавить себя от сомнений и тяжкого выдумывания пароля, можно также обратиться к сервисам, специализирующихся на этом. Специальные конструкторы смогут подобрать любой пароль, который вам нужен, и он будет надежным. Давайте попробуем протестировать несколько сайтов-сервисов: вышеуказанная компания NordPass имеет свой собственный открытый генератор паролей (https://nordpass.com/password-generator/), вместе с ними выдумывать пароли будет и LastPass со своим генератором паролей (https://www.lastpass.com/ru/password-generator).
Сгенерируем 12-символьные пароли с использованием спецзнаков и узнаем, сколько потребуется времени на их расшифровку:
LastPass: *x#@%$LdT*Ge: ответ Касперского – 4 века, ответ How secure is my password – 6 тысяч лет.
NordPass: vSJyFy$P&d3V: ответ Касперского – 4 века, ответ How secure is my password − 34 тысячи лет.
Поэтому советуем пользоваться доверенными сайтами генераторов паролей, но при самостоятельном выборе пароля предлагаем использовать следующие правила:
Самым надежным мультиплатформенным решением для бизнес-пользователей считается SplashID (http://www.splashid.com). Сервис Gpass (http://www.gpass.io) позволяет пользователям Google без проблем управлять паролями в своей учетной записи Google. Сервис Zoho Vault (https://www.zoho.com/vault/) − бесплатный для личного использования менеджер паролей. Приложение может сохранять бесконечное количество паролей и заметок, в нём можно хранить файлы и документы, есть генератор паролей и автосохранение. Сервис LogMeOnce (https://www.logmeonce.com/ru/) – бесплатный менеджер паролей, в котором поддерживается синхронизация и мультифакторная авторизация и др.
Все эти сервисы работают по одному принципу, который заключается в создании зашифрованного по алгоритму 256-битного шифрования цифрового сейфа, доступного на любых устройствах, реализуя возможность доступа к важной информации в любое удобное для пользователя время. При этом, конечно, один пароль для входа в менеджер паролей нужно помнить, и он должен быть неуязвимым, но в этом вам помогут сами сервисы генерации паролей при создании аккаунта.
Используйте надежные пароли!