Уязвимые пароли
Более 90% паролей, созданных интернет-пользователями для защиты информации, уязвимы для хакеров, предупреждает Deloitte
Сейчас наиболее распространены пароли из восьми и более символов – нескольких букв, хотя бы одной цифры и специальных символов, говорится в исследовании Deloitte, с которым ознакомились «Ведомости». Не обеспечивая идеальной защиты, такой пароль считался достаточно надежным: он представляет собой одну из почти 6,1 квадриллиона (6 095 689 385 410 816) возможных комбинаций и для их перебора относительно быстрому ПК в 2011 г. потребовался бы примерно год. Но даже такие пароли оказываются уязвимыми из-за особенностей поведения пользователей, пишут эксперты Deloitte. Поскольку запомнить восемь разнородных символов трудно, люди используют приемы, облегчающие запоминание: например, привязывают пароль к каким-либо словам, связанным с их опытом; прописной символ обычно ставят в начале пароля, а цифры – в конце, повторяя их или размещая в порядке увеличения. В результате «пароли становятся не такими уж случайными, а значит, не такими надежными», констатируют авторы отчета: одно из недавних исследований, где рассматривалось 6 млн реальных пользовательских паролей, показало, что всего 10 000 наиболее частых паролей дают доступ к 98,1% всех учетных записей.
Другая большая проблема: часто один и тот же пользователь применяет для защиты своих учетных записей на разных ресурсах один и тот же пароль. В среднем один человек имеет 26 учетных записей, а паролей использует всего пять, подсчитали эксперты Deloitte. И взломав его аккаунт, например, в социальной сети, злоумышленник может заодно получить доступ к банковскому счету человека – именно это произошло в 2011–2012 гг. после ряда взломов, и теперь существуют сайты, на которых можно получить десятки миллионов реальных паролей, пишут авторы исследования.
Большинство организаций хранят логины и пароли своих сотрудников в одном «главном файле». Этот файл хешируется: специальная программа шифрует логин и пароль, а при попытке сотрудника войти на сайт тот определяет соответствие хешированного результата информации, которая хранится в базе данных для конкретного логина. Но «главные файлы» часто похищают, а с помощью специального софта и аппаратного обеспечения их можно частично или даже полностью дешифровать.
Эксперты Deloitte советуют организациям не хранить логины и пароли в незашифрованной форме, установить систему, отвергающую слишком простые пароли (вроде «пароль» или «123456»), и использовать как можно более длинные комбинации символов: например, для десятизначного пароля существует в 8836 раз больше комбинаций, чем для восьмизначного.
Еще одна рекомендация – ввести многофакторную аутентификацию пользователя, привлекающую для его идентификации не только логин и пароль, но и дополнительные факторы: пароль, высылаемый на мобильный телефон пользователя, ключ, вставляемый в USB-порт компьютера, тот или иной биометрический параметр – отпечаток пальца или скан сетчатки глаза.
Основное правило – необходимо использовать разные для всех аккаунтов сложные пароли, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. Причем сложность пароля определяется не только его длиной, но и использованием сочетания букв разного регистра и языков, цифр и специальных символов, обращает он внимание. Составить сложный пароль можно, например, поменяв местами буквы в названии ресурса, аккаунт на котором пользователь хочет защитить, и добавив к ним цифры и символы; другой вариант – использовать легко запоминающуюся фразу, взяв от каждого ее слова первые буквы и также сопроводив их набором дополнительных символов, говорит Гостев. В обоих случаях запомнить понадобится только алгоритм составления пароля.
Основная проблема в том, что современный пользователь имеет гораздо больше одного аккаунта, следовательно, возникает необходимость запоминать несколько сложных буквенно-цифровых сочетаний, продолжает Гостев. Он предлагает использовать специальные программные решения класса Password Manager, которые автоматически создают сложные пароли, хранят их в защищенном формате и автоматически подставляют при входе пользователя на тот или иной ресурс.
Но самый действенный механизм защиты – многофакторная идентификация, убежден гендиректор Group-IB Илья Сачков. Даже длинная комбинация разнородных символов легко считывается извне с помощью внедренных в компьютер вирусов-троянцев, напоминает он. А если задействовано несколько уровней защиты, то у злоумышленников возникает гораздо больше проблем, несмотря на то что постепенно они учатся модифицировать и такие дополнительные факторы идентификации личности пользователя, как, например, sms-подтверждение. Например, интернет-банкинг уже активно внедряет двухфакторную систему подтверждения транзакций, говорит Сачков.