Deloitte: Более 90% паролей уязвимы для взлома

В 2013 г. более 90% паролей, созданных интернет-пользователями для защиты информации, будут уязвимыми для хакеров, в том числе и те, которые IT-службы компаний-работодателей признают вполне надежными. Такой прогноз содержится в исследовании "Высокие технологии, телекоммуникации, развлечения и СМИ", выпущенном Deloitte (у "Ведомостей" есть копия).

Сейчас наиболее распространены пароли, состоящие как минимум из восьми символов, включающих несколько букв, хотя бы одну цифру и один не буквенно-цифровой символ. Не обеспечивая идеальной защиты, такой пароль считался достаточно хорошим даже для таких операций, как банковские транзакции и электронная коммерция, говорится в исследовании. Пароль, в котором задействованы восемь из 94 символов стандартной клавиатуры, представляет собой одну из почти 6,1 квадриллиона (6 095 689 385 410 816) возможных комбинаций, и для проверки каждой из них относительно быстрому ПК в 2011 г. потребовался бы примерно год. Тем не менее даже такие пароли оказываются уязвимыми с учетом некоторых особенностей поведения людей, пишут эксперты Deloitte. Поскольку запомнить восемь разнородных символов очень трудно, пользователи часто придумывают приемы, облегчающие запоминание: например, часто привязывают пароль к каким-либо словам, существующим в их языке и связанным с их опытом. Прописной символ они обычно ставят в начале пароля, а цифры в конце, повторяя их или размещая в порядке увеличения. В результате "пароли становятся не такими уж случайными, а значит, не такими надежными", констатируют авторы отчета: в одном из недавних исследований, где рассматривались 6 млн реальных пользовательских паролей, было обнаружено, что всего лишь 10 000 наиболее часто встречающихся паролей дают доступ к 98,1% всех учетных записей.

Еще одна большая проблема – то, что один и тот же пользователь часто использует один и тот же пароль для защиты своих учетных записей на разных ресурсах. В среднем один человек имеет 26 учетных записей, защищенных паролями, подсчитали эксперты Deloitte, а паролей использует всего пять. В результате, взломав его аккаунт, например, на менее защищенном сайте онлайн-игр или в социальной сети, злоумышленник может раскрыть и пароль, защищающий банковский счет человека – именно это произошло в 2011–2012 гг. после ряда взломов, и теперь существуют веб-сайты, на которых можно получить десятки миллионов реальных паролей, пишут авторы исследования.

Еще один нюанс состоит в том, что большинство организаций хранят логины и пароли своих сотрудников в одном "главном файле". Этот файл хешируется, то есть специальная программа осуществляет шифрование логина и пароля, так что ни один человек в организации не может видеть пароль в незашифрованном виде, а при попытке входа в учетную запись сайт хеширует эту попытку доступа в реальном времени и определяет соответствие хешированного результата той информации, которая хранится в базе данных для конкретного логина. Но проблема в том, что "главные файлы" часто становятся предметом хищения или утечек, а с помощью специального софта и аппаратного обеспечения его можно полностью или частично дешифровать.

Эксперты Deloitte советуют пользователям (особенно организациям) никогда не хранить логины и пароли в незашифрованной форме, установить систему, отвергающую слишком простые пароли (вроде "пароль" или "123456"), а также использовать как можно более длинные комбинации символов: например, для десятизначного пароля существует в 8836 раз больше комбинаций, чем для восьмизначного, и стандартной вычислительной машине потребуется более пяти лет для его подбора.

Еще одна рекомендация Deloitte – ввести многофакторную аутентификацию пользователя, использующую для его идентификации не только логин и пароль, но и дополнительные факторы: пароль, высылаемый на зарегистрированный мобильный телефон пользователя, ключ, вставляемый в USB-разъем компьютера, тот или иной биометрический параметр (например отпечаток пальца или скан сетчатки глаза).

В последние недели было объявлено сразу о нескольких хакерских атаках на сайты крупных компаний – Twitter, Facebook, Apple, The Wall Street Journal и др. В результате, например, Twitter был вынужден поменять около 250 000 паролей, а директор по информационной безопасности этого сервиса Боб Лорд призвал пользователей впредь выбирать пароли более ответственно: желательно, чтобы комбинация содержала не менее 10 разнородных символов и была уникальной для каждой учетной записи.

А в середине января 2013 г. анонимный блогер сообщил об уязвимости в ICQ: раньше, когда один пользователь «аськи» пересылал другому файл, их клиенты соединялись напрямую через интернет, объяснил он, с 2010 г. файлы стали закачиваться на серверы Mail.ru, а адресат стал получать только ссылку вида http://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX — динамически генерируемый набор букв и цифр. Зная последовательность этих символов, можно скачать любой файл, написал блогер. В ответ Mail.ru Group (владелец ICQ) ввела в "аське" такие же безопасные длинные ссылки, как и в других своих сервисах.