Пароли – хорошие, плохие и ужасные

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

• Компания «Нутелла» посоветовала подписчикам использовать в качестве надежного пароля слово Nutella.
• Один из сотрудников Белого дома забыл на автобусной остановке бумажку, на которой был записан незащищенный пароль от электронной почты.
• В Google стажировался студент из Индии, который смог получить доступ к спутнику компании через административную панель, просто оставив поля ввода логина и пароля пустыми.
• Данные более 14 миллионов избирателей штата Техас в США стали доступны в режиме онлайн просто потому, что сервер не защитили паролем.
• Сотрудники Организации Объединенных Наций хранят документы в Trello и Google Docs, которые не защищены паролем. По ссылкам они становятся доступны всем желающим.

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwertry
10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

• Двухсловные пароли: tanyatanya, dindin, «сашамаша»
• Слова с числами в конце: ivanov1994, football2018, login1234
• Выдаваемые системой по умолчанию: guest, user, default
• Слова из английского и других словарей: sweet, «семья», myhouse.
• Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
• Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
• Известные цифровые комбинации: «112», «0911», «777» и т. д.
• Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

• Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
• Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
• Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

• Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
• На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
• В браузере (особенно это касается критически важных программ и сервисов).

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

В этом случае:

• Надежно защитите электронный ящик для восстановления.
• Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

• • Смена пароля автоматически увеличивает время на его взлом.
  • Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.

Серьезные ошибки

Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.

Короткие пароли

При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.

Вместо того чтобы ломать голову над сложным паролем (который потом можно забыть), лучше взять простой и длинный и добавить туда, к примеру, несколько букв или цифр. Вместо T@MQ36n^iL использовать bREsTeMPosParDATIckl.

Очень сложные пароли

Сложность определяется двумя факторами:

• • Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
  • Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.

Очень сложные пароли (оцените пример – mrCmTF%Lz^Y*k#o@prjL2O) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке. Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

Неграмотное использование спецсимволов

Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333. Пример равномерного распределения знаков по паролю – kIs$t0cHk@.

Игнорирование альтернативных средств защиты

Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

Недочеты и рекомендации

Знание первых и следование вторым приведет к грамотному использованию паролей.

Часто сменяемые пароли

Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

Адекватное отношение к смене паролей

Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

Использование автоматической генерации паролей

Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.

При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.

Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали. Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.