Для «простых» пользователей вопросы надежности замкόв личных кибер-зáмков важны еще и потому, что ответственность за информационную безопасность на этом уровне ложится на них, а не на дизайнеров или администраторов системы.
И вот тут-то оказывается, что многие запирают ворота, что называется, «на гвоздик», в лучшем случае, на щеколду. Пользователи упрямо любят простые пароли, но не все понимают, что простота в этом деле хуже воровства. Пароль типа 12345… взломщики пробуют первым и на удивление часто добиваются успеха.
Поэтому советы пользователям, которые раздают специалисты по компьютерной безопасности: избегать слишком простых паролей и выполнять достаточно простые правила по их возможному усложнению.
Но в самом ли деле это полезные советы? И правильны ли они? И, наконец, тем ли людям они адресуются?
Чтобы ответить на эти вопросы, следует понять разницу между атаками на пароль, которые могут происходить онлайн, и оффлайн-атаками.
Онлайн-атаку производит сторонний злоумышленник, который пытается войти на сайт через стандартную страницу входа. Этот злоумышленник пытается угадать комбинацию имени пользователя и пароля. Для этого часто используются специальные программы, которые могут работать круглосуточно и не просто тупо перебирать пароли, а выбирать их, пользуясь специально составленными базами данных наиболее часто используемых паролей. Вышеуказанный пароль 12345… — один из первых в этих базах данных.
Но у онлайн-атак есть вполне понятные ограничения. Во-первых, злоумышленника-взломщика паролей легко выявить. Он слишком часто вводит пару имя пользователя + пароль. 60 раз в минуту — следует обратить внимание на этого «работягу»! А еще лучше — сразу заблокировать интернет-адрес, с которого он пытается войти в систему. Обычно такая блокировка происходит после третьей неудачной попытки входа в систему.
Такая блокировка тем более оправданна, что серия посылаемых на сайт комбинаций повышает уровень трафика на входе сайта в тысячу, а то и в десятки тысяч раз. Чем не атака, направленная на ухудшение работы сайта? Такие атаки еще называются DDOS-атаками. Системы защиты информации на сайтах стараются бороться с такими «диверсантами» именно с помощью блокировки входных адресов «активистов».
Кроме того, каждая проба пароля в попытке взломать систему увеличивает глобальные затраты взломщика на вскрытие сайта. В какой-то момент эти затраты станут выше той выгоды, которую злоумышленник желает получить от проникновения в систему. После этого смысл атаки пропадает.
Специалисты считают, что злоумышленнику коммерчески нет выгоды взламывать обычный сайт после миллиона проб. По их мнению, алгоритм создания паролей должен обеспечивать стойкость пароля к такому количеству попыток подбора.
Оказывается, что случайно сгенерированный пароль, состоящий всего из пяти символов, цифр или латинских больших и малых букв, является надежным паролем, вполне устойчивым к атаке, производимой посредством перебора. А если символов больше, стойкость пароля растет экспоненциально в зависимости от числа символов.
Кроме того, блокировка попыток входа на сайт всего-навсего на 1 час драматически повышает время, необходимое для взлома сайта: вместо 4 месяцев для взлома понадобится 8 тысяч месяцев!
Кстати, теперь «простому пользователю» становится понятно, почему администраторы просят его менять пароли хотя бы раз в полгода. Если этого не делать, у злоумышленников повышается шанс после нескольких месяцев работы все-таки взломать сайт.
Оффлайн-атака предполагает предварительную кражу или покупку базы данных паролей веб-сайта, который хотят взломать.
Организация оффлайн-атаки намного сложнее. Злоумышленник, для того чтобы получить в свое распоряжение актуальную копию базы данных паролей, должен применить методы, которые очень обтекаемо называются «социальной инженерией». Эти красивые слова скрывают элементарный подкуп системных администраторов или угрозу насилия по отношению к ним. Но «социально инженерить» следует очень аккуратно, чтобы результат давления на системных администраторов остался незамеченным как можно дольше.
Кроме того, оффлайн-атака должна происходить гораздо быстрее, чем атака онлайн. Времени у злоумышленника немного — до того момента, пока большинство пользователей не поменяли свои пароли или же администраторы сайта сами не сбросят все пароли.
Как известно, в системной базе данных хранятся не сами пароли, а результаты применения к ним специальной функции, которая называется «хэш-функцией». Хэш-функция обладает одним интересным свойством — односторонностью.
Если известен пароль, хэш-функция вычисляется просто и быстро. Однако обратное действие невозможно, по значению хэш-функции определить пароль невозможно. Более того, невозможно даже подобрать пароль, сравнив две хэш-функции, им соответствующие. Изменение всего лишь одного символа приводит к абсолютно другому значению хэш-функции.
Алгоритм хэширования обычно не является секретом, но разгадке это не помогает. Поэтому оффлайн-атака на системные пароли проводится тем же самым подбором. Генерируется возможный пароль, вычисляется хэш-функция и сравнивается со значением, которое хранится в системной базе данных. И так происходит до тех пор, пока значения хранимой и вычисленной хэш-функций не совпадут. Объем работы тот же, однако теперь злоумышленник может применить более производительные компьютеры, и, возможно, взлом будет успешным.
Для того чтобы выдержать оффлайн-атаку, как говорят специалисты, пароль следует усложнить так, чтобы он выдержал около 100 триллионов атак! В переводе на обычный язык это означает, что пользователю следует пользоваться случайными и длинными паролями, которые вряд ли есть возможность запомнить.
Что же делать пользователю для сохранения собственной информационной безопасности?
Во-первых, следовать правилу: никаких простых паролей. Для облегчения запоминания, конечно, можно использовать слова, но это должны быть слова абсолютно неожиданные для посторонних. Классика здесь будет нам примером.
— Послушайте, — сказал вдруг великий комбинатор, — как вас звали в детстве?
— А зачем вам?
— Да так! Не знаю; как вас называть. Воробьяниновым звать вас надоело, а Ипполитом Матвеевичем слишком кисло. Как же вас звали? Ипа?
— Киса, — ответил Ипполит Матвеевич, усмехаясь.
— Конгениально!
И. Ильф. Е. Петров. «12 стульев».
Другая возможность — использовать слова другого языка. Очень хорошо, если язык этот не слишком распространен в тех краях, где придется пароль применять. В Сан-Франциско или в Осло пароль типа «KilManda2019» разгадать труднее, чем в Москве. А вот в Казани это может быть гораздо легче. Татарское слово «киль манда» там знают не только татары, но и многие русскоязычные.
И, кстати, второе правило тоже следует блюсти: перемешивать прописные и строчные буквы.
Третье правило: регулярно менять пароль. Теперь, после прочтения того, как могут взламывать пользовательские пароли, понятно, для чего это следует делать. Лучше всего менять пароль раз в квартал или хотя бы раз в полгода.
Наконец, четвертое правило: следует разделить пароли на очень важные и менее важные.
Для чего это нужно? Менее важные пароли можно генерировать по какому-либо правилу, позволяющему облегчить запоминание.
Например, составлять пароль из двух слов. Первое слово пусть будет названием столицы какой-нибудь страны. Конечно, латиницей, и конечно, подлиннее. Скажем, KualaLumpur. А второе слово пусть будет цифрой, равной количеству букв в первом слове. Например, для упомянутой столицы Малайзии это будет 11. Итого: KualaLumpur11.
А вот пароли, которыми приходится особенно дорожить, должны быть длинными и абсолютно случайными. Лучше всего их генерировать онлайн или с помощью специальных программ. Очень важные пароли обычно связаны с различными денежными делами: например, пароли к банковским счетам или же — еще важнее — к кошелькам с криптовалютой.
Пароль, состоящий из 32 случайных алфавитно-цифровых символов — HtwpJzt3qlSfOQbkZLVgdrN5DJTJdaJ9 — разгадать практически невозможно.
Беда в том, что и запомнить его, и воспроизвести без ошибки или опечатки весьма сложно. Но это проблема разрешаемая. Существуют специальные программы для хранения паролей, которые называются «Password manager», менеджеры паролей. Эти программы освобождают память пользователей и устраняют многие сложности.
Однако в этом случае один пароль все же запомнить придется. Этот пароль менеджер будет запрашивать всякий раз, начиная работу. И он, конечно, не должен быть простым.
Александр Котов, подозреваю, что информации о заболеваниях, которыми страдали в Средневековье крайне мало еще и потому, что к медикам...