Долгая и мучительная смерть пароля

У вас есть секрет. Его раскрытие может разрушить все. Впрочем, вы не особо бережно его храните. Это просто строка символов: шесть, если вы небрежны, или шестнадцать — если осторожны. И она может вас предать. 

Ваш адрес электронной почты. Ваш банковский счет. Номер кредитной карты. Фотографии близких людей или «голые селфи». Точное местоположение: где вы сидите сейчас, когда читаете эти слова. Испокон веков мы были уверены в том, что пароль, достаточно сложный (не qwerty и 12345), является адекватным средством защиты. Что он оберегает все эти драгоценные данные. Но так было на заре интернета, а не сейчас. Защита паролем еще два года назад стала заблуждением, больной фантазией. Те, кто утверждает обратное, либо живут в танке, либо намереваются вас одурачить.
 

Независимо от того, насколько ваш пароль сложный

и уникальный, он больше не может защитить вас

 

Только посмотрите вокруг. Тема с утечками фотографий знаменитостей как будто бы закрылась, но неужели вас ничего не насторожило в этом явлении? Или в «сливе паролей» от почтовых ящиков? Это не случайные совпадения: отныне это будет происходить регулярно. Наши данные в интернете подобны гирлянде: люди ленятся придумывать слишком много сущностей. У большинства есть парочка постоянных ников, которые дублируются в адресах электронной почты (в особо запущенных случаях, и в паролях). Это рычаг для взлома, настоящий подарок хакерам. 


Все, что должен сделать взломщик, это использовать личную информацию, которая находится в открытом доступе на одном сервисе, чтобы получить доступ к другому сервису. Если бы вы посвятили хотя бы несколько часов исследованию мира онлайн-безопасности, то сделали бы ужасающие открытия. Наши цифровые жизни слишком легко взломать. Опция «забыли пароль?», проверочные вопросы (ваше любимое блюдо, девичья фамилия матери), нелегальное «восстановление потерянной сим-карты», где не смотрят на паспорт... 

Представьте, что некоему супостату удалось проникнуть в вашу электронную почту. Первое, что он делает — ищет слово «банк», чтобы выяснить, где вы проводите операции онлайн-банкинга, и взламывает следующий аккаунт. Две минуты и $4 на услуги одного иностранного сайта, и у хакера — номер кредитки, телефон, номера социального страхования и домашний адрес. Дыры, дыры, везде дыры. 

Пароль — это самое слабое звено этой системы. Это артефакт, оставшийся от того времени, когда наши компьютеры не были такими гипер-связанными. Сегодня никакой длинный или вовсе случайный набор символов не может остановить по-настоящему решительного и коварного человека от взлома вашей учетной записи. Эпоха паролей подошла к своему логическому завершению, мы просто этого еще не поняли. 


Пароли стары, как цивилизации. И с тех пор, как они появились, находятся люди, которые могут их взломать. В 413 году до нашей эры, в разгар Пелопоннесской войны, афинский полководец Демосфен высадился в Сицилии с пятью тысячами солдат, чтобы помочь в нападении на Сиракузы. Сиракузы, ключевой союзник Спарты, были обречены. Но во время хаотического ночного боя силы Демосфена были разбросаны.

При попытке перестроиться они стали использовать «ключевое слово», пароль, который должен был идентифицировать солдата, который его называет, как дружественного. Сиракузцы перехватили этот пароль, что позволило им усыпить подозрения и выдать себя за союзников. С помощью этой уловки сиракузцы уничтожили захватчиков и, когда взошло солнце, их конница сделала все остальное. Это был поворотный момент в войне.  

Зачем нужны были пароли в первых компьютерах, тех, которые МIT разрабатывали в 1961 году? Чтобы ограничить время, которое один пользователь может провести за компьютером. Логин использовался, чтобы нормировать доступ. Но эта система продержалась только до 1962 года, когда аспирант по имени Аллан Шерр, вожделея работать больше, чем положенные четыре часа, не распечатал файл, содержащий все пароли. После этого он получил столько времени, сколько хотел. 


В годы развития интернета, когда все постепенно переходило в онлайн-режим, пароли работали неплохо. Это было связано с тем, как мало данных они на самом деле защищали. Жалкую горстку приложений. Почти никакая личная информация не хранилась в облаке — тогда это были не облака, а легкие испарения с лесного озера утром — поэтому хакерам было невыгодно взламывать счета отдельных личностей: серьезные ребята охотились на большие корпорации. 

Таким образом, мы быстро погрузились в самодовольный сон. 
 

Адрес электронной почты превратился

в универсальный вход. Это услужливый паж,

который бежит впереди и открывает все двери 
 

Эта практика сохранилась даже после того, как стало понятно, что количество аккаунтов растет в геометрической прогрессии. Почта была и дверью в новый мир облачных приложений. Мы начали пользоваться облаком по полной: управлять своими финансами, прятать там личные фотографии, документы, секретные данные.

Когда эпические взломы стали случаться с другими чаще, мы начали опираться на любопытный психологический костыль: понятие «сильного пароля». Это компромисс, который веб-компании придумали, чтобы люди доверили им свои данные. Сильный пароль — жалкий пластырь, который давно смыло рекой крови. 


 

Хакер в действии. Миниатюра, основанная на реальном диалоге со службой поддержки Apple.
Цель хакера: сбросить пароль и захватить аккаунт другого человека. 


Apple: Можете ли вы ответит на контрольный вопрос? Имя вашего лучшего друга?
Хакер: Я думаю, что это «Кевин», или «Остин», или «Макс».
Apple: Ни один из этих ответов не подходит. Может, ответ включал фамилию вместе с именем?
Хакер: Может, но я так не думаю. Я же дал вам последние 4 цифры карты, разве этого недостаточно?
Apple: Последние четыре цифры неверны. Может, у вас есть другая карта?
Хакер: Можете ли вы проверить еще раз? Я смотрю на мою «Визу» прямо сейчас, здесь последние четыре цифры — «5555». 


Apple: Да, мы проверили еще раз. Нет соответствия. 
Хакер: Да, но мою электронную почту взломали. Я думаю, что хакер изменил номер кредитной карты. С моими остальными аккаунтами случилось то же самое. 
Apple: Попробуйте назвать имя и фамилию вашего лучшего друга еще раз. 
Хакер: Скоро вернусь. Курица горит, извините. Одна секунда.
Apple: ОК.


Хакер: Вот, я вернулся. Я думаю, что ответ — «Крис». Это хороший друг. 
Apple: Мы сожалеем, но ответ неверный. 
Хакер: Кристофер Агунович, это полное имя. Другой вариант — Рэймонд МакГрегор. 
Apple: Ни то, ни другое не подходит. 
Хакер: Я просто пытаюсь вспомнить старых друзей, которых бы я мог назвать, ха-ха. Брайан Сальваторе. Пэн Шмидт, Стивен Маккензи?


Apple: Как насчет этого: назовите нам имя одной из ваших пользовательских почтовых папок.
Хакер: «Google», «Gmail», «Apple», я думаю. Я программист в Google. 
Apple: ОК, «Apple» — это правильный ответ. Назовите адрес своей альтернативной электронной почты, чтобы мы отправили новый пароль.
Хакер: Можете ли вы отправить его на «toe@aol.com»?
Apple: Сообщение было отправлено. 
Хакер: Спасибо!


Любая система безопасности должна идти на компромиссы, чтобы функционировать в реальном мире. Во-первых, это вопрос удобства: самая безопасная на свете система не является разумной, если она причиняет всем боль и дискомфорт. Требовать от вас, чтобы вы запоминали и вводили пароль из 256 символов, неразумно: это поможет сохранить ваши данные, но у вас будет не больше шансов попасть к себе в почту, чем у кого-либо еще. Повысить уровень безопасности легко, если пользователи согласятся на страдания. Но это не дело. 

Во-вторых, это вопрос конфиденциальности. Если система должна хранить ваши данные в тайне, то она сама не должна вмешиваться в вашу частную жизнь. Представьте себе чудо-сейф для вашей спальни, который не требует ключа или пароля. Все дело в том, что охранники 24/7 находятся в этой комнате, и отпирают сейф только тогда, когда видят, что это вы. Звучит не очень-то, правда?


Мы можем получить безопасность, отказавшись

от частной жизни, но никто не пойдет на это

 

В течение многих десятилетий, веб-компании избегали этих двух компромиссов. Они просто хотели, чтобы люди пользовались их услугами, хотели казаться приватными и в то же время очень простыми. Вот они и предложили всем полагаться на концепт пароля. Сделайте его достаточно длинным, используйте цифры, смену регистра, поставьте в рандомном месте восклицательный знак, и все будет в порядке. 


Но вот уже много лет не «все в порядке». Алгоритмы развиваются, наши ноутбуки имеют больше вычислительной мощности, чем рабочие станции высшего класса декаду назад. Можно взломать длинный пароль с помощью этой грубой силы — это всего несколько миллионов дополнительных циклов. Это не считая новых методов взлома, которые просто воруют наши пароли или вовсе обходят их — здесь не спасет ни длина, ни сложность.

Число случаев утечки данных в США увеличилось на 67% еще в 2011 году, и каждый крупный взлом обходился чрезвычайно дорого. Например, после того, как была взломана база данных учетных записей PlayStation от Sony, компании пришлось выложить $171 млн., чтобы восстановить сеть и защитить пользователей. 


Почему пароли так ненадежны?

Потому что их можно угадать, взломать 

грубой вычислительной силой,

украсть с помощью кейлоггера или сбросить,

используя службу поддержки компаний


 

Начнем с простейшего варианта: угадывание. Небрежность, как оказалось, это самый большой риск для безопасности. Несмотря на годы и годы нравоучений, люди все еще используют паршивые, предсказуемые пароли. Когда консультант по безопасности Марк Бернетт составил список из 10 000 самых распространенных паролей на основе легко доступных источников (пароли сбрасывают в сеть хакеры, кроме того, есть еще поиск Google), то обнаружил, что пароль номер один — это, конечно, password. Потом 123456. Число пи тоже любят почти все. 


 

Существует куча программ, которые используют эти популярные пароли, чтобы проверить всю базу на одном желанном ящике. Даже идиот может сделать это. Все, что нужно для «угадывания» простого пароля — подключение к интернету. Но по-настоящему шокирует вовсе не тот факт, что люди до сих пор используют такие ужасные пароли. А халатность компаний, которые продолжают им это разрешать. Списки одни и те же — уже давно можно было использовать их в своей регистрационной системе, чтобы убедиться: никто не сможет по доброй воле их выбрать. 

Другая наша ошибка — использование одного пароля «на все случаи жизни» (или хотя бы несколько раз). Когда происходили массовые сливы зашифрованных, но легко взламываемых паролей из разных сервисов, то выяснялось, что 49% людей использовали пароли повторно. 
 

Хакеров, которые сливают пароли в сеть,

можно условно назвать хорошими ребятами.

Плохие парни воруют пароли и спокойно

продают их на черном рынке

 

Ваш пароль уже может быть скомпрометирован, но вы этого не узнаете, пока один ваш аккаунт или другой (раз вы использовали одну комбинацию несколько раз) не будет уничтожен. 


Хакеры также получают наши пароли обманом. Наиболее известен метод фишинга: это когда имитируют знакомый сайт и просят пользователя ввести свои данные для входа. Не нужно взламывать пароль, если вы можете убедить его владельца расстаться с ним по доброй воле, не так ли? Несмотря на то, что защититься от фишинга чаще всего просто — нужно лишь посмотреть на адресную строку — на эту удочку попадаются многие люди.

Хакер может не действовать сразу, а подождать. Посмотреть, как вы ведете деловую переписку, взять на вооружение ваш стиль, фирменные словечки, приветствия — весь комплект «электронных манер». И только потом действовать от вашего имени (отправляя нежелательные письма или банковские переводы), так, что вы узнаете обо всем, когда будет слишком поздно. 

Еще более зловещим методом кражи паролей является использование вредоносного программного обеспечения: скрытые мерзавцы зарываются в ваш компьютер и тайно отправляют данные другим людям. Программы вроде кейлоггера наблюдают за тем, что вы печатаете. Стоит вам ввести пароль от банковского счета в интернете, они отправят пароль прямо в лапы хакеру. 

Основная категория риска — владельцы малого бизнеса. У них, как правило, больше денег, чем у физических лиц, но меньше защиты, чем у крупных корпораций. 


Как же выжить в такой недружелюбной обстановке? Пока мы еще не выяснили, какой должна быть лучшая система для защиты наших данных. Но отказ от интернета тоже не вариант, не в лесу ведь теперь жить. Для начала, перечислим четыре основные ошибки. Если вы будете избегать некоторых действий, то сделаете взлом вашего аккаунта более трудным (но не невозможным в принципе, будьте реалистичны). 
 

Не используйте один и тот же пароль несколько раз

 

Увы, во имя собственной безопасности вам придется выдумывать новую комбинацию для каждого сервиса, где вы решили зарегистрироваться. Если вы пренебрегаете этим правилом, хакер, который взломает любую из ваших учетных записей, получит во владение и все остальные. 
 

Не используйте словарное слово в качестве пароля



Если по каким-то причинам это необходимо, то хотя бы слепите несколько слов вместе в кодовую фразу.
 

Не используйте стандартные замены

 

Как вы думаете,  «P455w0rd» — это хороший пароль? N0p3! Все эти трюки уже давно встроены в системы взломщиков. 
 

Не используйте короткий пароль, каким бы странным он ни был

 

Скорость обработки данных по сегодняшним меркам означает, что даже такие пароли, как «h6!R$q» взломать не так уж долго. Ваша лучшая защита — это самый длинный пароль из всех возможных. 


Это то, чего следует избегать. В то же время есть вещи, которые вы можете сделать, чтобы защитить себя. Например, включить двухфакторную аутентификацию, если это это возможно. Когда вы будете заходить в систему из странного места, то получите текстовое сообщение на телефон (чаще всего) или другой ящик с кодом подтверждения. Да, это тоже можно взломать, но это лучше, чем ничего. 

Давайте фиктивные ответы на «контрольные вопросы». Думайте о них как о еще одном пароле, только запишите где-нибудь в аналоговом варианте, а то забудете. Ваш первый автомобиль? «Оазис Осирис ван Бетховен странные правила». Постарайтесь не регистрироваться на сомнительных платформах. Переставая пользоваться тем или иным сервисом, убедитесь, что стерли оттуда максимум личной информации. 

Используйте уникальный, безопасный адрес электронной почты, куда нужно присылать «новые пароли». Если хакер знает о существовании этого мэйла, то этот адрес тоже подвергнется атаке. Вам нужна специальная учетная запись для таких дел: не используйте ее для общения, нигде не светите, адрес не должен быть составлен из вашего имени, фамилии или ников. Вам нужно что-то типа «kutirhvofpao209@ya.ru». 


Если бы наши проблемы с паролями заканчивались на этом, то, вероятно, систему можно было бы спасти. Запретили бы тупые пароли, препятствовали их повторному употреблению. Учили всех компьютерной грамотности и как избегать попыток фишинга. Использовали бы хорошие антивирусы, чтобы искоренить вредоносное ПО. Но самое слабое место здесь — это человеческая память. Пароли должны быть трудными, чтобы их не угадывали и не взламывали. Но тогда вы его забываете, особенно если «понадеялись на память» и не записали. Или даже перестраховались, но потеряли тот носитель, куда записали. 

Из-за этого все системы, основанные на требовании пароля, нуждаются в механизмах его сброса. Пока мы не можем найти компромисс между безопасностью, неприкосновенностью частной жизни и удобством. Мы ждем новых биометрических систем, но кто знает, сколько времени еще должно пройти. 

 

Источник: Wired.com


Метки

ЧтениеСтатьибезопасностьинтернетпароль

9652