Так вы думаете, что ваши интернет-пароли надежны?
Пол Хаскелл-Доуленд, Автор условии

Пароли использовались на протяжении тысяч лет как средство идентификации для других, а в последнее время и для компьютеров. Это простая концепция - общая информация, которая хранится в секрете между людьми и используется для «подтверждения» личности.

Пароли в ИТ-контексте возник в 1960-х мэйнфрейма компьютеры - большие централизованно управляемые компьютеры с удаленными «терминалами» для доступа пользователей. Теперь они используются для всего, от PIN-кода, который мы вводим в банкомате, до входа в систему на наших компьютерах и на различных веб-сайтах.

Но зачем нам «доказывать» свою личность системам, к которым мы получаем доступ? И почему так сложно правильно подобрать пароли?

Что делает хороший пароль?

До относительно недавнего времени хорошим паролем могло быть слово или фраза длиной от шести до восьми символов. Но теперь у нас есть рекомендации по минимальной длине. Это из-за «энтропии».

Когда речь идет о паролях, энтропия - это мера предсказуемости. Математика, лежащая в основе этого, несложная, но давайте рассмотрим ее с помощью еще более простой меры: количество возможных паролей, иногда называемое «пространством паролей».

графика подписки внутри себя

Если односимвольный пароль содержит только одну строчную букву, существует только 26 возможных паролей (от «a» до «z»). Включая прописные буквы, мы увеличиваем пространство для пароля до 52 возможных паролей.

Пространство пароля продолжает расширяться по мере увеличения длины и добавления других типов символов.

Увеличение длины или сложности пароля значительно увеличивает потенциальное «пространство для пароля». Больше места для пароля означает более надежный пароль.

Увеличение длины или сложности пароля значительно увеличивает потенциальное «пространство для пароля». (так что вы думаете, что ваши интернет-пароли надежны)

Глядя на приведенные выше цифры, легко понять, почему нам рекомендуется использовать длинные пароли с прописными и строчными буквами, цифрами и символами. Чем сложнее пароль, тем больше попыток нужно его угадать.

Однако проблема зависимости от сложности пароля заключается в том, что компьютеры очень эффективны при повторении задач, включая угадывание паролей.

В прошлом году рекорд был установлен для компьютера, пытающегося сгенерировать всевозможные пароли. Он достиг скорости, превышающей 100,000,000,000 предположений в секунду.

Используя эту вычислительную мощность, киберпреступники могут взламывать системы, забрасывая их как можно большим количеством комбинаций паролей в процессе, называемом атаки грубой силы.

А с облачными технологиями угадать пароль из восьми символов можно всего за 12 минут и стоит всего 25 долларов США.

Кроме того, поскольку пароли почти всегда используются для доступа к конфиденциальным данным или важным системам, это побуждает киберпреступников активно их искать. Он также стимулирует прибыльный онлайн-рынок продажи паролей, некоторые из которых имеют адреса электронной почты и / или имена пользователей.

Вы можете купить почти 600 миллионов паролей в Интернете всего за 14 австралийских долларов!

Как пароли хранятся на сайтах?

Пароли веб-сайтов обычно хранятся в защищенном виде с использованием математического алгоритма, называемого Хеширования. Хешированный пароль невозможно распознать, и его нельзя снова превратить в пароль (необратимый процесс).

Когда вы пытаетесь войти в систему, вводимый вами пароль хешируется с использованием того же процесса и сравнивается с версией, хранящейся на сайте. Этот процесс повторяется каждый раз при входе в систему.

Например, паролю «Pa $$ w0rd» присваивается значение «02726d40f378e716981c4321d60ba3a325ed6a4c» при вычислении с использованием алгоритма хеширования SHA1. Попытайся себя.

Когда вы сталкиваетесь с файлом, полным хешированных паролей, можно использовать атаку методом перебора, пробуя каждую комбинацию символов для диапазона длин паролей. Это стало настолько распространенной практикой, что есть веб-сайты, на которых перечислены общие пароли вместе с их (вычисленным) хешированным значением. Вы можете просто найти хэш, чтобы узнать соответствующий пароль.

Кража и продажа списков паролей сейчас настолько распространены, что специальный веб-сайт - haveibeenpwned.com - доступен, чтобы помочь пользователям проверить, находятся ли их учетные записи «в дикой природе». Это число выросло и теперь включает более 10 миллиардов учетных записей.

Если ваш адрес электронной почты указан на этом сайте, вам обязательно следует изменить обнаруженный пароль, а также на любых других сайтах, для которых вы используете те же учетные данные.

Более сложное решение?

Вы можете подумать, что с таким большим количеством взломов паролей, происходящих ежедневно, мы бы улучшили нашу практику выбора паролей. К сожалению, прошлогодний ежегодный Обзор паролей SplashData за пять лет мало изменилось.

Ежегодный опрос паролей SplashData 2019 года выявил самые распространенные пароли с 2015 по 2019 год.Ежегодный опрос паролей SplashData 2019 года выявил самые распространенные пароли с 2015 по 2019 год.

По мере увеличения вычислительных возможностей решение будет становиться все более сложным. Но, как люди, мы не умеем запоминать очень сложные пароли (и не имеем мотивации).

Мы также прошли момент, когда мы используем только две или три системы, требующие пароля. Сейчас обычным явлением является доступ к многочисленным сайтам, для каждого из которых требуется пароль (часто разной длины и сложности). Недавний опрос показывает, что в среднем 70-80 паролей на человека.

Хорошая новость в том, что есть инструменты для решения этих проблем. Большинство компьютеров теперь поддерживают хранение паролей либо в операционной системе, либо в веб-браузере, обычно с возможностью обмена сохраненной информацией на нескольких устройствах.

Примеры включают Apple ICloud брелок и возможность сохранять пароли в Internet Explorer, Chrome и Firefox (хотя менее надежный).

Менеджеры паролей такие как KeePassXC, могут помочь пользователям генерировать длинные сложные пароли и хранить их в безопасном месте, когда они понадобятся.

Хотя это место по-прежнему необходимо защищать (обычно с помощью длинного «главного пароля»), использование диспетчера паролей позволяет иметь уникальный сложный пароль для каждого посещаемого веб-сайта.

Это не предотвратит кражу пароля с уязвимого веб-сайта. Но если он будет украден, вам не придется беспокоиться об изменении одного и того же пароля на всех других сайтах.

В этих решениях, конечно, тоже есть уязвимости, но, возможно, это отдельная история.

Об авторах

Пол Хаскелл-Доуланд, заместитель декана (вычислительная техника и безопасность), Университет Эдит Коуэн и Брианна О'Ши, лектор по вопросам этического взлома и защиты, Университет Эдит Коуэн

Эта статья переиздана из Беседа под лицензией Creative Commons. Прочтите оригинал статьи.