Тема надежности паролей гарантированно вызовет зевоту у слушателей, заставив их «отключиться» и игнорировать вас, но реальность такова, что пароли по-прежнему имеют значение. Электронная почта, социальные СМИ, интернет-банки и игры, образовательные приложения и облачные сервисы – для любых систем, хранящих пользовательские данные, требуются пароли, чтобы защитить их от посторонних. И если не заботиться о надежности паролей, злоумышленники продолжат взламывать аккаунты и грабить банковские счета.
Основы известны всем: не используйте слова вроде password и не применяйте один и тот же пароль с разными аккаунтами. Включите двухфакторную аутентификацию по мере возможности; одноразовые пароли, присылаемые в SMS, – это в любом случае лучше, чем ничего. Пользуйтесь диспетчерами паролей, чтобы держать их в одном месте. Но хотя все эти рекомендации, безусловно, разумны, по-настоящему действенны они лишь в определенном контексте. Перечислим ряд популярных мифов о паролях и развеем их.
Миф № 1. Для надежности достаточно варьировать регистр букв и добавлять числа и специальные символы
Правда: уровень безопасности, обеспечиваемый сложными паролями, ограничен. Да, letmein – неудачный пароль, но Password1, Abc123 и Passw0rd – ничем не лучше, несмотря на смешанный регистр и цифры. Пользоваться паролями на основе простого слова в любом случае неудачная идея: взломщики паролей умеют перебирать разные варианты написания слов и словосочетаний, вроде vuln3rabl3 и trustno1. Можно упомянуть хотя бы тот факт, что последний из этих вариантов попал в список 25 самых распространенных паролей SplashData в 2014 году.
Справедливости ради отметим, что смешанный регистр, числа и спецсимволы значительно усиливают пароль по сравнению с написанным целиком в нижнем регистре. По приблизительной оценке, современному компьютеру нужно около двух суток на то, чтобы взломать пароль из восьми символов в нижнем регистре (поскольку возможных сочетаний 26^8 – 208 827 064 576), тогда как обширному ботнету на это достаточно всего 1,8 сек. Смешанный регистр замедляет перебор, а один-два спецсимвола сильно увеличивают количество сочетаний.
Но, если используемая в качестве пароля строка не представляет собой действительно случайную последовательность символов, не помогут ни смешанный регистр, ни числа со спецсимволами: в список 25 самых распространенных паролей SplashData за 2015 и 2016 годы попали соответственно 1qaz2wsx и 1q2w3e4r. То есть налицо попытка следовать правилам, но, если при этом нажимать клавиши, расположенные рядом, или использовать другие простые последовательности, эффективность метода сводится на нет. Взломщики паролей знают о том, как расположены клавиши на клавиатуре, и обязательно попробуют соответствующие варианты.
Миф № 2. Хороший пароль должен быть очень длинным
Правда: более длинные пароли, конечно, надежнее, но от 8 до 12 символов – вполне достаточно. Короткие пароли, действительно, взламываются «лобовым» методом – перебором – гораздо быстрее. Злоумышленнику намного проще угадать пароль из 6 символов, чем пароль из 10 или даже 8 символов. На современном компьютере 8-символьный пароль с буквами разного регистра и числами взламывается за 5,88 года, а на мощном ботнете – за 31 минуту. А вот если увеличить длину пароля всего на 2 символа, то такому ботнету уже понадобится 83 дня. А 10-символьный пароль с буквами, числами и специальными символами, что-нибудь вроде вроде %ZBGbv]8g?, компьютер будет взламывать 289 217 лет, а ботнет – 3 года.
Можно даже не добавлять символы и цифры: на взлом пароля длиной 40 знаков смешанного регистра уйдет больше 1000 лет. Так что же, выходит, все-таки лучше во что бы то ни стало делать пароль как можно длиннее?
Не спешите, нужно еще принять во внимание модель угрозы. Если больше всего беспокоит, что кто-то взломает базу и украдет хеши, то максимально длинные и сложные пароли – определенно лучший способ защиты (используемый метод хеширования тоже имеет значение, но сейчас речь не об этом). Но в компаниях обычно больше всего боятся вероятности многократного использования паролей и атак фишинга, а в этом отношении длина пароля не особенно важна. Если злоумышленник уже получил сам пароль с помощью фишинга, то неважно, сколько в нем символов – 8, 20 или 50. Копирование, вставка – и в вашем аккаунте чужак. А если от пользователей требуют вводить 20-символьные пароли, но при этом диспетчеры паролей не применяются, то пароли будут использовать многократно – это несомненно.
Важно также, что именно защищается. Если риск невелик – например, речь идет о компьютере в районной библиотеке, то 8-символьного пароля вполне достаточно. А если о сервисе, в котором хранится полная история ваших финансовых операций, то более длинный пароль – необходимость. Безопасность – это компромиссы: самые ценные аккаунты нужно защищать паролями, надежными, как Форт-Нокс. Не пользуйтесь одними и теми же паролями, не поддавайтесь на фишинг, и для многих аккаунтов 8-символьных паролей будет достаточно. Именно поэтому в последней версии рекомендаций Национального института стандартов и технологий указано, что 8 символов достаточно.
Есть еще и побочная проблема: пароли могут быть настолько длинными, что проще пользоваться функцией восстановления и сбрасывать пароль путем ответа на «секретный вопрос». А взломщику будет гораздо проще выяснить кличку вашего домашнего животного или название города, где вы выросли, чем угадать ваш пароль.
Миф № 3. Никогда не следует записывать пароли
Правда: все зависит от того, как вы это делаете. Кроме использования Password1 в качестве пароля, самый страшный «грех» – записывать свои пароли на бумажке. На самом деле это не всегда так уж ужасно. Главное, не наклеивать на монитор стикер с пометкой «мой новый пароль от онлайн-банка». Если вы записали новый длинный сложный пароль и неделю носите его в бумажнике, пока хорошенько не запомните, – это нормально, поясняют в компании Sophos. Более того, там даже советуют записывать самые важные пароли и хранить в сейфовой ячейке, чтобы в случае чего близкие смогли получить к ним доступ.
Миф № 4. Обязательная периодическая смена паролей повышает безопасность
Правда: таким образом только повышается вероятность того, что пользователи будут выбирать слабые пароли. Требование регулярной смены паролей было одним из главных элементов корпоративных политик безопасности буквально до недавнего времени. В некоторых организациях даже указывают минимальный «возраст» паролей, а чтобы пользователи не переходили сразу к предыдущему паролю, ведут историю паролей для предотвращения повторного использования и назначают минимально допустимое число символов нового пароля, чтобы он «достаточно отличался» от прежнего. Обязательная смена паролей имеет смысл, если существует опасность утечки паролей. Когда у организации есть подтверждение того, что пароли скомпрометированы, то принуждать к их смене, конечно же, нужно. Но менять пароли только потому, что прошло определенное число дней? Большого смысла в этом нет.
Согласно новым рекомендациям NIST, политики составления паролей нужно делать менее сложными, поскольку иначе пользователям труднее выполнять свои рабочие обязанности и повышаются расходы на обеспечение выполнения правил. Хотя смена паролей, казалось бы, хорошая идея, на самом деле пользователям так труднее запоминать очередной, и они начинают применять одни и те же пароли или легко угадываемые закономерности – например, Password1, Password12 и т. д.
– Fahmida Y. Rashid. Want stronger passwords? Understand these 4 common password security myths. CSO. October 3, 2017