Вам не приходилось тратить время на подозрительном сайте, который обещает раскрыть, например, ваше клингонское имя?  Некоторые служат прикрытием для сбора паролей. Они просят предоставить личные данные и предлагают придумать пароль. Мошенники знают: придуманный вами пароль, скорее всего, похож на те, которые вы используете для других целей, и могут продавать на черном рынке собранные пароли по 20 долларов за штуку.

Все пароли – это ключи к вашему дому. Замки бывают крепкими и не очень, но никакой замок не спасет, если карманник вытащил у вас ключ. Безопасность – всегда самое слабое звено.

Большинство тех, что ворует личные данные, не дают себе труда изобретать какие-то трюки. Они просто срывают низко висящий плод: пароли угадать легче всего. В одном из последних исследований было показано, что 1 процент паролей разгадывается за четыре попытки.

Как такое возможно? Очень просто. Попробуйте четыре самых распространенных пароля. Наш список состоит из следующих слов: пароль, 123456, 12345678 и йцукен . Это открывает 1 процент всех замков.

Хорошо, пускай вы относитесь к тем 99 процентам людей, которые не используют плохой пароль. Но вам все равно следует задуматься над скоростью работы современных хакерских программ. Бесплатная хакерская программа под названием John the Ripper способна проверить несколько миллионов паролей в секунду. По утверждению разработчиков, коммерческое программное обеспечение, предназначенное для использования в криминалистике (на конфискованных компьютерах распространителей детской порнографии и террористов), способно проверять 2,8 миллиарда паролей в секунду.

На первом этапе программа взлома анализирует обширный и постоянно пополняющийся список из нескольких тысяч популярных паролей, а затем приступает к поиску по словарю. Она пробует каждое слово, а также все распространенные имена, прозвища, клички домашних животных.

Большинство из нас, пристыженных и запуганных, добавляют в пароли цифры, знаки препинания и прописные буквы. Это называется декорированием. Теоретически декорирование существенно затрудняет взлом пароля. Но на практике не особенно. Почти у всех людей мышление идет по одной и той же накатанной колее. Когда сайт настаивает, что в пароле должны присутствовать цифры, пароль с пугающей регулярностью превращается в пароль1 или пароль123. Требование использовать прописные и строчные буквы вызывает к жизни Пароль или ПаРоЛь. Обязательные знаки препинания становятся причиной появления таких конструкций, как пароль! и п@роль. Такой надежный на первый взгляд пароль, как 4еловек_Паук1 на самом деле вовсе не так надежен. Все хитрят примерно одинаково. Есть основание опасаться, что правила декорирования пароля, предписываемые сайтами, подталкивают к выбору самых простых, легко угадываемых паролей. Декорирование может создать ложное ощущение безопасности.

Телесюжеты о безопасности паролей неизбежно включают интервью циничного эксперта, принижающего значение любого алгоритма создания надежных паролей. Многие профессионалы – приверженцы философии «запишите его». «Люди больше не в состоянии запомнить достаточно хорошие пароли, чтобы защититься от словарной атаки, и поэтому гораздо надежнее выбрать слишком сложный для запоминания пароль, а потом записать его, – советовал специалист по компьютерной безопасности Брюс Шнаейр в 2006 г., на заре цифровой эры. – Мы все хорошо умеем прятать маленькие листки бумаги. Я рекомендую записывать пароли на листочке и хранить его в кошельке вместе с другими такими же важными».

Однако даже с листком бумаги в руке набрать длинный и сложный для запоминания пароль не так-то просто. Поэкспериментируйте с виртуальной клавиатурой мобильного устройства. Разрыв между реальностью и представлениями специалистов иллюстрирует система, которой пользуется мой отец. Он пишет пароль на стикере, который приклеивает к монитору на письменном столе. В пароле нет ничего сложного – два слова без всяких цифр и причудливых значков. Реальные люди не только выбирают ненадежные пароли: они даже не удосуживаются их запомнить.

В странствиях по цифровому миру многие пытаются использовать одинаковые пароли для всех сайтов, не обращая внимания на риск. Однако некоторые сайты играют роль няньки, навязывая правила, касающиеся длины пароля и используемых символов. Пользователи вынуждены переделывать привычные пароли и затем, пытаясь войти на сайт, не могут вспомнить, как они это сделали.

Бо́льшая часть сведений о глупых паролях – результат взлома сайта RockYou.com, публикующего игры в Facebook; это произошло 4 декабря 2009 г. Хакер опубликовал 32 603 388 имен пользователей и незашифрованных паролей посетителей сайта. И до, и после были другие взломы, но масштаб этого создал ключевую базу данных как для «хороших», так и для «плохих» парней.

Самым популярным паролем RockYou был 123456. Его использовал 290 731 человек. Обнаружились существенные отличия в зависимости от пола и возраста. Для мужчин моложе 30 лет популярными источниками паролей были секс и непристойности: в верхней части списка располагались pussy, fuck, fucking, 696969, asshole, fucker, horny, hooters, bigdick, tits, boobs и другие подобные слова. Люди старшего поколения независимо от пола проявляли склонность к цитатам из поп-культуры. Пароль Epsilon793 был бы не так уж плох, если бы его не использовал капитан Пикар из сериала «Звездный путь: Следующее поколение» (Star Trek: The Next Generation). Часто встречающаяся комбинация из семи цифр, 8675309, оказалась телефонным номером из популярной песенки. Так называемые «восьмидесятники» хотят, чтобы пароли соответствовали их эпохе.

Нет ничего проще, чем создать надежный пароль. Используйте случайный набор символов. Эту операцию невозможно идеально осуществить в уме, но и не нужно. Многочисленные сайты и программные приложения снабдят вас случайными паролями, сгенерированными из атмосферных помех. Вот несколько примеров, которые я только что получил с random.org:

Проблема решена? Да, для фанатиков мнемотехники – или для тех, кто использует программу хранения паролей, использующую сканер отпечатка пальца. Всех остальных останавливает перспектива запоминать бессмысленный набор символов. Ситуацию усугубляет необходимость (как нам говорили) особого пароля для каждой учетной записи.

Большинство пользователей, в отличие от специалистов, озабочены удобством, а не безопасностью. И я не уверен, что в данном случае они ошибаются. У вас в доме есть специально оборудованное убежище? Скорее всего, нет, но те, у кого есть, скажут вам, что оно необходимо. Однако прежде чем бросаться устраивать убежище, возможно, стоит сначала убедиться, что вы всегда запираете входную дверь.

Реальные случаи взлома пароля можно разделить на три категории: они бывают случайными, массированной атакой и прицельными.

• Случайная угроза исходит от знакомых. У чрезмерно любопытного сотрудника или члена семьи может возникнуть желание войти в вашу учетную запись. Он попытается угадать пароль, основываясь на вашем близком знакомстве (не используя преимуществ программного обеспечения для взлома паролей). Любопытный человек может знать, что ваша футбольная команда в старших классах школы называлась Wildcats, и попробовать это слово. Но пароль wildCatz1 ему никогда не угадать.

• Массированная атака похожа на спам – ничего личного. Вор персональных данных не стремится войти именно в вашу учетную запись и ничего о вас не знает. Он пытается собрать список взломанных паролей, обычно для продажи. Похитители паролей используют специальные программы и начинают с попытки взлома самых незащищенных сайтов, допускающих множество попыток ввода пароля. Это может быть игровой сайт, где пароли не имеют финансовой ценности. Затем программа использует правильно угаданный пароль и его вариации для проникновения на защищенные учетные записи, например, банковские.

• Прицельная угроза предполагает частного или государственного детектива плюс программное обеспечение. Если информированный человек захочет войти в ваши учетные записи, и если на его стороне время и деньги (и законное право?), то он, скорее всего, добьется успеха. Единственная защитная мера – использовать достаточно длинный случайный пароль. В таком случае на взлом потребуется отрезок времени, превышающий среднюю продолжительность жизни.

Нельзя быть слишком уверенным, что вам не угрожает прицельная атака. Возможно, ваши конкуренты по бизнесу захотят украсть у вас ноутбук и израсходовать на его взлом необходимые ресурсы. Так же захотят поступить с богатым супругом при бракоразводном процессе. Хакеры могут испытывать неприязнь к определенным бизнесменам и политикам. Однажды был скомпрометирован сайт Twitter – из-за того, что администратор неблагоразумно выбрал пароль счастье. В 2009 г. хакер узнал пароль в результате словарной атаки и опубликовал его на сайте Digital Gangster, что привело к взломам лент Барака Обамы, Бритни Спирс, Facebook и Fox News.

Как и всё в жизни, пароли предполагают компромисс. Можно обеспечить одновременно максимальную безопасность и максимальное удобство пароля. Одна из лучших и весьма распространенных тактик – преобразовать в пароль фразу или предложение. Можно взять строчку из песни и составить пароль из первых букв слов. Например, May the force be with you превратится Mtfbwy.

Однако вы не станете обращаться к этой строчке, и именно в этом проблема. На память вам придет хорошо известная фраза из фильма, боевой девиз колледжа или слова из мультсериала «Южный парк». Сколько фраз из восьми слов вы знаете наизусть? И совершенно неочевидно, что наугад выбранную фразу угадать сложнее, чем случайное слово. Немногие дают себе труд декорировать полученный из фразы акроним. Он и так выглядит случайным!

Идеальный метод составления паролей должен быть эффективным, даже если его применяют все. Если система с использованием фраз станет популярной, то акронимы из всех заимствованных из поп-культуры крылатых выражений войдут в списки самых распространенных паролей, и программы для взлома обратятся к ним в первую очередь. Обычно акронимы состоят из букв, и по этой причине менее надежны, чем комбинации из любых символов такой же длины.

На некоторых недостатках стоит остановиться особо. Никогда не используйте «знаменитые цитаты». Одна из альтернатив – шутки, понятные только вам. Помните смешную фразу, которую официант сказал вашей подруге в мексиканском ресторане? Вы помните, она помнит – и, возможно, официант. И все. Если вы используете эту фразу для создания пароля, то велика вероятность, что больше ни один человек на планете ее не выберет.

Однако и в этом случае уникальность пароля не гарантирована. Разные фразы могут начинаться с одних и тех же букв, в результате чего получаются одинаковые акронимы. Одни буквы чаще встречаются в начале слов, другие реже, и хакерская программа может учитывать эту особенность.

Я обычно использую простые, глупые пароли. После взлома одной из моих учетных записей сайт снабдил меня временным паролем. Он представлял собой произвольный набор символов. Я хотел его сменить, но затем понял, что в этом нет необходимости. Я могу запомнить случайный пароль.

Наш мозг умеет находить закономерности в случайных данных. Именно так мы запоминаем телефонные номера или номер своей карточки социального страхования. Этот прием также работает с произвольными наборами символов, такими как РВМ8т4kа. Я только что получил этот пароль на сайте random.org. Хотя выбор символов в нем действительно случаен, глаз и мозг сразу же выявляют закономерности. В данном случае все три первые буквы оказались прописными, а остальные три строчными. А восемь – это удвоенное четыре.

Случайно созданный пароль легко преобразовать в бессмысленную фразу. РВМ8т4kа может превратиться в «революций в минуту, 8 тележек для Кати». Я не знаю, что бы это могло значить, но запомнить довольно просто.

Пароль, фраза, мнемокод – какая разница? Пароль со случайным набором символов считается «золотым стандартом» безопасности. Он лучше любого, какой только может придумать человек. И надежность его нисколько не уменьшается оттого, что указанной схемой пользуется весь мир.

При современном уровне техники достаточно длинный пароль из случайно выбранных символов разгадать практически невозможно. Он никогда не появится в списке популярных паролей. Массовая атака позволит взломать случайный пароль только методом прямого перебора. Если использовать прописные и строчные буквы латинского алфавита, а также цифры, то всего получится 62 символа (я не считаю знаки препинания, поскольку не все сайты допускают их применение). Это значит, что нужно сделать 628 попыток, чтобы угадать слово из восьми символов. Получается более 218 триллионов комбинаций.

Это практически исключает массированную атаку через интернет и замедлит прицельную атаку. Если поверить, что криминалистическое программное обеспечение способно проверять 2,8 миллиарда вариантов в секунду, на полный перебор потребуется около 22 часов. Для большинства людей это достаточно надежно – если вам так не кажется, можете добавить еще несколько символов.

Все это вовсе не означает, что случайный пароль неуязвим. Его невозможно угадать, но можно украсть. Один из примеров – мошенничество с клингонским именем. Многие осторожные люди попадаются на эту уловку. Существует высокотехнологичные вирусы, запоминающие все ваши нажатия на клавиши, а также чрезмерно любопытные люди, заглядывающие вам через плечо, когда вы печатаете. Хакеры могут использовать недостатки внутренней безопасности сайта, чтобы получить доступ к паролям.

Я сторонник философии «одного надежного пароля». С учетом того, какое важное значение приобрели пароли в нашей жизни, есть смысл запомнить один, но состоящий из случайных символов. Вы же помните свой номер телефона?

Получив надежный пароль, «сделайте все возможное, чтобы его защитить», – призывает специалист по компьютерной безопасности Ник Берри. Постарайтесь защитить свой компьютер от вирусов и используйте данный пароль только на сайтах, которые для вас важны и которым вы доверяете. Для игр и сайтов, не имеющих особого значения, я использую более простые пароли, их надежность несравнима с главным.

Способов кражи пароля так много, что вполне разумно использовать для каждого сайта свой пароль. Один из методов адаптации пароля под конкретный сайт – взять последнюю букву названия сайта и поставить ее в начало обычного пароля. Например, для Facebook вы добавляете букву k к стандартному случайному паролю, в результате чего получается kРВМ8т 4ка. Такая адаптация не обеспечивает абсолютную безопасность, но ее может оказаться достаточно. Любопытный коллега или родственник, видящий, как вы вводите kРВМ8т 4ка, чтобы открыть страничку в Facebook, не догадается, какой пароль вы используете для доступа к банковскому счету. Организатор массированной атаки соберет тысячи паролей и обнаружит, что значительная часть из них безо всяких изменений работает на других сайтах. Возможно, он не обратит внимания на остальные.

В моем надежном пароле нет знаков препинания или символов, не входящих в кодировку ASCII. В редких случаях, когда сайт требует такие символы, я добавляю один из них, легко запоминающийся, в конец пароля.

Некоторые похитители персональных данных вообще не взламывают пароли, а притворяются пользователем, забывшим пароль, и отвечают на контрольные вопросы. Угадав ответ, они получают возможность сменить пароль по собственному усмотрению. Такой мошенник не только получает доступ к персональным данным, которые можно продать, но и перекрывает законному пользователю доступ к учетной записи.

В 2008 г. кто-то взломал учетную запись Сары Пейлин, угадав, где она познакомилась со своим мужем (Уасилла Хай). Четыре года спустя учетные записи Митта Ромни взломал неизвестный хакер, угадав кличку домашнего питомца. Беспокоиться нужно не только публичным людям. Любой ваш хороший знакомый способен отгадать ответы на многие контрольные вопросы. Хакеры, которые совсем вас не знают, могут использовать списки самых популярных кличек животных, марок автомобилей, названий команд и так далее.

В последнее время часто упоминается такая стратегия противодействия угадыванию, как бессмысленные ответы. Идея состоит в том, что нужно отвечать на каждый контрольный вопрос на «поросячьей латыни»  или давать на все вопросы один и тот же бессмысленный ответ. Например, девичья фамилия вашей матери – Джимбоб. Животное-талисман, приносящее удачу – Джимбоб.

Вероятно, какое-то время такая стратегия будет эффективна. Но только до тех пор, пока ее не используют многие. Бессмысленные ответы так же шаблонны, как все остальные.

Я всегда отвечаю правду. Контрольные вопросы встречаются не так часто. Если по прошествии многих лет вам придется подтверждать свою личность, то вряд ли вам захочется оказаться в ситуации, когда вы не помните собственных ответов. Многие сайты предлагают самому выбрать контрольные вопросы. Я выбираю те, честные ответы на которые нетипичны: их нелегко угадать.

Личный идентификационный номер (PIN) – простой замок на нашем персональном банкомате. Никто не прилагает особых усилий, чтобы придумать надежный PIN. Большинство банкоматов все равно ограничивают их четырьмя десятичными цифрами. Я уверен, что вы способны угадать самый распространенный номер. А сможете сказать, сколько людей его используют?

По оценке Ника Берри 11 процентов людей выбирают код 1234. Массовые взломы PIN случаются не часто. Хакерам это не интересно, поскольку без самой банковской карты код бесполезен. Поэтому Берри взял список опубликованных PIN и отфильтровал их, так что остались только четырехзначные номера, без букв. Он выяснил, что у человека, использующего 1967 в качестве пароля, с этим числом связаны какие-то особые ассоциации, и он с большой вероятностью воспользуется им, если понадобится придумать PIN из четырех цифр.

Вторым по популярности в списке Берри был код 1111 (его выбрали около 6 процентов), а третьим 0000 (почти 2 процента). На практике это означает, что хорошо информированный мошенник, нашедший вашу банковскую карту, может за три попытки угадать ваш PIN с вероятностью 19 процентов. После трех неудачных попыток банкомат обычно проглатывает карту.

Вот двадцать наиболее распространенных PIN из списка Берри:

Здесь присутствуют все комбинации из четырех одинаковых цифр. Это не эксперимент по имитации случайности, а другая ситуация: «Я боюсь забыть этот номер, и поэтому лучше выбрать что-то очень простое».

Берри обнаружил и ряд менее очевидных закономерностей.

• Даты. В верхней части списка Берри располагаются цифры, совпадающие с обозначением нескольких последних лет, а также исторических дат (1492, 1776).

• Пары. Многие выбирают двузначное число и повторяют его, чтобы получить четырехзначный код (1212, 8787). Чаще всего цифры внутри пар отличаются на 1.

• 2580. Весьма распространено мнение, что можно создать случайный код, сыграв в крестики-нолики на клавиатуре. Единственный способ получить требуемые четыре цифры – начать с середины. Получится 2580. В списке самых популярных кодов, составленном Берри, он располагается на 22-м месте (за это следует благодарить дизайнера клавиатуры Альфонса Чапаниса).

• 1004. На корейском языке это число произносится так же, как слово ангел. Есть даже такая популярная песенка: «Будь моим 1004» (Be My 1004). Находится достаточное число корейцев, которые думают, что люди других национальностей этого не знают, что объясняет популярность кода.

Рекомендуется выбирать PIN, не входящий в список самых популярных. Реже всего встречался код 8068, но выбирать именно его не обязательно. Я бы предпочел число, начинающееся с 6, 7, 8, 9 или 0 (как во всех наименее популярных кодах из списка Берри) и без явной закономерности. Не используйте в качестве личного идентификационного номера такие сочетания цифр, как ММ/ДД или ГГГГ своего дня рождения, часть номера водительского удостоверения и/или кредитной карты. Эти номера находятся в вашем кошельке, а кредитная карта чаще всего теряется вместе с кошельком.

• Приготовьтесь запомнить один хороший, надежный пароль. Ваши усилия окупятся.

• Зайдите на сайт, на котором создаются по-настоящему случайные пароли (например, random.org). Создайте список из пяти или десяти кандидатов.

• Выберите случайный пароль, который легко превратить в запоминающуюся бессмысленную фразу. Используйте эту фразу, чтобы запомнить пароль.