Уильям Паундстоун - Камень ломает ножницы. Как перехитрить кого угодно: практическое руководство

Нельзя быть слишком уверенным, что вам не угрожает прицельная атака. Возможно, ваши конкуренты по бизнесу захотят украсть у вас ноутбук и израсходовать на его взлом необходимые ресурсы. Так же захотят поступить с богатым супругом при бракоразводном процессе. Хакеры могут испытывать неприязнь к определенным бизнесменам и политикам. Однажды был скомпрометирован сайт Twitter – из-за того, что администратор неблагоразумно выбрал пароль счастье . В 2009 г. хакер узнал пароль в результате словарной атаки и опубликовал его на сайте Digital Gangster, что привело к взломам лент Барака Обамы, Бритни Спирс, Facebook и Fox News.

Как и всё в жизни, пароли предполагают компромисс. Можно обеспечить одновременно максимальную безопасность и максимальное удобство пароля. Одна из лучших и весьма распространенных тактик – преобразовать в пароль фразу или предложение. Можно взять строчку из песни и составить пароль из первых букв слов. Например, May the force be with you превратится Mtfbwy.

Однако вы не станете обращаться к этой строчке, и именно в этом проблема. На память вам придет хорошо известная фраза из фильма, боевой девиз колледжа или слова из мультсериала «Южный парк». Сколько фраз из восьми слов вы знаете наизусть? И совершенно неочевидно, что наугад выбранную фразу угадать сложнее, чем случайное слово. Немногие дают себе труд декорировать полученный из фразы акроним. Он и так выглядит случайным!

Идеальный метод составления паролей должен быть эффективным, даже если его применяют все. Если система с использованием фраз станет популярной, то акронимы из всех заимствованных из поп-культуры крылатых выражений войдут в списки самых распространенных паролей, и программы для взлома обратятся к ним в первую очередь. Обычно акронимы состоят из букв, и по этой причине менее надежны, чем комбинации из любых символов такой же длины.

На некоторых недостатках стоит остановиться особо. Никогда не используйте «знаменитые цитаты». Одна из альтернатив – шутки, понятные только вам. Помните смешную фразу, которую официант сказал вашей подруге в мексиканском ресторане? Вы помните, она помнит – и, возможно, официант. И все. Если вы используете эту фразу для создания пароля, то велика вероятность, что больше ни один человек на планете ее не выберет.

Однако и в этом случае уникальность пароля не гарантирована. Разные фразы могут начинаться с одних и тех же букв, в результате чего получаются одинаковые акронимы. Одни буквы чаще встречаются в начале слов, другие реже, и хакерская программа может учитывать эту особенность.

Я обычно использую простые, глупые пароли. После взлома одной из моих учетных записей сайт снабдил меня временным паролем. Он представлял собой произвольный набор символов. Я хотел его сменить, но затем понял, что в этом нет необходимости. Я могу запомнить случайный пароль.

Наш мозг умеет находить закономерности в случайных данных. Именно так мы запоминаем телефонные номера или номер своей карточки социального страхования. Этот прием также работает с произвольными наборами символов, такими как РВМ8т4kа. Я только что получил этот пароль на сайте random.org. Хотя выбор символов в нем действительно случаен, глаз и мозг сразу же выявляют закономерности. В данном случае все три первые буквы оказались прописными, а остальные три строчными. А восемь – это удвоенное четыре.

Случайно созданный пароль легко преобразовать в бессмысленную фразу. РВМ8т4kа может превратиться в « революций в минуту, 8 тележек для Кати». Я не знаю, что бы это могло значить, но запомнить довольно просто.

Пароль, фраза, мнемокод – какая разница? Пароль со случайным набором символов считается «золотым стандартом» безопасности. Он лучше любого, какой только может придумать человек. И надежность его нисколько не уменьшается оттого, что указанной схемой пользуется весь мир.

При современном уровне техники достаточно длинный пароль из случайно выбранных символов разгадать практически невозможно. Он никогда не появится в списке популярных паролей. Массовая атака позволит взломать случайный пароль только методом прямого перебора. Если использовать прописные и строчные буквы латинского алфавита, а также цифры, то всего получится 62 символа (я не считаю знаки препинания, поскольку не все сайты допускают их применение). Это значит, что нужно сделать 628 попыток, чтобы угадать слово из восьми символов. Получается более 218 триллионов комбинаций.

Это практически исключает массированную атаку через интернет и замедлит прицельную атаку. Если поверить, что криминалистическое программное обеспечение способно проверять 2,8 миллиарда вариантов в секунду, на полный перебор потребуется около 22 часов. Для большинства людей это достаточно надежно – если вам так не кажется, можете добавить еще несколько символов.

Все это вовсе не означает, что случайный пароль неуязвим. Его невозможно угадать, но можно украсть. Один из примеров – мошенничество с клингонским именем. Многие осторожные люди попадаются на эту уловку. Существует высокотехнологичные вирусы, запоминающие все ваши нажатия на клавиши, а также чрезмерно любопытные люди, заглядывающие вам через плечо, когда вы печатаете. Хакеры могут использовать недостатки внутренней безопасности сайта, чтобы получить доступ к паролям.

Я сторонник философии «одного надежного пароля». С учетом того, какое важное значение приобрели пароли в нашей жизни, есть смысл запомнить один, но состоящий из случайных символов. Вы же помните свой номер телефона?

Получив надежный пароль, «сделайте все возможное, чтобы его защитить», – призывает специалист по компьютерной безопасности Ник Берри. Постарайтесь защитить свой компьютер от вирусов и используйте данный пароль только на сайтах, которые для вас важны и которым вы доверяете. Для игр и сайтов, не имеющих особого значения, я использую более простые пароли, их надежность несравнима с главным.

Способов кражи пароля так много, что вполне разумно использовать для каждого сайта свой пароль. Один из методов адаптации пароля под конкретный сайт – взять последнюю букву названия сайта и поставить ее в начало обычного пароля. Например, для Facebook вы добавляете букву k к стандартному случайному паролю, в результате чего получается kРВМ8т 4ка. Такая адаптация не обеспечивает абсолютную безопасность, но ее может оказаться достаточно. Любопытный коллега или родственник, видящий, как вы вводите kРВМ8т 4ка, чтобы открыть страничку в Facebook, не догадается, какой пароль вы используете для доступа к банковскому счету. Организатор массированной атаки соберет тысячи паролей и обнаружит, что значительная часть из них безо всяких изменений работает на других сайтах. Возможно, он не обратит внимания на остальные.