Уильям Паундстоун - Камень ломает ножницы. Как перехитрить кого угодно: практическое руководство

В моем надежном пароле нет знаков препинания или символов, не входящих в кодировку ASCII. В редких случаях, когда сайт требует такие символы, я добавляю один из них, легко запоминающийся, в конец пароля.

Некоторые похитители персональных данных вообще не взламывают пароли, а притворяются пользователем, забывшим пароль, и отвечают на контрольные вопросы. Угадав ответ, они получают возможность сменить пароль по собственному усмотрению. Такой мошенник не только получает доступ к персональным данным, которые можно продать, но и перекрывает законному пользователю доступ к учетной записи.

В 2008 г. кто-то взломал учетную запись Сары Пейлин, угадав, где она познакомилась со своим мужем (Уасилла Хай). Четыре года спустя учетные записи Митта Ромни взломал неизвестный хакер, угадав кличку домашнего питомца. Беспокоиться нужно не только публичным людям. Любой ваш хороший знакомый способен отгадать ответы на многие контрольные вопросы. Хакеры, которые совсем вас не знают, могут использовать списки самых популярных кличек животных, марок автомобилей, названий команд и так далее.

В последнее время часто упоминается такая стратегия противодействия угадыванию, как бессмысленные ответы. Идея состоит в том, что нужно отвечать на каждый контрольный вопрос на «поросячьей латыни»  [14] Форма жаргона, когда первая и вторая половина слова меняются местами, после чего к образовавшемуся слову присоединяется суффикс «ay». или давать на все вопросы один и тот же бессмысленный ответ. Например, девичья фамилия вашей матери – Джимбоб. Животное-талисман, приносящее удачу – Джимбоб.

Вероятно, какое-то время такая стратегия будет эффективна. Но только до тех пор, пока ее не используют многие. Бессмысленные ответы так же шаблонны, как все остальные.

Я всегда отвечаю правду. Контрольные вопросы встречаются не так часто. Если по прошествии многих лет вам придется подтверждать свою личность, то вряд ли вам захочется оказаться в ситуации, когда вы не помните собственных ответов. Многие сайты предлагают самому выбрать контрольные вопросы. Я выбираю те, честные ответы на которые нетипичны: их нелегко угадать.

Личный идентификационный номер (PIN) – простой замок на нашем персональном банкомате. Никто не прилагает особых усилий, чтобы придумать надежный PIN. Большинство банкоматов все равно ограничивают их четырьмя десятичными цифрами. Я уверен, что вы способны угадать самый распространенный номер. А сможете сказать, сколько людей его используют?

По оценке Ника Берри 11 процентов людей выбирают код 1234. Массовые взломы PIN случаются не часто. Хакерам это не интересно, поскольку без самой банковской карты код бесполезен. Поэтому Берри взял список опубликованных PIN и отфильтровал их, так что остались только четырехзначные номера, без букв. Он выяснил, что у человека, использующего 1967 в качестве пароля, с этим числом связаны какие-то особые ассоциации, и он с большой вероятностью воспользуется им, если понадобится придумать PIN из четырех цифр.

Вторым по популярности в списке Берри был код 1111 (его выбрали около 6 процентов), а третьим 0000 (почти 2 процента). На практике это означает, что хорошо информированный мошенник, нашедший вашу банковскую карту, может за три попытки угадать ваш PIN с вероятностью 19 процентов. После трех неудачных попыток банкомат обычно проглатывает карту.

Вот двадцать наиболее распространенных PIN из списка Берри:

1234 9999

1111 3333

0000 5555

1212 6666

7777 1122

1004 1313

2000 8888

4444 4321

2222 2001

6969 1010

Здесь присутствуют все комбинации из четырех одинаковых цифр. Это не эксперимент по имитации случайности, а другая ситуация: «Я боюсь забыть этот номер, и поэтому лучше выбрать что-то очень простое».

Берри обнаружил и ряд менее очевидных закономерностей.

• Даты. В верхней части списка Берри располагаются цифры, совпадающие с обозначением нескольких последних лет, а также исторических дат (1492, 1776).

• Пары. Многие выбирают двузначное число и повторяют его, чтобы получить четырехзначный код (1212, 8787). Чаще всего цифры внутри пар отличаются на 1.

• 2580. Весьма распространено мнение, что можно создать случайный код, сыграв в крестики-нолики на клавиатуре. Единственный способ получить требуемые четыре цифры – начать с середины. Получится 2580. В списке самых популярных кодов, составленном Берри, он располагается на 22-м месте (за это следует благодарить дизайнера клавиатуры Альфонса Чапаниса).

• 1004. На корейском языке это число произносится так же, как слово ангел . Есть даже такая популярная песенка: «Будь моим 1004» (Be My 1004). Находится достаточное число корейцев, которые думают, что люди других национальностей этого не знают, что объясняет популярность кода.

Рекомендуется выбирать PIN, не входящий в список самых популярных. Реже всего встречался код 8068, но выбирать именно его не обязательно. Я бы предпочел число, начинающееся с 6, 7, 8, 9 или 0 (как во всех наименее популярных кодах из списка Берри) и без явной закономерности. Не используйте в качестве личного идентификационного номера такие сочетания цифр, как ММ/ДД или ГГГГ своего дня рождения, часть номера водительского удостоверения и/или кредитной карты. Эти номера находятся в вашем кошельке, а кредитная карта чаще всего теряется вместе с кошельком.

• Приготовьтесь запомнить один хороший, надежный пароль. Ваши усилия окупятся.

• Зайдите на сайт, на котором создаются по-настоящему случайные пароли (например, random.org). Создайте список из пяти или десяти кандидатов.

• Выберите случайный пароль, который легко превратить в запоминающуюся бессмысленную фразу. Используйте эту фразу, чтобы запомнить пароль.

Мы живем в век краудсорсинга  [15] Метод решения поставленных производственных задач силами добровольцев с помощью информационных технологий. . Любой обладатель смартфона может прямо на ходу выставлять оценку ресторанам, книгам, фильмам и песням (от 1 до 5 звезд). Фокус-группы оценивают автомобили, соусы к пицце и кандидатов на выборах (по шкале от 1 до 10). О чем говорят – если говорят – эти рейтинги?

Может показаться, что максимум оценок должен приходиться точно на середину диапазона. Обычно это не так. Полученные с помощью краудсорсинга оценки чаще всего имеют пик около 7 из 10 (или в районе 70 процентов максимума, каким бы он ни был). С одной стороны, это может указывать, что мы достигли потребительской Валгаллы, когда вещи, которым мы даем оценку, в целом хороши. Однако у нас есть основания полагать, что все это может быть искусственно. Фокусники прекрасно знают, что люди склонны выбирать карту приблизительно в 70 процентах от начала разложенной колоды. Экстрасенс просит зрителей задумать число между 1 и 10 и в попытке угадать всегда называет 7, поскольку это самый популярный выбор. В 1976 г. Майкл Кубови и Джозеф Псотка из Йельского университета попытались выяснить, почему 7 обладает магическими свойствами. Они отправили семерых (!) студентов младших курсов в студенческий городок с заданием останавливать всех встречных и просить назвать цифру от 0 до 9, первую, которая придет в голову. Самой популярной оказалась семерка – 28 процентов. Реже всего выбирали 0.