Заведующий кафедрой бизнес-информатики УрГЭУ, доцент, доктор экономических наук Дмитрий Назаров рассказывает, какие пароли не стоит использовать в интернете.
В процессе перехода экономики на цифровые рельсы, очевидно, что число сервисов, предлагающих онлайн-услуги, а также возможности их оплаты посредством интернет-модулей на сайтах и порталах будет расти. Как правило, чтобы «привязать» клиента к своей услуге такие сервисы требуют от пользователя обязательной регистрации (создания аккаунта), то есть указания логина и пароля. В качестве логина сами сервисы рекомендуют обычно использовать e-mail, номер телефона, а вот пароль – уникальную последовательность символов, позволяющую получить доступ пользователя к своему аккаунту, каждый должен придумать сам.
Аккаунт пользователя любого сервиса чаще всего включает в себя персональные данные, содержание которых различается от вида предлагаемых услуг. Если это аккаунт на порталах, предлагающих госуслуги (gosuslugi.ru, nalog.ru и др.), то он содержит полную информацию о пользователе, включая паспортные данные, адрес регистрации и т.д. Если это аккаунт в интернет-сервисе, к примеру, доставка еды, интернет-магазин, онлайн библиотеки, то он может включать и данные банковских карт и историю покупок. Совершенно очевидно, доступ к такой информации посторонних (мошенников, хакеров, преступников) может привести к плохим последствиям для пользователя. Поэтому процесс выбора пароля для доступа к аккаунту дело серьезное и ответственное.
На протяжении последних 8 лет американская компания SplashData выпускает список наихудших паролей года. Анализируя данные по более чем 5 миллионам паролей, просочившихся в Интернет, компания ежегодно составляет TOP-100 худших паролей пользователей к различным сервисам интернет (исключения составляют взломы паролей сайтов для взрослых).
Подчеркнем, что использование одних и тех же предсказуемых и легко угадываемых паролей хакерами и мошенниками любой категории подвергнет любого человека существенному риску взлома и кражи его персональных данных.
Анализ данных таблицы показывает, что лидерами на протяжении последних 5 лет остаются такие пароли как «123456» и «password». Следующие пять главных паролей в списке – просто числовые строки, содержащие либо последовательности цифр, либо повторяющиеся цифры. Также в лидерах остаются пароли, содержащие простые клавиатурные раскладки: qwerty, qwerty123, qazwsx, zxcvbnm, !@#$%^&*, имена знаменитостей, термины от поп-культуры, спорта, учетных записей: football, donald, harley, iloveyou, admin. Хакеры давно поняли, что многие люди используют эти легко запоминающиеся комбинации.
По оценкам SplashData, почти 10% людей использовали по крайней мере один из 25 худших паролей в списке этого года, и почти 3% людей использовали худший пароль – 123456.
Заметим, что время подбора пароля можно оценить, используя знания теории вероятности, например, пароль из 6 символов для полного перебора вариантов из 60 возможных символов потребует примерно 18 лет. Но давайте оценим время подбора пароля с помощью сервиса https://howsecureismypassword.net/.
Пароль: 111111, ответ сервиса: немедленно.
Пароль: 111111111, ответ сервиса: 25 миллисекунд.
Пароль: 1994anton, ответ сервиса: 42 минуты
Пароль: 1994AntoN, ответ сервиса 4 дня.
Пароль: 1994anton1994, ответ сервиса: 100 лет
Пароль: 1994Anton1994, ответ сервиса: 158000 лет.
Интересный результат – пароль из 6 символов 111111 разгадан немедленно. Почему так? Очень просто: хакеры организуют «умный» перебор паролей, пишут специальные модули, которые перебирают сначала частые, легко запоминаемые пароли, а потом только все остальные. Использование прописных и строчных букв одновременно увеличивает на несколько порядков время для разгадывания пароля, положительную роль, с точки зрения уменьшения риска играет и символьная длина паролей.
Поэтому при выборе пароля предлагаем использовать следующие правила:
1. Используйте парольные фразы из двенадцати или более символов со смешанными типами (это снижает риск примерно в 1000 раз).
2. Для каждого логина используйте свой пароль, это обезопасит от мультидоступа (подобрав пароль к одному сервису, хакер не сможет его использовать для доступа к другому сервису или сайту).
3. Если у Вас логинов и паролей более 5-7, то рекомендуем защиту своих персональных данных осуществлять с помощью использования менеджера для хранения паролей.
О менеджерах для хранения паролей нужно говорить отдельно, но в рамках этой статьи перечислим лишь самые известные.
Самым надежным мультиплатформенным решением для пользователей считается SplashID (http://www.splashid.com). Сервис Gpass (http://www.gpass.io) позволяет пользователям Google без проблем управлять паролями в своей учетной записи Google. Сервис ZohoVault (https://www.zoho.com/vault/) — бесплатный для личного использования менеджер паролей. Приложение может сохранять бесконечное количество паролей и заметок, в нём можно хранить файлы и документы, есть генератор паролей и автосохранение. Сервис LogMeOnce (https://www.logmeonce.com/ru/) – бесплатный менеджер паролей, в котором поддерживается синхронизация и мультифакторная авторизация и др.
Все эти сервисы работают по одному принципу, который заключается в создании зашифрованного по алгоритму 256-битного шифрования цифрового сейфа, доступного на любых устройствах, реализуя возможность доступа к важной информации в любое удобное для пользователя время. При этом, конечно, один пароль для входа в менеджер паролей нужно помнить, и он должен быть неуязвимым, но в этом помогут сами сервисы при создании аккаунта.