джерело: Forbes Kazakhstan

Чи можна придумати простий, але надійний пароль і чи існує альтернатива традиційним буквах і символам, які використовуються для захисту інформації, розповідає Олексій Дрозд, експерт компанії SearchInform, що спеціалізується на захисті конфіденційних даних.
Все, що було таємно, але стало загальнодоступним, як правило, вже не має ніякої цінності для початкового власника. Епоха зламаних ресурсів, хакерських атак і повний крах конфіденційності - ось що таке XXI століття.
Хто тільки не страждав від зломів і витоку паролів. Багато хто пам'ятає гучну історію і скандальне розслідування, пов'язані зі зломом серверів Sony в квітні 2011, слідом негідники «викрали» з бази Twitter логіни, поштові адреси, зашифровані і «засолені» версії паролів 250 тис. Користувачів. Вражає і історія з Adobе і 130 млн паролів, частково розшифрованих і викладених у відкритий доступ. Якби для шифрування паролів використовувалося якісне змішування з «сіллю» (це рядок випадкових даних, яка використовується для подовження рядка пароля), можливо, зловмисники й не розшифрували базу. Але зломщики з'ясували, яким саме способом кодували комбінації, а далі - статистика і справа техніки. Усе!
«Епоха великих зломів» почалася в 2009, коли в результаті SQL-ін'єкції на сайті RockYou хакерам вдалося тягнути 32 млн паролів. А за останні 5 років техніка злому кардинально змінилася. Навіть порівнювати ніяково ті примітивні методи атаки по словнику, які використовувалися раніше, і аналітику на базі сотень мільйонів витекли паролів, які доступні фахівцям зараз.
Втім, звинувачувати в усьому лише злісних хакерів, невтомно вивчають і винаходять нові методи злому, значить, як мінімум, сильно спрощувати ситуацію. І, відповідно, полегшувати в майбутньому завдання зловмисникам. Корінь труднощів пральний захисту куди глибше, в самій її природі.
Психологія «парольного генератора»
Чи не здається вам дивним, що велика частина користувачів Мережі з наполегливістю і завзятістю продовжує придумувати «геніальні» паролі на кшталт qwerty або 123? Адже таким чином мільйони, та що там, мільярди людей абсолютно ігнорують необхідність захисту своїх акаунтів і не дотримуються навіть мінімальних заходів інформаційної безпеки.
Нічого дивного в цьому немає. Той факт, що користувачі в більшості своїй схильні ставити слабкі паролі, обумовлений фізіологією людини, точніше, його мозку. Наше мислення асоціативно і безпосередньо пов'язане з промовою, ми мислимо образами, кожен з яких має назву, тому в якості пароля ми вибираємо назву одного з них, а тому вони легко підбираються методом перебору по словнику.
Про слабкою криптостойкости обираних користувачами паролів написані сотні матеріалів. Одні з найстаріших, які можна знайти російською мовою, ставляться до 1990. Як ви думаєте, чи змінився з тих пір мозок людини? Очевидно, що 25 років, нехай навіть дуже бурхливих і насичених подіями, - це ніщо для еволюції. Тому з появою першого пароля на екрані люди не стали задавати більш складні комбінації букв і цифр для захисту своїх даних. А ось потужності комп'ютерів зросли більш ніж в 16 тис. Разів, як і спрогнозував свого часу Гордон Мур, засновник корпорації Intel і автор знаменитого закону. Підібрати пароль, відповідно, теж стало простіше і швидше як мінімум в ті ж 16 тис. Раз.
Чому не працюють парольні політики
Щоб користувачі не змогли задовольнятися простими паролями, на багатьох сайтах існує парольний політика. Вона диктує вимоги до довжини, типам символів, складності паролів і т. Д. І навіть якщо сервіс явно зобов'язує дотримуватися будь-які рекомендації до паролю (звід правил на сторінці реєстрації), ми наступаємо на одні й ті ж граблі: якщо в заданих умовах вказана необхідність утримання як мінімум однієї цифри, більше половини користувачів цим мінімумом і обмежується.
У слабкій корисності пральний політики винні та інші особливості людської психології, наприклад, відомий «феномен першої цифри», докладно прочитати про який можна в книзі «Краса в квадраті» Алекса Беллоса. Ось що говорить сам Беллос про цей феномен:
«Випишіть з будь-якої газети все числа, які там зустрічаються. Тепер зверніть увагу на перші цифри в цих числах. Ви побачите, що числа, що починаються з цифри 1, зустрічаються найчастіше; потім слідують числа, перша цифра яких 2, потім 3 - і так до цифри 9, яка використовується на початку чисел найрідше. Це дійсно неймовірно ».
У 1938 фізик Френк Бенфорд відкрив феномен першої цифри, звернувши увагу на пошарпаності сторінок в книгах з таблицями логарифмів. Потім він підрахував розподіл перших цифр в інших множинах даних: адреси кількох сотень людей з біографічного довідника, атомній вазі хімічних елементів, статистикою бейсбольних матчів і так далі. У більшості випадків результати були близькі до очікуваного розподілу.
Це не просто цікавий математичний закон. Багато застосовують його на практиці для розслідування фінансових махінацій або інших маніпуляцій з даними. Наприклад, на підставі закону Бенфорда політолог Мічиганського університету Уолтер Мібейн заявив про можливу фальсифікацію результатів президентських виборів в Ірані.
Для створення дійсно надійних паролів може використовуватися тільки машинний генератор, але - от лихо! - зберегти в пам'яті такі комбінації чертовски важко. Тому їх запам'ятовують в браузері, записують на клейких листочках, які прикріплюють на монітори і принтери офісні працівники ... і роблять стійкі паролі видимими кожному, хто ними може поцікавитися. Тобто абсолютно марними.
Пароль проти кодової фрази
Може бути, нас врятують відповіді на секретні питання? Не дарма ж такі питання задають практично скрізь, де потрібно придумувати пароль! На жаль, відповіддю буде «ні». Десять років тому, в 2005, наукові співробітники Стенфордського університету Гріффін і Якобсон провели дослідження, яке виявило, що відповіді на найпопулярніші «секретні питання» в більшості випадків можна знайти у відкритих джерелах. Це блискуче підтвердилося на практиці в 2008 під час президентських виборів в США, коли за допомогою «секретного питання» була зламана обліковий запис Сари Пейлін, кандидата від республіканців.
Може бути, замість паролів і питань можна використовувати цілі фрази? Спеціаліст служби безпеки компанії Microsoft Роберт Хенсінг здобув популярність завдяки своєму посту в блозі, в якому він пропагував цю заміну. Давайте познайомимося з його ідеями трохи ближче.
Для початку розберемося, що собою являє кодова фраза. Ось деякі приклади, які використовувалися в Microsoft в якості «пароля»:
• «Якби ми не з'їхали, то зійшли б з розуму».
• «обрушилися на мене біль!»
• «Підлі люди - це погано!»
Чим же хороші ці кодові фрази?
1. Вони відповідають всім вимогам складності пароля через використання заголовних / малих літер і розділових знаків (ви не зобов'язані використовувати цифри в вашому паролі, щоб він відповідав вимогам складності).
2. Навіть не смішно, що всі запам'ятовують їх з такою легкістю. Вам і вашим співробітникам теж буде набагато простіше запам'ятати фразу з улюбленої пісні або цитати, ніж комбінацію «xYaQxrz!», Яка, між іншим, є досить складною і довгою (спробуйте самі вимовити її вголос), щоб відповідати звичайним вимогам складності пароля, і ненадійною , щоб витримати будь-які серйозні атаки LC5 (програма для аудиту паролів), не кажучи вже про «райдужних таблицях» (вони використовуються для розкриття паролів).
Починаючи з Windows 2000 системи Microsoft підтримують паролі до 127 символів Юнікоду. Таким чином, ця підтримка працює практично в будь-який існуючій системі Windows. Немає потреби говорити про мобільні пристрої, які з'явилися набагато пізніше виходу Windows 2000. Іншими словами, можливість введення довгого пароля збільшує його надійність.
Кодова фраза швидше за все містить читаються слова (інакше це не кодова фраза) і, отже, може бути схильна до атаці не на рівні букв, а на рівні слів. Згідно з різними підрахунками, середньостатистичний носій мови (неважливо, якого) знає близько 20 тис. Слів, але в тиждень використовує 2 тис. Так як користувач вживає слова, які увійшли в його активний запас, можна стверджувати, що більшість кодових фраз містять одне з 5 тис. часто вживаних слів. І якщо ключова фраза складається з чотирьох слів, то кількість можливих комбінацій дорівнюють 50004.
Говорячи простою мовою, у зломщика набагато менше шансів розкрити кодову фразу, ніж звичайний пароль. Безумовно, наявність декількох слів підвищує надійність секретної комбінації, але ми повинні також зазначити: оскільки атака відбувається на рівні слова, то його довжина не має значення. Пароль «Підлі люди - це погано!» Буде настільки ж надійний, як і «Надзвичайно важливий пароль», так як всі використовувані слова є простими.
Кодову фразу «це мій пароль, і він тільки для мене» набагато легше запам'ятати, ніж «Syz8 # К3!», А також вона набагато надійніше, і займає майже однакову кількість часу для введення. Якщо ви хочете збільшити надійність пароля, додайте кілька цифр: «Моя адреса 1 234 Гагаринская вулиця» або «номер Жанни - 867-5309». Пароль «Матвій», тому що це ім'я вашого сина, є не найвдалішим, а ось пароль: «Ім'я мого старшого сина Матвій, йому 10 років» - це вже хороший пароль. Хоча і вразливий з тих же причин, за якими уразливі відповіді на «секретні питання».
Таким чином, кодова фраза хоч і покращує ситуацію, але не рятує від використання в ній загальнодоступних даних. Значить, у зловмисників є простір для маневру.
У пошуках рішення
Було зроблено безліч інших спроб вирішити проблему паролів, які не позбавляючись від них самих (біометрія, USB-токени і т.п.). Наприклад, останнім часом все частіше стало використовуватися заперечується шифрування, яке дає користувачеві шанс приховати справжнє повідомлення, навіть якщо його змусили розкрити свій ключ. Втім, це рішення кілька іншої проблеми, ніж нестійкість секретних комбінацій до атак.
Тому найкращий спосіб обійти завдання паролів - це зовсім від них відмовитися. Два роки тому, в липні 2013, було утворено співтовариство технологічних компаній, які досі займаються пошуком надійного стандарту аутентифікації користувача - Fast IDentity Online Alliance. Сьогодні в співтовариство входить більше 200 компаній, серед яких Google, Intel, NTT DoCoMo, Lenovo, Samsung, PayPal, Validity і багато інших.
Спочатку планувалося, що команда FIDO Alliance мала розробити унікальну систему аутентифікації користувачів, де замість пароля використовується апаратно-програмний комплекс. Тоді захмарною, але реальної здавалася якась гібридна система з USB-токеном і розпізнаванням голосу, або NFC + одноразовий пароль. Основне питання в тому, щоб розроблений спосіб зміг одночасно стати і найнадійнішим, і самим практичним. Хоча, погодьтеся, досить складно уявити собі середньостатистичного громадянина, котрий має багатоетапної, складною системою з токенами / біометрією / одноразовими паролями.
У березня 2013 департамент Google, що займається питаннями безпеки, опублікував свої варіанти аутентифікації користувачів. Самим розтиражованим рішенням в пресі і соціальних мережах стало щось на зразок hi-tech кільця, що постійно перебуває у користувача і дозволяє йому працювати з онлайн-сервісами. Так, «кільця всевладдя» все-таки побачили світ, але світової популярності не отримали.
Цього літа експерти з FIDO Alliance і Bluetooth SIG почали спільну роботу над новою системою, що дозволяє використовувати смартфон в якості альтернативи фізичним USB-токен безпеки. Останні широко поширені серед користувачів сервісів, в яких застосовується двухфакторная аутентифікація. Плюсами і достоїнствами смартфонів порахували наявність підтримки різних стандартів безпеки (PIN-кодів або біометричної аутентифікації) і досить великої кількості персональної інформації, яка б підтверджувала особу власника. Словом, уми експертів з FIDO і SIG зараз зайняті створенням платформи, що використовує мобільні пристрої за аналогією з USB-токенів безпеки для проходження аутентифікації.
Давайте спробуємо поміркувати про те, до чого можуть призвести ці зусилля.
паролі завтра
З майбутнім паролів сьогодні зазвичай пов'язують кілька технологій, вже активно використовуються в реальному житті. Поговоримо трохи про них.
NFC (Near field communication) в дослівному перекладі - комунікація ближнього поля. Це технологія бездротового високочастотного зв'язку малого радіусу дії, яка дає можливість обміну даними між пристроями. NFC була анонсована ще в 2004. Вона проста, практична і являє собою не що інше, як розширення стандарту безконтактних карт. NFC націлена, насамперед, на використання в мобільних телефонах і планшетах, але в даний час використовується в різних сферах. Як ідентифікатор втілилася в «кільцях всевладдя», але альтернативою паролів навряд чи стане.
Біометрична аутентифікація. Сьогодні можна сміливо виділити чотири основних біометричних методу ідентифікації, які знайшли досить широке застосування.
1. Розпізнавання за відбитками пальців. Це, напевно, найвідоміший метод, в основі якого лежить унікальність кожної людини - малюнок папілярних візерунків на пальцях. Зображення відбитка пальця, отримане за допомогою спеціального сканера, перетвориться в цифровий код (згортку) і порівнюється з раніше введеним шаблоном (еталоном) або набором шаблонів;
2. Розпізнавання по геометрію кисті руки, яка також є унікальною біометричної характеристикою людини;
3. Розпізнавання за райдужною оболонкою ока, засноване на унікальності її малюнка;
4. Розпізнавання по голосу. В даний час розвиток цього напрямку дає основу для його широкого використання. Існує досить багато способів побудови коду ідентифікації по голосу: як правило, це різні поєднання частотних і статистичних характеристик останнього.
Для багатьох з перерахованих методів необхідно досить дороге обладнання і не менш дороге ПО. Більш того, з розвитком технологій роль біометрії, як засоби аутентифікації, буде зменшуватися, так як зловмиснику отримати доступ до таких даних стає все простіше. Голос можна записати, обличчя й очі сфотографувати, а відбитки пальців відсканувати і потім створити комп'ютерну модель, і роздрукувати маску на 3D-принтері.
Виходу немає?
Очевидно, вирішити проблему паролів сьогодні так само складно, як і запам'ятати найнадійніші з них. Незважаючи на всі свої мінуси, паролі залишаються дешевої і затребуваною технологією, реальної альтернативи якої сьогодні немає. У майбутньому, можливо, проблему вирішить повсюдне носіння популярних смарт-годин або інших гаджетів з дешевими біометричними сенсорами. Ймовірно, альянс провідних ІТ-корпорацій зможе запропонувати щось більш витончене - як би там не було, сьогодні повноцінного наступника паролів не видно.
Так що, схоже, паролі будуть завжди, і точно так само завжди їх будуть зламувати.