21 ноября 2013

10 главных ошибок в паролях (по следам взлома Adobe)

Новости Советы

Если вы регистрировались как клиент Adobe, смените свои пароли прямо сейчас. Их уже публикуют в Интернете и даже делают на их основе кроссворды. Ну а для всех остальных это прекрасный повод посмотреть, какие пароли не надо использовать.

Недавний  взлом Adobe с кражей пользовательских данных имеет долгосрочные последствия. Сначала выяснилось, что украдено не 3 млн, а около 150 млн записей, потом — что пароли в них плохо защищены и частично восстановимы. В результате Facebook потребовал сменить пароли у тех пользователей, которые «засветились» в этой базе с тем же паролем, что у Facebook. Использовать одинаковые пароли на разных сервисах —  серьезная угроза безопасности. Но еще хуже, что миллионы пользователей допускают одни и те же детские ошибки, придумывая себе пароль. Изучим эти ошибки на примере самых популярных паролей из базы Adobe.

10 самых худших паролей

1.  «Password», «qwerty» и «123456»

Удивительно, но эти самые очевидные пароли продолжают удерживать первые места в хит-парадах уже многие годы. В базе Adobe пароль 123456 занимает абсолютное первое место, его выбрали почти 2 млн пользователей из 130 млн. Второе место занимает более сложный пароль 123456789, а password находится на третьем с «жалкими» 345 тыс. пользователей. У qwerty — шестое место.

2. Имя сервиса, компании и его вариации

Логин «Иван», пароль «ВКонтакте», как оригинально! Конечно, такого пароля нет в типовых словарях, но опытный хакер обязательно добавит подобные пароли в свою базу подбора при атаке (что мы и увидели в случае Adobe). По этому принципу составлены пароли 4, 9, 15 и 16 в хит-параде: adobe123, photoshop, adobe1 и macromedia.

3. Имя=Пароль и другие подсказки

Хотя пароли в базе могут быть закодированы лучше, чем у Adobe, скорее всего, хакеру будут доступны видимые без лишних ухищрений сопроводительные поля. Это имя пользователя, e-mail-адрес, поле «Подсказка для пароля» и так далее. Очень часто по ним можно восстановить пароль. Несомненным хитом является пароль, повторяющий имя пользователя, но есть и другие «умные» трюки, например написать пароль в поле «Подсказка для пароля» или указать «от 1 до 6».

4. Очевидные факты

Одним из любимых инструментов взломщиков давно стал Facebook. Зная e-mail и имя пользователя, можно при помощи Facebook за считанные минуты разгадать пароли, ненадежно припрятанные за такими подсказками к паролю: «имя собаки», «имя сына (дочери)», «дата рождения», «работа», «девичья фамилия матери»,  «любимая группа» и так далее. Около трети всех подсказок посвящены именам членов семьи и домашних животных, а 15% повторяют пароль или на него намекают.

5. Простые последовательности и повторяющиеся символы

Это только кажется, что сочетаний букв и цифр много, на самом деле люди используют их очень немногими способами. «Подсказкой» им служат алфавит и клавиатура перед носом. Так появляются  пароли abc123, 000000, 123321, asdfgh, 1q2w3e4r. Если вам попалась на глаза или пришла  в голову удобная для запоминания последовательность букв или цифр, знайте: она удобна для взлома и наверняка есть в базах (словарях) хакеров.

6. Простые слова

По разным исследованиям, от трети до половины паролей являются простыми словарными словами, входящими в top-10000. Перебрать 10 тыс. паролей для современного компьютера — дело нескольких секунд, поэтому такие пароли ненадежны. В топ базы Adobe прорвались sunshine, monkey, shadow, princess, dragon, welcome и другие. Канонические sex, god, jesus тоже никуда не делись.

7. Очевидные модификации

Чтобы усложнить работу хакерам, многие сервисы требуют от пользователя задать пароль по определенным правилам. Например, не меньше 6 символов, обязательно присутствие заглавных и строчных букв, а также цифр или символов. Как я уже писал ранее, эти меры пришли из XX века и сегодня их стоит пересмотреть, но в реальном использовании выясняется, что пользователи ужасно предсказуемы, делая требуемые ухищрения. Наиболее вероятно, что заглавной буквой сделают первую, а самая популярная численная модификация (с гигантским отрывом от прочих) — добавление цифры 1 в конце. В базе Adobe это видно по паролям 15 и 28, сочетающим очевидное слово с самой очевидной цифрой (adobe1 и password1). Самые популярные символы для модификаций — восклицательный знак и подчеркивание.

8. Очевидные модификации – 2 (1337)leetspeek

Благодаря фильму «Хакеры» и другим памятникам массовой культуры широкая общественность узнала о «хакерском языке» LEET (1337), в котором часть букв заменяется на внешне похожие цифры и символы, а также делаются другие простые модификации. Так в пароли попадают на первый взгляд неплохие кандидаты H4X0R, $1NGL3 и так далее. К сожалению, на самом деле злоумышленнику подбирать их не намного сложнее очевидных HACKER и SINGLE, поскольку специализированные приложения для взлома содержат «механизм мутации», прекрасно знакомый с подобными подстановками.

9. Энергичные предложения

Вообще считается, что в современных условиях, когда пароль должен быть длинным, кодовые фразы лучше, чем пароли из одного слова. Но самые популярные фразы слишком коротки и очень, очень предсказуемы. Letmein, fuckyou и Iloveyou («впустите меня», «иди к черту» и «я тебя люблю»). Добавить нечего.

10. Транслитерация

В России и других странах с кириллическим алфавитом традиционно считается надежным парольным трюком набрать русское слово в английской раскладке. «Gfhjkm», без сомнения, выглядит очень надежно, но является простым в запоминании словом «Пароль». Хакерам тоже очень нравится этот трюк, потому что с ним легко справиться. Русские словари, «перекодированные» в английскую раскладку, давно существуют и используются при взломах. 

ВНЕ КОНКУРСА — одинаковые пароли

Если у вас везде один пароль, после подобного взлома можно лишиться всей своей онлайновой жизни!

В базе Adobe этого, конечно, не видно, но данная ошибка распространена не меньше, чем применение пароля «123456». Одинаковые пароли для разных сервисов. Чем это плохо, понятно на примере взлома Adobe. Если пароль пользователя стал известен хакерам, они могут попробовать сочетание e-mail/пароль на нескольких популярных веб-сайтах от Facebook до Gmail, компрометируя не один, а целую группу ваших аккаунтов. По данным опроса, проведенного B2B International по заказу «Лаборатории Касперского», 6% пользователей использует один пароль для всех сайтов, и еще 33% использует всего несколько паролей. Если в числе «всех сайтов» был сайт Adobe, сегодня они рискуют всей своей цифровой жизнью.

 

Разумеется, все перечисленные ошибки делаются по одной простой причине — сегодня нам приходится пользоваться 5–10 онлайн-сервисами, и помнить сложный, надежный пароль к каждому из них весьма проблематично. К счастью, у проблемы есть простое техническое решение. Вот наш рецепт