20 октября 2014

Как запоминать по-настоящему надежные пароли

Безопасность Советы

На дворе 2014 год. Корпорация «Локхид Мартин» рассказала о том, что ее ученые добились существенного успеха в разработке компактных термоядерных реакторов, способных превращать пригоршню чистого и сравнительно дешевого топлива в многие мегаватты энергии. Уже пару лет на МКС летают частные космические корабли. Никого не удивишь беспроводной связью на скоростях десятки мегабит в секунду. А мы, как в каком-нибудь 1999-м, все еще вынуждены запоминать списки паролей. И пароли эти более длинные, чем когда-либо, ведь скорость взлома растет с каждым годом вместе с ростом производительности компьютеров.

How to Remember Strong, Unique Passwords

Если мы собираемся и дальше полагаться на такой древний способ идентификации, как пароли (а лучшего варианта, увы, у нас пока нет), нам придется придумать, как научиться их легко запоминать. Собственно, именно этим и озадачились ребята из Университета Карнеги — Меллона. К сожалению, для того, чтобы запоминать пароли, нам в любом случае придется делать то, чего никто не любит, — учить наизусть.

Однако существуют способы повышения эффективности этого процесса — чтобы можно было зубрить меньше, а запоминать лучше. Как показывает исследование, отличных результатов позволяет добиться сочетание мнемоники и интервальных повторений.

Конструкция паролей, которую предлагают исследователи, в общих чертах повторяет ту, что описана в известном комиксе xkcd. Если говорить коротко, основная мысль состоит в использовании словосочетаний вместо видоизмененных слов:

Password Strength XKCD Comic in Russian

Участникам исследования предлагалось выбрать одного персонажа из списка, к этому добавлялись случайно выбранные компьютером действие и объект. Итогом должно было стать что-то вроде такого словосочетания: «Учитель Йода роняет микрофон». В дополнение к тройке «человек — действие — объект» участникам исследования показывали изображение с каким-либо местом действия и просили представить итоговую сценку. Например, «Учитель Йода роняет микрофон в подводной лаборатории».

Это целых шесть слов, и составленный из них пароль будет вполне взломоустойчивым — вы можете убедиться в этом на нашей страничке проверки надежности паролей. И вот в чем идея: вам не обязательно держать в памяти все эти слова.

[vine url=»https://vine.co/v/Ozt3iHtTmih» width=600 height=600]

Участники исследования получали подсказку в виде пары «персонаж — место действия» и должны были вспомнить пару «действие — объект» через определенный период времени. Конкретные временные интервалы и количество запомненных паролей менялись от группы к группе.

Лучшие результаты показала группа, в которой первый интервал — с момента запоминания до первой проверки — составлял 12 часов, а каждый последующий интервал увеличивался в полтора раза. Последняя, девятая проверка происходила примерно через 102 дня. Так вот, в этой группе 77,1% участников успешно вспомнили все четыре истории на всех девяти проверках. Я связался с руководителем исследования Иеремием Блоки (Jeremiah Blocki) и спросил, соответствуют ли итоги исследования тому, что он ожидал получить.

«Результаты меня удивили. До начала эксперимента я бы предположил, что лучше всех выступит группа, в которой первоначальный интервал составлял 30 минут, но победили участники группы с 12-часовым интервалом»

«Честно говоря, результаты меня удивили. Если бы меня спросили до начала эксперимента, я бы предположил, что лучше всех выступит группа, в которой первоначальный интервал составлял 30 минут (он удваивался перед каждой новой проверкой), — ответил Блоки. — Хотя нельзя сказать, что я был в этом уверен. У группы «12час*1,5» первоначальный интервал был очень длительным, но последующие промежутки увеличивались не так быстро, как в группе «30мин*2″. Результаты говорят нам о том, что важно постоянно освежать в памяти то, что мы стараемся запомнить. Просто повторить несколько раз в самом начале — недостаточно эффективный способ заучивания».

Интересное совпадение: в большинстве случаев забывание происходило как раз в первые 12 часов — 94,9% участников исследования, успешно вспоминавших информацию на ранних проверках, продолжали помнить ее и на всех последующих проверках.

Что закономерно: результаты тех участников, которые запоминали одну или две сценки, были гораздо лучше, чем у тех, кто запоминал сразу четыре. Это кажется очевидным, но интереснее то, насколько проще запомнить один-два пароля описанным методом: 100% участников, запоминавших одну-две истории, успешно вспоминали их на всех этапах проверки.

Какие же выводы мы можем сделать из этого исследования? В первую очередь тот, что запомнить один или два пароля гораздо проще, чем запомнить четыре, не говоря уже о большем их количестве. Это вполне совпадает с практикой, показывающей, что едва ли не все люди используют один пароль для нескольких сервисов, даже несмотря на уверенность в том, что это плохая идея. Так что пароли, как ни крути, уязвимы: даже если не получится взломать подбором, есть шанс украсть пароль на одном сервисе и таким образом получить доступ к остальным.

Но есть и хорошие новости — похоже, есть способ достаточно уверенно помнить по-настоящему надежные пароли. Вот что для этого требуется:

  • Вместо абстрактного сочетания букв используйте пароль-историю. Для того чтобы ее запомнить, следует представить себе соответствующую сценку. Можно даже нарисовать картинку, в прямом смысле — карандашом или ручкой.
  • Да, это сложно, но все-таки старайтесь как можно реже использовать один пароль для нескольких сайтов.
  • Обязательно время от времени вспоминайте все свои пароли. Особенно важно сделать это в первые 12 часов после того, как вы завели новый пароль. Чем чаще вы будете это делать впоследствии — тем лучше.

И да пребудет с вами сила.