2022/06/29 15:10:20

Пароли

.

Содержание

Самые популярные пароли

Основная статья: Самые популярные пароли

Безопасность пароля пользователя

2022

Слабые пароли оказались одной из ключевых проблем внешних ИТ-периметров компаний

Ненадежные пароли были обнаружены в системах и приложениях внешнего периметра почти 80% организаций. Таковы результаты проектов по анализу защищенности российских компаний, проведенных экспертами «Ростелеком-Солар» в период с начала 2021 по май 2022 года. Об этом компания сообщила 8 июля 2022 года. Подробнее здесь.

Более половины российских пользователей не соблюдают базовые требования безопасности паролей

Компания «РТК-Солар» 29 июня 2022 года представила результаты исследования уровня защищенности паролей от личных и рабочих аккаунтов россиян. Выяснилось, что отечественные пользователи не соблюдают базовые требования к безопасности паролей и правила их надежного хранения. Так, 59% опрошенных используют одинаковые пароли для разных аккаунтов, что в случае компрометации хотя бы одного из них может привести к взлому всех остальных. Кроме того, выяснилось, что 53% пользователей меняют свои пароли крайне редко, а специальными программами для надежного хранения паролей пользуются меньше 10% опрошенных.

Исследование было проведено на базе сервиса Яндекс.Взгляд. В опросе, который проходил в марте 2022 года, участвовали более 700 человек из всех восьми федеральных округов РФ. 61% опрошенных – люди в возрасте от 30 до 50 лет, 26% – младше 30 лет и 13% – старше 50 лет.

«
Исследование продемонстрировало, что пока в нашей стране интернет-пользователи недостаточно хорошо понимают необходимость соблюдения требований к защите своих аккаунтов, – сказала Людмила Севастьянова, эксперт Центра продуктов Solar inRights компании «РТК-Солар». – Гражданам мы рекомендуем применять специальное ПО для управления паролями, а организациям – обязательно рассматривать использование парольной политики как часть общей программы управления доступом в компании. Кроме того, полезно внедрять дополнительные технологии идентификации и аутентификации пользователей, например биометрию. И очень важно регулярно повышать осведомленность сотрудников в области ИБ, проводя обучение и тренинги по безопасной работе с учетными данными.
»

Аналитики «РТК-Солар» хотели выяснить, насколько надежны используемые пользователями пароли и защищены их аккаунты. 55% респондентов уверены, что соблюдают все три базовых требования к безопасности паролей. Это уникальность, длина не менее восьми знаков, а также сложность – наличие букв разного регистра, цифр и специальных символов. Еще 42% считают, что соблюдают два требования из трех. 3% пользователей признались, что их пароли слабо защищены и соответствует максимум одному требованию безопасности. Однако из ответов на один из следующих вопросов выяснилось, что лишь 41% респондентов не используют один и тот же пароль для нескольких аккаунтов. Таким образом, далеко не все из тех 55% опрошенных, которые заявили, что соблюдают три базовых требования к паролям, могут быть до конца уверены в защищенности своих аккаунтов.«Вторые глаза» инспектора 4.1 т

Участники исследования также ответили на вопрос о том, как часто они меняют свои пароли. Оказалось, что более половины респондентов делают это недостаточно часто, чтобы можно было считать аккаунт защищенным: 29% меняют пароль, только если забывают старый, 18% – реже чем раз в год, а 6% вообще никогда не меняют пароли. 28% опрошенных меняют их раз в полгода, еще 20% – раз в год. Однако эксперты по кибербезопасности советуют менять пароли от всех аккаунтов один раз в квартал, а от критичных сервисов вроде онлайн-банка – каждый месяц.

Что касается хранения паролей, ситуация также выглядит не очень обнадеживающей. 41% опрошенных ответили, что просто запоминают свои пароли. Это значит, что, скорее всего, такие пароли не соответствуют требованиям безопасности, потому что среднестатистический человек не может удержать в голове множество уникальных случайных комбинаций букв, цифр и символов. 50% респондентов используют ненадежные методы хранения паролей: записывают их на бумаге, запоминают в браузере либо хранят в текстовых файлах на устройстве, с которого входят в аккаунты. Лишь 7% пользователей используют самый безопасный способ хранения – менеджер паролей. Это программа, которая хранит пароли в зашифрованном виде, а для входа в хранилище и расшифровки нужно ввести мастер-пароль. Он также должен быть надежным, и его нужно запомнить.

Кроме того, эксперты «РТК-Солар» поинтересовались у пользователей, соблюдают ли они требования информационной безопасности на рабочем месте. В результате опроса выяснилось, что более 80% опрошенных, по их утверждению, никогда не передают свои логины и пароли от рабочих аккаунтов третьим лицам, потому что это запрещено правилами компании. При этом 5% пользователей признались, что довольно часто передают коллегам свои учетные данные. Еще 14% делают это иногда. Подобные действия создают риск компрометации доступа к аккаунту сотрудника, который поделился своим паролем с коллегой. Дальнейшая передача прав доступа к данному аккаунту уже никак не контролируется самой организацией. И если в итоге доступ будет передан за пределы компании, внешние злоумышленники могут воспользоваться этим для совершения атаки.

Единственный вопрос, по которому респонденты продемонстрировали единодушие и высокий уровень киберграмотности, касался поведения в случае звонка от представителя банка. Почти 90% опрошенных заявили, что не назовут свои логин и пароль от онлайн-банка звонящему, который выдает себя за представителя финансовой организации.

Apple, Google и Microsoft переходят на авторизацию без паролей

5 мая 2022 года Apple, Google и Microsoft объявили о том, что переходят на авторизацию без пароля на всех мобильных, декстопных платформах и в браузерах. Сообщения появились на официальных сайтах американских корпораций. Внедрить единый стандарт авторизации с помощью отпечатка пальца, скана лица или PIN-кода компании планируют с 2023 г.

Беспарольная аутентификация появится в мобильных операционных системах Android и iOS, Windows и macOS, браузерах Chrome, Edge и Safari. Вход с помощью отпечатка пальца, скана лица или PIN-кода станет возможным благодаря криптографическому токену – ключу доступа (passkey), который передается между смартфоном и сайтом.

На сайте Google подробно объясняется, как будет происходить аутентификация. Чтобы войти в приложение на смартфоне, достаточно просто разблокировать его – учетной записи больше не нужен пароль. В смартфоне будут храниться данные FIDO, которые используются для разблокировки онлайн-учетной записи.

Чтобы начать работать на ноутбуке, нужно также иметь при себе смартфон, который предложат разблокировать для получения доступа.

«
С помощью паролей на мобильном устройстве вы можете войти в приложение или службу практически на любом устройстве, независимо от платформы или браузера, на котором работает устройство. Например, пользователи могут войти в браузер Google Chrome, который работает на Microsoft Windows, используя ключ доступа на устройстве Apple, – подчеркивают на сайте Microsoft.
»

Ведущий инженер CorpSoft24 Михаил Сергеев объяснил, что речь идет не о создании, а об использовании стандарта, который создал Альянс FIDO и который уже внедрен на многие устройства.

«
Он немного напоминает двухфакторную авторизацию, типа Яндекс-ключа или Google Authenticator, где для успешной авторизации, помимо пароля, необходимо открыть приложение на мобильном устройстве и взять оттуда PIN-код для ввода его на сайте, – объясняет эксперт.

»

Компании объясняют такие меры соображения безопасности. На сайте Google отмечают, что пользователи все чаще сталкиваются с фишингом, мошенничеством и кражами паролей. На сайте Microsoft напоминают, что пароли не только трудно запомнить и отслеживать – они постепенно превращаются в главную брешь в защите учетных записей от злоумышленников.

«
Каждую секунду в мире происходит 921 парольная атака, и их стало в два раза больше за последний год, – говорят эксперты Microsoft.
»

На сайте Apple напоминают, что потребители часто используют одни и те же комбинации для разных учетных записей, что облегчает кражу данных. Кроме того, практически каждый второй задает в своих паролях номера телефонов, инициалы, даты рождений.

В то же время не все специалисты по кибербезопасности уверены в том, что стратегия Apple, Google и Microsoft действительно защитит пользователей от взломов[1].

2021

Большинство россиян используют один и тот же пароль для личного и рабочего электронных ящиков

62% россиян используют одну и ту же комбинацию символов для входа в личный и рабочий электронные ящики, а также при регистрации в социальных сетях. К такому выводу пришли эксперты аналитического центра «АльфаСтрахование». В опросе приняли участие 1,1 тыс. респондентов из всех регионов страны. Об этом стало известно 18 ноября 2021 года.

Более половины опрошенных сотрудников компаний признались, что работая из дома, используют корпоративные устройства в личных целях. В таких условиях службам безопасности компаний становится все сложнее отслеживать и предотвращать кибератаки. Зачастую виновниками становятся сами работники, не уделяющие достаточно внимания цифровой гигиене.

Так, 62% опрошенных не видят опасности в использовании для личных целей адреса рабочей электронной почты, а 48% – корпоративного мобильного телефона для получения кодов верификации при регистрации на сайтах в интернете.

Лидером среди интернет–ресурсов с регистрацией по корпоративным данным стали онлайн–магазины. 43% опрошенных рассказали, что использовали «рабочие» средства коммуникации для сетевых покупок. Чуть меньше респондентов – 40% – предпочли корпоративные данные личным при оформлении разных услуг (доставка, заказ такси и пр.). Тройку замыкают моментальные платежи. 17% сотрудников компаний рассказали о том, что хотя бы раз подтверждали транзакции, используя при этом корпоративный номер телефона или адрес электронной почты.

Довольно часто номера сотрудников компаний находятся в открытом доступе, поэтому становятся легкой добычей для телефонных мошенников. 68% опрошенных хотя бы раз сталкивались с нежелательными звонками на корпоративные телефоны, в 88% это был `спам` — рекламные предложения, информация об акциях и пр. В 12% случаев мошенники представлялись сотрудниками банков или коллегами по работе. При этом большинство сотрудников (72%), столкнувшиеся с мошенниками, приняли решение разобраться в ситуации самостоятельно. Лишь 11% опрошенных обратились в службу безопасности своей компании. Оставшиеся 17% ограничились обсуждением проблемы с коллегами.

«
При совершении покупок в интернете крайне сложно распознать недобросовестного продавца. Довольно часто под маской «хорошего» сайта скрывается фишинговый ресурс, благодаря которому конфиденциальные корпоративные данные оказываются в распоряжении злоумышленников. Они получают доступ к платежной информации, логинам и паролям от банковских приложений, а также к рабочим серверам. Итогом такого вторжения для бизнеса могут стать крупные финансовые и репутационные потери. Обеспечение кибербезопасности компании – совместная задача как ее руководителей, так и сотрудников. Необходимо обучать персонал, проводить тематические тренинги, воспитывать в коллективе ответственное отношение к корпоративным цифровым ресурсам. В свою очередь, работники не должны терять бдительность и разделять «рабочее» и «личное». Ведь использование одного и того же пароля для всех электронных ящиков в разы упрощает процесс их взлома и получения мошенниками всех желаемых данных. Для управления компанией достаточно смартфона. Его же достаточно, чтобы создать множество проблем для бизнеса, – отметила Алиса Безлюдова, директор департамента маркетинга «Медицина» группы компаний «АльфаСтрахование».
»

76% россиян запоминают свои пароли

Национальная система платежных карт (Мир Plat.Form) 5 мая 2021 года поделилась итогами исследования о том, как россияне защищаю свои данные и обращаются с паролями.

Исследование показало, что большинство опрошенных (76%) предпочитают запоминать свои пароли. 38% заявили о том, что пользуются автосохранением паролей (в телефоне или в браузерах). Чуть меньше (29%) записывают пароли на бумажном носителе (распечатка пароля, записки и др.). Некоторые респонденты предпочитают сохранять такие данные в текстовом формате на телефоне, планшете или компьютере (18%), а также пользуются специальными программами или приложениями (12%).

Помимо метода хранения паролей респонденты уделяют большое внимание их использованию. Так, 28% опрошенных предпочитают выбирать уникальные для каждого ресурса пароли. Столько же - набор из нескольких комбинаций. И только 17% респондентов пользуются одним и тем же паролем для большинства задач.

«
Мужчины в отличие от женщин, чаще пользуются специальными приложениями для хранения паролей. Эта же тенденция прослеживается среди респондентов с доходом свыше 60 тыс. рублей. Как правило, данная аудитория предпочитает использовать для защиты данных несколько паролей и демонстрирует более высокий уровень цифровой грамотности. Применять одинаковые пароли для большинства задач чаще склонны люди, менее осведомленные в этих вопросах. Кстати, мужчины реже используют один и тот же пароль: так делают 13% респондентов мужского пола против 20% опрошенных женщин, - говорит руководитель центра маркетинговых исследований Национальной системы платежных карт (Мир Plat.Form) Ирина Лобанова.

»

Руководитель направления информационной безопасности Национальной системы платежных карт (Мир Plat.Form) Артем Гутник отмечает, что важно использовать разные пароли. Так можно обезопасить себя в случае компрометации одного из ваших паролей.

Результаты опроса свидетельствуют о том, что большинство россиян используют достаточно надежный метод хранения паролей, считает Артем Гутник. Однако трети опрошенных, которая предпочитает хранить свои пароли на бумаге, стоит задуматься о более безопасном способе.

«
Безусловно, самый безопасный способ хранить пароли – это запоминать их. Однако у такого метода также есть недостатки – пароль можно просто забыть. Использование приложений для хранения паролей поможет решить эту проблему. При этом важно выбирать надежные решения и скачивать такие приложения из надежных источников, в противном случае можно потерять доступ ко всем аккаунтам. Использование автосохранения в браузерах и на телефоне безопасно, если исключить возможность того, что кто-то получит доступ к вашему устройству, где нет пароля блокировки или же он известен постороннему человеку. Хранение паролей на бумаге - самый небезопасный вариант, так как к записанной на ней информации проще всего получить доступ третьим лицам. Не редки случаи, когда люди кладут в бумажник с банковскими картами листок с записанными PIN-кодами, чего делать ни в коем случае не нужно, - объясняет Артем Гутник.

»

Большинство опрошенных (44%) устанавливают пароли средней сложности. Только 1% респондентов сообщили, что используют очень простые пароли. Очень сложный пароль чаще всего создают молодые люди от 18 до 30 лет, обратный эффект характерен для аудитории от 46 до 65 лет.

Подавляющее большинство участников опроса (71%) используют двухфакторную аутентификацию. Это по большей части характерно для группы респондентов с более высоким доходом. Старшая возрастная группа использует двухфакторную аутентификацию преимущественно на сайтах банков, а молодые люди в социальных сетях и облачных хранилищах.

Личный опрос респондентов проводился путем анкетирования, репрезентативная всероссийская выборка составила 1205 человек.

2017: Миллениалы не любят надежные пароли

Проведенное в Великобритании компании Experian, результаты которого она опубликовала 3 августа 2017 года, выявило растущий разрыв между поколениями в том, как люди управляют своими учетными записями. Миллениалы подвергаются большему риску хищения персональных данных, поскольку ставят удобство выше безопасности. Различные возрастные группы по-разному ведут себя в Сети: одни готовы испытывать неудобства, но чувствовать себя защищенными, другие пренебрегают мерами безопасности, не желая выходить из «зоны комфорта».

«
Исследование Experian в очередной раз продемонстрировало, что люди разных поколений имеют свои особенности использования интернета и управления учетными записями, паролями и логинами, — отметила Наталия Фролова, директор по маркетингу Experian в России и странах СНГ. — Младшее поколение ставит во главу угла удобство и, как правило, имеет не более 5 уникальных паролей для всех своих аккаунтов. Кроме того, такие пользователи обычно заходят во множественные аккаунты с помощью одного и того же логина социальной сети. При этом они, вероятно, не осознают, что стремление к удобству подвергает риску их личную информацию. Отмечается стремительный рост хищений персональных данных, жертвами которых становятся представители именно этой возрастной группы.
»

Более половины (55%) респондентов используют один и тот же пароль для нескольких учетных записей. Фото:www.techregar.com

Как показывают статистические данные системы Hunter от Experian, в Британии каждый год на 5% возрастает количество жертв хищения персональных данных среди пользователей в возрасте до 30 лет, причем особенно уязвимы те, кто проживает в разных типах общежитий, где одним устройством для выхода в интернет постоянно пользуются сразу несколько человек. В Британии в отношении этой группы совершается каждое третье мошенничество, связанное с хищением персональных данных.

Противоположную линию поведения выбрало старшее поколение. Представители этой категории гораздо чаще создают отдельный пароль для каждой учетной записи, заботясь о защите данных, пусть даже в ущерб своему удобству. Каждый четвертый британец сообщил, что использует 11 или более паролей.

Безусловно, такой объем информации сложно постоянно держать в памяти, отметили в Experian. Неудивительно, что значительная часть людей старше 55 лет вынуждена прилагать большие усилия, чтобы запомнить свои регистрационные данные. Такое перенапряжение памяти — растущая проблема: 4 из 10 опрошенных признались, что вынуждены пользоваться сервисом запоминания паролей, чтобы ничего не забыть. Постоянные напоминания о том, что пароли лучше не записывать, а помнить наизусть, способствуют повышению бдительности, но, одновременно, и увеличивают стресс. Более половины (55%) респондентов используют один и тот же пароль для нескольких учетных записей.

Исследование Experian также установило, что существует путаница в понимании того, что такое учетная запись — каждый третий респондент (31%) признался, что не знает этого, а еще 61% выбирали разные определения. Трое из пяти британцев (61%) не всегда понимают, с чем они выражают согласие, ставя «галочку» при регистрации нового профиля в интернете, а каждый девятый (11%) никогда этого не понимает.

«
Типичный британец имеет в среднем 26 учетных записей, или логинов, и от 6 до 10 регулярно используемых паролей, — добавила Наталия Фролова. — Сегодня удобство приобретает первостепенное значение для пользователей. Поэтому знакомый и часто вызывающий досаду процесс восстановления пароля, в котором для аутентификации нужно ответить на несколько «секретных вопросов», может потерять актуальность. Возможно, мы уже достигли предельного количества паролей.
»

Для предотвращения кражи персональных данных Experian рекомендует:

  • Не реагировать на телефонные звонки и электронные сообщения от неизвестных лиц.
  • Создать отдельные пароли для разных учетных записей — в особенности для электронной почты и интернет-банка.
  • Придумать надежные пароли, состоящие из трех произвольных слов — можно составить их, добавляя цифры и символы, а также буквы в верхнем и нижнем регистре.
  • При использовании общедоступных сетей Wi-Fi не заходить на сайты, где нужно вводить пароль (например, в свой банк, социальные сети и электронную почту) и не вводить личную информацию, такую как реквизиты банковской карты.
  • Всегда загружать новейшее программное обеспечение на телефон, планшет или компьютер. Это увеличит вашу защиту от вредоносных программ.

2016: Пароли как белье - меняйте их регулярно и не показывайте на публике

  • Создавайте разные пароли для разных учетных записей. Если вы используете одни и те же учетные данные для входа в разные учетные записи, то несанкционированный доступ даже в одну из них ставит под угрозу все остальные.
  • Не сообщайте никому свои пароли. Пароль — это секретное слово или фраза по определению, поэтому хорошо подумайте, прежде чем передавать его кому-либо.
  • Регулярно меняйте пароли. Даже если вы используете надежный пароль, меняйте его регулярно. Вы можете не сразу заметить несанкционированный доступ к своей учетной записи, поэтому регулярно меняйте пароли, а лучше создайте график их изменения, чтобы не забывать об этом!
  • Не используйте в паролях информацию, связанную с вашей личностью. Множество надежных паролей трудно запомнить. Чтобы упростить запоминание паролей, многие пользователи используют в них значимые для себя имена и даты. Однако преступники могут использовать вашу публично доступную информацию и учетные записи в социальных сетях для получения этих данных и разгадывания паролей.
  • Используйте двухфакторную аутентификацию. Хотя создание надежных паролей — лучший первый шаг к безопасности, добавить дополнительный слой защиты в виде двухфакторной аутентификации никогда не помешает. В этом случае пароль дополняется еще одним условием. Часто это код безопасности, высылаемый на мобильное устройство пользователя, и без этого кода выполнить вход в учетную запись невозможно[2].

2014

Пароли, составленные по правилам грамматики, легко взломать

Ис­сле­до­ва­те­ли из уни­вер­си­те­та Кар­не­ги-Мел­ло­на раз­ра­бо­та­ли экс­пе­ри­мен­таль­ный ал­го­ритм под­бо­ра па­ро­ля, ис­поль­зу­ю­щий грам­ма­ти­че­ские пра­ви­ла, и про­ве­ри­ли его эф­фек­тив­ность на 1400 с лиш­ним па­ро­лях дли­ной в 16 и более сим­во­лов. При­мер­но 18% из этих па­ро­лей было со­став­ле­но из несколь­ких слов, объ­еди­нен­ных по пра­ви­лам грам­ма­ти­ки в ко­рот­кую фразу. Хотя такие па­ро­ли легче за­пом­нить, на­ли­чие струк­ту­ры су­ще­ствен­но огра­ни­чи­ва­ет число воз­мож­ных со­че­та­ний и об­лег­ча­ет также и за­да­чу взло­ма, ука­зы­ва­ют исследователи.

Длина па­ро­ля сама по себе не может ха­рак­те­ри­зо­вать его на­деж­ность. Слож­ность взло­ма двух па­ро­лей оди­на­ко­вой длины может от­ли­чать­ся на по­ря­док в за­ви­си­мо­сти от их грам­ма­ти­че­ской струк­ту­ры. На­при­мер, ме­сто­име­ний в языке мень­ше, чем гла­го­лов, при­ла­га­тель­ных и су­ще­стви­тель­ных, и по­это­му па­роль Shehave3cats, на­чи­на­ю­щий­ся с ме­сто­име­ния She, го­раз­до сла­бее, чем Andyhave3cats, на­чи­на­ю­щий­ся с имени Andy.

Ис­сле­до­ва­те­ли учли хо­ро­шо из­вест­ные воз­мож­но­сти за­ме­ны букв по­хо­жи­ми циф­ра­ми, из­ме­не­ния ре­ги­стра и до­бав­ле­ния в конце зна­ков пре­пи­на­ния. Они тоже не столь за­мет­но по­вы­ша­ют на­деж­ность па­ро­лей, как утвер­жда­ют неко­то­рые, счи­та­ют авторы.

Для большинства сайтов лучше использовать простые пароли

Все мы не раз слышали, что для любой учетной записи следует определять уникальные и сложные пароли, используя для их хранения специальную утилиту. Однако исследователи из Microsoft Research пришли к выводу, что такой подход может оказаться неверным (данные лета 2014 года). На первый взгляд, общепринятые рекомендации выглядят вполне логично.

При использовании для каждого сайта и сервиса длинных и сложных паролей, состоящих из случайных комбинаций символов, вероятность их взлома резко снижается, а в случае компрометации пароля под угрозой оказывается лишь одна учетная запись. Запомнить случайную последовательность из 10-20 символов довольно сложно, и тут на помощь приходят утилиты управления паролями, позволяющие хранить их все в одном месте. Все просто. На практике же большинство людей игнорируют сложные пароли, не говоря уже об использовании уникального пароля для каждого сайта и сервиса. При масштабных утечках мы видим, что мало кто следует рекомендациям по выбору пароля. Отношение к утилитам управления паролями тоже весьма скептическое. Ведь забыв пароль от утилиты, вы лишаетесь сразу всех своих паролей, а при взломе соответствующей программы или сервиса злоумышленник получает доступ ко всей вашей информации в полном объеме. Поэтому исследователи предлагают использовать простые пароли на сайтах, где хранятся данные, не представляющие особой ценности, а сложные пароли оставить для банковских учетных записей. Решать вам. Если вопреки рекомендациям экспертов по безопасности вы продолжаете сплошь и рядом использовать простые пароли, возможно, имеет смысл придерживаться именно такого подхода.

Критерии стойкости пароля

Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.

  • Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.

  • Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
  • Пароль не должен состоять только из общедоступной информации о пользователе.

В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.


Microsoft провела летом 2014 года исследование систем безопасности и выяснила, что лучше всего использовать короткие и простые пароли для сайтов, не хранящих личную информацию. Длинными и сложными паролями следует защищать свои учетные записи на web-ресурсах, содержащие банковские данные, имена, фамилии, пароли и т.д.

Повторное использование пароля является табу для специалистов по безопасности в последние годы после огромного количества кибервзломов и утечек личных данных. Рекомендации специалистов кажутся достаточно логичными.

Хакеры, располагая адресами электронной почты и паролями, могли использовать эти учетные данные в отношении других сайтов, чтобы получить к ним незаконный доступ. В свою очередь, повторное использование пароля на сайтах с низкой степенью защиты от кибервзломов необходимо для того, чтобы пользователи могли вспомнить уникальные коды, выбранные для более серьезных ресурсов. Специалисты Microsoft все же рекомендуют пользователям использовать простые пароли на бесплатных сайтах, не содержащих важную информацию. Лучше всего, говорят ИТ-эксперты, `попридержать` длинные и уникальные пароли для банковских сайтов и других хранилищ конфиденциальной информации.

Цифры и регистр не делают пароль надежнее

Ученый из Университета Глазго со своим коллегой из исследовательской лаборатории Symantec выяснили, что цифры и символы верхнего регистра не делают пароль более надежным. Результаты опубликованы осенью 2015 года[3][4] в сборнике ACM CSS 2015.

Исследователи использовали интеллектуальные алгоритмы, которые предварительно были обучены на базе данных, представляющей 10 млн паролей, имеющихся в сети в открытом виде. Далее они проверили эффективность алгоритмов на 32 млн других паролей. Выяснилось, что цифры и символы верхнего регистра не позволяют усложнить пароль. Такого эффекта можно достичь удлинением пароля или использованием специальных символов.

Исследователи говорят, что люди обычно используют символы верхнего регистра в начале своего пароля, а цифры — в конце. По словам авторов, чтобы сделать пароль более надежным, необходимо удлинить его и добавить специальные символы.

Методы защиты от атаки

Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.

Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.

Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.

Генерация пароля в Unix-подобных ОС

В Unix-подобных операционных системах можно использовать утилиту pwgen. Например

pwgen 10 1

сгенерирует 1 пароль длиной 10 символов.

Взлом паролей

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.

Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.

Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.

При этом могут быть использованы следующие подходы:

  • Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
  • Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
  • Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.

Для проведения атаки разработано множество инструментов, например, John the Ripper.

2022

Фишинговый инструмент, который позволяет проводить атаки «браузер-в-браузере» для кражи логинов и паролей

23 марта 2022 года сало известно о том, что эксперт по безопасности известный под ником mr.dox, опубликовал на GitHub код фишингового инструмента, который позволяет создавать фальшивые окна браузера Chrome. Его назначение - перехватывать реквизиты доступа (логин и пароль) к онлайн-ресурсам. Подробнее здесь.

Названы основные способы кражи паролей у россиян

1 февраля 2022 года компания «Пиархаб» сообщила, что базы украденных данных в даркнете уже насчитывают более 8,5 млрд паролей с привязкой к конкретному пользователю, и эта цифра продолжает расти. Россия в 2021 году заняла первое место в мире по числу утечек паролей на душу населения - почти 20 на человека.

Иллюстрация: cgsinc.com

Вместе с разработкой вредоносных программ злоумышленники используют методы социальной инженерии и подглядывание офлайн.

Получая доступ к учетной записи, злоумышленники могут:

  • украсть деньги с банковских счетов, аккаунтов на биржах, криптовалютных площадок и депозитов в онлайн-магазинах;
  • похитить аккаунты в соцсетях и других личных кабинетах, чтобы проворачивать аферы, направленные на пользователей из списка контактов;
  • получить контроль над персональными устройствами, если пользователь применяет один и тот же пароль на все случаи жизни.

Киберспециалисты выделяют шесть основных способов паролей.

  • Фишинг. Злоумышленники пользуются невнимательностью и доверчивостью людей, маскируя вредоносные письма под рассылку от известных компаний или сообщения от близких жертвы. При переходе на поддельные сайты из таких писем и попытке авторизоваться, личные данные вместе с паролями становятся добычей мошенников.
  • Вишинг (телефонное мошенничество). Аферисты звонят жертве, представляются сотрудниками банка, социального фонда или иной организации. Под различными предлогами мошенники пытаются выведать конфиденциальную информацию.
  • Вирусное ПО. Существует множество разновидностей вредоносных программ для хищения личных данных, среди которых кейлогеры, трекеры пользовательской активности, отслеживание скриншотов и т.д. Иногда достаточно кликнуть на сомнительный баннер в интернете, чтобы вредонос попал на устройство. Часто опасное ПО распространяется через мобильные приложения, особенно если они загружены из неофициальных источников.
  • Брутфорс (подбор пароля). Обилие учетных записей в разнообразных сервисах провоцирует пользователей на создание простых небезопасных паролей или использование одинаковых ключей. Это играет на руку злоумышленникам, поскольку позволяет использовать подбор комбинаций для угадывания чужого пароля. Перебор осуществляется в автоматическом режиме, а для ускорения процесса используются шаблоны из ранее взломанных аккаунтов. Только в 2020 году во всем мире было совершено 193 млрд атак с помощью брутфорса.
  • Угадывание. Иногда для взлома пароля даже не требуется специальное ПО, потому что пароль можно просто угадать. Первым по угадыванию паролем с 2020 года остается «123456», за ним следует «123456789», на третьем месте оказался «picture1», на четвертом - «password».
  • Плечевой сёрфинг (подглядывание). Эта классическая техника не теряет актуальность в цифровую эпоху. С помощью скрытого наблюдения за действиями человека в общественных местах можно узнать не только PIN-код от банковской карты, но и пароль от соцсети и других аккаунтов. К более технологичному варианту такой атаки можно отнести метод «человек посередине», когда злоумышленник перехватывает конфиденциальные данные при подключении к публичным Wi-Fi. Для этого мошенники создают собственную Wi-Fi сеть с названием торгового центра или транспортного терминала.

Чтобы избежать кражи паролей, следует:

  • всегда использовать сложные пароли с большим количеством символов;
  • никогда не использовать один и тот же пароль для разных аккаунтов;
  • включить двухфакторную аутентификацию для всех учетных записей;
  • использовать менеджер паролей с хорошим рейтингом для безопасного хранения паролей и удобной авторизации;
  • никогда не сообщать по телефону учетные данные, даже если собеседник представляется сотрудником известной организации и располагает персональной информацией о пользователе;
  • сразу же менять пароль, если администрация сервиса сообщает, что данные могли быть взломаны;
  • для авторизации использовать только сайты, поддерживающие протокол HTTPS с шифрованием данных;
  • не переходить по ссылкам и не открывать вложения в подозрительных сообщениях;
  • загружать мобильные приложения только из официальных магазинов;
  • использовать проверенное антивирусное ПО для всех устройств;
  • регулярно обновлять операционные системы, программы и приложения, а также сетевое оборудование;
  • остерегаться излишне любопытных сторонних наблюдателей в общественных местах;
  • не входить в учетную запись при подключении к общественному Wi-Fi.

2021: В Сеть выложили файл с более чем 8 млрд паролей

8 июня 2021 года стало известно о том, что хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества. Подробнее здесь.

2019: Число пользователей, атакованных программами для кражи паролей, увеличилось на 72%

Согласно статистике «Лаборатории Касперского», в 2019 году в мире значительно выросло число пользователей, атакованных программами для кражи паролей, — на 72%. Об этом Kaspersky сообщил 28 января 2020 года. Всего продукты компании отразили подобные атаки на устройствах почти двух миллионов пользователей. Программы для кражи паролей умеют извлекать информацию напрямую из браузеров. Это могут быть в том числе логины и пароли к различным аккаунтам, сохранённые данные платёжных карт и содержимое форм для автозаполнения.

Кроме того, в 2019 году значительно выросло число фишинговых атак, в ходе которых злоумышленники, как правило, пытаются заполучить личные и платёжные данные пользователей. В этот период решения «Лаборатории Касперского» ежемесячно предотвращали в среднем 38 миллионов попыток перехода пользователей на мошеннические сайты. Фишеры пристально следят за новостной повесткой и используют интерес публики к разным крупным событиям и знаменитостям, придумывая официально выглядящие приманки и хитростью вынуждая человека нажать на вредоносную ссылку или оставить личные данные.

«
Количество данных, генерируемых пользователями, постоянно растёт, как и их ценность для злоумышленников, которые, в частности, продают чужую личную информацию на закрытых форумах. Для получения доступа к активам используются разные методы, в том числе программы для кражи паролей и фишинг. Если вы обнаружили, что ваши данные из какого-либо сервиса утекли в сеть, следует сразу поменять пароль для входа в аккаунт. Существуют также базовые правила, соблюдение которых помогает снижать риски от возможных утечек и злонамеренного использования данны,
комментирует Татьяна Сидорина, старший контент-аналитик «Лаборатории Касперского»
»

Чтобы защитить конфиденциальную информацию, «Лаборатория Касперского» рекомендует пользователям:

  • не переходить по подозрительным ссылкам в социальных сетях, мессенджерах и почте;
  • установить надёжное защитное решение, такое как Kaspersky Security Cloud, которое обладает функцией проверки аккаунта и уведомляет, если данные утекают в сеть;
  • придумать надёжные пароли для всех своих аккаунтов (от 12 символов, с буквами в разном регистре, цифрами и специальными символами) и примерно раз в три месяца менять их, а также хранить пароли грамотно — не записывать на листочке или в телефоне, а использовать специальные менеджеры паролей;
  • где возможно, включить двухфакторную авторизацию;
  • перед тем как установить программу, ознакомиться с пользовательским соглашением — именно в нём содержится информация о том, как приложение будет обращаться с личными данными;
  • предоставлять приложениям доступ только к тем функциям, которые действительно требуются. Если, например, приложение-фонарик запрашивает доступ к микрофону или камере — это повод насторожиться;
  • попробовать онлайн-инструмент Privacy Checker – сайт, на котором собраны описания настроек приватности и конфиденциальности.

Стоимость паролей на рынке хакеров

Основная статья: Расценки пользовательских данных на рынке киберпреступников

Методы передачи пароля через сеть

Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

Передача через зашифрованные каналы

Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.

Базирующийся на хешах

Пароль передается на сервер уже в виде хэша (например, при отправке формы на web-странице пароль преобразуется в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.

Многофакторная (двухфакторная) аутентификация

Правила управления паролями пользователей

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

  • Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
  • Требование повторного ввода пароля после определенного периода бездействия.
  • Требование периодического изменения пароля.
  • Назначение стойких паролей (генерируемых с использованием аппаратного источника случайных чисел, либо с использованием генератора псевдослучайных чисел, выход которого перерабатывается стойкими хэш-преобразованиями).

Для собственной безопасности пользователь должен учитывать несколько факторов при составлении пароля:

  • по возможности его длина должна быть больше 8 символов;
  • в составе пароля должны отсутствовать словарные элементы;
  • должны использоваться не только нижний, но и верхний регистры;
  • пароль должен состоять из цифр, букв и символов;
  • пароль должен отличаться от логина (имени пользователя);
  • при регистрации на каждом новом сайте пароль должен меняться

2020: «Ростелеком»: 80% российских компаний не соблюдают базовых требований к паролям

4 июня 2020 года компания «Ростелеком-Солар» сообщила, что по результатам проведенного исследования около 80% компаний не соблюдают базовых правил парольной защиты. При этом практически в каждой тестируемой корпоративной сети специалистам по анализу защищенности удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, с большой вероятностью способную привести к краже финансовых средств или конфиденциальной информации.

Эксперты предупреждают: недостатки, связанные с паролями, могут привести к полной компрометации внутренней сети и утечке критически важных для организации конфиденциальных данных. Особенно опасно то, что эксплуатация таких недостатков не требует со стороны злоумышленников специальных технических средств и позволяет им долго оставаться незамеченными внутри корпоративной сети.

В основу исследования «Ростелеком-Солар» легли данные, полученные экспертами компании в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария: проникновение в корпоративную сеть извне, а также имитацию действий внутреннего нарушителя.

Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и т.п.), а также отсутствие блокировок учетных записей, что позволяет проводить атаки на подбор паролей.

Основной недостаток, обнаруженный при внутреннем тестировании на проникновение, – использование сотрудниками одинаковых паролей учетных записей с различными правами. Например, в целях безопасности системным администраторам, как правило, выдаются две учетные записи: пользовательская, в которой он работает по умолчанию, и привилегированная административная, используемая по мере необходимости. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности. Подобные недостатки эксперты «Ростелеком-Солар» эксплуатируют в большинстве исследуемых корпоративных сетей.

Еще одна распространенная ошибка – хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. Например пароли в груповых политиках или записанные рядовым сотрудником пароли в текстовых файлах на рабочей станциях. В такой ситуации даже случайное попадание вредоносного ПО на машину одного сотрудника становится критической угрозой безопасности всей организации. Если злоумышленник попадает на машину пользователя и находит такой документ, он моментально получает управление привилегированными учетными записями, проникая вглубь компании.

В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.

«
«Основная причина, которая ведет к подобным недостаткам – это человеческий фактор. Сотрудники компаний часто обладают недостаточной киберграмотностью и в результате стараются либо упростить пароли, либо хранят их в открытом доступе: в файле на компьютере или на стикере рядом с монитором. С другой стороны, сами системные администраторы порой недостаточно следят за тем, как хранятся учетные данные, или допускают создание пользователями слабых паролей. Нередко при заведении новых учетных записей в них по умолчанию устанавливается простой дефолтный пароль, который потом долго не меняют»,

отметил Александр Колесов, руководитель отдела анализа защищенности компании «Ростелеком-Солар»
»

Решить проблему, по мнению экспертов компании, можно введением двухфакторной аутентификации пользователей. Однако из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.

2014: Кража паролей – главный риск безопасности корпоративных данных

Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.

Кража паролей – главный риск безопасности корпоративных данных. Об этом предупреждают летом 2014 года эксперты антивирусной компании ESET (Словакия). 76% сетевых атак на компании стали возможны из-за ненадежных или украденных паролей (Министерство предпринимательства, инноваций и ремесел Великобритании (Department for Business, Innovation and Skills) и PWC). Средний ущерб от потери информации зависит от типа атаки и действующего законодательства в области защиты данных и достигает 199 евро за одну учетную запись. При этом такие параметры как простои в работе персонала, снижение производительности, репутационные потери и утрата активов, в том числе, объектов интеллектуальной собственности, не поддаются исчислению (Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis).

В центре внимания киберпреступников – компании малого и среднего бизнеса. Они не всегда являются основной мишенью, но часто становятся жертвами из-за имеющихся нарушений системы безопасности. По некоторым данным, 67% кибератак направлены на малые компании, при этом 76% атак являются незапланированными. 75% атак предпринимается преступниками ради финансовой выгоды (Verizon Data Breach Report, 2013).

66% нарушений системы безопасности компании могут месяцами оставаться незамеченными, подвергая риску корпоративную информацию. В числе наиболее распространенных «дыр» в защите – проблемы с паролями: 61% пользователей используют один и тот же пароль, а 44% – меняют пароль только раз в год (CSID Customer Survey: Password Habits 2012).

Что можно использовать вместо пароля

В 2004 г. Билл Гейтс предрек гибель парольной защиты, и с того времени ее охват начал постепенно ослабевать. Несмотря на то, что пароли известны как один из старейших инструментов безопасности в мире ПО и Интернета, они все чаще подводят пользователей, не справляясь с задачей по обеспечению безопасности самой ценной информации. Слабое звено парольной защиты заключается в плохой управляемости, люди попросту устали от нее. Практически у каждого из нас есть множество онлайн-аккаунтов — банковских, медицинских, для интернет-магазинов и социальных сетей. В среднем на человека приходится 40 учетных записей. Запомнить различные пароли для каждого из них практически невозможно, и поэтому люди прибегают ко всякого рода уловкам[5].

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.

  • Одноразовые пароли
  • Биометрия
  • Технология единого входа
  • OpenID

Сканеры радужной оболочки глаза

Следующий шаг в развитии ПО для распознавания радужной оболочки глаза — система распознавания жестов. Она позволит пользователям разблокировать телефоны или входить на банковские счета, ориентируясь на движение глаз. Одним из элементов шаблона, который она будет принимать во внимание, является моргание глаза. В будущем этот биометрический пароль может быть развернут на всех мобильных устройствах и компьютерах.

Мозговые волны

Вместо того, чтобы запрашивать пароль на вход, компьютер мог бы измерять мозговые волны пользователя, сопрягаясь с носимым устройством для электроэнцефалографии. Датчики будут сканировать мозговую активность, которая затем может быть использована для запуска определенного программного действия, например, для разблокировки мобильного устройства.

То, что парольная защита уже устарела — предмет активных обсуждений в течение последних двух десятилетий, правда, у нее всегда было не так много альтернатив. Однако сегодня, на заре бесконтактной аутентификации, остается все меньше причин, чтобы возвращаться к защите со статическими паролями, которые легко подобрать. Для этого существует больше возможностей, чем когда-либо прежде — от двухфакторной аутентификации до биометрических и аппаратных ключей, которые позволяют обеспечить защиту вашей компании и ценных данных.

Шаблоны сердечных ритмов

Исследователи изобрели способ, чтобы применять полученные образцы сердечных ритмов в целях безопасности. Отслеживание осуществляется с помощью носимых устройств, которые фиксируют сердечные ритмы людей и превращают электрокардиограмму в уникальные ключи, которые могут разблокировать телефоны или открывать приложения.

Аппаратные ключи

Переход на процедуру идентификации в режим офлайн с использованием физического ключа может показаться устаревшим, но важно другое — она обеспечивает надежную защиту от хакеров. Аппаратные ключи безопасности, обладающие USB-разъемами, NFC или Bluetooth, можно использовать для безопасного и надежного переключения между смартфонами, ноутбуками и компьютерами. Работа токенов безопасности FIDO (Fast ID Online) устроена следующим образом: пользователи подключают их к компьютеру для аутентификации своей учетной записи, и затем их можно отключить. Это удобное решение для сотрудников, которые работают с устройствами не только в офисе, но и дома.

SMS

В потребительском секторе в качестве формы верификации для входа на онлайн-сервисы все чаще применяют SMS. Для этого пользователи предоставляют номер телефона, который обычно предварительно привязан к учетной записи. Непосредственно при входе они отправляют свой номер телефона и получают SMS-сообщение, которое они затем должны ввести. Пароль не требуется.

Технология идентификации по отпечаткам пальцев

Технология Touch ID существует уже несколько лет, но она все еще зависима от ввода пароля — после истечения времени ожидания доступ можно переопределить на пин-код. Не исключено, что в будущем помимо мобильных телефонов появятся и другие устройства, которые можно будет разблокировать при помощи касаний — ноутбуки, компьютеры, электронные автомобили и даже входные двери. Поощряя сотрудников к более широкому применению технологии идентификации по отпечаткам пальцев как части многофакторной аутентификации, например, вместе с пин-кодом, предприятие тем самым обеспечит бóльшую безопасность.

Цифровой отпечаток

В качестве одной из форм пароля может использоваться анализ характеристик устройств, но при условии, что поведение сети, устройства и его местоположение регулярно повторяется. Эти характеристики создают «цифровой отпечаток», и в случае обнаружения необычной активности (к примеру, фиксируется вход в систему из места, где устройства по логике не должно быть, или вход с чужого компьютера) в доступе будет отказано или для этой учетной записи включится проверка безопасности — пользователю по электронной почте будет отправлено предупреждение о входе в его аккаунт или push-уведомление.

Распознавание подписи

Всякий раз, когда Вы платите по банковской карте или вынуждены подписывать цифровой экран электронным карандашом, для подтверждения Вашей личности используются системы распознавания подписи. В этом случае система сравнивает Вашу подпись с тем образцом подписи, который хранится в банковской системе.

Однако это не простое сравнение двух картинок. Специальная программа безопасности не только размещает две картинки рядом друг с другом, чтобы проверить, совпадают ли они, или, по крайней мере, похожи ли они. На самом деле, система распознавания подписи сравнивает способ создания этих двух изображений, осуществляя поиск одинакового поведенческого шаблона.

Преимущества и недостатки

Хотя может показаться, что подделать подпись достаточно просто, тем не менее, практически невозможно повторить скорость написания и оказываемое при этом давление. Так что, системы распознавания подписи, использующие самые передовые технологии, становятся идеальной заменой для паролей в операциях, например, с корпоративными банковскими счетами.

Впрочем, как и у всех других методов идентификации, и здесь имеются свои минусы. Один из главных недостатков заключается в том, что в силу целого ряда причин каждый из нас может подписываться по-разному, и это серьезная проблема. Чтобы система была практичной, важно уметь отличать, например, медленно сделанную подпись в результате какой-то травмы или в результате попытки подделать ее.

Кроме того, как минимум в настоящее время это не совсем эффективный способ доступа к сервисам. В самом деле, когда Вы подписываете что-то при оплате за что-то, эти данные не используются в реальном времени. Вместо этого, данные отправляются в Ваш банк, где будут проверены позже.

Однако наличие недостатков в системах распознавания подписей все равно не закрывает двери перед этой технологией. Вполне вероятно, что будущие корпоративные банковские операции будут разрешаться просто по подписи на планшете или смартфоне.

Пароли на основе смайликов

По данным лета 2015 года Британская компания Intelligent Environments утверждает, что изобрела способ использовать ряд из смайликов, картинок выражения эмоций, который заменит цифровой PIN-код на смартфоне, чтобы наш мозг смог легче запомнить данную последовательность, ведь люди легче запоминают осознанный ряд картинок. Использование «эмоционального» ПИН-кода основано на эволюционной способности людей помнить изображения. Кроме того, увеличенная сложность такого метода усложняет подбор ПИН-кода.

Традиционный четырехзначный ПИН — это четыре цифры от 0 до 9 с повторениями — всего 104 или 10 000 повторений. Число «эмоциональных картинок» равно 444 или 3 748 096, что, согласитесь, куда больше.

Стоит отметить, что данная технология — это, скорее всего, будущее, причем достаточно далекое.

История паролей

Пароли использовались с древнейших времён. Полибий (201 до н. э.) описывает применение паролей в Древнем Риме следующим образом:

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль — деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему.

Пароли использовались в компьютерах с первых их дней. CTSS от MIT была одна из первых открытых систем, появившись в 1961 г. Она использовала команду LOGIN для запроса пароля пользователя.

Роберт Моррис предложил идею хранения паролей в хэш-форме для операционной системы UNIX. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для изменения формы с алгоритмом DES, в 25 раз снижая риск перебора по словарю.

Смотрите также

Примечания

  1. Apple, Google и Microsoft переходят на авторизацию без паролей
  2. TeamViewer, поставщик программного обеспечения для удаленного управления устройствами и интерактивной совместной работы, отмечает Всемирный день пароля (5 мая 2016 г.) и делится простыми и эффективными советами по защите учетных данных. Помимо создания надежных паролей, TeamViewer настоятельно рекомендует пользователям применять двухфакторную аутентификацию в качестве дополнительного уровня защиты от несанкционированного доступа.
  3. Monte Carlo Strength Evaluation: Fast and Reliable Password Checking
  4. Цифры и регистр не делают пароль надежнее
  5. Идентификация и управление доступом: какие методы появятся в будущем?