Отже, ви думаєте, що ваші Інтернет-паролі надійні?
Пол Хаскелл-Дауленд
, Автор надано

Паролі використовувались тисячоліттями як засіб ідентифікації себе з іншими, а останнім часом і з комп’ютерами. Це проста концепція - спільна інформація, яка зберігається в секреті між особами та використовується для «доказування» особистості.

Паролі в ІТ-контексті виник у 1960-х з мейнфрейми комп’ютери - великі централізовані комп’ютери з віддаленими „терміналами” для доступу користувачів. Зараз вони використовуються для всього: від PIN-коду, який ми вводимо в банкоматі, до входу в систему на наших комп’ютерах та різних веб-сайтах.

Але чому нам потрібно «доводити» свою ідентичність системам, до яких ми отримуємо доступ? І чому паролі так важко отримати правильно?

Що робить хороший пароль?

До порівняно недавнього часу хорошим паролем могло бути слово чи фраза, яка містила б від шести до восьми символів. Але зараз у нас є мінімальні правила щодо довжини. Це через «ентропію».

Якщо говорити про паролі, то ентропія - це міра передбачуваності. Математика, яка стоїть за цим, не є складною, але давайте розглянемо її з ще більш простим показником: кількістю можливих паролів, які іноді називають «простором паролів».


Innersele підписатися графіка


Якщо односимвольний пароль містить лише одну малу літеру, існує лише 26 можливих паролів (від “a” до “z”). Включаючи великі літери, ми збільшуємо наш простір паролів до 52 потенційних паролів.

Простір паролів продовжує розширюватися із збільшенням довжини та додаванням інших типів символів.

Зростання пароля довшим або складнішим значно збільшує потенційний "простір паролів". Більше місця для паролів означає більш безпечний пароль.

Зростання пароля довшим або складнішим значно збільшує потенційний "простір паролів". (тому ви думаєте, що ваші паролі в Інтернеті захищені)

Переглядаючи наведені вище рисунки, легко зрозуміти, чому нам рекомендується використовувати довгі паролі з великими та малими літерами, цифрами та символами. Чим складніший пароль, тим більше спроб його вгадати.

Однак проблема залежно від складності пароля полягає в тому, що комп’ютери високоефективні при повторенні завдань, включаючи вгадування паролів.

Минулого року а був встановлений рекорд для комп’ютера, який намагається генерувати всі мислимі паролі. Він досяг швидкості, що перевищує 100,000,000,000 XNUMX XNUMX XNUMX здогадок в секунду.

Використовуючи цю обчислювальну потужність, кіберзлочинці можуть зламати системи, бомбардуючи їх якомога більшою кількістю комбінацій паролів, у процесі, який називається напади грубої сили.

А за допомогою хмарної технології вгадування пароля з восьми символів можна досягти всього за 12 хвилин і коштувати лише 25 доларів США.

Крім того, оскільки паролі майже завжди використовуються для надання доступу до конфіденційних даних або важливих систем, це спонукає кіберзлочинців активно їх шукати. Це також сприяє прибутковому онлайн-ринку продажу паролів, деякі з яких містять адреси електронної пошти та / або імена користувачів.

Ви можете придбати майже 600 мільйонів паролів в Інтернеті всього за 14 доларів США!

Як паролі зберігаються на веб-сайтах?

Паролі веб-сайтів зазвичай зберігаються захищеним способом із використанням математичного алгоритму, який називається хешування. Хешований пароль неможливо впізнати і не може бути перетворений назад у пароль (незворотний процес).

Коли ви намагаєтесь увійти, пароль, який ви вводите, хешується за допомогою того ж процесу і порівнюється з версією, що зберігається на сайті. Цей процес повторюється кожного разу, коли ви входите в систему.

Наприклад, паролю “Pa $$ w0rd” надається значення “02726d40f378e716981c4321d60ba3a325ed6a4c” при обчисленні за допомогою алгоритму хешування SHA1. Спробуй це себе.

Зіткнувшись із файлом, заповненим хешованими паролями, може бути використана атака грубої сили, випробовуючи кожну комбінацію символів для діапазону довжини пароля. Це стало настільки поширеною практикою, що існують веб-сайти, які перелічують загальні паролі поряд із їх (розрахованим) хеш-значенням. Ви можете просто шукати хеш, щоб відкрити відповідний пароль.

Крадіжка та продаж списків паролів зараз настільки поширена, a спеціальний веб-сайт - haveibeenpwned.com - доступний, щоб допомогти користувачам перевірити, чи є їхні облікові записи “в дикій природі”. Це зросло, включаючи понад 10 мільярдів реквізитів.

Якщо ваша електронна адреса вказана на цьому веб-сайті, вам обов'язково слід змінити виявлений пароль, а також на будь-яких інших сайтах, для яких ви використовуєте ті самі дані.

Чи є складність рішенням?

Можна подумати, що з такою кількістю порушень паролів, які відбуваються щодня, ми покращили б наші практики вибору паролів. На жаль, торішній щорічний Опитування пароля SplashData показав незначні зміни протягом п’яти років.

Щорічне опитування паролів SplashData 2019 року показало найпоширеніші паролі з 2015 по 2019 рік.Щорічне опитування паролів SplashData 2019 року показало найпоширеніші паролі з 2015 по 2019 рік.

У міру збільшення обчислювальних можливостей рішення, здається, збільшується в складності. Але, як люди, ми не вміємо (і не спонукаємося) запам’ятовувати дуже складні паролі.

Ми також пройшли момент, коли використовуємо лише дві-три системи, які потребують пароля. Зараз загальнодоступним є доступ до численних веб-сайтів, для кожного з яких потрібен пароль (часто різної довжини та складності). Недавнє опитування показує, що в середньому існує 70-80 паролів на людину.

Хороша новина полягає в тому, що є засоби для вирішення цих проблем. Більшість комп’ютерів тепер підтримують зберігання паролів як в операційній системі, так і у веб-браузері, як правило, з можливістю обміну збереженою інформацією на декількох пристроях.

Прикладом є Apple ICloud брелок і можливість зберігати паролі в Internet Explorer, Chrome та Firefox (хоча менш надійний).

Менеджери паролів такі як KeePassXC може допомогти користувачам створювати довгі, складні паролі та зберігати їх у безпечному місці, коли вони потрібні.

Незважаючи на те, що це місце все ще потрібно захищати (як правило, з довгим «головним паролем»), використання менеджера паролів дозволяє вам мати унікальний, складний пароль для кожного веб-сайту, який ви відвідуєте.

Це не завадить викрасти пароль із вразливого веб-сайту. Але якщо його вкрадуть, вам не доведеться турбуватися про зміну того самого пароля на всіх інших ваших сайтах.

Звичайно, у цих рішеннях також є вразливі місця, але, можливо, це історія на інший день.

Про авторів

Пол Хаскелл-Дауленд, заступник декана (обчислювальної техніки та безпеки), Університет Едіт Кован та Бріанна О'Ші, викладач з етичного злому та захисту, Університет Едіт Кован

Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.