Вводь пароль і входь: комп’ютерні паролі мають легко запам’ятовуватись і бути надійними

Більшість людей дотримуються тільки першої вимоги й нехтують другою. Вчені намагаються допомогти їм. 

Без паролів комп’ютерну безпеку уявити неможливо. Однак зачасто вони виявляються неефективними. Дієвий пароль має бути водночас легким для запам’ятовування й важким для відгадування. Та на практиці люди, схоже, дбають лише про перше й зовсім нехтують другим. Серед найпопулярніших варіантів – імена дружин, чоловіків і дітей. Дехто доводить простоту до крайнощів: один колишній заступник редактора The Economist багато років використовував тільки літеру «z».

А коли хакери зламали сайт ігрової соціальної мережі RockYou і вкрали 32 млн паролів, виявилося, що 1,1% користувачів веб-ресурсу (а це 365 тис. осіб) використовували тільки послідовність цифр «123456» або «12345».

Така передбачуваність дає змогу розробникам програм безпеки (а також кібер-злочинцям) створювати цілі словники поширених паролів – справжній клондайк для кожного охочого зламати чужий сайт. Утім, хоч розробники й знають, що ті ключі ненадійні, важко було достеменно з’ясувати, наскільки саме. У багатьох дослідженнях робота відбувалася на невеликих вибірках, які налічували щонайбільше кілька тисяч паролів. На зламаних веб-сайтах, як RockYou, можна знайти довші списки. Але тут є етичні проблеми щодо використання інформації, добутої незаконним способом, та й передбачити доступність таких неможливо.

Утім, трохи світла на проблему проливає дослідження, яке представлять на конференції з безпеки під егідою нью-йоркського Інституту інженерів електротехніки та електроніки у травні. Джозеф Бонно з Кембриджського університету спільно з великою інтернет-компанією Yahoo! отримав найбільшу на сьогодні вибірку в 70 млн паролів – хоч і без вказівки на справжні імена власників, але з корисними демографічними даними.

Бонно виявив кілька цікавих тенденцій. У старших користувачів були надійніші паролі, ніж у юних. (От вам і краща технічна підготовка молоді!) Корейськомовні або німецькомовні обирали найбезпечніші паролі; ті, хто спілкується індонезійською, – найменш безпечні. Паролі для приховування конфіденційної інформації (як-от номери кредитних карток) були хіба що трохи кращими за ті, які захищали доступ до менш важливих речей, наприклад, до ігор. Nag screens – віконечка, які повідомляють користувачів, що вибраний пароль занадто слабкий, – практично не допомагають. А люди, чиї акаунти в минулому вже зазнавали атаки, не надто відрізнялись у плані вибору надійного пароля від тих, чиїх сторінок іще не ламали.

Але для розробників програм безпеки найцікавішим є ширший аналіз вибірки. Бо ж, попри всі відмінності, ці 70 млн користувачів зробили щось достатньо передбачуване, і словник найпоширеніших паролів виявився ефективним як проти всього списку, так і проти будь-якого демографічного зрізу в його межах. Бонно про це каже прямо: «Хакер, який може вгадати пароль із 10 спроб, зламає приблизно 1% всіх сторінок». А це, з погляду кібер-злочинця, вже неабиякий результат.

Напрошується очевидна відповідь: сайти повинні обмежити кількість спроб введення пароля, а тоді блокувати акаунт, як це роблять банкомати. Але якщо найбільші сайти, як-от Google і Microsoft, справді вживають таких заходів (і навіть суворіших), багато інших за це не беруться. Вибірка зі 150 великих сайтів, яку вивчали Бонно та його колега Сорен Прайбуш 2010 року, показала, що 126 веб-ресурсів не намагались обмежувати кількості спроб.

Не зрозуміло, як узагалі так могло статися. Для деяких сайтів це можна пояснити тим, що паролі не захищають нічого особливо цінного (даних про кредитні картки тощо). Але необережність у поводженні з ними може влетіти в копієчку навіть на добре захищених веб-ресурсах, бо ж люди часто використовують один і той самий пароль для кількох різних місць.

Можна пояснити це тим, що така халатність – культурний залишок іще з часів невинної юності інтернету: науково-дослідній мережі не потрібно було хвилюватися через хакерів. Ще один варіант – оскільки чимало сайтів зароджувались як небагаті стартапові компанії, для котрих будь-яка додаткова гарантія безпеки паролів означала б зайві витрати на програмне забезпечення, вони спочатку заощаджували на ній, а далі вже просто цим не переймалися. Та хоч би які були причини, всім, хто не бажає чекати, доки веб-ресурси узгодять свою діяльність, слід подумати про альтернативи традиційним паролям.

Одна з них – це багатослівні паролі або ідентифікаційні фрази. Вживання кількох слів замість одного означає, що хакерові доведеться вгадувати більше літер, а це додає надійності, однак лише у разі, коли вибране словосполучення не виявиться таким популярним, щоб його можна було знайти у словнику сталих виразів. Що, звісно, часто якраз і трапляється.

Бонно та його колега Єкатєріна Шутова проаналізували реальну систему ідентифікаційних фраз, використовувану в інтернет-магазині Amazon. Там дозволяли своїм американським клієнтам послуговуватись ними від жовтня 2009-го до лютого 2012-го. Дослідники виявили: ідентифікаційні фрази хоч і забезпечують кращий захист, ніж прості паролі, та все одно не є аж такими ефективними, як від них очікували. Поєднання чотирьох-п’яти взятих навмання слів є досить надійним. Але запам’ятати кілька таких фраз аж ніяк не легше, ніж кілька довільно підібраних паролів. Знову-таки легка запам’ятовуваність – це просто подарунок для хакерів. Прочесавши інтернет у пошуках списків назв фільмів, спортивних і сленгових висловів, Бонно й Шутова змогли укласти лексикон на 20 656 слів, які стали ключиками до 1,13% акаунтів у базі даних Amazon.

Крім того, вони припустили, що навіть ті, хто не вживає сталих виразів, усе-таки віддаватимуть перевагу моделям, поширеним у природних мовах, перед справді спонтанним поєднанням лексем. Тому порівняли свій перелік ідентифікаційних фраз із довільною вибіркою двокомпонентних словосполучень із Британського національного корпусу текстів (масив англійських текстів обсягом приблизно 100 млн слів, зібраний видавництвом Oxford University Press) і корпусу Google Ngram (набраним з інтернету пошуковими роботами цієї самої компанії). Звісно ж, дослідники знайшли велику частину збігів між звичними для англійської мови структурами й фразами, які взяли як паролі клієнти Amazon. Дослівно збігалися приблизно 13% із перевірених іменниково-прикметникових словосполучень («вродлива жінка») і 5% прислівниково-дієслівних конструкцій («буде й далі»).

Один зі способів уникнути цього – поєднати ідею пароля та ідентифікаційної фрази в так званий мнемонічний пароль. Це буде очевидна нісенітниця, яку, власне, не так уже й важко запам’ятати. Її можна скласти, наприклад, із використанням перших літер кожного слова якоїсь фрази, варіюючи великі й маленькі літери та підставляючи замість одних символів інші, приміром, «8» замість «В» (цМст8Цд – «це мнемонічне скорочення тексту в цих дужках»). Та навіть мнемонічні паролі не бувають неуразливими. В опублікованій 2006 року розвідці було зламано 4% мнемонічних паролів за допомогою словника, побудованого на текстах пісень, назвах фільмів тощо.

Висновок: очевидно, правильної відповіді просто немає. Всі заходи безпеки викликають роздратування (запитайте будь-кого, хто часто літає), а бажання забезпечити надійність завжди конфліктує з бажанням максимальної простоти доступу. Доки залишатиметься цей конфлікт, доти хакери й ламатимуть наші паролі.

Переклад з оригіналу здійснено «Українським тижнем», оригінал статті опубліковано на www.economist.com