Если сопоставить результаты анализа Боно с данными предшествующих исследований на эту тему, становится ясно, что число таких пользователей растет.
Заходя под одним и тем же паролем на разные веб-сайты, пользователи рискуют, поскольку в этом случае хакеру достаточно взломать один только сайт, чтобы получить доступ ко всем их данным.
Еще более серьезная ситуация складывается в том случае, если сайты при регистрации требуют задать адрес электронной почты пользователя. Если при этом на нескольких сайтах вводится один и тот же пароль, одно и то же имя используется на нескольких сайтах. В большинстве случаев адреса электронной почты не воспринимают как конфиденциальную информацию.
По данным Боно, на сайтах Gawker и rootkit.com обнаружилось 456 одних и тех же легитимных адресов электронной почты. Пароли хранились в хешированном виде, что делало их расшифровку практически невозможной. Боно применил специальный механизм поиска, называемый радужной таблицей (rainbow table), с помощью которых вскрыл 54% паролей Gawker и 44% паролей rootkit.com. Этот механизм представляет собой эффективную базу поиска паролей, соотносящую их хеш-функции и текстовые версии.
Располагая новыми данными, Боно выяснил, что 49% пользователей, которые, как удалось ему сопоставить, были зарегистрированы на обоих сайтах, применяли один и тот же пароль. У 6% вся разница состояла в использовании прописных букв вместо строчных или в добавлении одного-двух симоволов, например «пароль» или «пароль1».
По данным более ранних исследований, один и тот же пароль употребляли от 12 до 20%, и это наводит на заключение, что пользователи становятся все более ленивыми и беспечными. Проводить подобные исследования очень трудно в силу недостаточности источников исходной информации. Ни одна организация не предоставит сведений о настоящих паролях, тем более организации, где паролями защищаются важные данные (например, банки).
Боно заявил, что процент повторного употребления паролей сегодня приблизился к 50%, а значит, радужные таблицы могут стать для злоумышленников эффективным инструментом, открывающим новое направление для атак.
Что можно сделать, чтобы обезопасить себя в подобной неразберихе? Прежде всего, регистрироваться на разных сайтах с разными именами. Если сайт требует регистрироваться с адресом электронной почты, стоит обратиться в эту организацию с предупреждением, что такая политика может вызвать проблемы с обеспечением безопасности.
Вторая рекомендация может показаться банальностью — использовать разные пароли на разных сайтах. Конечно, придется запоминать много паролей, но для лучшего запомнинания существуют разные приемы, к тому же есть немало способов для создания надежных паролей.
Один из них, например, состоит в том, чтобы использовать в качестве пароля фразу из нескольких слов. Он станет длиннее, но при этом проще для запоминания, чем какие-либо бессмысленные сочетания символов, наподобие H4@vNS!3, как иногда предлагается. Впрочем, следует избегать хорошо известных цитат.
Полезно попробовать представить себе, как выглядит то, о чем говорится в такой фразе. Например, фразу «Апельсины едят бананы, но только на пляже» представить очень легко, какой бы нелепой она ни казалась. Можно задавать пароль, отражающий образное представление названия сайта, например, для сайта PCWorld можно задать пароль «Мой ПК велик как мир».
Можно пойти по другому пути — в качестве пароля взять слово, представляющее собой первые буквы некоей фразы, котороую легко запомнить. Более эффективно этот прием действует, если во фразе есть слова и цифры. Например, фраза «три апельсина съедят два банана на завтрак» превращается в пароль 3ас2бнз.
Конечно, я далек от того, чтобы категорически настаивать на том, чтобы пользователи перестали записывать регистрационные имена и пароли на бумажке и носить их, например, в кошельке. Да, кошелек могут украсть, но это не представляет большой опасности для вашей конфиденциальной информации, находящейся на сайтах, — если не указывать в той же бумажке названий сайтов, для которых служат данные пароли. Безусловно, придется положиться на свою память. В любом случае, риск меньше, чем тогда, когда один и тот же пароль перекочевывает с сайта на сайт. Стопроцентной защиты не существует в принципе, но стоит сделать все от вас зависящее, дабы обезопасить себя.