В последние годы многие компании реализовали у себя функции многофакторной аутентификации, такие как использование пароля и уникального кода, отправленного по мобильному телефону, чтобы защитить доступ к критическим учетным записям. Большое число компаний, особенно в индустрии финансовых услуг, поддерживает использование маркеров и других методов, чтобы генерировать и распределять случайные одноразовые пароли, которые будут использоваться в сочетании со статическими паролями.
Другие компании реализовали менее очевидные меры, чтобы проверить пользовательские идентификационные данные во время процесса регистрации в системе и даже в момент проведения транзакции. Основные банки, сайты электронной коммерции и даже некоторые сайты социальных сетей обычно используют идентификацию устройства и средства обнаружения расположения для быстрого определения и запрета доступа для пользователей, которые пытаются зарегистрироваться в системе из нового местоположения или с незнакомого устройства.
И все же огромное количество компаний все еще полагается только на имя пользователя и пароль, как отметил Авивах Лайтен, аналитик агентства Gartner. И именно для этих компаний и их клиентов хищение учетных данных особенно неприятно.
«Если вы все еще полагаетесь только на пароль, тогда желаю вам удачи. Пароли были мертвы уже несколько лет назад. Теперь они тем более мертвы,» — заявил Лайтен. Пароли так уязвимы, что почти бессмысленно для компаний полагаться на них как на единственный метод аутентификации.
В то же время многое зависит от самого пароля. Ежегодно в списке паролей появляется набор символов вроде qwerty, 123456, и т.д. Можно разработать немало технологических средств управления, но самое слабое звено – по-прежнему пользователь. Если он выбирает ненадежные пароли и использует один и тот же пароль на многих сайтах, то сетевая защита будет так же сильна, как ваш самый слабый пароль.
Как показывает практика, пользователи, увы, выбирают весьма слабые пароли. Чтобы в этом убедиться, достаточно проанализировать утекшие в интернет пароли пользователей Yandex и mail.ru, а также отчет компании Trustwave за 2014 год. В ходе создания отчета специалисты Trustwave поставили себе цель определить, насколько легко взломать выборку 626 718 хешированных паролей.
Хеширование применяется для хранения паролей в системах защиты (в этом случае доступ к области памяти, где находятся пароли, не позволяет восстановить сам пароль) паролей, собранных во время тысяч сетевых тестов на проникновение, выполненных в 2013 и 2014 году. Преимущественно выборка составлена из паролей, хранящихся в Active Directory. При попытке восстановления паролей в течение нескольких минут было восстановлено более половины паролей. В конечном счете за 31 день было восстановлено 576 533 пароля или почти 92% выборки.
В процессе восстановления было использовано два компьютера- первый стоил 1800 долл. (на базе Intel Core i7 Ivy Bridge Quad Core Processor, 16 гигабайт оперативной памяти и две видеокарты AMD Radeon 7970). Второй компьютер — AMD FX-8320 8 Core Processor, 16 Гбайт оперативной памяти и четыре видеокарты AMD Radeon 7970 общей стоимостью 2700 долл. При использовании ресурсов видеокарт скорость взлома паролей существенно возрастает, ведь видеокарта Radeon 7970 AMD, которая стоит 350 долл., может выполнить 17,3 миллиардов вычислений хеша NTML в секунду, по сравнению с процессором Core-i7-3770K Intel за 320 долларов, разогнанным до 700 МГц, который может выполнить 246 миллионов вычислений хеша NTLM в секунду.
Неверное представление о сложности и длине пароля
Многие пользователи и некоторые администраторы ошибочно полагают, что, используя различные прописные буквы, строчные буквы, числа и специальные символы в пароле, они сделают его более безопасным. Практика показывает, что если человеку угадать такой пароль сложнее, то это не делает его восстановление более ресурсоемким или сложным для инструментов взлома. Только увеличение числа символов в пароле заметно влияет на время взлома.
В ходе восстановления паролей применялась атака методом перебора (Brute Force). Атака перебором включает вычисление хешей для потенциальных паролей и сравнение их с хешами паролей, которые атакующий хочет взломать. Если хеши равны, пароль взломан. Автоматизированный инструмент может взломать абсолютно случайный пароль из восьми символов, включая все четыре символьных типа, такой как «N^a&$1nG», намного быстрее, чем 28-символьный пароль включающий только строчные и прописные буквы, такой как «GoodLuckGuessingThisPassword». Если в данном случае мы предполагаем, что атакующий знает длину паролей и типы используемых символов, «N^a&$1nG» может быть взломан приблизительно через четыре дня, в случае использования одного графического процессора AMD R290X. В то же время атакующему потребовалось бы 17 с лишним лет, чтобы взломать «GoodLuckGuessingThisPassword» при использовании того же самого графического процессора.
Статистика
Для взлома паролей также применялась атака по словарю, с использованием списка слов из прошлогоднего исследования пароля. В течение нескольких минут было восстановлено почти 54% паролей в пределах выборки. Такое короткое время взлома, при использовании списка слов прошлогоднего исследования, показывает, что пароли, увы, предсказуемы, как всегда. Чаще всего при этом встречался пароль «Password1», см. таблицу 1.
Интересно, а как обстоит дело с паролями в СНГ? Увы, так же безобразно. Ведь наши пользователи ничем не лучше американских. Они тоже надеются на авось, чуть ниже вы в этом убедитесь. Взгляните на таблицу 2, где представлены пароли, состоящие из имен.
Недавно в Интернете появилась база имен и паролей Яндекса в количестве порядка 1 260 000 и база паролей Mail.ru в количестве почти 4 600 000 пользователей. Проведем их краткий анализ.
Анализ утечки паролей Яндекса
Всего записей 1 261 809. Повторяющихся записей 129 380 (то есть более двух паролей). В Тop-10 повторяющихся паролей только один qwerty содержит не только цифры, а 3304 пользователя предпочли просто пароль из одной цифры 0! Самым же популярным паролем является просто набор цифр 123456, который повторяется 39177 раз, см. рисунок 1.
Рисунок 1. Тop10 паролей «Яндекса» |
Всего же паролей, состоящих только из цифр, — 208 823, или 16,56% всех паролей.
Пароли Mail.ru
8 сентября 2014 года была опубликована украденная злоумышленниками база пользователей mail.ru. Количество записей - 4 664 478. Число повторяющихся паролей (то есть встречается в списке более 1 раза) — 2 382 116, а это 51,07%. Тop-10 паролей можно увидеть рисунке 2.
Рисунок 2. Тop10 паролей Mail.ru |
Цифровых паролей — 846641 или 18,15% от общего количества. Паролей, содержащих отрицательные числа (первый символ «-»), всего 160. Повторяющихся паролей из цифр – 659073, что составляет 77,85% от всех цифровых паролей. 86273 пользователя (1,85%) используют в качестве пароля имя своей ученой записи. Здесь стоит учесть, что длиннее — тоже не значит лучше. Приведем в качестве примера наиболее длинные пароли Mail.ru (см. таблицу 3).
Согласитесь, выделенные пароли весьма сложно назвать устойчивыми, так как они достаточно просто угадываются методами социальной инженерии, ведь чаще всего выделенные пароли содержат повторяющиеся группы символов или даже IP-адрес и имя пользователя с его фамилией. Соответственно такие данные легко угадать, обладая информацией о пользователе.
Как выяснили специалисты Лаборатории Касперского совместно с B2B International, поводы для беспокойства есть: далеко не все пользователи ответственно подходят к защите «чувствительной» информации. Так, всего 31% респондентов устанавливают разные пароли на каждую учетную запись. Хотя доля пользователей с совсем уж удручающим подходом оказалась довольно небольшой – всего 6% эксплуатируют один и тот же пароль для всех без исключения сервисов.
С другой стороны, основная масса респондентов тем или иным образом старается повысить уровень безопасности. Так, 26% чередуют пароли для разных учетных записей, 23% изредка позволяют себе повторять «ключи», а 14% берут некую часть за константу и лишь меняют отдельные буквы и цифры. Комментарий представителя Лаборатории Касперского вполне предсказуемый: «Использование идентичных или очень похожих наборов символов для доступа к различным службам опасно тем, что в случае попадания хотя бы одного пароля в руки преступников пользователь рискует потерять контроль над всеми своими учетными записями» (см. рисунок 3).
Рисунок 3. Принципы использования паролей |
Тут есть любопытный, скажем так, национальный момент. Отсутствие особого стремления к разнообразию паролей в некоторой степени объясняется привычкой российских пользователей запоминать пароли – так делает 69% опрошенных. 42% респондентов не считают, что в этом вопросе лучше положиться на собственную память. А специализированное программное обеспечение для хранения (а часто и создания) паролей на деле применяют всего 6% россиян.
В свете последних событий весьма наивной выглядит уверенность 29% опрошенных в том, что сами сайты надежно защищают их аккаунты от злоумышленников. Плюс едва ли не половина российских пользователей, 39%, убеждены в отсутствии какого-либо интереса у преступников к их паролям доступа к онлайн-службам.
Вывод напрашивается сам собой. Пользователи стремятся выбрать как можно более простой и легкий для запоминания пароль. Более того, возможно, на некоторых ресурсах пароли пользователя будут совпадать, то есть применяется один и тот же пароль.
Как решить эту проблему? На мой взгляд, существует несколько способов.
- Научиться создавать строгие пароли, устойчивые к взлому, и запоминать их (боюсь, данный выход все же нереален).
- Научиться создавать пароли и безопасно их хранить с использованием менеджера паролей.
Итак, создаем пароль. Они бывают простые и сложные. По каким признакам можно отличить простые и сложные пароли, показано в таблице 4. Здесь стоит дать несколько пояснений.
Пароль, связанный с владельцем. Все очень просто: у каждого из нас есть свои предпочтения, мечты, любимые животные и так далее. Я, например, очень люблю автомобили и все это знают, поэтому если я возьму в качестве пароля слово Ferrari, то это будет простым паролем. А если я сделаю своим паролем, скажем, слово Bugatti, будет ли это сложным паролем? Тоже нет, ведь это слово есть в словаре и оно не содержит никаких цифр и специальных символов. А вот если я сделаю своим паролем Bug@tt1, то это будет уже достаточно сложный пароль, но я его все равно легко запомню, так как у меня есть визуальный образ, с которым я смогу ассоциировать свой пароль – это один из самых простых способов, как запоминать сложные пароли.
Разные пароли для разных систем. Взлом одного пароля компрометирует одну систему, а если пароли одинаковы для разных систем, то наверняка взломщик всегда первым делом опробует пароль, который уже знает.
Как придумать сложный пароль?
На самом деле существует множество методик. Скажем, все мы используем мобильные телефоны, в которых хранятся данные контактов. Давайте этим воспользуемся. Создадим контакт товарища Забывайко В.В. и дадим ему домашний адрес ул. Академика Королева, 34, кв. 52. Вот и готов пароль: «ул._Академика_Королева_34_кв_52». Ну а надумаете сменить – просто переселите его по другому адресу. Более того, присвойте этому контакту номер телефона, в котором начиная со второй или третьей цифры можно будет записать ваш PIN-код. Потому как проще всего спрятать лист в лесу, не так ли? Есть еще более простой способ генерировать сложный пароль, однако для этого нам потребуется использование специальной программы – менеджера паролей.
Парольные менеджеры
Прибегнуть к помощи менеджера паролей — превосходный первый шаг к обеспечению безопасности ваших идентификационных данных, позволяющий увеличить стойкость паролей и защитить ваши учетные записи, потому что этот инструмент будет запоминать пароли для вас. Менеджер паролей даже генерирует стойкие пароли, не требуя, чтобы вы запоминали или записывали эти случайные строки символов. Такие пароли устойчивы в случае традиционных атак, таких как атака по словарю, радужные таблицы или атака перебором.
Многие менеджеры паролей позволяют автоматически заполнять свое хранилище паролей, они получают ваши данные при регистрации в веб-службах, используя подключаемый модуль для браузера и сохраняя эти учетные данные. Другие возможности включают импорт данных из электронной таблицы Excel или ввод информации о регистрации в системе вручную.
Одни менеджеры паролей хранят ваши учетные данные локально, другие полагаются на «облачные» службы, а некоторые реализуют гибридный подход. Возможны варианты использования локального хранения (как KeePass и 1Password) и синхронизации через Dropbox или другие службы хранения. Решение, какой менеджер паролей является лучшим для вас, сводится к выбору продукта по функциям и простоте использования.
Если хранение критических данных в «облачной» службе пугает вас, тогда KeePass, 1Password или SplashID предлагают наилучшие варианты. Если вы доверяете основанным на «облаке» службам свои пароли и полагаете, что они действительно защитят ваши данные, используя хорошие методы безопасности и шифрование, то LastPass, Dashlane или PasswordBox — оптимальный выбор.
1Password
1Password использует локальный файл, чтобы сохранить зашифрованные пароли (см. экран 1). Производитель AgileBits не обеспечивает «облачную» службу для синхронизации с мобильными устройствами, но 1Password действительно поддерживает синхронизацию хранилища пароля Dropbox (все платформы) или iCloud (Mac и iOS). Кроме того, 1Password поддерживает синхронизацию по Wi-Fi между клиентами Windows, Mac, и iOS. Поскольку хранилище 1Password содержится в единственном файле, вы получаете все преимущества переносного хранилища пароля и не вынуждены хранить пароли в Интернете.
Экран 1. Главное окно 1Password |
Клиенты 1Password позволяют создавать и поддерживать многократные хранилища пароля. Многократные хранилища нужны для того, чтобы совместно использовать некоторые из ваших паролей совместно с другим членом семьи или коллегой. Безопасное совместное использование между клиентами 1Password поддерживается, чтобы передать аутентификационные данные для регистрации в системе (или любую уязвимую информацию, такую как номер кредитной карточки или ответ на вопрос о безопасности веб-сайта) другому лицензируемому пользователю 1Password по зашифрованному каналу. Загрузить продукт можно по адресу https://agilebits.com/downloads. Подключаемые модули существуют для браузеров Internet Explorer, Firefox, Google Chrome, Safari и Opera.
Dashlane
Утилита Dashlane 2.0 обеспечивает единое управление паролями на платформах Windows, Mac OS X, в браузерах Chrome, Firefox, Safari и IE, а также в мобильных операционных системах Android и iOS. В новой версии реализована так называемая двухфакторная авторизация через службу Google Authenticator. Теперь для доступа к хранилищу паролей необходим мастер-пароль (предполагается, что он известен только владельцу) и сотовый телефон владельца. Предполагается, что телефон с заданным номером остается под постоянным контролем владельца (см. экран 2). Вы можете сохранить свою базу данных пароля на серверах Dashlane и использовать синхронизацию или сохранить свое хранилище пароля локально и воздержаться от синхронизации. Если вы храните свою базу данных пароля в «облаке» Dashlane, основной пароль остается только у вас. Вместо того чтобы хранить хеш основного пароля на серверах, Dashlane использует этот пароль просто для того, чтобы локально зашифровать и дешифровать данные.
Экран 2. Окно Dashlane |
KeePass
KeePass — компактный диспетчер паролей с открытым исходным кодом для управления паролями в Windows, OS X или Linux. Продукт можно использовать как портативное средство, сохранив его на флэш-накопителе USB для работы с общедоступными компьютерами. KeePass предусматривает возможность использования методов генерации случайных паролей, что позволяет создавать стойкие безопасные пароли.
При выполнении обязанностей администратора по проблемам безопасности вам, возможно, приходится отслеживать пароли на множестве различных систем, но их хранение в электронной таблице или в простой базе данных вряд ли можно считать удачным решением с точки зрения защиты данных. Лучше пользоваться диспетчером паролей, чтобы они в полной безопасности хранились в отдельном зашифрованном файле. KeePass Password Safe — это диспетчер паролей с открытым исходным кодом, отличающийся богатством функциональных средств, возможностью развертывания на различных платформах и простотой использования. KeePass поддерживает алгоритмы Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish для шифрования паролей своих баз данных. Программа переведена более чем на 40 языков, включая русский. KeePass имеет портативную версию программы, устанавливать которую не обязательно.
LastPass
Важная особенность LastPass состоит в том, что программа хранит все ваши пароли в «облаке», то есть на удаленном сервере в специальном персонифицированном хранилище Vault. Таким образом, по сути, LastPass – это не программа, а служба. В этом есть как свои достоинства, так и недостатки.
Плюсы состоят в том, что вы можете пользоваться хранимыми LastPass паролями на любом компьютере, где есть доступ в Интернет. Не нужно думать о резервировании базы, экспорте и импорте на другие компьютеры, синхронизации и т.п. действиях, которые сводят на нет все преимущества использования менеджера паролей.
Минус — в отсутствии контроля над удаленным хранилищем и вероятности, что сервер или ваша главная учетная запись (мастер-пароль) будут взломаны. Важно при регистрации установить максимально стойкий мастер-пароль, который вы будете гарантировано помнить.
В LastPass предусмотрена функция экспорта сохраненных паролей из браузеров, что позволяет экспортировать сохраненные пароли из браузеров после установки. Если вы вводите пароль вручную на каком-либо сайте, то LastPass автоматически предлагает сохранить пароль в своей базе данных. При необходимости можно отказаться от сохранения пароля, что актуально, например, для работы с интернет-банком (эти пароли лучше не доверять никому).
При входе на сайт, требующий авторизации, пароль от которого был ранее сохранен, менеджер паролей предложит зарегистрироваться или сделает это автоматически (существует специальная функция). Эта возможность дает не только удобство. Вы не набираете пароли с клавиатуры, соответственно снижается риск того, что они будут перехвачены вредоносной программой. Также стоит отметить, что вы можете с помощью LastPass выполнить аудит надежности используемых паролей. При генерации паролей их надежность проверяется по специальной шкале, так что можно быстро проверить надежность всех паролей, включая старые. Результаты анализа надежности паролей приводятся в процентах относительно идеального. Подробнее о менеджере паролей LastPass, а также его платной версии Premium можно узнать на сайте lastpass.com.
Выбор есть
Разговор о менеджерах паролей можно продолжать еще очень долго, так как представителей данного класса программ существует огромное количество, и я не знаю, какой из них вы выберете для себя. Одно могу сказать однозначно – рано или поздно вы поймете, что не в состоянии помнить все свои пароли и тогда на помощь вам придут такие программы.