Пользовательские пароли, даже самые изощренные, по разным причинам могут стать добычей хакеров.
В 2013 г. более 90% паролей, созданных интернет-пользователями для защиты информации, будут уязвимы для похитителей и взломщиков. В это число входят и те, которые IT-службы компаний-работодателей признают вполне надежными. Такой прогноз содержится в исследовании компании Deloitte.
Сейчас наиболее распространены пароли, состоящие как минимум из восьми символов, включающих несколько букв, хотя бы одну цифру и один не буквенно-цифровой символ. Тем не менее, даже такие пароли оказываются уязвимыми с учетом некоторых особенностей поведения людей. Поскольку запомнить восемь разнородных символов очень трудно, пользователи часто придумывают приемы, облегчающие запоминание: например, часто привязывают пароль к каким-либо словам, существующим в их языке и связанным с их опытом. В результате «пароли становятся не такими уж случайными, а значит, не такими надежными», констатируют авторы отчета: в одном из недавних исследований, где рассматривались 6 млн реальных пользовательских паролей, было обнаружено, что всего лишь 10 тыс. часто встречающихся паролей дают доступ к 98,1% всех учетных записей.
Большинство паролей слишком просты
Еще одна большая проблема — то, что один и тот же пользователь часто использует один и тот же пароль для защиты своих учетных записей на разных ресурсах. В среднем один человек имеет 26 учетных записей, защищенных паролями, подсчитали эксперты Deloitte, а паролей использует всего пять. В результате, взломав его аккаунт, например, на менее защищенном сайте онлайн-игр или в социальной сети, злоумышленник может раскрыть и пароль к финансовым средствам пользователя.
Еще один нюанс состоит в том, что большинство организаций хранят логины и пароли своих сотрудников в одном «главном файле». Этот файл хешируется, то есть специальная программа осуществляет шифрование логина и пароля. Но проблема в том, что «главные файлы» часто становятся предметом хищения или утечек, а с помощью специального ПО и аппаратного обеспечения его можно полностью или частично дешифровать.
Эксперты Deloitte советуют пользователям (особенно организациям) никогда не хранить логины и пароли в незашифрованной форме, установить систему, отвергающую слишком простые пароли (вроде «пароль» или «123456»), а также использовать как можно более длинные комбинации символов: например, для десятизначного пароля существует в 8836 раз больше комбинаций, чем для восьмизначного, и стандартной вычислительной машине потребуется более пяти лет для его подбора.
Еще одна рекомендация Deloitte — ввести многофакторную аутентификацию пользователя, использующую для его идентификации не только логин и пароль, но и дополнительные факторы: пароль, высылаемый на зарегистрированный мобильный телефон пользователя, ключ, вставляемый в USB-разъем компьютера, тот или иной биометрический параметр (например, отпечаток пальца или скан сетчатки глаза).