Как научиться составлять надёжные пароли? Советы эксперта

Дэйви Уиндер (Davey Winder), известный технический писатель, эксперт и журналист, рассказал о том, как хакеры взламывают сложные пароли, и как поступать с собственными «секретными словами».

Несмотря на появление многочисленных биометрических методов идентификации, пароли остаются основным средством защиты компьютерных систем, данных и онлайн-сервисов.

Идёт ли речь о домашнем ноутбуке или корпоративной информационной сети, устройства, подобные сканеру отпечатков пальцев, все ещё остаются дорогими и непривычными, по сравнению с бесплатными паролями. Даже если используются специальные устройства для аутентификации, генерирующие уникальный PIN-код, например, в банковских системах, параллельно с ними всё равно применяется пароль.

Проблема состоит в том, что пароль является довольно уязвимым средством защиты. Последние исследования, касающиеся использования паролей в крупных компаниях, проведённые Lieberman Software, показали, что 51% опрошенных приходится помнить десять и более паролей одновременно, а 42% респондентов подтвердили факт частого обмена паролями с коллегами.

Если от использования паролей никуда не уйти, то надо научиться использовать их максимально безопасно. С этой целью и подготовлено данное руководство по использованию паролей.

Как работают пароли?

Чтобы разобраться, в чем же состоят сильные и слабые стороны паролей, необходимо понять, как они работают.

Многие думают, что пароль - это «секретное» слово, которое вводится в специальное поле и сравнивается с набором знаков, сопоставленных с именем пользователя в специальной базе данных, хранимой в текстовом формате. Это далеко не так. Подобное обращение с паролями было бы таким же надёжным, как и хранение ценностей за незапертой дверью, с повешенной на ней табличкой «Тут можно неплохо поживиться».

Основной вопрос состоит не в том, как хранится файл с паролями, а в том - как он зашифрован. Некоторые системы используют обратимые алгоритмы шифрования. При авторизации пользователя, ассоциированный с его именем пароль, расшифровывается и сопоставляется с введённым текстом. При положительном результате, пользователь получает запрашиваемый доступ.

Подобный подход является очень опасным, так как хакер, завладев базой зашифрованных паролей, рано или поздно подберёт алгоритм для расшифровки, и получит в своё распоряжение полный перечень паролей.

Поэтому в большинстве случаев пароли конвертируются в хэше - необратимой математической функции, - а полученное с её помощью значение хранится в базе данных, вместо паролей.

Хэшированные пароли шифруются с помощью необратимого алгоритма, который дает на выходе длинное число. Процесс хэширования уничтожает любую возможность обратного восстановления последовательности символов, составляющих пароль, исходя из хранящегося числа.

При вводе пароля, последовательность символов проходит через точно такой же процесс хэширования. А полученное значение сопоставляется числом, хранимым в базе данных. Даже если хакер получит доступ к базе данных и узнает алгоритм хэширования, он не сможет восстановить пользовательские пароли.

Нельзя сказать, что хэшируемые пароли являются абсолютно надёжными. Зная алгоритм, можно путём перебора подобрать пароль, дающий то же число, которое хранится в базе данных.

Хакеры, получившие доступ к базе данных с паролями, легко узнают идентификационные данные тех пользователей, которые используют для этих целей обычные словарные слова. Наиболее продвинутые хакеры, работающие на правительственные организации и криминальные синдикаты, вскрывают даже сложные пароли с помощью алгоритмов, называемых радужными таблицами.

Радужная таблица - это заранее подготовленный список криптографических хэшей для всех возможных сочетаний заданного набора символов определённой длинны. Для их хранения могут потребоваться терабайты места на жёстких дисках, а обработка невозможна без серьёзных вычислительных мощностей. Но, при наличии необходимого оборудования, радужные таблицы позволяют быстро взломать хэшированные пароли. В связи с этим появились хэшированные пароли с «солью».

Добавление случайной последовательности символов, называемой «солью», к паролю перед процедурой его шифрования, позволяет получить уникальный хэш даже в том случае, если разные пользователи будут использовать один и тот же набор знаков. В данном случае можно использовать радужные таблицы с «солью», но невообразимый объем работ, необходимый для их подготовки, делает это практически невыполнимой задачей.

Техники взлома

Провайдер UKFast провел испытания надёжности паролей, хэшированных с использованием алгоритма MD5, являющегося промышленным стандартом. Для этого он использовал специальную программу для взлома, перекладывающую основную работу на мощный графический процессор. Оказалось, что для взлома стандартного несложного пароля из семи знаков (буквы только в нижнем регистре и числа) необходимо всего семь секунд. Для более сложного пароля (любые буквы, числа и иные символы) время взлома составило 1 час 40 минут при использовании алгоритма MD5. Алгоритм SHA256 позволяет увеличить время, необходимое на взлом такого пароля, почти до 13 часов.

Специалист по компьютерной безопасности, работающий в Cyber-Ark Software, приводит следующие расчёты, показывающие, как сложность пароля влияет на скорость его взлома: «Если пароль состоит из четырёх чисел, то существует только 10 в 4 степени (10 000) возможных комбинаций. Если хакер может испытать 1000 вариантов в секунду, то пароль ему станет известен быстрее чем за 10 секунд. Но для пароля, состоящего из 10 символов, которыми могут быть числа, буквы в верхнем и нижнем регистре, специальные знаки, существует примерно 70 в 10 степени комбинаций. Испытывая те же 1000 вариантов в секунду, хакер может затратить до 89,5 млрд. лет на подбор необходимого сочетания знаков, занимаясь простым перебором».

Не стоит обольщаться этими миллиардами лет, так как они могут легко превратиться в несколько столетий или десятилетий, или даже в тысячи и сотни часов при увеличении вычислительной мощности используемых компьютеров. Если принять во внимание возможность «зомбирования» машин, подключённых к сети Интернет, и технологии распределённых вычислений, то геологические эпохи легко сокращаются до перерыва на чашечку кофе.

Взлом оффлайн

Некоторые люди полагают, что взлом пароля путем перебора невозможен, так как большинство сайтов или онлайн сервисов временно блокируют аккаунт после трёх неудачных попыток авторизации. Это было бы действительно так, если бы не тот факт, что в большинстве случаев взлом паролей осуществляется оффлайн. Хакеры находят способы заполучения файла, содержащего хэши паролей. Часто защиту системы удаётся обойти посредством взлома третьестепенных сервисов, через которые можно получить доступ к серверу, хранящему важные хэш-файлы.

После того как хэш-файл окажется на компьютере злоумышленника, он сможет сколь угодно долго работать с ним без лишних ухищрений. Существуют различные методы обработки подобных файлов, но их объединяет перебор всевозможных вариантов из подготовленных словарей, использующих, кроме букв, цифры и специальные знаки, набираемые с клавиатуры.

Но, наверное, самый простой способ взлома собственных аккаунтов пользователи дарят злоумышленникам, используя один и тот же пароль для доступа к различным службам и сервисам. Эндрю Масон, тестер на устойчивость и технический директор компании, занимающейся вопросами компьютерной безопасности, RandomStorm, рассказал, что в своих тестах он всегда пытается вначале извлечь имена пользователей и пароли из наименее защищённых систем, а затем использует их повторно для получения доступа к корпоративным серверам и доменам. Он говорит: «Используя этот метод, мы неоднократно получали доступ к конфиденциальной информации наших клиентов, демонстрируя им наиболее уязвимые места».

Персональные пароли

Следует также учитывать тот факт, что, придумывая пароли, люди часто опираются на что-либо касающееся лично их или их бизнеса. Составляя словарь для перебора вариантов, тестеры и хакеры часто берут за основу информацию, содержащуюся на корпоративном сайте и в рекламных брошюрах, они также могут использовать веб-сайты конкурентов, потребителей и поставщиков. Такой словарь будет включать практический полный набор слов, которые связаны с бизнесом данной компании, и потенциально могут быть использованы в качестве пароля.

Программа на Ruby - CeWL в автоматическом режиме собирает все слова, содержащиеся на сайте, и формирует из них словарь. Если объединить ее с RSMangler, которая дополняет найденные слова и их формы числами и другими знаками, изменят регистр букв и использует другие способы формирования паролей пользователями. Комбинация этих двух программ во многих очень часто позволяет взломать пароли корпоративных пользователей.

Робин Вуд, сотрудник RandomStorm, говорит, что еще не было такого случая, чтобы используя эти две программы он и его коллеги не смогли бы получить доступ в закрытую сеть. Он же говорит: «Многие люди выбирают для паролей имена членов семьи, домашних питомцев или слова связанные со спортом или другими их личными увлечениями. Если я знаю, что жертва является фанатом Манчестер Юнайтед, то я натравлю CeWL на сайт этой команды и получу имена всех игроков, управляющих и полный перечень футбольных терминов. С очень большой вероятностью одно из этих слов и окажется паролем».

Не прав тот, кто думает, что этот метод работает от случая к случаю. Вуд вспоминает, что однажды он испытывал на устойчивость корпоративный сайт, на котором было зарегистрировано 2000 пользователей. Сбор только тех слов, которые содержались на самом сайте, позволил ему подобрать пароли к 1500 аккаунтам менее чем за два часа.

Система CUDA, основана на параллельной вычислительной платформе и программной модели разработанной в Nvidia. Она щёлкает большинство паролей, как семечки. Собрать такую систему может любой человек с посредственными техническими способностями и несколькими сотнями долларов в кармане.

Безопасные пароли

Пароль наподобие «P455w0rd» или «p@$$w0rd» мог стать непреодолимой преградой на пути злоумышленника 20 лет назад. Сегодня многое изменилось.

Мощная компьютерная система, которой должен обладать каждый уважающий себя хакер, перебирая обычные и гибридные (мутирующие) словари взломает «P455w0rd» за несколько минут. Отсюда возникает вопрос: если даже такие комбинации символов, которые не встречаются ни в одном из словарей, не позволяют создать безопасный пароль, то что можно сделать?

Следует принять как должное тот факт, что «невзламываемых» паролей больше не существует. Если кто-то имеет достаточно средств, чтобы стать обладателем мощной вычислительной системы, то он сможет взломать любой пароль. Но чем сложнее пароль тем более дорогое оборудование понадобиться для его взлома за разумный промежуток времени.

Таким образом, безопасен тот пароль – который сложен настолько, что затраты на его взлом несопоставимы с ценностью защищаемых им данных.

Длинна и разнообразие символов - вот 2 главных показателя, на которые необходимо обращать первоочередное внимание при создании пароля. Он должен содержать более 8 символов, желательно, более 10, а в идеале – более 12. Подобный пароль доставит много неприятностей потенциальным взломщикам.

У каждого человека имеется собственный подход к созданию сложных паролей. Но все они основываются на общих принципах: пароль должен содержать буквы из верхнего и нижнего регистров, числа, и, желательно, специальных символов.

Один из методов заключается в том, что вначале подбирается фраза, имеющая значение для пользователя и поэтому – легко запоминаемая. Например, «У меня живет попугайчик Кеша и овчарка Рекс». Далее первые буквы каждого слова транслитерируются в латиницу и используются для формирования заготовки пароля – «UmzpKioR». Теперь буква «i» заменяется на «&», «o» – на цифру 0 – «UmzpK&0R». В конце этого набора символов можно добавить знак «£», о который сломали зубы многие хакерские компьютеры. Вот мы и получили очень сложный, но относительно легко запоминаемый пароль.

Однако самой высокой степенью безопасности обладают по-настоящему случайно сгенерированные пароли. Для их получения существуют специальные программы – генераторы паролей. Они существуют в качестве самостоятельных приложений, или входят в состав средств для хранения паролей. Этим программам достаточно указать желательную длину пароля, а также присутствие в нем специальных символов, букв и чисел.

Генерируемый пароль устойчив к стандартным хакерским атакам. Но запомнить его по силам только человеку с феноменальными способностями.

Многие люди поручают заботу о хранении паролей собственным браузерам. И совершают большую ошибку. Большинство вредоносных программ начинает свою работу с того, что исследуют базу паролей, сохранённую браузерами.

Если читатель и после этого думает, что его идентификационные данные, сохранённые браузером, находятся в безопасности, то следует упомянуть о программе Windows Password Recovery, которая с лёгкостью восстанавливает даже самые запутанные комбинации символов из этих баз. Поэтому единственно верное спасение состоит в специальных средствах, предназначенных для хранения паролей.

Хранилище паролей: друг или предатель?

Кажется, что хранилище паролей спасёт до первой пробоины. Получив к нему доступ, злоумышленник сможет завладеть всеми тайнами пользователя. Нет никаких сомнений в том, что данные программы являются желанной добычей для хакеров. Но из четырёх самых распространённых средств подобного типа:

• LastPass,
• KeePass,
• 1Password,
• RoboForm.

Ни одно не поддалась на самые изощрённые попытки взлома. Даже нашумевшее предупреждение LastPass о возможных проблемах с безопасностью, было превентивной мерой. Необходимость в ней возникла в связи с резким ростом трафика на одном из второстепенных серверов компании. Никакой информации об украденных паролях не последовало.

Все же, стремясь создать максимально безопасное хранилище для паролей, следует отказаться от тех средств, которые записывают свои базы данных в облаке. Централизованные хранилища секретных данных являются излюбленными объектами атак для хакеров. С гораздо меньшей вероятностью они станут рыться в тайниках, запрятанных на пользовательском ноутбуке.

Хранилища паролей не только генерируют и хранят по-настоящему случайные и мощные пароли, их можно использовать и для автоматизации процесса авторизации в различных сервисах. С такими инструментами легко забыть о том, что такое пароли, и для чего они предназначены.

Не надо забывать только одного – создать и сохранить в надёжном месте сложнейший пароль для доступа к самому хранилищу.

Исчезнут ли пароли?

Надолго ли останутся с нами небезопасные, старомодные, взламываемые пароли?

По мнению Амичай Шулман, главного технического директора и сооснователя Imperva - мирового лидера в области разработки и производства средств для защиты интернет-сервисов и баз данных, несмотря на все свои проблемы, пароли обладают уникальным свойством, из-за которого их трудно чем-либо заменить. Их ключ спрятан в нашей голове. Любая попытка замены пароля на какое-либо другое средство является компромиссом с безопасностью. Только пароли обеспечивают наивысшую степень надёжности.

Но если приходится по-прежнему возиться с паролями, то стоит убедиться в том, что они достаточно сильные.

По материалам: PC Pro magazine, Davey Winder

Переводчик: Александр Никитин