Читаем Камень ломает ножницы. Как перехитрить кого угодно: практическое руководство полностью

Телесюжеты о безопасности паролей неизбежно включают интервью циничного эксперта, принижающего значение любого алгоритма создания надежных паролей. Многие профессионалы – приверженцы философии «запишите его». «Люди больше не в состоянии запомнить достаточно хорошие пароли, чтобы защититься от словарной атаки, и поэтому гораздо надежнее выбрать слишком сложный для запоминания пароль, а потом записать его, – советовал специалист по компьютерной безопасности Брюс Шнаейр в 2006 г., на заре цифровой эры. – Мы все хорошо умеем прятать маленькие листки бумаги. Я рекомендую записывать пароли на листочке и хранить его в кошельке вместе с другими такими же важными».

Однако даже с листком бумаги в руке набрать длинный и сложный для запоминания пароль не так-то просто. Поэкспериментируйте с виртуальной клавиатурой мобильного устройства. Разрыв между реальностью и представлениями специалистов иллюстрирует система, которой пользуется мой отец. Он пишет пароль на стикере, который приклеивает к монитору на письменном столе. В пароле нет ничего сложного – два слова без всяких цифр и причудливых значков. Реальные люди не только выбирают ненадежные пароли: они даже не удосуживаются их запомнить.

В странствиях по цифровому миру многие пытаются использовать одинаковые пароли для всех сайтов, не обращая внимания на риск. Однако некоторые сайты играют роль няньки, навязывая правила, касающиеся длины пароля и используемых символов. Пользователи вынуждены переделывать привычные пароли и затем, пытаясь войти на сайт, не могут вспомнить, как они это сделали.

Бо́льшая часть сведений о глупых паролях – результат взлома сайта RockYou.com, публикующего игры в Facebook; это произошло 4 декабря 2009 г. Хакер опубликовал 32 603 388 имен пользователей и незашифрованных паролей посетителей сайта. И до, и после были другие взломы, но масштаб этого создал ключевую базу данных как для «хороших», так и для «плохих» парней.

Самым популярным паролем RockYou был 123456. Его использовал 290 731 человек. Обнаружились существенные отличия в зависимости от пола и возраста. Для мужчин моложе 30 лет популярными источниками паролей были секс и непристойности: в верхней части списка располагались pussy, fuck, fucking, 696969, asshole, fucker, horny, hooters, bigdick, tits, boobs и другие подобные слова. Люди старшего поколения независимо от пола проявляли склонность к цитатам из поп-культуры. Пароль Epsilon793 был бы не так уж плох, если бы его не использовал капитан Пикар из сериала «Звездный путь: Следующее поколение» (Star Trek: The Next Generation). Часто встречающаяся комбинация из семи цифр, 8675309, оказалась телефонным номером из популярной песенки. Так называемые «восьмидесятники» хотят, чтобы пароли соответствовали их эпохе.

Нет ничего проще, чем создать надежный пароль. Используйте случайный набор символов. Эту операцию невозможно идеально осуществить в уме, но и не нужно. Многочисленные сайты и программные приложения снабдят вас случайными паролями, сгенерированными из атмосферных помех. Вот несколько примеров, которые я только что получил с random.org:

Проблема решена? Да, для фанатиков мнемотехники – или для тех, кто использует программу хранения паролей, использующую сканер отпечатка пальца. Всех остальных останавливает перспектива запоминать бессмысленный набор символов. Ситуацию усугубляет необходимость (как нам говорили) особого пароля для каждой учетной записи.

Большинство пользователей, в отличие от специалистов, озабочены удобством, а не безопасностью. И я не уверен, что в данном случае они ошибаются. У вас в доме есть специально оборудованное убежище? Скорее всего, нет, но те, у кого есть, скажут вам, что оно необходимо. Однако прежде чем бросаться устраивать убежище, возможно, стоит сначала убедиться, что вы всегда запираете входную дверь.

Реальные случаи взлома пароля можно разделить на три категории: они бывают случайными, массированной атакой и прицельными.

• Случайная угроза исходит от знакомых. У чрезмерно любопытного сотрудника или члена семьи может возникнуть желание войти в вашу учетную запись. Он попытается угадать пароль, основываясь на вашем близком знакомстве (не используя преимуществ программного обеспечения для взлома паролей). Любопытный человек может знать, что ваша футбольная команда в старших классах школы называлась Wildcats, и попробовать это слово. Но пароль wildCatz1 ему никогда не угадать.