Читаем Камень ломает ножницы. Как перехитрить кого угодно: практическое руководство полностью

• Массированная атака похожа на спам – ничего личного. Вор персональных данных не стремится войти именно в вашу учетную запись и ничего о вас не знает. Он пытается собрать список взломанных паролей, обычно для продажи. Похитители паролей используют специальные программы и начинают с попытки взлома самых незащищенных сайтов, допускающих множество попыток ввода пароля. Это может быть игровой сайт, где пароли не имеют финансовой ценности. Затем программа использует правильно угаданный пароль и его вариации для проникновения на защищенные учетные записи, например, банковские.

• Прицельная угроза предполагает частного или государственного детектива плюс программное обеспечение. Если информированный человек захочет войти в ваши учетные записи, и если на его стороне время и деньги (и законное право?), то он, скорее всего, добьется успеха. Единственная защитная мера – использовать достаточно длинный случайный пароль. В таком случае на взлом потребуется отрезок времени, превышающий среднюю продолжительность жизни.

Нельзя быть слишком уверенным, что вам не угрожает прицельная атака. Возможно, ваши конкуренты по бизнесу захотят украсть у вас ноутбук и израсходовать на его взлом необходимые ресурсы. Так же захотят поступить с богатым супругом при бракоразводном процессе. Хакеры могут испытывать неприязнь к определенным бизнесменам и политикам. Однажды был скомпрометирован сайт Twitter – из-за того, что администратор неблагоразумно выбрал пароль счастье. В 2009 г. хакер узнал пароль в результате словарной атаки и опубликовал его на сайте Digital Gangster, что привело к взломам лент Барака Обамы, Бритни Спирс, Facebook и Fox News.

Как и всё в жизни, пароли предполагают компромисс. Можно обеспечить одновременно максимальную безопасность и максимальное удобство пароля. Одна из лучших и весьма распространенных тактик – преобразовать в пароль фразу или предложение. Можно взять строчку из песни и составить пароль из первых букв слов. Например, May the force be with you превратится Mtfbwy.

Однако вы не станете обращаться к этой строчке, и именно в этом проблема. На память вам придет хорошо известная фраза из фильма, боевой девиз колледжа или слова из мультсериала «Южный парк». Сколько фраз из восьми слов вы знаете наизусть? И совершенно неочевидно, что наугад выбранную фразу угадать сложнее, чем случайное слово. Немногие дают себе труд декорировать полученный из фразы акроним. Он и так выглядит случайным!

Идеальный метод составления паролей должен быть эффективным, даже если его применяют все. Если система с использованием фраз станет популярной, то акронимы из всех заимствованных из поп-культуры крылатых выражений войдут в списки самых распространенных паролей, и программы для взлома обратятся к ним в первую очередь. Обычно акронимы состоят из букв, и по этой причине менее надежны, чем комбинации из любых символов такой же длины.

На некоторых недостатках стоит остановиться особо. Никогда не используйте «знаменитые цитаты». Одна из альтернатив – шутки, понятные только вам. Помните смешную фразу, которую официант сказал вашей подруге в мексиканском ресторане? Вы помните, она помнит – и, возможно, официант. И все. Если вы используете эту фразу для создания пароля, то велика вероятность, что больше ни один человек на планете ее не выберет.

Однако и в этом случае уникальность пароля не гарантирована. Разные фразы могут начинаться с одних и тех же букв, в результате чего получаются одинаковые акронимы. Одни буквы чаще встречаются в начале слов, другие реже, и хакерская программа может учитывать эту особенность.

Я обычно использую простые, глупые пароли. После взлома одной из моих учетных записей сайт снабдил меня временным паролем. Он представлял собой произвольный набор символов. Я хотел его сменить, но затем понял, что в этом нет необходимости. Я могу запомнить случайный пароль.

Наш мозг умеет находить закономерности в случайных данных. Именно так мы запоминаем телефонные номера или номер своей карточки социального страхования. Этот прием также работает с произвольными наборами символов, такими как РВМ8т4kа. Я только что получил этот пароль на сайте random.org. Хотя выбор символов в нем действительно случаен, глаз и мозг сразу же выявляют закономерности. В данном случае все три первые буквы оказались прописными, а остальные три строчными. А восемь – это удвоенное четыре.

Случайно созданный пароль легко преобразовать в бессмысленную фразу. РВМ8т4kа может превратиться в «революций в минуту, 8 тележек для Кати». Я не знаю, что бы это могло значить, но запомнить довольно просто.

Пароль, фраза, мнемокод – какая разница? Пароль со случайным набором символов считается «золотым стандартом» безопасности. Он лучше любого, какой только может придумать человек. И надежность его нисколько не уменьшается оттого, что указанной схемой пользуется весь мир.