Читаем Цифровой журнал «Компьютерра» № 95 полностью

Сестра Чехова, Мария Павловна, упрекала Антона Павловича в том, что с приходом жены она, сестра, теряет всякое положение в семье. Жена Чехова, Ольга Леонардовна, тоже не раз пускала парфянские стрелы в золовку. Матушка Чехова, Евгения Яковлевна, всю жизнь во главу угла ставила собственные интересы и даже еду Антону велела готовить по собственному вкусу, а не по предписаниям докторов. Траектории выстрелов всегда шли через Чехова и частенько на нём, Чехове, и обрывались.

Хотя, возможно, прекратил кумысолечение Чехов и по иной причине, которую мы когда-нибудь узнаем. Или нет.

Матушка, Евгения Яковлевна Чехова, скончалась третьего января сурового девятнадцатого года, на восемьдесят четвёртом году жизни.

Жена, Ольга Леонардовна Книппер-Чехова, умерла двадцать второго марта пятьдесят девятого года на девяносто первом году жизни.

Сестра, Мария Павловна Чехова, умерла пятнадцатого января пятьдесят седьмого года, на девяносто четвёртом году жизни.

Антон Павлович Чехов умер пятнадцатого июля девятьсот четвёртого года, на сорок пятом году жизни.

К оглавлению

Опубликовано 14 ноября 2011 года

В области компьютерной безопасности на днях случился забавный казус. Корпорация Google запустила большую рекламную кампанию своего нового пособия "Хорошо бы это знать", посвящённого проблемам онлайновой безопасности и приватности. В частности, вполне конкретные советы Гугла о том, как правильно выбирать стойкие пароли, появились на рекламных щитах в лондонской подземке и в виде полностраничной рекламы в респектабельном журнале The Economist. Пример «очень сильного пароля» из рекламы выглядит следующим образом: «2bon2btitq». Как поясняет сопутствующая картинка, пароль составлен из первых букв каждого из слов знаменитой цитаты из шекспировского «Гамлета»: «Быть иль не быть, вот в чём вопрос» (To be or not to be / That is the question).

Случилось так, что на эту рекламу обратил внимание сотрудник Кембриджской лаборатории компьютерной безопасности Джозеф Бонно (Joseph Bonneau). Он решил проверить данный пароль практически на предмет «силы и стойкости».

Способ проверки немудрён, можно даже сказать, совсем прост. В 2009 году некие деятели похитили и слили в интернет гигантский массив информации о паролях, применяемых пользователями сервисов Myspace и Facebook — так называемый "массив данных RockYou".

После сопоставления «гугловского» пароля с данными этой базы тут же выяснилось, что из 32 603 387 пользователей комбинацию 2bon2btitq выбрали в качестве пароля четыре человека. А ещё пять человек сделали паролем более короткий вариант той же аббревиатуры — вида 2bon2b.

Трактовать этот результат можно двояким образом. С одной стороны, есть основания считать, что вероятность случайного подбора этого пароля в онлайне близка к одному на миллион. И выглядит это вроде бы впечатляюще.

Но с другой стороны, рекомендованный Гуглом пароль уверенно входит в сравнительно небольшую группу из 500 000 общих паролей, которые применяет половина всех пользователей популярных сервисов. Иначе говоря, он будет вскрыт практически мгновенно в том случае, если пароли утекут в хешированной форме (а это случается сплошь и рядом).

Таким образом, рассуждая эмпирически, эксперт по безопасности делает следующий вывод. Предлагаемый в рекламе Гугла пример парольной комбинации — это отнюдь не сильный пароль. При определённой методике подсчёта шансов на вскрытие, принятой среди специалистов, ему можно дать более точное определение: это очень средний по силе пароль.

Если же людям нужен простой совет о том, как придумать действительно сильный пароль, то лучший рецепт, по мнению Бонно, — это такая комбинация, которую больше никто и никогда не использует. Как именно конструируются подобные пароли — вопрос дискуссионный. Сам Бонно для генерации сильного, лёгкого в запоминании и почти гарантированно уникального пароля рекомендует применять программные инструменты типа Diceware.

Однако нельзя не признать, что повсеместно распространённый метод аутентификации пользователей, основанный на паре «логин-пароль», — это крайне несовершенная и устаревшая мера безопасности, давным-давно нуждающаяся в замене.

Как раз на этой неделе, 18 ноября, исследователи в области инфозащиты будут обсуждать эту проблему на семинаре, устраиваемом DARPA — Агентством передовых исследовательских проектов министерства обороны США. Речь пойдёт о новой программе Агентства, которая, как надеются её организаторы, поможет радикально изменить процесс авторизации доступа в системах компьютерной безопасности.