Использование слабых паролей ставит под угрозу ваши персональные данные, а при совсем плохих обстоятельствах – и вашу физическую безопасность. Тем удивительнее умение, с которым мы умудряемся создавать слабые пароли. Даже если администратор принудительно запрещает короткие пароли и требует использовать буквы в обоих регистрах, цифры и специальные символы.

В свежем (2014 год) исследовании паролей корпоративных учетных записей (Microsoft Exchange), поведенном в США, специалисты Trustwave анализировали выборку из 626 718 хешированных паролей (хеширование, от англ. hashing — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины с невозможностью обратного преобразования).

Для восстановления более половины паролей потребовалось несколько минут. За 31 день удалось восстановить 576 533 пароля (92%). Использовались отнюдь не суперкомпьютеры, а две настольные машины. Первая стоила 1800 долларов (Intel Core i7 Ivy Bridge Quad Core Processor, 16 гигабайт оперативной памяти и две видеокарты AMD Radeon 7970), вторая — 2700 долларов (AMD FX-8320 8 Core Processor, 16 гигабайт ОЗУ и четыре видеокарты AMD Radeon 7970).

Видеокарты – это важно, при их использовании существенно возрастает скорость перебора вариантов, например, Radeon 7970 AMD, которая стоит 350 долларов, может выполнить 17,3 миллиарда вычислений хеша в секунду по сравнению с процессором Core-i7-3770K Intel, стоящим 320 долларов и разогнанным до частоты 700 МГц (246 миллионов вычислений хеша в секунду). Первой стала применять видеокарты для перебора паролей, кстати, российская компания – Elcomsoft.

Многие пользователи и некоторые администраторы ошибочно полагают, что, используя в пароле одновременно заглавные и строчные буквы, числа и специальные символы, они сделают его более безопасным. Практика, однако, показывает, что это не делает восстановление пароля существенно сложнее. Только увеличение числа символов в пароле заметно влияет на время взлома.

В ходе восстановления паролей применялась атака методом грубой силы (brute force) – перебор паролей с вычислением хеша для каждого варианта и сравнение их с хешами паролей, которые атакующий хочет взломать. Если хеши равны, пароль взломан.

Специальный софт может взломать абсолютно случайный восьмисимвольный пароль, состоящий из букв (заглавных и строчных), цифр и специальных символов – такой, как N^a&$1nG, – намного быстрее, чем 28-символьный пароль, включающий только строчные и прописные буквы (GoodLuckGuessingThisPassword). Если атакующий знает длину паролей и типы используемых символов, N^a&$1nG может быть взломан менее чем за четыре дня с использованием одного только AMD R290X GPU. Но атакующему потребовалось бы почти 18 лет, чтобы на том же «железе» взломать GoodLuckGuessingThisPassword.

Для взлома также использовалась атака по словарю с использованием списка вскрытых ранее паролей (исследование Trustwave выполняется ежегодно). В течение нескольких минут удалось восстановить 54% процента паролей. Самым популярным оказался пароль Password1. Мало кто из пользователей утруждал себя созданием паролей длиной более минимально возможной, т.е. длиннее восьми символов.

Но это у американцев, а что у нас? Да то же самое. Убедиться в этом можно, анализируя попавшие на этой неделе в общий доступ пароли учетных записей «Яндекс» и Mail.Ru.

У пользователей «Яндекса» самым популярным паролем оказался 123456, он повторяется 39 177 раз на 1,2 миллиона записей. Другие популярные пароли немногим надежнее, см. диаграмму.

Всего же паролей, состоящих только из цифр, 208 823, или 16,6%.

Пользователи Mail.Ru, и в этом их коренное отличие от пользователей «Яндекса», предпочитают пароль qwerty:

Число повторяющихся паролей, т.е. встречающихся в списке более одного раза, составило 51%.

Цифровых паролей — 846 641, или 18% от общего количества.

86 273 пользователя (почти 2%) используют в качестве пароля собственный логин.

Ниже показано распределение длины паролей. Разница в частоте употребления паролей определенной длины по «Яндексу» и Mail.Ru объясняется тем, что объем выборки учетных записей Mail.Ru в четыре раза больше. Характер распределений, однако, один и тот же.

Длинный пароль лучше короткого, но длина еще не гарантирует надежности. Приведем в качестве примера наиболее длинные пароли Mail.Ru, далеко не все из которых требуют много времени для взлома.

Образцы самых длинных паролей Mail.Ru

Выделенные пароли весьма сложно назвать устойчивыми, так как они достаточно просто угадываются методами социальной инженерии, содержат повторяющиеся группы символов или даже IP-адрес и имя пользователя с его фамилией.

Без особой надежды на успех, в заключение напомним банальные правила работы с паролями, соблюдение которых убережет от неприятностей.

1. Используйте разные пароли на разных сайтах.
2. Пароль не должен совпадать с логином.
3. Пароль не должен содержать легко угадываемые слова и словосочетания (фамилия, имя, имена детей, жены, название любимой команды, кличка вашего домашнего животного, марка вашего авто и т.д.).
4. Если вы не можете запомнить ваши пароли, используйте менеджеры паролей.
5. Постарайтесь по мере возможности использовать сервисы, поддерживающие двухэтапную аутентификацию, где после ввода пароля вам приходит SMS, содержимое которого является вашим вторым паролем. Такие сервисы поддерживают Gmail, Microsoft, Facebook, LinkedIn, Twitter, WordPress.
6. Длина пароля сегодня желательна не менее 10 символов, а вообще – чем больше, тем лучше.
7. В состав пароля должны входить большие и маленькие буквы, цифры и специальные символы.
8. Проверьте свои пароли – если обнаружится совпадение в опубликованных ниже списках – измените свой пароль.
9. Если вы давно, полгода и более, не меняли пароли своих учетных записей на популярных онлайн-сервисах – сделайте это.

Чтобы узнать, нет ли вашего адреса в базе скомпрометированных адресов, скачайте соответствующий файл: «Яндекс» (9818 кБ) — Mail.Ru (29996 кБ) — Gmail (29403 кБ) >>

http://d-russia.ru/paroli-2014.html