Як захиститися: технічний аспект - Криптостійкий пароль
навігація по розділу

Криптостійкий пароль

Одна з найважливіших ліній захисту вашої цифрової особистості — пароль. По суті, це кодова фраза, яка дозволяє постачальникам цифрових послуг однозначно сказати, що ви є реальною особистістю, яка хоче отримати доступ до своєї власності. Та попри важливість цього захисту, щороку дослідження показують одну й ту ж статистику: переважна більшість користувачів має дуже прості паролі, тож зловмисники навіть не напружуються, щоби дізнатися їх.

Згідно з рейтингом ресурсу SplashData, 25 найпопулярніших (і найгірших) паролів виглядають так:

passworddd

Цікаво, чи є в цьому переліку ваш пароль? Якщо так — слід визнати, що його знає мало не півсвіту. Та проблема цих паролів не в тому, що я можу здогадатися про їхній зміст. Річ у тім, що я навіть не намагатимуся зламати ваш пароль за допомогою здогадки. Для цього є спеціальні програми, які підбирають правильний варіант. Отже, проблема цих паролів полягає — у їхній не криптостійкі.

Криптостійкість — це здатність вашого паролю протистояти атакам. Вона здатність характеризує силу паролю й визначається кількома параметрами:

  1. Довжина паролю — сукупна кількість символів парольної фрази. Чим довший ваш пароль, тим тяжче його атакувати. Враховуючи зростання технологій, за допомогою яких можна атакувати ваш пароль, він має бути не коротшим за 12 символів.
  2. Використання прописних літер. Із погляду криптографії велика й мала літери є різними символами. Тобто паролі «Justification» та «justification» є абсолютно різними.
  3. Використання цифр. Наявність у паролі чисел також зміцнює його, адже в такому випадку для атаки доведеться використовувати не лише абетку, але й цифри.
  4. Використання інших знаків. Ідеться, зокрема, про знак оклику, знак питання, нижнє підкреслення, равлик (@), дефіс, знак долара, амперсанд (&) тощо. Якщо їх використано в паролі, атака ускладнюється й може тривати століття.

 

Щоби наочно зрозуміти, чому важливо мати довгий пароль (від 12 символів) із використанням великих літер, цифр та інших знаків, виконайте завдання. Перейдіть за посиланням https://howsecureismypassword.net/ і послідовно вводьте у вікно «Enter password» такі паролі (увага: не вводьте в це вікно своїх справжніх паролів!):
  • starwars,
  • Starwar,
  • Starwars2,
  • Starwars_2016.

Зверніть увагу, як змінюється час, потрібний для атаки. Якщо перший пароль гарантовано буде зламаний практично миттєво, то на останній знадобиться близько трьох мільйонів років. А це вже чимало.

Утім, це лише частина захисту. Адже груба атака перебором застосовується лише тоді, коли є ймовірність, що ваш пароль слабкий. Якщо ж пароль міцний — постає потреба шукати інші шляхи атакувати вас. Одним із найпоширеніших способів є так званий фішинг (англ. fishing — риболовля).<

На відміну від грубої атаки перебором, фішинг вимагає радше навичок особистої комунікації, аніж технічної підготовки. Саме тому цей спосіб належить до елементів соціальної інженерії. Мені не потрібно витрачати три мільйони років, щоб отримати ваш пароль, достатньо зробити так, щоб ви самі мені його віддали.

Для цього застосовують кілька прийомів. Наприклад, надсилання фішингових листів, які би змусили вас перейти на сайт, зовнішньо схожий на сторінку входу до соціальної мережі чи пошти. Отакого листа отримав я:

Figure002

У цьому випадку яку би я клавішу не натиснув, існує висока ймовірність, що в результаті переходу я втрачу доступ до власної пошти або профілю в соціальній мережі. До речі, в соцмережі фішинг практикується не тільки надсиланням повідомлень із посиланнями, але й за допомогою позначень вас на фото або відео. Таким чином відео може з’явитися на вашій сторінці (якщо ви не виключили такої можливості в налаштуваннях профілю) і його побачать ваші друзі, кожен із яких може стати об’єктом атаки. Подібні повідомлення виглядають приблизно так:

Figure003
Нижче приклад фішингового листа. Більше прикладів ви можете побачити за цим посиланням.

Figure004
Автор зображення: Марина Шабелюк

На завершення теми міцних паролів зауважмо два моменти. По-перше, дуже важливо, щоб ви використовували різні паролі для: входу в операційну систему, до профілів у соціальних мережах, до пошти й до банкінгу. По-друге, заведіть для себе звичку змінювати паролі щотри місяці. Це потрібно, щоби крадіжка одного з ваших паролів не відкрила шахраям доступу одразу до всього.