Имя одного из главных героев «Звездных войн» вошло в список самых популярных паролей за прошлый год. Рейтинг составила калифорнийская компания SplashData. В топ-25 оказалось и само название фильма на английском языке — Star Wars. При этом из перечня худших комбинаций вылетели слова Superman и Batman. Подробности — у Альбины Хазеевой.
Фото: Евгений Павленко, Коммерсантъ
Верхние строчки антирейтинга прочно удерживают набор цифр от 1 до 6 и, собственно, слово «пароль» — password. В списке остается знаменитое qwerty, названия популярных видов спорта — football и baseball, — а также слова dragon, master, monkey и сочетание letmein – «позволь мне войти». В числе новых участников — welcome, login и princess. Компания SplashData составляет топ-25 каждый год. В перечень попадают комбинации, которые чаще всего встречаются в базах украденных паролей. Если секретное слово пользователя совпадает с одним из перечисленных вариантов, можно считать, что защиты у него нет вовсе. Взломать можно и более сложные пароли, но на это уйдет гораздо больше времени, отметил гендиректор компании Digital Security Илья Медведовский.
«Перебором паролей занимаются стандартные программы — этим программам уже более 20 лет. Чем пароль, с одной стороны, более стойкий, то есть чем больше там символов, спецсимволов и чем более стойкий там криптоалгоритм — сам алгоритм, с помощью которого все это дело происходит, — тем сложнее подобрать пароль, тем просто дольше это занимает времени», — пояснил Медведовский.
Хорошим паролем можно назвать комбинацию как минимум из десяти символов. Желательно не использовать слова, даже если некоторые буквы в них заменены цифрами, и известные цитаты. По данным исследования инженерной школы EURECOM и лаборатории Symantec, наиболее надежные сочетания содержат не только числа и заглавные буквы, но и специальные символы — @, # или $. Правда, и запомнить такой пароль будет сложнее. Специалисты по информационной безопасности рекомендуют использовать менеджеры паролей. Клиентам таких сервисов нужно знать лишь одну комбинацию — так называемый «мастер-пароль», сообщил главный редактор журнала «Хакер» Илья Русанен.
«Когда вы заводите новый сервис, допустим, регистрируетесь на "ВКонтакте", вы заходите в менеджер паролей, он генерирует вам значение по специальному рецепту. Соответственно, вы этот пароль вбиваете на "ВКонтакте", после этого он запоминает пароль для этого сайта и сохраняет его в хранилище. В следующий раз, когда вам нужно зайти на сайт, залогиниться, вы просто вводите мастер-пароль, и после этого программа определяет, что вы на сайте "ВКонтакте", ищет в своей базе сохраненные логин-пароль, вбивает — соответственно, вам его не нужно запоминать», — рассказал Русанен.
Хранилища паролей обычно надежно защищены, однако были примеры успешного взлома и этих сервисов. Эксперты советуют отдавать предпочтение тем менеджерам, которые хранят данные в компьютере клиента, а не в «облаке». Однако часто взлом происходит не по вине пользователя: пароли оказываются в открытом доступе из-за недостатков конкретных сайтов и сервисов. Об этом заявил заместитель технического директора Positive Technologies Дмитрий Кузнецов.
«Вы сами можете заметить: в большинстве случаев, когда вы пытаетесь восстановить пароль, вам сам пароль не восстанавливают — вам присылают ссылку, по которой вы можете создать новый пароль. Это нормальная ситуация, потому что пароль хранится в необратимом виде, и сама информационная система этот пароль не знает. Но очень часто вы сталкиваетесь с ситуацией, когда вы запрашиваете восстановление пароля, и вам присылают ваш собственный пароль. Это означает, что ваш пароль хранится в базе данных в открытом виде — в виде простого текста. Если в такой информационной системе, не дай бог, есть уязвимость, то эти пароли просто выдернут из базы данных информационной системы. Статистика как раз чаще всего составляется по таким взломанным инфосистемам», — отметил Кузнецов.
Именно по этой причине актуальным остается правило «один аккаунт — один пароль». Тогда в случае хакерской атаки данные пользователя в других информационных системах останутся под защитой. Крупные IT-компании начинают предлагать технологии, которые позволяют вообще не пользоваться паролями. К примеру, клиенты почтового сервиса Yahoo в США могут зарегистрировать номер телефона, на который приходят сообщения с одноразовыми ключами к профилю. Похожую систему сейчас тестирует и Google.