В интернете самый популярный цвет – голубой. По крайней мере, именно такой оттенок чаще всего встречается в паролях пользователей. Эксперты объясняют это тем, что много популярных веб-сайтов вроде Facebook, Twitter и Google используют этот цвет в своих логотипах. Пользователи подсознательно запоминают это и делают выбор в пользу голубого оттенка при создании пароля. Это не единственная особенность человеческой психологии: исследования показывают, что рыжие женщины выбирают самые трудные пароли, а мужчины с пышными бородами – самые слабые. Слабый пол также стремится выбрать пароль подлиннее, а сильный склонен использовать разные пароли. Благодаря знанию пользовательских слабостей сложное задание по подбору паролей становится для хакеров практически детским развлечением.
Основным источником подобных данных о психологии пользователей для киберзлоумышленников являются огромные базы паролей, которые удавалось скопировать с популярных веб-сайтов и онлайновых сервисов. Известные ресурсы, такие как Adobe, LinkedIn или игровой сайт RockYou, часто находятся под компьютерными атаками. Последние иногда заканчиваются утечкой логинов и паролей потребителей. Число подобных случаев, когда крупный сервис становился жертвой взлома, а пользователи вынуждены менять свои учетные данные, исчисляется уже десятками. Благодаря этому киберпреступникам удалось пролить свет на предпочтения людей при выборе паролей.
Основной вывод из накопившейся информации радостный для хакеров: пользователи выбирают себе плохие пароли. Правда, специалисты советуют об этом не сильно переживать: все мы люди. «Вы должны помнить, что мы все люди и все мы совершаем ошибки», – говорит специалист по компьютерной безопасности Пер Торсхайм.
По его словам, хорошим паролем будет фраза или комбинация символов, которая мало касается личности человека. Но люди часто выбирают слова или числа, которые относятся к их персональным данным. Они используют в качестве пароля дни рождения, свадьбы, имена детей, домашних питомцев или любимых поп-звезд.
Особенно заметно, что пользователи выбирают слабые пароли, когда их просят установить четырехзначный цифровой пин-код. Статистика показывает, что из всех 10 тысяч возможных вариантов люди пользуются лишь небольшим количеством. До 80% всех четырехзначных пин-кодов – это всего лишь 100 чисел.
Психология пользователей
Раньше основным инструментом для взлома учетных записей был «брутфорс» – перебор всех возможных комбинаций, что требовало много времени и мощного компьютера. Однако знание того, что выбирают пользователи, изменило способы получения паролей. Теперь «брутфорс» – это самый последний способ. «Сегодня тактика брутфорса – это самая последняя, которую будут использовать», – отмечает Торсхайм.
Метод «брутфорса» является универсальным средством для взлома, но занимает много времени. Все из-за того, что злоумышленник последовательно перебирает каждую возможную комбинацию, число которых растет в геометрической прогрессии с каждым дополнительным символом в пароле. Например, для пин-кода из 4 цифр максимальное число вариантов составляет 10 тысяч. А для 5 цифр это уже 30,2 тыс возможных комбинаций.
При этом взломщик должен пройти весь путь с самого начала до тех пор, пока не найдет успешный пароль, который может оказаться последним в списке. Например, если пользователь выбрал «zzzzzzz», то злоумышленник должен начать с фразы «ааааааа» и, последовательно меняя буквы, отправлять пару логин/пароль на проверку. Чтобы дойти таким способом до «zzzzzzz», понадобится много времени.
Злоумышленники нашли оригинальный выход для использования «брутфорса» в реальной жизни: они вместо одного сверхмощного компьютера используют множество маломощных. Последние им предоставляют сами пользователи, которые заражаются вирусами и становятся частью ботнетов. Имея несколько миллионов компьютеров в подчинении, перебрать варианты от «ааааааа» до «zzzzzzz» становится задачей на несколько минут.
Вломать пароли, чтобы сделать их безопасней
Взломом паролей занимаются не только злоумышленники, но и фирмы по компьютерной безопасности. Для этого они используют те же базы «угнанных» учетных записей, что и киберпреступники. Однако вместо получения доступа к чужим данным эксперты таким образом получают информацию о том, какие пароли выбирают пользователи. Это позволяет им давать советы по выбору максимально надежных паролей.
Сами пароли уже давно не хранятся на серверах веб-сервисов в открытом виде. Даже если злоумышленник похитит учетные данные какого-то аккаунта, он не сможет ими воспользоваться. Все из-за того, что введенный при регистрации пароль обрабатывается математической функцией, и на сервере хранится ее результат – хеш. Эта функция работает таким образом, что для одного и того же набора символов всегда будет давать случайный на вид набор чисел и букв. Например, если обработать популярной хеш-функцией MD5 число 123456, тогда на выходе получится строка «e10adc3949ba59abbe56e057f20f883e».
Сегодня хеш-функции хоть и задерживают злоумышленников, но уже не способны их остановить. Все благодаря работе компьютерного эксперта Яниса Крисансо из компании KPMG. Во время учебы в университете он разработал базовые правила по взлому паролей.
Благодаря его подходу пароль вида «Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn» уже не является достаточно надежным. На первый взгляд может показаться, что это случайный набор букв и знаков, однако образованный человек увидит здесь фразу из произведения известного писателя ужасов Говарда Лавкрафта.
Сегодня злоумышленники уже не бросаются в атаку на аккаунты пользователей, вооружившись одним лишь «брутфорсом». Они предварительно повышают свою образованность, собирая сведения о жертве по социальным сетям и форумам. Там можно найти важные для нее слова, имена и даты. Это знание позволяет быстрее подобрать пароль.
«Плохие парни пытаются взломать пароли из-за того, что они знают правду о людях, – говорит компьютерный эксперт Брюс Маршал. – Люди ленивые». Исследования показывают шанс в 70% того, что связанный с электронной почтой пароль будет использоваться для регистрации на других сайтах. Именно по этой причине многие киберзлоумышленники «ломают» маленькие ресурсы, которые не имеют сложной системы безопасности. Полученные у них пароли они потом испытывают на других более крупных веб-сайтах. «Если злоумышленник взламывает пароль, тогда есть большая вероятность, что они получили их на каком-то сайте и потом пробуют их на дополнительных учетных записях», – отмечает Маршал.
Доступность баз данных паролей также создает большую брешь в безопасности. «Если атакующий не может получить доступ к базе данных выбранного сайта, тогда он может использовать онлайновое угадывание пароля, при котором перебираются популярные слова, адреса электронной почты и комбинации паролей», – говорит Маршал.
Пользователи могут противостоять киберзлоумышленникам. Для этого нужно использовать сложные комбинации фраз для пароля, избегать персональных данных в пароле и регулярно их менять. Также не стоит использовать пароли от важных сервисов вроде онлайн-банкинга на различных сомнительных сайтах. Лучше всего для подобных служб иметь свои уникальные учетные данные, которые больше нигде не используются.
По материалам: BBC