Пароли, пароли, ….

Многие современные смартфоны позволяют использовать вместо привычного текстового пароля (точнее: в качестве реквизита доступа) уникальный рисунок отпечатка человеческого пальца или иные биометрические методы.

В планшетах iPad сканер отпечатков пальцев появился года три тому назад, причем конструктивно он находился в домашней кнопке, к которой нужно было прижать палец, чтобы получить доступ к системе. Аналогичные конструкции также появились в гаджетах Samsung, а в мае Google объявила о поддержке таких датчиков в операционной системе Android для мобильных устройств. Причем во всех случаях такой способ ввода пароля не только удобнее, но и безопаснее.

Отпечаток пальца проверяется по хранящейся локально копии, поэтому такая конфиденциальная информация не покидает пределов планшета или смартфона. С другой стороны, пароль – наиболее уязвимая часть системы аутентификации (т.е. процедуры проверки подлинности реквизитов безопасности, которую кстати не следует путать с идентификацией, т.е. процедурой распознавания субъекта по его реквизитам безопасности). Несмотря на повышение требований различных систем к стойкости пароля (должен содержать цифры, прописные буквы, специальные символы при длине более 6 знаков), сегодня наблюдается новый тренд в недостатках обычных текстовых паролей, связанный с перегрузкой пользователя разными паролями для множества сайтов, на которых этот пользователь зарегистрирован.

Однако отпечаток пальца станет лучшим паролем в мире, поскольку он всегда у пользователя, причем является вполне стойким и уникальным для применения в повседневной практике. Пока слишком многие пользователи применяют один и тот же пароль для доступа к разным сайта и даже ко всем сайтам сразу. Поэтому утечка такого пароля с одного из сайтов, открывает доступ ко всем сайтам пользователя и даже его финансовым сайтам. С другой стороны, хакер не сможет легко украсть уникальный биометрический реквизит (в этой фразе ключевое слов – легко, поскольку уже есть практика применения фотографий отпечатков пальца для незаконного доступа).

Удобство применения отпечатков пальцев для доступа быстро поняло популярность Touch ID компании Apple в самых разных областях, включая финансовые (например, этому способу доверяют American Express, Dropbox и Amazon, не говоря уже про другие региональные американские компании, незнакомые российскому читателю).

Однако начало массового использования отпечатков пальца в качестве реквизита безопасности связано вовсе не с Apple, а с IBM (как и многие другие достижения Apple, первоначально появившиеся в совсем других компаниях). В 2004 году именно IBM первой внедрила встроенный сканер отпечатков пальца на ПК. Семь лет спустя компания Motorola внедрила этот сканер в смартфонах, но в обоих случаях датчики сканеров были недостаточно точными и стабильным, поэтому было слишком много сбоев при их эксплуатации.

Apple применила эту технологию в 2013 году, совместив на домашней кнопке операции включения устройства и аутентификации пользователя. Позже аналогичная функция появилась в Galaxy S6 от Samsung, а в следующем году ожидается в моделях многих других компаний.

Однако пока пользователям будет полезно знать наиболее популярные пароли, которые прежде всего проверяют хакеры при попытке взлома «методом грубой силы», т.е. тупого перебора вариантов паролей. По данным SplashData наиболее популярны пароли (мы оставили только те, которые имеют смысл и для русскоговорящих пользователей):

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234

Источник:
http://www.cnet.com/news/the-perfect-password-youve-put-your-finger-on-it

Passwords-1

Еще один список неудачных текстовых паролей появился после взлома сайта знакомств Ashley Madison. В конце июля этого года хакерская группа The Impact Team похитила клиентские базы сайта AshleyMadison, данные кредитных карт пользователей, а также внутренние конфиденциальные документы канадской компании Avid Life Media, которой принадлежат сайты знакомств AshleyMadison, Cougar Life и Established Men. Хакеры не пришли к соглашению с владельцем о выкупе, поэтому в начале августа в Интернет ушли 10 ГБ данных, в которых нас, согласно теме этой публикации, интересуют наиболее популярные (и поэтому плохие) варианты паролей:

1. 123456
2. 12345
3. password
4. DEFAULT
5. 123456789
6. qwerty
7. 12345678
8. abc123.
9. pussy (милашка, кошечка – специфика сайта)
10. 1234567.

На данный момент это наиболее актуальный (как сейчас говорят) список плохих текстовых паролей по достоверной массовый выборке (в противоположность высосанным из пальца или списанным с потолка спискам от разного рода экспертов-аналитиков).

Более того, из 37 млн. пострадавших (если так можно назвать людей, ищущих интрижки на стороне) 11,7 млн. имели нестойкие паролей (причем только 4,6 млн. из них были уникальными, т.е. не совпадали с другими паролями этого сайта). Эти 11 млн. уже удалось извлечь в текстовом виде их хэш-кодов в базе данных. В современных системах безопасности пароли пользователей не хранятся в исходном виде – к ним применяется выбранный в данной системе алгоритм преобразования, который для одного и того же введенного пароля дает одинаковую величину. Этот процесс называется хэшированием и в теории позволяет скрыть исходный текстовый пароль даже в случае кражи базы данных, в которой хранятся уже не сами пароли, а их хэши. Разумеется, в базе были и надежные пароли из символов в случайном порядке в верхнем и нижнем регистрах с цифрами и специальными символами (знаками), которые пока не удалось подобрать в «открытом» виде по хэшам – таковых оказалось всего 3,7 млн. штук.

На моей памяти уже лет тридцать пользователям рекомендуют выбирать стойкие пароли. Во многих случаях сегодня это делается принудительно – сайт просто не примет от пользователя нестойкий пароль, но остаются сайты, которые в погоне за популярностью пренебрегают элементарными мерами безопасности и позволяют своим пользователям выбирать любые пароли, включая неудачные. В результате, как показывает история с Ashley Madison, в проигрыше будут и сайт и его пользователи.

Источник:
http://arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/

Интересные записи