МАТЕРИАЛИ
Класация на SplashData за най-предвидимите и лесни за разбиване пароли
Технологичната компания за online-сигурност SplashData публикува своята редовна годишна класация за най-слабите и лесни за разбиване пароли, които потребителите използват най-масово за защита на своите информационни ресурси (персонални компютри, профили в социалните мрежи, електронна поща и други). Абсолютен шампион (откакто се прави класацията) е паролата '123456' във всички краища на света, следвана по петите от 'password' в англоезичния свят (еквивалент на широко разпространената при нас 'parola'). Следващи най-често срещани лесни пароли са '12345' и '12345678' – очевидно в зависимост от минимално изискуемия брой символи, заложен в настройките на съответните сървъри. Следва паролата 'qwerty' (първите 6 буквени клавиша при клавиатурите със стандартна подредба на латиница). На следващо място се нарежда паролата '123456789', след която идва '1234' (с убедително увеличаваща се популярност). По-нататък статистиката отчита 3 нови пароли – 'baseball', 'dragon' и 'football' (валидни основно за англоговорящите потребители), които в останалите части на света имат сходни еквиваленти, представляващи популярни спортове, имена, заглавия.
Изследването на SplashData се базира върху статистическия анализ на 3'300'000 пароли, които по един или по друг начин са били краквани през изминалата година и огласявани публично след разбиването на съответните корпоративни или обществени сървъри – основно в Северна Америка и Западна Европа. (Въпреки, че през 2014 г. беше реализирано мащабно разбиване и на руски сървъри, най-слабите рускоезични пароли не са включени в класацията.) По-конкретно, от SplashData класират 25-те най-слаби пароли за 2014 г. по следния начин:
01. 123456 (на първо място във всичките класации досега)
02. password
03. 12345 (с ръст от 17 позиции от 2013 г.)
04. 12345678
05. qwerty
06. 123456789
07. 1234 (с ръст от 9 позиции от 2013 г.)
08. baseball (нова за 2014 г.)
09. dragon (нова за 2014 г.)
10. football (нова за 2014 г.)
11. 1234567
12. monkey
13. letmein
14. abc123 (с понижение от 9 позиции от 2013 г.)
15. 111111 (с понижение от 8 позиции от 2013 г.)
16. mustang (нова за 2014 г.)
17. access (нова за 2014 г.)
18. shadow
19. master (нова за 2014 г.)
20. michael (нова за 2014 г.)
21. superman (нова за 2014 г.)
22. 696969 (нова за 2014 г.)
23. 123123 (с понижение от 12 позиции от 2013 г.)
24. batman (нова за 2014 г.)
25. trustno1
02. password
03. 12345 (с ръст от 17 позиции от 2013 г.)
04. 12345678
05. qwerty
06. 123456789
07. 1234 (с ръст от 9 позиции от 2013 г.)
08. baseball (нова за 2014 г.)
09. dragon (нова за 2014 г.)
10. football (нова за 2014 г.)
11. 1234567
12. monkey
13. letmein
14. abc123 (с понижение от 9 позиции от 2013 г.)
15. 111111 (с понижение от 8 позиции от 2013 г.)
16. mustang (нова за 2014 г.)
17. access (нова за 2014 г.)
18. shadow
19. master (нова за 2014 г.)
20. michael (нова за 2014 г.)
21. superman (нова за 2014 г.)
22. 696969 (нова за 2014 г.)
23. 123123 (с понижение от 12 позиции от 2013 г.)
24. batman (нова за 2014 г.)
25. trustno1
С увеличаването на управляваните от потребителите информационни ресурси се увеличава и значението на паролите, чрез които тези ресурси биват защитавани. Поставянето на лесна за разбиване парола е равностойно на това да заключите дома си с катинарче, което може да се отвори с фиба или просто да се счупи с не много силен удар. Ето защо – подобно на конвенционален заключващ механизъм, паролата трябва да бъде достатъчно здрава, за да защити съответния информационен ресурс. Ако искаме да повишим качеството на използваните пароли, можем да последваме няколко съвсем прости съвета, които специалистите по електронна сигурност дават – по-долу привеждаме някои от най-често срещаните.
1) Използвайте сравнително по-дълги пароли. Един от основните методи за разбиване на пароли е чрез прилагане на т.нар. „brute-force“ технологии – последователно атакуване на системата с всички възможни комбинации – като се започне с пробване на възможностите от по 1 символ, премине се към 2 символа, 3 символа... С всяко следващо увеличаване комбинациите стават много по-голям брой и дори най-мощните програми се затрудняват да атакуват с всичките възможни комбинации от по-голям брой символи.
2) Избягвайте често срещани думи, имена и поредни клавишни комбинации. За прилагане на „brute-force“ атаките се използват специални „речници“, съдържащи типични думи, изрази, словосъчетания. Добрите „речници“ се приспособяват към езиковите особености на атакуваната система и задължително съдържат лесни за набиране и предпочитани от потребителите клавишни комбинации (като '123456', 'aaaa' и други). Ако наприме умишлено допуснете „правописна грешка“, ще затрудните силно атаката, тъй като е по-вероятно „речникът“ да съдържа думата само с правилното й изписване.
3) Смесвайте задължително малки и големи букви, цифри и специални символи. Споменатите „речници“ започват от по-прости и кратки комбинации, и продължават към по-сложни, като с всяко следващо ниво на сложност броят на възможните комбинации нараства неимоверно. Ако например комбинацията '10jw]rM1{oWoi9*&jHm5' изобщо е включена в „речника“, тя по всяка вероятност ще стои на много по-далечна позиция и ще бъде изпробвана след много по-дълъг процес на атакуване, отколкото например комбинацията '1111', която е почти в началото и ще бъде изпробвана няколко секунди след старта на атаката.
4) Никога не използвайте едни и същи пароли за различните ваши ресурси. Колкото и да е сигурна една парола, е възможно по някаква причина да бъде прихваната (например чрез заразяване на компютъра, от който сте я въвели). Ето защо е важно различните информационни ресурси, с които работите, да не се защитават с еднаква парола. Така например, ако сте влезли от заразен компютър в своя развлекателен профил в някоя от социалните мрежи и паролата ви бъде прихватата, това няма да застраши например вашите шифровани архиви, банкови или служебни акаунти, в които влизате само от сигурни компютри.
5) Не споделяйте паролите си с никого и не ги записвайте в достъпен вид. Голяма част от прихващанията на пароли се случват и извън internet – докато например диктувате служебната си парола по телефона на ваш колега, за да му дадете достъп до компютъра ви във ваше отсъствие или като записвате новите си пароли на листче, което просто остава върху бюрото ви или в портфейла ви. Ако все пак искате да документирате паролата си, за да не я забравите, си измислете някакво напомняне и запишете него вместо паролата, или напишете паролата с някаква умишлено допусната грешка, която ще знаете само вие. И, разбира се, не записвайте буквално, че това е вашата парола за електронната ви поща например!
6) Променяйте редовно своите пароли, особено при съмнение за разкриването им. Редовното променяне на паролите предотвратява възможността с последователни „brute-force“ опити най-накрая да бъде изпробвана правилната, макар и сложна комбинация. Също така – ако паролата ви е била прихваната и е допуснато проникване в ресурсите ви, редовното сменяне на паролата сравнително бързо ще „затръшне“ вратата пред атакуващите и допуснатият теч ще бъде спрян, поне занапред. И не на последно място – дори съмнението ви да изглежда нелогично и параноидно, по-добре все пак да смените паролата, отколкото да не го направите; така или иначе не дължите обяснение на никого за това, а и ще увеличите сигурността на вашите ресурси – независимо дали е имало обективна нужда от смяна на паролата.
7) Използвайте лесни за запомняне от вас пароли, но трудни за отгатване от другиго. Това е важно, когато имате много пароли и използвате истински добри защитни технологии, лишени от „задни вратички“ за рестартиране на забравени пароли. Можете да запомните лесно паролите си, като например заместите част от символите на избрания от вас израз с други, които ви идват на ум. Например лесната за разбиване комбинация 'parola' ще стане малко по-трудна, ако буквата „o“ бъде заменена с графично изглеждащата по сходен начин цифра „0“ – получава се 'par0la'; по фонетична асоциация можете да замените латинската буква „p“ с цифрата „5“ – получава се още по-сигурната комбинация '5ar0la'; можете да замените буквата „l“ с графично изглеждащия по сходен начин символ „!“ – получава се още по-сигурната комбинация '5ar0!a'. И така нататък...
2) Избягвайте често срещани думи, имена и поредни клавишни комбинации. За прилагане на „brute-force“ атаките се използват специални „речници“, съдържащи типични думи, изрази, словосъчетания. Добрите „речници“ се приспособяват към езиковите особености на атакуваната система и задължително съдържат лесни за набиране и предпочитани от потребителите клавишни комбинации (като '123456', 'aaaa' и други). Ако наприме умишлено допуснете „правописна грешка“, ще затрудните силно атаката, тъй като е по-вероятно „речникът“ да съдържа думата само с правилното й изписване.
3) Смесвайте задължително малки и големи букви, цифри и специални символи. Споменатите „речници“ започват от по-прости и кратки комбинации, и продължават към по-сложни, като с всяко следващо ниво на сложност броят на възможните комбинации нараства неимоверно. Ако например комбинацията '10jw]rM1{oWoi9*&jHm5' изобщо е включена в „речника“, тя по всяка вероятност ще стои на много по-далечна позиция и ще бъде изпробвана след много по-дълъг процес на атакуване, отколкото например комбинацията '1111', която е почти в началото и ще бъде изпробвана няколко секунди след старта на атаката.
4) Никога не използвайте едни и същи пароли за различните ваши ресурси. Колкото и да е сигурна една парола, е възможно по някаква причина да бъде прихваната (например чрез заразяване на компютъра, от който сте я въвели). Ето защо е важно различните информационни ресурси, с които работите, да не се защитават с еднаква парола. Така например, ако сте влезли от заразен компютър в своя развлекателен профил в някоя от социалните мрежи и паролата ви бъде прихватата, това няма да застраши например вашите шифровани архиви, банкови или служебни акаунти, в които влизате само от сигурни компютри.
5) Не споделяйте паролите си с никого и не ги записвайте в достъпен вид. Голяма част от прихващанията на пароли се случват и извън internet – докато например диктувате служебната си парола по телефона на ваш колега, за да му дадете достъп до компютъра ви във ваше отсъствие или като записвате новите си пароли на листче, което просто остава върху бюрото ви или в портфейла ви. Ако все пак искате да документирате паролата си, за да не я забравите, си измислете някакво напомняне и запишете него вместо паролата, или напишете паролата с някаква умишлено допусната грешка, която ще знаете само вие. И, разбира се, не записвайте буквално, че това е вашата парола за електронната ви поща например!
6) Променяйте редовно своите пароли, особено при съмнение за разкриването им. Редовното променяне на паролите предотвратява възможността с последователни „brute-force“ опити най-накрая да бъде изпробвана правилната, макар и сложна комбинация. Също така – ако паролата ви е била прихваната и е допуснато проникване в ресурсите ви, редовното сменяне на паролата сравнително бързо ще „затръшне“ вратата пред атакуващите и допуснатият теч ще бъде спрян, поне занапред. И не на последно място – дори съмнението ви да изглежда нелогично и параноидно, по-добре все пак да смените паролата, отколкото да не го направите; така или иначе не дължите обяснение на никого за това, а и ще увеличите сигурността на вашите ресурси – независимо дали е имало обективна нужда от смяна на паролата.
7) Използвайте лесни за запомняне от вас пароли, но трудни за отгатване от другиго. Това е важно, когато имате много пароли и използвате истински добри защитни технологии, лишени от „задни вратички“ за рестартиране на забравени пароли. Можете да запомните лесно паролите си, като например заместите част от символите на избрания от вас израз с други, които ви идват на ум. Например лесната за разбиване комбинация 'parola' ще стане малко по-трудна, ако буквата „o“ бъде заменена с графично изглеждащата по сходен начин цифра „0“ – получава се 'par0la'; по фонетична асоциация можете да замените латинската буква „p“ с цифрата „5“ – получава се още по-сигурната комбинация '5ar0la'; можете да замените буквата „l“ с графично изглеждащия по сходен начин символ „!“ – получава се още по-сигурната комбинация '5ar0!a'. И така нататък...
Независимо от това колко сложни пароли измисляте, обаче, трябва да имате предвид, че сигурността на електронните ресурси е комплексен въпрос и нейното постигане не се изчерпва до използването на трудни за разбиване пароли. Важно е да поддържате компютърното оборудване и софтуерно осигуряване в изправност, и да внимавате какво и как правите в internet, за да предотвратите случайно или целенасочено заразяване със зловреден код. Трябва да имате предвид и това, че използването на несвободен софтуер и хардуер ви поставя в зависимост от благоволението на компаниите-собственици, които съвсем официално ви преграждат възможността да знаете как работи софтуерът и дали в него няма „задни вратички“. В този смисъл – използването на сложни пароли е добра първа стъпка, но в никакъв случай не изчерпва въпроса за електронната сигурност.
