Что мы должны знать о паролях и графических ключах

Автор
tagrely
1 Star2 Stars3 Stars4 Stars5 Stars

weak-android-lock-patterns-1040x617Компьютеры, планшеты, смартфоны давно уже прочно вошли в нашу жизнь, и пользование паролями для доступа к сайтам, личным аккаунтам и кабинетам стало делом привычным для каждого из нас. Но то, что мы должны знать о паролях и графических ключах редко попадает в поле наших размышлений и как показала практика, простой пользователь не озадачивается изучением этого вопроса и не понимает важности правильно выбираемого пароля.

Первое, что приходит в голову большинству пользователей современных средств коммуникации при выборе пароля — это дата своего рождения, кличка любимой собаки или номер хорошо знакомого телефона, а также всевозможные вариации на тему «password», «qwerty» и «1234567».

Зная эту особенность современного обывателя, даже не профессиональному хакеру, а обычному мошеннику не составляет большого труда узнать необходимую информацию и «пробить» ее через ваш аккаунт. Перед тем как включить специальный софт по подбору паролей, многие из них подбирают пароль вручную, пользуясь известной о вас информацией или надеясь на простые пароли типа: «password», «qwerty» и «1234567». Если эти пароли не подходят, тогда они включают специальную программу и начинают подбор. А уж в специальных программах варианты простых паролей стоят в первой десятке. Итак, что мы должны знать о паролях и графических ключах? На что обратить внимание при выборе?

Какой пароль выбрать

Выбрать хороший пароль самому довольно сложно. В этом деле лучший помощник — генератор паролей. В чём его плюсы? В том, что он генерирует пароли по заданным критериям. Вы можете задать длину и сложность пароля и затем выбрать понравившийся вариант. Пароли генерируются в случайных комбинациях и только один раз. Вероятность того, что кому-то будет сгенерирован такой же пароль при комбинации хотя бы 10-12 знаков практически равна нулю. И подобрать его даже при помощи специальной программы практически невозможно, теоретически на это должно уйти несколько десятков лет.

Если же у вас всё равно появляется недоверие к генераторам паролей, то измените несколько символов в пароле. Или придумайте пароль сами, но обязательно используя для этого комбинацию заглавных и прописных букв, цифр и символов, язык ввода. Такой пароль должен состоять не менее, чем из 10-12 знаков. Сложность такого пароля в том, что его трудно запомнить, а учитывая то, что для каждого сайта или личного кабинета рекомендуется создавать свой, отдельный пароль, а не пользоваться одним, без записей паролей не обойтись.

Пять правил хорошего пароля

  1. Не пользуйтесь старыми паролями для создания новых.
  2. Не используйте в качестве паролей факты, которые могут знать многие люди (имя домашнего животного, город, в котором вы родились и т.п.).
  3. Не устанавливайте один и тот же пароль для защиты нескольких важных аккаунтов.
  4. Генерируйте пароли в специальных сервисах – подобрать их будет крайне сложно.
  5. Используйте двухфакторную авторизацию (например, пароль и код из SMS или графический ключ) там, где это возможно.

Графические ключи

Когда в 2008 году появились первые графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.

Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.

«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает  389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.

В целом, основные собранные данные таковы:

  • 44% ALP начинаются из верхнего левого узла
  • 77% начинаются в одном из четырех углов экрана
  • 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
  • Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
  • Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор

Ошибки графических ключей

Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.

В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.

Источник — https://xakep.ru

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА

ОСТАВЬТЕ ОТВЕТ

Please enter your name here
Please enter your comment!