Ложь, большая ложь и статистика паролей
Сервис NordPass (по некоторым данным литовский, происхождение и принадлежность мутные), предназначенный для управления паролями, на минувшей неделе предался ежегодной забаве, а именно публикации «списка самых популярных паролей в мире». Хит-парад тот...
Сервис NordPass (по некоторым данным литовский, происхождение и принадлежность мутные), предназначенный для управления паролями, на минувшей неделе предался ежегодной забаве, а именно публикации «списка самых популярных паролей в мире». Хит-парад тот же, что год, и два, и четыре, и десять лет назад – «123456» и т.п.
Это провоцирует вопрос о том, почему время идёт, а люди не умнеют. Но это неправильный вопрос. Правильный вопрос: а о чём вообще NordPass нам каждый год сообщает.
Правильный ответ: о том, что среди тех паролей, которые удалось взломать, чаще всего встречается «123456». Не заказывал же NordPass опрос «скажите, а какой у вас пароль» на репрезентативной выборке homo sapiens.
Пара замечаний в этой связи.
Во-первых, откуда берутся пароли для (скажем, забегая вперёд) липовой статистики NordPass. Из утечек, как правило. В утечках пароли хэшированы, тоже как правило. Восстановить из хэша удаётся не всё, а только пароли попроще. Поэтому их в статистике и больше. Иногда кому-то удаётся добыть нетривиальный пароль, и этот существующий в единственном экземпляре пароль тоже попадает в топ без малейших к тому оснований – потому что тиражируется во множестве попавших в открытый доступ утечек. Достоверности статистике это, понятно, не добавляет.
Во-вторых, откуда чаще всего пароли попадают в утечки. Правильно, с дрянных сервисов (например, сайтов, предлагающих дрянь), чья аудитория попросту нерепрезентативна, и где данные пользователей не защищены. На таких сервисах публика выбором стойкого пароля и не обеспокоена. Нужно человеку посмотреть на дрянь или один раз в жизни прикупить какой-нибудь дряни, вот он и создаёт учётную запись с паролем «12345».
Так что статистика паролей от NordPass искажена до полной негодности. Сбор же подлинной статистики невозможен. Приличные сервисы исключают взлом пароля грубой силой, т.е. подбором – замедление реакции на введённый пароль, двухфакторная аутентификация, капча, запрет на примитивные пароли и пр. делают перебор невозможным в принципе, не говоря уже о вычислительной сложности задачи.
Кому же тогда нужна эта «статистика»? Производителям менеджеров паролей для привлечения к себе внимания. Менеджеры паролей – отдельный рынок софта. Его участники обещают нам генерацию надёжных паролей, их защищённое хранение и пр. удобства.
Если речь об офлайн-приложении на вашем устройстве – тогда ладно, такой менеджер паролей равен связке ключей в вашем кармане, потеряете или нет, зависит от вас. Если же об онлайн-сервисе, то от вас зависит далеко не всё, а ставки слишком высоки для того, чтобы соглашаться на риск. При небрежности пользователя или недостаточной квалификации разработчика можно потерять все ключи сразу. Злоумышленнику же вместо того, чтобы атаковать многие аккаунты, достаточно вскрыть один-единственный, подсадив, как вариант, троян в устройство жертвы. В случае утечки данных из онлайн-менеджера паролей будет то же самое, т.е. потеря всего и сразу. Поэтому рискнём утверждать, что в общем случае онлайн-менеджеры паролей не обеспечивают, а снижают безопасность. NordPass, кстати, именно таков, это онлайн-сервис, который хранит данные у себя.
Ещё про единственный аккаунт. Множество людей полагают, что для счастья достаточно придумать и запомнить крепкий (буквы в обоих регистрах, цифры, специальные знаки, не менее 7 символов) пароль, а затем применять его везде и всюду. Грубая ошибка. Риск не то, что огромен, он неотвратим. Рано или поздно такой пароль попадёт в утечку – и всё, ваш цифровой мир никогда не будет прежним.
Далее, а так ли сегодня важны пароли, дают ли они доступ к цифровым ценностям. Важны, но уже не так, как прежде. Пароль нужен для кражи ваших данных, но одного пароля вору недостаточно. Хотя бы потому, что серьёзные сервисы защищены 2FA, не говоря о биометрии и пр. (Ещё пароли нужны для сбора критикуемой здесь статистики – сарказм.)
Правда, с этими дополнительными защитами нас ждут и дополнительные напасти. Новые методы аутентификации очень часто представляют собой не +1 замок, а ещё один ключ к единственной двери. Что упрощает жизнь взломщику, не подошла одна отмычка, можно попробовать другую.
Как защищаться от этой беды, тема отдельная, для другого текста.