+7 (34383) 3-50-40 / 3-23-23УрГЭУ: Названы худшие пароли аккаунтов в интернете
Заведующий кафедрой бизнес-информатики УрГЭУ, доцент, доктор экономических наук Дмитрий Назаров провёл ретроспективный анализ данных, собранных компанией SplashData и подготовил обоснованные выводы по выбору Интернет-паролей пользователей с наименьшим риском, доказав это с помощью использования облачного сервиса по исследованию надежности паролей.
В процессе перехода экономики на цифровые рельсы, очевидно, что число сервисов, предлагающих онлайн-услуги, а также возможности их оплаты посредством интернет-модулей на сайтах и порталах будет расти. Как правило, чтобы «привязать» клиента к своей услуге такие сервисы требуют от пользователя обязательной регистрации (создания аккаунта), то есть указания логина и пароля. В качестве логина сами сервисы рекомендуют обычно использовать e-mail, номер телефона, а вот пароль – уникальную последовательность символов, позволяющую получить доступ пользователя к своему аккаунту, каждый должен придумать сам.
Аккаунт пользователя любого сервиса чаще всего включает в себя персональные данные, содержание которых различается от вида предлагаемых услуг. Если это аккаунт на порталах, предлагающих госуслуги (gosuslugi.ru, nalog.ru и др.), то он содержит полную информацию о пользователе, включая паспортные данные, адрес регистрации и т.д. Если это аккаунт в интернет-сервисе, к примеру, доставка еды, интернет-магазин, онлайн библиотеки, то он может включать и данные банковских карт и историю покупок. Совершенно очевидно, доступ к такой информации посторонних (мошенников, хакеров, преступников) может привести к плохим последствиям для пользователя. Поэтому процесс выбора пароля для доступа к аккаунту дело серьезное и ответственное.
На протяжении последних 8 лет американская компания SplashData выпускает список наихудших паролей года. Анализируя данные по более чем 5 миллионам паролей, просочившихся в Интернет, компания ежегодно составляет TOP-100 худших паролей пользователей к различным сервисам интернет (исключения составляют взломы паролей сайтов для взрослых). Приведем TOP-30 худших паролей пользователей за 2017 и 2018 годы.
|
Место |
Худшие пароли 2017 |
Худшие пароли 2018 |
Статус |
|
1 |
123456 |
123456 |
|
|
2 |
password |
password |
|
|
3 |
12345678 |
123456789 |
|
|
4 |
qwerty |
12345678 |
|
|
5 |
12345 |
12345 |
|
|
6 |
123456789 |
111111 |
новый |
|
7 |
letmein |
1234567 |
|
|
8 |
1234567 |
sunshine |
новый |
|
9 |
football |
qwerty |
|
|
10 |
iloveyou |
iloveyou |
|
|
11 |
admin |
princess |
новый |
|
12 |
welcome |
admin |
|
|
13 |
monkey |
welcome |
|
|
14 |
login |
666666 |
новый |
|
15 |
abc123 |
abc123 |
|
|
16 |
starwars |
football |
|
|
17 |
123123 |
123123 |
|
|
18 |
dragon |
monkey |
|
|
19 |
passw0rd |
654321 |
новый |
|
20 |
master |
новый |
|
|
21 |
hello |
charlie |
новый |
|
22 |
freedom |
aa123456 |
новый |
|
23 |
whatever |
donald |
новый |
|
24 |
qazwsx |
password1 |
новый |
|
25 |
trustno1 |
qwerty123 |
новый |
|
26 |
654321 |
zxcvbnm |
|
|
27 |
jordan23 |
121212 |
новый |
|
28 |
harley |
bailey |
|
|
29 |
password01 |
freedom |
|
|
30 |
1234 |
shadow |
|
Подчеркнем, что использование одних и тех же предсказуемых и легко угадываемых паролей хакерами и мошенниками любой категории подвергнет любого человека существенному риску взлома и кражи его персональных данных.
Анализ данных таблицы показывает, что лидерами на протяжении последних 5 лет остаются такие пароли как «123456» и «password». Следующие пять главных паролей в списке – просто числовые строки, содержащие либо последовательности цифр, либо повторяющиеся цифры. Также в лидерах остаются пароли, содержащие простые клавиатурные раскладки: qwerty, qwerty123, qazwsx, zxcvbnm, !@#$%^&*, имена знаменитостей, термины от поп-культуры, спорта, учетных записей: football, donald, harley, iloveyou, admin. Хакеры давно поняли, что многие люди используют эти легко запоминающиеся комбинации.
По оценкам SplashData, почти 10% людей использовали по крайней мере один из 25 худших паролей в списке этого года, и почти 3% людей использовали худший пароль – 123456.
Заметим, что время подбора пароля можно оценить, используя знания теории вероятности, например, пароль из 6 символов для полного перебора вариантов из 60 возможных символов потребует примерно 18 лет. Но давайте оценим время подбора пароля с помощью сервиса https://howsecureismypassword.net/.
Пароль: 111111, ответ сервиса: немедленно.
Пароль: 111111111, ответ сервиса: 25 миллисекунд.
Пароль: 1994anton, ответ сервиса: 42 минуты
Пароль: 1994AntoN, ответ сервиса 4 дня.
Пароль: 1994anton1994, ответ сервиса: 100 лет
Пароль: 1994Anton1994, ответ сервиса: 158000 лет.
Интересный результат – пароль из 6 символов 111111 разгадан немедленно. Почему так? Очень просто: хакеры организуют «умный» перебор паролей, пишут специальные модули, которые перебирают сначала частые, легко запоминаемые пароли, а потом только все остальные. Использование прописных и строчных букв одновременно увеличивает на несколько порядков время для разгадывания пароля, положительную роль, с точки зрения уменьшения риска играет и символьная длина паролей.
Поэтому при выборе пароля предлагаем использовать следующие правила:
1. Используйте парольные фразы из двенадцати или более символов со смешанными типами (это снижает риск примерно в 1000 раз).
2. Для каждого логина используйте свой пароль, это обезопасит от мультидоступа (подобрав пароль к одному сервису, хакер не сможет его использовать для доступа к другому сервису или сайту).
3. Если у Вас логинов и паролей более 5-7, то рекомендуем защиту своих персональных данных осуществлять с помощью использования менеджера для хранения паролей.
О менеджерах для хранения паролей нужно говорить отдельно, но в рамках этой статьи перечислим лишь самые известные.
Самым надежным мультиплатформенным решением для пользователей считается SplashID (http://www.splashid.com) стал самым надежным мультиплатформенным решением. Сервис Gpass (http://www.gpass.io) позволяет пользователям Google без проблем управлять паролями в своей учетной записи Google. Сервис Zoho Vault (https://www.zoho.com/vault/) — бесплатный для личного использования менеджер паролей. Приложение может сохранять бесконечное количество паролей и заметок, в нём можно хранить файлы и документы, есть генератор паролей и автосохранение. Сервис LogMeOnce (https://www.logmeonce.com/ru/) – бесплатный менеджер паролей, в котором поддерживается синхронизация и мультифакторная авторизация и др.
Все эти сервисы работают по одному принципу, который заключается в создании зашифрованного по алгоритму 256-битного шифрования цифрового сейфа, доступного на любых устройствах, реализуя возможность доступа к важной информации в любое удобное для пользователя время. При этом, конечно, один пароль для входа в менеджер паролей нужно помнить, и он должен быть неуязвимым, но в этом помогут сами сервисы при создании аккаунта.
