За семью печатями, за семью паролями

Банковский счет, список контактов, личные данные - даже самые важные сведения мы защищаем с помощью примитивных паролей. Отныне за нашу безопасность будут отвечать пульс, движения и даже украшения. У хакеров скоро не останется ни единого шанса?

Вы не можете запомнить мало-мальски надежный пароль, где есть специальные символы, цифры, заглавные и строчные буквы? Можем дать совет: настройте свой компьютер так, чтобы уже после минуты в режиме ожидания вам приходилось бы вводить пароль заново. Вам придется делать это настолько часто, что даже самую хитроумную комбинацию символов вы запомните в кратчайшие сроки.

То, что звучит как совет для первоклассников, на самом деле является первой рекомендацией одного из интернет-порталов, посвященных безопасности в Интернете. И наверное, этот метод действительно работает. Но вряд ли кто-то станет добровольно подвергать себя подобной пытке. Пароли и PIN-коды и без того достаточно осложняют нам жизнь.

Каждый из нас вынужден запоминать десятки паролей: один для доступа к интернет-магазину, другой - для социальной сети, а третий - для электронной почты. Чтобы не запутаться, мы записываем их на разных листочках или выбираем в качестве пароля простые комбинации цифр. Недаром американская компания SplashData, специализирующаяся на вопросах кибербезопасности, назвала комбинацию "123456" самым популярным паролем прошлого года и - одновременно - самым ненадежным. Из-за того, что любой хакер начнет подбор пароля именно с этих цифр.

Тот, кто установил именно такой пароль, может быть спокоен: компанию ему составляют вполне серьезные люди. Например, в 1960-е и 1970-е годы американские военные для доступа к системе запуска ракеты "Минитмен" использовали еще более простую комбинацию: 00000000.

Выходит, все не так уж плохо? Вряд ли. В середине января Федеральное ведомство по вопросам безопасности в сфере информационной техники (BSI) ужаснуло жителей Германии предупреждением о том, что преступникам стали известны пароли к 16 млн электронных почтовых ящиков. А спустя короткое время хакеры взломали серверы BSI, с помощью которых можно было проверить, известны твои логин и пароль злоумышленникам или нет.

Если вы нашли себя в этом списке, то единственное верное решение - как можно скорее поменять пароль, потому что кража идентификационных данных в Сети распространена весьма широко. В июне на черном рынке появились реквизиты 6 млн банковских счетов, украденных из социальной сети LinkedIn, предназначенной для установления деловых контактов. В октябре у производителя программного обеспечения Adobe украли личные данные около 40 млн клиентов, включая информацию об их кредитных картах. А во время рождественских распродаж американская розничная торговая сеть Target была вынуждена признать, что хакерам стали известны данные около 70 млн клиентов.

Все эти хакерские атаки актуализировали поиски альтернативы привычной всем комбинации, состоящей из логина и пароля. На самом деле различные исследователи и фирмы уже работают над созданием техники, призванной сделать идентификацию пользователя более надежной и удобной.

Выходит, что в скором времени нам больше не понадобится запоминать пароли? То есть будет достаточно отпечатка пальцев, который уже умеет распознавать iPhone последней модели? Или решением проблем станет кольцо, подключенное по беспроводной сети к компьютеру? А может, будет надежнее, если телефон научится узнавать своего владельца по походке?


Цифровое хранилище

Некоторые пользователи пытаются запомнить все свои пароли, поместив их в хранилище паролей. Сегодня браузеры Firefox, Internet Explorer или Chrome могут запоминать логины и пароли для доступа к сайтам, и при следующем посещении этих сайтов вводить пароль будет уже не нужно. Это удобно, но небезопасно. Ведь если доступ к компьютеру получат посторонние, пароль станет им известен. В Chrome это вообще элементарно, Firefox хотя бы защищает список паролей с помощью мастер-пароля, что несколько повышает степень надежности.

Но и это не спасает от хакеров. Например, они могут с помощью шпионского программного обеспечения узнать и запомнить все нажатия клавиш. Чтобы избежать этого, Маркус Шнайдер, заместитель руководителя Института безопасных информационных технологий Фраунхофера (Дармштадт), совместно со своими коллегами разработал приложение iMobileSitter, предназначенное для безопасного управления паролями и доступом к учетным записям. Особенность заключается в том, что приложение всегда, даже если в систему введен неверный мастер-пароль, выдает код, по виду похожий на запрашиваемый. Правильный он или нет, хакер не знает. И только когда попытается зайти с помощью этого кода на сайт или получить доступ к банковскому счету, он узнает о подмене. Пользователь же поймет по известному лишь ему одному сигналу, что введенный им мастер-пароль верен. Приложение уже купили несколько десятков тысяч человек.

Интернет-гигант Google также разработал приложение для более надежной аутентификации - Authentifikator. Принцип его работы прост: для входа в аккаунт, например в Gmail, необходимо вводить не только логин и пароль, но и код, сгенерированный приложением. "Двухэтапная идентификация более надежна", - поясняет Конрад Рик, преподаватель IT-безопасности в университете Геттингена.


С музыкой все получается легче

Глупо, что цена повышения уровня надежности - это увеличение количества паролей и кодов. Неужели нет ничего более удобного? Есть. Google, к примеру, предлагает пользователям Android-устройств разблокировать их с помощью графического ключа, соединив одной линией несколько точек. Для многих людей запомнить такую комбинацию проще, чем обычный пароль из цифр.

"Проблема в том, что многие пользователи выбирают слишком простые формы, которые легко угадать", - предостерегает от ошибок Маркус Дюрмут, эксперт в сфере аутентификации Рурского университета в Бохуме. Он советует выбирать более сложные комбинации, например круг вокруг точки вместо трех параллельных линий: "В этом случае пользователи невольно будут выбирать более сложные и более надежные комбинации".

Для любителей музыки команда специалиста в области криптографии Христо Боинова из Стэнфордского университета разработала небольшую компьютерную игру, в которой пользователь учится воспроизводить определенную последовательность звуков. После пары недель тренировок он сможет сделать это заметно лучше, чем нетренированный человек, и этого будет достаточно для его надежной идентификации. Преимущество заключается в том, что разработчики используют подсознание человека, так что ему не приходится запоминать последовательность звуков.

Однако этот метод требует тренировки, а затем и времени при каждой аутентификации. Быстрее было бы идентифицировать пользователя по отпечатку пальца - тут совпадений быть не может. В новом Apple iPhone 5s уже встроен такой сканер. "Однако хакеры перехитрили систему уже через две недели", - сетует Конрад Рик. Для этого они с помощью тонкой пленки сняли с поверхности телефона отпечатки пальцев его владельца, отсканировали ее и успешно разблокировали телефон.

Куда труднее сымитировать походку. Датчики, фиксирующие местоположение и перемещение телефона, могут распознавать движения и запоминать их. Команда профессора Кристофа Буша из Дармштадского университета разработала такую систему. Если телефон украдут, то система распознает чужую походку и заблокирует устройство. Другие системы идентифицируют пользователя по его сердцебиению или по рисунку вен на его руке.

"Каждый раз, когда они считывают биометрические данные, новые результаты немного отличаются от предыдущих, потому что в организме все непостоянно", - с недоверием высказывается Маркус Шнайдер. По его словам, это приводит к ошибкам.

Получается, что пароль - это единственное решение? Не совсем так. Ведь не стоит забывать об электронных ключах, которые мы носим с собой. С их помощью можно получать доступ к электронной почте или к личному кабинету в интернет-магазине. Примерно у 21 млн жителей Германии такой ключ уже есть - это электронное удостоверение личности. Его нужно поместить в считывающее устройство, соединенное с компьютером, и ввести на клавиатуре шестизначный пароль. Так его владелец сможет идентифицировать себя при обращении в органы власти и страховые компании.

Однако по прошествии трех лет с момента введения этой системы в Интернете нет ни одного сайта, который бы ее использовал. К тому же необходимое программное обеспечение не сочетается с наиболее популярными браузерами Chrome и Safari, работая только на старых версиях Firefox.

Трудность еще и в том, что электронному удостоверению личности нужно собственное считывающее устройство. Проще было бы вмонтировать небольшой чип в USB-разъем. Что-то подобное разработала калифорнийская фирма Yubico. Ее тестирует Google, а Facebook уже использует для своих сотрудников. Одно нажатие на кнопку прибора под названием YubiKey - и он отправляет одноразовый пароль к аккаунту, доступ к которому хочет получить пользователь. Поскольку у смартфонов USB-разъема нет, существует другой вариант YubiKey, использующий технологию беспроводной связи малого радиуса NFC. Достаточно просто положить YubiKey рядом с телефоном.

Можно сделать еще лучше, подумал британец Джон Маклиар и разработал кольцо, работающее по тому же принципу, что и YubiKey: пользователь носит его на пальце и с помощью технологии NFC может, к примеру, разблокировать свой планшет, когда тот будет поблизости. У этого украшения стоимостью около 27 евро есть два передатчика: один на внешней поверхности, для обычной информации, например для контактных данных, а другой - на внутренней, для паролей и других более конфиденциальных сведений. Это изобретение должно еще сильнее осложнить жизнь хакерам.

Но если кольцо и телефон украдут, все окажется бесполезным. Поэтому Маркус Шнайдер выступает за двухэтапную идентификацию. "Совсем отказаться от паролей нам так быстро, пожалуй, не удастся", - делится он своими опасениями.


Советы по безопасности

Пять советов, как быстрее запомнить пароли

  1. Пароль с чувством. Установите в качестве пароля для смартфона или электронного удостоверения личности дату, связанную с особенным моментом вашей жизни - спортивное достижение или успешно сданный экзамен.
    Только не дату рождения - узнать ее может каждый.
  2. Составляйте предложения. Длинные пароли сложнее взломать. Подберите пароль, относящийся именно к вам: Моя_кошка_спит_целый_день.
  3. Сокращения. Составьте пароль из первых букв предложения. Например, "Вот уже восемь лет я снова играю в теннис" (ву8лясивт).
  4. Смешивайте символы. Комбинируйте буквы и цифры. День вашей свадьбы - 12 апреля 2001 г.? Напишите попеременно цифры слева-направо, а буквы справа-налево: 1я2л2е0р0п1а.
  5. Закодируйте пароль. Записывайте PIN-коды в зашифрованном виде. Возьмите любое слово из десяти букв, например троллейбус. Замените цифры на буквы, используя их порядковый номер в этом слове. Так из 3912 получится оутр.