Как показывают различные исследования, важнейшую роль в обеспечении
компьютерной безопасности играет человеческий фактор. И нигде данное заключение
не является справедливым в той же степени, в какой оно применимо к основе основ
киберзащиты – паролям.
Рекомендации, содержащие советы не брать пароли из словарей, не записывать их
на бумаге и выбирать разные комбинации для каждого аккаунта, не учитывают
физиологических особенностей людей, связанных с ограниченной способностью
человеческого мозга ассоциировать случайный набор знаков с чем бы то ни было.
Опубликованный недавно
свежий отчет наглядно демонстрирует, насколько все плохо и указывает на то,
что следуют всем предписаниям по работе с паролями менее пяти процентов
пользователей.
Самое удивительное в том, насколько долго существует проблема безопасности
паролей – в отчете упомянуто о том, что первое исследование в этой области было
проведено в 1979 году. Оно показало, что 30% пользователей Unix используют
пароли длиной не более четырех знаков, а 15% выбирают пароли из словарей.
Перенесемся в 2006 год, и мы увидим, что самыми распространенными среди 34 тысяч
паролей MySpace были словосочетания "password1", "abc123", "myspace1" и "password".
Нейробиологи свидетельствуют, что мозг человека попросту не слишком здорово
обращается с текстом, который для него ничего не значит. Это проблема
долгосрочной памяти, которая неплохо запоминает осмысленные образы и слова,
однако гораздо хуже справляется с паролями, которые в идеале должны представлять
из себя случайный набор символов. Отдельная трудность – ассоциирование таких
комбинаций с различными аккаунтами.
Опросив 836 служащих организации, имеющей дело с важными персональными
данными, авторы отчета подсчитали, как много отклонений от !"идеального пароля"
совершает тот или пользователь. В итоге выяснилось, что следуют всем правилам
лишь 4,4% пользователей, а большинство оставшихся нарушают три принципа и более,
записывая пароли на бумаге, используя их многократно для разных аккаунтов или
делая пароли слишком короткими.
Еще одна интересная деталь – системные администраторы действуют немногим
лучше простых сотрудников. Семь процентов пользователей вообще считают, что
никакие правила не способны защитить их от хакеров, хотя и среди них полученные
статистические показатели сохраняются.