Назаров Д.М.
МЕТОДИКА СОЗДАНИЯ НАДЕЖНОГО ПАРОЛЯ ДЛЯ ОБЕСПЕЧЕНИЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ
Аннотация. В статье раскрывается проблема создания надежного пароля. Автор проводит анализ текущего состояния проблемы и выявляет наиболее часто употребляемые пароли пользователей. Оцениваются последствия взлома паролей с точки зрения экономической безопасности. Также исследуются облачные сервисы, которые помогают оценить надежность пароля. Разрабатывается методика по созданию надёжных паролей и способов их запоминания.
Ключевые слова. Пароль, надежность пароля, сервисы оценки пароля, экономическая безопасность.
Nazarov D.M.
METHODOLOGY FOR CREATING A STRONG PASSWORD TO ENSURE ECONOMIC SECURITY IN THE CONDITIONS OF DIGITALIZATION
Abstract. The article reveals the problem of creating a strong password. The author analyzes the current state of the problem and identifies the most frequently used user passwords. The consequences of cracking passwords from the point of view of economic security are evaluated. Cloud services that help evaluate password strength are also being explored. A methodology is being developed to create strong passwords and ways to remember them.
Keywords. Password, password strength, password assessment services, economic security.
Введение
Развитие современного общества характеризуется рядом экономических и технологических трендов, наиболее важным из которых является цифровизация. Процесс цифровизации стимулирует общество к переходу в виртуальную среду. В результате этого экспоненциально растет количество мобильных приложений, онлайн-сервисов, социальных сетей, доступ к которым пользователь получает после прохождения процесса авторизации, в рамках которого указывается логин и пароль и создается учетная запись или аккаунт. При этом логин может быть любым индивидуальным набором символов, секретность которого не играет важной роли, в то время как секретность пароля имеет большое значение. Ведь именно пароль отвечает за сохранность конфиденциальной информации пользователя на сервисах и сайтах, а также открывает доступ к контенту исключительно для владельца аккаунта.
Идея создания защищенных учетных записей (аккаунтов) принадлежит Ф. Корбато и ряду других ученых [2, 3, 8], которые в 1960-е годы предложили использовать пароли для сохранения конфиденци-
ГРНТИ 06.03.07 © Назаров Д.М., 2022
Дмитрий Михайлович Назаров - доктор экономических наук, доцент, заведующий кафедрой бизнес-информатики Уральского государственного экономического университета (г. Екатеринбург). Контактные данные для связи с автором: 620144, Екатеринбург, ул. 8 Марта, 62 (Russia, Ekaterinburg, 8 Marta str., 62). Е-mail: slup2005@mail.ru. Статья поступила в редакцию 15.11.2021.
альности данных. Проблема, которую решил Ф. Корбато, была сугубо практической и заключалась в администрировании компьютерной системы, которая использовалась несколькими учеными для исследовательской деятельности и разработки программного обеспечения.
Решением этой проблемы стала разработка системы разделения времени (CTSS) в вычислительном центре Массачусетского технологического института (ноябрь 1961 года). При помощи нее на одном компьютере можно было создать разделы для каждого ученого. Вход в них осуществлялся при помощи паролей. При этом пользователи получали доступ только к своим данным. Спустя всего лишь 30 лет вопросы конфиденциальности информации, решаемые с помощью разграничения доступа по паролю приобрели совершенно другую значимость благодаря резкому росту компьютерных систем и онлайн сервисов в сети интернет. В 21 веке практически каждый пользователь имеет несколько аккаунтов на различных онлайн и офлайн сервисах, и для использования их услуг требуется придумать и запомнить каждую связку «логин-пароль».
С ростом количества виртуальных ресурсов выросла и экономическая активность пользователей в сети интернет, которая подразумевает использование персональных данных, конфиденциальной банковской информации для реализации платежей, личной информации пользователя. Специалисты по информационной безопасности со стороны провайдеров онлайн услуг делают все возможное для обеспечения информационной безопасности конфиденциальных данных пользователей, но при этом и от пользователя требуются определенные знания для безопасного использования онлайн сервисов и систем. В первую очередь, это - использование надежного пароля для доступа к онлайн сервисам и компьютерным системам. Проблема создания надёжного пароля становится еще актуальней в условиях цифровой трансформации, так как число пользователей сайтов и приложений с обязательной авторизацией увеличивается с каждой минутой, и это - не преувеличение.
Этой проблемой занималось значительное число ученых и практиков в сфере информационной безопасности по всему миру [1-5, 8, 11]. Решения задач оценки стойкости и надежности пароля, а также исследования в сфере защиты информации в компьютерных системах затрагивались в той или иной степени различными российскими учеными [13-15, 17-24]. В частности, в работах Тюрина К.А. и др. [17, 24] сделан акцент на использование и оценку надежности парольных фраз, в работе [21] разрабатываются модели стойкости систем, защищенность информационных систем в целом исследуют российские ученые в работах [15, 20, 23].
Целью нашей статьи является обзор сервисов, которые позволяют оценить надежность и безопасность пароля, и разработка правил по созданию надежного пароля. Анализ используемых паролей пользователями: текущее состояние
Исследования в области оценки надежности и устойчивости паролей к взлому проводятся регулярно различными компаниями, ведущими свою деятельность в сфере информационной безопасности, и результаты этих исследований весьма интересны. По данным компании Protocom Development Systems и Positive Technology [18], примерно: 35,4% пользователей вынуждены помнить от одного до пяти паролей; 38,1% пользователей вынуждены помнить от шести до десяти паролей; 25% пользователей постоянно забывает свои логины и пароли.
Компании, которые предоставляют виртуальные услуги, за последние 20 лет научились восстанавливать логины и пароли пользователей в случае, если пользователь забыл пароль. Такая процедура есть практически на каждом онлайн сервисе и называется «Восстановление пароля / логина» [22]. Однако, при этом подавляющее большинство пользователей, пренебрегая советами специалистов, старается не перегружать память и использует простые и очень простые пароли, которые сложно забыть.
Независимый специалист по информационной безопасности Марк Бернетт, начинавший свою деятельность в компании Microsoft, в своей книге «Идеальные пароли: выбор, защита, аутентификация» [4] приводит статистику используемых пользователями паролей на основе анализа нескольких миллионов паролей, раскрытых в результате различных утечек данных. Наиболее часто употребляемыми при этом являются password1, compaq, 7777777, 12345, 123456 и др. В целом на основе исследования 6 млн раскрытых паролей частота 100 тыс. самых популярных (одинаковых для сотен тысяч пользователей паролей) составляет 99,8%.
Проверив почти 275,7 миллиона паролей, 19 ноября 2020 года специалисты компании NordPass и ряда других компаний опубликовали список наиболее часто используемых паролей для онлайн-
аккаунтов в 2020 году. Первые пять строчек заняли такие сочетания, как "123456789", "picturei", "password" и "12345678" (см. рис. 1). Самым распространенным паролем оказался "123456", который только за 2020 год был взломан более 23 миллионов раз.
Rock You Faithwriters MySpace
123456 123456 password1
12345 writer abcl23
123456789 jesusl fuckyou
password christ monkey1
iloveyou blessed iloveyoul
princess john316 myspacel
1234567 jesuschrist fuckyoul
rockyou password number1
12345678 heaven footballl
abcl23 faithwriters nicolel
Рис. 1. Самые популярные пароли на разных сайтах по исследованиям компании NordPass
Пароль «12345» занимал первое место в 2019 году, при этом более 188 тыс. пользователей выбрали его в 2020 году, что позволило занять ему восьмое место. Оба пароля можно взломать менее чем за секунду. Подчеркнутые пароли - это пароли пользователей, которые они используют как минимум на двух онлайн сервисах. Анализ показал, что в целом менее половины паролей в списке 2020 года являются новыми, то есть пользователи, в подавляющем большинстве «ничему не учатся», уровень компьютерной грамотности в сфере информационной безопасности остается крайне низким.
В качестве смысловой основы пароля и его буквенной части для защиты своих аккаунтов, а, следовательно, и персональных данных пользователи предпочитают нецензурные слова, свои имена, названия популярных песен и музыкальных групп, названия любимых блюд, популярных фильмов, мультфильмов и других объектов поп-культуры. Приведем несколько примеров: название музыкальной группы «onedirection», самое популярное в 2019 году, «pokemon» и «blink-182» - в 2020 году [9].
Исследования А.А. Абидаровой и ряда других ученых [13, 18], результаты которых представлены на рис. 2, наглядно демонстрируют другой аспект, связанный с частотой использования типов символов пользователей в своих паролях.
■ Только цифры (numeric)
■ Символы английского алфавита в нижнем регистре (loweralpha)
ы Символы английского алфавита в нижнем регистре и цифры (loweraJpha-numeric)
И Символы английского алфавита в разных регистрах и цифры (mualpha-numenc)
■ Символы английского алфавита в разным регистрах (mixalpha)
у Символы английского алфавита в верхнем регистре и цифры (alpha-numeric)
Ы Символы русского алфавита в нижнем регистре (loweralpha-rus)
ы Прочие наборы
Рис. 2. Частота используемых в паролях типов символов в зависимости от регистра и раскладки клавиатуры
Согласно проведенному исследованию, было выявлено, что более 75% паролей не представляют особой сложности для взлома, поскольку в них используется символы с одной раскладки. Одним из самых популярных вариантов пароля является «123456», а также различные комбинации цифр от 1 до 9. Таких паролей в первой десятке довольно много (например, «1234678», «1234567890»). Также очень часто встречаются пароли «password» или «пароль». Многие из паролей также происходят от раскладки клавиш, например, «qwerty», «йцукен» и т.д.
Подводя итог вышесказанному следует отметить, что большинство пользователей не обладают достаточными знаниями в области информационной безопасности и используют пароли для различных сайтов и сервисов, которые являются легко запоминаемыми, короткими, повторяющимися, что приводит к серьезным экономическим и правовым последствиям после взлома их аккаунтов злоумышленниками, которые в большинстве случаев становятся обладателями персональных данных пользователей. Экономические последствия таких действий трудно предсказуемы в деталях даже для специалистов.
Рассмотрим лишь некоторые последствия раскрытия паролей пользователей, с точки зрения экономической безопасности. Допустим, пароль от основной почты раскрыт, тогда хакер может: изменить пароли от социальных сетей и попросить от имени пользователя денег у всех его друзей; изменить пароль пользователя от облачных сервисов iCloud или GoolePlay, а далее - украсть деньги или заблокировать смартфон; изучить переписку, из которой почти наверняка можно узнать паспортные данные и номер банковской карты; зная паспортные данные и номер карты, поменять пароль от интернет-банка, сменить контактный номер телефона и - далее - свободно распоряжаться всеми деньгами пользователя; наконец, если хакер обнаружит в почте скан паспорта, он сможет взять на имя пользователя кредит в недобросовестной кредитной организации. Обзор сервисов для проверки и создания надежного пароля
Для создания надежного пароля и проверки устойчивости к взлому можно использовать специализированные сервисы, которые генерируют пароли согласно заданным параметрам, а также проверяют существующие пароли на основе различных алгоритмов и анализа истории взломов паролей в результате хакерских атак. Перечислим несколько сервисов по оценке надежности и для управления паролями:
• Top50vpn, данный сервис раскроет уровень пароля - слабый, средний, выше среднего, сложный или очень сложный. Также он позволяет провести анализ пароля, который предоставит дополнительные советы для его улучшения (например, добавить числа, специальные знаки, использовать разный регистр и так далее);
• Kasperskiy password checker, данный сервис позволяет оценить надежность пароля, используя перебор всех возможных комбинаций символов, пока не найдется «правильный ответ». Этот процесс может занять много времени, поэтому для подбора обычно используются словари и списки распространенных паролей вроде qwerty или 123456. Также он использует базу данных авторитетного сервиса HavelBeenPwned, который накапливает информацию об утечках акка-унтов и паролей;
• HaveIBeenPwned, данный сервис позволяет проверить, был ли утерян пароль когда-либо, также этот сервис содержит 613 584 246 реальных паролей, ранее обнаруженных при утечках данных, при реализации хакерских атак;
• NordPass, это проприетарный менеджер паролей, запущенный в 2019 году. Он призван помочь пользователям упорядочить свои пароли и защищенные заметки, сохраняя их в одном месте -в зашифрованном хранилище паролей.
Помимо этого, существует ряд сервисов, которые помогают управлять паролями, используемыми в разных сервисах. Чаще всего это программа или приложение, защищенное одним паролем, с доступом ко всем остальным. Наиболее распространенные программы: Last Pass, Keepass Password Safe, Sticky Password, Яндекс Ключ. Следует отметить, что при создании паролей эти сервисы, как правило, используют редко употребляемые последовательности символов, которые достаточно непросто запомнить и использовать в повседневной практике. Поэтому разработка алгоритмов по созданию надежных паролей весьма актуальна и своевременна не только с точки зрения обеспечения информационной, но и экономической безопасности пользователей.
Методика создания надежного пароля
Пароли, состоящие из строчных и заглавных букв, комбинации регистров, цифр и символов, например, такие как Kas!@%"#&*sir являются достаточно стойкими и оцениваются сервисом Kasperskiy password checker на предмет надежности очень высоко. Пароли Kas!@%"#&*sir, 1@Pp1e1he2es3 и тому подобные могут быть взломаны через несколько миллионов лет. Однако запомнить такие пароли чрезвычайно сложно, поскольку с точки зрения пользователя это просто случайный набор символов, не имеющий никаких ассоциаций. Использовать же в качестве буквенной части какие-то известные словосочетания, возможности выбора раскладки клавиатуры, «играть» с регистрами символов не всегда получается успешно, это не всегда дает хороший результат.
Проверим для примера надежность пароля )1Y@X04yOKSp@+(2 с помощью сервиса Kasperskiy password checker. Результат этой проверки показан на рисунке 3. Полученный результат является достаточно хорошим. На первый взгляд, предлагаемая последовательность символов кажется случайной, однако это не так. В качестве варианта создания такого надежного пароля предлагается следующий алгоритм:
1. Следует придумать какую-либо фразу, например: «Я хочу спать».
2. Написать её транслитом: YaXochySpat.
3. Заменить некоторые буквы на символы или цифры. Лучше заменять на внешне схожие, например «а» на «@», «ch» на 4, «o» на «0», «t» на «+»: Y@X04ySp@+.
4. Если данный пароль будет использоваться на нескольких сайтах, то рекомендуется ввести между слов первые 2-3 буквы от названия сайта: Y@X04yOKSp@+.
5. Добавить в конце или в начале несколько символов или цифр, так или связанных с фразой: )1Y@X04yOKSp@+(2
Полученный пароль будет иметь высокую надежность, то есть для его взлома теоретически потребуется более 300 веков по данным сервиса Kasperskiy password checker.
Рис. 3. Результат проверки надежности созданного пароля
Заключение
В статье приведен анализ паролей, используемых различными пользователями, описаны сервисы, которые позволяют оценить надежность паролей и предложен алгоритм создания надежного пароля, который достаточно легко запомнить. На основании проведенного исследования надёжности паролей можно сделать вывод, о том, что надёжный пароль позволит обеспечить экономическую безопасность пользователей в цифровом пространстве, а приведенная методика достаточна проста и понятна, а значит может быть использована пользователями для обеспечения их экономической и информационной безопасности.
ЛИТЕРАТУРА
1. Adell J., Lekuona A., Sharp Y. Bounds on the entropy of the poisson law and related quantities. Information Theory // IEEE Transactions. 2010. № 56 (5). Р. 2299-2306.
2. Bishop M., Klein D. V. Improving system security via proactive password checking // Computers & Security. 1995. № 14 (3). Р. 233-249.
3. Bonneau J. Statistical metrics for individual password strength. [Электронный ресурс]. Режим доступа: https://jbonneau.com/doc/B12SPWstatistical_password_strength_metrics.pdf (дата обращения 01.10.2021).
4. BurnettM. Perfect Password: Selection, Protection, Authentication. Syngress Publishing, 2006.
5. Burr W.E., Dodson D.F., Polk W.T. Electronic authentication guidelines. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf (дата обращения 01.10.2021).
6. Havel Been Pwned. [Электронный ресурс]. Режим доступа: https://haveibeenpwned.com/Passwords (дата обращения 01.10.2021).
7. Kasperskiy password checker. [Электронный ресурс]. Режим доступа: https://password.kaspersky.com/ru (дата обращения 01.10.2021).
8. Morris R., Thompson K. Password security: A case history // Communications of the ACM. 1979. Vol. 22 (11). P. 594-597.
9. NordPass. [Электронный ресурс]. Режим доступа: https://nordpass.com/most-common-passwords-list (дата обращения 01.10.2021).
10. Rainbow table. [Электронный ресурс]. Режим доступа: https://en.wikipedia.org/wiki/Rainbow_table (дата обращения 01.10.2021).
11. SpaffordE.H. Opus: Preventing weak password choices // Computer and Security. 1992. № 11. P. 273-278.
12. Top50VPN. [Электронный ресурс]. Режим доступа: https://ru.top50vpn.com/instrumenty/proverka-parolja (дата обращения 01.10.2021).
13. Абидарова А.А. Анализ надежности паролей для обеспечения информационной безопасности // Известия ТулГУ. Технические науки. 2021. № 8.
14. Афонин О. Использование утечек паролей для ускорения атак. [Электронный ресурс]. Режим доступа: https://blog.elcomsoft.com/ru/2017/02/ispolzovanie-utechekparoley-dlya-uskoreniya-atak (дата обращения 11.10.2021).
15. Васильева И.Н. Криптографические методы защиты информации. М.: Юрайт, 2016. 349 с.
16. Входите, открыто: история крупнейших утечек паролей. [Электронный ресурс]. Режим доступа: http://siliconrus.com/2014/09/opened (дата обращения 11.10.2021).
17. Гуфан К.Ю., Новосядлый В.А., Эдель Д.А. Оценка стойкости парольных фраз к методам подбора // Открытое образование. 2011. № 2. C. 127-130.
18. Евтеев Д. Анализ проблем парольной защиты в российских компаниях. ЗАО «Позитив Технолоджиз», 2009. 33 с.
19. Заркумова Р.Н. Исследование количественных характеристик системы парольной защиты информации // Сборник научных трудов НГТУ. 2010. № 2 (60). C. 83-88.
20. Защита информации в компьютерных системах: монография. СПб.: Изд-во СПбГЭУ, 2017. 163 с.
21. Марков Г.А. К вопросу об определении стойкости парольных систем // Сборник трудов Третьей всероссийской НТК «Безопасные информационные технологии». М.: НИИ РЛ МГТУ им. Н.Э. Баумана, 2012. С. 21-23.
22. Перебор паролей, восстановление доступа, расшифровка информации, мобильная криминалистика. [Электронный ресурс]. Режим доступа: https://www.elcomsoft.ru (дата обращения 18.10.2021).
23. Снегуров А.В., Чакрян В.Х. Анализ устойчивости ко взлому современных механизмов парольной защиты операционных систем // Восточно-Европейский журнал передовых технологий. 2011. Т. 2, № 10 (50). С. 27-29.
24. Тюрин К.А., Сёмин Р.В. Анализ стойкости парольных фраз на основе информационной энтропии // Известия ЮФУ. Технические науки. 2015. № 5 (166).
25. Экспресс-проверка паролей на надежность, Лаборатория Касперского. [Электронный ресурс]. Режим доступа: https://blog.kaspersky.ru/password-check (дата обращения 18.10.2021).