kononenkome (kononenkome) wrote,
kononenkome
kononenkome

Ноль мой пароль

2 ноября 1988 года в Массачусетском технологическом институте (США) была впервые запущена программа, получившая в истории компьютерной индустрии название «червяк Морриса». В течение следующих нескольких дней эта саморазмножающаяся программа (по сути — компьютерный вирус) поразила десятую часть узлов сети ARPANET и парализовала ее работу. Для проникновения на другие компьютеры червяк Морриса сначала пробовал использовать пароль, совпадающий с именем пользователя, а если это не подходило, перебирал пароли из словаря, содержащего всего около 400 слов. И в половине случаев на другой компьютер удавалось зайти.

С тех пор прошло почти тридцать лет. Сети ARPANET давно уже не существует. На ее основе выросла сеть Интернет. Технологии этой современной сети поражают воображение. Кооперативный обмен данными по протоколу BitTorrent. Распределенные базы данных транзакций BitCoin. Система анонимной маршрутизации Tor. Облачные хранилища и системы виртуализации. Шифрованная видеосвязь. Сильные алгоритмы кодирования. Миллиардам пользователей Сети в руки даны мощнейшие инструменты для сохранения прайваси. И против всех этих мощнейших инструментов до сих выступает тот самый условный словарь из 400 слов. Да что там из 400 — из четырех.

На днях СМИ сообщили, что некий таинственный хакер Peace продает базу данных из 100 миллионов учетных записей социальной сети «ВКонтакте». Сама социальная сеть утверждает, что эта база — старая, журналисты же утверждают, что из 100 проверенных ими случайных аккаунтов действующими оказались 92. Да и, честно говоря, совершенно не важно, старая эта база или актуальная. Буквально месяц назад уже появлялась база логинов в популярных почтовых системах. 273 с лишним миллиона аккаунтов. Давайте отринем естественные оправдания пресс-служб потерпевших интернет-сервисов и задумаемся: а как можно получить базу данных, состоящую из десятков, а то и сотен миллионов аккаунтов?

Способов ровно два и не больше. Первый — коррумпировать сотрудника компании, который и вынесет вам эту базу. Все «базы сотовых операторов», использовавшие криминалом и милицией в конце лихих и в начале тучных годов были получены именно так. Однако теперь, с введением суровых корпоративных систем, контролирующих все перемещения данных внутри компаний, сделать это коррумпированному сотруднику трудно. Но всегда остается второй способ — подобрать пароли с помощью специальных программ. Современные программы подбора паролей умные, используют десятки различных алгоритмов в комбинациях, но первый и основной из этих алгоритмов всё тот же: словарь. Потому что если бы не было словаря из наиболее употребительных паролей, подбор десятков миллионов паролей путем перебора превратился бы в неразрешимую чисто технологически задачу. Просто вычислительной мощности бы не хватило.

И вот ресурс LeakedSource проанализировал эти самые 100 миллионов украденных аккаунтов «ВКонтакте». Полтора миллиона из ста используют пароли, полученные путем нажимания цифровых клавиш в верхнем ряду компьютерной клавиатуры слева направо. Одних паролей 123456 больше 700 тысяч. Еще тысяч 300 нажимают слева направо клавиши второго ряда клавиатуры: от qwerty и дальше. Потом следуют пароли, составленные из повторений одной и той же цифры, причем популярнее всего семерки и единицы. У Морриса, конечно, был еще самый популярный из паролей администраторов сети ARPANET: слово admin. Но пользователи сети «ВКонтакте» этим словом не пользуются. Зато они знают слово password — это четвертое и последнее необходимое слово в современном словаре для подбора паролей. Остальное — это их комбинации.

Ну вот вам и все технологии. Вот вам и тяжелая поступь прогресса. Вот вам торренты, сильное шифрование и Большой Брат. Всё, что программисты создавали на протяжении тридцати лет для людей (sic! — на самом деле программисты делают всё для себя) оказалось этим людям не нужным.

Конечно, ситуация постепенно меняется. Сейчас процент словарных паролей стал значительно выше, чем раньше. Но эта ситуация меняется не за счет роста сознательности пользователей, а за счет жестких мер, предпринимаемых сервисами. Они заставляют менять пароли, заставляют придумывать пароли, не проверяемые по словарю, вводят двухфакторую авторизацию с использованием телефона и SMS. Просто потому, что это им, сервисам, потом оправдываться вот за такие утечки. А они, сервисы, ни в одном из своих пользовательских соглашений не обещают нести ответственность за информацию, которую пользователи с помощью этих сервисов распространяют. Они обязуются не передавать никому персональные данные — но не защищать их от неизбежного.

Тут можно было бы сделать вывод, что раз так — то людям, значит, плевать на свое прайваси. И что они, конечно, поужасаются откровениям Эдварда Сноудена о том, как все за всеми следят, но пароль после этого не поменяют. Раз за 30 лет не научились менять — значит, не надо.

Но ведь все люди на планете знают, что вредно курить. Все они знают, что опасно ездить по дорогам так, как они ездят. И уж точно знают, что незащищенный беспорядочный секс до добра не доводит. Государство все время пытается уберечь людей от этих глупостей, ограничивает продажу табака, вводит наказания за опасное вождение, пропагандирует семейные ценности.

Однако же люди всё равно это делают. И заражаются ВИЧ, умирают от рака легких, разбиваются в ДТП. Вряд ли им плевать на такие последствия. И когда эти же люди заводят аккаунты с паролем 123456, куда немедленно выкладывают свои голые фоточки — наверняка им тоже не плевать на последствия. Просто такова их природа. Да что там социальные сети: профессор университета Колумбии Стивен Белловин три года назад рассказал, что на протяжении 20 лет президентский код запуска ракет Минитмен с ядерными боеголовками был неизменным и представлял из себя, внимание, последовательность из… восьми нулей!

Впрочем, в отличие от иных людских пороков конкретно этот, во-первых, наименее страшен, а во-вторых, вполне преодолим технологически. Уже сейчас значительная часть смартфонов использует авторизацию по отпечатку пальца, распространение этой технологии на все устройства — дело недалекого будущего. И, вполне быть может, скоро журналистам уже не придется писать статьи на эту тему и в тысячный раз повторять легендарную историю знаменитого червяка Морриса.
ИЗВЕСТИЯ

Originally published at <KONONENKO.ME/>. You can comment here or there.

Subscribe

  • Голос

    В Википедии про похожего на большой хозяйственный пылесос робота R2-D2 из «Звездных войн» Джорджа Лукаса написано так, цитирую: «запрограммированная…

  • Многосторонность

    Уж сколько раз я приводил вам хрестоматийную максиму Козьмы Пруткова о том, что специалист подобен флюсу и полнота его одностороння. Однако мир со…

  • Голые при Луне

    Со слов наркома просвещения Анатолия Луначарского мы знаем, что Ленин считал кино важнейшим из искусств. Возможно в том числе и потому, что кино…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 1 comment