В гостях у программы «Утро в Петербурге» Евгений Воробьёв, заведующий кафедрой информационной безопасности ЛЭТИ.
Николай Растворцев,ведущий: IT-специалисты собрали двадцатку худших паролей за 2020 год, которые чаще всего используют люди для электронной почты, социальных сетей и других сервисов. Топ-5 из этой двадцатки: 123456, 123456789, picture1, password, 12345678. Евгений Германович, почему люди создают такие простые пароли, боятся забыть?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Вы правы, боятся забыть. Все читают западные источники, а там требуют пароль вводить спецсимволами, «зюзями». Это простому человеку запомнить практически невозможно. Известны подходы к определению стойкости самого пароля. Речь идёт в первую очередь о количестве символов, которые в нём будут. Как говорят хакеры, нужно не менее 18 символов, если мы вводим латиницей. Поэтому все пароли, которые короче, они все по определению менее стойкие и вскрываются за очень ограниченное время.
Ксения Бобрикова,ведущая: Пароль «12345» за какое время можно вскрыть?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: От 15 до 20 минут с учётом современной техники – многоядерных процессоров и так далее.
Николай Растворцев,ведущий: Вы сделали небольшую ремарку «если мы вводим пароль на латинице», а если мы вводим пароль на кириллице? Имеет ли смысл делать какой-то мультилингвистический пароль – брать несколько языков, пытаться их как-то перемешать?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Нет. На самом деле речь идёт об определённых параметрах пароля, которые являются классическими. Это мощность алфавита языка, который используется – в латинице 26 символов, в русском языке 33, то есть по определению никаких «зюзь» не нужно. Сам перебор базируется на словарных принципах. Есть словари, в которых отдельные слова, есть фразеологические. Не нужно упоминать каких-то устойчивых выражений. Однако, 18 символов – это всё же фразы из двух, трёх, а иногда и большего количества слов. Например, «слон хоботастый» — такого в словаре просто не существует. Это абсолютно стойкий пароль.
Ксения Бобрикова,ведущая: К примеру, «любимая мама Надя». К нему можно подобрать?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Сложно будет.
Николай Растворцев,ведущий: Вы всё время говорите «зюзя». Что Вы называете «зюзей»?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Спецсимволы – скобочки, звёздочки, двоеточие и так далее.
Ксения Бобрикова,ведущая: А если дата рождения, имя, фамилия любимого человека – такой пароль вскроют?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Здесь мы уже сталкиваемся с таким агентурным подходом, когда человека расспрашивают о чём-то. Могут узнать, как зовут маму. Надо сказать, что в некоторых сервисах это один из видов проверочной информации. Поэтому лучше этого не делать.
Николай Растворцев,ведущий: Евгений Германович, какой худший пароль Вы встречали?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Единичка.
Николай Растворцев,ведущий: Такое тоже бывает?
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Да, я такое встречал при проведении технических аудитов в фирмах.
Николай Растворцев,ведущий: Давайте придумаем в эфире самый надёжный пароль.
Евгений Воробьёв,заведующий кафедрой информационной безопасности ЛЭТИ: Надо применять какой-то суффиксальный способ словообразования. «Слон хоботастый сидит в зоопарке» и с подчёркиванием. Эта фраза легко запоминается человеком, не нужно никаких усилий, но в то же время её в словарях нет. То есть обычный семантический анализ, который применяется в криптоанализе, он уже практически невозможен.
