В качестве защиты от взлома сетевых аккаунтов обычно советуют почаще менять пароли. А в некоторых организациях заставляют это делать в принудительном порядке. Однако насколько такая стратегия эффективна? Оказывается, многие специалисты по IT-безопасности полагают, что, напротив, те, кто часто меняет пароли, попадают в группу риска.
"Человеческий фактор"
Во многих компаниях сотрудников заставляют менять пароли к своему компьютеру и рабочей почте по меньшей мере раз в полгода. Тем не менее, количество жалоб на "несанкционированные проникновения" не уменьшается.
Исследователи из Университета Карнеги выяснили, что нередко работников раздражает необходимость частой смены паролей и они стараются придумывать пароли, которые мало чем отличаются от предыдущих — скажем, меняют в них лишь одну букву или цифру. Кроме того, они пользуются одними и теми же паролями для разных аккаунтов.
В свою очередь, эксперты из Университета Северной Каролины в 2010 году проанализировали архив старых паролей, принадлежавших бывшим студентам, преподавателям и сотрудникам университета. Все они в обязательном порядке должны были менять пароли раз в три месяца. Однако большинство пользователей просто меняли порядок символов или заменяли один из них на другой, либо добавляли или удаляли некоторые символы.
Исследователям удалось разработать специальную программу, которая с точностью более 40 процентов способна предсказывать новые пароли. На весь процесс уходит менее трех секунд. Таким образом, если вы на протяжении длительного периода пользуетесь похожими паролями, узнать ваш текущий пароль не составит особого труда.
Смена бессмысленна?
Но даже если у взломщика нет никаких особых средств, помогающих "вытащить" пароль, он может узнать его просто методом "тыка". Сегодня благодаря социальным сетям мы можем выяснить массу информации о человеке, даже не будучи с ним близко знакомым: год рождения, имена супругов и детей, клички домашних питомцев… А ведь именно их чаще всего люди используют в паролях, поскольку такие слова проще запомнить…
Допустим, вы очень осторожны и каждый раз генерируете или придумываете пароль, совершенно не похожий на предыдущий, вы не застрахованы от взлома, считают специалисты из Карлтонского университета. Ведь на компьютере может находиться программа-шпион, отслеживающая набор пароля на клавиатуре. Достаточно ввести его один раз — и ваш компьютер под контролем злоумышленников.
"Если нет причин считать, что пароль находится под угрозой или уже взломан, требование регулярной смены пароля в некоторых случаях может принести больше вреда, чем пользы", — заявляет главный технолог Федеральной торговой комиссии Лорри Кренор.
Пароли нового поколения
Как же защитить информацию на компьютере и в интернет-аккаунтах? Большинство экспертов считают, что для этого придется отказаться от системы паролей в привычном для нас понимании. Более надежными являются такие методы идентификации, как биометрия или двухкомпонентная система авторизации, требующая введения уникальных для каждого пользователя текстовых кодов.
Суть новой технологии под названием FaceLock состоит в том, что при регистрации в системе пользователь будет определять набор хорошо знакомых ему лиц, желательно малоизвестных другим людям.
Дело в том, что мы по-разному воспринимаем знакомые и незнакомые нам лица. Если человек нам хорошо знаком, то мы без труда сможем опознать его лицо среди многих других, причем даже на нечетком снимке… А вот различные фото незнакомого человека зачастую воспринимаются как принадлежащие разным людям.
Когда юзер захочет зайти в свой аккаунт, ему будет предложено несколько наборов снимков, каждый из которых содержит лишь одно изображение знакомого лица. Для владельца аккаунта это окажется достаточно простой задачей, в отличие от мошенника…
Не так давно Блэйр Армстронг и его коллеги из Баскского центра познания, мозга и языка (Испания) предложили для электронной аутентификации метод сканирования мозга. Они выяснили, что мозг разных людей по-разному реагирует на одни и те же слова, и в каждом случае эта реакция совершенно уникальна.
Ученые предложили 45 добровольцам прочитать перечень из 75 аббревиатур, таких, как FBI или DVD, и записали сигналы, которые "издавал" их мозг в процессе чтения…
С помощью специальной программы, проанализировавшей мозговые ритмы, удалось идентифицировать участников эксперимента с точностью 94 процента! Правда, времени на эту процедуру уходит столько, что вряд ли ее можно рекомендовать в качестве панацеи… Но ведь технологии постоянно совершенствуются!
