Пароли на эмоциях: под силу ли смайлику защитить наши данные и гаджеты от хакеров?
Удобно ли будет использовать эмодзи-пароли? А главное, безопасно ли? Наш аналитик Валерий Кузьменков изучил плюсы и минусы возможного нововведения и рассказал, чего набралось больше.
Говорят, эмодзи, которые мы ставим в соцсетях и мессенджерах, чтобы выразить эмоции, выходящие порой за рамки слов, скоро разрешат использовать в качестве паролей. Смеющийся до слез смайлик, сердечко, ладошка и другие знакомые нам символы в недалеком будущем будут стоять на страже наших учетных записей, личных данных и устройств.
По крайней мере, все к этому идет: с завидной регулярностью мир сотрясают новости о крупных утечках паролей (иногда вместе с логинами) в Сеть, причем новый «слив» почти всегда масштабнее предыдущего. Хакеры изобретают все более изощренные методы взлома, и киберпреступность стремительно набирает обороты. Несмотря на это пользователи по-прежнему ленятся придумывать длинные, но при этом надежные пароли со спецсимволами и выбирают варианты попроще. А еще зачастую используют одну и ту же полюбившуюся комбинацию для разных сервисов.
Стандартный пароль vs. эмодзи-пароль
Сейчас есть негласный «золотой стандарт» паролей. Это комбинация длиной не менее восьми символов, которая содержит буквы английского алфавита как верхнего, так и нижнего регистра, а также цифры и спецсимволы. В категорию последних входят 33 символа, например пробел, восклицательный и вопросительный знаки, плюс и минус, звездочка, решетка. Таким образом, для каждого символа в пароле предусмотрено 95 вариантов. Путем несложных арифметических подсчетов, в которые я не буду углубляться, можно получить общее количество вариантов пароля, состоящего из восьми символов. Оказывается, их больше шести квадриллионов!
6 квадриллионов
Эмодзи на данный момент насчитывается 1809. Это значительно больше, чем число вариантов, приходящихся на один символ в пароле.
Чтобы приблизиться к числу вариантов, который дает стандартный цифробуквенный пароль вкупе со спецсимволами, нам понадобится лишь пять эмодзи. Звучит очень хорошо! Особенно если учесть, что проблемы с запоминанием пароля, по мнению Microsoft, возникают у пользователей, когда его длина превышает десять символов. А здесь ровно вполовину меньше!
Это были преимущества эмодзи-паролей. Теперь давайте поговорим о минусах.
Обратная сторона медали — Unicode
Хотели бы посмотреть на эмодзи-пароль для BIOS? 🤔
Не советую, даже если бы это было возможно. Сейчас размер BIOS не дает полноценно поддерживать Unicode (кто не знает, это стандарт кодирования символов, позволяющий в виде последовательности нулей и единиц представить знаки практически всех письменных языков — от китайских иероглифов до кириллицы).
Переход к паролям, состоящим из символов Unicode, всегда связан с трудностями. А если дело касается эмодзи, где у части пиктограмм можно выбрать один из шести тонов кожи, то миссия становится почти невыполнимой.
Боюсь, что попытки реализовать пароли с эмодзи будут измеряться тоннами седых волос разработчиков. Например, важно сделать так, чтобы у всех пользователей написание эмодзи было одинаковым, а пароль совпадал побитово. Какие еще есть подводные камни при внедрении эмодзи-паролей, хорошо описано в этой статье.
Как быть со сложностью паролей при регистрации
Если приложение не проверяет, из какого набора символов составлен пароль, то, чтобы он формально соответствовал требованиям, придется добавлять к эмодзи обязательные символы. С одной стороны, уровень безопасности повысится, что, конечно, радует, а с другой — получится монстр Франкенштейна. Например, такой:
Что-то уже не выглядит безопасно: из-за неудобства переключения раскладки клавиатуры большинство пользователей будут выбирать тривиальные последовательности. А вы что думаете?
Шифр, шифр, шифр
Если у вас нет клавиатуры, которая, как обычно, покажет вам эмодзи в виде картинок, можете попробовать ввести их с помощью уникального кода. О том, как это сделать, можно почитать здесь. Но для начала хорошо бы его знать. Ну-ка, навскидку: вы помните, какой в Windows код у эмодзи 🔥?
Возьмите на заметку: Alt + 128293, вдруг когда-нибудь пригодится.
Еще не забыли, что пароль должен состоять как минимум из пяти эмодзи? Тогда умножаем 5 на 6 (число цифр в коде после Alt) и получаем длину пароля, равную 30 символам. Это в три раза больше, чем средний пользователь может запомнить. И это еще не конец: чтобы ввести нужный символ, его придется поискать.
Легко запомнить, трудно найти
Сможете среди 1809 эмодзи на клавиатуре быстро найти тот, что с Санта-Клаусом 🎅? Глаза, наверное, разбегаются. А еще в различных приложениях эмодзи могут быть сгруппированы по разному принципу.
Найдите 10 отличий
Помните детские упражнения на развитие внимания? В случае эмодзи-паролей такие навыки вам точно пригодятся. Видите разницу между white large square, white medium square, white medium small square и white small square?
Переходим на следующий уровень сложности. Насколько для вас очевидна разница между spiral calendar и spiral notepad?
А если уменьшить размер этих картинок хотя бы в четыре раза, чтобы приблизиться к размеру строки для ввода пароля?
При этом в зависимости от приложения и клавиатуры вид одного и того же эмодзи может довольно сильно различаться. Например, spiral calendar (перекидной календарь) у Microsoft выглядит так:
Вместо квадриллионов комбинаций
При использовании стандартного пароля, в который входят еще и спецсимволы, у пользователей есть шесть квадриллионов вариантов. Развернуться, без сомнения, есть где. Однако большинство пользователей в России (как, впрочем, и мире), все равно выбирает password, не говоря уже о бессменном лидере рейтинга самых распространенных паролей — числовой комбинации «123456», которую только в 2021 году использовали более 103 млн раз по всему земному шару.
Как думаете, каковы шансы у нас, безопасников, уговорить вас использовать для паролей эмодзи хотя бы не с первого экрана клавиатуры, если до сих пор мы не смогли убедить многих из вас, что не надо ставить галочку «Сохранить пароль» при входе в каждое веб-приложение? Пользуясь случаем, еще раз повторю: это плохая идея.
Человечество всегда ищет способы упростить свою жизнь. Например, существует риск, что люди будут использовать распространенные сочетания эмодзи. А еще сейчас в интернете популярна игра «Угадай известный фильм по эмодзи». Уверен, многие пользователи, недолго думая, позаимствуют оттуда понравившиеся варианты либо вдохновятся ими, когда будут составлять свои пароли. Как, впрочем, и злоумышленники. Да они наверняка сами начнут разрабатывать такие игры.
«И какой же вывод из всего этого следует?» — спросите вы. Идея использовать эмодзи в качестве паролей довольно привлекательна и имеет свои преимущества, однако при ее воплощении избежать технических проблем не удастся. Специалистам по кибербезопасности не хватит ромашкового чая, если (когда) что-то пойдет не так.
Что надо держать в уме
Не стоит недооценивать незримого противника: хакеры становятся все опаснее и изобретательнее, и ваш аккаунт в Твиттере — не единственное, что они могут украсть. Сегодня под угрозой любые данные, хранящиеся в цифровом виде.
Чтобы себя обезопасить, следуйте простым правилам.
1. Не ленитесь использовать сложные и длинные пароли, даже если их тяжело запомнить.
Рекомендую создавать пароли длиной как минимум 10-12 символов, а лучше даже больше: каждый дополнительный символ в пароле увеличивает число вариантов, которые придется перебрать злоумышленнику, в 95 раз. Вдобавок сильные пароли сложнее подсмотреть из-за плеча.
2. Используйте разные пароли для разных ресурсов.
Набивший оскомину совет, но не все пока ему следуют. Главное: не используйте одни и те же пароли дома и на работе. Хакеры, воспользовавшись утекшими паролями с развлекательного сервиса, легко смогут получить доступ к инфраструктуре компании, в которой вы работаете.
3. Ваш лучший друг — менеджер паролей.
Выучив один сложный мастер-пароль для приложения, вы можете генерировать и сохранять пароли, уникальные для каждого ресурса. Стикер под клавиатурой — это не менеджер паролей, увы.
4. Забудьте про функцию запоминания паролей.
5. Проверяйте свои пароли на предмет утечки.
Например, на сайтах haveibeenpwned.com и leakcheck.io есть актуальная база всех крупных утечек, по которой можно прогнать свои пароли. Это поможет вовремя сменить текущие комбинации, пока злоумышленники не успели ими воспользоваться.
6. Регулярно меняйте пароли.
В публичном доступе оказываются не все скомпрометированные учетные данные. К тому же с момента утечки и до публикации данных, к примеру на хакерских форумах, может пройти много времени. Поэтому я рекомендую менять пароли каждые полгода, а для более важных ресурсов — и того чаще.
7. Не создавайте новый пароль путем смены одного или нескольких символов предыдущего.
Сам по себе пароль SuperPuperPassword1! можно считать достаточно надежным (кстати, с этой минуты уже нет 😊. Я опубликовал его в открытом доступе, и, вероятно, его скоро добавят в словарь для проверки). Однако если для следующего сервиса вы меняете, например, единицу на двойку, а для каждого последующего — на тройку, четверку и так далее, то злоумышленник, выяснив любую комбинацию из этой цепочки, сможет с легкостью определить, какой пароль у вас сейчас и какой вы установите в будущем.
8. Включайте второй фактор аутентификации.
Пароль не должен быть единственной преградой на пути злоумышленника. Включайте двухфакторную аутентификацию (отправку push-уведомлений, кодов подтверждения в СМС-сообщениях, генерирование кодов в приложениях или используйте аппаратные токены) везде, где это возможно.
В заключении отмечу, что использование паролей не всегда удобно. Впрочем, потеря доступа к важному аккаунту, например кабинету на «Госуслугах», доставит вам куда больше неприятностей. Специалисты по кибербезопасности продолжают искать альтернативный и комфортный для пользователей способ защиты учетных записей, однако на данный момент цифробуквенные пароли — один из немногих механизмов безопасности, доказавших свою эффективность.