Пароли на эмоциях: под силу ли смайлику защитить наши данные и гаджеты от хакеров?
Удобно ли будет использовать эмодзи-пароли? А главное, безопасно ли? Наш аналитик Валерий Кузьменков изучил плюсы и минусы возможного нововведения и рассказал, чего набралось больше.
Говорят, эмодзи, которые мы ставим в соцсетях и мессенджерах, чтобы выразить эмоции, выходящие порой за рамки слов, скоро разрешат использовать в качестве паролей. Смеющийся до слез смайлик, сердечко, ладошка и другие знакомые нам символы в недалеком будущем будут стоять на страже наших учетных записей, личных данных и устройств.
По крайней мере, все к этому идет: с завидной регулярностью мир сотрясают новости о крупных утечках паролей (иногда вместе с логинами) в Сеть, причем новый «слив» почти всегда масштабнее предыдущего. Хакеры изобретают все более изощренные методы взлома, и киберпреступность стремительно набирает обороты. Несмотря на это пользователи по-прежнему ленятся придумывать длинные, но при этом надежные пароли со спецсимволами и выбирают варианты попроще. А еще зачастую используют одну и ту же полюбившуюся комбинацию для разных сервисов.
Стандартный пароль vs. эмодзи-пароль
Сейчас есть негласный «золотой стандарт» паролей. Это комбинация длиной не менее восьми символов, которая содержит буквы английского алфавита как верхнего, так и нижнего регистра, а также цифры и спецсимволы. В категорию последних входят 33 символа, например пробел, восклицательный и вопросительный знаки, плюс и минус, звездочка, решетка. Таким образом, для каждого символа в пароле предусмотрено 95 вариантов. Путем несложных арифметических подсчетов, в которые я не буду углубляться, можно получить общее количество вариантов пароля, состоящего из восьми символов. Оказывается, их больше шести квадриллионов!
Эмодзи на данный момент насчитывается 1809. Это значительно больше, чем число вариантов, приходящихся на один символ в пароле.
Чтобы приблизиться к числу вариантов, который дает стандартный цифробуквенный пароль вкупе со спецсимволами, нам понадобится лишь пять эмодзи. Звучит очень хорошо! Особенно если учесть, что проблемы с запоминанием пароля, по мнению Microsoft, возникают у пользователей, когда его длина превышает десять символов. А здесь ровно вполовину меньше!
Это были преимущества эмодзи-паролей. Теперь давайте поговорим о минусах.
Обратная сторона медали — Unicode
Хотели бы посмотреть на эмодзи-пароль для BIOS? 🤔
Не советую, даже если бы это было возможно. Сейчас размер BIOS не дает полноценно поддерживать Unicode (кто не знает, это стандарт кодирования символов, позволяющий в виде последовательности нулей и единиц представить знаки практически всех письменных языков — от китайских иероглифов до кириллицы).
Переход к паролям, состоящим из символов Unicode, всегда связан с трудностями. А если дело касается эмодзи, где у части пиктограмм можно выбрать один из шести тонов кожи, то миссия становится почти невыполнимой.
Боюсь, что попытки реализовать пароли с эмодзи будут измеряться тоннами седых волос разработчиков. Например, важно сделать так, чтобы у всех пользователей написание эмодзи было одинаковым, а пароль совпадал побитово. Какие еще есть подводные камни при внедрении эмодзи-паролей, хорошо описано в этой статье.
Как быть со сложностью паролей при регистрации
Если приложение не проверяет, из какого набора символов составлен пароль, то, чтобы он формально соответствовал требованиям, придется добавлять к эмодзи обязательные символы. С одной стороны, уровень безопасности повысится, что, конечно, радует, а с другой — получится монстр Франкенштейна. Например, такой:
Что-то уже не выглядит безопасно: из-за неудобства переключения раскладки клавиатуры большинство пользователей будут выбирать тривиальные последовательности. А вы что думаете?
Шифр, шифр, шифр
Если у вас нет клавиатуры, которая, как обычно, покажет вам эмодзи в виде картинок, можете попробовать ввести их с помощью уникального кода. О том, как это сделать, можно почитать здесь. Но для начала хорошо бы его знать. Ну-ка, навскидку: вы помните, какой в Windows код у эмодзи 🔥?
Возьмите на заметку: Alt + 128293, вдруг когда-нибудь пригодится.
Еще не забыли, что пароль должен состоять как минимум из пяти эмодзи? Тогда умножаем 5 на 6 (число цифр в коде после Alt) и получаем длину пароля, равную 30 символам. Это в три раза больше, чем средний пользователь может запомнить. И это еще не конец: чтобы ввести нужный символ, его придется поискать.
Легко запомнить, трудно найти
Сможете среди 1809 эмодзи на клавиатуре быстро найти тот, что с Санта-Клаусом 🎅? Глаза, наверное, разбегаются. А еще в различных приложениях эмодзи могут быть сгруппированы по разному принципу.
Найдите 10 отличий
Помните детские упражнения на развитие внимания? В случае эмодзи-паролей такие навыки вам точно пригодятся. Видите разницу между white large square, white medium square, white medium small square и white small square?
Переходим на следующий уровень сложности. Насколько для вас очевидна разница между spiral calendar и spiral notepad?
А если уменьшить размер этих картинок хотя бы в четыре раза, чтобы приблизиться к размеру строки для ввода пароля?
При этом в зависимости от приложения и клавиатуры вид одного и того же эмодзи может довольно сильно различаться. Например, spiral calendar (перекидной календарь) у Microsoft выглядит так:
Вместо квадриллионов комбинаций
При использовании стандартного пароля, в который входят еще и спецсимволы, у пользователей есть шесть квадриллионов вариантов. Развернуться, без сомнения, есть где. Однако большинство пользователей в России (как, впрочем, и мире), все равно выбирает password, не говоря уже о бессменном лидере рейтинга самых распространенных паролей — числовой комбинации «123456», которую только в 2021 году использовали более 103 млн раз по всему земному шару.
Как думаете, каковы шансы у нас, безопасников, уговорить вас использовать для паролей эмодзи хотя бы не с первого экрана клавиатуры, если до сих пор мы не смогли убедить многих из вас, что не надо ставить галочку «Сохранить пароль» при входе в каждое веб-приложение? Пользуясь случаем, еще раз повторю: это плохая идея.
Человечество всегда ищет способы упростить свою жизнь. Например, существует риск, что люди будут использовать распространенные сочетания эмодзи. А еще сейчас в интернете популярна игра «Угадай известный фильм по эмодзи». Уверен, многие пользователи, недолго думая, позаимствуют оттуда понравившиеся варианты либо вдохновятся ими, когда будут составлять свои пароли. Как, впрочем, и злоумышленники. Да они наверняка сами начнут разрабатывать такие игры.
«И какой же вывод из всего этого следует?» — спросите вы. Идея использовать эмодзи в качестве паролей довольно привлекательна и имеет свои преимущества, однако при ее воплощении избежать технических проблем не удастся. Специалистам по кибербезопасности не хватит ромашкового чая, если (когда) что-то пойдет не так.
Что надо держать в уме
Не стоит недооценивать незримого противника: хакеры становятся все опаснее и изобретательнее, и ваш аккаунт в Твиттере — не единственное, что они могут украсть. Сегодня под угрозой любые данные, хранящиеся в цифровом виде.
Чтобы себя обезопасить, следуйте простым правилам.
В заключении отмечу, что использование паролей не всегда удобно. Впрочем, потеря доступа к важному аккаунту, например кабинету на «Госуслугах», доставит вам куда больше неприятностей. Специалисты по кибербезопасности продолжают искать альтернативный и комфортный для пользователей способ защиты учетных записей, однако на данный момент цифробуквенные пароли — один из немногих механизмов безопасности, доказавших свою эффективность.