Не думай о секундах свысока. Простым языком — о том, что не так с паролями от Касперского
Как защитить свой аккаунт от взлома? Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб. А это как пожар – никто его не хочет, но пожарам на это плевать.
Недавно стало известно о том, что менеджер паролей Kaspersky Password Manager долгое время генерировал пароли, жестко привязанные к секунде в момент их создания. Эта брешь была найдена исследователями кибербезопасности из команды Ledger Donjon в 2019 году, но публично обьявили об этом лишь сейчас – когда ошибка уже исправлена. Происходило это из-за того, что текущая секунда времени использовалась программой как seed – ключ генерации для пароля на котором работал Kaspersky Password Manager. Главная проблема заключается не в том, что по такому принципу можно сгенерировать и создать базу из паролей, которые когда-либо создавал Kaspersky Password Manager. Всего в период с 2011 по 2020 год прошло 315 619 200 секунд. Именно столько паролей мог сгенерировать менеджер и все их можно узнать. О том, как обезопасить свои пароли и защитить ваши аккаунты в интернете, пишет в колонке для Фокуса основатель ОО "Электронная демократия" Владимир Фльонц.
Про пароли и инцидент с Касперским простым (насколько получится) языком.
Немного теории. Пароли, как способ идентификации свой-чужой, использовались задолго до появления компьютеров, и в теории – это очень простой и удобный механизм защиты. Но на практике все, как обычно, немного сложнее. Защита вашего аккаунта при помощи пароля может быть уязвима к разным атакам.
Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать. Кроме того, паролей в нашей жизни стало так много, что с ними нужно было навести какой-то порядок и так появились менеджеры паролей.
Первое, что стоит уяснить, менеджеры паролей – это компромис. У самой идеи доверить управление вашими паролями кому-то еще есть свои плюсы/минусы, а уж конкретная реализация таит в себе кучу дополнительных уязвимостей.
Значит ли это что менеджеры паролей – это зло? Нет! Это ваш помощник, который может как помочь так и навредить. И от того насколько вы будете понимать условия этой сделки зависит ваша безопасность.
Менеджеры паролей предлагают нам (а) генерацию сложных, плохо подбираемых паролей – это хорошо (б) отдельный пароль на каждый аккаунт – это очень хорошо (в) надежное хранение паролей, чтобы не заполнять ими всю свободную память вашего мозга – это неплохо.
Взамен, вам придется надеятся что (а) генерация паролей менеджером действительно надежная (б) хранение действительно защищенное и никто его не взломает (в) никому кроме вас ваши пароли недоступны.
Не много ли надежд? Ведь, если менеджер напишут лучшие программисты из лучших компаний можно быть уверенным? Ну, у меня для вас плохие новости.
Вот, что произошло с Касперским.
На самом первом этапе генерации "сложных, плохо подбираемых паролей" получалось что-то похожее на: X5j13$eC_%q,G@Kdc – выглядит достаточно сложно и надежно?
Вот только вся "тайна" этого пароля у Касперского зависит от точного времени на компьютере в момент создания пароля, вернее, от порядкового номера секунды.
В сутках всего 86 тысяч секунд, а в году всего лишь 31 миллион. Это много? Нет, для подбора пароля в современном мире – это ничтожно мало.
В свою очередь это значит, что все сгенерированные таким образом пароли могут сколь угодно надежно хранится, шифроваться, но они просто вычисляемы перебором всех возможных секунд.
Поможет ли обновление? К сожалению, нет. Пароли уже созданы и они уязвимы. Обновление только менеджера никак не решит корень проблемы. Всем кто использовал менеджер следует поменять все пароли во всех аккаунтах.
Мораль.
В идеальном мире розовых пони – сами создавайте разные пароли для каждого аккаунта при помощи игровых костей и храните их только в собственной голове.
В реальном мире – для большинства аккаунтов используйте менеджер паролей. Можно даже встроенный в ваш любимый браузер. К автоматически сгенерированным паролям добавляйте 5-6 символов от себя, лучше 8. Каждый раз разных.
Для 2-3 самых важных аккаунтов (банк, ваш ключ е-подписи) держите пароль только в вашей голове. Не обязательно сложный, но длинный пароль.
Везде где возможно, включайте и используйте многофакторную аутентификацию (Authenticator на телефоне лучше чем код в SMS, а код в SMS лучше чем ничего).
Запомните. Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб после взлома. А это как пожар – никто его не хочет, но пожарам на это плевать.
Публикуется с согласия автора.