Разделы
Материалы

Не думай о секундах свысока. Простым языком — о том, что не так с паролями от Касперского

Как защитить свой аккаунт от взлома? Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб. А это как пожар – никто его не хочет, но пожарам на это плевать.

Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать

Недавно стало известно о том, что менеджер паролей Kaspersky Password Manager долгое время генерировал пароли, жестко привязанные к секунде в момент их создания. Эта брешь была найдена исследователями кибербезопасности из команды Ledger Donjon в 2019 году, но публично обьявили об этом лишь сейчас – когда ошибка уже исправлена. Происходило это из-за того, что текущая секунда времени использовалась программой как seed – ключ генерации для пароля на котором работал Kaspersky Password Manager. Главная проблема заключается не в том, что по такому принципу можно сгенерировать и создать базу из паролей, которые когда-либо создавал Kaspersky Password Manager. Всего в период с 2011 по 2020 год прошло 315 619 200 секунд. Именно столько паролей мог сгенерировать менеджер и все их можно узнать. О том, как обезопасить свои пароли и защитить ваши аккаунты в интернете, пишет в колонке для Фокуса основатель ОО "Электронная демократия" Владимир Фльонц.

Про пароли и инцидент с Касперским простым (насколько получится) языком.

Немного теории. Пароли, как способ идентификации свой-чужой, использовались задолго до появления компьютеров, и в теории – это очень простой и удобный механизм защиты. Но на практике все, как обычно, немного сложнее. Защита вашего аккаунта при помощи пароля может быть уязвима к разным атакам. 

Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать. Кроме того, паролей в нашей жизни стало так много, что с ними нужно было навести какой-то порядок и так появились менеджеры паролей. 

Первое, что стоит уяснить, менеджеры паролей – это компромис. У самой идеи доверить управление вашими паролями кому-то еще есть свои плюсы/минусы, а уж конкретная реализация таит в себе кучу дополнительных уязвимостей. 

Значит ли это что менеджеры паролей – это зло? Нет! Это ваш помощник, который может как помочь так и навредить. И от того насколько вы будете понимать условия этой сделки зависит ваша безопасность.

Менеджеры паролей предлагают нам (а) генерацию сложных, плохо подбираемых паролей – это хорошо (б) отдельный пароль на каждый аккаунт – это очень хорошо (в) надежное хранение паролей, чтобы не заполнять ими всю свободную память вашего мозга – это неплохо. 

Взамен, вам придется надеятся что (а) генерация паролей менеджером действительно надежная (б) хранение действительно защищенное и никто его не взломает (в) никому кроме вас ваши пароли недоступны. 

Не много ли надежд? Ведь, если менеджер напишут лучшие программисты из лучших компаний можно быть уверенным? Ну, у меня для вас плохие новости. 

Вот, что произошло с Касперским.

На самом первом этапе генерации "сложных, плохо подбираемых паролей" получалось что-то похожее на: X5j13$eC_%q,G@Kdc – выглядит достаточно сложно и надежно? 

Вот только вся "тайна" этого пароля у Касперского зависит от точного времени на компьютере в момент создания пароля, вернее, от порядкового номера секунды.

В сутках всего 86 тысяч секунд, а в году всего лишь 31 миллион. Это много? Нет, для подбора пароля в современном мире – это ничтожно мало. 

В свою очередь это значит, что все сгенерированные таким образом пароли могут сколь угодно надежно хранится, шифроваться, но они просто вычисляемы перебором всех возможных секунд. 

Поможет ли обновление? К сожалению, нет. Пароли уже созданы и они уязвимы. Обновление только менеджера никак не решит корень проблемы. Всем кто использовал менеджер следует поменять все пароли во всех аккаунтах. 

Мораль.

В идеальном мире розовых пони – сами создавайте разные пароли для каждого аккаунта при помощи игровых костей и храните их только в собственной голове.

В реальном мире – для большинства аккаунтов используйте менеджер паролей. Можно даже встроенный в ваш любимый браузер. К автоматически сгенерированным паролям добавляйте 5-6 символов от себя, лучше 8. Каждый раз разных. 

Для 2-3 самых важных аккаунтов (банк, ваш ключ е-подписи) держите пароль только в вашей голове. Не обязательно сложный, но длинный пароль. 

Везде где возможно, включайте и используйте многофакторную аутентификацию (Authenticator на телефоне лучше чем код в SMS, а код в SMS лучше чем ничего).

Запомните. Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб после взлома. А это как пожар – никто его не хочет, но пожарам на это плевать.

Первоисточник.

Публикуется с согласия автора.