Поддержите нас UA
UA
Разделы
Материалы
Поддержите нас
Технологии и наука

Не думай о секундах свысока. Простым языком — о том, что не так с паролями от Касперского

Как защитить свой аккаунт от взлома? Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб. А это как пожар – никто его не хочет, но пожарам на это плевать.

Владимир Фльонц
Владимир Фльонц
основатель общественной организации "Электронная демократия"
eye 3685
Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать
Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать

Недавно стало известно о том, что менеджер паролей Kaspersky Password Manager долгое время генерировал пароли, жестко привязанные к секунде в момент их создания. Эта брешь была найдена исследователями кибербезопасности из команды Ledger Donjon в 2019 году, но публично обьявили об этом лишь сейчас – когда ошибка уже исправлена. Происходило это из-за того, что текущая секунда времени использовалась программой как seed – ключ генерации для пароля на котором работал Kaspersky Password Manager. Главная проблема заключается не в том, что по такому принципу можно сгенерировать и создать базу из паролей, которые когда-либо создавал Kaspersky Password Manager. Всего в период с 2011 по 2020 год прошло 315 619 200 секунд. Именно столько паролей мог сгенерировать менеджер и все их можно узнать. О том, как обезопасить свои пароли и защитить ваши аккаунты в интернете, пишет в колонке для Фокуса основатель ОО "Электронная демократия" Владимир Фльонц.

Про пароли и инцидент с Касперским простым (насколько получится) языком.

Немного теории. Пароли, как способ идентификации свой-чужой, использовались задолго до появления компьютеров, и в теории – это очень простой и удобный механизм защиты. Но на практике все, как обычно, немного сложнее. Защита вашего аккаунта при помощи пароля может быть уязвима к разным атакам. 

Пароль можно (а) подобрать (б) угадать (в) украсть (г) предсказать (д) просчитать. Кроме того, паролей в нашей жизни стало так много, что с ними нужно было навести какой-то порядок и так появились менеджеры паролей. 

Первое, что стоит уяснить, менеджеры паролей – это компромис. У самой идеи доверить управление вашими паролями кому-то еще есть свои плюсы/минусы, а уж конкретная реализация таит в себе кучу дополнительных уязвимостей. 

Значит ли это что менеджеры паролей – это зло? Нет! Это ваш помощник, который может как помочь так и навредить. И от того насколько вы будете понимать условия этой сделки зависит ваша безопасность.

Менеджеры паролей предлагают нам (а) генерацию сложных, плохо подбираемых паролей – это хорошо (б) отдельный пароль на каждый аккаунт – это очень хорошо (в) надежное хранение паролей, чтобы не заполнять ими всю свободную память вашего мозга – это неплохо. 

Важно
Полный тет-а-тет. Восемь причин выбрать безопасный мессенджер для общения

Взамен, вам придется надеятся что (а) генерация паролей менеджером действительно надежная (б) хранение действительно защищенное и никто его не взломает (в) никому кроме вас ваши пароли недоступны. 

Не много ли надежд? Ведь, если менеджер напишут лучшие программисты из лучших компаний можно быть уверенным? Ну, у меня для вас плохие новости. 

Вот, что произошло с Касперским.

На самом первом этапе генерации "сложных, плохо подбираемых паролей" получалось что-то похожее на: X5j13$eC_%q,G@Kdc – выглядит достаточно сложно и надежно? 

Вот только вся "тайна" этого пароля у Касперского зависит от точного времени на компьютере в момент создания пароля, вернее, от порядкового номера секунды.

В сутках всего 86 тысяч секунд, а в году всего лишь 31 миллион. Это много? Нет, для подбора пароля в современном мире – это ничтожно мало. 

В свою очередь это значит, что все сгенерированные таким образом пароли могут сколь угодно надежно хранится, шифроваться, но они просто вычисляемы перебором всех возможных секунд. 

Поможет ли обновление? К сожалению, нет. Пароли уже созданы и они уязвимы. Обновление только менеджера никак не решит корень проблемы. Всем кто использовал менеджер следует поменять все пароли во всех аккаунтах. 

Мораль.

В идеальном мире розовых пони – сами создавайте разные пароли для каждого аккаунта при помощи игровых костей и храните их только в собственной голове.

В реальном мире – для большинства аккаунтов используйте менеджер паролей. Можно даже встроенный в ваш любимый браузер. К автоматически сгенерированным паролям добавляйте 5-6 символов от себя, лучше 8. Каждый раз разных. 

Важно
WhatsApp: пользоваться или нет? В чем риски новой политики конфиденциальности

Для 2-3 самых важных аккаунтов (банк, ваш ключ е-подписи) держите пароль только в вашей голове. Не обязательно сложный, но длинный пароль. 

Везде где возможно, включайте и используйте многофакторную аутентификацию (Authenticator на телефоне лучше чем код в SMS, а код в SMS лучше чем ничего).

Запомните. Идеальной защиты нет, ни один метод не дает 100% гарантии, а лишь уменьшает нанесенный ущерб после взлома. А это как пожар – никто его не хочет, но пожарам на это плевать.

Первоисточник.

Публикуется с согласия автора.