Розділи
Матеріали

Не думай о секундах свысока. Простым языком — о том, что не так с паролями от Касперского

Як захистити свій акаунт від злому? Ідеального захисту немає, жоден метод не дає 100% гарантії, а лише зменшує завдані збитки. А це як пожежа — ніхто її не хоче, але пожежі на це плювати.

Пароль можна (а) підібрати (б) вгадати (в) вкрасти (г) передбачити (д) вирахувати

Нещодавно стало відомо про те, що менеджер паролів Kaspersky Password Manager довгий час генерував паролі, жорстко прив'язані до секунди в момент їх створення. Цей пролом був знайдений дослідниками кібербезпеки з команди Ledger Donjon у 2019 році, але публічно оголосили про це лише зараз — коли помилка вже виправлена. Відбувалося це через те, що поточна секунда часу використовувалася програмою як seed — ключ генерації для пароля, на якому працював Kaspersky Password Manager. Головна проблема полягає не в тому, що за таким принципом можна згенерувати і створити базу з паролів, які коли-небудь створював Kaspersky Password Manager. Усього в період з 2011 по 2020 рік пройшло 315 619 200 секунд. Саме стільки паролів міг згенерувати менеджер і всі їх можна дізнатися. Про те, як убезпечити свої паролі і захистити ваші акаунти в інтернеті, пише в колонці для Фокуса засновник ГО "Електронна демократія" Володимир Фльонц.

Про паролі та інцидент з Касперським простою (наскільки вийде) мовою.

Трохи теорії. Паролі як спосіб ідентифікації свій-чужий використовувалися задовго до появи комп'ютерів, і в теорії — це дуже простий і зручний механізм захисту. Але на практиці все, як завжди, трохи складніше. Захист вашого облікового запису за допомогою пароля може бути вразливим до різних атак.

Пароль можна (а) підібрати (б) вгадати (в) вкрасти (г) передбачити (д) вирахувати. Крім того, паролів у нашому житті стало так багато, що з ними потрібно було навести якийсь порядок і так з'явилися менеджери паролів.

Перше, що варто усвідомити, менеджери паролів — це компроміс. У самій ідеї довірити управління вашими паролями комусь ще є свої плюси/мінуси, а вже конкретна реалізація таїть у собі купу додаткових вразливостей.

Чи означає це, що менеджери паролів — це зло? Ні! Це ваш помічник, який може як допомогти, так і нашкодити. І від того, наскільки ви будете розуміти умови цієї угоди, залежить ваша безпека.

Менеджери паролів пропонують нам (а) генерацію складних, погано підібраних паролів — це добре (б) окремий пароль на кожен акаунт — це дуже добре (в) надійне зберігання паролів, щоб не заповнювати ними всю вільну пам'ять вашого мозку — це непогано.

Натомість, вам доведеться сподіватися, що (а) генерація паролів менеджером дійсно надійна, (б) зберігання дійсно захищене і ніхто його не зламає, (в) нікому, крім вас, ваші паролі не доступні.

Чи не забагато надій? Адже, якщо менеджер напишуть кращі програмісти з кращих компаній, можна бути впевненим? Ну, в мене для вас погані новини.

Ось, що сталося з Касперським.

На першому етапі генерації "складних, погано підібраних паролів" виходило щось схоже на: X5j13 $ eC_% q, G @ Kdc — виглядає досить складно і надійно?

Ось тільки вся "таємниця" цього пароля в Касперського залежить від точного часу на комп'ютері в момент створення пароля, точніше, від порядкового номера секунди.

У добі всього 86 тисяч секунд, а в році всього лише 31 млн. Це багато? Ні, для підбору пароля в сучасному світі — це мізерно мало.

У свою чергу це означає, що всі згенеровані таким чином паролі можуть як завгодно надійно зберігатися, шифруватися, але вони просто обраховуються перебором усіх можливих секунд.

Чи допоможе оновлення? На жаль, ні. Паролі вже створені і вони уразливі. Оновлення тільки менеджера ніяк не вирішить корінь проблеми. Усім, хто використовував менеджер, варто змінити всі паролі у всіх акаунтах.

Мораль.

В ідеальному світі рожевих поні — самі створюйте різні паролі для кожного облікового запису за допомогою ігрових кісток і зберігайте їх тільки у власній голові.

У реальному світі — для більшості акаунтів використовуйте менеджер паролів. Можна навіть вбудований у ваш улюблений браузер. До автоматично згенерованих паролів додавайте 5-6 символів від себе, краще 8. Щоразу різні.

Для 2-3 найважливіших акаунтів (банк, ваш ключ е-підпису) тримайте пароль тільки у вашій голові. Не обов'язково складний, але довгий пароль.

Скрізь, де можливо, вмикайте і використовуйте багатофакторну аутентифікацію (Authenticator на телефоні краще, ніж код в SMS, а код в SMS краще, ніж нічого).

Запам'ятайте. Ідеального захисту немає, жоден метод не дає 100% гарантії, а лише зменшує завдані збитки після злому. А це як пожежа — ніхто її не хоче, але пожежі на це плювати.

Першоджерело.

Публікується за згодою автора.