В чем слабость твоя?

Максим Костышин

Несмотря на все усилия при построении защиты, в компьютерном деле наиболее уязвимым и наименее предсказуемым остается человек. К сожалению, при работе на компьютере человек способен только понизить уровень защищенности, если он не выполняет определенных требований безопасности. Последние примеры схем распространения вирусов по электронной почте (MуDoom, Bagle и т. д.) показали, что любопытство пользователей активно используется вирусописателями наряду с эксплуатацией известных уязвимостей программных продуктов, и что это может повлечь серьезные проблемы для всего сообщества Интернет. Так как проблема человеческого фактора в вопросах безопасности достаточно объемная, то в данной статье мы остановимся только на вопросах, связанных с парольной защитой, и даже в рамках этой темы только ее частью – способом хранения конфиденциальной информации для аутентификации.

Немного истории

В первой главе своей книги известный компьютерный взломщик Кевин Митник так описывает подробности проникновения в компьютерную систему корпорации DEC. «…Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из «моих» учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам. Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было «buffoon» (дословно: шут, фигляр), по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E – системе разработки DEC. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы...».

Несмотря на то, что эта история, описанная выше, случилась в прошлом тысячелетии, XXI век вполне может соревноваться по анекдотичности ситуаций, при которых беспечность пользователей в отношении своих паролей просто поразительна.

На проходившей в апреле 2003 года в Лондоне выставке InfoSecurity Europe 2003 (www.infosec.co.uk) ее организаторы провели ставшее уже традиционным исследование сознательности офисных работников в вопросах безопасности. На столичной станции Waterloo под видом социального опроса предлагалось в обмен на дешевую ручку ответить на ряд вопросов, в том числе назвать свой пароль, а также определить те критерии, по которым он формируется. 90% сразу назвали пароль (для сравнения, 65% – в 2002 году). Заметим справедливости ради, что правдивость ответов никто никогда выяснить не сможет.

Один из опрошенных вначале отказался назвать свой пароль, сославшись на требования безопасности, однако вскоре выяснилось, что в качестве пароля он использует имя дочери, а немного позже мнимые социологи смогли выяснить и как ее зовут. Согласно полученной в ходе исследования статистике часто паролем являлось слово «password» (12%), а другими популярными категориями были собственное имя (16%), название любимой футбольной команды (11%) и дата рождения (8%). Два третьих опрошенных дали свой пароль коллеге (показатель аналогичен 2002 году), а три четверти знали пароли их сослуживцев. Дополнительно к использованию пароля для доступа к их информации в компании, две трети использовали тот же пароль везде, включая их персональные банковские счета, централизованный доступ Web и т.п.