Настораживает то, что некоторые методы взлома, использованные Митником в 90-х годах в процессе своей криминальной деятельности, вполне работают и сегодня. В марте этого года в прессе была опубликована информация о задержании москвича-мошенника, который торговал секретными PIN-кодами карточек экспресс-оплаты доступа в сети Интернет, при этом часть этих карточек даже не поступала еще в продажу. Как показало расследование, «все карточки экспресс-оплаты изготавливались в коммерческой типографии. В процессе изготовления некоторые карточки получались бракованными и уничтожались ненадлежащим способом, после чего просто выбрасывались на территории типографии», – отметили в пресс-службе. Молодой человек работал в одном из офисов, расположенном на территории типографии, где и подбирал остатки карточек, среди которых и были карточки указанной компании, а также многих других интернет-провайдеров, операторов IP-телефонии и сотовой связи. Собрав и сложив обрезки, он получил секретные PIN-коды.

Что же делать?

Факты человеческой беспечности будут присутствовать в нашей жизни всегда. Однако вернемся все же к теме статьи. Попытаемся ответить на вопрос, что реально можно предпринять для решения проблем безопасности при использовании паролей.

Одно из направлений работы может быть связано с ужесточением требований административного характера. Стандартной мерой является введение ограничения смены пароля через каждые три месяца, полгода, год, а также установка ограничения на сложность пароля в политиках безопасности операционной системы или на уровне домена (для Windows см. «Пароли должны отвечать требованиям сложности» или «Passwords must meet complexity requirements»). При этом помимо иных требований будет проверяться, не содержат ли пароли части имени пользователя или не используется ли последнее в их качестве.

Также обязательным станет наличие заглавных букв, прописных букв и неалфавитных символов. Кроме того, будет проводиться проверка соблюдения минимальной длины пароля – 6 символов.

Можно не сомневаться, что итогом такой профилактической работы по повышению уровня защиты паролей станет практика сохранения паролей на листочке (возможно, даже для лучшей защиты бумага с паролем дополнительно будет помещаться в сейф). Кроме того, администраторы получат дополнительную головную боль от обращений пользователей, забывших свои пароли (не секрет, что некоторые пользователи не помнят даже своего имени для входа в сеть).

Однако давайте задумаемся о том, в чем же заключается суть проблемы при работе пользователей с паролем. Для этого сформируем основные свойства пароля, которые влекут за собой предпосылки к утечке конфиденциальных данных:

n  Адаптированное для восприятия человеком представление. Пароль – это определенная комбинация, которую человек в состоянии запомнить и соответственно может забыть или раскрыть кому-либо.