Methodology for creating a strong password to ensure economic security in the conditions of digitalization

Развитие современного общества характеризуется рядом экономических и технологических трендов, наиболее важным из которых является цифровизация. Процесс цифровизации стимулирует общество к переходу в виртуальную среду. В результате этого экспоненциально растет количество мобильных приложений, онлайн-сервисов, социальных сетей, доступ к которым пользователь получает после прохождения процесса авторизации, в рамках которого указывается логин и пароль и создается учетная запись или аккаунт. При этом логин может быть любым индивидуальным набором символов, секретность которого не играет важной роли, в то время как секретность пароля имеет большое значение. Ведь именно пароль отвечает за сохранность конфиденциальной информации пользователя на сервисах и сайтах, а также открывает доступ к контенту исключительно для владельца аккаунта.

Идея создания защищенных учетных записей (аккаунтов) принадлежит Ф. Корбато и ряду других ученых [2, 3, 8], которые в 1960-е годы предложили использовать пароли для сохранения конфиденци-

ГРНТИ 06.03.07

Дмитрий Михайлович Назаров – доктор экономических наук, доцент, заведующий кафедрой бизнес-информатики Уральского государственного экономического университета (г. Екатеринбург).

Статья поступила в редакцию 15.11.2021.

альности данных. Проблема, которую решил Ф. Корбато, была сугубо практической и заключалась в администрировании компьютерной системы, которая использовалась несколькими учеными для исследовательской деятельности и разработки программного обеспечения.

Решением этой проблемы стала разработка системы разделения времени (CTSS) в вычислительном центре Массачусетского технологического института (ноябрь 1961 года). При помощи нее на одном компьютере можно было создать разделы для каждого ученого. Вход в них осуществлялся при помощи паролей. При этом пользователи получали доступ только к своим данным. Спустя всего лишь 30 лет вопросы конфиденциальности информации, решаемые с помощью разграничения доступа по паролю приобрели совершенно другую значимость благодаря резкому росту компьютерных систем и онлайн сервисов в сети интернет. В 21 веке практически каждый пользователь имеет несколько аккаунтов на различных онлайн и офлайн сервисах, и для использования их услуг требуется придумать и запомнить каждую связку «логин-пароль».

С ростом количества виртуальных ресурсов выросла и экономическая активность пользователей в сети интернет, которая подразумевает использование персональных данных, конфиденциальной банковской информации для реализации платежей, личной информации пользователя. Специалисты по информационной безопасности со стороны провайдеров онлайн услуг делают все возможное для обеспечения информационной безопасности конфиденциальных данных пользователей, но при этом и от пользователя требуются определенные знания для безопасного использования онлайн сервисов и систем. В первую очередь, это – использование надежного пароля для доступа к онлайн сервисам и компьютерным системам. Проблема создания надёжного пароля становится еще актуальней в условиях цифровой трансформации, так как число пользователей сайтов и приложений с обязательной авторизацией увеличивается с каждой минутой, и это – не преувеличение.

Этой проблемой занималось значительное число ученых и практиков в сфере информационной безопасности по всему миру [1-5, 8, 11]. Решения задач оценки стойкости и надежности пароля, а также исследования в сфере защиты информации в компьютерных системах затрагивались в той или иной степени различными российскими учеными [13-15, 17-24]. В частности, в работах Тюрина К.А. и др. [17, 24] сделан акцент на использование и оценку надежности парольных фраз, в работе [21] разрабатываются модели стойкости систем, защищенность информационных систем в целом исследуют российские ученые в работах [15, 20, 23].

Целью нашей статьи является обзор сервисов, которые позволяют оценить надежность и безопасность пароля, и разработка правил по созданию надежного пароля.

Анализ используемых паролей пользователями: текущее состояние

Исследования в области оценки надежности и устойчивости паролей к взлому проводятся регулярно различными компаниями, ведущими свою деятельность в сфере информационной безопасности, и результаты этих исследований весьма интересны. По данным компании Protocom Development Systems и Positive Technology [18], примерно: 35,4% пользователей вынуждены помнить от одного до пяти паролей; 38,1% пользователей вынуждены помнить от шести до десяти паролей; 25% пользователей постоянно забывает свои логины и пароли.

Компании, которые предоставляют виртуальные услуги, за последние 20 лет научились восстанавливать логины и пароли пользователей в случае, если пользователь забыл пароль. Такая процедура есть практически на каждом онлайн сервисе и называется «Восстановление пароля / логина» [22]. Однако, при этом подавляющее большинство пользователей, пренебрегая советами специалистов, старается не перегружать память и использует простые и очень простые пароли, которые сложно забыть.

Независимый специалист по информационной безопасности Марк Бернетт, начинавший свою деятельность в компании Microsoft, в своей книге «Идеальные пароли: выбор, защита, аутентификация» [4] приводит статистику используемых пользователями паролей на основе анализа нескольких миллионов паролей, раскрытых в результате различных утечек данных. Наиболее часто употребляемыми при этом являются password1, compaq, 7777777, 12345, 123456 и др. В целом на основе исследования 6 млн раскрытых паролей частота 100 тыс. самых популярных (одинаковых для сотен тысяч пользователей паролей) составляет 99,8%.

Проверив почти 275,7 миллиона паролей, 19 ноября 2020 года специалисты компании NordPass и ряда других компаний опубликовали список наиболее часто используемых паролей для онлайн- аккаунтов в 2020 году. Первые пять строчек заняли такие сочетания, как "123456789", "picture1", "password" и "12345678" (см. рис. 1). Самым распространенным паролем оказался "123456", который только за 2020 год был взломан более 23 миллионов раз.

RockYou	Faithwriters	MySpace
123456	123456	password1
12345	writer	abc!23
123456789	jesusl	fискуou
password	christ	monkey1
iloveyou	blessed	iloveyoul
princess	john316	myspacel
1234567	jesuschrist	fuckyoul
rockyou	password	number1
12345678	heaven	footballl
abc!23	faithwriters	nicolei

Рис. 1. Самые популярные пароли на разных сайтах по исследованиям компании NordPass

Пароль «12345» занимал первое место в 2019 году, при этом более 188 тыс. пользователей выбрали его в 2020 году, что позволило занять ему восьмое место. Оба пароля можно взломать менее чем за секунду. Подчеркнутые пароли – это пароли пользователей, которые они используют как минимум на двух онлайн сервисах. Анализ показал, что в целом менее половины паролей в списке 2020 года являются новыми, то есть пользователи, в подавляющем большинстве «ничему не учатся», уровень компьютерной грамотности в сфере информационной безопасности остается крайне низким.

В качестве смысловой основы пароля и его буквенной части для защиты своих аккаунтов, а, сле- довательно, и персональных данных пользователи предпочитают нецензурные слова, свои имена, названия популярных песен и музыкальных групп, названия любимых блюд, популярных фильмов, мультфильмов и других объектов поп-культуры. Приведем несколько примеров: название музыкальной группы «onedirection», самое популярное в 2019 году, «pokemon» и «blink-182» – в 2020 году [9].

Исследования А.А. Абидаровой и ряда других ученых [13, 18], результаты которых представлены на рис. 2, наглядно демонстрируют другой аспект, связанный с частотой использования типов символов пользователей в своих паролях.

Рис. 2 . Частота используемых в паролях типов символов в зависимости от регистра и раскладки клавиатуры

Согласно проведенному исследованию, было выявлено, что более 75% паролей не представляют особой сложности для взлома, поскольку в них используется символы с одной раскладки. Одним из самых популярных вариантов пароля является «123456», а также различные комбинации цифр от 1 до 9. Таких паролей в первой десятке довольно много (например, «1234678», «1234567890»). Также очень часто встречаются пароли «password» или «пароль». Многие из паролей также происходят от раскладки клавиш, например, «qwerty», «йцукен» и т.д.

Подводя итог вышесказанному следует отметить, что большинство пользователей не обладают достаточными знаниями в области информационной безопасности и используют пароли для различных сайтов и сервисов, которые являются легко запоминаемыми, короткими, повторяющимися, что приводит к серьезным экономическим и правовым последствиям после взлома их аккаунтов злоумышленниками, которые в большинстве случаев становятся обладателями персональных данных пользователей. Экономические последствия таких действий трудно предсказуемы в деталях даже для специалистов.

Рассмотрим лишь некоторые последствия раскрытия паролей пользователей, с точки зрения экономической безопасности. Допустим, пароль от основной почты раскрыт, тогда хакер может: изменить пароли от социальных сетей и попросить от имени пользователя денег у всех его друзей; изменить пароль пользователя от облачных сервисов iCloud или GoolePlay, а далее – украсть деньги или заблокировать смартфон; изучить переписку, из которой почти наверняка можно узнать паспортные данные и номер банковской карты; зная паспортные данные и номер карты, поменять пароль от интернет-банка, сменить контактный номер телефона и – далее – свободно распоряжаться всеми деньгами пользователя; наконец, если хакер обнаружит в почте скан паспорта, он сможет взять на имя пользователя кредит в недобросовестной кредитной организации.

Обзор сервисов для проверки и создания надежного пароля

Для создания надежного пароля и проверки устойчивости к взлому можно использовать специализированные сервисы, которые генерируют пароли согласно заданным параметрам, а также проверяют существующие пароли на основе различных алгоритмов и анализа истории взломов паролей в результате хакерских атак. Перечислим несколько сервисов по оценке надежности и для управления паролями:

• •    Top50vpn, данный сервис раскроет уровень пароля – слабый, средний, выше среднего, сложный или очень сложный. Также он позволяет провести анализ пароля, который предоставит дополнительные советы для его улучшения (например, добавить числа, специальные знаки, использовать разный регистр и так далее);

• •    Kasperskiy password checker, данный сервис позволяет оценить надежность пароля, используя перебор всех возможных комбинаций символов, пока не найдется «правильный ответ». Этот процесс может занять много времени, поэтому для подбора обычно используются словари и списки распространенных паролей вроде qwerty или 123456. Также он использует базу данных авторитетного сервиса HaveIBeenPwned, который накапливает информацию об утечках аккаунтов и паролей;

• •    HaveIBeenPwned, данный сервис позволяет проверить, был ли утерян пароль когда-либо, также этот сервис содержит 613 584 246 реальных паролей, ранее обнаруженных при утечках данных, при реализации хакерских атак;

• •    NordPass, это проприетарный менеджер паролей, запущенный в 2019 году. Он призван помочь пользователям упорядочить свои пароли и защищенные заметки, сохраняя их в одном месте – в зашифрованном хранилище паролей.

Помимо этого, существует ряд сервисов, которые помогают управлять паролями, используемыми в разных сервисах. Чаще всего это программа или приложение, защищенное одним паролем, с доступом ко всем остальным. Наиболее распространенные программы: Last Pass, Keepass Password Safe, Sticky Password, Яндекс Ключ. Следует отметить, что при создании паролей эти сервисы, как правило, используют редко употребляемые последовательности символов, которые достаточно непросто запомнить и использовать в повседневной практике. Поэтому разработка алгоритмов по созданию надежных паролей весьма актуальна и своевременна не только с точки зрения обеспечения информационной, но и экономической безопасности пользователей.

Методика создания надежного пароля

Проверим для примера надежность пароля )1Y@X04yOKSp@+(2 с помощью сервиса Kasperskiy password checker. Результат этой проверки показан на рисунке 3. Полученный результат является достаточно хорошим. На первый взгляд, предлагаемая последовательность символов кажется случайной, однако это не так. В качестве варианта создания такого надежного пароля предлагается следующий алгоритм:

• 1.    Следует придумать какую-либо фразу, например: «Я хочу спать».

• 2.    Написать её транслитом: YaXochySpat.

• 3.    Заменить некоторые буквы на символы или цифры. Лучше заменять на внешне схожие, например «а» на «@», «ch» на 4, «o» на «0», «t» на «+»: Y@X04ySp@+.

• 4.    Если данный пароль будет использоваться на нескольких сайтах, то рекомендуется ввести между слов первые 2-3 буквы от названия сайта: Y@X04yOKSp@+.

• 5.    Добавить в конце или в начале несколько символов или цифр, так или связанных с фразой: )1Y@X04yOKSp@+(2

Полученный пароль будет иметь высокую надежность, то есть для его взлома теоретически потребуется более 300 веков по данным сервиса Kasperskiy password checker.

Рис. 3. Результат проверки надежности созданного пароля

Заключение

В статье приведен анализ паролей, используемых различными пользователями, описаны сервисы, которые позволяют оценить надежность паролей и предложен алгоритм создания надежного пароля, который достаточно легко запомнить. На основании проведенного исследования надёжности паролей можно сделать вывод, о том, что надёжный пароль позволит обеспечить экономическую безопасность пользователей в цифровом пространстве, а приведенная методика достаточна проста и понятна, а значит может быть использована пользователями для обеспечения их экономической и информационной безопасности.