Translate

Поиск по сайту

пятница, 5 февраля 2021 г.

Тирания паролей - не пора ли переосмыслить



«Они размножаются так же бесконечно, как бактерии, 
как крышки от пищевого контейнера, вы никогда не сможете найти ту, которую вам нужно». 




Они неуловимые, приводящие в ярость привратники, управляющие нашей жизнью. Их легко взломать и трудно запомнить, забыть о них - иногда очень дорого .Стефан Томас потерял 160 миллионов фунтов стерлингов в потерянных биткойнах из за паролей .

Современная жизнь - это ввод  пароля давно умершего домашнего гаджета в онлайн-форме три раза в неделю, ошибочный ответ и у  тебя разговор с работником колл-центра в Индии, настоящее имя которого почти наверняка не Саня, объяснения  до  упаду. Наши предки жили недолгой, жестокой жизнью и умирали при родах, или были забиты насмерть на поле боя, но, по крайней мере, у них не было паролей, и это что-то.

Тирания паролей; он колонизирует современную жизнь. Эти мелкие диктаторы лишают нас доступа к нашим банковским счетам, нашим детским фотографиям, нашим телефонным контрактам и даже нашему отоплению. Они размножаются так же бесконечно, как бактерии. Они наши парни, наши подруги, наши дети, наши домашние животные. Талантливый и мотивированный хакер, вероятно, сможет разобраться с вашим гаджетом за то время, которое вам потребовалось, чтобы прочитать этот абзац.


В большинстве случаев неспособность вспомнить пароль просто раздражает. Но иногда амнезия пароля может изменить жизнь. После обнародования своего отчета о потере пароля на биткойны на сумму около 220 миллионов долларов (161 миллион фунтов стерлингов) немецкий программист Стефан Томас , 33 года, зажег разговор о паролях, потерях и о том, как вы теряете состояние, которое никогда не вернете.




У Томаса было три копии его биткойн-паролей, сохраненных на жестких дисках и USB-накопителе, но первые две версии вышли из строя из-за обновлений программного обеспечения, а USB-накопитель защищен паролем. Если Томас вводит пароль неверно 10 раз, данные стираются. У него осталось две попытки, и он не может вспомнить пароль. Когда мы беседовали с им, Томас в высшей степени был оптимистичен. «Бывают дни, когда я почти благодарен за это», - весело говорит он.
«Были недели, когда я лежал в постели, глядя в потолок, в полном отчаянии», - говорит он. «Я часами пытался придумать, как восстановить данные, вскакивал, бегал к своему компьютеру и пробовал, и тогда ничего не получалось, поэтому я возвращался к своему потолку». В конце концов он решил: хватит. Он встал с постели и сделал карьеру в сфере технологий, прежде чем основал свою собственную компанию Coil .
«Люди думают, что поступают умно, двигаясь по клавиатуре по диагонали, но это есть во всех хакерских словарях». 

Не все могут избавиться от такой мучительной потери. «Я наталкиваюсь на кирпичную стену», - раздраженно говорит Джеймс Хауэллс . «Они даже не

Джеймс Хауэллс
хотят со мной разговаривать об этом! Что очень глупо, учитывая ситуацию ». Он имеет в виду городской совет Ньюпорта, владельца и оператора мусорной свалки, в которую он случайно выбросил жесткий диск с ключом кошелька с биткойнами, которые он добыл в 2009 году.

Биткойны сейчас стоят 210 миллионов фунтов стерлингов, и 35-летний криптовалютный трейдер из Ньюпорта настолько отчаянно пытается вернуть их, что предлагает 25% от его вывоза, или 50 миллионов фунтов стерлингов, городскому совету Ньюпорта. Совет неоднократно отклонял предложение Хауэллса  последние восемь лет из-за высокой стоимости поисков.

Как можно мягче, я спрашиваю, не лучше ли оставить это? «Я просто ищу возможность найти то, что принадлежит мне», - грустно говорит он. «И я готов поделиться этим. Но трудно смириться с тем, что он исчез, не получив возможности поискать. Зная, что жесткий диск есть, и еще есть шанс ».

Мы теряем вещи; мы забываем. Это в нашей природе, это то, что делает нас людьми. «Искусством проигрыша овладеть несложно, - отметила Элизабет Бишоп в своем стихотворении« Одно искусство » . Жизнь - это постоянное подчинение потерям. У некоторых дела обстоят лучше, чем у других: на каждого Томаса приходится госпожа Невезуха. «Теряй что-нибудь каждый день», - пишет Бишоп, и мы ей оказываем услугу. Мы теряем пальто, книги, сумки, телефоны, друзей, деньги, близких, мобильность и, в конечном итоге, самих себя. Чаще всего мы забываем свои пароли. В среднем у человека около 80 паролей, и он почти не помнит ни одного из них.

Технологические компании стали хранителями огромных объемов персональных данных, которые они защищают для нас и добывают для получения прибыли. Я забыл пароль к своему фотоальбому Google на долгие годы, а потом у меня появился новый телефон, и он сделал то чудесное, что часто делают новые телефоны, и каким-то образом вошел в мой интерфкйс.  Было неприятно осознавать, что Google помнит о моей жизни больше, чем я.

Поскольку пароли утомительны, люди очень плохо их кодируют. «Каждый год взламываются буквально миллиарды паролей», - говорит Джеральд Бешелт из менеджера паролей LastPass. «Это сплошная эпидемия происходит ежедневно ». Опрос Google / Harris, проведенный в 2019 году, показал, что 52% людей повторно используют свои пароли в нескольких учетных записях, что является очень плохой практикой безопасности.

«Лучший пароль - это случайный пароль», - говорит Лорри Кранор, исследователь паролей из Университета Карнеги-Меллона. «Но люди не умеют генерировать случайные пароли или запоминать их». Практически все, что вы интуитивно думаете о паролях, неверно. «Если вам сложно запомнить свои пароли, - говорит Крэнор, - запишите их в блокнот и спрячьте дома. Маловероятно, что хакер получит доступ к вашему жилищу ».

Согласно исследованию, опубликованному Garner Group в 2017 году, 20-50% всех обращений в службу поддержки ИТ связаны с изменением пароля. «Это самыечастые обращения в  службу поддержки ИТ, - говорит Сиан Джон, стратег по кибербезопасности в Microsoft. «Обычно это первая неделя января или после летних каникул - люди уходят в отпуск, возвращаются и забывают свои пароли».
В среднем у человека около 80 паролей, и вряд ли какой-либо из них он может запомнить.
Наши пароли раскрывают сущность человека ,гораздо больше, чем мы думаем. «Мы все думаем одинаково, - говорит Крэнор, - и все мы делаем одинаковые вещи при создании паролей. Люди думают, что поступают умно, двигаясь по клавиатуре по диагонали, - говорит Крэнор. «Но это есть во всех хакерских словарях». Джон сыграла в игру, в которой она задавала друзьям пять вопросов, чтобы угадать их пароли. «Я расспросила их имена родителей, братьев, сестер и детей, годовщины и дни рождения, имя их питомца и их любимую спортивную команду», - говорит она. «Обычно я получаю правильно 70% из них».

Мы не хотели бы оставлять дверь в свой дом открытой, и все же многие из нас каждый день оставляют свои цифровые учетные записи уязвимыми для киберпреступников из-за нашего халатного отношения к безопасностном хранение паролей. Иногда злоумышленники получают доступ к учетным записям, используя личную информацию, которой человек поделился в сети, или сопоставление паролей от предыдущих утечек данных, но все чаще хакеры также используют программное обеспечение повышенной сложности - программы, которые сопоставляют тысячи слов из словаря, пока что-то не подойдет. «Мы можем перебрать большинство восьмизначных паролей за 10 минут», - говорит Бешелт.

По оценкам Всемирного экономического форума, киберпреступность обходится мировой экономике в 2,9 миллиона долларов каждую минуту. Около 80% этих атак связаны с паролями.

Мэтт Холл, 44-летний электрик из Уолсолла, потерял свои сбережения в размере 52 000 фунтов стерлингов из-за взлома пароля. Он был в процессе покупки дома в октябре 2019 года, когда было перехвачено электронное письмо от его адвоката. Мошенники заменили банковские реквизиты его адвоката своими собственными. «Это был худший день в моей жизни, - говорит он мне, - не считая потери членов семьи». Barclays еще не вернул свои деньги. Холл не уверен, была ли взломана его электронная почта или его адвокат - он настаивает, что его пароль был в безопасности. Тем не менее, он изменил все свои пароли после того, как это произошло. Я спрашиваю, какие они сейчас? "Сильный!" он шутит.




Настойчивое требование современного общества о защите паролем может лишить прав пожилых людей, которые считают, что количество паролей, которые они должны запомнить, вызывает недоумение. «Она не слышит вопросов о телефонном банке, потому что плохо слышит, - говорит Анашуа Дэвис о своей матери , которой 84 года, - а затем забывает свой пароль и пытается ввести неверный код». Дэвис часто приходится помогать своим пожилым родителям вернуться к своим счетам.

В прошлом году Дэвис пришлось отвезти свою маму в банк, потому что она заблокировала доступ к телефонному банку. Она не винит банк за строгие протоколы безопасности. «Люди пытаются украсть у других людей», - говорит Дэвис. Но ей хотелось бы, чтобы это было проще. «Это печально для таких людей, как мои родители, у которых нет технических навыков, чтобы не отставать».

У всего этого хаоса и неразберихи есть решение: менеджер паролей. «Это приложения или небольшие программы, - говорит Бешелт, - которые хранят все ваши имена пользователей и пароли в безопасных хранилищах». Менеджер паролей, такой как LastPass (у Google также есть версия), случайным образом генерирует непонятные пароли для всех ваших учетных записей и хранит их для вас. «Все, что нужно сделать пользователям, - это запомнить ваш главный пароль, - говорит Бешелт, - а LastPass запомнит остальное». Это все равно, что иметь в доме книгу со всеми вашими паролями - только в цифровом формате и с высокой степенью защиты.
Реклама


Конечно, ваш мастер-пароль должен быть очень надежным: LastPass рекомендует минимум 12 символов, но чем длиннее, тем лучше. Лучше всего подойдет длинная кодовая фраза, состоящая из случайных слов, цифр и символов, которая произносится (то есть вы, вероятно, ее запомните), но не использует личную информацию. LastPass не хранит пароли своих пользователей централизованно, а это означает, что даже если бы хакеры смогли проникнуть в их внутренние системы, они не смогли бы взломать учетные записи. «Это дает пользователям наивысшую степень безопасности, которую только можно получить, - говорит Бешелт.

Прежде чем поговорить с Бешелтом, я смотрел на людей, использующих менеджеры паролей, с каким-то ужасающим уважением. У кого хватит дальновидности вынести утомительную установку? Но после разговора с Бешелтом я стал новообращенным. Я провел дождливые выходные после обеда, настраивая LastPass.

Но не лучше ли никогда больше не вспоминать другой пароль? Этот день почти близок. «Мы стоим на пороге будущего без паролей», - говорит Джон. «Я бы сказал, что для обычных потребителей пароли исчезнут в течение следующих двух-пяти лет».

Решение - биометрия. Израильский стартап BioCatch разработал программное обеспечение, которое может анализировать уникальный способ перетаскивания мышью человека и использовать его для поимки киберпреступников, выдающих себя за пользователей. Другие фирмы разрабатывают технологии на основе уникальных контуров ушей человека. Также можно использовать датчики акселерометра, которые обнаруживают движение в смартфонах, для идентификации пользователей по тому, как они держат телефон. «У нас будет совокупность биометрических данных, - говорит Крэнор, - не только вашего отпечатка пальца, но и вашего голоса, того, как вы держите телефон, и вашей походки».

Я спрашиваю директора Google по безопасности и идентификации Марка Ришера, разрабатывает ли Google высокотехнологичные альтернативы отпечаткам пальцев и идентификации лица. Он говорит, что нет. «Мы хотим быть справедливыми, потому что у нас есть пользователи в каждой стране. Дактилоскопические датчики сейчас дешевы и надежны. Такие технологии, как отпечатки ушей и детекторы дыхания, являются более эзотерическими - они все еще находятся на стадии научного проекта. Поскольку технология становится все более популярной, мы надеемся инвестировать в нее ».




Ключом к разумной интеграции биометрических данных в нашу жизнь является обеспечение того, чтобы данные никогда не покидали устройство. «Я люблю биометрию, если она местная, - говорит Бешелт. «Если они на вашем собственном телефоне или ноутбуке, и информация не передается где-либо еще, это хорошая биометрия ... Гигантские централизованные базы данных в Индии или Китае - это не хорошо. Затем вы создаете чрезвычайно конфиденциальные базы данных, которые невероятно ценны для киберпреступников и репрессивных режимов ». Вы можете изменить свой пароль, но не можете изменить свое лицо.

Тирания паролей подходит к концу. Вскоре мы сможем беспрепятственно двигаться по жизни, не обремененные паролями, как олигарх в мустанге с шофером, открывающим двери. До этого дня мы трудимся, нахмурив брови, печатая пальцами в надежде, перед бесконечным миганием экрана компьютера с надписью «доступ запрещен».

https://www.theguardian.com/

Комментариев нет: