Как избавиться от паролей

(Ноябрь 2011)

Красивая идея «активной аутентификации» сулит избавление компьютерных пользователей от обременительной возни со множеством разных и трудно запоминаемых паролей.

В области компьютерной безопасности случился на днях забавный казус.

Корпорация Google запустила большую рекламную кампанию вокруг их нового пособия «Хорошо бы это знать» –  посвященного проблемам онлайновой безопасности и приватности (Good To Know, http://www.google.com/goodtoknow/).

В частности, вполне конкретные советы Гугла относительно правильного создания сильных паролей появились на рекламных щитах в лондонской подземке и в виде полностраничной рекламы в респектабельном журнале The Economist. На этих афишах пример «очень сильного пароля» выглядит следующим образом – «2bon2btitq».  Как поясняет сопутствующая картинка, это буквосочетание построено на основе первых букв в словах знаменитой цитаты из шекспировского «Гамлета»: «Быть иль не быть, вот в чем вопрос» (To be or not to be, that is the question).

Далее случилось так, что на эту рекламу обратил внимание сотрудник Кембриджской лаборатории компьютерной безопаности Джозеф Бонно (Joseph Bonneau). И решил проверить данный пароль практически – на предмет «силы и стойкости».

Сделано это было совсем немудреным, можно даже сказать очень простым способом. В 2009 году некие деятели похитили и слили в интернет гигантский массив информации о паролях, применяемых пользователями сервисов Myspace и Facebook –  так называемый «массив данных RockYou» (http://techcrunch.com/2009/12/14/rockyou-hack-security-myspace-facebook-passwords/).

После сопоставления «гугловского» пароля с данными этой базы тут же выяснилось, что из общего числа 32 603 387 пользователей комбинацию  2bon2btitq  выбрали себе в качестве пароля 4 человека. А еще 5 человек сделали паролем более короткий вариант той же аббревиатуры – вида 2bon2b.

Трактовать этот результат можно двояким образом. С одной стороны, есть основания считать, что  вероятность случайного подбора этого пароля в онлайне близка к шансам 1 на миллион. И выглядит это вроде бы впечатляюще.

Но с другой стороны, рекомендованный Гуглом пароль уверенно входит в сравнительно небольшую группу из 500 000 общих паролей, которые применяет половина всех пользователей популярных сервисов. Иначе говоря, он будет вскрыт практически мгновенно в том случае, если происходит утечка паролей в хешированной форме (а это сегодня происходит сплошь и рядом).

Таким образом, рассуждая эмпирически, эксперт по безопасности делает следующий вывод.

Предлагаемый в рекламе Гугла пример парольной комбинации – это отнюдь не сильный пароль. При определенной методике подсчета шансов на вскрытие, принятой среди специалистов, можно даже сказать более определенно –  он практически идеально соответствует очень среднему по силе паролю.

Если же людям нужен простой совет о том, как придумать действительно сильный пароль, то лучший рецепт – по мнению Бонно –  это такая комбинация, которую больше никто и никогда не использует.
Как именно конструируются подобные пароли – вопрос дискуссионный. Сам Бонно для генерации сильного,  легкого в запоминании и почти гарантированно уникального пароля рекомендует применять  программные инструменты типа  Diceware (http://world.std.com/~reinhold/diceware.html).

Однако в целом нельзя не признать, что повсеместно применяемая ныне аутентификация пользователей на основе комбинации логин-пароль – это крайне несовершенная и давным-давно устаревшая мера безопасности, настоятельно требующая замены на что-то значительно более эффективное.

Как раз на этой неделе, а именно 18 ноября (2011), исследователи в области инфозащиты  будут обсуждать эту проблему на семинаре, устраиваемом DARPA, то есть Агентством передовых исследовательских проектов министерства обороны США. Если чуть конкретнее, то будет в деталях обсуждаться новая программа Агентства, которая, как надеются ее организаторы, позволит разработать технологию для радикального видоизменения процессов по авторизации доступа в системах компьютерной безопасности.

Данная программа получила название «Активная аутентификация» (Active Authentication) и нацелена на поиски такой технологии, которая позволит уйти намного дальше от того, что предлагает применяемые ныне защита на основе длинных и трудно запоминаемых паролей.

Новая технология, как мыслится, будет определять личность человека через «использование программных приложений, которые способны идентифицировать пользователя по тем видам активности, что  характерны для обычной деятельности данного конкретного человека» (цитируя анаонс DARPA).

Как поясняет один из руководителей новой программы, Ричард Гвидорицци (Richard Guidorizzi), согласно концепции Активная Аутентификация, «вы сами становитесь ключом для вашей компьютерной системы».

То есть замысел в том, чтобы сделать машину осведомленной о своем операторе, чтобы процесс аутентификации пользователя происходил как бы невидимо, на фоне основной работы системы.

То, как именно будет выглядеть подобного рода система, и является ныне предметом активных исследовательских разработок. Например, такие системы могут выискивать некие очень редкие, уникальные именно для данного пользователя слова и сочетания символов, которые печатаются им на клавиатуре.

Либо анализировать характерную длину предложений и специфическое использование знаков пунктуации. Или же регистрировать характерные для конкретного человека микросекундные промежутки времени между нажатиями определенных клавиш. Помимо работы с клавиатурой, аналогичные изыскания проводятся и на предмет выявления особенностей в использовании мышки, тачпада и прочих манипуляторов.

Вся эта область исследований достаточно тесно соприкасается с уже известными методами биометрической идентификации людей – вроде опознания пользователя по отпечаткам пальцев, по радужной оболочке глаза, по лицу и так далее. Однако подобного рода технологии по умолчанию подразумевают применение специальных датчиков – а это сразу же делает задачу более усложненной.

Поэтому конкретно данная программа АА в основном сфокусирована на таких решениях, в основе которых лежат чисто программные методы аутентификации. Без каких-либо дополнительных аппаратных устройств помимо стандартного оснащения компьютера.

В каком-то смысле можно говорить, что участники программы намерены полностью преобразовать нынешнюю систему опознания компьютерных пользователей, поставив конструкцию «с головы на ноги».

То есть вместо нынешних систем аутентификации, которые заставляют людей адаптироваться к особенностям компьютеров и использовать тяжеловесные, невозможные для запоминания пароли типа h^TfCvB6tFcVbN или Y&u8I(o0P-R%t6, задумано приучить, наконец, компьютеры к адаптации под тех людей, которые их создали.

Для наглядной иллюстрации этой идеи Гвидорицци использует такую метафору.

«Мой ключ от квартиры позволит вам войти в мой дом. Однако собака, живущая у меня в гостиной, отлично знает, что вы это не я. Ни дополнительное количество предъявленных ключей от дома и никакие слова о том, что будто вы это я, не убедят мою собаку в том, что вы являетесь тем, за кого хотите себя выдать. Мой пес знает, что вы не выглядите как я, не пахнете, как я, и не делает того, что делаю я. Так вот, чего мы хотим от программы АА, так это отыскать такие вещи, которые являются сугубо уникальными именно для вас».

Есть тут, правда, одна весьма серьезная проблема. Никто толком не знает, как именно собака хранит известную ей информацию для опознания своего хозяина. И, естественно, не может ее похитить. С компьютерами же, очевидно, все значительно иначе.

Организаторы программы Активная Аутентификация пытаются нащупать пути к тому, чтобы, с одной стороны, сделать самого человека ключом к доступу в его систему, но при этом, с другой стороны, и не сводить технологию к слежке за человеком и различными аспектами его жизни. Предполагается, что исследователи уделят должное внимание тому, «чтобы гарантировать соблюдение законов о приватности граждан и не допускать, чтобы информация о личности пользователя становилась предметом злоупотреблений» другими сторонами.

Как заверяют организаторы, они не планируют регистрировать и помещать аспекты личности пользователей в базы данных. Единственное, для чего мыслится использование этой информации –  только в качестве ключа для доступа пользователя в компьютерную систему.

Как именно все эти плохо стыкующиеся вещи можно эффективно реализовать, и станет одним из предметов обсуждения на семинаре по Активной Аутентификации, который проходит 18 ноября в г. Арлингтон, штат Вирджиния.

В каком именно виде идеи американских военных об активной аутентификации найдут воплощение на практике, покажет время, однако можно заметить, что нечто очень похожее – пусть и под другими названиями –  уже довольно активно начали внедрять в своих системах известные корпорации вроде Google и Facebook.

Непосредственными впечатлениями от общения с подобной умной системой опознания поделился один из американских участников сетевого форума Slashdot. Будучи по образу жизни весьма мобильным человеком, который загружается на свою страничку в Фэйсбуке со множества самых разных устройств и из разных мест в городе и поездках, он никогда не имел проблем с аутентификацией по стандартной связке логин-пароль.

Но вот его подружка, по жизни намного менее склонная к частой смене мест, отправилась недавно в Австралию. А затем, при перелете, попыталась зайти на собственную Фэйсбук-страницу из интернет-киоска в Дубаи.  Facebook же в ответ отказался пустить ее просто так – по логину-паролю – и предложил сыграть в ненавязчивую игру «угадайку».

Девушке предъявили несколько фотографий ее друзей и попросили поставить в соответствие их имена и лица… То есть по сути дела, речь идет об одном из уже реализованных – пусть и в зачаточной форме – вариантов «активной аутентификации».

Когда-нибудь, наверное, куда более продвинутые и умные системы опознания подобного рода появятся во всех компьютерных устройствах. Ну а пока – коль скоро всем нам еще довольно долго предстоит пользоваться традиционными технологиями контроля доступа – в качестве заключения имеет смысл напомнить полезный совет от известного специалиста.

О том, как грамотные люди обращаются со множеством разных паролей, требующихся человеку для нынешней жизни в интернете (то, что одним и тем же паролем пользоваться в разных местах нельзя, подразумевается по умолчанию).

Брюс Шнайер на данный счет советует примерно вот что.

1.    Все пароли хранить в одном месте – в виде зашифрованного криптопрограммой файла-контейнера (естественно, с несколькими резервными копиями в разных местах).
2.    Для этого контейнера сгенерировать реально случайный длинный пароль.
3.    Данный пароль записать на листок бумаги (картонную карточку).
4.    Хранить этот драгоценный отныне листок вместе с другими ценными для вас бумагами в вашем бумажнике.

Конечно, это не идеальное решение, однако для такой неуклюжей вещи как пароли идеальных рецептов просто не существует.

Самое интересное, что еще в начале 1960-х годов – то есть на заре массового появления компьютеров в жизни человека – уже было вполне четко сформулировано: связка логин-пароль – это плохая и откровенно слабая идея контроля доступа. Однако с той поры прошло полвека – а мы по-прежнему топчемся на том же самом месте и по-прежнему слышим настойчивые призывы делать пароли посильнее…

Мало что сможет более ярко продемонстрировать один из самых парадоксальных аспектов нашей жизни: в независимости от того, насколько плоха идея, она залипает навсегда, если вы хотя бы лишь раз реализуете ее на практике как временную меру.

Пароли как продукт для обеспечения безопасности уже давным-давно исчерпали свой «срок годности». По сути дела, они были устаревшим средством защиты еще до того, как их начали применять в компьютерных системах. Почему их никак не удается «закопать» и двигаться дальше – это действительно вопрос, не имеющий ответа.

# # #