Почему хакеры взламывают даже длинные пароли?

Нет смысла говорить о необходимости использовать сложные пароли к своим учётным записям. Банковские аккаунты, электронная почта, социальные сети, облачное хранилище – всё это крадётся и продаётся в даркнете киберпреступниками. Единственной надёжной защитой от взлома был и остаётся надёжный пароль.

Многие современные инструкции корпоративной безопасности и информационные статьи рекомендуют создавать пароли длиной более 10 символов, использовать буквы различного регистра, цифры и спецсимволы. И тем не менее пароли длиной в 10, в 12 и даже 15 символов хакеры умудряются взломать!

С длиной пароля сложность его подбора растёт нелинейно, и даже один дополнительный символ весьма прибавляет к сложности его подбора. Простой перебор всех возможных значений пароля длиной в двенадцать символов является крайне ресурсоёмкой задачей. Поскольку пароль не хранится в открытом виде, а, как правило, в виде хэша по одному из стандартных алгоритмов (MD5, SHA1, SHA256 и другие), то скорость проверки правильности очередного варианта несколько ниже простого сравнения двух паролей – ведь хэш надо сначало вычислить. В зависимости от используемого оборудования подбор 12 символьного пароля может занимать от пары недель до нескольких месяцев.

Такая перспектива для большинства мошенников, казалось бы, неинтересна. Брутфорс "в лоб" может быть эффективен, например, для взлома "холодного" криптовалютного кошелька, к которому получен полный доступ.

В то же время, во многих случаях нет необходимости что-либо брутить по всему алфавиту. Очень многие люди делают пароли лёгкими для запоминания. А легче всего запомнить какие-либо слова на родном или английском языке, приправив их цифрами и спецсимволами. Ведь намного легче запомнить пароль "P@$$w0rd4You", чем "HG3^qfwgwT$b".

Тёмное сообщество активно пользуется этим, составляя словари по определённым синтаксическим правилам – поэтому-то во многих руководствах и требованиях безопасности не рекомендуется использовать комбинации слов в паролях. Такие словари в даркнете можно найти совершенно бесплатно вместе с комплектом программного обеспечения для взлома.

Комбинирование слов даже с цифрами и спецсимволами значительно снижает зависимость сложности пароля от его длины и сокращает время подбора пароля на несколько порядков (то есть в десятки, сотни, тысячи раз).

Поэтому пароли к тому, что хакер может пытаться подобрать (то есть, в основном, к онлайн-сервисам), стоит делать по-настоящему сложными. А проблему с запоминанием легко решить, храня пароли в менеджере паролей, который установлен на компьютер. Хакер в таком случае должен добраться до компьютера жертвы, что сложно сделать удалённо, и не является распространённым типом атаки. Сам менеджер паролей также можно и нужно защищать паролем, но теперь достаточно запомнить только один-единственный сложный пароль – к самому менеджеру.