Ключевая фраза или пароль — что лучше?

Что лучше: пароль или ключевая фраза? Этот вопрос является предметов дискуссий в кругах специалистов по кибербезопасности в течение многих лет. Специалисты почтового сервиса ProtonMail дают свои рекомендации.

Несколько лет назад известный программист и карикатурист Рэндел Манро, также известный как XKCD, опубликовал комикс, в котором сравнивались пароли и ключевые фразы. На иллюстрации демонстрируется, что пароли слабее ключевых фраз, и при этом их труднее запомнить — из-за этого люди склонны использовать простые пароли, записывать их или использовать повторно. Всё это плохо влияет на безопасность.

За 20 лет мы успешно научили всех использовать пароли, которые трудно запомнить людям, но легко угадать компьютерам.

Многие люди думают, что пароль должен защищать конкретного пользователя, которого кто-то может попытаться взломать. Это не совсем так. Когда вы создаете онлайн-аккаунт, компания хранит ваш пароль в зашифрованном виде на своих серверах. Если хакеры получат эту базу паролей, тогда им нужно будет только запустить программы для подбора пароля по списку пользователей и убедиться, что они совпадают. Существуют компьютеры, которые могут подбирать миллиарды паролей в секунду, хотя компании обычно используют методы шифрования, которые замедляют этот процесс угадывания.

Что такое ключевая фраза?

Все знают, что такое пароль, но меньше людей знакомы с понятием ключевой фразы. Ключевая фраза — это своего рода пароль, который использует последовательность слов, с пробелами или без (это не имеет значения).

«Correcthorsebatterystaple» — это парольная фраза в комиксе. Хотя ключевые фразы часто содержат больше символов, чем пароли, ключевые фразы содержат меньше «компонентов» (четыре слова вместо, скажем, 12 случайных символов). Это существенно упрощает запоминание ключевой фразы.

Ключевая фраза более безопасна... но не всегда

После выхода комикса XKCD в интернете прошла волна дискуссий. Большая часть дебатов была посвящена количеству энтропии в каждом из примеров. Энтропия — это понятие в теории информации, которое в целом оперирует количеством «случайности», которая содержится в пароле. Как правило, чем больше случайности в пароле, тем сложнее его взломать. Вот почему длинные пароли предпочтительнее — они содержат больше случайности.

XKCD предполагает, что злоумышленник знает, что пользователь сгенерировал ключевую фразу, выбрав четыре их самых распространенных слова случайным образом. Несмотря на это, ключевая фраза содержит больше энтропии, чем пароль. Есть только 94 возможных варианта для каждого символа пароля, что означает меньшую неопределенность. Таким образом, ключевая фраза может быть более безопасной.

Но не всегда. Удлиняя пароль или добавляя слова к ключевой фразе, вы можете увеличить энтропию. Например, 20-значный пароль, состоящий из случайных строчных букв, намного надежнее, чем ключевая фраза из четырёх обычных слов. Такой пароль не может быть атакован перебором по словарю, поэтому он может быть взломан только через полный перебор, а это потребует миллиарды лет для современных компьютеров.

Удобство пользователя

Но аргумент XKCD не только о математике. Речь идет о том, как создать максимально безопасные системы в свете человеческих недостатков.

В течение десятилетий эксперты по информационной безопасности советовали часто менять пароли с использованием цифр, строчных и прописных букв, а также специальных символов. Но мы, люди, плохо умеем создавать «случайность», и ещё хуже её запоминаем. Поэтому многие с большой вероятностью будут использовать простые слова, имена, даты рождения или поговорки, заменяя буквы похожими на них специальными символами. Хакеры могут взломать пароли такого типа за считанные секунды.

В стремлении создать безопасные системы такие советы сделали их менее безопасными. Пользователь AviD в Stack Exchange так прокомментировал комикс XKCD: «Безопасность за счет удобства пренебрегает безопасностью». Другими словами, если ваша «безопасная система» неудобна для использования, люди просто не будут её использовать, отрицая преимущества безопасности.

Рекомендации

И пароли, и ключевые фразы могут быть безопасными. Если вы используете менеджер паролей, различия в безопасности и удобстве использования между паролями и парольными фразами не будут значительными. Однако, если вам нужен пароль, который вы должны помнить наизусть, для удобства запоминания рекомендуется использовать ключевые фразы. При использовании ключевых фраз помните следующее:

• Четырёх слов должно быть достаточно. Пять слов лучше.
• Не выбирайте самые распространенные слова или поговорки. Слова должны быть как можно более случайными.
• Используйте уникальную ключевую фразу для каждой учетной записи — если одна будет раскрыта, другие останутся в безопасности.