Допустим, вы решили создать пароли по старинке и подобрали макcимально сложные комбинации. Угадайте, что дальше? Можно записать их. Просто не пишите что-нибудь в духе «Сбербанк: тыне1окпосмо3насвет*». Это слишком очевидно. Лучше вместо названия банка (например) напишите что-нибудь зашифрованное, скажем «банка с печеньем» (потому что некоторые люди прячут сбережения в банках из-под печенья), и далее «тыне1ок». Обратите внимание, я не закончил парольную фразу. И вам не нужно. Вы знаете, что там дальше. Но кто-то другой не знает.
Любой, обнаруживший листок с незаконченными паролями, будет изрядно сбит с толку — по крайней мере, в первый миг. Любопытный случай: я был в гостях у друга — очень известного сотрудника корпорации Microsoft, — и за ужином мы с его женой и детьми говорили о надежности паролей. В какой-то момент жена друга встала и подошла к холодильнику. Она записала все свои пароли на листе бумаге и прикрепила его к дверце с помощью магнитика. Друг только покачал головой, а я расплылся в широкой улыбке. Записывать пароли, возможно, не лучшее решение, но ничуть не лучше забыть редко используемый сложный пароль.
Некоторые сайты — например, интернет-банк — блокируют пользователей после нескольких неудачных попыток ввести пароль: как правило, речь идет о трех попытках. Однако многие сайты этого не делают. Но даже если сайт приостанавливает пользователю доступ после трех неудачных попыток, это не спасает от злоумышленников с программами вроде John the Ripper или oclHashcat. (oclHashcat задействует несколько графических процессоров и потому гораздо мощнее, чем John the Ripper). Кроме того, хакеры не проверяют каждый возможный вариант пароля на реальном сайте.
Представим себе, что произошла утечка и среди скомпрометированных данных оказываются логины и пароли. Но в паролях, полученных таким образом, творится настоящий хаос.
Как с помощью всего этого кто-либо сможет попасть в вашу учетную запись?
Каждый раз при вводе пароля, будь то для разблокировки ноутбука или для входа в учетную запись в вебсервисе, к этому паролю применяется однонаправленный алгоритм, известный как хеш-функция. Это не то же, что шифрование. Шифрование представляет собой двусторонний процесс: то, что зашифровано, можно расшифровать, если у вас есть ключ. Хеш-функция — это однозначное преобразование исходных данных в последовательность символов. Теоретически однонаправленная функция необратима — по крайней мере, восстановить исходные данные не так просто.
В базе данных с паролями, хранящейся на обычном компьютере, смартфоне или в «облаке», информация представлена не как «УМэриБылБарашек123$», а в хешированном виде, т. е. как зашифрованная последовательность цифр и букв. Эта последовательность и представляет ваш пароль.