Проверяй, но доверяй!

Придумать хороший пароль - половина успеха, его надо суметь сохранить. Долгое время записывать кодовые слова на бумажку считалось дурным тоном, но теперь мнение части экспертов качнулось в обратную сторону.

Чем выше забираемся мы по лестнице технической эволюции, тем хитрее и изощрённей становятся средства защиты информационных систем. Порой складывается впечатление, что биометрия во всех многочисленных её проявлениях вот-вот захватит принадлежащий персональным компьютерам гигантский плацдарм, и для авторизации везде и во всём достаточно будет приложить пальчик, посмотреть в глазок или, на худой конец, сказать что-нибудь нежное в микрофон. Но годы идут, меняются операционные системы и архитектуры, а компьютеры - бывшие когда-то тупыми терминалами, выросшие в персоналки и нынче стремительно мобилизующиеся - по-прежнему верят своих хозяевам на слово, требуя от них пароль. Пароль. Проклятие цивилизации!

Нет ничего проще и сложнее этого уходящего корнями в древность порождения человеческой мысли. Пароль - всего лишь способ подтверждения личности, доказательства своих прав на движимое и недвижимое имущество, и только. Но каким же неимоверным количеством тонкостей обросла, с какими сложностями связана практическая реализация этого примитивного механизма! Длина и смысловое наполнение секретного слова или фразы, способы хранения и скорость проверки, регламент смены, методы передачи, алгоритмы генерации - чем более важную дверь отпирает пароль, тем тяжелее груз, возлагаемый на плечи администраторов и пользователей. Правило это давно известно теоретикам. В общем случае качества парольной защиты обратно пропорциональны степени удобства пользования ею: так хорошая защита обязана выдержать поистине театральную паузу перед предоставлением повторной попытки, и точно так же трудно запомнить длинный и бессмысленный пароль. Альтернативного варианта попроще, но столь же эффективного, к сожалению, нет - иначе, за без малого полвека эволюции вычислительной техники, его кто-нибудь да обнаружил бы. Увы, воз и поныне там, где его оставили основоположники ИТ и ВТ.

Впрочем, время от времени забавные происшествия случаются и на этом, ставшем запасным, пути - и как раз на днях, на проходящей в Австралии конференции по вопросам компьютерной безопасности, случился очередной интересный инцидент. Правила составления хороших паролей известным всем: кодовое слово должно быть достаточно длинным (желательно больше шести символов), избавленным от смысловой нагрузки (приветствуется алфавитно-цифровая абракадабра), уникальным (не вздумайте использовать один и тот же пароль дважды!) и, наконец, регулярно меняться. Да, и не забудьте про классическую ошибку наивных юзеров, записывающих свои пароли на бумажках, которые крепятся тут же, на рабочем месте! Именно на простачках, не соблюдавших вышеперечисленные требования, сделали себе карьеру и имя несколько прославленных хакеров, включая Морриса младшего и Кевина Митника. К чему вспоминать здесь то, что и так знает каждый? Дело в том, что один из этих само собой разумеющихся пунктов, на названной выше конференции, перед собранием экспертов осмелился опровергнуть некто Джеспер Йохансон. Работающий на Microsoft Corp. и занимающий там один из высоких постов в подразделении, ответственном за политику корпоративной безопасности, Йохансон утверждает: запрещать компьютерным пользователям записывать их пароли - величайшая ошибка, которую вот уже двадцать лет практикуют большинство специалистов по защите информации.

С Йохансоном, утверждение которого на первый взгляд кажется противоречащим здравому смыслу, трудно не согласиться после того, как выслушаешь его аргументацию. Поставьте себя на место рядового компьютерного пользователя, которому необходимо помнить хотя бы и десяток секретных слов - удовлетворяющих поставленным выше требованиям. Будучи не в состоянии запомнить все их наизусть, под давлением запрета на запись, бедняга скорее всего решит поступиться сложностью паролей. В лучшем случае его "ключи" будут осмысленными, в худшем весь десяток аккаунтов будет открываться одним и тем же "ключом". Как считает Йохансон, в интересах администрации разрешить записывать пароли, обучив пользователей минимальным нормам приличия (не лепить бумажку с паролем на дисплей, к примеру) и избавив от страха - это заставит их выдумывать по-настоящему сложные и стойкие кодовые слова.

В английском языке есть замечательный - и по произношению, и по смыслу - термин: paranoid freak. Перевести его на русский буквально, не потеряв всей прелести оригинала, пожалуй, невозможно, весьма приблизительный же литературный перевод будет звучать как инфопараноик. Инфопараноик - это человек, задумывающийся о возможной судьбе каждого бита информации, ушедшего от него во внешнюю среду. Просьба указать паспортные данные или телефон при покупке какой-то ерунды, ввод пароля для доступа к личному сервису при работе с публичного терминала, даже сосед по очереди в кассу для оплаты коммунальных платежей, заглядывающий через плечо - всё это заставляет чувство опасности инфопараноика сработать и, возможно, принять меры для предотвращения использования личной информации против него. Paranoid freak - термин ни в коей мере не оскорбительный и, к примеру, автор данной колонки с гордостью причисляет себя к этому немногочисленному племени. Но вот к чему все эти рассуждения: инфопараноиками не становятся, ими рождаются. Спору нет, идеально было бы превратить каждого офисного работника в параноидального фрика, который меняет сверхстойкий пароль при первом подозрении. На деле, однако, большинство людей своей ответственности за строчку символов не осознают. И давайте не будем превращать их жизнь в ад. В этом смысле предложение Джеспера Йохансона - первая ласточка и, безусловно, шаг в правильном направлении.