Пароль
Пароль — это секретное условное слово, набор символов, фраза или последовательность действий, используемые для подтверждения подлинности субъекта (пользователя, устройства, программы) при попытке получить доступ к ресурсу, системе или информации. Пароль является одним из основных факторов аутентификации, основанным на знании (то, что знает пользователь). В более широком смысле термин также применяется к цифровым кодам доступа, ключам шифрования и любым секретным данным, служащим для идентификации и разграничения прав.
История
Древний мир и античность
Использование паролей (в форме устных условных знаков) восходит к глубокой древности. В военном деле пароли применялись для распознавания «своих» и «чужих» в ночное время или в условиях плохой видимости. В Древнем Риме легионеры использовали таблички с паролями (tesserae), которые выдавались на день и подлежали смене. В Библии описана история, где пароль «шибболет» (Суд. 12:5–6) использовался для идентификации врагов по произношению.
Средневековье и Новое время
В Средние века пароли применялись в рыцарских орденах, при осадах крепостей и в тайных обществах. С развитием дипломатии и разведки появились шифры и кодовые слова для верификации агентов. В XIX веке с появлением телеграфа и первых банковских систем пароли стали использоваться для защиты денежных переводов и доступа к сейфам.
XX век: эра компьютеров
С развитием вычислительной техники в 1960-х годах пароли стали основным средством защиты многопользовательских систем. Одним из первых известных случаев использования компьютерного пароля стала система CTSS (Compatible Time-Sharing System) в Массачусетском технологическом институте (MIT) в 1961 году. В 1970-х годах появились первые хеш-функции для безопасного хранения паролей (например, алгоритм DES-based crypt в Unix). С развитием интернета в 1990-х годах пароли стали повсеместным инструментом для доступа к электронной почте, сайтам и онлайн-сервисам.
Классификация паролей
По типу носителя
- Устные — произносятся голосом (например, в системах голосовой аутентификации или в военной практике).
- Письменные — записанные на бумаге, в блокноте или на других физических носителях.
- Цифровые — хранятся в памяти компьютера, в менеджерах паролей или в зашифрованном виде.
По форме
- Текстовые (алфавитно-цифровые) — состоят из букв, цифр и специальных символов. Наиболее распространённый тип.
- Графические — последовательность кликов по изображению, рисунок на сетке (например, в смартфонах Android).
- Биометрические — хотя формально не являются паролями, часто используются как их замена (отпечаток пальца, сканер лица, радужная оболочка глаза).
- Одноразовые (OTP) — действительны только для одной сессии или транзакции (например, коды из SMS или приложений-аутентификаторов).
- Фразы-пароли (passphrase) — длинные последовательности слов или предложений, обладающие высокой криптостойкостью.
По способу генерации
- Пользовательские — придумываются самим человеком.
- Системные (автоматические) — генерируются компьютером (часто с использованием криптостойких генераторов случайных чисел).
- Назначенные администратором — выдаются пользователю при регистрации.
Устройство и характеристики
Стойкость (энтропия)
Стойкость пароля измеряется в битах энтропии — количестве информации, необходимом для его угадывания. Чем выше энтропия, тем сложнее подобрать пароль методом полного перебора (brute force). Энтропия зависит от:
- Длины (количества символов).
- Размера алфавита (используемых символов: только строчные буквы, буквы+цифры, все символы ASCII).
- Отсутствия предсказуемых шаблонов (словарные слова, даты, имена).
Пример: пароль из 8 строчных букв имеет энтропию около 38 бит, а пароль из 12 символов с цифрами и спецсимволами — около 72 бит.
Хранение
В современных системах пароли никогда не хранятся в открытом виде. Вместо этого используется:
- Хеширование — одностороннее преобразование пароля в строку фиксированной длины (хеш). При аутентификации введённый пароль хешируется и сравнивается с хранимым хешем. Популярные алгоритмы: bcrypt, scrypt, Argon2, PBKDF2.
- Соль (salt) — случайная строка, добавляемая к паролю перед хешированием, для защиты от атак по радужным таблицам.
- Перец (pepper) — секретная константа, хранящаяся отдельно от базы данных паролей.
Политика паролей
Для повышения безопасности организации вводят политики паролей — набор правил, регулирующих их создание и использование. Типичные требования:
- Минимальная длина (обычно 8–12 символов).
- Обязательное использование символов разных типов (заглавные, строчные, цифры, спецсимволы).
- Запрет на использование личной информации (имён, дат рождения).
- Регулярная смена (например, каждые 90 дней — в настоящее время эта практика оспаривается экспертами).
- Запрет на повторное использование предыдущих паролей.
Применение
Компьютерная безопасность
Основная область применения — аутентификация пользователей в операционных системах (Windows, Linux, macOS), приложениях, базах данных и на веб-сайтах. Пароли защищают учётные записи электронной почты, социальных сетей, интернет-банкинга и корпоративных систем.
Криптография
Пароли используются как ключи для симметричного шифрования (например, в архиваторах ZIP/RAR, в программах шифрования дисков TrueCrypt/VeraCrypt) и для генерации ключей в асимметричных системах.
Военное дело и разведка
В армиях и спецслужбах пароли (позывные, кодовые слова) применяются для идентификации агентов, связи между подразделениями и доступа к секретным объектам.
Повседневная жизнь
Пароли используются в бытовых устройствах: смартфонах (PIN-коды, графические ключи), домофонах, банкоматах (ПИН-коды), сейфах, автомобильных иммобилайзерах и даже в некоторых Wi-Fi-роутерах.
Угрозы и критика
Основные атаки
- Подбор (brute force) — перебор всех возможных комбинаций символов. Защита: ограничение числа попыток, капча, использование стойких паролей.
- Словарная атака — перебор по списку наиболее распространённых паролей (например, «123456», «password», «qwerty»). Защита: запрет на использование словарных слов.
- Фишинг — создание поддельных страниц входа для кражи паролей. Защита: двухфакторная аутентификация, проверка URL.
- Кейлоггинг — перехват нажатий клавиш вредоносным ПО. Защита: антивирусы, виртуальные клавиатуры.
- Утечка баз данных — если база хешей паролей скомпрометирована, злоумышленники могут попытаться взломать слабые хеши (например, с помощью GPU-ускорения).
Критика и альтернативы
Современные эксперты по безопасности (включая Национальный институт стандартов и технологий США — NIST) критикуют традиционные пароли за:
- Человеческий фактор — пользователи склонны выбирать слабые пароли, записывать их на стикерах или использовать один и тот же пароль на разных сайтах.
- Неудобство — запоминание десятков сложных паролей затруднительно.
- Уязвимость к социальной инженерии — пароли можно выманить обманом.
В качестве альтернатив и дополнений предлагаются:
- Двухфакторная аутентификация (2FA) — добавление второго фактора (временный код из приложения, биометрия, аппаратный ключ).
- Менеджеры паролей — программы, генерирующие и хранящие сложные пароли в зашифрованном виде (например, LastPass, 1Password, Bitwarden).
- Беспарольная аутентификация — использование биометрии, аппаратных ключей (FIDO2/WebAuthn) или одноразовых ссылок по электронной почте.
Интересные факты
- Самым распространённым паролем в мире на протяжении многих лет остаётся комбинация «123456» (согласно ежегодным отчётам компании SplashData и NordPass).
- В 2013 году компания Yahoo! (организация признана иноагентом и запрещена в РФ) пострадала от крупнейшей утечки, затронувшей 3 миллиарда учётных записей, что привело к раскрытию миллионов паролей.
- В русском языке слово «пароль» происходит от французского parole («слово»), которое, в свою очередь, восходит к латинскому parabola («притча, речь»).
Источники
- Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. — 2nd ed. — John Wiley & Sons, 1996.
- Burnett M., Kleiman D. Perfect Passwords: Selection, Protection, Authentication. — Syngress, 2005.
- NIST Special Publication 800-63B: Digital Identity Guidelines — Authentication and Lifecycle Management. — National Institute of Standards and Technology, 2017.
- Yan J., Blackwell A., Anderson R., Grant A. Password Memorability and Security: Empirical Results // IEEE Security & Privacy. — 2004. — Vol. 2, No. 5.
- FIPS PUB 180-4: Secure Hash Standard (SHS). — National Institute of Standards and Technology, 2015.
- Статья «Пароль» в Большой советской энциклопедии (3-е издание). — М.: Советская энциклопедия, 1969–1978.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →