Открыть сервис

Пароль

Пароль — это секретное условное слово, набор символов, фраза или последовательность действий, используемые для подтверждения подлинности субъекта (пользователя, устройства, программы) при попытке получить доступ к ресурсу, системе или информации. Пароль является одним из основных факторов аутентификации, основанным на знании (то, что знает пользователь). В более широком смысле термин также применяется к цифровым кодам доступа, ключам шифрования и любым секретным данным, служащим для идентификации и разграничения прав.

История

Древний мир и античность

Использование паролей (в форме устных условных знаков) восходит к глубокой древности. В военном деле пароли применялись для распознавания «своих» и «чужих» в ночное время или в условиях плохой видимости. В Древнем Риме легионеры использовали таблички с паролями (tesserae), которые выдавались на день и подлежали смене. В Библии описана история, где пароль «шибболет» (Суд. 12:5–6) использовался для идентификации врагов по произношению.

Средневековье и Новое время

В Средние века пароли применялись в рыцарских орденах, при осадах крепостей и в тайных обществах. С развитием дипломатии и разведки появились шифры и кодовые слова для верификации агентов. В XIX веке с появлением телеграфа и первых банковских систем пароли стали использоваться для защиты денежных переводов и доступа к сейфам.

XX век: эра компьютеров

С развитием вычислительной техники в 1960-х годах пароли стали основным средством защиты многопользовательских систем. Одним из первых известных случаев использования компьютерного пароля стала система CTSS (Compatible Time-Sharing System) в Массачусетском технологическом институте (MIT) в 1961 году. В 1970-х годах появились первые хеш-функции для безопасного хранения паролей (например, алгоритм DES-based crypt в Unix). С развитием интернета в 1990-х годах пароли стали повсеместным инструментом для доступа к электронной почте, сайтам и онлайн-сервисам.

Классификация паролей

По типу носителя

  • Устные — произносятся голосом (например, в системах голосовой аутентификации или в военной практике).
  • Письменные — записанные на бумаге, в блокноте или на других физических носителях.
  • Цифровые — хранятся в памяти компьютера, в менеджерах паролей или в зашифрованном виде.

По форме

  • Текстовые (алфавитно-цифровые) — состоят из букв, цифр и специальных символов. Наиболее распространённый тип.
  • Графические — последовательность кликов по изображению, рисунок на сетке (например, в смартфонах Android).
  • Биометрические — хотя формально не являются паролями, часто используются как их замена (отпечаток пальца, сканер лица, радужная оболочка глаза).
  • Одноразовые (OTP) — действительны только для одной сессии или транзакции (например, коды из SMS или приложений-аутентификаторов).
  • Фразы-пароли (passphrase) — длинные последовательности слов или предложений, обладающие высокой криптостойкостью.

По способу генерации

  • Пользовательские — придумываются самим человеком.
  • Системные (автоматические) — генерируются компьютером (часто с использованием криптостойких генераторов случайных чисел).
  • Назначенные администратором — выдаются пользователю при регистрации.

Устройство и характеристики

Стойкость (энтропия)

Стойкость пароля измеряется в битах энтропии — количестве информации, необходимом для его угадывания. Чем выше энтропия, тем сложнее подобрать пароль методом полного перебора (brute force). Энтропия зависит от:

  • Длины (количества символов).
  • Размера алфавита (используемых символов: только строчные буквы, буквы+цифры, все символы ASCII).
  • Отсутствия предсказуемых шаблонов (словарные слова, даты, имена).

Пример: пароль из 8 строчных букв имеет энтропию около 38 бит, а пароль из 12 символов с цифрами и спецсимволами — около 72 бит.

Хранение

В современных системах пароли никогда не хранятся в открытом виде. Вместо этого используется:

  • Хеширование — одностороннее преобразование пароля в строку фиксированной длины (хеш). При аутентификации введённый пароль хешируется и сравнивается с хранимым хешем. Популярные алгоритмы: bcrypt, scrypt, Argon2, PBKDF2.
  • Соль (salt) — случайная строка, добавляемая к паролю перед хешированием, для защиты от атак по радужным таблицам.
  • Перец (pepper) — секретная константа, хранящаяся отдельно от базы данных паролей.

Политика паролей

Для повышения безопасности организации вводят политики паролей — набор правил, регулирующих их создание и использование. Типичные требования:

  • Минимальная длина (обычно 8–12 символов).
  • Обязательное использование символов разных типов (заглавные, строчные, цифры, спецсимволы).
  • Запрет на использование личной информации (имён, дат рождения).
  • Регулярная смена (например, каждые 90 дней — в настоящее время эта практика оспаривается экспертами).
  • Запрет на повторное использование предыдущих паролей.

Применение

Компьютерная безопасность

Основная область применения — аутентификация пользователей в операционных системах (Windows, Linux, macOS), приложениях, базах данных и на веб-сайтах. Пароли защищают учётные записи электронной почты, социальных сетей, интернет-банкинга и корпоративных систем.

Криптография

Пароли используются как ключи для симметричного шифрования (например, в архиваторах ZIP/RAR, в программах шифрования дисков TrueCrypt/VeraCrypt) и для генерации ключей в асимметричных системах.

Военное дело и разведка

В армиях и спецслужбах пароли (позывные, кодовые слова) применяются для идентификации агентов, связи между подразделениями и доступа к секретным объектам.

Повседневная жизнь

Пароли используются в бытовых устройствах: смартфонах (PIN-коды, графические ключи), домофонах, банкоматах (ПИН-коды), сейфах, автомобильных иммобилайзерах и даже в некоторых Wi-Fi-роутерах.

Угрозы и критика

Основные атаки

  • Подбор (brute force) — перебор всех возможных комбинаций символов. Защита: ограничение числа попыток, капча, использование стойких паролей.
  • Словарная атака — перебор по списку наиболее распространённых паролей (например, «123456», «password», «qwerty»). Защита: запрет на использование словарных слов.
  • Фишинг — создание поддельных страниц входа для кражи паролей. Защита: двухфакторная аутентификация, проверка URL.
  • Кейлоггинг — перехват нажатий клавиш вредоносным ПО. Защита: антивирусы, виртуальные клавиатуры.
  • Утечка баз данных — если база хешей паролей скомпрометирована, злоумышленники могут попытаться взломать слабые хеши (например, с помощью GPU-ускорения).

Критика и альтернативы

Современные эксперты по безопасности (включая Национальный институт стандартов и технологий СШАNIST) критикуют традиционные пароли за:

  • Человеческий фактор — пользователи склонны выбирать слабые пароли, записывать их на стикерах или использовать один и тот же пароль на разных сайтах.
  • Неудобство — запоминание десятков сложных паролей затруднительно.
  • Уязвимость к социальной инженерии — пароли можно выманить обманом.

В качестве альтернатив и дополнений предлагаются:

  • Двухфакторная аутентификация (2FA) — добавление второго фактора (временный код из приложения, биометрия, аппаратный ключ).
  • Менеджеры паролей — программы, генерирующие и хранящие сложные пароли в зашифрованном виде (например, LastPass, 1Password, Bitwarden).
  • Беспарольная аутентификация — использование биометрии, аппаратных ключей (FIDO2/WebAuthn) или одноразовых ссылок по электронной почте.

Интересные факты

  • Самым распространённым паролем в мире на протяжении многих лет остаётся комбинация «123456» (согласно ежегодным отчётам компании SplashData и NordPass).
  • В 2013 году компания Yahoo! (организация признана иноагентом и запрещена в РФ) пострадала от крупнейшей утечки, затронувшей 3 миллиарда учётных записей, что привело к раскрытию миллионов паролей.
  • В русском языке слово «пароль» происходит от французского parole («слово»), которое, в свою очередь, восходит к латинскому parabola («притча, речь»).

Источники

  1. Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. — 2nd ed. — John Wiley & Sons, 1996.
  2. Burnett M., Kleiman D. Perfect Passwords: Selection, Protection, Authentication. — Syngress, 2005.
  3. NIST Special Publication 800-63B: Digital Identity Guidelines — Authentication and Lifecycle Management. — National Institute of Standards and Technology, 2017.
  4. Yan J., Blackwell A., Anderson R., Grant A. Password Memorability and Security: Empirical Results // IEEE Security & Privacy. — 2004. — Vol. 2, No. 5.
  5. FIPS PUB 180-4: Secure Hash Standard (SHS). — National Institute of Standards and Technology, 2015.
  6. Статья «Пароль» в Большой советской энциклопедии (3-е издание). — М.: Советская энциклопедия, 1969–1978.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →