Регистрируя новый аккаунт в почтовой системе, социальной сети либо где-то ещё, необходимо ответственно отнестись к выбору пароля. Очень желательно придумать именно новый пароль, так как пароль от другого сайта может оказаться скомпрометированным (известным злоумышленникам).

Иногда в процессе регистрации предлагается автоматически сгенерированный пароль. Обычно это бессмысленная строка, содержащая много букв, цифр и других символов. Стоит ли так всё усложнять, если это не пароль для секретных служб, олигарха или популярной «звезды»?

Полный перебор (брутфорс)

Проблема «лёгких» паролей именно в том, что их могут очень быстро подобрать злоумышленники. Нет-нет, эти люди не станут вручную проверять все возможные варианты – всю работу автоматически произведут программы-боты.

Количество всевозможных паролей длиной m символов из алфавита мощностью q символов определяется по формуле n = qm. Например, всего существует 333 = 35937 комбинаций из трёх русских букв (русский алфавит содержит q = 33 буквы и m = 3). Предположим, что некоторая программа способна перебрать 1000 паролей за 1 секунду. Тогда для перебора 35937 комбинаций ей теоретически потребуется не более 35937 / 1000 = 35,937 секунд, то есть меньше одной минуты времени.

При увеличении длины пароля, а также мощности используемого алфавита (для чего подойдут не только буквы в разном регистре, но и цифры, а также различные «специальные» и пунктуационные знаки – ?, !, $, & и т.п.), количество возможных комбинаций для перебора быстро возрастает.

В таблице приведены примеры паролей и время для их гарантированного «взлома» при скорости подбора 1 млн. паролей/сек. Очевидно, что надёжным является лишь последний пароль со временем подбора 11 лет. До недавних пор 8-символьные пароли, содержащие буквы разных регистров, цифры и спецсимволы, считались вполне надёжными, но … всё изменило бурное развитие нейросетей!

Перебор по словарям

Пользователи, использующие в качестве паролей слова (например, «password»), популярные комбинации из букв или цифр (например, «qwerty», «12345678», «password123»), очень рисковали и ранее. По имеющимся утечкам реальных паролей злоумышленники составили «частотные словари», отсортировав в них пароли по частоте встречаемости. Благодаря этому, каждый перебор паролей стал начинаться с проверки самых популярных комбинаций. Не секрет, что в выборе пароля пользователи не отличаются оригинальностью, из-за чего «популярные» пароли стали взламываться практически мгновенно.

Далее на частотных словарях обучились нейросети. Они выявили разные «хитрости» и вообще закономерности, по которым многие пользователи составляют пароли (например, используя комбинации имени, даты рождения или номера телефона). Поэтому публикация в открытом доступе данных, содержащихся в паролях, несут риск для их владельцев. Также получили развитие методы социальной инженерии, когда недостающие данные передают таинственным незнакомцам (или замаскированным под них ботам) сами пользователи!

В 2023 году компания Home Security Heroes опубликовала исследование, демонстрирующее, насколько эффективен новейший генеративный искусственный интеллект (ИИ) по части взлома паролей. Компания протестировала новую версию взломщика паролей PassGAN, нейросеть которого была обучена на списке из 15 млн паролей из базы Rockyou.txt. В результате:

• 51% паролей были взломаны менее чем за минуту;
• 65% — менее чем за час;
• 71% — менее чем за сутки;
• 81% — менее чем за месяц.

Также исследование показало, что грань между мгновенно или быстро взламываемыми паролями и трудновзламываемыми проходит по 12-символьным паролям, в которых используются буквы обоих регистров. На взлом такого пароля ИИ понадобится 289 лет. В то время как на взлом аналогичного пароля, но только со строчными буквами уйдёт всего три недели. При этом любые пароли с пятью символами, даже с использованием цифр, букв в обоих регистрах и спецсимволов взламываются ИИ моментально.

В заключении можно дать совет периодически менять даже надёжные пароли. Это не только затруднит их подбор, но и сведёт на «нет» все усилия злоумышленников, если пароль уже был незаметно взломан.