Пароли – отстой, поэтому многие из нас мечтают о мире, в котором их вообще нет. Но запоминание букв и цифр имеет некоторые преимущества перед новомодными технологиями. Согласно новым исследованиям, проведенным Технологическим институтом Нью-Джерси, Университетом Джорджа Вашингтона и Рурским университетом в Бохуме, популярная альтернатива паролю, от которой без ума компания LG, поддается взлому легче, чем считалось ранее.
Новая технология создания паролей, о которой идет речь, называется “стук-код”. Такие коды прослеживаются от древней Греции до русских тюрем начала века, в которых серии ударов или постукиваний приравнивались к различным буквам. Смартфоны LG предлагают очень упрощенную версию такой концепции: у нас есть сетка 2 x 2, в которой мы должны создать (простучать) свой собственный пароль, нажимая на поля в любой последовательности, которая нам нравится. Это немного напоминает графический ключ на Android, где нужно провести пальцем по точкам на экране, чтобы нарисовать пароль вместо того, чтобы вводить его.
LG зашла настолько далеко, что назвала этот способ “идеальной безопасностью”. Конечно, сложно поспорить с его привлекательностью и простотой использования. К тому же коды стука можно вводить на черном экране, а это значит, что злоумышленнику будет сложно расшифровать его так же быстро, как, например, PIN-код. Также (теоретически) нет никакой возможности предугадать стук-код, в то время как PIN-код или пароль могут содержать дату рождения или другие легко угадываемые данные, которые могут помочь посторонним людям взломать устройство. В целом, коды стука достаточно заманчивы, и по оценкам исследователей, только в России до 3 миллионов человек используют коды стука на своих телефонах.
Но, по мнению экспертов по безопасности, эта технология не работает в реальном мире. Попросив сотни людей создать стук-коды, они выяснили, что, несмотря на то, что пользователи могли создать любой код, который им кажется надежным, полученный результат не блистал разнообразием.
Самое ужасное: 18% всех кодов состояли всего лишь из одного поля! Другая проблема заключалась в том, что люди склонны начинать с верхнего левого поля и следовать оттуда последовательным маршрутом. В целом, 30 самых популярных кодов стука составили 42% всех паролей, созданных пользователями. Поэтому, даже если вы и не вошли в их число, ваш код стука все равно был бы довольно предсказуем.
Учитывая, что для разблокировки телефона дается 10 попыток, исследователи подсчитали, что стук-код может быть взломан в 28% случаев. Получается, что четырехзначный или шестизначный PIN-код намного безопаснее.
Но что, если стук-коды использовали бы сетку 23 вместо сетки 22? Эксперты проанализировали и этот подход и обнаружили, что коды 2 x 3 на самом деле еще более предсказуемы, чем коды 2 x 2. Как такое возможно? Возможно все. Исследователи объяснили, что “при более широком наборе вариантов, появляется ложное ощущение безопасности, когда пользователи полагают, что их индивидуальный выбор имеет меньшее значение перед лицом возросшего числа возможностей”. Другими словами, большее ощущение предполагаемой безопасности делает нас более ленивыми при разработке собственных кодов доступа.
Другая, по сути невероятная проблема, которая возникла с этими кодами – насколько хорошо они запоминаются. После установки кодов стука в сетке 2 х 2, 20% участников не смогли их вспомнить всего через 10 минут. Следовательно, коды стука не являются ни безопасными, ни удобными.
Традиционные пароли тоже далеко не идеальны. Их основная масса по-прежнему может быть довольно предсказуема. И даже если вы часто меняете пароль, киберпреступник все равно может получить к нему доступ через обычные бреши в данных. Таким образом, исследователи пришли к выводу, что четырех- или шестизначный PIN-код намного лучше, чем стук-коды и доказали, что многообещающие новоиспеченные технологии иногда просто не имеет практического смысла.
