На первый взгляд, PIN-код и пароль очень похожи, но это не так. Пароль обязательно должен быть сложным, только тогда он защитит вас от злоумышленников. PIN-коду не обязательно быть сложным. Почему так, давайте разберемся.
Как подбирают пароли
Стойкость пароля — это способность противостоять угадыванию с помощью специальных программ. Эти программы систематически перебирают все возможные комбинации символов до тех пор, пока не будет найдена правильная.
Такой перебор может занять очень много времени, поэтому злоумышленники сначала запускают подбор по парольным базам. Однако такой метод сработает только в том случае, когда кто-то использовал обычное слово или часто используемые сочетания в качестве пароля. Поэтому задача «сильного» пароля — настолько усложнить взломщику жизнь, чтобы он потерял интерес к цели и переключился на другую, более доступную мишень.
Стойкость пароля определяется его длиной, непредсказуемостью и уникальностью.
Эксперты из Национального института стандартов и технологий США (NIST) в документе, рассматривающем разнообразные аспекты безопасности цифровых профилей, утверждают, что пароли повышенной сложности (стойкие к перебору) должны состоять минимум из 8 символов, цифр, букв в разных регистрах и служебных символов, чтобы иметь хорошую стойкость.
NIST о длине паролей: «…SHALL be at least 8 characters in length if chosen by the subscriber.» Раздел 5.1.1.1.
Verifiers SHOULD offer guidance to the subscriber, such as a password-strength meter, to assist the user in choosing a strong memorized secret. Раздел 5.1.1.2.
Почему PIN-код лучше пароля
Преимущества PIN-кода в сравнении с паролем связаны не только с его длиной или сложностью, но и с принципом работы.
PIN-код, в отличие от пароля, не обязан быть длинным и случайным. Он привязан к смарт-карте или токену, а это значит, чтобы воспользоваться PIN-кодом, злоумышленнику придется физически получить устройство в распоряжение.
Недостатки в длине или случайности PIN-кода компенсируются требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода Рутокен блокируется до момента его разблокировки Администратором. Таким образом операционная система Рутокен защищает от множества известных и потенциальных атак, в том числе от атак методом подбора PIN-кода.
Мы рекомендуем для защиты информации низкой и средней степени секретности использовать PIN-коды, состоящие не менее чем из 6 цифр.
Математически высчитать вероятность угадывания довольно просто.
Вероятность угадывания PIN-кода: P= i / mn, где:
- i — число попыток угадывания,
- m — число возможных символов на позиции,
- n — число позиций в PIN-коде.
К примеру, если PIN-код состоит из 6 цифр, то n = 6, m = 10 (каждая цифра имеет значение от 0 до 9). Тогда число возможных комбинаций mn = 106 = 1 000 000. Если количество неудачных попыток ввода PIN-кода, i = 10, то вероятность его угадывания составляет 0,0001%.
Если исключить самые очевидные комбинации (11111, 123456, 123123, дату рождения, телефонный номер), то вероятность угадать PIN-код, состоящий из 6 цифр, со стандартными ограничениями в 10 попыток, составляет 0,0001%. Такая вероятность угадывания считается достаточно хорошей для обеспечения личной безопасности и широко применяется в финансовой сфере. Например, стандартная длина PIN-кода банковской карты составляет 4 символа при трех попытках подбора.
Подведем итог:
- Чтобы пароль был безопасным, он должен быть сложным. Если он сложный, то его трудно запомнить. Поэтому программы-запоминалки паролей еще никогда не были так популярны. Но нельзя забывать, что они защищаются точно таким же паролем.
- PIN-код может быть простым для запоминания, в сочетании с использованием токена или смарт-карты. Их конечно надо будет держать при себе. Карту легко хранить с обычным пропуском или использовать вместо него. Токен можно носить как брелок. А если оснастить смарт-карту Рутокен RFID-меткой, то ее можно использовать как электронный ключ от двери.
