Иногда исследования в области компьютерной безопасности дают такие результаты, что хочется думать, будто это только неудачная первоапрельская шутка. Но на самом деле все слишком серьезно... Это, в частности, продемонстрировало блиц-исследование, проведенное в Лондоне во время проходившей там конференции Infosecurity Europe 2004.

Как впоследствии признался один из исследователей, решение провести блиц-опрос пришло спонтанно, в то время, когда специалисты по информационной безопасности с жаром обсуждали роль самих пользователей в защите их персональной информации. Быстренько разработав и распечатав на принтере стандартный опросный лист, инфосекьюрити вышли на улицу и дружно отправились ко входу на оживленную станцию Liverpool Street лондонского метро. В общей сложности за несколько часов удалось опросить немногим более тысячи человек. Но результаты оказались таковы, что участникам Infosecurity Europe потребовалось несколько дней на их осмысление. Как потом признался один из них, "мы все же были лучшего мнения о пользователях".

Первый вопрос, задававшийся всем респондентам, был откровенно шутливо-провокационным: "Готовы ли вы предоставить свои пароли для входа в компьютерные системы за шоколадный батончик?". Такую готовность выразил 71% офисных служащих. Более того, примерно 37% опрошенных сразу сказали свои пароли. В случае же, когда опрашиваемый отказывался с ходу назвать пароль, исследователи применяли простейшие приемы социальных технологий, пытаясь угадать, не совпадает ли пароль с именем домашнего животного или ребенка. В результате еще 34% "жертв опроса" моментально ломались и называли свой пароль.

Самыми распространенными категориями паролей были имена домашних животных (85%) или членов семьи (15%), далее шли названия футбольных команд (11%) и имена героев кинофильмов (9%). Наиболее употребляемым паролем, однако, стало слово "admin". Один из опрошенных признался исследователям: "Я работаю в финансовом call-центре, пароли у нас меняются каждый день, и чтобы не было проблем с запоминанием, их у нас пишут на доске маркером, чтобы все могли их видеть".

Впрочем, кое-какие основы знаний об элементарной безопасности все-таки проникли в сознание лондонцев. В ходе исследования выяснилось, что 53% пользователей никогда не сообщат свой пароль по телефону человеку, который скажет, что звонит из IT-отдела, а 45% - не дадут пароль даже коллегам, с которыми работают в одной комнате. В то же время четверо из десяти опрошенных знают пароли своих коллег, а 55% признались, что дали бы пароль своему начальнику, если бы тот попросил. Впрочем, обыкновенная человеческая лень и тут берет свое. Две трети служащих используют одни и те же пароли на работе и для доступа к персональным онлайновым банковским службам, и для доступа на защищенные сайты. Обычно люди используют около четырех различных слов в качестве пароля, хотя примерно 15% благополучно обходятся одним-единственным словом на все случаи жизни ("Сезам, откройся!") - и для домашних компьютеров, и для рабочих, и для почтовых служб и онлайновых сервисов.

Впрочем, во время проведения опроса исследователи неожиданно наткнулись на системного администратора одной из местных фирм. Выяснилось, что он использует в качестве паролей не менее сорока слов, которые хранит в программе, специально написанной им самим для безопасного хранения этих паролей.

Что же касается такого важного вопроса, как частота смены паролей, то 51% опрошенных меняют свои пароли примерно раз в месяц, 3% - еженедельно, 2% ("параноики") - каждый день. Однако 10% занимаются этим полезным делом раз в квартал, 13% - "очень редко" и 20% опрошенных вообще никогда их не меняют. Большинство из тех, кому регулярно приходится менять пароли, хранят их в таких надежных местах, как обрывок бумаги в ящике стола или документ Word на компьютере.

Если так пойдет и дальше, то хакерам скоро не придется изучать программирование, особенности строения операционных систем и сетевых протоколов. Достаточно будет просто освоить основы социальной инженерии. И запастись шоколадными батончиками.

Виктор ДЕМИДОВ