О вреде непроверенных предположений

О вреде непроверенных предположений
Думаю, все еще помнят новость о рекордной утечке паролей Adobe, которую у меня наконец-то нашлось время прокомментировать. На всякий случай, так как уже прошло какое-то время, напомню, в чем там всё дело.
В первом сообщении о краже паролей миллионов своих пользователей компания Adobe сказала, что гражданам нечего опасаться, потому что пароли зашифрованы. Пока сообщество не получило базу с паролями, фраза о «зашифрованных» паролях была непонятной. Можно было предположить, что Adobe имела в виду хеширование. Ведь алгоритмы хеширования тоже формально являются алгоритмами шифрования. В случае нормального хеширования с использованием соли можно было бы не опасаться, что злоумышленники расшифруют базу паролей.
В общем, выяснилось, каким именно способом шифровали пароли, а дальше на помощь взломщикам пришла статистика:
Например, значение EQ7fIpT7i/Q= (base64) встречается 1 911 938 раз.
При этом
В последние годы проводилось немало статистических исследований парольных баз. Поэтому известно, что самый популярный пароль в интернете — 123456.
Это всё очень занимательно, но мы это всё знали и раньше. Что нам дает именно случай с Adobe? Что даже если ваш пароль хорош, и даже если сервис его хорошо зашифровал, это не гарантирует вам безопасность. Почему? Потому что тем больше информации утечёт, тем больше к ней можно будет применить статистических предположений.
Мне это всё напоминает вывод, который герой Айзека Азимова сделал в первой книге трилогии Академии (Основания). Чтобы предсказывать будущее, не нужно учесть абсолютно все связи во вселенной - достаточно взять планету-мегаполис, на которой фактически оказались существа со всей Вселенной.
По той же схеме, кстати, действуют алгоритмы Фейсбука, "волшебным" образом узнающие, где сделана та или иная фотография. В общем, не зря "большие данные" признаны одним из важнейших трендов в ИТ в последние годы. Потому что их анализ дает не только ключи  к кошелькам через рекламу, но и помогает в менее законных способах отъема тех самых денег...
А. Дрозд пароли Adobe большие данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.