Пароль ji32k7au4a83 не такой надёжный, как кажется. И вот почему
Решение этой загадки оказалось довольно простым.
В начале февраля я рассказал о самой большой утечке данных в истории:
Самая большая утечка в истории: всплыли пароли 2 млрд аккаунтов
Мы ещё долго будем расхлёбывать последствия этой безалаберности: мне, например, однажды пришло письмо с предложением заплатить несколько биткоинов за удаление моих паролей из этих баз. В качестве доказательства привели мой пароль, которым я не пользовался лет семь. Недурно.
Но эта утечка дала работу специалистам по безопасности: ведь такой огроменный массив данных может многое сказать о пользователях! И точно откроется много всего интересного. Например, инженер по аппаратному и программному обеспечению Роберт Оу обнаружил, что пароль ji32k7au4a83 использует очень большое количество людей. В базах утёкших связок «логин-пароль» Have I Been Pwned он встретился 141 раз. Конечно, он не войдёт в список самых убогих паролей, но, кажется, он не должен был появиться больше одного раза.
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— R. Ou (@rqou_) March 1, 2019
В общем, Роберт Оу решил спросить, почему этот пароль так популярен.
Проблема
В итоге в ситуации разобрался ресурс Gizmodo. Оказалось, что источник проблемы находится в Тайване. Чжуинь фухао — это фонетическая система, предназначенная для изучения китайского языка. Клавиатура с ней выглядит вот так:
Как они связаны? Дам подсказку: vjqgfhjkm — этот безумный набор латинских букв является набранным словосочетанием «мой пароль», написанным слитно и с неправильно выбранной раскладкой. Именно эту фразу и скрывает ji32k7au4a83.
Как это работает?
Набирая определённую последовательность символов, вы пишете иероглиф, состоящий из отдельных элементов. Это что-то вроде Unicode. В итоге, набрав ji32k7au4a83, вы получите всего четыре иероглифа: 我的 密碼. Они и переводятся как «мой пароль».
Поэтому, технически, подобные «переводы» не являются очень надёжными паролями. Скорее всего, до них додумались не только вы. Пусть это и менее популярные варианты, чем 12345678, но взломать его гораздо проще аналогичного бессмысленного набора букв.