Барри О’Нил попытался ответить на этот вопрос с помощью эксперимента, выполненного в Северо-Западном университете. Он изобрел простую игру, в которой участвуют два игрока с одинаковым набором из четырех карт: туз, 2, 3 и джокер. Каждый выбирает одну карту и выкладывает на стол рубашкой вверх. Затем карты открывают. Игрок А выигрывает, если обе карты джокеры или разные (например, 2 и 3). В противном случае выигрывает игрок Б. Проигравший в каждом раунде платит победителю пять центов.
Эта игра была умышленно сделана непохожей на привычные. О’Нил хотел проверить, насколько хорошую стратегию абсолютно незнакомой игры станут разрабатывать игроки. И они прекрасно справились. Идеальная стратегия – случайно в 40 процентах случаев выкладывать джокера и в 20 процентах случаев – любую из остальных карт. Игроки выкладывали джокера в 39,4 процента случаев. Просто невероятно, если учесть, что они руководствовались только инстинктом. У них не было возможности просчитать, как лучше, и они, наверное, даже не знали, как это сделать.
Серьезных ошибок обнаружилось две. Во-первых, игроки слишком часто отдавали предпочтение тузам – в 22,3 процента случаев. Вторая ошибка – слишком частое чередование карт. Числовая карта должна следовать за джокером в 60 процентах случаев. В реальности это наблюдалось чаще. Игроки не хотели выкладывать джокера два или три раза подряд. Особенно часто они меняли выигравшую карту.
Более глубокий анализ показывает, что игра О’Нила может многое сказать о разработке стратегии в покере, бридже и других играх. Большинство самых важных решений в покере связаны с вопросом, стоит ли блефовать (делать ставку при слабых картах). Если блефующему повезет, остальные игроки не захотят ответить, и он сорвет банк, не раскрывая карт.
Для блефа существует математическая формула. Вероятность блефа оценивается как рэйз/банк. В данном случае рэйз – величина, на которую вы поднимаете ставку в случае блефа. Она может быть ограничена правилами, нормами общественного поведения и количеством денег в вашем кошельке. Банк – сумма выигрыша после того, как вы подняли ставку, и ваш противник (противники) ответил.
Пример. В данный момент банк составляет $100. Вы делаете агрессивный ход, повышая ставку на $100. В игре остался всего один игрок. Если вы добавляете $100 и ваш соперник отвечает, то в банке окажется $300. Тогда, согласно формуле, вероятность блефа составляет $100/$300, или 1:3. Это гарантирует, что вероятность выигрыша $300 у игрока, отвечающего на вашу ставку, составляет 1/3 (в среднем $100). Но поскольку поддержать ставку стоит $100, ваш противник всего лишь останется при своих. Он не может рассчитывать на прибыль (из вашего кармана!).
Хорошие игроки все это знают, но даже самым лучшим не всегда удается составить подходящую случайную последовательность блефов и фолдов [11]. Случайное решение в принципе осуществить непросто, но данная ситуация осложняется тем, что выбор между блефом и фолдом игрок делает только в случае плохой карты. Кроме того, способность перехитрить противников ограничивается неполнотой информации об игре. Когда противники выигрывают, не раскрывая карты, невозможно определить, блефовали они или нет.
В целом карточные игроки избегают последовательности одинаковых действий. При игре в покер новички опасаются быть пойманными на блефе и редко прибегают к нему два раза подряд. Более опытные иногда блефуют два или три раза кряду. Однако после двух раз подряд большинство испытывает желание сбросить слабые карты, особенно если это происходит сразу после неудавшегося блефа.
Игрок, не раскрывавший карты и выигравший несколько раз подряд, мог в некоторых случаях блефовать. Когда игроки идут на риск и выигрывают, то в следующий раз обычно меняют тактику. Они не хотят «жадничать» и предпочитают не рисковать. Когда выигрывающий снова поднимает ставку, скорее всего, он не блефует, и у него сильная карта.
Полезно обратиться за помощью к какому-нибудь устройству. Я уже упоминал о возможности использования наручных часов. Нет нужды говорить, что если вы будете смотреть на часы только в том случае, если к вам пришла плохая карта, это лучшая подсказка соперникам. Вы должны смотреть на часы (незаметно) при каждой раздаче.
Посмотрите, где находится секундная стрелка, описывающая круг по циферблату – с учетом установленных вами соотношений. Допустим, при этой раздаче вы намерены блефовать с 33-процентной вероятностью. Если секундная стрелка находится в первых 33 процентах цикла (между 12 и 4), вы блефуете.
Альтернативный вариант: масти или значение карт в качестве фактора, определяющего дальнейшие действия. Посмотрите на крайнюю левую карту в руке. Она может иметь значение от 1 (туз) до 10. Умножьте на десять, чтобы получить число от 10 до 100. Блефуйте только в том случае, если результат не превышает установленные проценты. При 33 процентах блефа вы будете блефовать, если крайняя левая карта окажется тузом, 2 или 3. Это менее точно, однако не может служить подсказкой противнику.
Одину классическую покерную подсказку следует знать всем, кто пытается угадать карты противника: расширение зрачков. Когда игрок вытягивает желаемую карту, зрачки расширяются. Это не выдумка, а экспериментально установленный факт, и его можно использовать, чтобы угадать чужие мысли. Известен такой карточный фокус: исполнитель показывает одному из зрителей даму червей и говорит, что она олицетворяет деньги или секс (эффективно и то, и другое). Затем доброволец по одной начинает вытаскивать карты из перетасованной колоды. Умеющий читать по значкам способен заметить тот момент, когда из колоды извлекается дама червей – в этот момент зрачки добровольца расширяются.
Одним из первых читать по зрачкам научился психолог Экхард Гесс. Приблизительно в 1960 г. он провел эксперимент с фотографиями. На всех были пейзажи, и только на одной – привлекательная женщина. Гесс тасовал снимки и по очереди показывал своему помощнику-мужчине. На седьмой фотографии зрачки помощника внезапно расширились. Это был снимок красотки.
Зрачки могут выдавать правду, даже когда губы лгут. В разгар президентской кампании 1964 г. Гесс показал студентам и преподавателям Чикагского университета фотографии президента-демократа Линдона Джонсона и претендента на этот пост от республиканской партии Барри Голдуотера. Все сказали, что предпочитают либерала Джонсона крайне правому Голдуотеру. Однако Гесс обнаружил, что примерно у трети людей наблюдалась положительная реакция зрачков именно на Голдуотера, а не на Джонсона. Гесс предположил «интересную вероятность… что в либеральной атмосфере университета этим людям было неловко проявлять симпатии к Голдуотеру».
Читать по зрачкам научишься запросто, но во время сдачи карт нужно смотреть прямо в глаза сопернику. Сдача происходит достаточно быстро, и вы следите за картами, а не за абсолютным размером зрачков (который может меняться в зависимости от освещения и приема лекарств). Типичная положительная реакция – 10-процентное увеличение диаметра обоих зрачков (20 процентов увеличения площади). Невезение может привести к сужению зрачков. Выглядит это приблизительно так (близко к натуральной величине):
Размер зрачка меняется примерно через полсекунды после того, как игрок видит судьбоносную карту. Неудивительно, что некоторые серьезные игроки используют темные очки как защиту.
Резюме: Как предсказывать в карточных играх• Когда игроки в карты случайно принимают важные решения, они избегают повторения. Игрок, только что сделавший блеф-ставку, вряд ли будет блефовать, когда ему в следующий раз придет плохая карта.
• Можно использовать наручные часы, только смотреть на них необходимо при каждой сдаче.
• Игрок, умеющий читать по зрачкам, способен сказать, пришла ли вам нужная карта (если сможет увидеть ваши глаза).
9 Как защитить пароль
Вам не приходилось тратить время на подозрительном сайте, который обещает раскрыть, например, ваше клингонское имя? [12] Некоторые служат прикрытием для сбора паролей. Они просят предоставить личные данные и предлагают придумать пароль. Мошенники знают: придуманный вами пароль, скорее всего, похож на те, которые вы используете для других целей, и могут продавать на черном рынке собранные пароли по 20 долларов за штуку.
Все пароли – это ключи к вашему дому. Замки бывают крепкими и не очень, но никакой замок не спасет, если карманник вытащил у вас ключ. Безопасность – всегда самое слабое звено.
Большинство тех, что ворует личные данные, не дают себе труда изобретать какие-то трюки. Они просто срывают низко висящий плод: пароли угадать легче всего. В одном из последних исследований было показано, что 1 процент паролей разгадывается за четыре попытки.
Как такое возможно? Очень просто. Попробуйте четыре самых распространенных пароля. Наш список состоит из следующих слов: пароль, 123456, 12345678 и йцукен [13]. Это открывает 1 процент всех замков.
Хорошо, пускай вы относитесь к тем 99 процентам людей, которые не используют плохой пароль. Но вам все равно следует задуматься над скоростью работы современных хакерских программ. Бесплатная хакерская программа под названием John the Ripper способна проверить несколько миллионов паролей в секунду. По утверждению разработчиков, коммерческое программное обеспечение, предназначенное для использования в криминалистике (на конфискованных компьютерах распространителей детской порнографии и террористов), способно проверять 2,8 миллиарда паролей в секунду.
На первом этапе программа взлома анализирует обширный и постоянно пополняющийся список из нескольких тысяч популярных паролей, а затем приступает к поиску по словарю. Она пробует каждое слово, а также все распространенные имена, прозвища, клички домашних животных.
Большинство из нас, пристыженных и запуганных, добавляют в пароли цифры, знаки препинания и прописные буквы. Это называется декорированием. Теоретически декорирование существенно затрудняет взлом пароля. Но на практике не особенно. Почти у всех людей мышление идет по одной и той же накатанной колее. Когда сайт настаивает, что в пароле должны присутствовать цифры, пароль с пугающей регулярностью превращается в пароль1 или пароль123. Требование использовать прописные и строчные буквы вызывает к жизни Пароль или ПаРоЛь. Обязательные знаки препинания становятся причиной появления таких конструкций, как пароль! и п@роль. Такой надежный на первый взгляд пароль, как 4еловек_Паук1 на самом деле вовсе не так надежен. Все хитрят примерно одинаково. Есть основание опасаться, что правила декорирования пароля, предписываемые сайтами, подталкивают к выбору самых простых, легко угадываемых паролей. Декорирование может создать ложное ощущение безопасности.
Телесюжеты о безопасности паролей неизбежно включают интервью циничного эксперта, принижающего значение любого алгоритма создания надежных паролей. Многие профессионалы – приверженцы философии «запишите его». «Люди больше не в состоянии запомнить достаточно хорошие пароли, чтобы защититься от словарной атаки, и поэтому гораздо надежнее выбрать слишком сложный для запоминания пароль, а потом записать его, – советовал специалист по компьютерной безопасности Брюс Шнаейр в 2006 г., на заре цифровой эры. – Мы все хорошо умеем прятать маленькие листки бумаги. Я рекомендую записывать пароли на листочке и хранить его в кошельке вместе с другими такими же важными».
Однако даже с листком бумаги в руке набрать длинный и сложный для запоминания пароль не так-то просто. Поэкспериментируйте с виртуальной клавиатурой мобильного устройства. Разрыв между реальностью и представлениями специалистов иллюстрирует система, которой пользуется мой отец. Он пишет пароль на стикере, который приклеивает к монитору на письменном столе. В пароле нет ничего сложного – два слова без всяких цифр и причудливых значков. Реальные люди не только выбирают ненадежные пароли: они даже не удосуживаются их запомнить.
В странствиях по цифровому миру многие пытаются использовать одинаковые пароли для всех сайтов, не обращая внимания на риск. Однако некоторые сайты играют роль няньки, навязывая правила, касающиеся длины пароля и используемых символов. Пользователи вынуждены переделывать привычные пароли и затем, пытаясь войти на сайт, не могут вспомнить, как они это сделали.
Бо́льшая часть сведений о глупых паролях – результат взлома сайта RockYou.com, публикующего игры в Facebook; это произошло 4 декабря 2009 г. Хакер опубликовал 32 603 388 имен пользователей и незашифрованных паролей посетителей сайта. И до, и после были другие взломы, но масштаб этого создал ключевую базу данных как для «хороших», так и для «плохих» парней.
Самым популярным паролем RockYou был 123456. Его использовал 290 731 человек. Обнаружились существенные отличия в зависимости от пола и возраста. Для мужчин моложе 30 лет популярными источниками паролей были секс и непристойности: в верхней части списка располагались pussy, fuck, fucking, 696969, asshole, fucker, horny, hooters, bigdick, tits, boobs и другие подобные слова. Люди старшего поколения независимо от пола проявляли склонность к цитатам из поп-культуры. Пароль Epsilon793 был бы не так уж плох, если бы его не использовал капитан Пикар из сериала «Звездный путь: Следующее поколение» (Star Trek: The Next Generation). Часто встречающаяся комбинация из семи цифр, 8675309, оказалась телефонным номером из популярной песенки. Так называемые «восьмидесятники» хотят, чтобы пароли соответствовали их эпохе.
Нет ничего проще, чем создать надежный пароль. Используйте случайный набор символов. Эту операцию невозможно идеально осуществить в уме, но и не нужно. Многочисленные сайты и программные приложения снабдят вас случайными паролями, сгенерированными из атмосферных помех. Вот несколько примеров, которые я только что получил с random.org:
mvAWzbvf
83cpzBgA
tn6kDB4T
2T9UPPd4
BLJbsf6r
Проблема решена? Да, для фанатиков мнемотехники – или для тех, кто использует программу хранения паролей, использующую сканер отпечатка пальца. Всех остальных останавливает перспектива запоминать бессмысленный набор символов. Ситуацию усугубляет необходимость (как нам говорили) особого пароля для каждой учетной записи.
Большинство пользователей, в отличие от специалистов, озабочены удобством, а не безопасностью. И я не уверен, что в данном случае они ошибаются. У вас в доме есть специально оборудованное убежище? Скорее всего, нет, но те, у кого есть, скажут вам, что оно необходимо. Однако прежде чем бросаться устраивать убежище, возможно, стоит сначала убедиться, что вы всегда запираете входную дверь.
Реальные случаи взлома пароля можно разделить на три категории: они бывают случайными, массированной атакой и прицельными.
• Случайная угроза исходит от знакомых. У чрезмерно любопытного сотрудника или члена семьи может возникнуть желание войти в вашу учетную запись. Он попытается угадать пароль, основываясь на вашем близком знакомстве (не используя преимуществ программного обеспечения для взлома паролей). Любопытный человек может знать, что ваша футбольная команда в старших классах школы называлась Wildcats, и попробовать это слово. Но пароль wildCatz1 ему никогда не угадать.
• Массированная атака похожа на спам – ничего личного. Вор персональных данных не стремится войти именно в вашу учетную запись и ничего о вас не знает. Он пытается собрать список взломанных паролей, обычно для продажи. Похитители паролей используют специальные программы и начинают с попытки взлома самых незащищенных сайтов, допускающих множество попыток ввода пароля. Это может быть игровой сайт, где пароли не имеют финансовой ценности. Затем программа использует правильно угаданный пароль и его вариации для проникновения на защищенные учетные записи, например, банковские.
• Прицельная угроза предполагает частного или государственного детектива плюс программное обеспечение. Если информированный человек захочет войти в ваши учетные записи, и если на его стороне время и деньги (и законное право?), то он, скорее всего, добьется успеха. Единственная защитная мера – использовать достаточно длинный случайный пароль. В таком случае на взлом потребуется отрезок времени, превышающий среднюю продолжительность жизни.
Нельзя быть слишком уверенным, что вам не угрожает прицельная атака. Возможно, ваши конкуренты по бизнесу захотят украсть у вас ноутбук и израсходовать на его взлом необходимые ресурсы. Так же захотят поступить с богатым супругом при бракоразводном процессе. Хакеры могут испытывать неприязнь к определенным бизнесменам и политикам. Однажды был скомпрометирован сайт Twitter – из-за того, что администратор неблагоразумно выбрал пароль счастье. В 2009 г. хакер узнал пароль в результате словарной атаки и опубликовал его на сайте Digital Gangster, что привело к взломам лент Барака Обамы, Бритни Спирс, Facebook и Fox News.
Как и всё в жизни, пароли предполагают компромисс. Можно обеспечить одновременно максимальную безопасность и максимальное удобство пароля. Одна из лучших и весьма распространенных тактик – преобразовать в пароль фразу или предложение. Можно взять строчку из песни и составить пароль из первых букв слов. Например, May the force be with you превратится Mtfbwy.
Однако вы не станете обращаться к этой строчке, и именно в этом проблема. На память вам придет хорошо известная фраза из фильма, боевой девиз колледжа или слова из мультсериала «Южный парк». Сколько фраз из восьми слов вы знаете наизусть? И совершенно неочевидно, что наугад выбранную фразу угадать сложнее, чем случайное слово. Немногие дают себе труд декорировать полученный из фразы акроним. Он и так выглядит случайным!