Яна Юракова - Цифровая безопасность. Жизнь в мире технологий

Театр начинается с вешалки, а работа каждого пользователя информационных сервисов начинается с регистрации аккаунта. Именно здесь 99,9% людей делают роковые ошибки. Почему? А вот скажите мне сколько у вас личных кабинетов на интернет порталах? Уверен, количество будет более 10. У всех них пара логин и пароль уникальна или нет?

Статистика показывает, что у 17% пользователей мировой паутины пароль состоит из цифр «12345». Если допустим ваша электронная почта была бы защищена подобным образом, то для мошенников имеющих в арсенале много современных вычислительных мощностей и решивших получить доступ к вашей личной переписке понадобилось бы затратить времени на взлом меньше 1 секунды.

Дальнейшая история которая будет происходить с вашим аккаунтом ограничена только фантазией злоумышленников. Начиная от шантажа вас и ваших знакомых той информацией, которая хранилась на почтовом ящике, до перехвата управления учетными записями через восстановление пароля по почте.

По этой же схеме можно взломать любой пароль и нанести как минимум репутационный ущерб, а как максимум материальный. Процесс этот носит название брутфорс атака (от англ. brute force – грубая сила). Она предполагает перебор компьютером хакера всех возможных символов до тех пор, пока не будет подобрана подходящая их комбинация.

То есть, если знать ваш логин, который как правило находится в публичном доступе, пароль можно просто подобрать. Для этого нужны мощные компьютеры и время. И чем длиннее и сложнее пароль тем дольше его ломать. Сейчас мы не рассматриваем случай когда ваш пароль скомпрометирован и отправлен злоумышленникам с зараженного вирусом конечного устройства жертвы. А такое бывает очень часто! Но об этом позже.

Лет 6 назад для взлома пароля вроде «10sony567 » требовалось потратить год, то сегодня для этого потребуется всего пара дней. Именно поэтому пароли требуется время от времени менять, делая их более сложными и устойчивыми к взлому. Тем самым мы выигрываем время.

Ставим сложный пароль. После этого хакеры начинают нас взламывать. Но за время которое нужно для проникновения, а для 8—10 значных сложных паролей это более года, мы уже поменяем пароль через 6 месяцев. Таким образом, ребятам на «темной стороне» придется начинать работу заново.

Для защиты от подобной угрозы необходимо соблюдать несколько простых правил при выборе пароля.

1) Количество символов должно быть не менее 10. Чем длиннее – тем лучше.

2) Включайте в него цифры и буквы в верхнем и нижнем регистре (строчные и заглавные). Так же необходимо дополнить спецсимволами (#?%$@ () &*^%|+_).

3) Не используйте в парольных фразах имена, клички животных, географических названий – в общем, любых слов, о существовании которых известно более 2 – м лицам!

4) У каждого сервиса должен быть уникальный пароль.

5) Пароли должны быть изменены по истечении 6 месяцев от их создания.

6) Пароли должны хранится на бумаге. В ежедневнике или блокноте к которому нет доступа у третьих лиц.

7) Не храните данные в заметках телефона или на компьютере!

8) Немедленно меняйте пароли стоящие по умолчанию на устройствах, которые имеют доступ в интернет. Это смартфоны, роутеры и другое сетевое оборудование.

Тема весьма серьезная, мнение профессионала по этому поводу нам не повредит.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center): «Главное правило – создавайте разные пароли для разных аккаунтов. Их можно создавать как специальными генераторами паролей, так и с пользованием мнемотехники. Например, в качестве пароля можно использовать каждую вторую/третью букву каждого слова из любимого стихотворения. Чтобы пароль стал еще надежнее, можно использовать стандартные замены символов (о=0, s=$) и т. д. Все это упростит процедуру генерации паролей и позволит их помнить. Помимо этого, можно и нужно использовать менеджеры паролей. Как правило, они уже имеют функционал генерации паролей. В таком случае, придется запомнить только один мастер пароль от этого менеджера».

Вы наверняка уже не раз слышали эти слова, скорее всего при создании аккаунта на том или ином сервисе. Где после генерации логина и пароля вам предлагали настроить двухфакторную аутентификацию.

Большинство пользователей не знает что это такое, просто пропускают этот шаг и забывают о ней вообще впоследствии. Зря, очень зря. Эта функция придумана вовсе не для того что бы пользователям было сложнее работать, это дополнительный фактор безопасности.

К примеру, если кто – либо завладеет вашим логином и паролем от онлайн банка, то именно наличие двухфакторной аутентификации в виде SMS кода спасет от кражи средств. Из этого можно сделать вывод, что если пришла та самая SMS, а вы до этого не предпринимали никаких действий, то, как понимаете, пароль был скомпрометирован, его нужно срочно сменить.

Мой вам совет, прямо сегодня, на всех ваших аккаунтах, где поддерживается двухфакторная аутентификация, активируйте ее. Виды аутентификации бывают разные. Большое распространение получили одноразовые коды, приходящие по SMS или электронной почте. Есть еще специальное приложение – google authenticator. Оно через короткие отрезки времени генерирует рандомные одноразовые коды доступа, что очень удобно.

Самый надежный способ для подтверждения вашей личности в целях авторизации это Yubikey. Он представляет собой специальный USB-ключ, без которого доступ к аккаунту будет невозможен. Так же, в последнее время стали популярны способы защиты, использующие биометрические данные пользователя.

В аккаунте Google сервисов в качестве двухфакторной аутентификации можно использовать обычный смартфон. То есть, после ввода логина и пароля вам нужно будет на своем устройстве нажать определенные кнопки, именно физические кнопки. Без этого никак не получится авторизоваться.

«Двухфакторная аутентификация практически сводит на нет атаки, связанные с подбором аутентификационных данных. Но лучше, конечно, использовать отдельное устройство, не подключенное к интернету. Смартфон тут удобен, но в приложении для генерации одноразовых паролей могут встретиться уязвимости, позволяющие похитить одноразовый пароль или вообще сбросить 2FA», – говорит Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies.

Текст предоставлен ООО «ЛитРес».