Такие важные и уязвимые. Учимся защищать свои пароли

[DarthWader]

Испокон веков люди используют пароли для защиты себя, своей собственности или важной информации. Например, в Древнем Риме при входе в города военные требовали кодовые фразы для защиты от чужаков. В наше время, вслед за развитием компьютерной техники и интернета, пароли стали применяться повсеместно. Одна из причин популярности паролей в том, что люди интуитивно понимают, как они работают. В этом же кроется их самая большая проблема.

Современному пользователю приходится помнить в среднем около 100 кодов для входа в различные онлайн-ресурсы. И это число продолжает расти. В таких условиях многие пользователи предпочитают упрощать работу с паролями.

При этом пароль зачастую является единственным барьером между вашими личными данными и злоумышленниками. Отсюда сильный соблазн взломать или украсть заветный ключ. Рассказываем, как хакеры это делают, и что следует предпринять для защиты.

Зачем злоумышленникам нужны чужие пароли?​

В цифровом мире пароль — это виртуальный ключ, состоящий из символов на клавиатуре, который открывает доступ к вашему онлайн-банкингу, электронной почте, соцсетям, облачным хранилищам, подпискам на стриминговые, музыкальные и другие сервисы. Получив доступ к учетной записи, злоумышленники могут:

• Украсть ваши деньги, а также личные данные — их с радостью купят рекламщики;
• Продать доступ к аккаунту. В даркнете такие предложения пользуются хорошим спросом;
• Получить доступ к другим вашим аккаунтам, если вы используете один и тот же пароль.

 

[DarthWader]

Основные способы кражи паролей
1. Каким бы надежным ни был пароль, его можно взломать. Вопрос лишь во времени, ресурсах и используемых инструментах. Разберем их подробнее, чтобы лучше понимать проблему.Фишинг. Злоумышленники уже давно взяли на вооружение приемы социальной инженерии для получения секретной информации. Они играют на невнимательности и доверчивости людей. Фишинг, пожалуй, самый известный приём подобного рода. Типичная схема проста: хакеры присылаю вам электронное письмо или сообщение, замаскированное под рассылку известной компании. Оттуда вы переходите по ссылке на фишинговый сайт, который выглядит практически как официальный; авторизуетесь там, и ваши данные сразу становятся добычей злоумышленников.

Другой яркий пример — телефонное мошенничество или вишинг. Аферисты звонят жертве, представляются сотрудниками банка, социального фонда или иной организации. Под различными предлогами мошенники пытаются выведать конфиденциальную информацию или заставить перевести им деньги на счёт.

2. Вредоносное ПО. Существует много разновидностей вредоносов для хищения аккаунтов и личных данных. Иногда достаточно зайти на фишинговый сайт или кликнуть на сомнительный баннер в интернете, чтобы опасная программа попала на ваше устройство. Часто вредоносы распространяются через мобильное ПО, особенно если оно загружено с помощью сторонних магазинов приложений. Также злоумышленники активно используют шпионское ПО: кейлоггеры, трекеры пользовательской активности, программы для отслеживания скриншотов экрана и т.д.

 

[DarthWader]

3. Брутфорс. Как уже упоминалось выше, сегодня нам требуется запоминать десятки паролей от многочисленных учетных записей. Всё это провоцирует людей на создание простых небезопасных паролей или использование одних и тех же ключей для разных аккаунтов. Такая ситуация на руку злоумышленникам, поскольку позволяет использовать подбор комбинаций для угадывания чужого пароля.

Перебор осуществляется в автоматизированном режиме, а для ускорения процесса используются словари с ранее взломанными аккаунтами. Такая атака особенно эффективна, когда пароль основан на личной информации или состоит из простого слова без дополнительных символов.

Только в 2020 году во всем мире было совершено 193 млрд атак с помощью брутфорса.

4. Угадывание. Иногда для взлома пароля даже не требуется специальное ПО, потому что пароль можно просто угадать. Вы будете смеяться, но самым популярным паролем 2020 года был «123456». Вслед за ним шел «123456789». На третьем месте оказался «picture1», на четвертом — «password». Стоит ли говорить, что использование подобных паролей буквально распахивает двери перед злоумышленниками.

5. «Плечевой серфинг» или попросту подглядывание. Эта классическая техника социальной инженерии не теряет актуальность и в цифровую эпоху. С помощью незаметного наблюдения за действиями человека в общественных местах можно узнать не только PIN-код от банковской карты, но и пароль от соцсети и других аккаунтов.

К более технологичному варианту такой атаки можно отнести метод «человек посередине», когда злоумышленник перехватывает конфиденциальные данные при подключении к публичным Wi-Fi. Для этого мошенники создают собственную сеть Wi-Fi с названием торгового центра или транспортного терминала.

 

[DarthWader]

Как защитить свои учетные данные?
всегда используйте надежные пароли с большим количеством цифр и букв разного регистра для всех аккаунтов. Особенно для онлайн-банкинга, электронной почты, соцсетей и подписок;

никогда не используйте один и тот же пароль для разных аккаунтов;

включите двухфакторную аутентификацию для всех ваших учетных записей;

используйте менеджер паролей с хорошим рейтингом для безопасного хранения паролей и удобной авторизации;

никогда не сообщайте по телефону учетные данные онлайн-банкинга и не переводите деньги. Даже если собеседник представляется сотрудником известной организации и располагает вашими персональными данными;

сразу же меняйте пароль, если провайдер сообщает, что ваши данные могли быть взломаны;

для авторизации используйте только сайты, поддерживающие протокол HTTPS с шифрованием данных;

не переходите по ссылкам и не открывайте вложения в подозрительных электронных письмах и сообщениях;

загружайте мобильные приложения только из официальных магазинов;

используйте проверенное антивирусное ПО для всех ваших устройств;

регулярно обновляйте операционные системы, программы и приложения, а также сетевое оборудование;

остерегайтесь излишне любопытных сторонних наблюдателей в общественных местах;

не входите в учетную запись, если вы подключены к общественному Wi-Fi.

Компания Microsoft уже давно заявляет, что пароли стали «неудобными, небезопасными и дорогими» и постепенно внедряет концепцию беспарольной аутентификации. Но это небыстрый процесс. А пока пароль является базовым инструментом для защиты конфиденциальной информации, всем нам следует проявлять бдительность и хранить учетные данные в безопасном месте.

 

[DarthWader]

Используйте сложные пароли
Вы догадывались, да? Простите за банальность, но это главный совет — которым до сих пор большинство пользователей пренебрегают. Недаром пароли типа qwerty остаются в топе самых популярных по сей день.

Не используйте в качестве пароля имена любимых героев, название футбольного клуба или кличку домашнего питомца, так как эту информацию легко найти в ваших соцсетях. Сложный пароль должен состоять из произвольной комбинации различных знаков и символов.


Используйте заглавные и строчные буквы, цифры и символы
По статистике, пользователи не любят длинные пароли — их легко забыть и лень набирать. Пароль из 8 символов считался надежным только на заре развития компьютеров; сегодня восьмизначная комбинация механически подбирается за пару часов.

Однако даже короткий пароль (до 8 символов) можно сделать относительно надежным, если использовать цифры и буквы в разных регистрах. На подбор такого пароля потребуется уже 2-3 дня.

Максимальная надежность достигается простым увеличением длины пароля и использованием различных символов ($, %, &, ’’, #), в тех сервисах, где это возможно.

Используйте акронимы
Выберите фразу, которую вы точно не забудете, и используйте в качестве пароля комбинацию первых букв из каждого слова. Например, стихотворение 1828 года «У Лукоморья дуб зеленый, златая цепь на дубе том...» превращается в ULdzzcndt1828.

 

[DarthWader]

Используйте с ключевое слово​

Выберите ключевое слово и смешивайте его с названием каждого сайта, на котором у вас есть учетная запись. Например, для ключевого слова «antivirus» пароль на сайте pro32.com будет выглядеть так: balnotgipvrioruns32. Преимущество такого трюка в том, что вы будете иметь надежный пароль для каждого сайта.

Как показывает практика, этот метод может подвести в случае смены адреса сайта — однако в этом случае достаточно воспользоваться автовосстановлением пароля.

Не используйте один пароль для разных учетных записей​

Как настоящий художник, будьте оригинальны. Помните, что разные сайты имеют разный уровень безопасности. Например, большинство сервисов посылают пароли по электронной почте через процедуру восстановления пароля. Заполучив пароль от небезопасного сервиса, хакеры могут попытаться использовать его и для вашей почты или соцсетей — один и тот же пароль станет ключом ко всем вашим ресурсам.

Сократить риски можно только используя уникальные сложные пароли для всех учетных записей/

Меняйте пароли чаще​

В случае с кражей паролей одной из крупных баз. 99,982% всех паролей оказались неактуальны. Во многом это произошло из-за того, что большая часть базы украденных учетных записей была скомпилирована из ряда других баз.

Однако в случае с 57 млн адресов (именно столько записей было в утекшей базе) этого недостаточно — вы можете поручиться, что ваш почтовый ящик не скомпрометирован злоумышленниками? Причем это лишь один пример утекшей базы — сколько миллионов актуальных адресов гуляют сегодня по рукам хакеров мы не знаем.

Но знаем точно, что их было бы куда меньше, если бы пользователи регулярно меняли пароли.

 

[DarthWader]

Используйте менеджер паролей
Как не забыть пароль от учетной записи VK, почтового ящика и интернет-банкинга? Мало кто может запомнить десятки сложных паролей. Это нормально.

К счастью, разработчики программного обеспечения придумали решение. Сегодня существует множество инструментов, которые помогают пользователям надежно хранить неограниченное количество самых сложных паролей. Например, можно воспользоваться самыми популярными — LastPass или 1Password.

Однако менеджеры паролей имеют свои слабые места. Самые важные учетные записи, через которые можно получить доступ к вашей банковской информации, не стоит доверять даже наиболее надежным программам.

Не забывайте о «секретном вопросе»
В совете №1 мы рекомендовали не использовать в качестве пароля данные, которые можно легко узнать о вас из социальных сетей. То же самое касается и «секретных вопросов», о которых многие почему-то забывают или не придают им значения. Кроме того, злоумышленники могут запросто подобрать ответ из базы популярных вариантов.

Попробуйте использовать тактику абсурда, когда ответ не имеет ничего общего с секретным вопросом. Девичья фамилия матери? Аспирин! Кличка домашнего животно
го? 1989!

 

[DarthWader]

Используйте двухфакторную аутентификацию​

Чтобы максимально сократить риск утечки учетных данных, используйте двухфакторную аутентификацию везде, где возможно.

Большинство соцсетей, почтовых и банковских сервисов позволяют включить подтверждение авторизации по SMS. Таким образом мошенники не смогут получить доступ к вашей учетной записи, если у них в руках не будет вашего мобильного телефона.

Так, если у вас есть учетная запись на Яндексе, рекомендуем воспользоваться функцией двухфакторной аутентификации Яндекс.Ключ:

• Скачайте приложение для Android или iOS
• Введите пароль или QR-код
• Войдите на Яндекс
• Profit!

P. S. Распечатайте и сохраните коды восстановления на случай, если смартфон выйдет из строя или потеряется.

Антивирус — наше все​

Пароли не просто так попадают к хакерам, не уплывают к ним по воздуху (если не считать обычного мошенничества, когда сами пользователи сообщают преступникам пароли от своих сервисов).

Личные данные собирают и пересылают хакерам вполне конкретные вредоносные программы, которые всеми правдами и неправдами стремятся попасть на ваш ПК, ноутбук или смартфон