Киберугрозы — серьезная проблема, которая касается не только обычных пользователей, но и большинства современных компаний. Проблема обострилась в 2020 году с ростом количества удаленных сотрудников. Многие из них оказались вне корпоративного периметра безопасности, где ту же парольную политику контролировать проще.
В этом материале расскажем о типичных ошибках в политике паролей, которые могут привести к утечке данных и другим неприятным последствиям.
Парольные грабли
Когда дело доходит до паролей, пользователи обычно совершают ряд распространенных ошибок.
Использование предсказуемых и распространенных паролей
Реальность такова, что люди по-прежнему очень несерьезно и даже безответственно подходят к выбору пароля. Согласно исследованиям, пользователи часто не задумываются над оригинальностью и в качестве пароля выбирают самые примитивные, распространенные односложные слова или наборы цифр. Примеры: «12345» (иногда добавляются 678 и т. д.), password, asdf, iloveyou, abc123, 111111 и другие. Наиболее распространенным паролем в 2020 году остается «123456».
Повторное использование паролей
Другая серьезная проблема — повторное использование паролей на нескольких сайтах. Как только хакеры взламывают базу данных учетных записей, все аккаунты, использующие один и тот же пароль, могут быть скомпрометированы.
Последствия могут быть хуже, если учесть, насколько часто пользователи повторно используют одни и те же пароли в нескольких учетных записях.
Открыто хранящиеся учетные данные
Хороший и надежный пароль непросто запомнить. Для этого многие пользователи записывают его на бумажку, в блокнот, сохраняют в заметках на смартфоне и т. д. Однако это не самое разумное решение. Специалисты по ИБ рекомендуют сохранять свои данные только в надежно защищенных местах.
К чему приводит несерьезное отношение к безопасности данных
Безопасность личных данных, банковского счета, учетной записи Netflix и почтового ящика в первую очередь зависит от того, насколько хорошо человек составляет и защищает многочисленные пароли. На корпоративном уровне несанкционированный доступ к данным может привести к выходу из строя всей инфраструктуры, к денежным и репутационным потерям.
Даже крупные международные организации не защищены от типичных ошибок. Вот несколько недавних примеров халатного отношения к безопасности данных:
- В 2018 году обнаружилось, что сотрудники ООН хранили пароли и важные документы в программах Trello и Google Docs, которые не защищены паролем. Любой желающий мог получить к ним доступ по ссылке.
- Один из работников Белого дома забыл на автобусной остановке бумажку, на которой были записанные учетные данные его электронной почты.
- Студент-стажер в Google смог получить доступ к спутнику компании через панель управления. Чтобы войти в админку, он просто нажал Enter, оставив поля ввода логина и пароля пустыми.
Как защититься от взлома пароля
Главное — прислушиваться к мнению экспертов по кибербезопасности и изменить свои привычки. Можно легко избежать этих проблем, соблюдая простые правила гигиены:
- Не используйте короткие пароли. Выбирайте уникальные сложные пароли для защиты учетных записей. Используйте пароли, состоящие из цифр, букв и специальных символов или генератор паролей.
- Не используйте один и тот же пароль повторно.
- Не забывайте регулярно проверять каждую свою учетную запись на предмет подозрительных действий. Если вы заметили что-то необычное (например, сообщение о попытке авторизации с неизвестного устройства), немедленно смените пароль.
- Удалите те аккаунты, которые больше не используете.
- Чтобы узнать, был ли раскрыт какой-либо из ваших текущих паролей в интернете, используйте программу проверки утечки данных. Например, в браузере Google Chrome встроен менеджер паролей, который подсказывает, были ли данные пользователя раскрыты на конкретных ресурсах.
- Добавьте дополнительный уровень защиты. По возможности используйте многофакторную аутентификацию (2FA).
- Храните пароли в надежных местах — используйте проверенный менеджер паролей или храните их в архиве, защищенном отдельным паролем.
Эти простые правила повысят уровень безопасности учетных записей сотрудников и надежность хранения корпоративных данных. Однако стоит учитывать, что пароль — это только одно из средств защиты и часто не самое главное. В качестве дополнительной меры можно провести аудит информационной безопасности или оценить степень защищенности информационных систем и сервисов компании с помощью пентеста.