Вопрос защиты с помощью паролей остается актуальным с момента появления Интернета. Раньше для защиты учетных записей было достаточно просто не задавать пароль словом «пароль». Однако с течением времени значимость надежного пароля стремительно эволюционировала, чтобы не отставать от хакеров и других злоумышленников.
К сожалению, пользователи, похоже, проигрывают в этой борьбе. Исследования показали, что по меньшей мере 60% паролей, используемых в компаниях, не отвечают минимальным требованиям безопасности, таким как отказ от повторного использования паролей или использование в пароле слова из словаря. Такой недосмотр может иметь катастрофические последствия: По данным компании Verizon, 81% случаев взлома происходит по причине недостаточной надежности паролей.
Проблема особенно обострилась в связи с активным внедрением облачных технологий, поскольку все больше данных хранится в облаке, а учетные данные являются первой (а иногда и единственной) линией защиты от хакеров, которые пытаются использовать эти данные в собственных целях. Даже если вы применяете другие меры безопасности, надежный пароль - это простой способ защиты от подавляющего большинства киберугроз.
Рассмотрим распространенные методы атак, используемые киберпреступниками, и дадим несколько полезных советов по созданию идеального пароля для укрепления вашей безопасности.
Распространенные методы, используемые хакерами
1. Программы-вымогатели
Программы-вымогатели – это трояны, которые устанавливаются на компьютеры жертв с целью блокировки или шифрования данных. Компании не могут получить доступ к своим массивам данных, пока не заплатят определенную сумму выкупа. Такая коварная уловка особенно эффективна в отношении компаний, которые в значительной степени зависят от своих данных. Во многих случаях компании переводят сумму выкупа на международный счет в валюте биткоин. Лучший способ предотвратить заражение программой-вымогателем — установить ПО, предотвращающее атаку до того, как она начнет действовать.
2. Фишинг и вредоносное ПО
Многие пользователи Интернета считают себя достаточно опытными, чтобы предотвратить попытку фишинга или обнаружить вредоносное ПО до того, как оно будет загружено. К сожалению, с каждым случаем взлома доказывается ошибочность и потенциальная опасность такого предположения.
Злоумышленники используют множество методов для обмана сотрудников. Они могут поместить вредоносный код в документ Word, который затем запускается как кейлоггер, позволяющий узнать пароль путем отслеживания нажатий клавиш сотрудника. Другой способ – сотруднику предлагается подарочная карта, чтобы он вошел в систему, используя корпоративные учетные данные. Для того чтобы гарантировать, что сотрудники действительно проявляют бдительность, когда речь идет о подобных атаках, необходимо проводить для них регулярное обучение и тестирование.
3. Утечки данных
Если вы пользуетесь Интернетом довольно продолжительное время, то, скорее всего, ваши данные уже не раз были скомпрометированы. Даже у самых осторожных людей зачастую крадут информацию не по их вине - например, в результате взлома Equifax в 2017 году хакеры получили пароли и другие данные более 147 миллионов человек.
Украденную информацию не прячут и не скрывают. Она выставляется на продажу на рынках даркнета, где ваши данные (вместе с сотнями или тысячами других логинов) можно приобрести всего за несколько долларов. Как только ваша информация попадает туда, кто угодно может атаковать вас, используя учетные данные, попавшие в такую утечку.
4. Атака методом «грубой силы»
Атака методом «грубой силы» – довольно распространенный, хотя и несколько грубый метод, используемый киберпреступниками. При этом типе атаки хакер запускает ряд программ для ввода всех возможных комбинаций, чтобы получить список зашифрованных паролей. Этот метод повторяется до тех пор, пока пароль не будет взломан. Некоторые программы для взлома паролей даже способны преодолеть основные меры безопасности, такие как ограничения на количество вводимых неправильных паролей. Хотя атаки грубой силы лучше всего подходят для поиска коротких и простых паролей, при наличии достаточного времени и терпения с их помощью можно взломать любой пароль. Чтобы избежать блокировки, злоумышленник будет использовать сначала один пароль на всех учетных записях, прежде чем пробовать следующий.
5. Перебор по словарю
Метод перебора по словарю похож на атаку методом грубой силы, но использует несколько более изощренную методику. Хакеры часто прибегают к помощи программ, которые используют списки обычных словарных слов в сочетании с предсказуемой серией чисел. Например, программа может выбрать случайное слово типа "каштан", а затем добавить к нему «12345» или «123456789». Такой простой метод является одним из самых эффективных способов взлома паролей, не требующих от хакера особых усилий и времени, поскольку многие сотрудники выбирают легко запоминающиеся пароли, используя обычные слова.
Разумеется, хакеры постоянно расширяют список способов получения доступа к вашему аккаунту и всем конфиденциальным данным. Чтобы не отставать от них, прочитайте наши советы по созданию идеального пароля.
Наши советы по созданию идеального пароля
1. Главное – разнообразие
Надежный пароль ни в коем случае не должен состоять только из букв. Чтобы значительно усложнить атаку методом перебора, необходимо также использовать цифры, специальные символы и заглавные буквы. При этом не используйте слова из словаря или их близкие аналоги. Например, для взлома пароля «armadillo» с помощью беспрепятственной онлайн-атаки методом перебора потребуется всего 16 минут, а для пароля «@rm@dill0» – около часа, что делает оба пароля слишком простыми для практического использования.
Вместо этого используйте набор слов, состоящий из заглавных и строчных букв, цифр, символов и несловарных слов. Например, можно использовать сложные аббревиатуры, писать бессмысленные фразы или использовать случайный набор цифр, букв и символов.
2. Длина имеет значение
Это просто: чем длиннее пароль, тем сложнее его взломать. Длина кода может иметь решающее значение, особенно при атаках методом перебора. Так, если вы используете семизначный пароль, состоящий из заглавных и строчных букв и цифр (62 символа), возможное количество комбинаций составляет 3 521 614 606 208 (более 3,5 триллионов). При добавлении еще одного символа для взлома кода потребуется уже 218 триллионов циклов. Это означает, что если ваш пароль состоит из более чем 10 цифр и дополнительных специальных символов, то простая атака методом перебора займет несколько лет.
3. Не используйте пароли повторно
Представьте себе, что у вас один и тот же ключ от дома, машины, офиса, почтового ящика и хранилища. Если вы потеряете один ключ, кто-то сможет забрать у вас почти все ценное. Несмотря на это, 13% пользователей сообщают, что используют один и тот же пароль для всех учетных записей в Интернете, а 52% признались, что используют один и тот же пароль для многих (но не всех) учетных записей.
Если злоумышленник приобретет список паролей, он не просто попытается получить доступ к взломанным аккаунтам. Он попытается получить доступ к вашему PayPal, рабочим счетам, электронной почте, социальным сетям или любому другому каналу, на котором может быть что-то ценное. Все ваши пароли должны быть уникальными - иначе одна утечка может поставить под угрозу весь ваш подход к обеспечению безопасности в Интернете.
4. Простой способ создания пароля
Этот прием покажет вам, как создать сложный пароль, который сможете запомнить только вы. Придумайте предложение и расположите первые буквы каждого слова в ряд. Так, предложение «My Name is Joe Bloggs and I was born on 1 January 1900!» (Меня зовут Джо Блоггс, и я родился 1 января 1900 года!) превратится в: «MNiJBaIwbo1J1900!». Он длинный, содержит цифры, специальные символы, заглавные и прописные буквы, и его точно нет ни в одном словаре. Отлично!
Если вы не хотите придумывать пароль самостоятельно, на помощь может прийти Интернет. В сети существует множество генераторов паролей, которые используют случайные строки для создания пароля. Но будьте осторожны! Запомнить такие комбинации очень сложно.
5. Используйте менеджер паролей
Если вы думаете, что не сможете запомнить пароль «MNiJBaIwbo1J1900!» с помощью вышеупомянутого мнемонического приема, вам поможет надежный менеджер паролей. Сегодня существует множество менеджеров паролей с различными вариантами защиты и шифрования. Вместо того чтобы запоминать 10, 20 или 30 уникальных, сложных паролей, вам нужно помнить только пароль для менеджера паролей. Применение таких приложений позволит избежать блокировки учетных записей и поможет в использовании более уникальных и надежных паролей.
6. Меняйте пароль
Самый спорный вопрос среди менеджеров по безопасности: важно ли регулярно менять пароли? И если да, то как часто? Регулярная смена паролей для защиты от кибератак может показаться разумной, по крайней мере, на первый взгляд. Эксперты придерживаются иной точки зрения. Многие пользователи вносят лишь незначительные изменения в свой пароль, превращая «пароль1» в «пароль2». Такие шаблоны легко предсказать. Более того, люди склонны выбирать легкие пароли, если знают, что их все равно придется менять в ближайшее время.
Менять или не менять? Мы рекомендуем менять пароль в зависимости от его длины. Например, 12-символьный пароль следует менять каждые шесть месяцев. А пароль из 8 символов следует менять ежеквартально. Таковы общие рекомендации Федерального управления по информационной безопасности (BSI). Большинство систем каждые 2-3 месяца присылают автоматическое напоминание о необходимости смены пароля, и желательно не пренебрегать этим советом. Необходимо сразу же сменить пароль в случае успешного взлома портала, которым вы пользуетесь, и кражи данных. Самое главное — использовать надежный пароль. В этом отношении удобными инструментами являются генераторы паролей.
7. Используйте двухфакторную аутентификацию
Двухфакторная аутентификация (2FA) стремительно становится стандартом безопасности, поскольку позволяет обеспечить надежную защиту, даже если ваш пароль будет взломан. При двухфакторной аутентификации пользователи подтверждают свою личность на двух отдельных устройствах — например, после ввода правильного пароля на ноутбуке им необходимо подтвердить вход на мобильном телефоне. Это защищает от подавляющего большинства кибератак, поскольку хакер редко имеет доступ к обоим вашим авторизованным устройствам.
Помните, что двухфакторная аутентификация не является гарантией безопасности, и надежный пароль по-прежнему остается первой линией обороны. Например, чтобы временно получить доступ к мобильным телефонам и обойти двухфакторную аутентификацию решительные и изощренные хакеры могут использовать такие изобретательные методы, как подмена SIM-карт. Чтобы защитить наиболее важную информацию, избегайте использования SMS для авторизации аккаунта, а вместо этого используйте специальные программы, например Google Authenticator.
8. Используйте биометрическую аутентификацию
Вполне возможно, что хакеру удастся получить доступ к вашим устройствам и обойти двухфакторную аутентификацию, но гораздо сложнее злоумышленнику украсть ваше лицо или отпечаток пальца. Много лет назад биометрические технологии были либо запредельно дорогими, либо их было очень легко обойти — но с развитием технологий высококачественные средства биометрии стали доступны каждому.
Биометрические технологии могут принимать различные формы, например: отслеживать динамику нажатия клавиш, сканировать отпечатки пальцев или сетчатку глаза, распознавать лицо или анализировать подпись. Однако следует помнить, что такие средства не должны быть единственной формой аутентификации. Сотрудник, получивший травму глаза, может не пройти тест на распознавание лица из-за повязки на глазу, а сотрудник с влажными руками не сможет воспользоваться сканером отпечатков пальцев. В связи с этим хорошо продуманный пароль всегда будет важным аспектом биометрической аутентификации.
9. Совершенно секретно!
Некоторые могут посчитать этот совет очевидным, но он по-прежнему остается самым важным: никогда и никому не сообщайте свой пароль. Даже другу, коллеге или супругу. Также воздержитесь от записи своих паролей. Несмотря на то, что это облегчает запоминание кодов, если ваши записи попадут в чужие руки, последствия могут быть катастрофическими.
Заключение
Стопроцентной защиты не существует. Любой пароль может быть взломан тем или иным способом: вопрос в том, сколько времени это займет. Использование длинных комбинаций, состоящих из букв, цифр и специальных символов, — это первый шаг к эффективной защите ваших данных. Тем не менее, организации, осведомленные в вопросах безопасности, всегда должны стараться опережать хакеров на несколько шагов.
Следование этим рекомендациям поможет вам повысить уровень безопасности вашей организации, но не обеспечит всеобъемлющей защиты. Если вы хотите вывести безопасность вашей организации на новый уровень, такие услуги, как оценка уязвимостей и тесты на атаки, позволят выявить сильные и слабые стороны до того, как их обнаружит хакер. Используя сочетание различных стратегий для защиты данных, вы будете лучше защищены от злоумышленников.
Нужна помощь в защите данных?
Наши эксперты по безопасности готовы помочь вам с оценкой уязвимостей и тестированием на атаки.
