Компания NordPass уже 6-й раз под конец года выпускает рейтинг самых часто взламываемых паролей. Год от года рейтинг практически не меняется. Вне зависимости от стран пользователи (даже в Китае) очень любят сочетания «123456789», «qwerty» и их производные.
Про себя могу сказать, что сам не исключение и использую схожий пароль, когда регистрируюсь на пустяковых сайтах, где не оставляю чувствительных данных. Подобные пароли давно находятся в словарях взломщиков. Да и в целом человеку довольно сложно создать защищенный пароль. Ведь для этого нужно придумать случайное сочетание букв, цифр и специальных символов длиной не менее 8, а лучше 15 символов. А потом удержать его в голове и при этом не использовать на других сервисах.
Однако в последнее время основными причинами утечки становятся не пользователи, а сами сервисы. Время от времени захожу в сервис «Защитник» от МТС, который сообщает мне, что у меня низкий уровень безопасности.
Посмотрите скриншоты ниже. К bestmebelshop у меня претензий нет. Для таких целей я и сводил простой пароль. А вот к «Сберу» и сервису, выдававшему COVID-пропуска, вопросы имеются. К слову, забавно выглядит рекомендация «Защитника» МТС: смените паспорт.
Самое забавное, что «слили» уже настолько все, что никакие замены паролей не помогут. Мошенники, которые звонят, знают адрес регистрации, номер паспорта и даже мои покупки в сервисах доставки еды.
На сегодняшний день самым надежным методом по-прежнему остается двухфакторная аутентификация. Причем больше я жалую не ту, которая SMS-коды присылает, потому что симку могут увести, а ту, которая требует код из приложения-аутентификатора.
В текущей ситуации радует, что сервисы довольно активно переходят на технологию passkey. Passkey — это когда вместо пароля сервис генерирует криптографические ключи. Открытый ключ остается на сервере, а закрытый ключ — на устройстве пользователя. И если сервер будет взломан, то у хакеров будет лишь открытый ключ, который бесполезен без закрытого ключа пользователя.
Впрочем, как и всегда, даже самая защищенная система не спасет, если пользователь, управляемый мошенниками, вознамерился отдать им деньги.
Полный текст выпуска #289 рубрики ЭХО Владимира Нимина на сайте https://mobile-review.com