Даже у интернет-консервативных граждан паролей как ключей у завхоза. Госуслуги, налоговая, управдомы, одна соцсеть, другая соцсеть, один банк, другой банк – редко кто запоминает все коды доступа, предпочитая делегировать мнемонические функции внешнему носителю или вовсе обходиться одним ключом от всех интернет-дверей. А зря – ведь способы сохранить данные под надёжной защитой и не сойти с ума всё-таки существуют. Какие именно, рассказал директор по развитию направления «Кибербезопасность для населения» ГК «Солар» Олег Седов.
Первые правила кибербезопасности
Многим до сих пор кажется, что интернет – вещь эфемерная и массивная дверь в квартиру куда важнее надёжного пароля от личного кабинета «Сбера». Однако на дворе не девяносто седьмой год, и вместо кражи со взломом гораздо вероятнее исчезновение миллиона-другого с ваших счетов. Особенно если вы используете простецкие пароли и недооцениваете интернет-пространство.
Поэтому позаботиться о сохранности финансов в виртуальном мире следует не меньше, чем в мире реальном. Ключ от квартиры и ключ от машины – два разных ключа. Конечно, хотелось бы иметь ключ от всех дверей, но, потеряв его однажды, можно враз лишиться нажитого непосильным трудом. Так же обстоит дело и с паролями – они должны быть разными. Неудобно, но безопасность всегда неудобна. Таково первое правило кибербезопасности.
Находчивость и смекалка – ценности вечные, но в киберпространстве, увы, зачастую бесполезные. Можно выбрать простой пароль по типу «один-пробел» в расчёте на то, что мошенник будет подбирать сложный, но пароли чаще подбирает не человек, а алгоритм. А тот основывается на школьной комбинаторике. Например, если пароль из трёх цифр, то ему потребуется перебрать всего лишь тысячу вариантов – десять цифр в третьей степени, а если четыре, то десять тысяч. Дело для приложения секундное. Это уже сведения из школьной информатики.
фото: Kandinsky
Отсюда правило под номером два – пароль должен быть длинным и состоять из символов разной природы. Однако излишне мудрствовать не стоит – во-первых, не запомните, а во-вторых, чрезмерные усилия окажутся бесполезны. К примеру, у пароля из семи символов почти 80 миллиардов комбинаций и алгоритм подберёт его за девять дней, а вот у пароля из восьми символов комбинаций уже число с тринадцатью нулями и на его подбор потребуется 11 месяцев. Поэтому-то приложения банков и не дают использовать пароли короче восьми символов и рекомендуют время от времени их менять.
Типовые ошибки
Тем не менее пароль «один-два-три-четыре-пять-шесть» используется в 17% случаев, а у четверти всех смартфонов PIN-коды – вроде четырёх двоек или комбинаций «один-ноль-один-ноль». Популярностью пользуются и даты рождений, номера телефонов, замена раскладки, диалектные слова и хитрости вроде замены нуля на букву «О» или буквы S на знак доллара. Только вот алгоритмы и даже просто мошенники подбирают такие пароли на раз-два.
скриншот из презентации Олега Седова
Другая ошибка – пароли по умолчанию. К примеру, те, что написаны на обратной стороне роутера или робота-пылесоса. Однако предустановленные шифры разнообразием не отличаются и к тому же хорошо известны. Поэтому в мошенническое дело они идут одними из первых. Да и в целом человек более предсказуем, чем можно было бы подумать. Зная его старые пароли, алгоритм часто может угадать новый. Обидно, но факт.
Казалось бы, выходом могут послужить биометрические данные. Увы, но биометрия – не панацея. Тот же отпечаток пальца, конечно, уникален, но взломать его можно в 65% случаев. Просто потому, что биометрическая детализация у смартфонов не лучшего качества.
Мнемотехника и гигиена
Так что же делать? Во-первых, всё-таки следовать первым двум правилами кибербезопасности. Пароли должны быть сложными, разными и регулярно обновляемыми. Легко сказать, какими они должны быть, но ведь на то есть методика придумывания паролей. К примеру, если вы работаете в организации с труднопроизносимой аббревиатурой, то, записанная в транслитерации с добавлением двух-трёх персонально значимых символов, она обеспечит надёжную защиту. Вариант получше – мнемоническая фраза. Абсурдная для других, но значимая для вас – и обязательно зашифрованная по известному вам правилу. Например, из каждого слова берутся только первые две буквы, каждая вторая буква – заглавная, и вдобавок вся фраза содержит восклицательный и вопросительный знаки.
Во-вторых, не стоит забывать об элементарных правилах цифровой гигиены. Пароль в чехле для телефона, а телефон в одной сумке с ноутбуком – находка для мошенников. Ведь большинство сервисов используют двухфакторную идентификацию именно с смс-кодом.
И в-третьих, менеджеры паролей – вещь полезная, только если она не бесплатная. Да и в случае платных менеджеров основной пароль обязательно держать только в уме, а для входа в аккаунт браузера использовать ту же двухфакторную идентификацию.