Логин и пароль не являются 100% защитой аккаунта от несанкционированного доступа. Можно использовать хороший антивирус, регулярно обновлять операционную систему, браузер и другие программы, но в ряде случаев и это не способно уберечь от взлома.
Получив доступ к чужому аккаунту, злоумышленник может использовать его для мошеннических действий от вашего имени, распространять вредоносные программы и ссылки, рассылать спам и так далее. Рассылка спама — это самое безобидное, что может случиться. Будет значительно хуже, если на вашей страничке в одной из социальных сетей без вашего ведома появится что-то, что и для вас, и для общества является совершенно неприемлемым и может привести к серьёзным последствиям.
Какие пароли считаются надёжными
Удивительно, что многие люди до сих пор используют такие пароли как «123456789», «admin», «password», «qwerty» и тому подобное. Такие пароли настолько лёгкие, что на их подбор нужно затратить менее одной секунды. Если злоумышленник знает ваш логин, а пароль подбирается мгновенно, то это равносильно тому, чтобы запереть входную дверь в квартиру, оставив ключ в замке со стороны подъезда.
Если для доступа в аккаунт необходимо ввести только логин и пароль, а двухфакторная авторизация отсутствует, то в теории можно подобрать пароль любой длины и сложности. Суть в том, что на подбор самых лёгких паролей потребуется всего одна секунда, а достаточно сложные и длинные пароли придётся подбирать на протяжении сотен и тысяч лет.
В различных источниках сообщается, что устойчивый к взлому пароль должен состоять как минимум из 12 знаков, но это уже устаревшая информация. Стремительное увеличение вычислительных мощностей компьютеров и бурное развитие нейросетей уже сейчас в теории позволяют подобрать даже самый сложный пароль из 12 знаков всего за 8 месяцев. В теории, потому что для этого потребовался бы суперкомпьютер, состоящий из 10 тысяч графических процессоров NVIDIA A100, и обученная на этих мощностях нейросеть. А это не является чем-то невозможным, для этого нужны только время и деньги.
Разумеется, никто не будет тратить месяцы на взлом аккаунта человека, который не является политиком, большим предпринимателем или важным сотрудником серьёзной компании, поскольку выгода от такого взлома крайне сомнительна. Но технологии продолжают развиваться, и то, что сейчас взламывается менее чем за год, в будущем может быть взломано менее чем за месяц или даже неделю при относительно небольших финансовых затратах.
Поэтому уже сейчас достаточно надёжный пароль должен состоять как минимум из 14 знаков, которые содержат числа, буквы в верхнем и нижнем регистре (большие и маленькие буквы) и спецсимволы (!@#$%^&* и так далее). Главное, не использовать в пароле существующие слова и общедоступные данные о себе, такие как дата рождения или фамилия. На взлом пароля такой длины и сложности вышеуказанными компьютерными мощностями потребуется 3 тысячи лет. Но что будет лет через 10, когда технологии увеличат вычисления доныне недостижимого уровня?
Для ответа на этот вопрос можно посмотреть, как увеличивались мощности графических процессоров за последние 10 лет, поскольку именно они лучше всего подходят для подбора паролей. В 2012 году была выпущена видеокарта NVIDIA GeForce GTX 680, производительность которой составляет 3.250 TFLOPS по FP32 (float). В 2022 году появилась NVIDIA GeForce RTX 4090, которая на момент выхода этого материала является самой производительной видеокартой с производительностью 82.58 TFLOPS по FP32 (float). Нетрудно подсчитать, что вычислительная мощность возросла в 25 раз. Этот подсчёт хоть и грубый, но показательный.
Из этого можно сделать вывод, что при сохранении прежних темпов развития технологий через 10 лет вычисления станут быстрее ещё в 25 раз. Если это будет так, то время взлома сложного пароля из 14 знаков снизится с 3 тысяч лет до 120 лет. Соответственно, на его взлом ещё через 10 лет может потребоваться уже менее пяти лет. Но если сложный пароль состоит уже из 15 знаков, то согласно сделанным подсчётам даже через 20 лет на его взлом уйдут сотни лет, а на пароль из 16 знаков уйдёт несколько десятков тысяч лет. Если исходить из того, что каждые 10 лет мощности продолжат увеличиваться в 25 раз, то сложного пароля из 18 знаков хватит на всю жизнь, а пароль из 20 и более знаков уже можно будет передать по наследству.
Все эти подсчёты носят исключительно теоретический характер, но вполне способны показать, что нынешние надёжные пароли со временем могут перестать быть таковыми, особенно в наше время, когда нейросети ещё недавно казались забавой, а сегодня они уже решают сложнейшие задачи, затрачивая на их решение минимум времени. Но есть ситуации, когда даже самый длинный и сложный пароль не спасёт от взлома.
Слабые места или фатальные ошибки
Один пароль для всего
Одна из распространённых ошибок — использование одного или нескольких паролей для всех аккаунтов. Каким бы пароль не был взломоустойчивым, если на одном сайте случится утечка, а пароли по вопиющей халатности хранились в незашифрованном виде, то утекший пароль в связке с электронной почтой позволит злоумышленнику найти остальные аккаунты человека и войти в них.
Если у злоумышленника получится войти по утёкшему паролю в электронную почту, то это откроет массу возможностей по угону практически всех аккаунтов, зарегистрированных на эту почту. Зная почту и пароль от одного сайта, можно попробовать авторизоваться с их помощью на популярных сайтах, где с наибольшей вероятностью у человека есть учётные записи. Если человек на каком-либо сайте опубликовал свою почту в качестве контакта для связи, то злоумышленник может найти этот сайт с помощью поисковых систем. Так злоумышленник узнает, что на найденном сайте есть аккаунт, зарегистрированный на эту почту, и авторизуется по уже известному паролю.
Разумеется, очень удобно использовать везде один пароль. Один пароль и запомнить несложно, и даже нет необходимости его где-то записать. Вот только такое удобство угрожает в любой момент лишиться сразу всех своих аккаунтов.
Ненадёжное хранение паролей
Самый худший вариант, который только можно придумать — это записать логин и пароль на бумажном стикере и приклеить его к монитору, чтобы он всегда был на виду. Даже если учётные данные таким образом хранятся дома, то можно ненароком сфотографировать себя или своё рабочее место так, что стикер попадёт на фото. Не заметив это, фотография выкладывается в интернет, и логин с паролем становятся достоянием общественности.
Многие люди записывают свои логины и пароли в отдельную тетрадь или блокнот. Не самый лучший вариант, даже если эти записи никогда не покидают дом. Проблема такого хранения учётных данных в том, что тетрадь сама по себе никак не защищена — её можно просто открыть. А если всё же потребовалось тетрадь с паролями куда-то перевезти, то это увеличивает вероятность её потери или попадания в руки посторонним. В конце концов, бумага — не самый надёжный носитель информации: она может промокнуть или выцвести со временем.
Отсутствие двухфакторной авторизации (2FA)
Даже если пароль утёк или злоумышленнику удалось его подобрать, использование двухфакторной авторизации защитит аккаунт от несанкционированного доступа. Активация этой функции при входе в аккаунт потребует ввода дополнительного одноразового пароля, который придёт на электронную почту или номер мобильного телефона.
Обычно одноразовый пароль — это короткий набор цифр, поэтому это не усложнит процесс авторизации. Если сайт или приложение поддерживают двухфакторную авторизацию, то этим нужно обязательно воспользоваться. Даже при слабом пароле второй фактор для авторизации в подавляющем большинстве случаев станет непреодолимым препятствием для злоумышленников.
Как данные могут утечь
Зачастую люди сами отдают свои логины и пароли злоумышленникам, даже не подозревая об этом. О том, что что-то подобное произошло, обычно становится известно постфактум, когда аккаунт угнан, или деньги со счёта уже списаны. Существуют разные схемы кражи учётных данных, включая одноразовые пароли, и все они сводятся примерно к одним и тем же действиям.
Фишинг
Один из распространённых способов украсть логин и пароль — это фишинг. Название способа происходит от английского слова «fishing», то есть рыбалка по-русски. Суть этого способа в том, чтобы человек перешёл по поддельной ссылке, то есть «клюнул на удочку». Например, на электронную почту приходит письмо якобы от одной из популярных социальных сетей с предложением подтвердить актуальность аккаунта или поучаствовать в конкурсе.
Обычно такие поддельные письма повторяют оформление официальных писем, а адрес отправителя похож на официальный адрес, поэтому такая ситуация может ввести в заблуждение. Ссылка в таком письме ведёт на поддельный сайт, адрес которого похож на официальный. Если это поддельный сайт социальной сети, то, перейдя по фишинговой ссылке, человек увидит форму для ввода логина и пароля. Уже на этом этапе должно закрасться подозрение, если человек уже был авторизован в этой соцсети. Если человека ничего не смутило, и он ввёл свои логин и пароль на фишинговом сайте, то его аккаунт сразу переходит в руки мошенникам.
В этом случае даже двухфакторная авторизация может не спасти, потому что человек на фишинговом сайте также вводит одноразовый код, который тут же отправляется мошенникам и незамедлительно используется для входа в аккаунт. Фишинговая ссылка может прийти куда угодно: на почту, в соцсети, в мессенджере. А ещё на фишинговую ссылку можно попасть практически на любом сайте в интернете.
Стиллер
Название способа происходит от английского слова «stealer», переводится как «вор». Стиллер — это вредоносная программа, которая крадёт сохранённые в браузерах логины и пароли, файлы cookie для перехвата сессии пользователя и прочие данные. Украденные файлы cookie позволяют злоумышленнику войти в чужой аккаунт без использования логина и пароля, если система защиты недостаточно надёжная или её удалось обойти.
Нарваться на стиллер можно примерно так же, как и на фишинг: через сообщение в социальной сети или письмо на почте. Также нередки случаи, когда человек сам ищет программу для компьютера или приложение для смартфона и скачивает его из сомнительного непроверенного источника. В скачанном файле вместе с программой может оказаться стиллер или любое другое вредоносное программное обеспечение. Поэтому лучше всего использовать официальные сайты и магазины приложений, а также иные проверенные источники.
Телефонное мошенничество
Это уже стало классикой. Банки, операторы связи, различные службы, сайты и тому подобное сами не связываются со своими пользователями, чтобы узнать их логины и пароли. Кем бы звонящий ни представлялся и что бы ни говорил, нельзя сообщать по телефону свои учётные данные. Это же касается и тех случаев, когда учётные данные пытаются вытянуть через мессенджеры, соцсети или электронную почту.
Некоторые свои данные иногда всё же можно сообщить, например, банку, самостоятельно позвонив по номеру, указанному непосредственно на банковской карте. Но даже в этом случае оператор не попросит назвать пароли, в том числе одноразовые из SMS.
Общественный Wi-Fi
Общедоступная сеть Wi-Fi может оказаться незащищённой шифрованием WPA/WPA2, из-за чего становится возможно перехватывать интернет-трафик, включая логины и пароли. Поэтому при подключении к непроверенному Wi-Fi не рекомендуется входить в свои аккаунты, вводить платёжную информацию и прочие чувствительные данные. Если сайты и приложения поддерживают протокол передачи данных HTTPS, то пользоваться ими через незащищённую сеть Wi-Fi ещё приемлемо, но всегда лучше отдавать предпочтение мобильному интернету, даже если он медленнее.
Самый простой и надёжный способ хранить пароли
Менеджеры паролей — самый удобный и надёжный способ хранить все свои логины и пароли. Такие программы есть для компьютеров и мобильных устройств, они могут автоматически синхронизироваться между собой, чтобы на разных устройствах иметь доступ к единой базе с паролями. Сама база хранится в зашифрованном виде, пользователю нужно только добавить в неё учётные данные своих аккаунтов. Суть менеджеров паролей в том, чтобы никто, кроме владельца паролей, не смог получить к ним доступ даже при большом желании.
Для входа в менеджер паролей нужно придумать всего один пароль, он же «мастер-пароль». Лучше всего сразу придумать длинный сложный пароль, ведь запомнить нужно только его. В идеале именно запомнить и нигде его не записывать.
Чтобы «мастер-пароль» точно не забыть, можно прибегнуть к мнемотехнике — это такой способ легко запоминать сложные вещи. Для этого придумываются различные ассоциации с чем-то знакомым, что мы уже хорошо знаем. В этом случае каждый знак пароля, будь это цифра, буква или спецсимвол, будет ассоциироваться с чем-то, что никак забыться не может.
Например, это может быть череда событий из личной жизни, которые произошли в конкретных местах в конкретном порядке. Берём первые буквы из названий этих мест, добавляем цифры, обозначающие даты событий, и вот получился сложный пароль, который для вас значит что-то конкретное, а для постороннего человека это будет беспорядочный не имеющий смысла набор знаков. Последнее важно, чтобы защититься от подбора пароля, поскольку даже длинные пароли, состоящие из существующих слов, подбираются очень легко.
Какие есть менеджеры паролей
Существует не один десяток менеджеров паролей, большой список самых популярных есть в Википедии. Ниже перечислены менеджеры паролей от российских разработчиков и бесплатные менеджеры паролей, которые заслуживают доверие и доступны на компьютерах и мобильных устройствах.
* Облако, облачное хранилище — это специальный сервер, на котором хранятся пользовательские данные.
Kaspersky Password Manager
📂 Скачать: Android | iOS | Windows | macOS
🚩 Страна: Россия
💾 Хранение паролей: Локально и в облаке
📝 Условия использования: Для полноценного использования нужна платная подписка. Бесплатная версия во многом ограничена и больше походит на ознакомительную версию.
SafeInCloud
📂 Скачать на Android: Бесплатная и платная версии на Google Play | AppGallery | RuStore | NashStore
📂 Скачать на iOS: Бесплатная и платная версии
📂 Скачать на Windows: Microsoft Store | версии для старых Windows
📂 Скачать на macOS: App Store | загрузить файл напрямую
🚩 Страна: Россия
💾 Хранение паролей: Локально и в облаке
📝 Условия использования: Бесплатная версия имеет ряд ограничений, такие как отсутствие синхронизации между устройствами.
KeePassXC
📂 Скачать: Windows | macOS | Linux |
📂 Скачать на Android: KeePassDX | Keepass2Android
📂 Скачать на iOS: Strongbox | KeePassium
🚩 Страна: Германия
💾 Хранение паролей: Локально и в облаке
📝 Условия использования: Программа полностью бесплатная. Есть синхронизация между устройствами.
Bitwarden
📂 Скачать: Android | iOS | Windows | macOS | Linux
🚩 Страна: США
💾 Хранение паролей: Локально и в облаке
📝 Условия использования: Бесплатная версия не имеет серьёзных ограничений и поддерживает синхронизацию между разными устройствами
Zoho Vault
📂 Скачать: Android | iOS | Windows | macOS
🚩 Страна: Индия
💾 Хранение паролей: В облаке
📝 Условия использования: Бесплатная версия не имеет серьёзных ограничений и поддерживает синхронизацию между разными устройствами.
Proton Pass
📂 Скачать: Android | iOS | Расширение для браузера
🚩 Страна: Швейцария
💾 Хранение паролей: В облаке
📝 Условия использования: Бесплатная версия не имеет серьёзных ограничений и поддерживает синхронизацию между разными устройствами.
RoboForm
📂 Скачать: Android | iOS | Windows | macOS
🚩 Страна: США
💾 Хранение паролей: Локально и в облаке
📝 Условия использования: Бесплатная версия имеет некоторые ограничения и не поддерживает синхронизацию между разными устройствами.
Заключение
Чтобы быть максимально защищённым от взлома, необходимо использовать сложные длинные пароли, создавать для каждого сайта и приложения отдельный пароль, отказаться от хранения паролей в ненадёжных местах, пользоваться двухфакторной авторизацией, быть в курсе про угрозы утечек и использовать менеджер паролей.
Стоит всего один раз перенести все свои логины, пароли и прочие учётные данные в менеджер паролей, и отказываться от такого удобного сервиса уже не захочется. Это самый удобный и надёжный способ хранения своих учётных данных. А если база с паролями синхронизируется одновременно и с облаком, и с несколькими устройствами, то потерять разом все копии базы практически нереально.
