«Сим-сим, откройся!» - помните? В сказке волшебный пароль открывал пещеру с сокровищами. В наш цифровой век проблема остается - его могут узнать те, для кого он не предназначен. Только пещера теперь - Ваш личный кабинет, куда разбойники могут проникнуть удаленно.
Что такое скомпрометированный пароль
Вы когда-нибудь заходили в Менеджер паролей Вашего браузера или телефона? Попробуйте – скорее всего, будете неприятно удивлены, когда узнаете, что Ваш старый пароль стал секретом Полишинеля!
«Пора паниковать?» «Уже все украли?» Давайте разберемся: скомпрометированный пароль - пароль, который стал известен кому-то, кроме Вас - не обязательно хакеру в балахоне из фильма двадцатилетней давности. Возможно, утечка произошла из базы данных онлайн-магазина, где Вы когда-то купили чехол для телефона, или из социальной сети, которой Вы давно не пользуетесь. Тем не менее, пароль нужно перестать использовать и заменить его во всех сервисах.
В открытом доступе находятся не миллионы, а миллиарды пар «логин-пароль», собранных из утечек за последние десять лет. Существуют целые базы данных, где ваша электронная почта может оказаться рядом с паролем, который Вы используете для входа в мобильный банк. Почему это опасно? Потому что первое, что делают злоумышленники, получив пару «логин-пароль» - пробуют ее на всех популярных сервисах: почта, форумы, социальные сети.
Один утекший пароль от старого сервиса, и вот уже открыта дверь в Ваш почтовый ящик, а оттуда, через функцию «Забыли пароль?» - во все остальные сервисы.
Три способа лишиться пароля:
Способ первый - массовая утечка данных. Базы данных компаний могут оказаться в руках злоумышленников. Это не Ваша вина, и Вы не можете контролировать, как сервис хранит информацию. Однако, если каждый сервис защищен уникальным паролем, утечка из одного места не откроет доступ к остальным.
Способ второй - фишинг. Вам приходит письмо, визуально неотличимое от банковского: «Подтвердите Вашу учетную запись». Ссылка ведет на сайт, который выглядит, как настоящий. Вы вводите логин и пароль, нажимаете «Войти» - и Ваши данные уже у мошенников. Сайт может даже перенаправить Вас после этого на настоящий сайт, чтобы Вы ничего не заподозрили.
Способ третий - социальная инженерия.«Здравствуйте, это служба безопасности. Мы зафиксировали подозрительную операцию, Ваши деньги в опасности! Для блокировки карты назовите код из смс». При этом они обычно создают ложное чувство срочности, чтобы Вы оставались на линии, а не перезвонили бы в банк или не проверили бы приложение. Настоящий банк код не запросит никогда!
Как проверить, не попал ли Ваш пароль в утечку
Несколько лет назад в соцсетях стали массово появляться посты вроде «Как бы тебя звали, если бы ты был рок-звездой / комиком / королем? Напиши в комментариях имя первого питомца + улицу, на которой ты вырос / любимое блюдо / любимый цветок».
Люди с удовольствием писали ответы и публиковали у себя пост на стене. Только это был не просто очередной способ набрать больше лайков, а сбор ответов на контрольные вопросы для восстановления паролей!
К счастью, есть способы проверить свои данные:
Менеджеры паролей с проверкой утечек. Такие бразуеры, как Яндекс.Браузер (по ссылке browser://personal/passwords-check) или Chrome (по ссылке chrome://password-manager) умеют предупреждать о скомпрометированных данных, а также автоматически проверяют Ваши сохраненные пароли по базам известных утечек и предупреждают, если какой-то из них скомпрометирован. В смартфонах такие сервисы встроены в само меню настроек, нужно будет зайти в Настройки ➔ Пароли.
Chrome
Yandex
iOS
Системы, встроенные в сайты. Все больше и больше сайтов не позволяют Вам зарегистрироваться с паролем, найденным в базе данных. Если видите такое уведомление - не игнорируйте, меняйте пароль сразу.
Сайты проверки утечек данных. Введите свою электронную почту в такие сервисы, как Mozilla Monitor (https://monitor.mozilla.org/) и узнайте, в каком количестве утечек она фигурирует. Бесплатно, безопасно и проверено миллионами пользователей по всему миру.
Mozilla Monitor
Нельзя:
❌ Сообщать коды из СМС / уведомлений кому бы то ни было, особенно тем, кто представляется сотрудником банка
❌ Переходить по ссылкам из «банковских» писем - лучше откройте приложение или сайт банка сами
❌ Отвечать на посты в соцсетях с вопросами про первое домашнее животное, девичью фамилию мамы и т.д.
Банковские приложения: нужна особая осторожность
➡ Устанавливайте только из официальных магазинов или с сайта банка
➡ Не заходите в них через публичный Wi-Fi в кафе и библиотеке
➡ Обновляйте приложения вовремя - каждое обновление устраняет старые уязвимости