Как обеспечить безопасность паролей

Парольная защита


Самое дорогое, что есть у человека – это его время. Поэтому перед прочтением предлагаем ответить «да» или «нет» на несколько вопросов.

  1. Пользуетесь ли Вы системами дистанционного пользования банковскими услугами, например, Сбербанк онлайн?
  2. Пользуетесь ли Вы электронной почтой?
  3. А социальными сетями?
  4. Покупаете в Интернет-магазинах, оплачивая товары онлайн?

В случае хотя бы одного положительного ответа у вас есть причины дочитать этот материал до конца.

Пароли – это до сих пор самый распространенный способ авторизации, то есть подтверждения того факта, что мы – это мы действительно мы, а именно те самые люди, которые были зарегистрированы на соответствующих Интернет-ресурсах и сервисах. Кроме того, пароли служат для доступа к мобильным телефонам, банковским приложениям, рабочим компьютерам и конфиденциальным файлам.

По данным исследований в среднем пользователь Интернета имеет сейчас порядка 20-25 защищенных паролем ресурсов и аккаунтов. К слову, у автора данного материала на сегодня их порядка семидесяти.

Пароль – это единственная или одна из преград, которая стоит между вашими личными или персональными данными, денежными средствами и компьютерными преступниками. Соответственно, утрата или хищение пароля ведет к утрате этих ваших активов.


Методы взлома и похищения паролей


Чтобы украсть чужие пароли современные кибермошенники используют специальные алгоритмы и программы, которые учитывают пользовательские «хитрости» при разгадывании паролей.

Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:


Кейлоггер

Кейлоггер – это технология наблюдения, которая используется для записи и отслеживания каждого нажатия клавиш на клавиатуре требуемого устройства. То есть при вводе пользователем пароля каждый символ записывается, а затем пересылается злоумышленнику.

Как защититься:

Используйте антивирус с актуальными базами, чтобы предотвратить появление кейлоггера. Используйте файервол, чтобы предотвратить передачу информации кейлоггером третьему лицу. Своевременно обновляйте операционную систему и остальное ПО, чтобы исключить возможность встраивания кейлоггера через уязвимости в вашу систему.


Атака Brute Force

Используются автоматические программы, подбирающие пароль методом сплошного перебора символов.

Как защититься:

Со стороны владельца аккаунта:

Как вам, например, такой пароль - G8r3!!gh8t0r0l0!r1#sGedfwy

Со стороны владельца ресурса, на котором находится ваш аккаунт:

Видели, когда после ввода пароля вас просят дополнительно ввести символы с картинки или решить математическую задачку? Это делается специально, чтобы убедиться в том, что регистрационные данные вводит человек, а не автоматическая программа.


Атака по словарю

Существуют базы данных или словари, используемые хакерами, которые содержат все слова в любом языке. Затем при помощи специальной программы в качестве пароля вставляется слово или комбинация слов из словаря. Атаки по словарю часто бывают успешными, потому что люди имеют тенденцию выбирать короткие, но распространенные пароли.

Как защититься:

Используйте длинные пароли, избегая в них любых слов из словаря или общеизвестных и предсказуемых вариаций слов.


Фишинговые атаки

Очень опасный способ кражи паролей. Фишинговая атака заключается в том, что пользователь сам сообщает личные регистрационные данные мошеннику. Чаще всего речь идет о письмах, которые маскируются под корреспонденцию от вполне надежных и легальных компаний, в которых вас просят скачать файл или нажать на кнопку или ссылку. В ход идут также подложные сайты. Пользователь, думая, что он находится в интернет-магазине или в своем банке, решает оплатить понравившийся ему товар. Вместо этого он передает злоумышленникам в лучшем случае реквизиты личного кабинета в этом магазине, а в худшем – реквизиты банковской карты.

Как защититься:


Данные из социальных сетей и другая раскрытая вами личная информация

также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.

Как защититься:

не используйте в паролях личную информацию.


Утечки данных

это еще одна опасность, угрожающая и паролям и другой важной информации. Если компанию, где хранится ваш пароль, взломают, украденные данные, скорее всего, будут использованы или опубликованы.

Как защититься:

не используете один и тот же пароль в разных местах: компрометация одного аккаунта открывает для злоумышленников доступ и к другим вашим данным.


Как обеспечить безопасность ваших паролей


Давайте пройдемся по списку рекомендаций, как сделать использование ваших паролей безопасным. Начнем с рекомендаций по мере их усложнения.

  1. Не сообщайте никому свои пароли. Ну, тут без комментариев.
  2. Не храните пароли на компьютере в виде текстовых файлов, в приложении «Заметки» на телефоне, не запоминайте пароли в браузере.
  3. Хранение сохраненных паролей в браузере — опасная затея: они не только становятся более уязвимыми для несанкционированного доступа, но и попросту могут потеряться в случае сбоев системы и при отключенной синхронизации.

  4. Используйте длинные и надежные пароли
  5. Пароль должен быть длинным – не менее 10 символов и сложным - используйте заглавные и прописные буквы, цифры и спецсимволы (!»№;%:?). В этом случае при длине пароля десять и более символов время, необходимое на перебор всех вариантов, составит не менее нескольких месяцев.

    Надежный пароль – это непредсказуемый пароль. Первым шагом к безопасности пароля будет отказ от использования пароля в одно слово, потому, что такой пароль очень предсказуемый. Надежные и запоминающиеся пароли состоят из нескольких, не связанных между собой слов:

    MondayCoffeePencil (понедельник-кофе-карандаш)

    Далее заменяем буквы пароля цифрами и специальными символами.

    Получится что-то вроде M0№dayC0ff33P3nc№l

  6. Используйте уникальные пароли для каждого аккаунта
  7. Даже если у вас отличный сложный пароль, но вы его используете везде, он автоматически становится совсем не надежным. При взломе пароля на любом из сайтов, он тут же будет опробован (автоматически, с помощью специального ПО) на всех других популярных почтовых, игровых, социальных сервисах, а может и в онлайн-банках.

    Возникает резонный вопрос – как же запомнить несколько десятков уникальных паролей? Ответ – в следующем пункте.

  8. Используйте менеджер паролей
  9. Менеджеры паролей – это приложения, которые помогают хранить и упорядочивать наши пароли.

    Они представляют собой программы, которые запоминают ваши секретные данные в зашифрованном защищенном хранилище, доступ к которому осуществляется с использованием одного главного пароля (мастер-пароля). Для мобильных устройств возможен доступ по отпечатку пальца.

    Хранение данных возможно как на самом устройстве, так и онлайн, например, в облачном хранилище. Большинство таких программ оснащено инструментами генерации и оценки надежности паролей.

    Главный пароль к хранилищу должен быть соответственно должен быть сложным и надежным – смотри пункт 3.

    Примером платного менеджера паролей является Kaspersky Password Manager. Вот несколько снимков с сайта Касперского:



    Из бесплатных менеджеров с хранением паролей на вашем устройстве можно отметить KeePass Password Safe – популярный инструмент, завоевавший популярность пользователей не только своей простотой и интуитивно понятным интерфейсом, но и очень хорошей безопасностью.

    Вход и использованием мастер-пароля:



    Хранение паролей организовано в виде папок:



    Добавление новой записи:



    Автозаполнение форм:



    Более функциональными можно считать утилиты, представляющие возможности хранения данных в облаке и синхронизации между различными устройствами – смартфонами, компьютерами (LastPass, Dashlane).

    Однако при хранении данных вне локального устройства стоит учитывать, что в случае взлома онлайн хранилища (а LastPass уже взламывали) вам оперативно придется менять все ваши пароли.

    С учетом всего сказанного, разумным решением является хранение самых важных паролей на бумаге (основной пароль менеджера паролей, онлайн-банкинг, основная почта, с помощью которой можно восстановить другие аккаунты) в надежном месте. Менее важные и, одновременно, часто используемые пароли можно поручить программам - менеджерам паролей.

  10. Регулярно меняйте пароли
  11. Пароли нужно периодически менять, чтобы снизить риски при утечке базы данных паролей. По крайней мере, это должно выполняться для самых важных паролей, перечисленных в предыдущем пункте. Новый пароль не должен быть похож на старый. Менять только несколько символов в прежнем пароле – неправильно. Обновляйте пароли регулярно, например раз в месяц.

  12. Используйте двухфакторную идентификацию
  13. Для усиления безопасности следует использовать дополнительную проверку безопасности после успешного ввода пароля - двухфакторную идентификацию.

    Сейчас все серьезные компании включая Microsoft, В контакте, Google, Яндекс, Mail.ru, Facebook и др., а также онлайн-банки добавили возможность включения двухфакторной (или двухэтапной) аутентификации в учетных записях. Настоятельно рекомендуем воспользоваться этим.

    После ввода пароля, система авторизации попросит пройти дополнительную проверку подлинности для входа в ваш аккаунт.

    В качестве проверки используются методы, доступ к которым есть только у вас: сообщение электронной почты, SMS, отпечаток пальца, распознавание лица или USB-ключ.

    В случае компрометации вашего пароля двухфакторная аутентификация не позволит злоумышленникам попасть к вам в аккаунт.

    Вот, например, картинка с популярной социальной сети:



    Видите – для авторизации помимо пароля нам еще предлагают получать SMS.
    Пароль + SMS = двухфакторная идентифиукация.

  14. При продаже своих электронных гаджетов сбрасывайте их на заводские настройки, форматируйте жесткие диски ноутбуков и компьютеров.

Заключение


По итогу, хочется еще раз озвучить: не пренебрегайте безопасностью ваших паролей. Последствия небрежного отношения к ним могут быть очень печальными. В наше время преступность стремительно уходит в киберпространство и ее деятельность направлена далеко не только в отношении ваших материальных, так сказать, ценностей.

Представьте ситуацию, если у вас украдут пароль от аккаунта в социальной сети, например. А вы, допустим, туда не каждый день заходите. Что в таком случае может быть размещено на вашей страничке якобы от вашего имени? Вас не удивит возбужденное против вас уголовное дело за разжигание национальной розни, призывы к насильственному изменению конституционного строя или распространение детской порнографии? Устанете потом оправдываться.

В общем, все как обычно: нет прав без обязанностей или две стороны одной медали. Компьютерные и интернет-технологии дают нам большие возможности в части мобильности и оперативности. Это с одной стороны. Соответственно, на другой чаше весов лежат многочисленные риски, связанные с использованием этих возможностей.

Надеемся, что с помощью в том числе и написанного выше вам удастся сохранить свои пароли в безопасности , а цифровые активы - в неприкосновенности.




Далее:
Безопасность в Интернете