Неверный пароль. Слишком простые пароли в интернете могут привести к печальным последствиям
Национальный центр кибербезопасности Великобритании (NCSC) изучил, какие пароли используют британцы. Оказалось, 23 млн человек пользуются паролем 123456. ”МК-Эстония” решила узнать, насколько ответственно к выбору паролей подходят в нашей стране, какой должна быть правильная комбинация и чем грозит пренебрежение мерами безопасности.
В опубликованном списке из 100 000 самых уязвимых паролей на первом месте по уязвимости оказалась комбинация 123456, которую на различных интернет-ресурсах использует 23 млн британцев. Чуть реже встречается расширенная версия — 123456789. Такой пароль придумали себе 7,7 млн пользователей. Пятерку лидеров замыкают пароли qwerty, password и 1111111. Каждым из них пользуются больше 3 млн человек. Также британцы любят использовать в качестве пароля популярные имена, названия футбольных команд, музыкальных групп, имена героев фильмов и
мультфильмов.
Как ключ от дома
Каждый человек, пользующийся интернетом, ежедневно заходит на ресурсы, которые требуют ввести пароль: электронный почтовый ящик, социальные сети, интернет-магазины, рабочая внутренняя сеть, электронная школа и т. п. Кроме того, мы пользуемся банковскими карточками и интернет-банком, пин-кодом для сим-карты и для телефона. Когда таких ресурсов очень много, проблематично придумывать для каждого свой пароль, но идти по пути наименьшего сопротивления все же не стоит.
Веб-констебль Яна Фролова предупреждает, что, если аккаунт интернет-пользователя имеет слабый пароль, либо если человек легковерно доверяет другим свое право доступа, то он легко может стать жертвой мошенника. Многим людям, даже детям, путем подбора простых комбинаций удается взломать электронный адрес или аккаунт в социальной сети другого человека. Это может быть сделано, не задумываясь над последствиями, ради шутки или ради мести, либо цель — кибербуллинг.
”Пароль — это ключ от вашего ”виртуального дома”. Как и ключ от настоящего дома, виртуальный ключ нельзя давать чужому человеку, который сможет войти в ваш дом без позволения, — отмечает Яна Фролова. — Двухэтапная или двухфакторная аутентификация — достаточно надежная система, и я рекомендую пользоваться ей во всех социальных сетях и электронных адресах”.
Веб-констебль обращает внимание на то, что пароль от аккаунта в соцсети или электронной почты должен быть сложным и длинным, созданным по правилам составления сложных паролей. Он должен содержать не менее восьми знаков, там должны чередоваться большие и маленькие буквы, символы и цифры. Кодовое слово пароля не должно быть связано с вашей личностью. Например, имя и день рождения — это очень простая комбинация. Пароль от почты, на которую зарегистрирован аккаунт, не должен совпадать с паролем от вашего аккаунта. На всех аккаунтах пароли должны быть разные.
”Простые правила, о которых не стоит забывать: никому не сообщайте свои пароли, выходите на сайт только с личного компьютера или мобильного устройства. Если вам пришлось использовать чужой компьютер, обязательно не просто закрывайте браузер, выйдите из системы и убедитесь в этом”, — настаивает Яна Фролова.
Она советует менять пароли от электронной почты и социальных сетей два раза в год, но при этом пароли не должны повторяться.
”Если к вашему аккаунту привязан номер телефона, никому не сообщайте приходящие коды и не давайте другим возможности узнать код. Не вступайте в группы, предлагающие что-то бесплатно, не переходите по сомнительным ссылкам, если вы не уверены в их назначении и надежности, — инструктирует веб-констебль. — Используйте на компьютере лицензионное антивирусное обеспечение. Делайте полную проверку своих электронных гаджетов не реже раза в месяц”.
Нет именам, фамилиям, адресам
Департамент государственной инфосистемы периодически напоминает жителям Эстонии о том, что к паролям надо относиться ответственно. Руководитель подразделения кибер-инцидентов (CERT-EE) департамента Тыну Таммер говорит, что из-за слабого пароля повышается вероятность того, что нарушитель сможет получить доступ к учетной записи пользователя.
”Поскольку один и тот же пароль часто используется в нескольких местах, остальные учетные записи тоже находятся под угрозой, — объясняет Таммер. — Кроме того, преступник может получить доступ к разговорам, фотографиям и электронным письмам, отправленным знакомыми. Так один слабый пароль может навредить целой группе друзей. Независимо от того, насколько хороши ваши отношения с кем-либо, ваш пароль должны знать только вы”.
Если к злоумышленнику попадут данные фирмы, он может нанести ущерб, выставляя липовые счета и копируя адрес электронной почты. Таких случаев, по словам Тыну Таммера, в Эстонии много.
Специалист Департамента государственной инфосистемы предупреждает, что надежный пароль не должен быть легко угадываемым. Следует избегать использования имени, фамилии и даты рождения. Также следует избегать паролей, которые могут быть вычислены из повседневной жизни пользователя: адрес, имя домашнего питомца. Длина пароля может составлять 15 знаков, содержащих большие и маленькие буквы, цифры и символы.
”Я рекомендую использовать двухэтапную аутентификацию во всех средах, где это возможно, — советует Тыну Таммер. — Двухэтапная аутентификация также выполняется с использованием ID-карты, Mobiil-ID или Smart-ID. Кроме того, менеджер паролей может помочь вам создать уникальный и надежный пароль для каждой веб-страницы. Это снижает риск взлома других учетных записей из-за утечки одного пароля. Наиболее известными менеджерами паролей являются, например, LastPass, Bitwarden, 1Password, Dashlane и KeePass”.
Для использования менеджера паролей запоминать придется одну-единственную комбинацию для входа в программу, которая сама будет генерировать сложные пароли, запоминать их и использовать на соответствующих ресурсах.
Придумывайте слова сами
Руководитель мобильного подразделения Samsung Антти Аасма считает, что о том, что пароль должен содержать цифры, быть длиннее шести знаков, а в идеале также включать какие-либо символы, и так знают многие. Однако такая логика уже достаточно устарела, и нынешние хакеры умеют взламывать подобные пароли достаточно легко. Поэтому он советует использовать различные сложные комбинации на разных ресурсах, пользоваться менеджером паролей, а также отмечает ряд особых мер безопасности. Например, использовать пробелы и трудно распознаваемые символы, которые многие программы-взломщики не способны учитывать.
”Если пароль, например, начинается с пробела или заканчивается им, его тяжелее украсть, даже попытавшись подглядеть из-за плеча, — поясняет Аасма. — Также сделать пароль надежнее можно, использовав в нем символы”.
В отношении символов, по словам Антти Аасма, следует придерживаться двух правил. Во-первых, хороший символ не используется часто — например, решетка или косая черта. Наиболее распространены восклицательный и вопросительный знаки — угадать их проще всего. Второе правило заключается в том, что не следует заменять буквы символами или цифрами похожей формы, например i цифрой 1, A знаком @ или E цифрой 3. Программы-взломщики сначала пробуют именно такие варианты замены. В результате взломать пароль ”Jaanipäev” может быть так же просто, как ”J@@n1päev”.
”Лучшие пароли — слова, которые полностью придуманы вами самими, и которых нет ни в одном словаре. Но с учетом еще и того, что чем длиннее пароль, тем он надежнее, запоминать длинные последовательности произвольных букв и знаков людям сложно. Гораздо проще запомнить слова и фразы, которые что-то значат, но при этом каким-то образом изменены. Если взять в качестве пароля первую строку вашей любимой песни ”Elas metsas mutionu” и заменить в ней, скажем, все буквы Е на вопросительные знаки, а также добавить какое-либо понятное число, например, год основания Тартуского университета, мы получим пароль ”?las m?tsas mutionu1632”, взломать который будет уже гораздо труднее”, — приводит пример руководитель мобильного подразделения Samsung.
Пин-коды в безопасности
Что касается пин-кодов, которые мы используем в банкоматах и которые тоже периодически надо менять, не забывая о безопасности, здесь все не так страшно. По словам руководителя по связям с общественностью дивизиона маркетинга и коммуникаций SEB Pank Юлии Пийльманн, жители Эстонии очень дисциплинированы и хорошо информированы о правилах безопасности использования кодов и пин-кодов.
”Если вы исключили использование своей банковской карточки третьими лицами, то можно сказать, что вы уже сделали большую работу для ее безопасности, — заявляет Пийльманн. — Здесь напомним об основных правилах пользования банковской карточкой: используйте свою карту только сами; набирая пин-код, закрывайте его рукой, особенно в очереди или автомате, который находится без охраны; во время оплаты своей картой не позволяйте, чтобы с ней уходили в другое помещение; старайтесь помнить о том, куда вы вводили данные своих карточек и в случае незнакомых сделок сразу же свяжитесь со своим банком”.
Представитель SEB Pank отмечает, что количество обманов, связанных со злоупотреблением пин-кодами, минимально, т. е. речь идет о единичных случаях.
”Конечно, смена пин-кода позволяет повысить безопасность. И напомним, что, если у вас есть сомнение в том, что ваша карта попала в чужие руки, незамедлительно свяжитесь со своим банком, чтобы карту можно было заблокировать”, — добавляет Юлия Пийльманн.