Взлом паролей: «вечная классика» киберпреступников и как себя защитить
Фото - © Pixabay
Директор по информационным технологиям EdgeЦентр Сергей Липов рассказал РИАМО о том, как создавать безопасные интернет‑пароли и как их запомнить.
Какой длины должен быть надежный пароль
Фото - © Adobe Stock
Начнем с того, что защита лишь с помощью пароля никогда не будет абсолютно надежна. Поэтому, если речь идет о важном ресурсе, где есть доступ к банковским данным и личным документам, нужно включать опцию многофакторной аутентификациии, если она доступна. Система будет проверять, что вы – это вы через вашу почту и телефон. На каких-то сайтах такой подход уже просто обязателен. И это большой плюс в организации кибербезопасности.
Однако пароль все равно есть и его надо придумать. Первое, на что обращаем внимание – это его длина. Сочетания более 12 символов считаются безопаснее, чем последовательности меньшей длины. Все пароли ломаются одинаково – путем перебора до тех пор, пока что-то не подойдет. Поиск вариантов, конечно, ведется не вручную: для этого используются специальные программы и сервисы. Это называется брутфорс-атакой (от brute force – грубая сила). Количество возможных комбинаций растет соответственно с увеличением длины пароля, что усложняет его подбор.
Правила создания пароля, которые так часто встречаются при регистрации на самых разных сайтах, просят обязательно, кроме маленьких и больших букв, использовать цифры и спецсимволы. Это делается в первую очередь для того, чтобы расширить варианты комбинаций. Можно посчитать: 26 букв латинского алфавита, умножить это число на 2 (строчные и заглавные), плюс цифры, плюс специальные символы (например, *+%&#). Все вместе выходит около 80 знаков. То есть, если пароль будет длиной 10 символов, то вариантов его подбора будет 10 в степени 80. Это очень много – на несколько лет перебора. А если в пароле 20 знаков, можно сказать, это навсегда. В сети на определенных ресурсах есть калькуляторы, позволяющие рассчитать, сколько лет займет поиск всех вариантов пароля в зависимости от его длины и состава.
Что не стоит использовать в паролях
Фото - © Adobe Stock
Введи больше символов – и вроде бы все надежно. Но снова есть нюансы. Беда в том, что пользователи чаще всего выбирают пароль стереотипно. Не зря при регистрации на сайтах мы часто видим рекомендацию – не использовать очевидные сочетания типа «123456» или «password». Но как говорится в басне, «уж, сколько раз твердили миру…» мир все равно с завидным упорством и постоянством продолжает вбивать цифры по порядку.
В 2023 году самыми распространенными паролями стали «123456» и «admin», говорится в отчете, разработчика менеджера паролей NordPass в ноябре 2023 года. Пароль «password» занял седьмую строчку в рейтинге часто используемых комбинаций. В двадцатку так же попали «123456789», «1234», «12345», «123», «Aa123456», «1234567890», «UNKNOWN», «1234567», «123123», «111111», «Password», «12345678910», «000000», «admin123», «********» и «user». Отмечается, что перечисленные пароли могут быть взломаны меньше чем за секунду, благодаря чему киберпреступники получат доступ к аккаунтам жертв.
Личная информация, такая как имя, дата рождения, город проживания тоже будет быстро подобрана злоумышленниками. Ведь для этого достаточно изучить данные ваших разных профилей. Не рекомендуют при составлении пароля использовать и клички животных. Даже если вашего кота зовут Армагеддон Афанасьевич. Дело в том, что вы – не единственный человек, кто знает это удивительное имя. Наверняка при ком-то вы подзывали свое животное, а может быть, даже кричали его во двор из окна своей квартиры. Мы никогда не можем точно знать, откуда ждать неприятностей.
Еще одна проблема – при создании пароля люди часто используют так называемые «словарные слова». Нет, это не то, что было в первом классе, когда надо было заучить: «сОбака», а не «сАбака». Словарными словами в данном контексте называют часто используемые варианты. Это имена, географические названия, места работы. Даже устойчивые выражения – это тоже словарные слова. Вы можете быть горды, что придумали такое, казалось бы, надежное сочетание как «snovymgodom» или даже «babkazadedkudedkazarepku», но, увы, такие комбинации тоже успешно взламываются.
Как придумать и запомнить пароль
Фото - © Сайт мэра Москвы
Что же делать? Можно придумать абстрактный набор из букв и символов, который не будет нести никакой смысловой нагрузки и личной информации. Что-то вроде «C45&vFg1“dFFJ0=?wOpJ63%7». Определенные ресурсы в сети при регистрации сами предлагают сгенерировать подобную комбинацию. В ней все прекрасно, кроме одного – как это все запомнить? Учитывая, что для каждого важного сайта вам понадобится индивидуальный пароль, таких последовательностей придется иметь несколько.
Чтобы не заучивать всю эту белиберду, есть один разумный выход. Знатоки кибербезопасности рекомендуют использовать так называемые мнемотехники. Определенные алгоритмы, которые позволяют вам что-то запомнить. Пусть пароль состоит из набора, казалось бы, несопоставимых слов и символов. Но подобраны они будут благодаря вашей индивидуальной логике, тогда угадать их будет непросто. В основе такой комбинации может быть какая-то фраза, до которой додумаетесь только вы. Компания Inex, разрабатывая ресурс для одной крупной российской корпорации, придумала генератор подобных паролей. Первое, что выдала при тестировании эта система, было: «ZavtraNadenutSedlo». Согласитесь, вы запомните такое легко!
Можно дать волю фантазии. «KupiKotuTaburet», «OborvalProvodBaranu», «IdiSladkayaKukushka»… Продолжать можно долго. Теперь между этими словами расставляем цифры и символы (найдите свою логику и для них) – и все готово. У нас получится что-то вроде «!?Primi41Tundru52Dobra» – 22 знака при наборе всех необходимых элементов. Такая последовательность будет не менее надежной, чем «Fg56%43DrIIu&754§4)ghz».
Использовать разные пароли на разных ресурсах
Фото - © Adobe Stock
Теперь к вопросу о количестве паролей. Как бы было просто везде поставить один! Но беда состоит в том, что теоретически доступ к вашему паролю есть у круга лиц, причастных к тому ресурсу, для которого вы его создаете. Сотрудники компаний и государственных структур не станут его использовать, так как это их скомпрометирует. Согласно законодательству, организация несет ответственность за сохранность ваших персональных данных. Доказать, что «кража» произошла именно с их стороны – вполне реально. Да, и из-за одного-двух пользователей, они не станут наживать себе проблемы. А сто-тысяча ученых записей – это точно то шило, которого в мешке не утаить. Плюс, у подобных компаний продуманы алгоритмы защиты от угроз различных взломов и похищений.
Однако если этот же пароль будет фигурировать на каком-то ненадежном ресурсе, никто не может гарантировать, что ваши данные окажутся защищены. Злоумышленники, завладев ими, постараются вычислить все ваши другие аккаунты и благополучно откроют их, введя один и тот же пароль. Поэтому, какой бы надежной ни была ваша комбинация, лучше перестраховаться и хотя бы немного ее изменить при регистрации на других сайтах.
Лаборатория Kaspersky рекомендует прибавлять к прекрасной фразе про Kota, Kukushku или Tundru еще одно слово-ассоциацию. Например, я создаю пароль для почты – «pishutebe-!?Primi41Tundru52Dobra». Или для платформы знакомств – «loveyou-!?Primi41Tundru52Dobra».
Для каждого важного ресурса мы советуем заводить свой пароль. Один – для онлайн-банка, другой – для Госуслуг, третий – для облачного хранилища, четвертый – для социальной сети и так далее. Чтобы совсем не запутаться, впрочем, можно оставить одну общую комбинацию – для всяких не столь важных сайтов.
Важно подчеркнуть, что особый, уникальный, не похожий ни на что пароль, не совпадающий даже косвенно с вашей ключевой комбинацией, нужно придумать для вашего основного почтового ящика. Через него идет восстановление всех вышеперечисленных доступов и аутентификация вашей личности.
Где хранить пароли?
Фото - © Пелагия Тихонова/РИАМО
Разобрались с тем, как придумать пароли. Но на всякую старуху бывает проруха. Нет гарантии, что со временем вы не забудете даже самый логичный для вас набор слов и символов. Особенно, если вы с самого начала решили не напрягать память и разрешили браузеру или телефону запоминать пароль (рекомендуем делать это лишь для сайтов, которые не особо важны вам). Чтобы не заниматься бесконечным восстановлением доступов, пароли нужно куда-то записать. Куда? Например, занести их в текстовый файл и хранить на своем устройстве. Надежно? Нет. С помощью вредоносных программ преступники могут получить доступ ко всем вашим данным и прочитать ваши записи.
Кто-то фотографирует пароли и хранит их в папке с картинками. Но это тоже не лучшее решение. Ваш мобильный могут украсть и так же заполучить всю необходимую информацию. Ходят шутки, что в современных реалиях будет надежнее записать пароли на листочек или в записную книжку, мол, к бумажным носителям взломщики не подберутся. Но мы не можем предугадать вектор атаки. Случайный человек, обнаруживший ваши заметки, может оказаться негодяем и воспользоваться ими в своих корыстных целях.
Мы рекомендуем идти в ногу со временем и использовать менеджеры паролей. Эти инструменты автоматически генерируют (если вы хотите) и хранят любые пароли от ваших аккаунтов. Сегодня для россиян доступны разные программы, с помощью которых можно хранить свои комбинации. LastPass, 1Password, RoboForm, DashLane – наиболее популярные решения, чтобы хранить данные для входа на сайты, покупок, защищенных заметок и контактов на разных устройствах c сопровождением на русском языке. Программы могут работать как расширение в браузере или как отдельные приложения. Как правило, можно выбрать бесплатную версию для записи до 50 паролей и управления ими. Впрочем, без оплаты у некоторых будут ограничения по синхронизации между устройствами.
Есть и другие варианты. При условии, что вам требуется именно хранение важных учетных данных, а такие вещи как автоматическое заполнение форм или сохранение паролей из браузера не имеют значения, стоит обратить внимание на KeePass или Kaspersky Password Manager. Пароли здесь хранятся локально, в зашифрованном файле (с возможностью его переноса на другие устройства), безотносительно браузера, что делает ваши данные менее уязвимыми. KeePass — одна из самых известных бесплатных программ с открытым исходным кодом, доступная на русском языке.
Сайты-подделки для кражи паролей
Фото - © Towfiqu barbhuiya/Unsplash.com
Итак, пароль создан, вы убедились в его надежности и в том, что помните его или он хранится в защищенном месте. Теперь остается последняя задача – как бы это смешно ни звучало - ввести пароль туда, куда нужно. Существуют мошеннические схемы, когда вместо уникального ресурса пользователю подсовывают дубликат-подделку для того, чтобы заполучить его личные данные.
Популярность таких афер растет с каждым месяцем. Например, с мая по октябрь 2023 года число поддельных сайтов, маскирующихся под сервисы Google, увеличилось более чем в два раза – с 615 до 1400 подделок.
Мошенники стараются сделать так, чтобы их поддельные сайты выглядели точно так же, как сайты, которым вы доверяете, на которые заходите каждый день. Это могут быть ресурсы госорганов, разных ведомств, объединений, онлайн-магазинов и так далее. Часто копируется фирменный стиль и пользовательский интерфейс. Для посетителя все выглядит как обычно – по внешнему виду часто подделку не отличишь.
Ссылки на эти фейковые ресурсы пользователи могут получить, например, по электронной почте. Само по себе письмо, составленное якобы от какого-либо госоргана, тоже будет подделкой. Часто в таких сообщениях преподносится необычная и даже пугающая информация, например, зайдите туда-то, чтобы оплатить вашу задолженность. Человек в испуге переходит по ссылке, вводя свои настоящие данные. Так они оказываются в руках преступников.
В сети нужно быть очень внимательным и отслеживать свои действия: научиться распознавать поддельные адреса, не нажимать на первые попавшиеся ссылки. Не следуйте пунктам письма, а сами с помощью поисковиков находите сайт организации. Вы также можете просмотреть контактную информацию компании и связаться напрямую, чтобы проверить поступившее оттуда сообщение. Используйте только те данные, которые вы нашли сами, а не получили со стороны. Обращайте внимание на адрес сайта, где вы планируете сообщить свои данные. Убедитесь, что там написано, к примеру, «fond» (через «о»), а не «f0nd» (через «ноль»). Обратите внимание, стоит ли в начале адреса hppts, что будет означать защищенное соединение по протоколу безопасной передачи данных. Иначе все усилия по генерации супернадежного пароля будут потрачены зря.