Бизнес работает на IT и, соответственно, IT-безопасность ваших данных и финансов — одна из ключевых областей, которые нужно защищать. Надежный пароль – один из главных элементов безопасности. Это ключ, хранить который стоит внимательней всего. Давайте, поговорим о том, почему это так и как надо использовать пароли, чтобы не подвергать риску свою репутацию, безопасность и финансы.
Откуда ИМ может быть известен мой пароль?
ОНИ: хакеры – традиционное зло всемирной паутины, давно довели до совершенства процесс взламывания чего угодно. В частности, особой популярностью у них пользуется угадывание вашего пароля методом перебора комбинаций.
В свое время было взломано множество ресурсов, откуда в распоряжении хакеров попали базы с миллионами паролей. Сегодня взломы, исчисляющиеся кражей миллионов паролей, не впечатляют. Счет идет уже на миллиарды. Только сейчас стало известно, что еще в 2013 г. хакеры взломали почтовый сервис Yahoo!. Их добыча — данные сразу одного миллиарда пользователей. И это только одна из составляющих добычи.
Какие пароли легкоугадываемы
Многочисленные базы украденных паролей были тщательно проанализированы и в результате созданы рейтинги легкоугадываемых паролей.
К ним можно отнести следующие:
- 123456;
- Ivanova76;
- Petrov2015;
Заметим, что, по статистике, легкомысленных пользователей с легко угадываемыми паролями во всем мире минимум 40%.
Мы призываем перестать относиться к выбору пароля как к развлечению, потому что именно он стоит между хакером, вашими персональными данными, деньгами и даже репутацией. Сегодня желанной добычей становятся не только денежные средства, но и личная информация. Потому что в дальнейшем она может выступить поводом для шантажа.
Не упрощайте жизнь хакеру – не экономьте усилия при обдумывании пароля
Интернет не прощает легкомысленного отношения к паролям. Помните, придумывая пароль, ставьте в приоритет не простоту запоминания для вас, а сложность угадывания для хакеров.
Кстати, методом перебора, в том числе и полного (brute-force), взламываются любые пароли. Не только из рейтинга легкоугадываемых. Здесь просто вопрос во времени: 12345 «сломается» за 1 секунду, оригинальное слово – за час.
Наша задача – усложнить жизнь тех, кто считает вас легкой интернет-добычей и недооценивает пользовательскую IT-грамотность в отношении паролей, по максимуму.
Какой он – сложно угадываемый пароль?
Итак, какой он – ваш идеальный пароль:
- Длинный. Минимум 8 символов: используйте заглавные и прописные буквы, цифры, латинские и русские символы. Усложняйте пароль по максимуму.
- Наше категорическое «нет» использованию собственного имени и фамилии. Специальные программы для взлома быстро подбирают подобные пароли.
- Даты рождения: ваши, жены, детей, любимой собаки также под запретом. Для специалистов найти подобные данные и вычислить пароль – дело 5 минут.
- Пароль-профессиональный термин или просто редкое слово также неэффективен. Сегодня существуют специальные словари для распознавания.
- Надежные и запоминающиеся пароли состоят из нескольких слов. Например, ЛюбимыйЦветМоейМамыСиний. Это достаточно сложный пароль для угадывания хакером и очень просто для запоминания пользователем.
На какую удочку нас ловят хакеры
Для того чтобы пароль оказался рассекреченным, хакер не всегда использует сложные программы, вирусы и базы. Чаще способы рассекречивания нашего пароля лежат в области мошенничества и обмана доверия, чем имеют отношение к высоким технологиям.
- Фишинг.
- Социальная инженерия.
- Бесплатное приложение.
- Технические новинки.
Остановимся на способах мошеннического выманивания паролей подробней.
Фишинг
Или «пароль мы скажем сами». Является достаточно изощренной технологией, потому что не выманиваются напрямую деньги. Работает таким образом: создается поддельная страница, абсолютно идентичная странице входа в аккаунт или известный интернет-ресурс. Предназначена для того, чтобы ввести пользователя в заблуждение. Ничего не подозревая, мы вводим логин и пароль, система их запоминает, заходит на страницу и меняет данные.
Чем чреват фишинг паролей:
- Получение пароля от электронной почты. Хакер получает доступ ко всем адресам, хранящимся в почтовом ящике. Рассылая вредоносную информацию от вашего имени, злоумышленник злоупотребляет доверием, которое друзья, знакомые или деловые партнеры проявят к информации, исходящей от вашего адреса.
- Кража пароля от аккаунта социальной сети. Получив доступ к вашей странице, злоумышленник не только получает все контакты и истории к каждому из них, но и приобретает возможность выступать от имени пользователя. Приписывать действия, которых он не совершал и всячески подрывать репутацию.
- Выманивание пароля от платежной системы ведет к потере всех денежных средств. Но и это еще не все – велика вероятность открытия кредитной карты на имя пользователя, чей пароль от платежной системы был получен с помощью фишинга.
Социальный инжиниринг
«Социальная инженерия» — атака непосредственно на человека и его подсознание. Крайне эффективный, опасный и разрушительный способ получить личные данные, в том числе, и пароль. Метод основан на манипулировании чувствами пользователя, его неопытностью, слабостями. Использование всего перечисленного может иметь просто фатальные последствия как для конкретной личности, так и для компании, в целом.
Социальный инжиниринг имеет много уровней сложности и изощренности обмана:
- Примитивный выглядит так: офисному работнику, вроде нас с вами, звонят от имени службы информационной безопасности с просьбой сообщить пароль от сети, и 90% пользователей его сообщают.
- Продвинутый социальный инжиниринг может иметь следующий вид:
Звонок:
«Добрый день, Вы Иван Иванов? Это звонят из прокуратуры Московской области. Скажите, у вас есть аккаунт в социальной сети «Одноклассники» под именем Ванёк Иванов? Есть? Так вот, обнаружено, что от Вашего имени ведется массовая рассылка материалов экстремистского характера. Что Вам об этом известно? Ничего? В таком случае, нам нужен доступ к Вашему аккаунту. Нами будет установлен IP-сканер, который вычислит преступника. Сообщите свой пароль.»
По статистике 76% пользователей сети «Одноклассники» назовут свой пароль в случае такой формулировки.
Поэтому в нашей жизни главное: бдительность, бдительность и еще раз бдительность. Обращайте внимание на все: с какого номера телефона поступает звонок, просите сотрудника представиться, выясняйте, существует ли он на самом деле, перезванивайте сами.
Социальная инженерия – это целый пласт хакерской деятельности, масштабы которой становятся эпичными, а причиненный ущерб стремительно растет и исчисляется сотнями миллиардов долларов. Поэтому в следующих наших статьях мы обязательно расскажем подробней: что это такое и как избежать ловушек хакеров, использующих приемы социального инжиниринга.
UPD: Подробнее о соц. инженерии можно прочитать: Социальный инжениринг 1: введение.
Бесплатное приложение
Достаточно часто бывает потенциальным носителем вируса. Установив такое приложение, мы даем вирусу возможность скопировать любые вводимые данные. Далее хакер сам решает, как с ними поступить – заблокировать или удалить.
Технические новинки
Они бывают совсем не так безобидны, как нам хотелось бы считать. Журнал «Хакер» гордится исследователями из университета штата Иллинойс, которые создали специальное приложение для умных часов. С его помощью можно очень точно угадать пароль, который пользователь вводит на клавиатуре. Элегантное и коварное приложение просто снимает данные с гироскопов, вмонтированных в умные часы и узнает, какие именно кнопки нажимает рука, на которую надет гаджет. Добавим, что и наручные шагомеры также поставлены хакерами на службу собственным интересам.
Резюме
Итак, вы уже «знаете в лицо» основные киберугрозы всемирной паутины и понимаете, что пароль легкий означает опасный. Идентифицируйте используемый вами в этом качестве набор букв и цифр и создайте хорошую привычку использовать системный подход при генерации паролей.
В следующей статье мы поговорим о том, где раздобыть надежный взломостойкий пароль, где правильно его хранить и что делать, если все же стали добычей кибермошенников.
UPD: Статью «Пароли часть 2: что еще важно знать» читайте здесь.
Будьте в безопасности, друзья.
