Бизнес работает на IT и, соответственно, IT-безопасность ваших данных и финансов — одна из ключевых областей, которые нужно защищать. Надежный пароль – один из главных элементов безопасности. Это ключ, хранить который стоит внимательней всего. Давайте, поговорим о том, почему это так и как надо использовать пароли, чтобы не подвергать риску свою репутацию, безопасность и финансы.
ОНИ: хакеры – традиционное зло всемирной паутины, давно довели до совершенства процесс взламывания чего угодно. В частности, особой популярностью у них пользуется угадывание вашего пароля методом перебора комбинаций.
В свое время было взломано множество ресурсов, откуда в распоряжении хакеров попали базы с миллионами паролей. Сегодня взломы, исчисляющиеся кражей миллионов паролей, не впечатляют. Счет идет уже на миллиарды. Только сейчас стало известно, что еще в 2013 г. хакеры взломали почтовый сервис Yahoo!. Их добыча — данные сразу одного миллиарда пользователей. И это только одна из составляющих добычи.
Многочисленные базы украденных паролей были тщательно проанализированы и в результате созданы рейтинги легкоугадываемых паролей.
К ним можно отнести следующие:
Заметим, что, по статистике, легкомысленных пользователей с легко угадываемыми паролями во всем мире минимум 40%.
Мы призываем перестать относиться к выбору пароля как к развлечению, потому что именно он стоит между хакером, вашими персональными данными, деньгами и даже репутацией. Сегодня желанной добычей становятся не только денежные средства, но и личная информация. Потому что в дальнейшем она может выступить поводом для шантажа.
Интернет не прощает легкомысленного отношения к паролям. Помните, придумывая пароль, ставьте в приоритет не простоту запоминания для вас, а сложность угадывания для хакеров.
Кстати, методом перебора, в том числе и полного (brute-force), взламываются любые пароли. Не только из рейтинга легкоугадываемых. Здесь просто вопрос во времени: 12345 «сломается» за 1 секунду, оригинальное слово – за час.
Наша задача – усложнить жизнь тех, кто считает вас легкой интернет-добычей и недооценивает пользовательскую IT-грамотность в отношении паролей, по максимуму.
Итак, какой он – ваш идеальный пароль:
Для того чтобы пароль оказался рассекреченным, хакер не всегда использует сложные программы, вирусы и базы. Чаще способы рассекречивания нашего пароля лежат в области мошенничества и обмана доверия, чем имеют отношение к высоким технологиям.
Остановимся на способах мошеннического выманивания паролей подробней.
Или «пароль мы скажем сами». Является достаточно изощренной технологией, потому что не выманиваются напрямую деньги. Работает таким образом: создается поддельная страница, абсолютно идентичная странице входа в аккаунт или известный интернет-ресурс. Предназначена для того, чтобы ввести пользователя в заблуждение. Ничего не подозревая, мы вводим логин и пароль, система их запоминает, заходит на страницу и меняет данные.
«Социальная инженерия» — атака непосредственно на человека и его подсознание. Крайне эффективный, опасный и разрушительный способ получить личные данные, в том числе, и пароль. Метод основан на манипулировании чувствами пользователя, его неопытностью, слабостями. Использование всего перечисленного может иметь просто фатальные последствия как для конкретной личности, так и для компании, в целом.
Социальный инжиниринг имеет много уровней сложности и изощренности обмана:
«Добрый день, Вы Иван Иванов? Это звонят из прокуратуры Московской области. Скажите, у вас есть аккаунт в социальной сети «Одноклассники» под именем Ванёк Иванов? Есть? Так вот, обнаружено, что от Вашего имени ведется массовая рассылка материалов экстремистского характера. Что Вам об этом известно? Ничего? В таком случае, нам нужен доступ к Вашему аккаунту. Нами будет установлен IP-сканер, который вычислит преступника. Сообщите свой пароль.»
По статистике 76% пользователей сети «Одноклассники» назовут свой пароль в случае такой формулировки.
Поэтому в нашей жизни главное: бдительность, бдительность и еще раз бдительность. Обращайте внимание на все: с какого номера телефона поступает звонок, просите сотрудника представиться, выясняйте, существует ли он на самом деле, перезванивайте сами.
Социальная инженерия – это целый пласт хакерской деятельности, масштабы которой становятся эпичными, а причиненный ущерб стремительно растет и исчисляется сотнями миллиардов долларов. Поэтому в следующих наших статьях мы обязательно расскажем подробней: что это такое и как избежать ловушек хакеров, использующих приемы социального инжиниринга.
UPD: Подробнее о соц. инженерии можно прочитать: Социальный инжениринг 1: введение.
Достаточно часто бывает потенциальным носителем вируса. Установив такое приложение, мы даем вирусу возможность скопировать любые вводимые данные. Далее хакер сам решает, как с ними поступить – заблокировать или удалить.
Они бывают совсем не так безобидны, как нам хотелось бы считать. Журнал «Хакер» гордится исследователями из университета штата Иллинойс, которые создали специальное приложение для умных часов. С его помощью можно очень точно угадать пароль, который пользователь вводит на клавиатуре. Элегантное и коварное приложение просто снимает данные с гироскопов, вмонтированных в умные часы и узнает, какие именно кнопки нажимает рука, на которую надет гаджет. Добавим, что и наручные шагомеры также поставлены хакерами на службу собственным интересам.
Итак, вы уже «знаете в лицо» основные киберугрозы всемирной паутины и понимаете, что пароль легкий означает опасный. Идентифицируйте используемый вами в этом качестве набор букв и цифр и создайте хорошую привычку использовать системный подход при генерации паролей.
В следующей статье мы поговорим о том, где раздобыть надежный взломостойкий пароль, где правильно его хранить и что делать, если все же стали добычей кибермошенников.
UPD: Статью «Пароли часть 2: что еще важно знать» читайте здесь.