В начале двухтысячных ИТ-компании выступили с инициативой объявить первый четверг мая Всемирным днем паролей. С 2013 года этот праздник ежегодно отмечается в ИТ-кругах.
В 2005 году исследователь безопасности Марк Бернетт в своей книге «Идеальные пароли» впервые призвал людей проводить «день паролей». Вдохновившись этой идеей, компания Intel Security рекомендовала объявить первый четверг мая Всемирным днем паролей.
Пароли призваны защитить наши ценные личные данные от посторонних, как замки двери дома. Потребность в паролях, которые защищают все данные от злоумышленников, возникает повсюду: в вашей электронной почте, в банках, при оплате счетов, онлайн-покупках, в социальных сетях и т. д.
Несмотря на все большую вероятность взлома, особенно в последнее время, недостаточно внимания уделяется важности создания сложного и надежного пароля. Не секрет, что люди не меняют пароли годами. Этот день призван привлечь внимание к необходимости надежной защиты.
Немного статистики
Опрос Google показал, что по крайней мере 65% людей повторно используют пароли на нескольких, если не на всех сайтах. Только 55% опрошенных пользователей смогли правильно определить термины «менеджер паролей» и «двухфакторная аутентификация».
Менеджер паролей – это программа, которая позволяет вам создавать и хранить все ваши пароли в безопасном месте. Вместо запоминания всей информации для входа, которую вы используете для каждого сайта, вам нужно запомнить только один мастер-пароль для доступа к автономному хранилищу.
Двухфакторная аутентификация (2FA) – это дополнительный уровень безопасности, позволяющий убедиться, что люди, пытающиеся получить доступ к онлайн-аккаунту, являются теми, кем они себя называют. Для этого пользователь вводит свой логин и пароль. Затем, вместо того чтобы сразу получить доступ, пользователь должен предоставить другую информацию: специальный код, приходящий по SMS или электронной почте, биометрические данные или данные банковской карты и паспорта.
Согласно данным HYPR, 35% пользователей хранят свои пароли в электронных таблицах Excel или текстовых документах на своих компьютерах. Согласно другому недавнему исследованию, проведенному Harris Poll в партнерстве с Google, 59% опрошенных заявили, что используют свое имя или дату рождения в пароле, 33% используют имя питомца, а 15% и 14% – имя партнера или ребенка.
Пароли с использованием имени или значимых дат действительно легко запомнить, однако злоумышленник взломает их в течение одной минуты методом подбора. Избегайте также последовательных комбинаций клавиш (qwerty, 123456 или asdfg). Такие пароли до сих пор возглавляют рейтинги наиболее ненадежных паролей.
Согласно последним исследованиям, около 80% утечек данных были вызваны взломом паролей. И только 45% пользователей изменили бы пароль после взлома.
Взлом пароля часто осуществляется одним из следующих способов:
Брутфорс
Брутфорс (англ. brute force – грубая сила.) – метод взлома учетных записей путем подбора паролей. Хакер использует автоматизированное программное обеспечение, чтобы угадать комбинацию вашего имени пользователя и пароля. Программа перебирает все возможные комбинации символов, сначала пробуя часто используемые и слабые пароли.
Для взлома этим методом уже написано несколько сотен скриптов и программ. Хакеру нужно всего лишь скачать их, правильно настроить и запустить. Далее программа подключается к серверу и перебирает пароли по списку. Однако, этот способ уже малоэффективен, например для взлома почты: пять попыток неверного ввода пароля и почтовый сервер заблокирует ящик.
Фишинг и социальная инженерия
Социальная инженерия – это метод манипуляции, основанный на особенностях психологии людей. Рассылая фишинговые письма, сообщения в мессенджерах и корпоративных чатах, используя фишинговые сайты и/или вредоносные вложения, мошенники заставляют ничего не подозревающих пользователей раскрывать личные данные, распространять вредоносные программы или предоставлять доступ к закрытым системам.
Злоумышленник играет на доверчивости пользователя, рассылая поддельные электронные письма, которые выглядят так, будто они исходят от законных организаций. Нажав на фишинговую ссылку, вы попадаете на фейковую страницу, где предлагают ввести логин и пароль от электронного ящика. Так конфиденциальные данные попадают мошенникам прямо в руки. Подробнее о социальной инженерии можно почитать в нашей статье.
Кража Cookies
Cookies обычно представляют собой небольшие текстовые файлы с заданными тегами ID, которые хранятся в каталоге браузера вашего компьютера или в подпапках данных программы. Файлы cookie создаются, когда вы используете свой браузер для посещения веб-сайта, и регистрируют ваши перемещения по нему, помогает возобновить работу с того места, на котором вы остановились, запоминать зарегистрированный логин, выбор темы, предпочтения и другие функции настройки.
При регистрации на каком-либо сайте или входе в почтовый аккаунт, браузер предлагает запомнить логин и пароль, чтобы вам не приходилось вводить их заново. Принимая предложение, веб-сервер создает cookie с вашим логином и паролем и передает его браузеру. Злоумышленник может заполучить cookies, а вместе с ними и доступ к вашему аккаунту с помощью сниффера – программы, которая перехватывает и анализирует трафик.
Атаки через открытый Wi-Fi
Открытый Wi-Fi или Wi-Fi, не требующий пароля, – это, по сути, бесплатный доступ ко всем вашим файлам. Подключившись к Wi-Fi в аэропорту или в макдональдс, вы можете работать с банковскими счетами, личной почтой или заходить в соцсети. А приложения злоумышленников могут отслеживать трафик в публичных сетях Wi-Fi.
Приложение отправит хакеру уведомление, как только пользователь введет свои учетные данные для доступа к определенному сайту. Затем они могут перехватить и украсть эту информацию.
Вредоносное ПО
Малварь (Malware, сокращенно от английского «malicious software») – общий термин для вирусов, червей, троянов и других вредоносных компьютерных программ, которые хакеры используют для уничтожения и получения доступа к конфиденциальной информации: данных о банковских картах и другой финансовой информации, именам пользователей, паролям, адресам электронной почты, физическим адресам, номерам телефонов и датам рождения.
Вредоносное ПО часто попадает в вашу систему через случайную загрузку с подозрительных веб-сайтов, на которых размещены всплывающие окна, или через ссылки для «бесплатной загрузки». Случайно загруженный троян или вирус-шпион предоставляет злоумышленнику доступ к вашим данным: логинам и паролям, а также к другой информации, хранящейся на вашем устройстве.
Ошибка использования паролей
Обмен паролей – рискованное дело
Согласно разным исследованиям, от 43% до 51,61% респондентов делятся паролем с друзьями, членами семьи, партнерами. Только 11% меняют свой пароль после расставания или ссоры. Обмен паролями – рискованное дело, ведь этот пароль может попасть в руки злоумышленника. Мошенники могут захватить аккаунт и рассылать спам или внести нежелательные изменения.
Как давно вы меняли пароль от Wi-Fi?
С каждым годом растет поток новостей и исследовательских работ, в которых подробно описываются крупные бот-сети, использующие уязвимости маршрутизаторов и устройства с учетными данными по умолчанию. Это неудивительно, ведь более половины пользователей интернета – 51% – никогда не меняли стандартный пароль от Wi-Fi и не обновляли прошивку роутера.
Вы можете этого не осознавать, но периодическая смена пароля WiFi является важной частью обеспечения безопасности вашей сети (и устройств в ней). Если вы до сих пор используете пароль по умолчанию, указанный на вашем WiFi-роутере, как можно скорее смените его. Эти пароли маршрутизаторов хорошо известны и легко доступны хакерам, что подвергает вас риску того, что злоумышленник захватит вашу сеть, заблокирует доступ к маршрутизатору и получит доступ к файлам вашего устройства.
Безопасность мобильных устройств
Сегодня каждый производитель мобильного устройства и разработчик ПО, будь то iOS, Android или Windows, предлагают различные формы защиты: пин-код, Touch ID, Face ID, сканеры радужной оболочки глаза. Многие интересуются, какой способ защиты данных лучше. Однако 52% людей пренебрегают любыми способами защиты и не ставят пароли на свои мобильные устройства. Это означает, что потеря устройства может привести к потере всех данных, которые хранились на нем, включая пароли и финансовые данные.
На мобильных устройствах также необходим PIN-код или код доступа. Коды доступа также должны быть настроены на тайм-аут. По истечении тайм-аута код необходимо будет ввести повторно. В идеале перерыв должен составлять не более 20 минут, хотя лучше всего использовать более короткие периоды.
Во Всемирный день паролей эксперты Digital Security советуют:
- Изменить старый пароль на длинный и надежный. Ваш пароль должен состоять не менее чем из 8 символов и желательно содержать строчные и прописные буквы, цифры и символы. Длинный пароль обеспечивает большую защиту, чем короткий, если он правильно составлен. При создании пароля не используйте личную информацию, такую как ваше имя, возраст, дата рождения, имя ребенка, матери или супруга, кличка питомца. Проверяйте, чтобы ваш пароль не попадал в списки самых ненадежных паролей;
- Включить двухфакторную аутентификацию для ваших важных учетных записей;
- Не вводить пароли на компьютерах, которые вы не контролируете – на них может быть установлено вредоносное программное обеспечение, которое пытается украсть ваш пароль;
- Не вводить пароль при подключении к незащищенным соединениям Wi-Fi (например, в аэропорту или кафе) – хакеры могут перехватить ваши пароли и данные через незащищенные соединения;
- Защитить паролем ваш беспроводной маршрутизатор;
- Выбирать «никогда», когда интернет-браузер запрашивает разрешение на запоминание ваших паролей;
- Не хранить пароли на стикерах рядом с рабочим местом, в документах Excel на компьютере или в заметках на телефоне;
- Выходить из системы, когда вы закончите работу.
Комментарий удален модератором