Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
Маркетплейсы
AI
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Max Nalsky
Офтоп

Пожалуйста, не вводите пароль!

Пожалуйста, не вводите пароль!

Что общего у этих компаний?

У каждой из них киберпреступники украли несколько десятков миллионов паролей к аккаунтам их пользователей. Международная сеть из 1800 магазинов TARGET пострадала больше других: у нее помимо паролей были украдены данные 40 миллионов кредитных карт. Вчера компания Yahoo установила своеобразный рекорд, сообщив, что в 2013 году у нее утекли пароли ко всем 3 миллиардам аккаунтов. (Пруфлинки: Sony, Adobe, LinkedIn, bit.ly, Yahoo, TARGET.)

Ежедневно мы пользуемся удобными интернет-сайтами - любимый онлайн-магазин, CRM-система, оплата коммунальных услуг, покупка авиабилетов или бронирование гостиниц. Часто для регистрации на них мы используем один и тот же адрес электронной почты. Мы бы использовали и одинаковый пароль, но один сайт хочет 8 символов, другой - чтобы в пароле непременно были заглавная буква и цифра, а следующий вообще предлагает менять пароль каждые три месяца. Но так или иначе все наши пароли похожи и, зная один, легко подобрать остальные.

Этим умело пользуются кибермошенники. Как только появляется информация о новой уязвимости, они сканируют интернет в поисках сайтов, которые нерасторопные администраторы не успели “пропатчить” (установить обновление, устраняющее брешь). Их целью является доступ к вашей частной информации. В идеале - к электронной переписке, в которой можно найти номер кредитной карты или данные паспорта. Конечно, крупные провайдеры электронной почты - Google, Yahoo, Hotmail, Yandex - много инвестируют в информационную безопасность. Поэтому их взломать непросто. А вот небольшой игровой сервис, который уже показывает первые успехи и обслуживает миллионы подписчиков, - значительно легче. Он только в начале пути, вкладывает в рост и далеко не всегда финансирует защиту данных в достаточной степени.

Жертвами порой оказываются и очень крупные организации, например, правительство США или социальная сеть ВКонтакте. Конечно, любая компания, обнаружив взлом, связывается со своими пользователями и рекомендует им сменить пароль. Люди следуют совету, однако практически никто не меняет тот же пароль на всех остальных вебсайтах, на которых когда-то регистрировался с тем же email-адресом.

Взломав один сайт, преступники получают доступ к паролям всех его пользователей. Далее они перебирают популярные сервисы в интернете и пытаются войти в каждый, пробуя несколько типичных модификаций пароля. Чтобы интернет-сервисам было сложнее распознавать и блокировать такие запросы, используются ботнеты - взломанные компьютеры, объединенные в виртуальную сеть и способные выполнять функции по команде из единого центра. Таким образом миллионы запросов приходят не с одного компьютера, а с десятков тысяч разных машин. Причем запросы с виду вполне легитимные - пользователь просто пытается войти со своим паролем.

Эксперты по информационной безопасности оценивают, что сегодня в интернете гуляет до 4,7 млрд email-адресов, к каждому из которых известен хотя бы один пароль. Хотите проверить, содержится ли ваш адрес во взломанных базах? Для этого есть специальные сервисы, например этот. Если ваш пароль оказался скомпрометирован, то его больше не стоит использовать нигде.

Как же защитить себя в интернете?

Многие сайты содержат кнопку “Войти через аккаунт Google / Facebook / Twitter / VK”. Это удобный и безопасный способ использовать единый пароль на разных сайтах. Технически такой механизм хорошо защищен: сайт никогда не получает ваше секретное слово. Он лишь интересуется возможностью дать вам доступ у серверов Google, а те, в случае необходимости, запрашивают пароль у вас напрямую. Конечно, в этом случае Google или Facebook знают все сайты, где вы когда-либо авторизовались. Зато вы снижаете риск, что пароль будет украден через брешь в малоизвестном сайте.

Когда вы нажмете на кнопку “Войти через соцсеть” на любом сайте, он может запросить у вас дополнительный доступ к данным профиля. Соглашаясь, вы передаете информацию о себе разработчику сайта. Обратите внимание, какие именно данные он счел нужным у вас получить. Если это ваш номер телефона, список друзей/контактов или разрешение публиковать посты от вашего имени, задумайтесь, с какой целью разработчику они нужны и как именно приложение будет ими пользоваться.

Популярные мессенджеры давно используют вместо паролей одноразовые СМС-коды. Это удобно и безопасно - код доступа действует всего несколько минут и злоумышленникам нет никакого смысла его хранить. Вслед за мессенджерами на одноразовые коды начали переходить интернет-сервисы. Популярная платформа Medium, запущенная со-основателем Twitter, отказалась от паролей три года назад. Мы в Pyrus тоже давно перешли на коды и сделали пароль необязательным.

Для серьезной профессиональной защиты лучше использовать сервисы, предлагающие двухфакторную аутентификацию. В этом случае при каждом доступе вам надо будет вводить и постоянный пароль, и одноразовый код.

Пароли оказались слабым механизмом защиты в масштабах всемирной сети и мир движется к полному отказу от них. Мы привыкли, что телефон мгновенно распознает отпечаток пальца. Недавние успехи Apple в биометрической авторизации по 3D-снимку вашего лица вероятно сделают эту технологию стандартом во всех смартфонах. А в скором времени и компьютеры будут мгновенно узнавать подошедшего к клавиатуре человека.

А пока это светлое будущее не наступило, пожалуйста, не заводите пароль!

11
Начать дискуссию