Архитектор информационной безопасности компании «ИТ-Экспертиза» Алексей Холопов рассказал изданию it-world.ru, как злоумышленники угадывают пароли пользователей и какие меры нужно принять для повышения безопасности своих данных.
Бум цифровых технологий нашего времени сделал вопрос безопасности данных одной из самых актуальных тем. При этом мы по-прежнему полагаемся на такие примитивные средства защиты, как простые комбинации букв и цифр. Каждый год миллионы аккаунтов становятся жертвами кибератак из-за элементарной халатности пользователей.
У современного человека минимум 5-7 разных аккаунтов. Каждый из профилей содержит конфиденциальную информацию, защищенную, как правило, паролем, созданным этим же пользователем. При этом свыше 30% из них повторно используют один и тот же пароль, как минимум, на 3-5 веб-сайтах и приложениях. 65% паролей российских пользователей можно взломать за минуту. Это статистика, но, как говорится, «есть ложь, есть большая ложь, а есть статистика». Возьмите телефон, которым пользуется старшее поколение и если вы с трех раз не подобрали пароль (если он там вообще есть), я сильно удивлюсь. Во всем виновато шаблонное мышление. Давайте на примере: не думая, назовите первое, что придет в голову из этих категорий:
- фрукт
- часть лица
- русский поэт
- цветок
- страна.
Спорим, вы назвали «яблоко», «нос», «Пушкин», «роза» и «Россия»? В большинстве случаев стандартные ответы будут именно такими. Когда система «просит» пользователя придумать пароль при создании аккаунта или регистрации на сайте, то человек очень часто мыслит шаблонно, вбивая в поле «пароль» вполне стандартные, распространенные слова или комбинации. Именно на шаблонность человеческого мышления и делают ставку злоумышленники, когда пытаются «угадать» пароли пользователей от самых разных веб-служб. Но мы же умные; мы выберем паспортное имя домашнего любимца с годом его заведения, любимую марку и модель автомобиля, название улицы, где нам очень нравится… Но сначала сами опубликуем эти данные в соцсетях. А теперь попробуйте подобрать пароль к телефону подростка. Уверяю, это будет совсем другая история: там и распознавание лица, и отпечатки, и рисунок. Почему? Они уже столкнулись с «угоном» аккаунта в игре или попыткой «вскрыть» оставленный телефон в школе на парте.
Получается, что пользователи сами создают большинство лазеек для киберпреступников, выбирая легко угадываемые пароли. А если придумали «хороший», по их мнению, то и в корпоративной сети он появится, дайте только время. Безусловно, взломы и кражи данных стали возможны также из-за увеличения вычислительной мощности современной техники. Любые пароли длиной до шести знаков взламываются мгновенно. Пароль, состоящий из восьми знаков, содержащий строчные, прописные буквы, цифры и символы, может быть взломан в течение 8 часов. Если рассмотреть пароль длиной 12 знаков, то всё зависит от того, какие символы в нём используются. Если это только цифры, то такой пароль взламывается за 25 секунд.
Делается это, конечно, не вручную, а с помощью специальных программ, которые за секунды перебирают тысячи комбинаций, генерирующихся с учетом известных критериев, которыми руководствуются пользователи при создании паролей. При этом программы легко вычисляют пароли, состоящие как из одного слова, так и наиболее популярные комбинации слов и цифр. Списки марок автомобилей, регистрационные номера, даты рождения, исторические места и все возможные комбинации из этого давно собраны и разложены по таблицам «нужных» инструментов. А значит, к вопросу создания пароля современный пользователь должен подходить более ответственно.
Однако, проблема проявляется не только в самом выборе паролей, но и в недостаточной информированности о важности их защиты. Множество пользователей не осознаёт, что надежные пароли – это не просто набор случайных символов. Это первый шаг к созданию многоуровневой системы безопасности, в которой важную роль играют двухфакторная аутентификация и регулярные обновления паролей. Задача грамотного пользователя – создавать более надежные пароли и разумно управлять ими. Еще вчера надежным сочетанием считались пароли от 8 символов, а сегодня – уже от 16.
Обычному пользователю следует не реже одного раза в шесть месяцев изменять пароли от важных аккаунтов. А чтобы легче всего было создать и запомнить пароль, можно использовать метод комбинирования на основе собственных ассоциаций и упорядочивания. Вспомните значимое для вас событие и придумайте алгоритм, по которому вы переведёте его в последовательность букв, цифр и символов. Например, фразу «Я первый раз был на море, когда мне было 4 года» можно превратить в I1rB@m, kM$4g.
Алексей Холопов,
архитектор информационной безопасности, «ИТ-Экспертиза»
Самое актуальное и интересное – у нас в telegram-канале!