0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

АА+ИИ… и не нужно никаких паролей

Содержание

toomth

toomth

Плачь — и ты будешь плакать в одиночестве, смейся и весь мир улыбнется вместе с тобой)

АА+ИИ. и не нужно никаких паролей

Между прошлым и будущим
Случилось так, что в мае 2017 года произошла весьма символичная встреча инфотехнологий прошлого и будущего – в той особенной области человеческой деятельности, которую обычно принято именовать «контроль доступа и защита информации».
Если говорить о прошлом – и настоящем – этого дела, то в первых числах мая компьютерные пользователи всего мира отмечали довольно необычный праздник (о котором большинство людей, возможно, даже не знают). Международный праздник называется «День паролей» или World Password Day, отмечается 4 мая, а учрежден ради пропаганды грамотного использования этой важной меры безопасности среди широких народных масс.
Что же касается будущего, то в последних числах мая СМИ впервые сообщили о том, что корпорация Apple активно работает над весьма необычным новым чипом – носящим название Neuro Engine, или «нейродвижок» в более-менее адекватном переводе на русский. Грамотные обозреватели рынка в общем-то в курсе, что термин «нейро-» применительно к процессору означает аппаратное воплощение идеи нейросетей для систем искусственного интеллекта. Однако сама компания Apple, знаменитая своей скрытностью, пока что категорически не желает ни комментировать слухи о новом чипе, ни – тем более – раскрывать цели его создания. Иначе говоря – пока это как бы загадка и «коммерческая тайна» фирмы.
Но с другой стороны, если хорошо представлять себе ту непростую ситуацию и проблемы, которые давно характерны для роли паролей в сфере информационной защиты, то нынешняя инициатива Apple выглядит не только совсем незагадочной, но и, более того, совершенно естественной и своевременной. Для этого, правда, надо представлять себе, каковы нынче важнейшие идеи и тенденции в этой горячей области.
И поскольку просто так – в лоб – раскрывать «великую тайну» о новой разработке корпорации-гиганта было бы и неинтересно, и не особо убедительно, попробуем рассказать историю иначе. Поговорим о том, что за беды и проблемы с этими паролями были всегда, какими способами их пытаются решать сегодня, почему это тоже не лучшее решение и как, наконец, будет выглядеть действительно сильная защита доступа в нашем недалеком будущем. При такой подаче материала для понимания новой инициативы Apple уже не понадобится ни домыслов, ни дополнительной информации от инсайдеров. Но дабы картина эта выглядела действительно внятной и убедительной, прежде желательно иметь четкое представление о том, что же сегодня понимают под «сильными паролями». И почему эту силу так трудно обеспечить.

Праздник прощания
Итак, коль скоро рассказ начинался от всемирного «Дня паролей» и целиком посвященного ему сайта PasswordDay.org, вполне логично поинтересоваться, как именно этот инфоресурс рекомендует подходить к столь важному делу, как защита наших данных и аккаунтов.
Базовых рекомендаций всего четыре, и довольно трудно предположить, что хоть кто-то из регулярных пользователей компьютеров и Интернета никогда не слышал хотя бы один из этих советов, повторяемых на всех углах вот уже многие годы и десятилетия:
прежде всего, пароли должны быть «сильными», то есть длинными и непредсказуемыми последовательностями из разных символов, непременно выходящих за рамки букв и цифр;
для каждого из аккаунтов и вообще для любого места подтверждения личности обязательно должен применяться свой уникальный пароль, отличающийся от всех прочих;
для управления всем этим хозяйством следует использовать надежную программу – менеджер паролей, доступ к которой, в свою очередь, должен быть защищен особо сильной парольной последовательностью;
и наконец, всюду, где это возможно, вместо тривиальной связки «логин + пароль» надо использовать многоступенчатую или мультифакторную аутентификацию, подразумевающую что-то еще: дополнительные одноразовые пароли, биометрическое сканирование лица или пальца, электронные жетоны и так далее.
Ныне, однако, когда множество служб инфотехнологических новостей – очевидно, «в честь праздника» – повторили все эти давно известные вещи в очередной раз, то как-то само собой получилось так, что звучало это все больше в сентиментально-ностальгическом ключе. Как своего рода «прощание с эпохой».
Потому что, во-первых, все прекрасно понимают, что в реальной жизни подавляющее большинство людей никогда не обременяет себя столь хлопотным исполнением многочисленных «ритуалов безопасности». Практически все, где только возможно, срезают углы и делают себе жизнь попроще. Например, опросы стабильно показывают, что как минимум две трети респондентов для доступа к разным службам регулярно используют один и тот же пароль; примерно такая же – или даже хуже – ситуация и с соблюдением прочих рекомендаций.

Мастер-пальцы
Хотя реклама давно и постоянно пытается убеждать потребителей, что биометрические датчики как средство инфозащиты – это очень крутая, надежная и чрезвычайно сложная для компрометации технология, на самом деле всё тут обстоит совсем иначе. И если лишь чуть-чуть поглубже копнуть информацию для специалистов, то быстро выяснится, что на рынке до сих пор так и не появилось таких устройств биометрического опознания, которые было бы невозможно обмануть.
Существенная разница проявляется здесь лишь в том, до какой степени простым и дешевым оказывается тот или иной метод подделки конкретной биометрии. Ну а этот параметр, как несложно догадаться, очень сильно зависит от того, заточена ли технология обмана лишь строго под имитацию одного конкретного человека, или же она является универсальной. То есть надо ли мошенникам для начала похитить биометрические характеристики жертвы, или же такие вещи для успеха атаки им и не требуются вовсе.

Для глаз: хаотично и недорого
Что же касается традиционных методов спуфинга (предъявления поддельных реквизитов клиента под видом настоящих) для компрометации любых биометрических систем, то одна из самых свежих новостей на данный счет появилась в 20-х числах мая. Умельцы из немецкого хакерского клуба Chaos Computer Club (или кратко CCC) опубликовали официальный пресс-релиз, известивший мир об успешном взломе новейшей системы опознания по радужке глаза, которая защищает доступ к смартфонам Samsung Galaxy S8.
Разработчиком-поставщиком этой биометрической системы для Samsung является фирма Princeton Identity, а Galaxy S8, соответственно, стал первым среди популярных на рынке флагманских смартфонов с аутентификацией владельцев по их радужке глаза, также именуемой ирисом.
Хотя корпорация-изготовитель, как это заведено, широко известила публику о внедрении новейших технологий для надежной биометрической защиты аппарата и данных, ничего даже отдаленно похожего на посулы тут не получилось – как обычно. Оказалось, что достаточно грамотно подсунуть не глаз законного владельца, а его фотографию (плюс чуть-чуть других недорогих хакерских хитростей), и эту «новейшую систему» получается обмануть.

АА, также известная как BB
Из такого рода новостей, которые в области биометрии появляются регулярно и практически синхронно с выводом всякой очередной «новинки технологий», должно быть понятно как минимум одно – самое важное. Просто биометрические датчики сами по себе как средство защиты заведомо не способны предоставить адекватно сильную замену привычным паролям.

Идеал и его воплощение
Описанные выше идеи активно разрабатываются и внедряются на рынке уже не менее пяти лет, но пока что в основном для защиты систем крупных и богатых корпораций, банковских структур и серьезных правительственных департаментов. Лидерами по внедрению новых подходов аутентификации на основе BB, также известной как AA, считаются такие компании, как израильская BioCatch, шведская BehavioSec и транснациональная NuData Security (в апреле 2017-го поглощена гигантом MasterCard).
Есть основания говорить, что практически у всех этих фирм принципиально новый подход к опознанию законного хозяина устройства сосредоточен на идее, что система защиты постоянно собирает и анализирует «то, что она может наблюдать, ничего не требуя от людей». Возвращаясь еще раз к наглядной метафоре сторожевого пса в гостиной, уже можно говорить, что ныне смартфон со средствами АА, по сути дела, и становится такого рода «цифровой собакой». Причем собака эта, надо подчеркнуть, не только бдительно охраняет вашу информацию внутри устройства, но и одновременно выступает надежным «криптографическим гарантом» вашей личности в разнообразных процедурах доступа к внешним услугам.

Читать еще:  Games Weekly. 01-06 апреля 2003

Эксперты рассказали, какие пароли взламывают чаще всего и как защитить свои деньги и личные данные

В 2009 году киберпреступники получили доступ к аккаунтам в твиттере. Пострадали официальный профиль фейсбука, Бритни Спирс и других известных личностей. Случилось это, потому что 18-летний хакер разгадал пароль одного из администраторов твиттера – слово «счастье» (happiness). Многие пользователи ленятся придумать сложный, но надежный пароль, но существует несколько способов, чтобы легко запомнить его и обезопасить себя.

Взломать ваши аккаунты могут не только профессиональные хакеры. На бытовом уровне тоже происходят подобные преступления. Вы наверняка хоть раз слышали о ссорах в семье или скандалах на работе, когда один партнер или коллега подбирал пароль другого и получал доступ к личным файлам.

AdMe.ru рассказывает, что можно сделать, чтобы избежать кражи информации и денег.

Какие пароли совершенно ненадежны

Специальные программы могут «угадать» распространенный пароль за несколько секунд, просто перебирая символы. Люди, которые хорошо вас знают, тоже без труда могут вычислить, какой фразой вы защищаете данные. Исследователи Университета Virginia Tech проанализировали более 6 млн паролей и пришли к выводу, что пользователи совершают одинаковые ошибки. Ниже представлены самые частотные и, следовательно, самые уязвимые пароли.

  • Один и тот же пароль для всех сайтов и аккаунтов. Как только хакерская программа подберет верный пароль к одному из ваших аккаунтов, она тут же применит его к остальным. Увы, но, согласно исследованию 2012 года, 60 % людей ставят один пароль для большинства используемых сайтов.
  • Последовательное нажатие клавиш. В результате получаются пароли вроде «12345» или «qwerty». Есть и более изощренные вариации, например «po09iu87», но и их не составит труда взломать.
  • Выражения любви или ненависти. Многие пользователи могут подобрать фразу из множества символов, но она все равно не защитит их данные, к примеру: ilovemymother или yalublukotikov.
  • Названия известных брендов. Их легко запомнить и можно быстро набрать, но такой же пароль придумают сотни тысяч других людей. В числе распространенных: mercedes, cocacola, snickers.
  • Отсылки к поп-культуре и спорту. Имена актеров и персонажей, название песен, книг, музыкальных групп, спортивных команд и игроков: metallica, nirvana, chelsea.
  • Имя, фамилия и цифры. Например, anna1993 или mrsmith111. Ваши личные данные легко украсть, и даже неформальные вариации любого имени легко подобрать методом брутфорса.

Почему я не пользуюсь менеджерами паролей

Пароли прочно вошли в нашу повседневную жизнь, не проходит и дня, чтобы нам не пришлось придумывать новый сложный код или несколько раз вспомнить старые.

Если лет десять назад в качестве пароля многие использовали дату своего рождения, то современные требования безопасности вынуждают придумывать более сложные сочетания цифр, букв и символов.

В одном iPhone уже может быть до пяти разных паролей и это еще без кодов для сторонних приложений.

Какие пароли лучше использовать

Мошенники научились перехватывать и подбирать несложные пароли, база кодов, хранящаяся на определенном сайте, может быть взломана, предоставляя злоумышленникам доступ к другим аккаунтам пользователей.

Сейчас самыми надежными считаются длинные пароли, сгенерированные случайным образом из букв разного регистра, цифр и символов. При этом пароли не повторятся при регистрации на разных сайтах. Подобрать или угадать их практически невозможно, а если лишиться одной учетки – другие не будут находиться под угрозой.

Так в macOS есть специальное приложение Связка ключей, которое умеет генерировать сложные пароли, в Windows подобное можно проделать при помощи командной строки. Есть специальные расширения для браузера или онлайн сервисы для генерации паролей.

Создать сложный код сейчас очень легко, проблема – его запомнить.

Этим и заманивают пользователей специализированные срвисы/приложения менеджеры паролей.

Что они предлагают

Современные утилиты для хранения паролей имеют множество возможностей. Начиная от встроенного генератора сложных кодов и заканчивая средством для удобного заполнения паролей из базы.

Пользователю нужно лишь запомнить мастер-пароль либо вовсе заменить его отпечатком пальца.

Почти все популярные сервисы имеют приложения для всех актуальных операционных систем, позволяющие более-менее удобно работать с сохраненными паролями.

Сложнее всего было сделать удобное средство для работы с закрытой iOS, но на данный момент, благодаря возможности добавлять сторонние расширения в браузер Safari, активировать менеджер паролей на iPhone можно в пару нажатий.

Данные легко сохраняются и мигрируют между устройствами через iCloud или любое другое облако.

Почему лучше не пользоваться менеджерами паролей

Я всегда скептически относился к подобным программам. Польза в них определенно есть, как есть и ряд веских причин не пользоваться такими сервисами.

1. Любой сейф рано или поздно взломают

Помните историю со взломом аккаунтов знаменитостей в iCloud? И это был не единичный случай, а ведь сервис защищен сложными алгоритмами Apple, а не какого-нибудь начинающего стартапа.

Ничто не мешает хакерам взломать сервер с базой паролей и выложить их в общий доступ или использовать в корыстных целях.

2. Все ошибаются

Разработчики не застрахованы от неудач и ошибок. Любое обновление приложения может содержать дыру или лазейку для злоумышленников, которая в дальнейшем может быть использована для получения доступа к защищенным данным.

Даже iOS, безопасность которой более десяти лет шлифуют и дорабатывают, регулярно позволяет хакерам находить уязвимости и делать джейлбрейк.

Разработчики сервисов для хранения паролей при всем желании не смогут выделить на повышение безопасности и сотой доли средств, которые на этот тратят в Купертино.

3. У каждого есть своя цена

Любой стартап создается с целью получения прибыли. Даже самые идейные разработчики по мере развития проекта начинают задумываться о финансовой выгоде.

Перспективные и популярные сервисы попадают под прицел крупных инвесторов, а через определенное время продаются вместе с накопленной базой конфиденциальной информации. Никогда не знаешь, кто выкупит базу твоих паролей и данных.

Относительно недавно отечественные разработчики популярного приложения, предлагающего хранение конфиденциальной информации, продали свое творение местному банку, после чего сервис испытал отток клиентов.

Разработчики могут банально пожелать большей прибыли и бесплатное приложение станет платным.

4. Не обязательно быть жертвой взлома

Даже если вы считаете, что взламывать вашу учетку никому не нужно, а хакеры в первую очередь будут охотиться за толстосумами и знаменитостями, представьте, что придется сделать, когда узнаете о взломе сервиса.

Нужно будет в кротчайшие сроки обновить сотни сгенерированных паролей на сайтах, формах, в приложениях и операционных системах. Просто ради безопасности, а не потому, что кто-то будет охотиться за вашими данными.

5. Мы и так ничего не помним

Сейчас все больше полезных сервисов освобождают нашу память от какой-либо информации. Нам не нужно запоминать телефонные номера (некоторые и свой с трудом назовут), фамилии и отчества коллег, дни рождения знакомых, памятные даты родственников.

Смартфоны и компьютеры напоминают нам распорядок дня, подсказывают перечень задач и запоминают мысли либо наброски.

С одной стороны верно возложить подобного рода задачи на технику, но ведь наша память с такими темпами совсем деградирует. Я не против заметок и напоминаний, телефонной книги или перечня дней рождений, но вот пароли запоминать все-таки стоит.

Это будет полезной нагрузкой для мозга и обезопасит от нежелательных потерь данных.

6. Для сторонников теории заговора

Можно представить и самый страшный сценарий. В один момент кто-то меняет пароли всех пользователей, которые хранятся в глобальной базе менеджера паролей. Так мы в миг лишаемся доступа ко многим сервисам и службам, которыми пользуемся каждый день.

Появляются сложности с совершением покупок, оплатой, выводом средств и т.д.

Мы ведь и так уже «слили» часть своей конфиденциальной информации Apple, Google и Microsoft, зачем еще отдавать часть данных другим компаниям?

(4.43 из 5, оценили: 7)

Как перестать беспокоиться, что ваш пароль похитят

Соблюдайте эти правила, и никакие взломы и утечки не будут вам страшны.

Недавно хакеры в очередной раз опубликовали базу с миллионами взломанных адресов электронной почты. Мы собрали несколько простых советов, которые придадут вам уверенности, что ваши аккаунты никогда не окажутся в опасности.

Читать еще:  Prology iMap-525MG: не помог ГЛОНАСС, поможет GPS

1. Включите двухфакторную аутентификацию

Это простой, но эффективный способ защитить данные. Двухфакторная аутентификация (2FA) добавляет ещё одно условие для входа в учётные записи — ввод кода из SMS или мобильного приложения. Даже если злоумышленники узнают логин и пароль, они не смогут зайти в аккаунт, не получив доступа к вашему смартфону.

Ознакомьтесь с руководством Лайфхакера, чтобы включить 2FA везде, где только можете. Ну или только в самых важных и ценных учётных записях.

Одна мелочь: когда вы настраиваете двухфакторную аутентификацию, отдавайте предпочтение специализированным мобильным приложениям, а не СМС. Это менее надёжный метод 2FA.

2. Придумывайте надёжные пароли

Постарайтесь придумать длинный пароль. Очень длинный. Нет, правда, чем длиннее, тем лучше. Ещё взлом затрудняют различные дополнительные символы, цифры и буквы в разных регистрах.

Не следует использовать в пароле слова и фразы, которые можно подобрать по словарю. Вообще, лучшие пароли — это те, что сгенерированы случайно.

Проверьте один из своих любимых паролей на сервисе How Secure Is My Password, который показывает, насколько он надёжен и как долго его придётся взламывать перебором. Если на подбор уйдёт меньше миллиона лет — значит, пароль у вас не очень.

3. Используйте уникальные пароли

Многие из нас грешат тем, что используют один и тот же пароль в нескольких своих учётных записях. В особо тяжёлых случаях один набор символов устанавливается вообще на все аккаунты, которые есть у пользователя. А значит, если хоть один из сервисов будет взломан, под угрозой окажутся и остальные данные.

Поэтому всегда придумывайте отдельный пароль для каждой учётки, которую создаёте. Конечно, запомнить все эти пароли будет сложно, но есть выход — парольные менеджеры.

4. Установите менеджер паролей

Парольные менеджеры — великолепные программы по нескольким причинам. Во-первых, они могут хранить сколько угодно паролей любой сложности в надёжно зашифрованном виде. Во-вторых, умеют генерировать устойчивые к взлому комбинации в один клик. И, наконец, они вводят пароли за вас, что существенно экономит время.

Чтобы выбрать, какой менеджер паролей использовать, ознакомьтесь с нашей подборкой. Если вы относитесь к своей безопасности прямо-таки с параноидальной серьёзностью, в первую очередь обращайте внимание на те приложения, которые хранят свою базу в режиме офлайн — тот же KeePass, например.

У хранящейся на вашем диске или внешнем носителе базы паролей куда меньше шансов утечь в сеть. А онлайновый LastPass, несмотря на всю свою надёжность и популярность, всё же подвергался взлому.

5. Меняйте пароли периодически

Постоянно ходить по всем своим аккаунтам в интернете и менять там пароли — это, конечно, уже какая-то форма сумасшествия. Но вот в самых важных учётных записях время от времени (скажем, раз в полгода) делать это стоит. Вот примерный список.

  • Электронная почта. Там хранится ваша переписка, и к электронному адресу, как правило, привязаны аккаунты других интернет-сервисов.
  • Облачное хранилище. В нём содержатся ваши личные и рабочие данные.
  • Банковские приложения и прочие финансовые сервисы. Тут, пожалуй, и объяснять не стоит.
  • Аккаунт Steam. Особенно это необходимо, если вы обладатель богатой коллекции игр.
  • Менеджер паролей. От мастер-пароля зависит безопасность остальных записей.

Во многих парольных менеджерах можно назначать своим записям срок истечения. Когда наступит время, приложение напомнит вам, что в указанном сервисе пора сменить пароль.

6. Используйте необычные ответы на секретные вопросы

Сервис, где вы регистрируетесь, просит придумать секретный ответ на вопрос, использующийся при сбросе пароля? Не надо отвечать честно. Иначе взломщик сможет подобрать правильный ответ, если хорошо вас знает или собирает информацию о вас в соцсетях.

Проявите фантазию. Например, на вопрос «В каком городе была моя первая работа?» ответьте «фиолетовый». Или вовсе сгенерируйте случайный набор символов и сохраните его в менеджере паролей. Для пущей надёжности можно хранить ответы на секретные вопросы в отдельной базе.

7. Откажитесь от сохранения паролей в браузере и на бумаге

То, что не надо записывать логины с паролями в записной книжке или на стикерах, прилепленных к монитору, просто очевидно. Так доступ к вашим данным получат не абстрактные злобные хакеры, а просто любопытные домашние.

Браузер тоже не лучшее место для хранения конфиденциальной информации. Безусловно, это удобно, когда все пароли синхронизируются между устройствами через Chrome или Firefox и вам не приходится ничего вводить вручную.

Однако, если у взломщика есть доступ к устройству, он сможет подсмотреть пароль. Для этого не нужно обладать никакими продвинутыми навыками.

Поэтому для надёжности экспортируйте учётные данные в менеджер паролей. Ну или хотя бы включите в браузере мастер-пароль.

И никогда не храните пароли в текстовых файлах: в таком виде их может открыть и прочитать вообще кто угодно. Вот парень из фильма «Логово монстра» так делал, а в результате его вычислил и начал преследовать маньяк.

Ключевая фраза или пароль — что лучше?

Что лучше: пароль или ключевая фраза? Этот вопрос является предметов дискуссий в кругах специалистов по кибербезопасности в течение многих лет. Специалисты почтового сервиса ProtonMail дают свои рекомендации.

Несколько лет назад известный программист и карикатурист Рэндел Манро, также известный как XKCD, опубликовал комикс, в котором сравнивались пароли и ключевые фразы. На иллюстрации демонстрируется, что пароли слабее ключевых фраз, и при этом их труднее запомнить — из-за этого люди склонны использовать простые пароли, записывать их или использовать повторно. Всё это плохо влияет на безопасность.

Многие люди думают, что пароль должен защищать конкретного пользователя, которого кто-то может попытаться взломать. Это не совсем так. Когда вы создаете онлайн-аккаунт, компания хранит ваш пароль в зашифрованном виде на своих серверах. Если хакеры получат эту базу паролей, тогда им нужно будет только запустить программы для подбора пароля по списку пользователей и убедиться, что они совпадают. Существуют компьютеры, которые могут подбирать миллиарды паролей в секунду, хотя компании обычно используют методы шифрования, которые замедляют этот процесс угадывания.

Что такое ключевая фраза?

Все знают, что такое пароль, но меньше людей знакомы с понятием ключевой фразы. Ключевая фраза — это своего рода пароль, который использует последовательность слов, с пробелами или без (это не имеет значения).

«Correcthorsebatterystaple» — это парольная фраза в комиксе. Хотя ключевые фразы часто содержат больше символов, чем пароли, ключевые фразы содержат меньше «компонентов» (четыре слова вместо, скажем, 12 случайных символов). Это существенно упрощает запоминание ключевой фразы.

Ключевая фраза более безопасна. но не всегда

После выхода комикса XKCD в интернете прошла волна дискуссий. Большая часть дебатов была посвящена количеству энтропии в каждом из примеров. Энтропия — это понятие в теории информации, которое в целом оперирует количеством «случайности», которая содержится в пароле. Как правило, чем больше случайности в пароле, тем сложнее его взломать. Вот почему длинные пароли предпочтительнее — они содержат больше случайности.

XKCD предполагает, что злоумышленник знает, что пользователь сгенерировал ключевую фразу, выбрав четыре их самых распространенных слова случайным образом. Несмотря на это, ключевая фраза содержит больше энтропии, чем пароль. Есть только 94 возможных варианта для каждого символа пароля, что означает меньшую неопределенность. Таким образом, ключевая фраза может быть более безопасной.

Но не всегда. Удлиняя пароль или добавляя слова к ключевой фразе, вы можете увеличить энтропию. Например, 20-значный пароль, состоящий из случайных строчных букв, намного надежнее, чем ключевая фраза из четырёх обычных слов. Такой пароль не может быть атакован перебором по словарю, поэтому он может быть взломан только через полный перебор, а это потребует миллиарды лет для современных компьютеров.

Удобство пользователя

Но аргумент XKCD не только о математике. Речь идет о том, как создать максимально безопасные системы в свете человеческих недостатков.

В течение десятилетий эксперты по информационной безопасности советовали часто менять пароли с использованием цифр, строчных и прописных букв, а также специальных символов. Но мы, люди, плохо умеем создавать «случайность», и ещё хуже её запоминаем. Поэтому многие с большой вероятностью будут использовать простые слова, имена, даты рождения или поговорки, заменяя буквы похожими на них специальными символами. Хакеры могут взломать пароли такого типа за считанные секунды.

В стремлении создать безопасные системы такие советы сделали их менее безопасными. Пользователь AviD в Stack Exchange так прокомментировал комикс XKCD: «Безопасность за счет удобства пренебрегает безопасностью». Другими словами, если ваша «безопасная система» неудобна для использования, люди просто не будут её использовать, отрицая преимущества безопасности.

Рекомендации

И пароли, и ключевые фразы могут быть безопасными. Если вы используете менеджер паролей, различия в безопасности и удобстве использования между паролями и парольными фразами не будут значительными. Однако, если вам нужен пароль, который вы должны помнить наизусть, для удобства запоминания рекомендуется использовать ключевые фразы. При использовании ключевых фраз помните следующее:

  • Четырёх слов должно быть достаточно. Пять слов лучше.
  • Не выбирайте самые распространенные слова или поговорки. Слова должны быть как можно более случайными.
  • Используйте уникальную ключевую фразу для каждой учетной записи — если одна будет раскрыта, другие останутся в безопасности.
Читать еще:  Мультиварка — гибрид кастрюли и компьютера

Восемь (не)секретов виртуальной безопасности. Сможете ли вы придумать надёжный пароль, который не взломают мошенники? [тест]

По информации УМВД, чаще всего белгородцы попадаются на уловки мошенников, ориентирующихся на не всегда высокую информированность в вопросах использования банковских карт, а также при оплате покупок через интернет. Рассказываем вместе с экспертами Сергеем Фоминых и Валерием Пазюком, что делать, чтобы не быть обманутым злоумышленниками. Помешаем мошенникам оставить вас без денег на банковской карте и вашей странички в Инстаграме, где у вас уже есть несколько десятков тысяч подписчиков.

В 2020 году компания DeviceLock проанализировала около 5 миллиардов уникальных пар — логин и пароль — за прошлый год. Среди попавших в открытый доступ из-за массовых утечек паролей популярными стали «123456», «111111», «qwerty», «password», «привет», «йцукен» и «любовь». Исследование проводилось в третий раз, но аналитики обратили внимание пользователей на то, что список уязвимых паролей почти не изменился с 2018 года.

Предлагаем сразу вам пройти наш экспресс-тест, чтобы узнать, насколько вы готовы к реальным опасностям виртуального мира и сможете ли себя защитить в интернете, не став мишенью для кибермошенников.

Экспресс-проверка «Насколько я готов к уловкам мошенников?»

Если у вас есть хотя бы один пароль из приведённых авторами исследования, тогда эксперты советуют их срочно поменять. Повторим азбучную истину: нужно использовать длинные пароли, которые содержат цифры, специальные символы, знаки препинания, а также буквы в верхнем и нижнем регистре. Тогда пароль будет максимально надёжным. Желательно также не связывать пароль с датами рождения и увлечениями — такие пароли быстро взламываются.

Для простоты создания паролей можно пользоваться формулами. Например, такой: Mase89, где Ma — две первые буквы сайта, где он вводится (в данном случае — mail.ru), se — первые две буквы имени, а 89 — значимое для вас число. Такая формула имеет различные преимущества: для каждого сайта вы создаёте свой уникальный пароль, который легко запомнить. Если же вам кажется, что такой пароль недостаточно надёжен для вас, то вам просто нужно усложнить формулу, — делится своим советом директор компании «Смартсет» Сергей Фоминых.

Основатель и руководитель студии #f90, независимый разработчик, преподаватель курса «Школа мобильной разработки» Валерий Пазюк рассказал корреспонденту «Фонаря», как злоумышленники могут использовать наши данные в своих целях и что нужно сделать, чтобы этого не допустить.

Каким образом пользователь может обеспечить свою кибербезопасность?

— Возросшие количество взломов и значимость безопасности в интернете выработали свод правил, которыми следует пользоваться. Например, нужно приучить себя создавать сложные комбинации паролей, однако, к сожалению, не все могут их запомнить. Тут на помощь пользователей браузеров приходят функция сохранения паролей и форм при регистрации, а также механизм единого хранения этой связки паролей, привязанный к учётной записи браузера или операционной системы. Существуют и специальные программы, расширения для браузеров, которые сохраняют пароли в зашифрованном виде. Они либо «подставляют» нужные комбинации в зависимости от сайта, либо пользователь копирует их вручную. Также некоторые антивирусные комплекты содержат программное обеспечение, позволяющее сохранить пароли, — таким образом разработчики сами заботятся о вашей кибербезопасности.

Однако такая возможность может сыграть злую шутку: если подобные данные «утекут», то в руках злоумышленников могут оказаться все ваши пароли. А это всё равно, что потерять связку ключей! Да и само хранение паролей само по себе технически осуществляется на каком-то облачном сервисе, что хоть и удобно, но подвергает лишней опасности. Так что мастер-пароль, который обеспечивает дополнительную степень безопасности вашим паролям, необходимо делать наиболее сложным. Советую менять пароли с частотой 1–3 месяца.

К примеру, браузер Google Chrome предупреждает пользователей, если ваши пароли были как-то скомпрометированы: если вы их вводили на сайтах, которые были взломаны, или на поддельных сайтах, в названии которого была изменена одна буква. Пароли, сохранённые в учётной записи Google, можно посмотреть здесь. Там же есть ссылки на проведение аудита паролей и вашей безопасности, — пояснил Валерий Пазюк.

Почему же всё-таки слабые пароли могут сыграть злую шутку и к чему приведёт их бездумное сохранение для автозаполнения на различных сайтах?

— Пароль — ваш ключ. Ключ от вашего дома, от офиса, от сейфа с деньгами, от транспорта. Вы же в реальной жизни не используете один ключ для всех дверей и замков, чтобы было удобно? Нет, вы понимаете, что у каждой замочной скважины свой механизм. А оставляете ли вы свои ключи на лавке в парке или в магазине? Можете просто подойти к случайному прохожему, протянуть связку ключей со словами «подержите, пожалуйста» и отвернуться? И снова нет. Такая аналогия наглядно доказывает, что один пароль для всех сайтов — затея неудачная. Если ваш пароль станет известным злоумышленнику, а вы это заметите и замените его на одной сайте, проблемы на этом не за кончатся. Всё равно останется целый фронт атак на вас, потому что вряд ли вы не успеете сменить пароль на остальных сайтах.

Сейчас, когда регистрируешься на различных сайтах, форма регистрации старается помочь вам, оповестив, что ваш пароль слабый. Она предложит усилить его, добавив буквы в разном регистре, знаки препинания и цифры. Чем больше таких приёмов вы используете при составлении паролей, тем лучше. Так специальным программам будет труднее их перебрать: как с помощью простого перебора символов, так и с помощью словарей — готового списка распространённых паролей или слов.

Следует использовать программные комплексы для хранения сложных паролей или придумайте какую-нибудь методику их генерации и запоминания. Слабый пароль из восьми строчных символов можно взломать за 20–30 минут, но если вы добавите разнообразные символы, то сложность возрастёт до пары часов, дней, недель или лет перебора, — объясняет программист.


Существуют ли сервисы, которые могут выдавать пароли пользователей?

— К сожалению, такие сервисы есть, они даже находятся в публичном доступе. Персональные данные — это самый востребованный товар современности. Даже именитые компании собирают цифровые «отпечатки» пользователей, чтобы затем использовать полученную данные для рекламных компаний и оценки целевой аудитории. Такая информация, как ценный товар, распространяется на специальных хакерских форумах. В основном, это пара «email — пароль», однако к одной почте могут быть «привязаны» несколько паролей. Таким образом, ваши данные могут оказаться в руках злоумышленников.

В качестве примера рассмотрим такой вариант развития событий. Иногда злоумышленники, заполучив персональную информацию о вас и учётные данные, подходят комплексно. Сначала они могут под видом службы безопасности банка позвонить и уточнить, совершали ли вы вход в приложение банка, пытались ли вы осуществить перевод на определённую сумму, за компьютером ли вы. Разумеется, вы уже понимаете, что это попытка развести вас на деньги, и заканчиваете разговор. Но злоумышленнику достаточно и этого, чтобы применить социальную инженерию и продолжить атаку. Он уже знает за компьютером ли вы или нет, на сколько вы компетентны, у него на руках куча паролей и ссылок на профили в социальных сетях. Не удивляйтесь, если через одну минуту «вы» в социальных сетях начнёте писать друзьям просьбу занять денег до зарплаты.

Ранее заместитель начальника УМВД области — начальник Следственного управления Юрий Баранов рассказывал журналистам, что чаще всего — в 50 процентах случаев — мошенникам удаётся обмануть белгородцев, когда они проводят операции с банковскими картами. Немного меньше случаев мошенничества (30 процентов) составляют ситуации, когда люди соглашаются перевести предоплату за купленные интернет-товары. А вот к просьбам о помощи с урегулированием вопросов, если на родственника якобы завели уголовное дело, — жители региона относятся уже спокойнее и верят им всего десять процентов тех, кто столкнулся с мошенничеством. Меньше всего белгородцев откликаются на обещанную компенсацию за некачественный товар и получение кредита через интернет.

Кибермошенничество и поддельные купюры. Как белгородские полицейские и банки борются с мошенниками

Если у вас ещё остались сомнения по поводу написанного, то напишите этому телеграм-боту свой адрес электронной почты и вам придёт список ваших паролей, которые вы использовали ранее на различных площадках. Разработчики бота проявили сознательность, поставив «звёздочки» вместо некоторых букв. Если этот бот выдал данные, значит вас давно уже взломали, просто вы об этом ещё не знаете, — предупреждает эксперт Валерий Пазюк.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector