Сервис поиска утечек данных DLBI проанализировал данные 5,3 млрд пар «электронная почта/пароль» и выяснил, что самым неоригинальным, но самым популярным паролем за последние пять лет оказался набор цифр «123456». Какую роль играют пассворды в сохранности личных данных, разбирался Zakon.kz.
По словам президента ОЮЛ «Интернет-ассоциация Казахстана» Шавката Сабирова, злоумышленники в Сети преследуют вполне конкретные цели:
с помощью логинов и паролей оперировать в свою пользу вашими привычками и планами для совершения грабежа: где вы сейчас находитесь, куда вы купили билет на отдых и как долго вас не будет дома;
узнать все о ваших финансовых данных, чтобы в дальнейшем получить удалённый доступ к этим средствам;
сбор компромата ради шантажа или кибербуллинга.
По данным специалиста, более 80% тех, кто подвергается кибербуллингу в Сети, – это женщины и девочки.
Если бумажку с паролем вы не приклеиваете к экрану монитора, уже хорошо. Мы давно говорим, что по примеру известной «женщины в маске», которая с каждого билборда напоминает про соблюдение соцдистанции, нужна социальная реклама про кибербезопасность – цифровую гигиену. Для Казахстана с его уровнем цифровизации эти вопросы стоят так же остро. Президент ОЮЛ «Интернет-ассоциация Казахстана» Шавкат Сабиров
Чаще всего учётные данные у злоумышленников появляются в результате:
переиспользования (повтор одного пароля на разных сайтах);
подбора паролей и логинов из слитых баз данных;
использования учётных данных, которые стали доступны в результате утечек с самих сервисов;
рассылок, которые ведут на фишинговые (поддельные, но полностью идентичные на вид оригинальным) сайты сервисов, где у пользователя выманивают данные от входа на настоящий сайт.
Украсть аккаунт могут и с помощью зловреда – специальной программы, которая попадает на ваше устройство и получает удалённый доступ к нему. Эксперт по кибербезопасности Дмитрий Галов
обратите внимание на настройки приватности в социальных сетях и на популярных платформах;
используйте уникальные надёжные и разные пароли для всех своих аккаунтов (минимум 12 символов с буквами в разном регистре и спецсимволами);
в тех сервисах, которые это позволяют, настройте двухфакторную авторизацию (генерировать код можно в специальном приложении от Google);
скачивайте приложения только из официальных магазинов и периодически проверяйте, какие программы установлены на устройстве;
не переходите по сомнительным ссылкам в почте, мессенджерах или соцсетях (даже если их прислали знакомые);
внимательно проверяйте название сайта в адресной строке перед тем, как вводить на нём свои личные или платежные данные;
установите надёжное защитное решение – антивирус, в том числе и на мобильных устройствах;
проверяйте, откуда, кто и когда заходил в ваш аккаунт.
Обратиться в службу поддержки сервиса, на котором это произошло. Далее – следовать инструкциям, которые будут предложены. В зависимости от сервиса данные и действия, которые потребуются для восстановления доступа к аккаунту, могут отличаться. Также не указывайте в качестве ответов на контрольные вопросы и т.д. то, что можно легко нагуглить или угадать, и то, что забудете вы сами. Дмитрий Галов
Взлом пароля методом перебора ещё называют брутфорс. По сути, это метод угадывания пароля, предполагающий перебор всех возможных комбинаций символов до тех пор, пока не будет найдена правильная. Зачастую для этого злоумышленники используют специальные программы. К тому же бывает перебор не комбинаций символов, а так называемый перебор по словарю.
«Словарная атака» работает в том случае, когда в качестве пароля использовалось обычное слово вместо комбинации букв, цифр и символов. Словари могут составляться на основании самых популярных и утекших паролей. Дмитрий Галов
Один из способов снизить вероятность успеха брутфорс-атаки — ограничить количество попыток ввода пароля: например, разрешить только три неудачных попытки подряд и отсрочить следующий ввод пароля на какое-то время.
Онлайн-сервисы не хранят пользовательские пароли в виде обычного текста. Вместо этого они хранят их в виде хеш-значений. По сути, хеш – это функция, осуществляющая преобразование массива входных данных в определенном алгоритме. По правилам безопасности сервис не может знать, как в действительности выглядит ваш пароль.
Основным преимуществом использования хешей является то, что восстановить захешированные данные с вычислительной точки зрения очень сложно. Дмитрий Галов
Как придумать хороший пароль
Исходя из анализа скомпрометированных пар «электронная почта/пароль», в топ рейтинга по неоригинальности защиты аккаунта входит набор букв «qwerty» с различными цифровыми комбинациями и его русская версия – «йцукен», а также «password». На кириллице пароли несколько разнообразнее, но также очевидны: помимо «пароля» пользователи чаще всего используют пассворды «любовь», «привет», «Наташа» и «Максим».
Пользователям эксперты рекомендуют устанавливать сложные пароли, которые будут уникальны для всех сервисов (от 12 знаков с буквами в разном регистре, цифрами и спецсимволами) и периодически их менять. Лучшее решение, по мнению специалистов, – использовать для создания и хранения пассвордов менеджеры паролей.
Кстати, пароль «12345-ia-idu-iskat» и страшная комбинация символов «!@#$%-^&*()_+~"№;%:?=[]{}\|/,.’<>’» примерно одинаково надежны.
Проверить, утек ли ваш пароль, можно на специализированных сайтах, например haveibeenpwned.