Паролі – хороші, погані та жахливі
Цей метод можна вважати «високрівневим»: його застосовують, коли простіші не спрацьовують. Але найчастіше все виявляється прозаїчнішим – користувачі придумують очевидні паролі, залишають їх на видному місці або зовсім не вважають за потрібне їх використовувати. І паролі стають бажаною метою для зловмисників.
До чого призведе поганий пароль
Здається, що поганий пароль – доля приватних користувачів та невеликих компаній. Насправді безвідповідальне ставлення до паролів веде до негативних наслідків навіть на рівні міжнародних організацій та структур. Ось кілька прикладів несерйозного ставлення до захисту даних:
- Компанія «Нутелла» порадила передплатникам використовувати як надійний пароль слово Nutella.
- Один із співробітників Білого дому забув на автобусній зупинці папірець , на якому було записано незахищений пароль від електронної пошти.
- У Google стажувався студент з Індії, який зміг отримати доступ до супутника компанії через адміністративну панель, просто залишивши поля введення логіну та пароля порожніми.
- Дані понад 14 мільйонів виборців штату Техас у США стали доступними в режимі онлайн просто тому, що сервер не захистили паролем.
- Співробітники Організації Об’єднаних Націй зберігають документи у Trello та Google Docs, які не захищені паролем. За посиланнями вони стають доступними для всіх бажаючих.
Що робити? Виправляти помилки! Умовно їх можна поділити на три групи: критичні, суворі та недоліки.
Критичні помилки
Приводять до фатальних наслідків. Є результатом байдужого ставлення до безпеки даних.
Примітивні та слабкі паролі
Компанія SplashData кілька років становить рейтинг найгірших паролів року. У 2018-му перші десять місць із топу-50 найгірших паролів виглядали так:
Пароль
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwertry
- iloveyou
Якщо подивитися дослідження компанії за кілька років, стає зрозумілим, що ситуація змінюється на гірший бік.
Люди продовжують використовувати примітивні паролі, які можна об’єднати у групи:
- Двословні паролі: tanyatanya, dindin, «сашамаша»
- Слова з числами в кінці: ivanov1994, football2018, login1234
- За замовчуванням: guest, user, default
- Слова з англійської та інших словників: sweet, сім’я, myhouse.
- Слова із заміною букв цифрами чи спеціальними символами: 0ldboy, p@ssword, $elphi.
- Клавіатурні послідовності символів: “йцукен” або qwerty, “123456”.
- Відомі цифрові комбінації: “112”, “0911”, “777” і т.д.
- Свої дані: filimovi, max-piter та інші, куди включають адресу, телефон тощо.
Одноманітні паролі для всіх програм та сервісів
Користувачі можуть мати той самий логін з паролем для всіх соціальних мереж та десятка різних сайтів. Це небезпечно, тому краще чинити так:
- Для критично важливих ресурсів (email, платіжні системи, месенджери та соцмережі) використовувати складні та довгі паролі з довільними комбінаціями верхнього та нижнього регістру, цифр та спеціальних символів. Приклад: S9Scap$iDPRZ.
- Для важливих ресурсів (навчальні сайти, альтернативна поштова скринька) – паролі, де довжина важливіша за складність. Приклад: hrGbWzeCjZSqUl.
- Для особливо важливих ресурсів (форуми, розважальні портали, торрент-трекери) придумати прості, але з примітивні паролі. Приклад: metHalPh.
Щоб не запам’ятовувати десятки паролів, можна скористатися спеціальним менеджером, який зберігає їх у зашифрованому вигляді. Щоправда, його теж треба захистити майстер-паролем і продумати, де і як він зберігатиметься. Є порада інша – змінювати символи в паролях для неважливих ресурсів і не повторюватися в паролях для особливо важливих.
Відкрито записані логіни та паролі
Ряд фахівців рекомендують не записувати паролі, але швидше за все ви їх забудете. У такому випадку можна записати, але не зберігати записані паролі у доступних місцях:
- Приклеєними на робочому столі або захованими під клавіатуру, оргтехніку.
- На робочому столі комп’ютера в текстових файлах краще сховайте в архів з парольним захистом.
- У браузері (особливо це стосується критично важливих програм та сервісів).
Можна завести спеціальний блокнот для паролів, але зберігати його у неочевидному місці.
Легко відновлювані паролі
Зловмисники можуть піти прямим шляхом: спробують не зламати, а відновити парольний доступ до ресурсу.
В цьому випадку:
- Надійно захистіть електронну скриньку для відновлення.
- Виберіть секретне запитання, відповідь на яке знаєте лише ви.
Дискредитовані та прострочені паролі
Якщо існують сумніви в тому, що пароль був використаний зловмисниками або тривалий час залишається без змін, необхідно якнайшвидше його змінити – ще до того, як сервіс виявить спробу зламування акаунту:
- Зміна пароля автоматично збільшує час на його зламування.
- Час перебування зловмисника у системі з дискредитованим паролем буде обмежено.
Серйозні помилки
Ведуть до серйозних негативних наслідків. Є результатом незнань у сфері захисту даних.
Короткі паролі
При грамотному підході довжина пароля має пріоритет над його складністю, оскільки у разі збільшується кількість варіантів перебору. Марк Бернетт, дослідник у галузі безпеки, у своїй книзі Perfect passwords стверджує, що пароль завдовжки 12–15 знаків надійніший, ніж короткий, складений із довільної послідовності символів.
Замість того, щоб ламати голову над складним паролем (який потім можна забути), краще взяти простий і довгий і додати туди, наприклад, кілька букв або цифр. Замість T@MQ36n^iL використовувати ndvkdJDKEBGjvvejFBVefdEFH.
Дуже складні паролі
Складність визначається двома факторами:
- Легкістю вгадування. Залежить від способу зберігання та цілей використання пароля.
- Середнім числом спроб на вгадування правильного пароля. Залежить від довжини, порядку символів та способу створення пароля.
Дуже складні паролі (оцініть приклад – mrCmTF%Lz^Y*@$$#prjL2O ) важко запам’ятовувати. Як наслідок, їх починають записувати на папір, смартфон або комп’ютер.
Тим часом американський криптограф Брюс Шнайєр рекомендує записувати такі паролі на маленьких шматочках паперу та зберігати у гаманці. Вирішити проблему використання дуже складних варіантів допоможуть менімонічні паролі, які добре запам’ятовуються.
Неписьменне використання спецсимволів
Майже всі сервіси вимагають під час створення паролів використовувати літери, цифри та спецсимволи. Це адекватна вимога, але користувачі нерівномірно розподіляють їх у паролі. Наприклад, цифри та спеціальні символи ставлять у кінець пароля, а великі літери на початок – Okn@333 . Приклад рівномірного розподілу символів паролем – kIs$t0cHk@ .
Ігнорування альтернативних засобів захисту
Сподіватися лише на складний пароль для найважливіших сервісів не можна. Витончені методи фішингових атак, наприклад, прохання друга в особистих повідомленнях проголосувати за нього, перейшовши за посиланням, зведуть нанівець цей спосіб захисту.
Вихід – використовувати двофакторну аутентифікацію: ви вводите пароль і потім отримуєте SMS із кодом доступу до ресурсу.
Недоліки та рекомендації
Знання перших та слідування другим призведе до грамотного використання паролів.
Часто змінювані паролі
Якщо людина постійно створює нові паролі – добровільно або на вимогу керівництва – рано чи пізно вона стане вигадувати кожен наступний пароль простіше попереднього, щоб легше запам’ятовувати. Наприклад, підставляти в кінці цифру – “h0lst1”, “h0lst2” і т.д.
Краще одразу придумати довгі паролі та зберегти їх на довгий термін. За будь-яких сумнівів у безпеці відразу ж поміняти.
Адекватне ставлення до зміни паролів
Якщо ви створили надійний і складний пароль, не варто думати, що його одразу кинуться зламувати «до переможного кінця». Наприклад, банки використовують дуже серйозні заходи щодо безпеки, тому спроби злому найчастіше втрачають будь-який сенс.
Використання автоматичної генерації паролів
Якими б відповідальними були люди, вони створюють паролі за шаблонами власного мислення, і це відомо зловмисникам. Дослідження та аналіз паролів показали, що 40% з них можна підібрати, використовуючи програмні методи. Часто людина, вигадуючи пароль, вказує в ньому те, що має безпосереднє відношення до нього та/або його оточення.
При автоматичній генерації виключається взаємозв’язок між паролем та особистістю користувача. Випадково обраний пароль створюється з величезного масиву даних і підібрати його дуже складно.
Побічний ефект автогенерації – складність запам’ятовування (оцініть приклад T2tgU#&y59kUOo^). Пароль доводиться записувати. А як зберігати такі записи ми вже радили. Важливо враховувати, що пароль – це лише один і часто не найголовніший із засобів захисту. Щоб зрозуміти, наскільки захищені ваші дані, проведіть аудит інформаційної безпеки . Якщо він недостатній, потрібно підвищити рівень безпеки IT-інфраструктури загалом, а за необхідності оцінити її відповідність нормативним актам.