27 января 2022 1518

Такие важные и уязвимые. Учимся защищать свои пароли

Испокон веков люди используют пароли для защиты себя, своей собственности или важной информации. Например, в Древнем Риме при входе в города военные требовали кодовые фразы для защиты от чужаков. В наше время, вслед за развитием компьютерной техники и интернета, пароли стали применяться повсеместно. Одна из причин популярности паролей в том, что люди интуитивно понимают, как они работают. В этом же кроется их самая большая проблема.

Современному пользователю приходится помнить в среднем около 100 кодов для входа в различные онлайн-ресурсы. И это число продолжает расти. В таких условиях многие пользователи предпочитают упрощать работу с паролями.

При этом пароль зачастую является единственным барьером между вашими личными данными и злоумышленниками. Отсюда сильный соблазн взломать или украсть заветный ключ. Рассказываем, как хакеры это делают, и что следует предпринять для защиты.

Зачем злоумышленникам нужны чужие пароли?

В цифровом мире пароль — это виртуальный ключ, состоящий из символов на клавиатуре, который открывает доступ к вашему онлайн-банкингу, электронной почте, соцсетям, облачным хранилищам, подпискам на стриминговые, музыкальные и другие сервисы. Получив доступ к учетной записи, злоумышленники могут:

  • украсть ваши деньги, а также личные данные — их с радостью купят рекламщики;
  • продать доступ к аккаунту. В даркнете такие предложения пользуются хорошим спросом;
  • получить доступ к другим вашим аккаунтам, если вы используете один и тот же пароль.

Основные способы кражи паролей

1. Каким бы надежным ни был пароль, его можно взломать. Вопрос лишь во времени, ресурсах и используемых инструментах. Разберем их подробнее, чтобы лучше понимать проблему.Фишинг. Злоумышленники уже давно взяли на вооружение приемы социальной инженерии для получения секретной информации. Они играют на невнимательности и доверчивости людей. Фишинг, пожалуй, самый известный приём подобного рода. Типичная схема проста: хакеры присылаю вам электронное письмо или сообщение, замаскированное под рассылку известной компании. Оттуда вы переходите по ссылке на фишинговый сайт, который выглядит практически как официальный; авторизуетесь там, и ваши данные сразу становятся добычей злоумышленников.

Другой яркий пример — телефонное мошенничество или вишинг. Аферисты звонят жертве, представляются сотрудниками банка, социального фонда или иной организации. Под различными предлогами мошенники пытаются выведать конфиденциальную информацию или заставить перевести им деньги на счёт.

2. Вредоносное ПО. Существует много разновидностей вредоносов для хищения аккаунтов и личных данных. Иногда достаточно зайти на фишинговый сайт или кликнуть на сомнительный баннер в интернете, чтобы опасная программа попала на ваше устройство. Часто вредоносы распространяются через мобильное ПО, особенно если оно загружено с помощью сторонних магазинов приложений. Также злоумышленники активно используют шпионское ПО: кейлоггеры, трекеры пользовательской активности, программы для отслеживания скриншотов экрана и т.д.

3. Брутфорс. Как уже упоминалось выше, сегодня нам требуется запоминать десятки паролей от многочисленных учетных записей. Всё это провоцирует людей на создание простых небезопасных паролей или использование одних и тех же ключей для разных аккаунтов. Такая ситуация на руку злоумышленникам, поскольку позволяет использовать подбор комбинаций для угадывания чужого пароля.

Перебор осуществляется в автоматизированном режиме, а для ускорения процесса используются словари с ранее взломанными аккаунтами. Такая атака особенно эффективна, когда пароль основан на личной информации или состоит из простого слова без дополнительных символов.

Только в 2020 году во всем мире было совершено 193 млрд атак с помощью брутфорса.

4. Угадывание. Иногда для взлома пароля даже не требуется специальное ПО, потому что пароль можно просто угадать. Вы будете смеяться, но самым популярным паролем 2020 года был «123456». Вслед за ним шел «123456789». На третьем месте оказался «picture1», на четвертом — «password». Стоит ли говорить, что использование подобных паролей буквально распахивает двери перед злоумышленниками.

5. «Плечевой серфинг» или попросту подглядывание. Эта классическая техника социальной инженерии не теряет актуальность и в цифровую эпоху. С помощью незаметного наблюдения за действиями человека в общественных местах можно узнать не только PIN-код от банковской карты, но и пароль от соцсети и других аккаунтов.

К более технологичному варианту такой атаки можно отнести метод «человек посередине», когда злоумышленник перехватывает конфиденциальные данные при подключении к публичным Wi-Fi. Для этого мошенники создают собственную сеть Wi-Fi с названием торгового центра или транспортного терминала.

Как защитить свои учетные данные?

  • всегда используйте надежные пароли с большим количеством цифр и букв разного регистра для всех аккаунтов. Особенно для онлайн-банкинга, электронной почты, соцсетей и подписок;
  • никогда не используйте один и тот же пароль для разных аккаунтов;
  • включите двухфакторную аутентификацию для всех ваших учетных записей;
  • используйте менеджер паролей с хорошим рейтингом для безопасного хранения паролей и удобной авторизации;
  • никогда не сообщайте по телефону учетные данные онлайн-банкинга и не переводите деньги. Даже если собеседник представляется сотрудником известной организации и располагает вашими персональными данными;
  • сразу же меняйте пароль, если провайдер сообщает, что ваши данные могли быть взломаны;
  • для авторизации используйте только сайты, поддерживающие протокол HTTPS с шифрованием данных;
  • не переходите по ссылкам и не открывайте вложения в подозрительных электронных письмах и сообщениях;
  • загружайте мобильные приложения только из официальных магазинов;
  • используйте проверенное антивирусное ПО для всех ваших устройств;
  • регулярно обновляйте операционные системы, программы и приложения, а также сетевое оборудование;
  • остерегайтесь излишне любопытных сторонних наблюдателей в общественных местах;
  • не входите в учетную запись, если вы подключены к общественному Wi-Fi.

Компания Microsoft уже давно заявляет, что пароли стали «неудобными, небезопасными и дорогими» и постепенно внедряет концепцию беспарольной аутентификации. Но это небыстрый процесс. А пока пароль является базовым инструментом для защиты конфиденциальной информации, всем нам следует проявлять бдительность и хранить учетные данные в безопасном месте.