Проверь себя и свой пароль.
Требования к паролям иногда раздражают:
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоСейчас!
— Извините, но этот пароль уже занят!
Эти заморочки нужны, чтобы сохранять приватность данных и защищать от спама, рассылаемого взломанными аккаунтами. Угон пароля — неприятная проблема, которая может случиться с каждым. Но если принять все необходимые меры, то вероятность её возникновения будет низкой.
Эти рекомендации защитят от популярных методов массового угона паролей, с которыми может столкнуться каждый из вас и избавят от неудобных вопросов: «Друг, а почему ты решил заняться партнеркой Forex и так часто пишешь мне про это?».
Если кому-то сильно понадобится конкретно ваш пароль, то эти советы могут оказаться бессильными.
Как воруют пароли?
Есть три основных группы способов получения доступа к чужим аккаунтам:
Хороший пароль это тот, который долго расшифровывать/подбирать и невозможно угадать. Но главное — защитить от перехвата при вводе.
Не ходите по левым ссылкам
Лучший способ защиты — внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Еще можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).
Вовремя обновляйте антивирус
В первую очередь этот пункт касается тех, у кого Android и Windows. Поставьте себе хороший антивирус и не забывайте вовремя его обновлять. Это нужно для защиты от вредоносных программ, которые фиксируют ввод с клавиатуры, похищают данные с компьютера, перенаправляют на фишинговые сайты.
По результатам исследования портала TopTenReviews лучшие антивирусы в 2016 году это:
- Bitdefender Antivirus Plus
- McAfee AntiVirus Plus
- Norton Security
Шифруйте трафик
Следующая опасность, от которой внимательность и антивирус уже не помогут — перехват трафика. Если вы сидите в интернете с офисного и публичного Wi-Fi, то старайтесь использовать VPN.
Подробности о том, какую пользу вы можете извлечь из этой технологии, какого провайдера выбрать и что поставить на iPhone есть в статье VPN: зачем и как скрывать свой IP и шифровать трафик.
Подключите смс-подтверждение
Плюс к безопасности дает схема, когда для входа надо помимо пароля ввести код из смс. Посмотрите настройки сервисов, которыми часто пользуетесь на предмет фразы: «двухфакторная идентификация». Примеры сайтов, которые ее поддерживают:
- Gmail
- Mail.ru
- «Яндекс»
Для Apple ID тоже можно подключить. В таком случае помимо пароля будут просить ввести проверочный код, который отображается на устройстве.
Когда это не сработает? Если у вас «открытая мобильная операционная система», то есть небольшая вероятность, что смс с кодом подтверждения может перехватить вирус. Она существенно понизится, если не забывать о пунктах 1 и 2 из этой статьи и на телефоне тоже. Подробности в статье Почему нельзя доверять деньги Android.
Владельцы блогов на WordPress могут подключить на нем двухфакторную авторизацию с помощью плагинов, чтобы сделать приятное пользователям и поставить дополнительный барьер для доступа в админку. Например Duo Two Factor Identification
Каждому сайту — свой пароль/логин/email
По разным данным одинаковые пароли для большинства аккаунтов используют от 15% до 25% пользователей.
Получить доступ ко всем аккаунтам такого человека можно, взломав базу какого-нибудь самописного блога васясрязани.ру, на котором человек засветил свой основной почтовый адрес и пароль от него ради скачивания книги «Советы от рыболова Васи».
Помимо уникального пароля, для регистраций на один раз лучше использовать временный адрес электронной почты, который можно создать на 10minutemail.com
Вот пример таблицы MySQL c сайта на WordPress, в которой хранятся вышеназванные данные. Третий столбец это хеши паролей, полученные в результате их обработки популярным (особенно у PHP-разработчиков) алгоритмом хэширования (одностороннего шифрования) md5:
При авторизации пароль, введенный пользователь снова шифруется и сравнивается со значениями в базе. Когда хакеру нужно выяснить исходный текст пароля, он перебирает хеши разных паролей и сравнивает их с исходным значениям. Но сначала проверяет, не расшифровали ли уже этот пароль добрые люди.
Например, возьмем хеш 3e7fa8c51e2e498697a55104055aa1fd и забьем его в онлайн-расшифровщик MD5 (база уже расшифрованных хешей), вводим капчу и получаем результат:
Если у кого-то стоит простой пароль на всех ресурсах и он засветил его на сайте, который был взломан, вместе с основным адресом электронной почты, то все его аккаунты окажутся в руках хакеров после первого сравнения хеша с базой расшифрованного (в ней уже 125 миллионов строк). А проверить, где зарегистрирован человек можно на knowem.com.
Иногда к стандартной функции md5() добавляется криптографическая соль. Например, перед обработкой меняются местами буквы в пароле или добавляются какие-либо символы. Это несколько затрудняет расшифровку, но если получен доступ к базе, то скрипты, в которых прописан порядок обработки паролей тоже в руках мошенника и он может использовать их при переборе вариантов.
Вирусы и снифферы (анализаторы перехваченных пакетов трафика) тоже, чаще всего, собирают пароли в зашифрованном виде. Так как современные браузеры их в открытом виде не хранят и не передают.
Есть множество других алгоритмы шифрования и хэширования кроме md5, но это тема отдельной большой статьи. Но почти для любого алгоритма правила составления надежного пароля одинаковы. О них и поговорим.
Как создать такой пароль, который если и попадет в зашифрованном виде все же попадет к злоумышленникам, то они бы не смогли восстановить его методом подбора?
Чем длиннее, тем лучше
Зайдем на howsecureismypassword.net и посмотрим, сколько времени потребуется для подбора паролей разной длины:
- iphones — 0,2 секунды;
- iloveiphones — 4 недели;
- iloveiphonesverymuch — 16 миллиардов лет.
Какая же оптимальная длина пароля? Джеф Атвуд, один из основателей Stack Overflow и владелец наикрутейшего блога CodingHorror утверждает, что 12 символов — минимум.
Разнообразие это +
Сложности для расшифровки и перебора добавляют Цифры, прописные и заглавные буквы, знаки пунктуации:
- iph0nes — 2 секунды;
- !ph0nes — 22 секунды;
- !Ph0nes — 7 минут;
- ilove!Ph0nes — 3400 лет.
Меньше смысла
К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которыми бессознательно руководствуются люди при составлении паролей.
Люди мыслят и действуют очень похоже. И придумывают пароли тоже. На картинках — результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем каждую из них:
Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под нее можно создавать скрипты, которые учитывают подобные закономерности. Вот фрагмент таблицы с командами для их описания:
Словарь, ссылка на который была чуть выше, перебирается схожим образом. Сначала берется текущее слово как есть, потом с измененным регистром и т.д. Чаще используется не просто список паролей, а ассоциативные цепочки заранее вычисленных хешей, так называемые «радужные таблицы». Есть хорошая статья на Хабре о том, как они составляются. Эта технология ускоряет время угадывания зашифрованной строки в тысячи раз. Так что сроки, вычисленные сервисом из пунктов 6 и 7 — условны.
Подбор и расшифровка паролей — это не то, о чем легко рассказать в двух словах (последнего мы не коснулись в статье вообще). Но независимо от платформы и способа перебора характеристики надежного пароля едины — длина, разнообразие и бессмысленность.
Да здравствуют коты и генераторы паролей!
Чтобы сгенерировать надежный пароль, можно попросить кошку походить по клавиатуре или зайти на passwordsgenerator.net. Для подбора примера на картинке понадобится 4 секстильона лет. И ассоциативный перебор не поможет.
Можно установить браузерный плагин для создания паролей или воспользоваться менеджером паролей (о них ниже).
Не забываем о контрольных вопросах
Баян из 2000-ых:
Alex: Слушай, мы чем-то похожи. Может мы родственники?
Kisa86: Думаешь?
Alex: Ну, может дальние. Какая девичья фамилия была у твоей матери?
Kisa86: Алексеенко
Alex: О, у тебя 8 новых писем )
Kisa86: в смысле???
Некоторые люди создали себе основную почту в лохматом году, сразу как вошли в сеть и по неопытности вводили ответ, о котором можно догадаться из их биографии. И с тех пор ничего не меняли. Рекомендую зайти сейчас в настройки своего почтового ящика и проверить этот момент.
Пример годного ответа на контрольный вопрос — s<)3:KH:*.9k6+a8W}R(. Можно сделать так, чтобы сброс пароля происходил с помощью мобильного телефона. Но если у вас почта на Яндексе или Mail.ru, то любой, кто знает ваш адрес электронной почты, сможет узнать в каком регионе вы покупали симку (первые 7 из 10 цифр телефона отображаются при сбросе пароля).
Где хранить пароли?
В голове. Или на бумажке, спрятанной в укромном месте. Но надо что-то придумать, чтобы в случае нахождения, ее кроме вас никто не мог использовать. В народе ходят разные «креативные» способы. Например:
Но менеджеры паролей удобнее. Автоматическая генерация сложных комбинаций, автозаполнение, возможность передать данные на другое устройство. Главный минус — если кто-то узнает пароль от менеджера паролей, то он сразу будет знать все. Но для некоторых программ такая проблема уже в прошлом. Например, True Key поддерживает идентификацию по отпечатку пальца или другому устройству. А в Dashlane можно настроить подтверждение по смс.
Но если кому-то очень сильно понадобится расшифровать базу менеджера и узнать ваши пароли, то он это сделает. История знает много примеров таких ситуаций. Но если вас не разыскивает интерпол и характер у вас спокойный, то беспокоиться не о чем.
Еще в менеджерах паролей иногда обнаруживаются уязвимости. Помните историю с LastPass? Попасть в число первых жертв шанс совсем невелик и как только подобная проблема обнаруживается, то разработчики сразу присылают пользователям рекомендации о том, как обезопасить себя. Читайте письма от них и следуйте советам.
Владельцам iPhone рекомендую статью Где хранить пароли: лучшие менеджеры паролей на iOS.
Итог
1. При вводе пароля внимательно смотрим, на каком именно сайте мы находимся.
2. Защищаемся от вирусов.
3. Используем VPN.
4. Для каждого сайта придумываем отдельный пароль. А для разовых регистраций используем временные адреса электронной почты.
5. Если есть возможность, подключаем подтверждение по смс.
6. Длина пароля должна быть не менее 12 символов.
7. В пароле должны быть цифры, знаки пунктуации, прописные и заглавные буквы.
8. Пароль должен быть максимально бессмысленным.
9. Для создания паролей удобно использовать онлайн-генераторы и менеджеры.
10. Ответы на контрольные вопросы должны быть непредсказуемыми.
Что будет, если их не соблюдать?
Среди читателей обязательно окажется человек с паролем dodik1, который ставит его везде уже 15 лет подряд и думает: «Да ну тебя нафиг женщина, со своими сказками про хакеров. Я на все это забил и ни разу еще не случилось ничего».
Да, есть шанс всю жизнь прожить с паролем «qwerty» и ни разу не вляпаться в историю. Особенно, если мало сидеть в инете и пользоваться только техникой Apple.
Если вы нашли свой адрес и пароль от него легко расшифровать, то:
- Ваш профиль в соцсети может начать неожиданно рассылать спам.
- Если кто-то захочет почитать вашу переписку, то он сможет купить доступ к информации о вас
Обнаружили себя — смените пароль.
Что такое пароль
Какие виды паролей бывают
Пароль может содержать буквы и цифры, а также специальные символы, он может быть разной длинны. Причём, максимального параметра длинны не существует, он можем быть сколь угодно длинным и всё зависит от баланса пользы и сложности обращения с ним или от технических ограничений системы. Когда пароль состоит из нескольких слов, то его называют – парольной фразой, а если он состоит только из цифр, то можно встретить такое наименование, как персональный идентификационный номер (ПИН). Разнообразие и количество символов, включённых в пароль, определяют его сложность или лучше сказать стойкость пароля к взлому. Ведущие эксперты по безопасности рекомендуют использовать парольные фразы. Они обладают достаточной длинной, их легко запомнить, а для стойкости в них можно включить дополнительно цифры и спец. символы.
Как часто нужно менять пароли
Защита паролей от взлома определяется не только длинной и комбинацией различных включённых символов, но сроком действия пароля, т.е. промежутком времени, по истечении которого пароль больше не будет считаться действительным. В компаниях и на предприятиях этот срок определяется парольной политикой, которая разрабатывается и утверждается в организации. В среднем, срок действия пароля в корпоративных политиках определяется +/- 90 дней. И каждый пользователь по истечении срока действия пароля обязан заменить его на новый, иначе не сможет продолжить работу в системе или приложении.
С одной стороны, уже несколько десятилетий пароли являются основным и самым широко используемым механизмом аутентификации пользователей. С другой стороны, парольная защита стала головной болью для подразделений безопасности, потому что именно на средства парольной защиты нацелена значительная часть атак и взломов злоумышленников.
Но если пароли являются недостаточно надёжной защитой, почему мы их до сих пор используем? Конечно, есть альтернативные и более прогрессивные средства аутентификации. Но в каждой конкретной ситуации нужно оценить насколько они экономически эффективны и насколько они подходят пользователям.
Почему появляются проблемы с паролями
При компрометации паролей естественно возрастают риски безопасности. Хакеры применяют различные автоматизированные средства по подбору паролей. Это Брут-форс – атака, направленная на перебор возможных вариантов паролей до тех пор, пока не будет найден правильный вариант. Это старый, но всё ещё эффективный метод для взлома распространённых паролей. Слабый пароль может быть взломан за считанные секунды.
При использовании специальных программ «кейлоггеров» хакеры отслеживают и записывают нажатие клавиш на клавиатуре пользователя и таким образом получают комбинацию идентификаторов и паролей. Методы социальной инженерии и фишинг тоже позволяет злоумышленникам получить чужие учётные данные.
К сожалению, низкая кибергигиена и осведомлённость в части информационной безопасности приводит к печальным последствиям. Пользователи записывают пароли и хранят рядом с рабочим местом или в телефоне, часто один и тот же пароль используются для множества различных приложений и систем. По данным исследования, которое было проведено компанией Ростелеком-Солар: 50% пользователей ненадежно хранят пароли: записывают на бумаге, пользуются автозапомнанием в браузере, хранят в файлах на устройстве, с которого осуществляется вход в аккаунты, а 59% пользователей используют одинаковые пароли для разных аккаунтов – всегда или периодически.
ИТ-ландшафт в средней и крупной компании является сложным и многообразным. Часто на предприятии используется несколько сотен информационных систем и различных приложений, которые используют сотрудники в своей ежедневной работе. В связи с этим, количество паролей, которые требуется запомнить работнику может исчисляться десятками. Неудивительно, что сотрудники предпочитают устанавливать простые пароли и повторять их от системы к системе. Кроме того, в отсутствии жёстких мер корпоративной парольной политики, сотрудники предпочитают не менять свои пароли. Так согласно исследованию Ростелеком-Солар 53% пользователей меняют пароли реже одного раза в год, только когда забывают старый или вообще никогда этого не делают. Все эти факторы конечно несут угрозу безопасности и повышаю риски утраты паролей.
Поможет ли шифрование паролей
Очевидно, что в целях безопасности современные операционные системы и различные приложения не хранят пароли пользователей в открытом виде. Вместо этого, когда пользователь устанавливает новый пароль, введённые буквенно-цифровые символы обрабатываются алгоритмом шифрования, который создаёт уникальное криптографическое хэш-значение, которое и хранится в определённом файле системы. Каждый раз, когда пользователь снова заходит в систему, система генерирует хэш-значение, оно сравнивается с исходным вариантом, который хранится в файле и определяется верен ли введённый пароль.
Ранее хеширование паролей считалось очень надёжным подходом. Потому, что даже если злоумышленник получил системный хэш-файл, требовались огромные вычислительные мощности, чтобы сопоставить введённые случайно комбинации с известными хэш-значениями. Объём оперативной памяти на компьютерах был недостаточен и получение доступа было практически невозможным. Однако, время идёт и вычислительные возможности современных компьютеров изменились. Теперь хакеры могут сопоставить каждую комбинацию последовательностей символов пароля со своим хэш-значением, используя все возможные буквенно-цифровые последовательности. Эти значения сохраняются и откладываются в специализированные общедоступные таблицы, т.н. «rainbow table». На сегодняшний день любой пароль длинной менее 12 символов с большой вероятностью имеет хэш-значение, хранящееся в такой таблице.
Далее эти таблицы используются специальными программами для взлома паролей при атаках на сетевую безопасность. Все компьютерные системы, при доступе в которые требуется аутентификация на основе паролей, хранят базы данных паролей в зашифрованном виде. Как только злоумышленник получает доступ к базе данных паролей системы, он сравнивает предварительно скомпилированный список потенциальных хэшей «rainbow tablee» с хэшированными паролями в базе данных. Находя подходящие комбинации открытого текста с каждым из хэшей, хакер может успешно пройти функцию аутентификации и проникнуть в сеть.
«Rainbow table» значительно ускоряют взлом паролей по сравнению с простым перебором. С их использованием 14-тизначные буквенно-цифровые пароли можно взломать за 160 секунд.
Но даже от таких атак можно защититься, если применять дополнительные меры к шифрованию паролей: использовать современные алгоритмы хэширования и добавлять случайно сгенерированные символы к хэшам паролей.
Как сделать использование паролей более надёжным
В обозримом будущем мы вряд ли сможем совсем отказаться от паролей. Поэтому стоит подумать, как повысить их безопасность. Какие мы предлагаем варианты:
- Усложните пароль. Необходимо добавить в пароль сочетание различных символов: прописные и строчные буквы, цифры и специальные знаки. Это позволит увеличить время, которое требуется злоумышленникам на взлом пароля, а вам выиграть время для реагирования и предотвращения кибератаки.
- Увеличьте длину пароля. В настоящее время считается, что минимальная длинна пароля должна быть 8 символов. Мы часто сталкиваемся с таким предупреждением, когда меняем пароль в социальных сетях или на общих ресурсах глобальной сети.
А на многих государственных ресурсах или в корпоративных системах такое условие является обязательным, наряду с другими требованиями.
Но, чем длиннее пароль, тем сложнее его запомнить. А если вы его ещё дополнили различными символами, задача запоминания становится невыполнимой.
Вместо того, чтобы создавать длинную строку бессмысленных символов, используйте кодовые фразы или целые предложения, которые вы можете связать с каким-то событием, фактом, произведением и т.п. Такой пароль будет легко запомнить. Вставим в эту фразу несколько символов и его стойкость многократно увеличится.
Дополнительные методы аутентификации
Многие компании, для доступа к своим конфиденциальным ресурсам предпочитают использовать более надёжную защиту, чем парольная аутентификация. Альтернативные методы и средства могут быть использованы как дополнение или полная замена паролей. Это и биометрия, и использование аппаратных или программных токенов, и одноразовые пароли (OTP) направленные через SMS или PUSH-уведомления и другое. Также применяется технология единого входа (англ. Single Sign On, SSO), когда для доступа в разные приложения используется однократный ввод учётных данных. Это серьёзно снижает нагрузку на пользователей по запоминанию и хранению паролей.
Многофакторная аутентификация (англ. Multi-Factor Authentication, MFA), когда применяется два и более различных факторов аутентификации, помогает усилить защиту ресурсов. Возможно сочетание таких факторов: то, что пользователь знает (пароль), то, что у пользователя есть (токен) и чем пользователь является (биометрия). При компрометации одного фактора на защиту встаёт другой и такой подход позволяет надёжно защитить критически важные системы и приложения компании.
Другие способы защиты паролей
Помимо уже описанных механизмов, которые обычно присутствуют в парольных политиках компаний, стоит отметить какие ещё меры могут быть предприняты для усиления парольной защиты:
- Ограничение неудачных попыток ввода пароля. Это правило, на основании которого происходит блокировка пользователя, например, когда он сделал 5 неудачных попыток.
- Запрет на ввод повторяющихся паролей. Например, пользователь может повторить пароль только после использования 30-ти уникальных паролей.
- Запрет паролей из стоп-листа. Стоп-лист содержит слабые пароли, которые легко взломать. Это могут быть комбинации цифр – 12345, идущие подряд буквы на клавиатуре – QWERTY и т.п.
- Срок действия пароля. Это срок, который может быть определён как для постоянного пароля, так и для первичного (дефолтного), после которого потребуется обязательная смена пароля на новый.
Современные решения по управлению доступом, такие как IdM/IGA-система Solar inRights включают различные методы усиления парольной защиты и предлагают максимально широкий набор характеристик паролей, которые удовлетворяют как внутренним стандартам организации, так и требованиям внешних регулирующих органов.
Кроме того, при установке нового пароля пользователем, можно воспользоваться функцией автоматической генерации сложного пароля, с учётом утверждённой политики.
Использование такого решения позволяет настраивать единую парольную политику для всех информационных систем компании. Политика паролей в масштабе всей организации устанавливает правила администрирования паролей, даёт рекомендации для пользователей по безопасности паролей, а также описывает процедуры реагирования на нарушения, связанные с использованием паролей. Это важная часть мероприятий по обеспечению безопасности любого предприятия.
Слабые пароли и социальная инженерия
В уходящем 2022 году одной из острейших тем в России стала кибербезопасность. Атаки на госсектор и вузы увеличились кратно. Досталось и бизнесу, который в условиях регулярных «кибернабегов» был вынужден оперативно менять стратегию ИБ, в том числе все чаще прибегая к использованию такого инструмента, как пентест (тестирование на проникновение). Зачем компании проводят подобное тестирование и какие результаты в разрезе российских предприятий оно уже показало — в материале «Реального времени».
Тестирование на проникновение — это не средство защиты
Ключевые тенденции российского рынка информационной безопасности в текущем году свелись к росту спроса бизнеса на сервисы безопасности, пересмотру компаниями стратегии ИБ и форсированному переходу к реальной кибербезопасности. Согласно прогнозам аналитиков, все перечисленное будет актуально и в следующем году, поскольку рост числа утечек персональных данных увеличится, DDoS-атаки никуда не денутся, а вредоносное ПО продолжит пытаться нарушить инфраструктуру предприятий и получить доступ к данным.
Компании, учитывающие эти обстоятельства и задавшиеся целью защитить свой контур, начали все активнее обращаться к такому инструменту, как пентест. Тестирование на проникновение — это не средство защиты и не средство профилактики, а способ выявления слабых мест в системе информационной безопасности предприятия.
«В ходе проведения работ в 91% случаев для преодоления сетевого периметра и развития атаки в IT-инфраструктуру нами применяются уязвимости и эксплойты (готовые программы для применения уязвимостей), которые мы находим в открытом доступе сети Интернет. Также активно используются простейшие техники атак, например, bruteforce, забытые консоли администрирования, слабые, либо плохо настроенные конфигурации встроенных в ОС и ПО функций безопасности», ― подвел итоги тестирования Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.
«Зачастую парольная политика в компаниях существует только на бумаге»
Наиболее проблемными местами в системах ИБ оказываются уязвимости веб-приложений и использование сотрудниками слабых паролей.
«Использование предсказуемых паролей пользователями не только дает возможность внешнему удаленному злоумышленнику преодолеть сетевой периметр организации, но и делает уязвимым внутреннюю IT-инфраструктуру. По нашему опыту парольная политика в компаниях существует только на бумаге. Дополнительные средства, которые могли бы контролировать ее исполнение, организации не применяют или применяют редко. Используемые стандартные средства контроля не могут обеспечить достойное соблюдение требований к длине или сложности пароля. В сервисах, не поддерживающих централизованное управление парольной политикой, контроль учетных данных либо обычно отсутствует, либо недостаточно контролируется», — пояснили в Innostage.
Помимо слабых паролей аналитики выявили и другие уязвимости, которые чаще всего приводят ко взломам: применение небезопасных протоколов (78%); небезопасная конфигурация учетных записей в AD (39%); небезопасная конфигурация хостов в домене (39%); отсутствие принудительной подписи протоколов (34%); небезопасное хранение паролей (30%); отсутствие разграничения доступа к информации, размещенной в общих сетевых папках (17%); небезопасная конфигурация AD CS (13%).
Кому нужен пентест
Тестирование позволяет увидеть слабые места в инфраструктуре или проверить настроенные контроли безопасности и улучшить их.
«Пентест необходим как один из основных способов верификации цифровой устойчивости организации. Если мы можем ее взломать в отведенные сроки, то говорить о том, что компания является устойчивой в цифровую эпоху, пока рано. Нужно еще работать над системой защиты», — отмечает Андрей Тимошенко, директор по стратегическому развитию бизнеса компании Innostage.
Как сообщили «Реальному времени» в Innostage, спрос на услугу по оценке защищенности в последнее время заметно вырос. График тестирования в компании расписан на месяцы вперед.
Интернет-газета «Реальное время»
ТехнологииITБизнес Татарстан
В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.
К чему приведет плохой пароль
Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:
Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.
Критические ошибки
Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.
Примитивные и слабые пароли
Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:
- password
- 123456789
- 12345678
- 1234567
- sunshine
- qwertry
- iloveyou
Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.
Люди продолжают использовать примитивные пароли, которые можно объединить в группы
- Двухсловные пароли: tanyatanya, dindin, «сашамаша»
- Слова с числами в конце: ivanov1994, football2018, login1234
- Слова из английского и других словарей: sweet, «семья», myhouse.
- Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
- Известные цифровые комбинации: «112», «0911», «777» и т. д.
- Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.
Одинаковые пароли для всех программ и сервисов
- Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
- Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
- Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.
Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.
Открыто записанные логины и пароли
Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:
- Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
- На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
- В браузере (особенно это касается критически важных программ и сервисов).
Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.
Легко восстанавливаемые пароли
Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.
В этом случае:
- Надежно защитите электронный ящик для восстановления.
- Выберите секретный вопрос, ответ на который знаете только вы.
Дискредитированные и просроченные пароли
Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:
- Смена пароля автоматически увеличивает время на его взлом.Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.
- Смена пароля автоматически увеличивает время на его взлом.
- Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.
Серьезные ошибки
Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.
Короткие пароли
При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.
Очень сложные пароли
Сложность определяется двумя факторами:
- Легкостью угадывания. Зависит от способа хранения и целей использования пароля.Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.
- Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
- Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.
Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке.
Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.
Неграмотное использование спецсимволов
Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.
Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.
Недочеты и рекомендации
Знание первых и следование вторым приведет к грамотному использованию паролей.
Часто сменяемые пароли
Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.
Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.
Адекватное отношение к смене паролей
Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.
Использование автоматической генерации паролей
Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.
При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.
Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали.
Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.