в чем состоит опасность использования одинаковых паролей на разных ресурсах
52% пользователей используют одинаковые пароли на разных сайтах
Большинство Интернет-пользователей в наши дни до сих пор не до конца понимают всю важность использования эффективных механизмов для создания надежных паролей. Чтобы понять, насколько велики риски, исследователи Технического университета штата Вирджиния (США) и аналитики Dashlane провели одно из крупнейших количественных исследований по использованию одинаковых паролей и их модификаций на разных сайтах.
Изучив базу данных свыше 28 миллионов пользователей и их 61 миллион паролей, исследователи обнаружили тревожную статистику: 52% исследованных пользователей имели одинаковый пароль (или очень похожий и легко взламываемый) для различных сервисов. Вред, который может причинить данная плохая привычка для бизнес-среды, вполне очевиден, особенно, если в компании уже произошел инцидент нарушения информационной безопасности, в результате которого хакерам попал в руки пароль, используемый (даже с незначительными изменениями) на других веб-сайтах или для других бизнес-инструментов. С помощью этой информации хакеры смогут поставить под угрозу безопасность многочисленных сервисов на рабочем месте.
Использование одинакового или слегка измененного пароля для других сервисов – это очень опасная практика
Исследование The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services показывает, что использование одинакового или слегка измененного пароля для различных сервисов является относительно распространенной практикой, несмотря на постоянные предупреждения со стороны ИТ-сообщества. Из 28,8 миллионов исследуемых пользователей, 38% использовали одинаковый пароль для двух различных онлайн-сервисов, и 21% из них вносили небольшие изменения в пароль при регистрации на новом сервисе. Исследование также показало, что пользователи, которым требуется использовать больше паролей, чаще использовали одинаковый или слегка измененный пароль.
Исследование показало, что пользователи чаще всего используют одинаковые или слегка измененные пароли для онлайн-шоппинга и аккаунтов электронной почты (сервисы, которые имеют дело с конфиденциальной информацией): 85% в случае с онлайн-шоппингом и 62% в случае с электронной почтой. Такая практика сильно беспокоит, т.к. обычно онлайн-магазины хранят данные по банковским картам и адресам своих покупателей. В случае с электронной почтой все еще более опасно: хакеры могут использовать корпоративные адреса электронной почты для сброса регистрационных данных у других персональных аккаунтов (такие как приложения для онлайн-банкинга).
Проблема усугубляется, когда мы принимаем во внимание риск, связанный с повторным использованием паролей для профессиональных сервисов, которые также включают конфиденциальную информацию, принадлежащую как пользователю, так и компании. ИТ-специалисты должны быть уверены, что на рабочем месте поддерживается «гигиена» паролей, снижая бремя для сотрудников и четко объясняя им опасности и ущерб, который может быть причинен компании в результате такой плохой практики или банальной лени. Использование простых, одинаковых или слегка измененных паролей для различных сервисов – это опасность сама по себе, но она становится еще ужасней, если сотрудники, из-за отсутствия лучших вариантов, записывают свои пароли в блокноте или на бумажке, оставляя на своем столе.
Исследование также показало, что пользователи повторно используют пароли, которые были украдены при утечках данных, даже в течение нескольких лет после инцидента. Это означает, что пользователи не спешат менять свои пароли (они уже использовались и были украдены!) для других сервисов и приложений, подвергая риску всю свою персональную информацию. Свыше 70% пользователей использовали скомпрометированный пароль для других сервисов в течение года после утечки данных. Что еще хуже: 40% пользователей повторно использовали пароли, которые были украдены более чем за 3 года до этого. Это показывает, что утечка данных представляет серьезную опасность, и любая задержка в реакции на кражу или в защите пользователя может играть только на руку злоумышленникам.
Советы по поддержанию безопасности паролей в компании
Panda Security беспокоится о конфиденциальности ваших данных, связаны ли они с работой или домом. Вот почему, чтобы справиться со сложностью в запоминании бесконечного числа регистрационных данных, мы составили список советов для обеспечения вашей безопасности:
Источник статьи: 52% of users reuse their passwords
Почему не стоит использовать один пароль для нескольких ресурсов?
Признайтесь, вы тоже делаете это: используете одну и ту же пару логин/пароль на разных сайтах. Объясняем, чем это опасно.
Сайтов с каждым днем становится все больше, и едва ли не каждый требует авторизации. Объяснить это просто: владелец любого сайта хочет получше изучить каждого потребителя, а по возможности еще и получить адрес электронной почты или телефон, чтобы делать «выгодные предложения». Именно поэтому вас и просят завести свой аккаунт. Пользователю тоже удобно: например, в интернет-магазине будет храниться вся история ваших заказов.
При регистрации, как правило, требуют указать адрес электронной почты и придумать пароль. Но вы же не компьютер и не можете хранить в памяти несколько десятков разных паролей — поэтому предпочитаете использовать один и тот же. Может быть, даже не самый простой. Но в любом случае так делать неправильно и даже опасно. О возможных последствиях предупреждает «Лаборатория Касперского».
Почта как ключ
Представьте, что вашу почту взломали: банально нашли пароль методом перебора. Хакер получает доступ к вашим письмам, среди которых не только личная и деловая корреспонденция, но и рекламные рассылки различных магазинов. Раз вам пришло письмо из магазина, скорее всего вы в нем регистрировались.
Зная адрес вашей почты и работающий пароль, можно попытать счастья и зайти в магазин. Если вы действительно использовали ту же комбинацию букв/цифр, скорее всего у злоумышленника это получится.
Купи себе iPhone
В крупных интернет-магазинах (вроде «Амазона») можно привязать свою банковскую карту к аккаунту. И активные покупатели это делают, чтобы каждый раз не вводить те же самые данные. Хакер может легко купить дорогостоящую технику за ваш счет: ему достаточно будет выбрать привязанную карту при оплате. Сумму легко спишут и без дополнительного введения кода: например, Aliexpress так и делает. В лучшем случае вы узнаете о списании по факту, но, если у вас не установлено СМС-оповещения, останетесь в неведении и дальше.
Оформив покупку, злоумышленник может попытаться зайти в популярные соцсети, благо их не так много. Если ему удастся попасть на вашу страницу, друзьям посыпятся традиционные просьбы одолжить денег. В распоряжении хакера — в том числе и переписка. Он может запросто сослаться на место, где вы отмечали день рождения или на приятеля, которому покупаете подарок: в этом случае не факт, что возникнут подозрения.
Восстановить пароль? Но как?!
Конечно, вы рано или поздно обнаружите взлом. Но поменять пароль будет уже не так просто: скорее всего, хакер сменит его в профиле соцсетях. А заодно лишит вас доступа к электронной почте, также сменив пароль: теперь вы не сможете запросить новый на том же Facebook.
Как видите, используя один и тот же пароль на разных сайтах, вы сильно рискуете. Описанный нами алгоритм — не наши фантазии, а реально работающая методика. Надеемся, теперь у вас достаточно оснований сменить пароли и делать это по возможности регулярно.
Почему нельзя использовать один и тот же пароль для нескольких сервисов
Дизайнер Василий использовал один пароль для всех своих учетных записей — и вот к чему это привело.
Использовать один пароль на все случаи жизни очень удобно, но крайне небезопасно. Рассказываем на примере молодого дизайнера Васи.
Вася — обычный парень. У него есть электронная почта, учетные записи в Facebook и Instagram, также Вася регистрировался на форуме своей любимой игры, в Amazon, на eBay, в десятке интернет-магазинов, в Steam и Battle.net. И все эти учетные записи привязаны к электронной почте.
Однажды база данных клиентов одного из интернет-магазинов, которым пользовался Вася, утекает в Сеть — оказывается, что магазин хранил ее на сервере в открытом доступе. Данные кредитных карт при этом не пострадали — в базе были только электронные адреса, имена и пароли, которые магазин даже не шифровал. Казалось бы, беспокоиться особо не из-за чего — такие утечки случаются, это всего лишь небольшой интернет-магазин.
Но злоумышленник, наложивший руки на базу, решает попытать счастья: вдруг найдется кто-нибудь, у кого пароль для входа в магазин и для входа в почту совпадает? И ему везет: Вася использует один и тот же пароль везде.
Так злоумышленник получает доступ к Васиной электронной почте. В ней он находит не только фотки, которые тот отправлял Машеньке, но и письма от Amazon, eBay и других аккаунтов, — так он понимает, какими сервисами Вася пользуется. Злоумышленник пробует зайти в аккаунт Amazon с тем же паролем — и у него получается! Пароль ведь тот же самый, что и у почты, и у интернет-магазина, чья база утекла.
К аккаунту в «Амазоне» привязана кредитка — злоумышленник на радостях заказывает себе через Васин аккаунт пару десятых айфонов. В «Фейсбуке» от лица Васи мошенник просит у его друзей денег: ребята, срочно надо, зарплату завтра дадут — и все верну. Многие друзья оказываются отзывчивыми и переводят деньги — на карту мошенника, конечно же.
Злоумышленник потирает руки и меняет пароли от всех учетных записей, до которых может добраться, — а добраться получается почти везде. Ведь у Васи везде один и тот же пароль.
Кто-то из друзей сомневается, действительно ли это Вася просит в долг, решает проверить, не взломали ли Васю, — и звонит ему на телефон. Вася берет трубку, ужасается происходящему и срочно бежит к компьютеру менять пароль от «Фейсбука». Но пароль уже поменял до него злоумышленник, и попасть в Facebook не получается. Вася пытается восстановить пароль и просит Facebook послать ему ссылку для сброса пароля на почту — но выясняет, что попасть в свою почту он тоже не может. По той же причине.
Вася понимает: его взломали. Вася звонит в банки, блокирует кредитные карты, судорожно пытается поменять пароли хотя бы в каких-то сервисах, до которых еще не успел добраться злоумышленник, и звонит всем друзьям, объясняя, что это не он просит у них деньги. Извиняется перед теми, кто уже перевел мошеннику, — и клянется все компенсировать.
И обещает себе больше никогда, ни за что на свете не использовать один и тот же пароль для разных сервисов. А также включать двухфакторную аутентификацию везде, где можно.
Более половины россиян используют одинаковые пароли в Сети
Аналитическое агентство Gartner прогнозирует, что к 2022 году 60% предприятий крупного бизнеса и 90% среднего бизнеса во всем мире будут обеспечивать безопасность без применения пароля в более чем 50% случаев. Это станет возможным благодаря нескольким вариантам.
В первую очередь это биометрия. Люди уже знакомы c данной технологией благодаря сканеру отпечатков пальцев в смартфонах и ноутбуках. Биометрическая аутентификация использует идентифицирующие функции, уникальные для каждого человека, такие как лицо или отпечаток пальца. Человек как бы сам становится своим паролем. Однако может возникнуть проблема, если биометрические данные конкретной личности будут воспроизведены кем-то другим. В отличие от паролей здесь нет способа вернуться назад и «сбросить» отпечаток пальца.
Также существует единый вход в систему (SSO). В этой концепции все еще используется пароль, но только один. Это протокол аутентификации, который позволяет пользователям вводить одно имя пользователя и один пароль, который затем открывает несколько приложений и программ. Хотя технически он все еще может быть атакован грубой силой, он уменьшает масштабы атаки, имея только одну точку доступа.
Интересным является способ аутентификации на основе риска. Здесь искусственный интеллект оценивает риск транзакции, анализируя запрашивающую сторону и то, что именно она просит предоставить. Если этот случай считается низким риском, ИИ разрешает выполнение транзакции. Если это считается средним риском, система запросит другой идентифицирующий фактор. И если конкретный случай считается высоким риском, система заблокирует транзакцию.
Наконец, существует так называемый «отпечаток устройства». Программа безопасности сканирует «отпечаток» устройства, запоминая его марку, память, местоположение и IP-адрес. После этого, когда это устройство входит в систему, программа безопасности распознает его и затем использует анализ на основе риска для продолжения.
Специалисты по безопасности советуют никогда не использовать один и тот же пароль для различных учетных записей, включать многофакторную аутентификацию и создавать сложные пароли: они должны содержать цифры, символы, прописные и строчные буквы. В идеале человек должен запоминать фразу-пароль, целое предложение, которую ему легко запомнить, но трудно взломать другим.
Советы по созданию уникальных надежных паролей
Почему важно иметь надежный пароль
Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома.
Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные действия, чтобы укрепить стойкость своих паролей.
Угрозы безопасности паролей
Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.
Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.
Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей.
Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:
Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.
Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.
При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.
Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. Если вы считаете, что вам нужна защита от фишинга, рекомендуем вам установить Kaspersky Internet Security.
Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.
Как создать надежный пароль
Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:
Типы надежных паролей
Существует два основных подхода к составлению надежных паролей.
Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.
Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).
Кодовые фразы работают, потому что:
Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.
Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).
Цепочки случайных символов работают, потому что:
Примеры надежных паролей
Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.
Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.
Пример 1: dAmNmO!nAoBiZPi?
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Пример 3: яростьуткапростолуна
Почему этот пароль считается надежным?
Как улучшить этот пароль?
Как пользоваться паролями и как их запоминать
Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.
Чтобы обеспечить безопасность:
Вместо этого пользуйтесь следующими методами:
Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.
Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:
Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.
Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.