Большинство россиян не считают надежными свои пароли к аккаунтам в социальных сетях, почтовым ящикам и банковским приложениям. И правильно делают: злоумышленники способны подобрать нужную комбинацию буквально за несколько секунд. Откуда исходят угрозы, и есть ли защита?
Всего 3% граждан РФ верят, что используемые ими пароли к аккаунтам и мобильным приложениям не поддаются взлому. Столь низкому показателю удивляться не приходится: 41% пользователей хотя бы раз в жизни становились жертвами хакеров, которые сумели обойти защиту и получить доступ к персональным данным, банковским счетам или переписке. Таковы неутешительные выводы исследования компании «Нетология» (есть в распоряжении «Профиля»).
Однако, несмотря на тревожную статистику, отношение к обеспечению личной информационной безопасности у значительной части населения РФ остается достаточно легкомысленным. Опрос показал, что 44% респондентов используют на постоянной основе несколько паролей, 21% – всего 2–3 пароля, а 2% признались, что вообще обходятся одним.
Лишь треть опрошенных заявили, что количество паролей у них соответствует количеству аккаунтов в различных сервисах. Правда, это порождает другую проблему: приходится держать в памяти или где-то хранить множество комбинаций из прописных и строчных букв, цифр, символов.
12% пользователей записывают коды доступа в заметки на смартфонах, 9% – используют менеджеры паролей (Dashlane, NordPass или 1Password). Почти каждый десятый доверяет «аналоговому носителю» – записной книжке, которая зачастую находится в свободном доступе на рабочем столе в офисе или дома. Треть россиян уверенно заявили, что помнят наизусть все существующие пароли.
Ну а 6% респондентов признались, что пароли к личным аккаунтам «нигде не хранят». Более того, даже не пытаются их запоминать. При необходимости воспользоваться личным кабинетом они каждый раз создают новый код с помощью опции «восстановить пароль».
Регулярная смена паролей – чем чаще, тем лучше – существенно повышает защиту аккаунта от взлома. Однако ежемесячно меняют коды доступа лишь 5% опрошенных. Более половины респондентов (51%) делают это раз в год либо раз в несколько лет. 31% пользователей обновляют пароли каждые 3–6 месяцев. А 13% опрошенных заявили, что не меняют пароли никогда.
Длина пароля имеет значение
С обеспечением сохранности кодов доступа ситуация также оставляет желать лучшего. У четверти опрошенных их пароли знают 1–3 близких человека, каждый десятый готов в случае необходимости сообщить эти данные в мессенджерах и соцсетях. При этом 70% респондентов уверены, что никто, кроме них, заветных комбинаций не знает.
Достаточно спорное предположение, учитывая, что до сих пор встречаются люди, которые сложному составному паролю предпочитают примитивные комбинации вроде «123123», «abcd», «qwerty» или «0000». Некоторые и вовсе используют слово «password», очевидно, полагая, что не представляют интереса для хакеров.
Впрочем, почти половина (48%) респондентов считают, что любые меры предосторожности бесполезны. И если уж злоумышленники поставили перед собой задачу получить несанкционированный доступ в аккаунт, то непременно своей цели достигнут.
«Взломать пароль из семи символов можно за две секунды, – подтверждает их опасения инженер ИБ Cisco Валерий Линьков. – Пароли из восьми, девяти и 10 символов, в которых есть строчные и прописные буквы, – за две минуты, один час и три дня соответственно». В качестве защиты от взлома у сервисов предусмотрены ограничения по времени ввода паролей с паузами в 30 минут после пяти неудачных попыток подряд. В худшем случае простой пароль до 10 символов можно подобрать за 1500 минут или 62,5 дня, отмечает эксперт.
Чтобы личный аккаунт таким примитивным способом не взломали, необходимо обновлять пароль каждые 30–60 дней, напоминает Линьков. Если при входе в аккаунт используется двухфакторная аутентификация, то менять код желательно хотя бы раз в полгода.
Как взламывают коды доступа
Специалисты компании «Код безопасности» напоминают, что современные технологии расширяют возможности хакеров. Помимо социальной инженерии существует немало технических инструментов, позволяющих достаточно быстро взломать пароль.
Например, есть специализированные программы, подбирающие нужные комбинации по словарю. Они применяются в тех случаях, когда предполагаемый пароль имеет некую логику. Расшифровать код доступа, кроме того, можно по скомпрометированным базам данных – тоже весьма распространенный способ взлома.
Еще один вариант можно назвать методом грубой силы, или полного перебора комбинаций. В этом случае несанкционированный доступ в аккаунт осуществляется по определенным алгоритмам и известным данным человека. К ним относятся, например, электронная почта и ник пользователя.
Есть и такой способ, как атака по радужным таблицам – обширным хранилищам (библиотекам) информации. В этом случае хакеры анализируют метод шифрования, или хеш (математический алгоритм). В итоге получают искомый результат – открытый текстовый пароль, связанный с конкретным аккаунтом.
Существуют также различные вирусы, шпионские программы, плагины в браузерах, которые, попадая на компьютер или смартфон, способны «вытащить» пароли из памяти приложений. На устройства вредоносные программы попадают через фишинговые сайты, иногда – через бесплатные общественные сети Wi-Fi и VPN-приложения. Опыт показывает, что такие сервисы обладают весьма низким уровнем информационной безопасности.
К необычным способам следует отнести раскрытие и последующее воровство паролей через клавиатуру устройств. Не так давно геймеры обнаружили, что их клавиатуры могут выдавать осмысленный текст, в том числе пароли и логины, в произвольный период времени. Производитель факты подтвердил, объяснив случившееся багом (дефектом) в программном обеспечении клавиатуры.
Эксперты «Кода безопасности» предупреждают, что в настоящее время применяется и специальный вредоносный софт, который, попадая в систему, может не только «запоминать» последовательность нажатия клавиш при заполнении логинов и паролей, но и передавать информацию злоумышленникам. И если этот «шпион» проник в устройство, то использование самых хитроумных кодов, регулярная их смена уже не будут являться эффективной защитой.
Но все же чаще хакеры, взламывая логические пароли, используют скомпрометированные базы или радужные таблицы. И делают это действительно буквально за секунды. Самый долгий способ – атака грубой силы. Однако и в этом случае на подбор нужной комбинации из четырех–семи цифр и букв разного регистра уходит несколько минут.
Меньше смысла – надежнее защита
Наиболее надежны пароли длиной более 11 знаков, в которые входят не только цифры, заглавные и строчные буквы, но и специальные символы. В таком случае подбор правильной комбинации при атаке грубой силы займет годы. Получается, чем длиннее пароль, чем больше в нем различных комбинаций и меньше смысла, тем он надежнее.
Многие сервисы предлагают клиентам хранить резервные копии своих устройств, персональные данные и даже пароли к аккаунтам в «облаках». С одной стороны, такие хранилища, как и физические инфраструктуры, защищены шифрованием, наложенными средствами и так далее. С другой – большинство сервисов хранят ключ шифрования данных у себя. Если «ключ» находится на территории РФ, то доступ к данным в установленном порядке может быть предоставлен правоохранительным органам и спецслужбам.
Если же «ключ» хранится на территории некой недружественной страны, то единственной гарантией защиты информации частных лиц, размещенной в «облаке», выступает репутация компании, предоставляющей такую услугу. И нужно серьезно взвесить риски, прежде чем доверять облачным хранилищам конфиденциальную информацию – от паролей к аккаунтам до банковских счетов и семейных фотографий.
Мария Фесенко – эксперт ИТ-компании в сфере информационной безопасности