Как защититься от хакерских атак? 12 правил надежного пароля

Исследования зарубежных и российских компаний, специализирующихся на оказании услуг информационной безопасности, регулярно предупреждают владельцев сайтов о том, что интернет становится все более небезопасной средой. Растущее число веб-атак и увеличивающаяся активность хакерского сообщества накладывают определенные требования к работе в новом информационном пространстве.

Однако, пока представители киберсекьюрити все больше рассуждают о высоких технологиях и проактивных методах защиты, оказывается, что многие веб-администраторы, работающие с доступами к различного рода данным, пренебрегают такими простыми и элементарными правилами безопасности, как использование надежных паролей. Зачастую ненадежный пароль становится тем самым «слабым звеном», из-за которого взламываются и компрометируются корпоративные системы. По результатам исследования компании Trustwave, более четверти инцидентов, связанных с безопасностью, произошли в результате использования администраторами систем слабых паролей. Trustwave проанализировала 574 случаев взлома, зафиксированных в 15 странах. Оказалось, что 28% несанкционированных вторжений стали возможны из-за уязвимых паролей.

интернет

Россия в этот список не вошла, но данная тема Рунету знакома. Опираясь на собственный опыт работы в сфере информационной безопасности – оказывая услуги по лечению и защите сайтов от взлома – мы вынуждены признать, что проблема слабых паролей для входа в системы администрирования сайтов и аккаунтов хостинга имеет место быть, и на сегодняшний день является весьма актуальной.

Во всем виновато шаблонное мышление

Вспомним знакомый многим тест. Не думая, назовите первое, что придет в голову из категорий:

1) фрукт,

2) часть лица,

3) русский поэт,

4) цветок,

5) страна.

Это «яблоко», «нос», «Пушкин», «роза» и «Россия»? В большинстве случаев стандартные ответы россиян будут именно такими. Речь идет о предсказуемости мышления человека. Когда система «просит» пользователя придумать пароль при создании аккаунта или регистрации на сайте, то человек очень часто мыслит шаблонно, вбивая в поле «пароль» вполне стандартные, распространенные слова или комбинации. Именно на шаблонность человеческого мышления и делают ставку злоумышленники, когда пытаются «угадать» пароли пользователей от самых разных веб-служб. Делается это, конечно, не вручную, а с помощью специальных программ, которые за секунды перебирают тысячи комбинаций, генерирующихся с учетом известных критериев, которыми руководствуются пользователи при создании паролей. При этом программы легко вычисляют пароли, состоящие как из одного слова, так и наиболее популярные комбинации слов и цифр.

Компания WP Engine провела исследование, в котором проанализировала базу из 10 млн скомпрометированных паролей, созданных самой разношерстной публикой интернета – от генеральных директоров до ученых. Результаты анализа оказались весьма любопытны – приводим некоторые из них.

Наиболее популярными паролями оказались очень простые слова и цифровые комбинации:

интернет

Очевидно, что при создании таких паролей люди думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Однако с определенного момента пользователи стали осознавать, что добавление цифр в конце пароля делает его более надежными. Правда, эти самые цифры оказались не слишком сложными. Около 420 тыс. из 10 млн паролей (это почти 10%) заканчивались числами от 0 до 99, при этом почти в каждом пятом пароле была добавлена цифра «1».

интернет

При создании паролей пользователи часто выбирают на клавиатуре комбинации, которые легко запомнить и можно машинально повторить. Поэтому комбинации клавиш, расположенных рядом, завоевали популярность среди многих пользователей, не думающих о последствиях своего легкого выбора. Логично, что наиболее часто встречающимися паролями стали: qwerty; qwertyuiop; 1qaz2wsx; qazwsx; asdfgh и так далее.

All we need is love

К удивлению исследователей, одним из наиболее популярных слов, используемых в паролях, стало слово love. Отдельно и в комбинациях это слово встретилось 40 тыс. раз из 10 млн выборки паролей. Интересно, что слово love намного чаще фигурирует в паролях более молодых поколений:

интернет

Кстати, пользователи женского рода используют слово love чаще, чем пользователи мужского: по данным исследования Технологического института университета Онтарио (UOIT), комбинация ilove[мужское имя] встречалось в четыре раза чаще, чем ilove[женское имя]. Теперь вы понимаете, почему к созданию паролей нужно относиться очень и очень серьезно? Чем «неудобнее» и сложнее для воспроизведения пароль, тем ниже риски взлома вашего аккаунта злоумышленниками.

Ниже мы сформировали список правил для тех, кто хочет повысить защищенность своего онлайн-бизнеса и не превратиться в очередную жертву злоумышленника из-за использования недостаточно надежных паролей или нарушения правил безопасности при работе с доступами.

Каким должен быть пароль и как работать с конфиденциальными данными в «безопасном режиме»?

1. Представители киберсекьюрити утверждают: длина пароля должна быть не менее 10 символов. По данным исследования Trustwave, комбинация пароля, состоящая из восьми символов, может быть взломана злоумышленником за один день. Тогда как пароль из 10 и более знаков заставит интернет-мошенника изрядно попотеть: на его взлом могут уйти десятки месяцев.

интернет

2. Пароль должен содержать разные символы – строчные и прописные буквы, цифры, знаки. Наименее уязвимыми считаются пароли, сгенерированные по случайному принципу, типа sdl@GK93m**Hlk. Популярные названия, собственные имена, даты рождения, номера телефонов – легкая добыча злоумышленников. Такие пароли быстро вычисляются в рамках брутфорс-атаки.

3. Никогда нельзя быть уверенным на 100% в том, что текущий пароль не перехвачен злоумышленником (хакер может им воспользоваться не сразу). Частая смена пароля снижает риски, что у кого-то кроме вас в настоящий момент есть доступ к вашей конфиденциальной информации.

4. Нередко веб-администраторы используют один и тот же пароль для входа в разные системы. На языке безопасности это означает, что злоумышленнику достаточно перехватить один пароль, чтобы совершить «комплексную» компрометацию данных. Для входа в разные системы нужно использовать разные пароли.

5. Идея запомнить все пароли невероятно привлекательна, однако далеко не все пользователи являются адептами мнемотехники. Для хранения паролей существуют более удобные современные решения в виде программ – безопасных менеджеров паролей. Например, программа KeePass.

6. А вот где точно нельзя хранить пароли – так это в браузерах, «связках ключей», FTP-менеджерах. Автосохраненные пароли таким образом могут быстро стать добычей злоумышленников или троянской программы. «Троянец-воришка», обосновавшийся на компьютере пользователя, способен украсть сохраненные данные совсем незаметно для их владельца.

7. Навсегда забудьте о такой часто используемой функции на сайте, как «запомнить меня на этом компьютере». Данная функция реализуется с помощью cookie. Если злоумышленнику удастся перехватить ваши cookie (при подключении) или украсть с сайта (через XSS), то он сможет авторизоваться в личном кабинете на сайте уже без пароля.

8. Если есть возможность, вводите пароль не с обычной, а виртуальной клавиатуры. Виртуальные клавиатуры защищают от кейлоггеров – мошеннических программ, которые регистрируют нажатие клавиш или кликов мыши и передают полученную информацию хакерам.

9. Владельцы сайтов часто обращаются к помощи сторонних специалистов, предоставляя административный доступ к своему ресурсу сразу всем подрядчикам, что небезопасно. Каждому специалисту необходимо создавать свой персональный доступ, чтобы проследить, какие действия совершил конкретный подрядчик. После окончания работ пароли необходимо сменить или полностью удалить учетную запись пользователя.

10. Мы часто решаем деловые вопросы, подключаясь к сети в общественных местах. Однако работа в открытых Wi-Fi-сетях – кафе, торговых центрах или аэропортах – всегда сопряжена с риском перехвата ваших конфиденциальных данных программами-анализаторами трафика (снифферами). Что делать в таких случаях? Использовать безопасное VPN-подключение.

11. Работа с доступами по незащищенному трафику может стать началом конца: незащищенный трафик уязвим – увы, но перехватить и изучить незашифрованный трафик с доступами, конфиденциальными данными, личной перепиской и прочей «вкусной» информацией сегодня могут даже школьники. Для онлайн-коммуникаций, приема и отправки email, работы по FTP следует использовать безопасный канал для подключения (SSL/TLS/HTTPS).

12. Отличный вариант для повышения защищенности конфиденциальных данных и усиления контроля над доступами – двухфакторная аутентификация. Это усложненная схема подтверждения личности пользователей, когда вы сначала вводите логин и пароль для входа в систему, а затем подтверждаете, что вы – это вы, используя код верификации, полученный по SMS, через токен или специальное приложение. Двухфакторная аутентификация – надежная страховка от кражи доступов злоумышленниками: даже если мошенник и перехватит пароль, воспользоваться им он не сможет.

В современной цифровой реальности недостаточное внимание к вопросам информационной безопасности чревато печальными последствиями – от небольших неприятностей, с которыми могут столкнуться владельцы сайтов, до полной потери контроля над веб-ресурсом. Самое время задуматься о повышении защищенности бизнеса в онлайн-среде и провести аудит безопасности своего сайта. И начать можно с простого – проверки своего пароля на надежность и неуязвимость.

Расскажите коллегам:
Комментарии
Участники дискуссии: Евгений Шаблыгин, Григорий Земсков
Генеральный директор, США

Редкостная чушь. Любые рассуждения на тему "хороший пароль/плохой пароль" -- это то же, что споры о том, в какой цвет надо красить дохлую лошадь, чтобы она не пахла. Сегодня скомпрометированы практически все системы, в которых используются credentials, которые вводит человек -- а последствия не такие ужасные просто потому, что всем все равно. Как говорил Борис Абрамыч, "если проблему можно решить деньгами -- то это не проблема, а статья расхода". Поэтому практически все компании, у которых доступ к их ресурсом регулируется паролями, просто считают, что статистически взломают не их, а соседа, а если и их, то откупятся. И именно эта тактика пока работает. Те компании, которые "попадают под раздачу" (Таргет, Ашли Мэдисон, вот теперь Экспериан с т-Мобилом), либо откупаются, либо тихо помирают. И пока не произойдет какой-нибудь 9/11, никто особо не будет заморачиваться... Я называю это "защитой стада антилоп-гну". Если лев уже жрет соседа -- зачем мне бежать?
Bottom line -- длинный пароль, короткий пароль -- если у Вас ресурс неважный, то и наплевать. А если важный -- все равно сломают. Когда сочтут необходимым. И единственный способ реальной -- переходить на систему. которая на первом этапе взаимодействия ничего не спрашивает. Да, это дорого. Но все определяется, в конечном итоге, ценностью объекта защиты. Вот мир кредитных карт постепенно переходит на EMV -- потому что достало. Дойдет и до usernames с паролями. Жаль, что еще не дошло, но всему свое время. Технологии уже есть, только требуется время на то, чтобы процесс пошел. С лошади на автомобиль, с дров на солярку человечество тоже не в один год перешло.

Григорий Земсков Григорий Земсков Генеральный директор, Москва
К сожалению, редакция e-xecutive.ru взяла мою оригинальную статью, которая называлась <<"Слабое звено" вашего сайта>>, придумала свой заголовок, который абсолютно нерелевантен теме и не соответствует содержимому, и опубликовала в такой версии. Исходная версия статьи рассматривала проблему слабых паролей как один из элементов, приводящих к частой компрометации веб-сайта. Но после того как в заголовке появились "хакеры" и "атаки", смысл статьи потерялся и она, действительно, выглядит несколько нелепо, как будто пароль - это единственное, что спасет пользователя от хакерских атак. Поменять название, к сожалению, так и не удалось. Благодарю обоих комментаторов, и, дабы внести ясность, хочу добавить, что: 1. безопасность - это процесс, а не процедура, то есть необходимо выработать политику безопасности системы и ей следовать на регулярной основе. 2. проблема безопасности требует комплексного подхода. Естественно, одним надежным паролем ее не обеспечит, нужно принимать во внимание все составляющие системы. Но статья, как я уже написал выше, не про комплексную защиту, а про слабые пароли, причину этого явления и рекомендации по генерации надежных.
Григорий Земсков Григорий Земсков Генеральный директор, Москва

Прошу прощения, в предыдущем комментарии движок сайта удалил название статьи:
"Слабое звено вашего сайта".

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Уровень счастья напрямую влияет на продуктивность большинства россиян

При этом почти каждый четвертый респондент считает, что их руководитель ничего не делает для счастья сотрудников.

70% россиян отмечают сильное влияние работы на уровень стресса

Наибольший стресс создают строгие дедлайны, внезапные и большие объемы задач, а также собственные ошибки при выполнении задач.