Не QWERTY единым. Как грамотно защитить свои ресурсы паролями

Даже когда злоумышленник взламывает ваше облачное хранилище с фотографиями из отпуска, приятного уже мало. Если же сторонние лица получают доступ к вашим банковским данным или проекту, над которым команда работала полгода, – совсем плохо. Сегодня подбором паролей массово занимаются не люди, а роботизированные системы. Защититься от них помогут правила элементарной цифровой гигиены, которые мы рассмотрим с экспертом – директором по развитию направления «Кибербезопасность для населения» ГК «Солар» Олегом Седовым. Приведенные в данном материале правила подойдут прежде всего обычным, а не корпоративным, пользователям.

Один фактор хорошо, а два лучше

«Театр начинается с вешалки, а кибербезопасность в компьютерных системах – с пароля. При этом главное правило кибербезопасности: то, что удобно, – не безопасно. Безопасность всегда неудобна. В реальной жизни у нас от каждой двери свой ключ – от квартиры, машины, сейфа, дачи и т. д. Это мы хорошо понимаем. А почему пароли должны быть разными – понимаем не всегда. С другой стороны, когда мы надолго уезжаем из дома, то запираем дверь уже на два замка: первый обычный, а второй неудобный, амбарный. Мы считаем, что это более надежно. Так же работает и двухфакторная аутентификация», – замечает Олег Седов.

 

Олег Седов, директор по развитию направления «Кибербезопасность для населения» ГК «Солар»

 

Двухфакторная аутентификация – это защита доступа к цифровому ресурсу с помощью двух технологий (факторов): например, пароля и одноразового кода в SMS или пароля и отпечатка пальца. Конечно, настройка и использование такого метода занимает больше времени и в целом менее удобно, – но зато это намного надежнее. Не случайно многие сервисы, оперирующие персональными данными, делают двухфакторную аутентификацию обязательной или как минимум настойчиво предлагают пользователям подключить ее. Например, авторизация на портале Госуслуг с октября 2023 года доступна только при условии дополнительного подтверждения личности.

Здесь есть одна особенность: каналы связи и устройства, по которым пользователь получает данные для двухфакторной аутентификации, должны быть принципиально разными. Речь о том, что при работе, например, на планшете, даже если он имеет слот под SIM-карту, код подтверждения через SMS стоит открывать на смартфоне. При работе на ноутбуке одноразовый пароль по email должен тоже прийти на другой гаджет – допустим, в мобильное почтовое приложение. Это усложнит злоумышленнику задачу: даже если он физически завладеет одним из этих устройств, то не сможет войти в аккаунт.

Так плохо лежит, что хочется подобрать

Массовый подбор пользовательских паролей – уже давно не прерогатива людей. Этим занимаются роботы, чаще всего используя метод брутфорса (brute force, «грубая сила») – то есть перебор всех возможных значений по определенному алгоритму.

«Солар» (SOLAR) ИБ-подразделение Ростелекома, предоставляющее услуги государству и бизнесу. Среди компетенций компании – один из крупнейших в стране SOC, собственные разработки (включая NGFW), центр исследований киберугроз и другие. Современная веха в истории «Солар» началась осенью 2023 года в рамках масштабного ребрендинга, диверсификации бизнеса на B2B и B2G направления и обновленной стратегии развития.

«Пользователю очень важно понимать, как его взламывают. Когда-то у меня были очень простые пароли: например, один пробел. Расчет был на то, что человек, который пытается подобрать пароль, будет применять какие-то более сложные приемы, искать аналогии, дни рождения, популярные варианты. А ведь если вы хотите что-то спрятать, лучше всего положить это на самое видное место. Но вся эта теория обрушилась с пониманием того, что нас взламывают не люди, а роботы. Для роботов не существует какой-то человеческой логики, у них есть алгоритм, которому они четко следуют, анализируют, что-то ставят в приоритет, используют базы данных паролей которые утекли в даркнет, похожие пароли и т. д.», – поясняет Олег Седов.

Итак, роботы четко следуют логике подбора и в целом идут по принципу «от простого к сложному», но обогащают его дополнительными сведениями. Откуда они могут брать информацию? Источников достаточно много: это могут быть слитые в сеть базы, списки устаревших паролей, неправильно введенных паролей и многое другое. Расчет здесь делается, в том числе, на ординарность человеческого мышления и стремление к упрощению. К примеру, если в списке устаревших паролей пользователя есть варианты «user111» и «user222», то его актуальным паролем вполне может быть «user333».

Насколько упрощенно большинство людей подходят к созданию паролей, – показывают исследования. Так, в списках самых ненадежных паролей уже много лет лидируют одни и те же комбинации: «123456» и ее вариации (от «123» до «12345678910»), «passwod», «admin». Чтобы подобрать такой пароль, роботу потребуется меньше секунды.

 

 

Не менее интересен список наиболее часто используемых PIN-кодов: «1234», «1111», «0000», «1221»,  «7777», «1004», «2000», «4444», «2222», «6969», «9999», «3333», «5555», «6666», «1122», «1313», «4321», «2001», «1010», «8888». С помощью этих двадцати комбинаций можно взломать 26% всех смартфонов. (И это не пособие для начинающего хакера, а общедоступная информация. Если вы нашли в этом списке свой PIN, лучше его сменить.)

«Кто попадается злоумышленникам в первую очередь? Пожилые люди часто считаются наиболее уязвимой категорией, но в моем личном рейтинге они занимают только третье место. На втором – одинокие женщины, домохозяйки с детьми, которые почему-то охотно реагируют на интерес злоумышленников к их паролям и PIN-кодам. И на первом месте, причем с большим отрывом, – те люди, которые считают что их статус, положение, уверенность в себе делают их неуязвимыми. Такие люди, которые верят, что находятся под защитой чего-то сверхъестественного, к сожалению, теряют самые крупные суммы», – замечает Олег Седов.

Чек-лист для грамотной парольной защиты

 

 

Каждому аккаунту – свой уникальный пароль. У каждой двери свой ключ, у каждого аккаунта свой пароль. Если у вас вдруг уведут пароль от социальной сети, а все другие пароли такие же, то можно считать, что и остальные ресурсы (Госуслуги, банковские аккаунты и т. д.) в руках мошенников.

Сложный пароль. Что понимается под сложностью? Во-первых, важно помнить что роботу доступны словари любого мирового языка, если этот словарь есть в Интернете. Система по определенным таблицам, комбинации символов очень быстро подбирает пароли, которые состоят только из существующих слов. При этом неважно, набираете ли вы слова на русском языке, на английском или на суахили. Сложный пароль – тот, что содержит набор символов, которых в данной комбинации нет ни в одном словаре.

Часто меняемый пароль. Даже сложные пароли лучше всего менять не реже, чем раз в год, а лучше – раз в полгода. Разберемся, почему.

Пароли, содержащие менее восьми символов, не является надежными по объективной причине. Из приведенной таблицы видно, что при скорости перебора 100000 паролей в секунду пароль, состоящий из одного-трех символов, робот раскусит менее, чем за секунду. На пароль, состоящий из четырех-пяти символов, он затратит не более нескольких минут. На шесть символов – уже около шести часов, на семь символов – девять дней. А вот чтобы подобрать пароль из восьми символов, роботу потребуется уже до одиннадцати месяцев. Именно поэтому многие системы и приложения требуют от пользователей пароля, состоящего из не менее чем восьми знаков, усложненного цифрами и специальными символами. Причем периодически менять их всё равно необходимо.

 

 

Пароль, меняемый с надежного устройства. Если устройство скомпрометировано, смена пароля может только усугубить ситуацию. Также нельзя менять пароль на веб-ресурсе, используя общедоступный Wi-Fi.

Смена паролей, установленных «по умолчанию». Это касается, прежде всего, домашних бытовых и телекоммуникационных устройств, выходящих в Сеть, – таких, как роутер, робот-пылесос, видеокамера. Многочисленные случаи, когда люди получают доступ к бесплатному соседскому Wi-Fi, чаще всего воспринимаются обывателями с иронией. Но становится совсем не смешно, когда, имея доступ к роутеру, профессиональный злоумышленник может управлять скачиваниями или использовать чужой IP-адрес для противозаконных действий – например, DDoS-атак. Всё потому, что владельцы роутеров ленятся менять дефолтный заводской пароль своего устройства.

С бытовой техникой тоже не всё так просто: недавно большой резонанс получила история, когда «умный» пылесос от iRobot слил в Интернет пикантные фотографии владельца. Тот случай, когда поговорка «выметать сор из избы» получает реальное воплощение.

 

 

Включаем фантазию: как придумать хороший пароль

Сначала о том, какими пароли быть не должны. Основные требования такие: не использовать дни рождения, номера телефонов, любые комбинации только из цифр, слова, которые есть в словарях. Ни в коем случае пароль не должен совпадать с логином и электронной почтой пользователя (в том числе их простейшими модификациями). Не годятся и «прогулки по клавиатуре» – так называемые keyboard-walks пароли, например «qwerty», даже с добавлением цифр типа qwerty123456 и т. п. Не остановят хакеров и такие банальные хитрости, как замена буквы «o» на ноль, «s» на $, «i» на 1.

Методика создания правильных паролей основана на творческом подходе и ассоциативном мышлении. Например, из фразы Шекспира «To be or not to be» получается пароль 2BeOrNot2Be. Это не самый лучший вариант, но он хорошо демонстрирует суть концепции: пользователю эта фраза должна быть хорошо знакома (чтобы ее запомнить), а для машины должна представлять собой хаотичный набор символов.

Вот более интересные примеры.

Известные фразы. «Каждый охотник желает знать, где сидит фазан» путем транскрипции на латиницу превращается в «kozzgsf» или лучше – «KaOhZhZnGdSiFa».

Таблица Менделеева и химические формулы как генератор паролей: «He2Ne10Ar18», «He2!Ne10@Ar18#». Стойкость этого пароля, по подсчетам экспертов, – 204 млн лет.

Гитарные аккорды: «ED#m7G#7C#mC#m/B».

Отдельный вопрос – где хранить пароли. Записывать на бумаге – вариант приемлемый только в том случае, если эта запись хранится в месте, где к ней нет доступа никому. Категорически не рекомендуется, конечно же, записывать пароли на стикерах и клеить их к рабочему компьютеру. Еще одна плохая идея – создать на рабочем столе папку «Пароли». Если злоумышленник получит доступ к устройству, ему даже не придется сканировать систему в поисках ценной информации.

Важное значение имеет ценность того или иного ресурса. Например, если вы знаете, что первый и последний раз заходите на какой-то ресурс, который предлагает вам автоматически сгенерированный пароль, – можно воспользоваться им и благополучно об этом забыть. (Если, конечно, вы не оставляете на этом ресурсе персональные данные.)

 

 

Для всех остальных бытовых случаев рекомендуется использовать специальные цифровые сервисы – менеджеры паролей. В этом случае пользователю нужно запомнить только один стойкий пароль от приложения, а остальные данные будут храниться в менеджере. Эти пароли тоже важно периодически обновлять. Самый простой вариант – менеджер паролей, встроенный в браузер. Существует также масса соответствующих приложений, которые можно скачать. Правда, не все из них одинаково полезны: стоит внимательно изучить описание такого сервиса, пользовательское соглашение, отзывы и его рейтинг, репутацию разработчика.

«В цифровом мире, если вы не платите за ресурс, то вы не клиент, а товар. Поэтому если вы пользуетесь каким-нибудь менеджером паролей, за который платите небольшую сумму, это гораздо лучше, чем бесплатный ресурс», – добавляет Олег Седов.

А если по лицу? Надежны ли биометрия и ALP?

Биометрические данные (отпечатки пальцев, лицо, рисунок радужной оболочки или сетчатки глаза, снимок кровеносных сосудов в руке, голос, походка, сердечный ритм, ДНК) в качестве пароля – это удобно. Но на современном этапе развития технологий – не всегда надежно.

В качестве примера приведем проект «универсального отпечатка пальца», для создания которого европейские ученые взяли базу данных из более чем 800 реальных отпечатков пальцев. При помощи специального алгоритма эти отпечатки были совмещены таким образом, что в итоге получившийся «ключ» имеет схожесть 65% с любым отпечатком, взятым у случайного человека. Таким образом данная технология может «обмануть» большинство сканеров.

То же касается FaceID и других технологий биометрии «по лицу». Пока никто не дает гарантии того, что они будут работать корректно, особенно в специфических условиях (например, если кто-то попытается обмануть систему, пройдя в маске с изображением другого человека).

Графические ключи Android Lock Pattern (ALP) тоже не являются идеальными с точки зрения надежности. Действительно, с помощью ALP можно сгенерировать суммарно 389112 возможных комбинаций. Но число комбинаций возрастает вместе с длиной графического ключа, а люди чаще всего выбирают самые примитивные варианты, которые проще запомнить.

Так, норвежская исследовательница провела анализ 4000 подобных узоров. Оказалось, что 44% ALP начинаются из верхнего левого узла; 77% начинаются в одном из четырех углов экрана; пять – среднее число задействованных в графическом пароле узлов (то есть взломщику придется перебрать далеко не 389112, а всего менее 8000 комбинаций); во многих случаях графический пароль состоит из четырех узлов (менее 1624 комбинаций); чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор.

Эксперты сходятся во мнении, что биометрию и графические ключи лучше всего использовать как дополнительное средство безопасности: например в качестве второго фактора при двухфакторной аутентификации.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: Ростелеком, Solar Security