Взаємозв’язок надійності паролю з ризиком хакерської атаки. 12 порад від MO Group

Щоб зламати Ваш сайт або аккаунт, хакерам потрібно всього один день.

Дослідження зарубіжних компаній, які спеціалізуються на наданні послуг інформаційної безпеки, регулярно попереджають власників сайтів про те, що Інтернет стає все більш небезпечним середовищем. Зростання кількість веб-атак та збільшення активності хакерського співтовариства накладають певні вимоги щодо роботи в новому інформаційному просторі.

Однак, поки представники кіберсекьюріті все більше міркують про високі технології і проактивні методи захисту, виявляється, що, багато веб-адміністраторів, які працюють з доступами до різного роду даних, нехтують такими простими і елементарними правилами безпеки, як використання надійних паролів. Найчастіше ненадійний пароль стає тою самою «слабкою ланкою», через яку зламуються і компрометуються корпоративні системи. За результатами дослідження компанії Trustwve, більше чверті інцидентів, що пов’язані з безпекою, виникли в результаті використання адміністратором системи слабких паролів. Trustwave проаналізувала 574 випадків зламів, зафіксованих в 15 країнах. Виявилось, що 28% несанкціонованих вторгнень стали можливі через вразливі паролі.

У всьому винне шаблонне мислення

Згадаймо багатьом знайомий тест. Не думаючи, назвіть перше, що прийде на думку із категорій:

  • Фрукт,
  • Частина лиця,
  • Російський поет,
  • Квітка,
  • Країна

Це «яблуко», «ніс», «Пушкін», «роза», «Україна»? В більшості випадків стандартні відповіді будуть саме такими. Мова йде про передбачуваність мислення людини. Коли система «просить» користувача придумати пароль при створені аккаунта або реєстрації на сайті, то людина дуже часто мислить шаблонно, вбиваючи в поле «пароль» цілком стандартні, розповсюдженні слова та комбінації. Саме на шаблонність людського мислення і роблять ставку зловмисники, коли намагаються «вгадати» паролі користувачів від самих різноманітних веб-служб. Робиться це, звичайно, не власноруч, а за допомогою спеціальних програм, які за секунди перебирають тисячі комбінацій, що генеруються з урахуванням відомих критеріїв, якими керуються користувачі при створені паролів. При цьому програми з легкістю вираховують паролі, які складаються як з одного слова, так і найбільш популярні комбінації слів та цифр.

Компанія WP Engine провела дослідження, в якому проаналізувала базу із 10млн. скомпрометованих паролів, створених самою різною публікою інтернету – від генеральних директорів до вчених. Результати аналізу виявились вельми цікавими – наведемо деякі з них.

Найбільш популярними паролями виявились прості слова і цифрові комбінації:

Очевидно, що при створені таких паролів люди думають, в першу чергу, не про безпеку своїх даних, а про простоту відтворення комбінації пароля в майбутньому. Однак з певного моменту користувачі стали усвідомлювати, що додавання цифр в кінці пароля робить його більш надійним. Правда, ці самі цифри виявились не занадто складними. Біля 420 тис. із 10 млн. паролів (це майже 10%) закінчувались числами від 0 до 99, при цьому майже в кожному п’ятому паролі була додана цифра 1.

При створені паролів користувачі часто обирають на клавіатурі комібнації, які легко запам’ятовуються і які можна машинально відтворити. Тому комбінації клавіш, що розташовані поруч, завоювали популярність серед багатьох користувачів, що не думають про наслідки свого легкого вибору. Логічно, що найбільш частими паролями стали: qwerty; qwertyuiop; 1qaz2wsx; qazwsx; asdfgh і так далі.

All we need is love

На подив дослідників, одним з найбільш популярних слів, що використовуються в паролях, слово love. Окремо і в комбінаціях це слово зустрілось 40 тис. разів із 10 млн. вибірки паролів. Цікаво, що слово love набагато частіше присутнє в паролях більш молодого покоління:

До речі, користувач жіночого роду використовують слово love частіше, ніж користувачі чоловічого: за даними дослідження Технологічного інституту університету Онтаріо (UOIT), комбінація ilove[чоловіче ім’я] зустрічалась в чотири рази частіше, ніж ilove[жіноче ім’я]. Тепер Ви розумієте, чому до створення паролів потрібно відноситись дуже і дуже серйозно? Чим «незручніше» і складніше для відтворення пароль, тим нижчі ризики злама Вашого аккаунта зловмисниками.

Нижче ми сформували список правил для тих хто хоче підвищити надійність свого онлайн-бізнесу і не перетворитись на чергову жертву зловмисника через використання недостатньо надійних паролів чи порушення правил безпеки при роботі з доступами.

Яким має бути пароль та як працювати з конфіденційними даними в «безпечному режимі»?

  1. Представники кіберсекьюріті стверджують: довжина пароля має бути не менше 10 символів. По даним дослідження Trustwave, комбінація пароля, що складається із восьми символів, може бути зламана зловмисником за один день. Тоді як пароль із 10 і більше знаків змусить інтернет-шахрая добряче попітніти: на його злом можуть піти десятки місяців.

  1. Пароль має містити різні символи – малі та великі літери, цифри, знаки. Найменш вразливими вважаються паролі, згенеровані за випадковим принципом, типу sdl@GK93m**Hlk. Популярні назви, власні імена, дати народження, номера телефонів – легка здобич зловмисника. Такі паролі швидко вираховуються в рамках брутфорс-атаки.
  2. Ніколи не можна бути впевненим на 100% в тому, що поточний пароль не перехоплений зловмисником (хакер може ним скористатися не відразу). Часта зміна пароля знижує ризики, що у когось крім Вас зараз є доступ до вашої конфіденційної інформації.
  3. Нерідко веб-адміністратори використовують один і той же пароль для входу в різні системи. На мові безпеки це означає, що зловмиснику достатньо перехватити лиш один пароль, щоб здійснити «комплексну» компрометацію даних.
  4. Ідея запам’ятати всі паролі надзвичайно приваблива, однак далеко не всі користувачі є адептами мнемотехніки. Для зберігання паролів існують більш зручні сучасні рішення у вигляді програм – безпечних менеджерів паролів. Наприклад, програма KeePass.
  5. А ось де точно не можна зберігати паролі – так це в браузерах, «зв’язках ключів», FTP-менеджерах. Автоматично збережені паролі таким чином можуть швидко стати здобиччю зловмисників чи троянських програм. «Троянець-злодюжка», що влаштувався на комп’ютері користувача, здатний вкрасти збережені дані зовсім непомітно для їх власника.
  6. Назавжди забутьте про таку часто використовувану функцію на сайті, як «запам’ятати мене на цьому комп’ютері» Дана функція реалізується за допомогою cookie. Якщо зловмиснику вдасться перехватити Ваші cookie (при підключенні) або вкрасти з сайту (через XXS), то він зможе авторизуватись в особистому кабінеті на сайті вже без пароля.
  7. Якщо є можливість, вводьте пароль не із звичайної, а із віртуальної клавіатури. Віртуальні клавіатури захищені від кейлоггерів – шахрайських програм, які реєструють натиснення клавіш або кліки миші і передають отриману інформацію хакерам.
  8. Власники сайтів часто звертаються по допомогу до сторонніх спеціалістів, надаючи адміністративний доступ до свого ресурсу відразу всім підрядникам, що небезпечно. Кожному спеціалісту необхідно створювати свій персональний доступ, щоб простежити, які дії зробив конкретний підрядник. Після закінчення робіт паролі необхідно змінити або повністю видалити обліковий запис користувача.
  9. Ми часто вирішуємо ділові питання, підключаючись до мережі в громадських місцях. Але робота у відкритих Wi-Fi-мережах – кафе, торгових центрах чи аеропортах – завжди пов’язана з ризиком перехвату Ваших конфіденційних даних програмами-аналізаторами трафіку (сніфферми). Що робити в таких випадках? Використовувати безпечне VPN-підключення.
  10. Робота з доступами по по незахищеному трафіку може стати початком кінця: незахищений трафік вразливий – на жаль, але перехопити і вивчити незашифрований трафік з доступами, конфіденційними даними, особистим листуванням та іншої «смачною» інформацією сьогодні можуть навіть школярі. Для онлайн-комунікацій, прийняття і відправки email, роботи по FTP слід використовувати безпечний канал для підключення (SSL / TLS / HTTPS).
  11. Гарний варіант для підвищення захищеності конфіденційної інформації та підсилення контролю над доступами – двухфакторная аутентифікація. Це ускладнена схема підтвердження особистості користувача, коли ви спочатку вводите логін і пароль для входу в систему, а потім підтверджуєте, що Ви- це Ви, використовуючи код верифікації, отриманий по SMS, через токен чи спеціальний додаток. Двухфакторная аутентифікація – надійне страхування від крадіжки доступів зловмисниками: навіть якщо шахрай і перехватить пароль, скористуватись ним він не зможе.

В сучасній цифровій реальності недостатність уваги до питань інформаційної безпеки загрожує сумними наслідками – від невеликих неприємностей, з якими можуть стикатись власники сайтів, до повної втрати контролю над веб-ресурсом. Саме час замислитись про підвищення захищеності бізнесу в онлайн-середовищі і провести аудит безпеки свого сайту. І почати можна з простого – перевірки свого паролю на надійність та вразливість.

Cпеціалісти компанії MO Group можуть надати Вам всю необхідну інформацію про захист Ваших даних, підвищення надійності паролів, встановлення токенів для двухфакторної аутентифікації та надійних додатків для зберігання паролів, провести тестування та проінформувати з приводу цін і терміну виконання робіт.

Замовити консультацію

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

Об авторе: Alyona

оставьте ответ

Ваш электронный адрес не будет опубликован.