Цивилизация
Сервис разведки утечек данных DLBI провел исследование и выделил самые популярные пароли за 2020 год. «Фавориты» пользователей, как правило, остаются неизменными. Так, среди цифровых комбинаций чаще всего использовались «123456», «123456789» и «111111», среди буквенных — «qwerty» и «password», а среди буквенных кириллических — «йцукен» и «привет». Единственным новшеством среди паролей прошедшего года стали различные слова, связанные с пандемией, например, «covid19», «корона» или «pandemic», которые также являются очень простыми для подбора.
Подобные исследования проводятся каждый год, и их результаты отличаются пугающей стабильностью — миллионы людей по всему миру пользуются одними и теми же паролями, на взлом которых у киберпреступников уходят доли секунд. Многие пользователи не хотят «заморачиваться», придумывая сложные комбинации для каждого сервиса в отдельности. Некоторые объясняют это тем, что не могут держать в голове все пароли разом, а записывать их в тетрадь — не очень хорошая идея, особенно если речь идет об офисном компьютере.
Многие эксперты по кибербезопасности рекомендуют пользоваться менеджерами паролей.
Так называют специальные программы, которые помогают не только составлять сложные комбинации, но и хранить их в едином месте. Некоторые подобные сервисы вообще не требуют вводить пароль при заходе на какой-то сайт — они подставляются программой автоматически.
«Менеджер паролей позволяет хранить в безопасном формате набор сложных паролей, генерировать криптографически сложные пароли и осуществлять их автозаполнение при входе на ресурс. При этом для пользователя задача сужается до запоминания одного сложного и стойкого пароля (хотя применение биометрии может облегчить задачу) для входа в сам парольный менеджер. Поэтому парольный менеджер – очень полезный сервис для рядового пользователя и абсолютно необходимый атрибут работы любого IT-специалиста, DevOps разработчика, специалиста ИБ, администратора и т.д.», — заявил Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Существуют различные типы менеджеров паролей, из которых наиболее популярными стали облачные варианты.
«Дополнительным преимуществом использования облака является доступ к вашим паролям из любого места. Большинство популярных сервисов (1Password, Dashlane, LastPass и т. д.) предлагают приложения для смартфона, поэтому, если вы используете несколько устройств, то облачные сервисы будут синхронизировать все пароли на всех устройствах. У некоторых даже есть опции рабочего стола и плагины браузера, так что они охватывают все потребности пользователя. Базовый набор опций предлагается бесплатно, также доступны премиальные платные уровни, включающие больше настроек и дополнительные функции безопасности», — рассказывает «Газете.Ru» эксперт по кибербезопасности компании ESET Амер Овайда.
Однако, как отметил Овайда, при всем удобстве и кажущейся безопасности, у таких менеджеров паролей есть один крупный недостаток.
«Пользуясь облачным сервисом, вы как бы складываете все яйца в одну корзину. И при успешном взломе сервера, пользователь рискует лишиться буквально всего. В этом случае вы зависите от того, правильно ли операторы выбранной службы внедрили надежное шифрование», — заявил ИБ-эксперт.
Второй тип менеджеров паролей – это локально установленные приложения с открытым исходным кодом. Один самых популярных сервисов с открытым исходным кодом – KeePass. Локальное хранение паролей может показаться недостатком, ведь у пользователя нет возможности синхронизировать их на других устройствах. Но с другой стороны, чтобы киберпреступник получил к ним доступ, он должен нацелиться специально на вас, что усложняет атаку.
«Способом получить доступ к паролям пользователя локального менеджера становится компрометация конкретного устройства путем установки вредоноса-кейлогера (регистратора нажатий клавиш).
Поэтому при использовании локального менеджера паролей рекомендуется установить дополнительные антивирусные программы.
Также необходимо помнить, что если вы потеряете устройство, или оно выйдет из строя, есть риск лишиться доступа ко всем своим паролям. Поэтому всегда создавайте резервную копию», — рекомендует Овайда.
Не стоит воспринимать менеджер паролей как стопроцентную защиту от вторжения в вашу частную жизнь извне. Один из важнейших рисков, связанных с использованием менеджера паролей, — это утрата доступа к главному паролю, а следовательно, и ко всем остальным, предупреждает евангелист по вопросам информационной безопасности Avast Луис Корронс.
«Кроме того, в самом диспетчере паролей может быть уязвимость или нарушение. В этом случае преступник может получить доступ ко всем вашим паролям. Поэтому так важно выбрать менеджер паролей с очень надежной системой безопасности и возможностью отследить историю компании-разработчика», — советует эксперт.
Использование менеджера паролей несет в себе риск того, что все пароли будут украдены одновременно, если мастер-пароль будет скомпрометирован, соглашается представитель пресс-службы ИБ-компании Check Point Software Technologies.
«Согласно данным подразделения Check Point Incident Response Team (CPIRT), после успешного взлома злоумышленники стремятся остаться незамеченными. Они поддерживают удаленный контроль и собирают данные в течение многих месяцев, следят за действиями пользователя, в том числе и используют кейлогер — ПО, которое регистрирует любые клики и нажатия на клавиатуре или экране устройства.
Если такой взлом вовремя не обнаружить, злоумышленник рано или поздно получит мастер-пароль, который пользователь сам введет с клавиатуры.
Это дает мгновенный доступ ко всем паролям, даже к тем, которые не были закешированы в системе или введены после взлома», — сообщили «Газете.Ru» в компании.
При использовании менеджера паролей, от пользователя требуется помнить только один пароль для доступа к хранилищу менеджера паролей. Это значит, что компрометация учётных данных от одного сервиса никак не повлияет на возможность доступа злоумышленников к другим аккаунтам, главное — чтобы не был скомпрометирован доступ к менеджеру паролей, рассказывает директор Центра компетенций управления доступом компании «Ростелеком-Солар» Дмитрий Бондарь.
«С использованием менеджера паролей появляется новый риск, связанный с хранением учётных данных от различных аккаунтов у третьего лица, который предоставляет этот сервис. Такие компании, как правило, лучше защищены от утечек учётных данных, чем средний информационный ресурс, но риск в любом случае существует. Если сервер подобной организации будет взломан, пользователь не сможем повлиять не безопасность своих аккаунтов и данных, которые в них обрабатываются. Узнав о взломе или утечке данных, необходимо оперативно поменять все пароли от сервисов, данные для входа в которые хранятся в менеджере паролей», — заключил эксперт.
