Надежный пароль: как его создать и где хранить?

Всемирный день паролей, который отмечают в первый четверг мая, должен напомнить всем, что пора сменить свои пароли на более надежные. Статистика показывает, что легко угадываемые пароли широко распространены во всем мире. Слабый пароль нередко может свести на нет все остальные меры безопасности, которыми мы пользуемся, чтобы защитить свою личную и корпоративную информацию.

В составленной NordPass двадцатке самых популярных паролей в Литве преобладают последовательности цифр и букв (например, 123456, 111111, qwerty, asasas), имена (Мантас, Каролис) географические названия (Литва, Каунас) торговые марки (Samsung) и случайные бытовые слова (котик, мама, не скажу, привет). Ситуация в бизнесе не лучше: каждый пятый пароль – точное название предприятия или несложный вариант этого названия.

«Многие из таких несложных паролей с помощью специального программного оборудования можно взломать за несколько секунд или минут», – говорит руководитель отдела администраторов систем Microsoft компании «Коммуникации Балтнеты» Доминикас Жаляускас.

«С помощью специального программного обеспечения несложные пароли можно взломать за нескольких секунд или минут.»

Несложные пароли - прямой путь к убыткам

Мировой экономический форум подсчитал, что из-за кибератак мировая экономика теряет 2,9 млн. долларов США каждую минуту. Убытки – утраченные данные, сбои услуг, украденные у предприятий денежные средства. По данным Verizon, 37 проц. таких атак совершается после кражи или получения обманным путем данных подключения.

«Часто киберпреступникам не требуются очень сложные методики взлома – работу сильно упрощают сами пользователи», – предупреждает Д. Жаляускас. – «Созданные программистами алгоритмы пытаются подключиться к системам, используя имеющиеся в словаре слова и их комбинации (англ. dictionary attacks), часто используются и более грубые методы (англ. brute-force attacks), но в большом количестве случаев этого не требуется. Данные подключения выманивают, представившись коллегой, поставщиком, иногда встраивают программный код, который "ворует" пароли. Мы не раз сталкивались с ситуацией, когда хакеры отгадывали несложный пароль и подключались к профилям.»

«Мы не раз сталкивались с ситуацией, когда хакеры отгадывали несложный пароль и подключались к профилям.»

Легкомысленное отношение к паролям может обойтись очень дорого – спектр потерь широк: от репутационных потерь до реальных финансовых убытков и угрозы развитию бизнеса. Так, получив доступ к эл. почте, хакеры могут перехватить финансовую переписку, подделать счет и переслать его партнерам владельца эл. почты, которые, ничего не подозревая (ведь письмо пришло от знакомого отправителя), переведут указанные суммы преступникам.

Часто хакеры, воспользовавшись легким паролем, подсоединяются к серверу предприятия, на котором хранятся критически важные для развития бизнеса данные, шифруют их и, стремясь к наживе, требуют выкуп за «ключ» к шифру. Во время пандемии такие атаки создавали помехи работе достаточно большого числа компаний Fortune 500, а всего две недели назад пострадала даже Apple - киберпреступники утверждают, что они похитили  чертежи Apple Watch и MacBook Pro.

Кто должен определять политику паролей предприятия?

Существует два основных требования к надежному паролю – длина и максимальное разнообразие используемых символов. К данным подключения к рабочим профилям должны предъявляться дополнительные требования, описанные в политике паролей предприятия. При разработке политики следует руководствоваться несколькими основными правилами:

• минимальная длина пароля: 8 символов или больше;
• разнообразие знаков: прописные и строчные буквы, цифры, знаки препинания и специальные символы. 8-значная комбинация строчных и прописных букв и цифр позволяет создать 218 340 105 584 896 вариантов паролей, и это уже более трудная задача для хакеров, организующих brute-force атаки;
• сложность пароля: если пароль не содержит специальных символов, он становится уязвим для словесных атак, поэтому системы предприятия должны проверять, не является ли создаваемый пользователем пароль простым словосочетанием, например: имя и фамилия пользователя, название предприятия и цифра, название города;
• история пароля: система должна «помнить» старые пароли пользователей и не позволять использовать их повторно. Правда, пользователей также следует предупредить ни в коем случае не использовать те же самые пароли для подключения к другим профилям, особенно личным;
• срок действия пароля: требование регулярно обновлять пароль особенно, если используется решение двухфакторной идентификации. Microsoft рекомендует ограничить срок действия пароля 60 днями.

  «В идеальном случае предприятие должно использовать системы мониторинга, которые автоматически сообщают пользователю о попытке подключения с неизвестных устройств или блокируют доступ к профилю, если в течение краткого времени предпринимались попытки подключения с использованием неправильных данных», – добавляет Д. Жаляускас.

А как же личные профили и их пароли?

Правила, рекомендованные к использованию при формировании политики паролей предприятия, можно иметь в виду и применять и для обеспечения безопасности личных профилей. Также каждому пользователю рекомендуется:

• использовать уникальные пароли для каждого профиля. Особенно важно разграничить рабочие и личные профили – данные подключения к ним никогда не должны совпадать;
• регулярно менять пароли, даже если система этого не требует – данные подключения к личным профилям следует пересматривать и в целях профилактики обновлять каждые полгода, а если вы получили сообщение о взломе и возможной утрате информации, сделать это следует немедленно;
• активировать двухфакторную идентификацию (2FA) для всех профилей, которые предоставляют такую возможность. В таком случае при подключении к профилю свою личность следует подтвердить с помощью двух различных устройств, например, ввести данные в компьютер, и затем ввести полученный по телефону код безопасности.

«Использование двухфакторной идентификации – одно из лучших решений, которое вы можете принять для безопасности ваших профилей. Он может защитить последние, если данные пользователя были украдены или попали на черный рынок. Пользоваться 2FA надо всегда и везде, если только есть такая возможность. Согласно Microsoft, состоящая из нескольких уровней система на 99,9 проц. уменьшает вероятность возможности подключения преступников к вашему профилю без вашего ведома», – советует Д. Жаляускас.

«2FA – лучшее средство от потребительской лени, забывчивости и нежелания создавать длинные, сложные и разные пароли.»

Чем больше мы используем паролей, тем сложнее становится все их вспомнить. Безопасный способ, который может помочь облегчить задачу - программы хранения паролей, например Keeper, Dashlane, NordPass, Bitwarden и программа открытого кода KeePass.  Хранящиеся в этих программах пароли шифруются, для подключения к ним используется основной пароль, PIN код или биометрические данные телефона, программы могут автоматически ввести данные подключения, информацию о платеже или личную информацию в соответствующие формы и сообщить о попавших в интернет паролях. В таком случае останется только быстро отреагировать и сразу сменить пароли.