LT
EN
RU
Думка експерта 2021.05.06
“2FA-найкращий засіб від споживчої лінощі, забудькуватості та небажання створювати довгі, складні різні паролі.”
Доминик Жаляуска
Керівник відділу адміністраторів систем
Microsoft
Всесвітній день паролів, який відзначають у перший четвер травня, має нагадати всім, що настав час змінити свої паролі на більш надійні. Статистика показує, що паролі, що легко вгадуються, широко поширені в усьому світі. Слабкий пароль нерідко може звести нанівець всі інші заходи безпеки, якими ми користуємося, щоб захистити свою особисту та корпоративну інформацію.
У складеній NordPass двадцятці найпопулярніших паролів у Литві переважають послідовності цифр і літер (наприклад, 123456, 111111, qwerty, asasas), імена (Мантас, Кароліс), географічні назви (Литва, Каунас), торгові марки (Samsung), випадки привіт). Ситуація у бізнесі не краща: кожен п’ятий пароль – точна назва підприємства чи нескладний варіант цієї назви.
«Багато таких нескладних паролів за допомогою спеціального програмного обладнання можна зламати за кілька секунд або хвилин», – каже керівник відділу адміністраторів систем Microsoft компанії «Комунікації Балтнети» Домінікас Жаляускас.
«За допомогою спеціального програмного забезпечення нескладні паролі можна зламати за кілька секунд або хвилин.»
Нескладні паролі — прямий шлях до збитків
Світовий економічний форум підрахував, що через кібератаки світова економіка втрачає 2,9 млн. доларів США щохвилини. Збитки – втрачені дані, перебої послуг, вкрадені у підприємств кошти. За даними Verizon, 37% таких атак відбувається після крадіжки або одержання обманним шляхом даних підключення.
«Часто кіберзлочинцям не потрібні дуже складні методики злому — роботу сильно спрощують самі користувачі», — попереджає Жаляускас. — «Створені програмістами алгоритми намагаються підключитися до систем, використовуючи наявні у словнику слова та їх комбінації (англ. dictionary attacks), часто використовуються і грубіші методи (англ. brute-force attacks), але у великій кількості випадків цього не потрібно. Дані підключення виманюють, представившись колегою, постачальником, іноді вбудовують програмний код, який краде паролі. Ми неодноразово стикалися з ситуацією, коли хакери відгадували нескладний пароль і підключалися до профілів.»
«Ми не раз стикалися з ситуацією, коли хакери відгадували нескладний пароль і підключалися до профілів.»
Легковажне ставлення до паролів може обійтися дуже дорого – спектр втрат широкий: від репутаційних втрат до реальних фінансових збитків та загрози розвитку бізнесу. Так, отримавши доступ до ел. пошти, хакери можуть перехопити фінансове листування, підробити рахунок та переслати його партнерам власника ел. пошти, які, нічого не підозрюючи (адже лист надійшов від знайомого відправника), переведуть зазначені суми злочинцям.
Часто хакери, скориставшись легким паролем, приєднуються до сервера підприємства, на якому зберігаються критично важливі для розвитку бізнесу дані, шифрують їх і прагнучи наживи вимагають викуп за «ключ» до шифру. Під час пандемії такі атаки створювали перешкоди роботі досить великої кількості компаній Fortune 500, а лише два тижні тому постраждала навіть Apple – кіберзлочинці стверджують, що вони викрали креслення Apple Watch та MacBook Pro.
Хто має визначати політику паролів підприємства?
Існує дві основні вимоги до надійного пароля – довжина та максимальна різноманітність використовуваних символів. До даних підключення до робочих профілів мають пред’являтися додаткові вимоги, описані у політиці паролів підприємства. Під час розробки політики слід керуватися кількома основними правилами:
- мінімальна довжина пароля: 8 або більше символів;
- різноманітність знаків: великі та малі літери, цифри, розділові знаки та спеціальні символи. 8-значна комбінація малих і великих букв і цифр дозволяє створити 218 340 105 584 896 варіантів паролів, і це вже важче завдання для хакерів, що організують brute-force атаки;
- складність пароля: якщо пароль не містить спеціальних символів, він стає вразливим для словесних атак, тому системи підприємства повинні перевіряти, чи не є пароль, що створюється, простим словосполученням, наприклад: ім’я та прізвище користувача, назва підприємства і цифра, назва міста;
- історія пароля: система повинна пам’ятати старі паролі користувачів і не дозволяти використовувати їх повторно. Щоправда, користувачів також слід попередити в жодному разі не використовувати ті самі паролі для підключення до інших профілів, особливо особистих;
- термін дії пароля: вимога регулярно оновлювати пароль, особливо якщо використовується рішення двофакторної ідентифікації. Microsoft рекомендує обмежити термін дії пароля 60 днів.
«В ідеальному випадку підприємство має використовувати системи моніторингу, які автоматично повідомляють користувача про спробу підключення з невідомих пристроїв або блокують доступ до профілю, якщо протягом короткого часу робилися спроби підключення з використанням неправильних даних», – додає Д. Жаляускас.
А як же особисті профілі та їхні паролі?
Правила, рекомендовані для використання при формуванні політики паролів підприємства, можна мати на увазі та застосовувати і для забезпечення безпеки особистих профілів. Також кожному користувачеві рекомендується:
- використовувати унікальні паролі для кожного профілю. Особливо важливо розмежувати робочі та особисті профілі – дані підключення до них ніколи не повинні співпадати;
- регулярно змінювати паролі, навіть якщо система цього не вимагає – дані підключення до особистих профілів слід переглядати і з метою профілактики оновлювати кожні півроку, а якщо ви отримали повідомлення про зло і можливу втрату інформації, зробити це слід негайно;
- активувати двофакторну ідентифікацію (2FA) для всіх профілів, які надають таку можливість. У такому випадку під час підключення до профілю свою особу слід підтвердити за допомогою двох різних пристроїв, наприклад, ввести дані в комп’ютер, а потім ввести код безпеки.
«Використання двофакторної автентифікації — одне з найкращих рішень для захисту ваших облікових записів. Вона може захистити їх навіть у разі, якщо ваші дані були викрадені або потрапили на чорний ринок.Користуватися 2FA треба завжди і скрізь, якщо є така можливість. Згідно Microsoft, що складається з кількох рівнів система на 99,9% зменшує можливість підключення злочинців до вашого профілю без вашого відома», – радить Д. Жаляускас.
«2FA – найкращий засіб від лінощів, забудькуватості та небажання створювати довгі, складні та різні паролі.»
Домінікас Жаляускас
керівник відділу адміністраторів систем Microsoft компанії Baltneta
Чим більше ми використовуємо паролів, тим складніше стає їх згадати. Безпечний спосіб, який може допомогти полегшити завдання – програми зберігання паролів, наприклад Keeper, Dashlane, NordPass, Bitwarden та програма відкритого коду KeePass. Паролі, що зберігаються в цих програмах, шифруються, для підключення до них використовується основний пароль, PIN код або біометричні дані телефону, програми можуть автоматично ввести дані підключення, інформацію про платіж або особисту інформацію у відповідні форми і повідомити про паролі, що потрапили в інтернет. У такому разі залишиться лише швидко відреагувати та одразу змінити паролі.
