Пароли – это наиболее распространенный способ для подтверждения того, что мы – это действительно те люди, которые говорят от нашего имени на разных веб-сайтах, в соцсетях, в электронной почте и даже на самом компьютере. Пароли также дают нам возможность доступа к мобильным телефонам, банковским приложениям, рабочим компьютерам и конфиденциальным файлам. Для многих онлайн-систем пароль – это единственная вещь, которая удерживает хакера от кражи наших персональных данных. Наша сегодняшняя статья о том, как кибер-преступники могут взламывать пароли и что можно сделать по защите паролей.
Почему хакерам так легко взламывать
Хотя может показаться, что создание пароля не такое уж и сложное дело, все же даже такие крупные и мощные компании как eBay, LinkedIn, а недавно и Facebook все же пострадали от этой проблемы, т.к. у многих их пользователей были скомпрометированы пароли. Стива Лангана, руководителя специализированного страховщика Hiscox, в 2016 году ущерб глобальной экономике от кибер-преступлений составил более $450 миллиардов долларов США, было украдено свыше 2 миллиардов записей. Почему хакерам так легко подключаться к аккаунтам и получать безопасные пароли?
Во-первых, что самое главное, мы часто используем один и тот же пароль в разных местах. Свыше % населения используют одинаковый пароль на различных сайтах. А т.к. для % вообще трудно управлять своими паролями, то мы становимся невероятно открытыми для хакеров, особенно когда мы годами и даже десятилетиями не меняем свои пароли.
Люди также очень предсказуемы. Мы склонны использовать пароли, которые имеют то или иное отношение к нашей жизни, потому что их легко запомнить. Благодаря нашей , нам проще запоминать изображения и информацию, с которой мы уже знакомы и которая имеет для нас определенное значение. Вот почему мы часто создаем простые для запоминания и весьма предсказуемые пароли, связанные, например, с членами нашей семьи, нашими животными или днями рождения.
Средний пользователь имеет порядка защищенных паролем аккаунтов, но для всех этих аккаунтов он имеет всего только пять различных паролей. Это делает нас более уязвимыми для взлома, особенно для атак типа «brute force». Свыше 85% американцев держат все свои пароли в голове, а ведь это практически невозможно запомнить 26 разных паролей. Имея множество разных паролей, следует установить программу, которая будет управлять паролями. Впрочем, такую программу использует всего 12% американцев.
Стандартное правило – менять пароли каждые 90 дней. Однако в последние годы этот метод был признан Лорри Кранор (Руководитель по технологиям в FTC и профессор компьютерных наук в Карнеги Меллон) неэффективным. Она , что когда люди вынуждены менять свои пароли на регулярной основе, они применяют для этого меньше умственных усилий. Вот еще один способ, как хакеры могут воспользоваться отсутствием у людей усилий и желаний изменить или разнообразить свои пароли.
Сколько требуется хакерам времени, чтобы определить ваш пароль
Если ваш пароль очень простой, как слово “password” или “abcdefg”, то хакеру потребуется примерно 0,29 миллисекунд, чтобы его подобрать (по данным ). Удивлены? А вот пароль типа 123456789 может быть подобран 431 раз за то время, пока вы моргаете. Даже более сложные пароли взламываются достаточно быстро. И если раньше на подбор какого-нибудь пароля у хакеров уходило до 3 лет, то теперь они могут это сделать за пару месяцев.
Хакеры сперва проверяют самые простые и распространенные пароли, а затем уже переходят к паролям с наименьшим числом символов. В то время как пароль с семью символами может быть взломан за 0,29 миллисекунд, то на взлом пароля из 12 символов может потребоваться до двух столетий. Чем длиннее пароли, тем больше времени требуется хакерам для получения правильной комбинации.
Как кибер-преступники взламывают пароли
И все же, как хакеры делают свою грязную работу? Во-первых, важно понимать, что это их работа. Большинство современных и успешных хакеров ежедневно занимаются этим, вкладывая все свои знания и усилия. Вот наиболее распространенные способы, как хакеры могут получить доступ к вашему аккаунту с помощью ваших регистрационных данных:
- Атаки кейлоггером
- Атаки brute force
- Атаки по словарю
- Фишинговые атаки
Атаки кейлоггером
Кейлоггер – это тип технологии наблюдения, которая используется для записи и отслеживания каждого нажатия клавиш на клавиатуре требуемого устройства. Кибер-преступники используют кейлоггеры как шпионский инструмент для кражи персональной информации, регистрационных данных и критически важных корпоративных сведений.
Как защитить себя:
Используйте файервол, чтобы предотвратить передачу информации кейлоггером третьему лицу. Вы также можете установить менеджер паролей, который будет автоматически заполнять поля с паролями (вставляя требуемый ваш пароль), а потому кейлоггеры не смогут отслеживать нажатия клавиш и получать ваши регистрационные данные. Также убедитесь, что вы регулярно обновляете установленное ПО, т.к. кейлоггеры могут воспользоваться уязвимостями в ПО, чтобы встроить себя в вашу систему.
Атаки Brute Force
Мы часто используем пароли, которые являются простыми, релевантными и могут быть подобраны за несколько попыток. При использовании метода brute force, хакеры используют специальные программы, которые непрерывно пытаются подобрать различные комбинации пароля. Это надежный способ кражи вашей информации, т.к. многие пользователи используют простые пароли типа “abcd”. Некоторые наиболее распространенные программы для кражи паролей – это Brutus, Wfuzz, и RainbowCrack.
Как защитить себя:
Существует множество способов, как защитить себя от атак типа brute force. Во-первых, вы можете внедрить политику блокировки аккаунта, поэтому после нескольких неудачных попыток авторизации аккаунт будет заблокирован до тех пор, пока администратор его не разблокирует. Вы также можете внедрить прогрессивные задержки, которые блокируют аккаунты пользователей на определенный период времени после неудачной попытки авторизации, увеличивая время блокировки после каждой неудачной попытки.
Другое решение – это использование теста «вызов-ответ» (challenge-response) для предотвращения автоматической отправки на страницу входа. Такие системы как могут требовать ввода слова или решения математической задачи, чтобы убедиться в том, что регистрационные данные вводит человек, а не хакерская система.
Атаки по словарю
В 2012 году на LinkedIn было взломано более с помощью атаки по словарю. Атака по словарю работает таким образом: систематически в качестве пароля вставляется каждое слово в словаре. Атаки по словарю могут быть весьма успешными, потому что люди имеют тенденцию выбирать короткие, но распространенные пароли.
Как защитить себя:
Выбирайте пароль как минимум из 8 символов. Избегайте в нем любых слов из словаря или общеизвестные и предсказуемые вариации слов. Используйте SSH-ключи для подключения к удаленному серверу для хранения вашего пароля. Вам также следует разрешать только для определенных хостов или IP-адресов, чтобы вы могли точно знать, какие компьютеры подключаются к вашему серверу.
Фишинговые атаки
Фишинговые атаки осуществляются хакерами, которые используют подложные электронные письма или веб-сайты для кражи ваших регистрационных данных. Речь чаще всего идет о письмах, которые маскируются под письма от вполне надежных и легальных компаний, в которых вас просят скачать файл или нажать на кнопку или ссылку. Чаще всего фишинговые атаки могут содержать хакерскую маскировку под ваш банк, что может привести к очень пагубным последствиям.
Как защитить себя
Будьте осторожны с письмами, которые приходят от непонятных отправителей, не персонализированы, просят вас подтвердить персональную или финансовую информацию или требуют от вас немедленных действий с помощью угрожающей информации. Не нажимайте на ссылки, не скачивайте файлы или не открывайте вложения от неизвестных отправителей. Никогда не отправляйте личную или финансовую информацию по электронной почте даже тем людям, кому вы доверяете, т.к. ваша почта может быть взломана.
Создание надежного пароля
Кибер-преступники стали экспертами по определению паролей. 50% малых и средних предприятий подвергались как минимум одной кибер-атаке в 2017 году. Т.е. половина всех малых предприятий, не говоря о таких крупных корпорациях как T-Mobile, JP Morgan и eBay, которые пострадали от массовых кибер-атак, затронувших сотни миллионов пользователей. И это еще не самое страшное.
По данным исследования WordPress , даже руководители высокого уровня, как старший инженер в PayPal или менеджер программы в Microsoft имеют предсказуемые и угадываемые пароли. Это может серьезно повлиять на их бизнес. При создании пароля существует несколько советов, которые могут существенно вам помочь, чтобы обеспечить безопасность ваших аккаунтов и защиту от хакеров.
В идеале пароль должен иметь не менее 14 символов. Восемь символов – это самый минимум, каким может быть пароль. Используйте различные символы, цифры и буквы, которые не имеют никакой связи с вами или вашими увлечениями.
Избегайте использования предсказуемых шаблонов: например, заглавные буквы в самом начале или в конце вашего пароля или имена собственные. Также попытайтесь использовать всю вашу клавиатуру, а не только те символы, которые вы используете ежедневно, т.к. хакеры знают об этом и будут в первую очередь ориентироваться на общераспространенные символы.
Защита паролей: держите ваши пароли в безопасном месте
Чтобы ваши пароли были надежно защищены, важно создавать качественные пароли и использовать инструменты безопасности при создании новых аккаунтов. В то время как многие исследования советуют менять пароль каждые 90 дней, на самом деле новейшие рекомендации предлагают менять пароль при необходимости, т.к. слишком частая смена пароля может скорее навредить вам, чем помочь.
Также сделайте новые подсказки к паролям, потому что именно они позволяют хакерам легко получать «письма для восстановления» с информацией по вашему аккаунту. Попытайтесь использовать необычные ответы, например, некорректные имена учителей или даже случайные ответы (но сохраните их где-то в безопасности, чтобы не забыть). Другой способ – это создать предложение или аббревиатуру, которая может быть применима только к вам, но совершенно случайна, чтобы обмануть хакеров.
Используйте менеджер паролей. Такой инструмент генерирует и хранит для вас сложные пароли. Менеджеры паролей «живут» в вашем браузере и могут автоматически заполнять поля с регистрационными данными каждый раз, когда вы заходите на требуемый сайт.
Наконец, установите антивирусную программу для защиты в Интернете. Установите ваш антивирус на все устройства, чтобы следить за подозрительной активностью и не допускать установку на ваш компьютер неизвестных скаченных программ и утилит.
Оригинал статьи:
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
