Вы ДЕЙСТВИТЕЛЬНО изменили свой пароль после взлома данных?

Вы ДЕЙСТВИТЕЛЬНО изменили свой пароль после взлома данных?

Еще несколько лет назад одним из основных советов в отношении паролей была рекомендация регулярно и часто менять пароли только потому, что вы могли это сделать.

Похвальная идея заключалась в том, что это сократило бы время, в течение которого вы могли бы быть взломаны, и поэтому вы «очевидно» были бы в большей безопасности.

По иронии судьбы, это стало известно на жаргоне как ротация паролей, и это именно то, во что превратился данный совет, ведь пользователи просто перебирали список паролей, которые они использовали ранее.

Большинство приложений проверяли, что ваш новый пароль не совпадает со старым, но пользователи быстро узнали, как мало разных паролей они могут использовать для каждого приложения или службы.

Пользователи также узнали, насколько незначительными могут быть эти различия, и они по-прежнему считаются изменениями, а не просто незначительными изменениями.

Еще одна серьезная проблема с ротацией паролей в сети компании заключалась в том, что ИТ-отделы часто вводили принудительные изменения очень предсказуемым образом, например, в первый понедельник каждого месяца.

И все, что вносит предсказуемость в процесс, который должен быть переполнен случайностью, вызывает проблемы.

Во-первых, вы так же хороши, ведь поощряете пользователей вносить изменения алгоритмическим способом для выполнения требований, а не для удовлетворения подлинных потребностей, например добавление цифр текущего месяца к основному паролю, который всегда остается прежним.

Во-вторых, вы набираете подавляющее большинство ежемесячных обращений службы поддержки «Ой, я забыл свой пароль» в короткий и предсказуемый период.

Это означает, что вы даете социальным инженерам — кибер-преступникам, которые, в сущности, мастера, — заставлять других людей делать небезопасные вещи — правдоподобный предлог для вызова, чтобы спровоцировать фиктивную перезагрузку пароля.

Требуется ли вообще сброс пароля?

Мы не предполагаем, что смена пароля не имеет значения.

Во что бы то ни стало, меняйте свои пароли, когда захотите, — если вы используете менеджер паролей, это легко сделать.

Но единственный раз, когда вы чувствуете себя обязанным сменить пароль, это когда есть явная и очевидная причина для этого, и это если вы думаете — или, что еще хуже, знаете — что пароль мог быть скомпрометирован.

К счастью, во многих или в самых недавних случаях взлома данных (хотя, к сожалению, не во всех), когда данные аутентификации были украдены, мошенники в конечном итоге получат ваш действительный пароль вместе с вашим логином.

Пароли обычно — или, безусловно, должны быть! –  хранятся в хешированном виде  , где хеш может использоваться для проверки правильности введенного пароля, но его нельзя изменить в обратном порядке, чтобы узнать, каким был пароль.

В результате большинство раскрытий пароля, возникающих в результате взлома данных, требуют, чтобы мошенники сначала взломали ваш пароль, пытаясь найти длинный список предположений, пока не найдут тот, который соответствует вашему хэшу пароля.

Проще говоря, чем длиннее и сложнее ваш пароль, тем дольше мошенники взломают его.

Сначала они пробуют самые очевидные пароли, поэтому 123456, вероятно, будут самыми первыми, которые они пробуют для каждого пользователя; Pa55word!может быть сотым в их списке; но они вряд ли будут пытаться взломать VFRHFMNOLR5LAIVGDOW5UZRTтечение нескольких дней, месяцев или даже лет.

Другими словами, если поставщик услуг уведомит вас о том, что ваш хэш пароля был получен мошенниками, вы, тем не менее, будете в безопасности, если измените свой пароль до того, как мошенники смогут его взломать.

Даже если нарушение произошло несколько недель или месяцев назад, вы, вероятно, все еще в хорошем положении, чтобы превзойти всех обманщиков, предполагая, что вы в первую очередь выбрали мудро — и, если вы используете менеджер паролей, это легко сделать.

Как часто?

Итак, если мы больше не меняем наши пароли каждый месяц «на всякий случай», насколько часто мы меняем их, когда есть понятная и существующая причина?

К сожалению, газета, недавно вышедшая из Университета Карнеги-Меллона в США, говорит о том, что это происходит совсем не часто.

Документ под названием  (Как) люди меняют свои пароли после нарушения?  Говорит, что исследователи:

… Обнаружили, что очень немногие из их участников онлайн-исследования сообщили о намерениях сменить пароли после того, как их уведомили о том, что их пароли были скомпрометированы или использованы повторно, в том числе потому, что они верили в «непобедимость» своих паролей.

Следует признать, что значимость выводов в документе несколько ограничена возрастом данных (они были собраны в 2017 и 2018 годах), небольшим размером выборки из 63 жертв нарушений из 249 участников и тем фактом, что только пользователи, помещающие данные в паролях через Chrome или Firefox отслеживались.

Тем не менее, исследование показало, что 42 из 63 участников (две трети), которые были уведомлены о взломе данных, вообще не меняли своих паролей.

Насколько мы хороши?

К сожалению, даже из одной трети всех, кто действительно изменил соответствующий пароль, большинству потребовалось более трех месяцев, чтобы обойти его, и многие из них заменили свои старые пароли более слабыми.

Еще более интригующе — хотя, может быть, и задним числом, что неудивительно — исследователи утверждают, что те, кто действительно менял пароли, имели тенденцию выбирать в среднем замену, которая была более похожа, чем прежде (измеряемая сходством подстрок), на все остальные пароли.

Другими словами, если вы не используете менеджер паролей для генерации действительно случайных паролей для вас, исследование предлагает вам сделать вывод, что ваш выбор пароля будет иметь тенденцию влиять друг на друга, и, следовательно, ваши пароли со временем будут похожими.

Это может принести не много пользы мошенникам, но это точно не принесет вам энтропийной пользы. (Энтропия — это жаргонное слово для обозначения того, насколько «беспорядочным» является ваш пароль — где, в общем, более высокий беспорядок означает труднее угадать.)

Короче говоря, люди на самом деле не очень хороши в случайности — но, с другой стороны, они не очень хорошо реагируют и на советы по взлому данных.

Что делать?

  • Не откладывайте, сделайте это сегодня. Если есть веская причина для смены одного из ваших паролей, сделайте это прямо сейчас и держитесь подальше от мошенников.
  • Не используйте ярлыки. Мошенники обнаружат любые уловки или шаблоны, которые вы используете, чтобы сделать ваши пароли другими, но достаточно похожими, чтобы их было легко запомнить. Если у вас есть u64b2vqtn5-fb Facebook и u64b2vqtn5-tw Twitter, мошенники с легкостью выяснят остальные ваши пароли.
  • Не думай, что ты непобедим. Мошенники, вероятно, не взломают ваш пароль, если он напоминает 6GHENBIZMX3TTUHJTPQZTEKM, но зачем рисковать?
  • Не используйте 2FA в качестве оправдания. Не используйте 2FA в качестве предлога для выбора тривиального пароля или для того, чтобы везде использовать один и тот же пароль — это должно быть вторым фактором, а не просто отдельным фактором.

Оригинал

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только