Люди по-прежнему используют предсказуемые пароли и редко их меняют. По результатам исследования NordPass, самыми распространенными в 2022 году были password, «123456» и qwerty. Хакерам хватит секунды, чтобы вычислить такой пароль и получить доступ к личному кабинету.
Кажется, пора поговорить о полезных привычках в сети. Рассказываем, как мы сами помогаем хакерам похитить свои данные — и как составлять идеальные пароли. Let's go!
Немного статистики
Служба управления паролями NordPass (Панама) вместе с независимыми исследователями определила 200 наиболее часто используемых паролей 2022 года. Компания обработала миллионы комбинаций, объединив их в базу данных объемом 3 Тб. Это пароли пользователей из 50 стран мира, которые утекли в сеть.
Итак, вот победители рейтинга:
Практически в каждой стране в первую двадцатку распространенных паролей входят названия футбольных команд. В Великобритании на 4 месте оказался liverpool (ФК «Ливерпуль») — его использовали 1921 раз, на 6-м — arsenal (ФК «Арсенал») — 1192 совпадения, на 11 — chelsea (ФК «Челси») — 897 раз. В Италии 3746 человек установили пароль juventus (ФК «Ювентус») — 5 место.
Жители ряда стран используют в качестве паролей религиозные понятия. Например, blessing (благословение) оказался на 23 месте в Нигерии — его использовали 926 человек. Christian (христианин) — на 68 месте в Германии (450 совпадений). Пароль bismillah (во имя Аллаха), использовали 1599 человек в Саудовской Аравии (30 место).
Женщины для защиты своих аккаунтов часто используют положительные и ласковые слова: sunshine (солнце), iloveyou (я тебя люблю), princess (принцесса), butterfly (бабочка), babygirl (малышка). Пароли мужчин более брутальные: dragon (дракон), superman (супермен), killer (убийца). А еще мужчины часто используют ругательства.
По словам NordPass, ежегодно в списке паролей преобладают названия брендов, фильмов, любимой еды и нецензурная лексика. Вот самые распространенные:
Наиболее популярные имена, которые входят в состав паролей, — Eva и Alex. Оба за последние 4 года употреблялись около 7,1 млн раз. Зачастую имена люди используют собственные или членов семьи, реже — клички домашних животных. Большинство пользователей дополняют комбинации годом. Самые распространенные варианты: 2010 (10 млн раз), 1987 (8,4 млн), 1991 год (8,3 млн). Это может быть год рождения, создания пароля или год, который является для человека особенным.
27% паролей состоят из 8 символов, и только 3% включают 14 и более знаков. Около 63% юзеров используют один и тот же пароль для всех учетных записей (!).
Пара секунд — и готово! Как хакеры взламывают пароли
На взлом пароля типа 123456 или iloveyou понадобится секунда, Liman1000 — около 3 часов. Чтобы «крякнуть» пароль freedomandcreativity, может уйти около 3 лет.
Как это происходит? Собрали самые популярные методы, которыми пользуются кибермошенники для получения доступа к аккаунтам.
#1. Словарный метод
Атака предполагает автоматический подбор слов из словаря. Это может быть стандартный словарь английского языка, который преобразуется в файл и добавляется в программу. Чтобы упростить себе задачу, хакеры используют списки, содержащие распространенные пароли или повседневные понятия, которые может использовать жертва. Такой метод работает, когда в качестве пароля используются слова, а не комбинация букв, чисел и спецсимволов.
#2. Метод «грубой силы»
С помощью специальных программ хакеры подбирают всевозможные комбинации до тех пор, пока пароль не будет раскрыт.
Большинство комбинаций состоит из 8 символов, часть из них включают буквы верхнего и нижнего регистра, цифры и символы. По данным General Software, это примерно 2,18 трлн комбинаций. Компьютеры достигли такого уровня, что им хватит двух часов для взлома 8-символьного буквенно-цифрового пароля. В прошлом, если бы хакер пытался перебрать 1 тыс. комбинаций в секунду, процесс занял бы не менее 7 тыс. лет.
Опытные кибермошенники понимают, что многие корпоративные пароли состоят из слов, которые связаны с бизнесом. Поэтому, чтобы ускорить процесс, они запускают «паутинные» приложения, похожие на те, что используют поисковики для определения ключевых слов.
#3. Метод радужных таблиц
Когда мы создаем пароль для входа в личный кабинет, он шифруется и превращается в хеш. Например, пароль privet после хеширования будет выглядеть так:
c7f7a34bbe8f385faa89a04a9d94dacf
Радужная таблица представляет собой предварительно вычисленный словарь паролей и их хеш-значений. Получая доступ к файлам с хешированными паролями, хакер ищет соответствия хеш-значений и паролей в списках таблиц.
Как злоумышленники получают доступ к хешу? Через слабо защищенную базу данных паролей, уязвимость кода сайта или программы. Этот способ обычно применяют для взлома операционных систем и паролей Wi-Fi-сетей.
#4. Фишинг и вредоносное ПО
Часто пользователи сами сообщают хакерам свои данные, отвечая на фишинговые сообщения. Чтобы «исправить суперсрочную проблему по безопасности», жертва переходит на поддельный сайт онлайн-банкинга или платежного сервиса. Внешне он ничем не отличается от настоящего. В предложенные поля вводится логин и пароль, которые затем считывает программа.
Помимо ссылки на фейковый сайт в письме может оказаться вредоносная программа, замаскированная, к примеру, под обновленную версию антивируса. После установки ПО будет фиксировать все ваши действия, делать скриншоты страниц авторизации и отправлять эту информацию хакерам. Некоторые программы целенаправленно ищут файлы, в которых пользователи записывают свои пароли.
#5. «Подглядывание через плечо»
Любимый прием хакеров — позвонить или прийти в офис, представиться сотрудником IT-безопасности и напрямую попросить у администратора пароль доступа к сети. Вы даже не представляете, как часто это работает! Некоторые кибермошенники для правдоподобности надевают специальные костюмы и бейджи.
Кроме этого, хакеры могут проникать в офисы под видом курьеров, уборщиков и т. д. Униформа дает беспрепятственный пропуск практически во все кабинеты. Это позволяет мошенникам находить пароли, которые многие так любят писать на стикерах и клеить на монитор.
Какой он — идеальный пароль?
Многие сайты, заботясь о безопасности своих пользователей, просят создавать пароли от 8 символов, включать в них буквы обоих регистров, цифры и спецсимволы. С учетом таких критериев можно ограничиться чем-то вроде 12345Aa! или Abcde1). Но это очень слабые пароли, которые мошенники быстро взломают.
Некоторые ресурсы используют счетчики надежности паролей. Например, если вы введете «Aaaaa», появится уведомление о том, что пароль слабый.
Согласно рекомендациям NCSC, пароль должен быть длинным и уникальным. Его нужно составить из как минимум 3 случайных слов, цифр и спецсимволов. Общая длина — от 14 знаков. Позаботьтесь также о том, чтобы комбинацию было легко запомнить.
Пример надежного пароля: sandpuckeringelephant2) (песок морщащийся слон). Чтобы запомнить такой пароль, просто подумайте о слоне, который живет в африканской песчаной пустыне и все время морщится от солнца. И не забудьте, что у слона два глаза и он улыбается.
Хотите получать дайджест статей?
Еще несколько полезных советов для безопасного пребывания в сети
#1. Используйте отдельный пароль для каждого сервиса
Если для вас это пока сложно, создайте индивидуальные пароли как минимум для онлайн-банкинга, государственных сервисов, соцсетей и главное — для электронной почты. Получив доступ к имейлу, мошенники могут добраться и до других аккаунтов, используя функцию «забыли пароль».
#2. Регулярно меняйте пароли
Оптимальный срок жизни одного пароля — 3 месяца. Нужно немедленно его поменять, если вы подозреваете, что кто-то взломал ваш аккаунт (например, всем друзьям в Facebook пришло одинаковое сообщение). Обновлять защиту необходимо после каждого использования общедоступного Wi-Fi — например, в библиотеке или кафе.
#3. Не забывайте обновлять ПО и приложения
Многие из нас игнорируют обновления, но они могут содержать важные элементы безопасности для защиты устройств. Например, в новой версии программы закрыли уязвимость, которая позволяла хакерам получить доступ к хеш-файлу. И теперь они не смогут использовать метод радужных таблиц, описанный выше.
#4. Включите двухэтапную аутентификацию (2SV)
Помимо пароля используйте сканирование отпечатков пальцев, лица, SMS-код. Некоторые сервисы предлагают для подтверждения личности совершить определенные действия в приложении. В результате хакеру будет сложно получить доступ к вашему аккаунту, даже если он вычислит пароль.
Весь бизнес-контент в удобном формате. Интервью, кейсы, лайфхаки корп. мира — в нашем телеграм-канале. Присоединяйтесь!
#5. Храните пароли в надежном месте
Записывать комбинации на бумагу — нормально, но вот клеить стикеры с паролями на монитор точно не стоит. Самый удобный вариант — менеджер паролей. Это специальная программа в виде приложения или расширения для браузера. Некоторые из них бесплатные (Bitwarden), другие — платные (Keeper, Dashlane).
Менеджер паролей генерирует уникальные комбинации для всех аккаунтов, запоминает их и автоматически вводит, когда это нужно пользователю. Среди других полезных функций:
- синхронизация паролей на все устройства
- защита от фишинга
- напоминания о смене пароля
- полезные уведомления (например, что вы использовали один пароль для нескольких сайтов)
По мнению киберспециалистов, использование менеджеров паролей — абсолютно безопасный метод защиты данных. Главное — не забыть мастер-пароль!
Кстати, большинство менеджеров требуют двухэтапной аутентификации для входа в приложение. Помимо основного пароля сервис может запрашивать отпечатки пальцев, скан лица, PIN-код. И если вы потеряли телефон или ноутбук, на котором установлен менеджер, нужно немедленно зайти в программу с другого устройства и поменять пароль.
Будущее без паролей?
Примерно через 5 лет интернет-пользователи вовсе забудут, что такое пароли. В мае 2022 года Apple, Google и Microsoft договорились о расширении единого стандарта для авторизации в интернете без пароля, предложенного Альянсом FIDO и Консорциумом World Wide Web.
Пользователи будут входить в систему с помощью проверки отпечатка пальца, сканирования лица или PIN-кода. Ожидается, что новые возможности станут доступны в Apple, Google и Microsoft в течение 2023 года.
Банки, мессенджеры, почтовые операторы и прочие сервисы тоже ищут возможности для внедрения беспарольных технологий. Онлайн-банкинги, Viber и Telegram вместо стандартных SMS начали использовать зашифрованные Push-сообщения и QR-коды. А также запрашивать подтверждения операций с помощью TouchID и FaceID.
В 2021 году American Banker сообщил, что 15–20% из 1 тыс. финансовых учреждений в США использовали селфи в сочетании с проверкой документов для подтверждения личности пользователя.
А банк BNP Paribas стал первым, кто продемонстрировал переход на беспарольный режим во время Finovate London 2022. Банк внедрил многофакторную аутентификацию (MFA) во всей организации. Она предполагает проверку подлинности по трем независимым факторам: знания, обладания, биометрии. Для получения доступа система может потребовать ответить на секретный вопрос, разблокировать устройство и подтвердить биометрические данные. MFA — лучший способ защиты от кибератак, доступный на сегодня.
Хотите получать дайджест статей?
