Стоит ли быть фаталистом?
Всю защиту паролей стоит разделить на две большие части: одну, где что-то зависит от нас и вторую, где все зависит от техники.
Когда мы сохраняем пароль в браузере, то за его сохранность отвечает шифрование контейнера и алгоритмы работы самого браузера, тут мы ничего дополнительно сделать не можем. Когда мы вводим свой пароль на интернет-сайте или в сервисе – то защита данных пароля (там, скорее всего, хранится не пароль, а его цифровой отпечаток – хэш) осуществляется этим сайтом или сервисом, и если программисты допустили ошибку и базу данных паролей украли или вскрыли – то тут мы тоже ничего сделать не можем.
Время от времени действительно происходят взломы крупнейших сайтов (например, была взломала база паролей к почте Yahoo!), когда к злоумышленникам попадают сразу сотни миллионов учетных данных.
В таких случаях мы ничего предпринять не можем, и нам остается лишь надеяться, что ничего плохого в нашем конкретном случае не случится.
Иногда сохранность пароля затронута не напрямую, но все равно зависит от пользователя. Например, пароль могут украсть с самого компьютера, если он заражен вирусом. Многие вирусы могут ставить в систему такую штуку, которая записывает все нажатия на клавиатуру (называется кейлоггер) и отправлять хозяину.
Самые умные из них могут распознавать, когда набираемые буквы похожи на пароль, и делать, например, скриншот, чтобы было видно – куда именно пароль вводится. Поэтому в некоторых интернет-банках для ввода пароля используется экранная клавиатура – там перехватить ввод пароля в автоматическом режиме невозможно.
Некоторые вирусы сканируют систему в поисках файлов, где могут храниться пароли. Хотя сейчас такие контейнеры паролей очень хорошо защищены и взломать их очень сложно.
Наконец, внедрившийся в компьютер вирус может обманывать пользователя – подменять сайты, направляя вас вместо оригинального на поддельный. При этом для вас все будет выглядеть, как обычно, и вы, ничего не подозревая, сами сообщите сайту все свои учетные данные.
Единственное спасение тут – чистить свой компьютер.
Однако несмотря на остающиеся проблемы, на сегодняшний день системы защиты и хранения паролей почти везде хорошо защищены, и их взлом требует очень больших затрат времени и усилий. Куда проще украсть пароль у пользователя, который не всегда разбирается в тонкостях. На этом направлении и сосредоточились злоумышленники.
Правильный пароль – сложный пароль
Итак, как защитить свой пароль? Для начала – как его правильно придумать.
Изначально основным способом взлома пароля являлся перебор. Сейчас перебором обычно занимаются специальные программы-роботы, работающие с невероятной скоростью – скорость 1 млрд вариантов в секунду и выше. Плюс, есть так называемые «радужные таблицы» с заранее просчитанными распространенными вариантами паролей и их отпечатков (хешей) к ним. Но для этого им нужно с чем-то работать – грубо говоря, чтобы попробовать этот миллиард ключей, им нужен беспрепятственный доступ к замку.
От перебора паролей вас пытаются защитить сами сервисы, куда эти пароли нужно вводить – если пароль несколько раз введен неправильно, то возможность ввода блокируется на некоторое время, поэтому перебор даже распространенных вариантов будет занимать много времени. Но иногда в механизме находят уязвимость, которая позволяет либо перебирать пароль быстро, либо узнать, как он должен выглядеть (получить хэш пароля). Тогда процесс подбора существенно ускоряется.
Однако самые простые и распространенные пароли можно попробовать перебрать даже за то ограниченное число попыток, которое обычно дается. Поэтому делайте сложный пароль, а не «123», «111», «123456» и даже «йцукенг». Все они давно известны, и их можно быстро перебрать. Самые защищенные сервисы и сайты сейчас просто не дадут вам создать такой пароль. Но даже если дадут – не надо этого делать.
Старайтесь не использовать очевидные слова и числа, связанные с вами свои имя-фамилию, дату рождения и пр. Эту информацию очень легко собрать (причем в автоматическом режиме).
Используйте другие слова, а лучше – наборы из букв и символов, и чем больше – тем лучше, потому что дополнительный символ в пароле увеличивает количество вариантов при взломе в разы и на порядки. Вставив в пароль заглавные буквы или необычные знаки типа «!», «?» или «*», вы на несколько порядков повысите его сложность – злоумышленнику придется перебирать уже не 32 знака, а 64 (включая заглавные буквы) плюс дополнительные символы – в самых разных комбинациях.
В общем, сложный пароль – это хорошо. Проблема в том, что его очень сложно запомнить.
Больше паролей, хороших и разных
Если у вас везде одинаковый пароль, то взломав, например, плохо защищенный сервис по доставке пиццы, злоумышленник узнает ваш пароль… и адрес электронной почты. Если пароль к почте тот же, он взломает и ее. Дальше попробует, а не зарегистрирован ли на эту почту какой-нибудь аккаунт в соцсетях? Если да – отлично, взломаем и украдем и его.
И наконец – самое приятное – а не используется ли тот же адрес электронной почты и пароль при доступе в интернет-банк? Это будет настоящий подарок для воров. И настоящее бедствие для вас.
Поэтому в идеале хорошо бы иметь для каждого сайта или сервиса свой пароль. Но как их все запомнить? Один из простых способов – использовать определенный шаблон. Например, если вы Вася Иванов, то пароль васявиванов – слишком простой и очевидный. А вот вася123иванов уже нет. ваСя123иВАНов – еще лучше. Вася!!123*иВАНов – еще лучше!
Но почему бы не добавить к паролю название сайта или часть его, чтобы можно было догадаться, какой именно пароль у вас для этого сайта? Особенно здорово, если куда-нибудь в центр. Например: ваСя!123*милосердие??иВАНов. Так у вас будет всегда уникальный, длинный пароль, и запомнить вам нужно будет лишь «постоянную» часть в начале и в конце.
Правда, если злоумышленники узнают один такой пароль (а не его хэш), и проанализируют его, разгадав шаблон, то смогут взломать их все. Хотя это уже более сложная задача, требующая аналитики. Впрочем, все равно стоит придумать еще какую-нибудь уникальную часть пароля.
Разумеется, лучше вообще не использовать шаблон, а попытаться действительно придумать уникальный сложный пароль для каждого сайта. Только запомнить их все будет точно невозможно. Здесь на помощь приходят менеджеры паролей, которые позволяют создать отдельный (и сложный) пароль для каждого случая и сохранить его.
Впрочем, у них есть как плюсы, так и минусы. Например, утратив доступ к менеджеру паролей, вы останетесь беспомощны. Плюс, переезжая на любое новое устройство, вам придется вводить пароли заново (что может быть сложно, особенно в случае мобильных устройств и экранной клавиатуры). Либо надо будет везде использовать один и тот же менеджер и синхронизацию. Либо все равно доверять хранение веб-паролей браузеру, синхронизировать приложения и т.д.
Самый сложный на сегодня для взлома алгоритм – это так называемая двухфакторная аутентификация.
Помимо пароля вы должны ввести код подтверждения, который приходит на другое устройство. Эта защита уже достаточно надежна, т.к. даже если у вас украдут пароль, украсть код подтверждения с другого устройства кажется невозможной задачей. Но…
Например, если вы работаете со своим интернет-банком напрямую через смартфон, то пароли будут приходить в виде смс на него же и двухфакторная аутентификация станет бесполезной. Тем более, что доступ к звонкам и сообщениям вирусы перехватывают в первую очередь.
Во-вторых, есть вирусы, которые, заразив ПК, ждут, пока к нему не подключат для синхронизации смартфон, и заражают так же и его (как правило, смартфон не защищается от подключения «доверенного ПК»), после чего получают доступ и к приходящим СМС.
Тем не менее, такой взлом требует сложных алгоритмов, серьезной подготовки, разработки сложного вредоносного ПО, которое будет координировать работу двух своих версий (на ПК и на смартфоне) через интернет и т.д. Если же у вас обычный кнопочный телефон без доступа в интернет, то можно считать, что пароль украсть не смогут.
Но…
Смотри, куда вводишь!
Сделать сложный пароль – это только начало. Важно еще им правильно пользоваться, иначе сложный пароль украдут так же легко, как и простой.
Например, даже сейчас многие пользователи доверяют свои пароли не только известным приложениям типа браузеров, но и непонятным программам, непонятно откуда скачанным. Если посмотреть в магазин приложений для смартфонов на Android, то там есть, например, миллион разных приложений, которые вроде бы позволяют (позволяли) вам слушать музыку из своего аккаунта «ВКонтакте». И каждое из них требует ввести свой пароль от соцсети.
А где гарантия, что этот пароль не уйдет на сторону и через 15 минут не окажется на какой-нибудь бирже для воров? Ах, слово автора… Вы лично его знаете? Магазин тоже никак вас не защитит – если музыку приложение играет, то у него нет оснований не доверять ему.
Очень часто пользователи вводят пароли на фальшивых или поддельных сайтах, выглядящих, как ваш сайт электронной почты, соцсеть или интернет-банк.
Это называется фишинг – когда вам показывают один сайт, замаскированный под другой, чтобы вы ему по ошибке доверились и ввели свой пароль.
В отличие от указанного выше случая, когда сайт для вас подменяет вирус (и там что-то заметить очень сложно), здесь вы попадаете на фальшивый адрес по фальшивой ссылке, которую можно опознать, если смотреть внимательно.
Фальшивая ссылка, как правило, замаскирована в письме, маскирующемся под вполне законное. Например, приходит вам поддельное уведомление от «Сбербанка» (где счета есть почти у всех), что, мол, ваш счет заблокирован, нажмите здесь, чтобы узнать подробнее… Нажимаете, открывается в браузере окно, очень похожее на настоящий сайт «Сбербанка», где вас просят ввести ваш пароль…
Причем самые умные вирусы не только воруют ваш пароль – они могут авторизоваться за вас на сайте «Сбербанка» и даже транслировать вам информацию оттуда. А потом, например, сформировать распоряжение о переводе средств и под каким-нибудь благовидным предлогом выпросить у вас пришедший код подтверждения на смартфон, который пришлет вам банк. Поэтому внимательно следите за уведомлениями от банка – там обычно пишется, в подтверждение чего именно пришел код.
Также внимательно смотрите на адрес в браузере и на то, установлено ли защищенное соединение и соответствует ли название сайта тому, которое должно быть. Это позволит защититься от фальшивых ссылок.
А мы зайдем сбоку!
Когда пароли становятся слишком сложными, а защита – слишком серьезной, злоумышленники ищут способы ее обойти, вместо того, чтобы атаковать в лоб.
Многие сервисы для восстановления пароля предлагают «проверочные вопросы» – вам предлагается сообщить информацию, которую знаете только вы. Например, девичью фамилию вашей матери или имя домашнего любимца. Раньше, возможно, это работало, но сейчас… Девичью фамилию вашей матери часто можно узнать в соцсетях (где вы наверняка в друзьях друг у друга), а имя домашнего любимца – из фоток в инстаграме с подписью «Шарик покушал».
В США хакер (причем довольно неумелый) просто за счет того, что смог узнать ответы на такие проверочные вопросы, взломал учетные записи знаменитостей, куда сохранялась информация со смартфонов. Его добычей стали в том числе пикантные фотографии, которые он выложил в интернет.
Или вот – злоумышленники могут позвонить от вашего имени в поддержку и попросить оператора сбросить пароль, притворившись вами. В этом случае чем больше личной информации о себе (известной оператору) назовет звонящий, тем больше ему доверия. Поэтому стоит хранить в секрете персональную информацию – ведь чем больше данных о вас они смогли найти (например, адрес, номер паспорта и пр.), тем легче выдать себя за вас.
Совсем простой случай…
В общем, помимо правильных паролей, стоит помнить – самый сложный пароль ничего не стоит, если пользователь готов отдать его просто так. Например, сейчас на Avito распространена схема мошенничества, когда мошенники якобы под предлогом того, что им не хватает данных для проведения платежа, выведывают у наивного продавца всю информацию о его пластиковой карте, включая проверочный код CVV2.
Есть даже случаи, когда они просили дойти до банкомата и продиктовать «код подтверждения» (который на деле оказывался кодом привязки интернет-банка), и жертвы мошенников не обращали внимания даже на соответствующее предупреждение от банка. Так что любая защита – не панацея, если сам пользователь не хочет понимать, что делает, и раздает ключи направо и налево.
В общем, помните – очень важно сделать сложный для взлома пароль, еще лучше – индивидуальный пароль для каждого сайта. Еще лучше – отдельные сложные пароли для каждого сайта (если вы готовы мириться со сложностями их хранения в специальном приложении), и совсем хорошо – двухфакторная аутентификация – опять же, если вы готовы мириться с ее сложностями.
Но главное – нужно просто быть бдительным – внимательно смотреть адреса сайтов, не доверять слепо странным уведомлениям в почте (или пришедшим на смартфон через СМС), не публиковать везде личную информацию о себе, аккуратнее относиться к странным просьбам незнакомцев по поводу банковских карт или перевода денег, еще раз внимательно читать то, что пишет банк в сообщениях. Ну и компьютер стоит держать чистым и защищенным.