Об этом рассказал директор по развитию направления «Кибербезопасность для населения» ГК «Солар» Олег СЕДОВ во время вебинара «Энциклопедия парольной защиты».

Неудобно = надёжно

«Театр начинается с вешалки, а безопасность в компьютерных системах – с пароля. При этом всё должно быть как в жизни: от каждой двери – свой ключ, и лучше, когда он не один, то есть использована двухфакторная аутентификация, – отметил спикер. – Каналы связи должны быть принципиально разными, с разных устройств. Это неудобно, но надёжно и - главное – реально защищает. Поскольку большинство сервисов для подтверждения входа или важных действий полагается именно на SMS, не держите телефон в одной сумке с ноутбуком!»

Однако не каждый пароль реально способен защитить личные данные. Так, в списке ста самых ненадёжных паролей уже не первый год и даже не первое десятилетие лидируют два варианта: «123456» (его используют 17% пользователей) и «password». Для придумывания «крепкого» пароля потребуется немало знаний и… фантазии. Но для начала важно понять, как они взламываются.

«Основной метод – брутфорс, он основан на переборе всех возможный значений. И взламывают нас не люди, а роботы. Двадцать первый век, друзья. Роботы наступают! Поэтому в подборе пароля человеческой логики нет. Есть алгоритм, а также арсенал наиболее уязвимых паролей, которые утекли из баз данных. Также робот может легко подобрать новый код, зная предыдущие варианты», – отметил Олег Седов.

Чем длиннее пароль, тем он надёжнее. К примеру, чтобы открыть чемодан с кодовым замком, имеющим три лимба с цифрами от 0 до 9, нужно перебрать тысячу комбинаций, с четырьмя – 10 тысяч, а с пятью – уже 100 тысяч. А если в пароле используются не только цифры, но и буквы и символы – это серьёзно усложняет задачу для робота.

«Но даже в таком случае пароли до 8 символов не являются надёжными. Так, на взлом пароля, состоящего из 1-3 символов, уходит менее секунды. Чтобы разгадать пароль в 4 знака – 17 секунд, в 5 – 10 минут. На вскрытие шести символов нужно 6 часов, а семи – 9 дней. Зато на то, чтобы разгадать пароль из 8 символов – 11 месяцев. Отсюда и правило: обновлять пароль не реже раза в год. При этом менять его нужно с надёжного устройства», - подчеркнул эксперт.

Уникальность – залог безопасности

Есть общие рекомендации по выбору пароля. В частности, нельзя использовать день рождения, номер телефона, логин и электронную почту. Ни в коем случае это не должны быть комбинации, состоящие только из цифр или простых слов даже нераспространённых языков или местечковых слов и выражений. Поскольку они всё равно есть в интернете, в тех же онлайн-словарях.

«Не годятся в качестве пароля и «прогулки по клавиатуре» – так называемые keyboard-walks пароли. И не важно, в какой раскладке это делается. Также роботов и хакеров не остановят такие банальные хитрости, как замена «О» на ноль, «s» на «$», – уточнил директор по развитию направления «Кибербезопасность для населения» ГК «Солар».

Однако есть способы придумать хороший пароль. В частности, можно закодировать фразу следующим образом: to be or not to be в 2BeOrNot2Be.

«Это лишь пример алгоритма, однако именно этот пароль использовать не стоит. Во-первых, все слова есть в словарях, а во-вторых – эта фраза входит в сотню наиболее известных цитат классических произведений. В качестве пароля можно использовать всё что угодно: закодированное предложение, гитарные аккорды, изменённые химические формулы и так далее. Главное, чтобы пароль был уникальным», – продолжил спикер.

Проблемы «по умолчанию»

Примечательно, что сложные пароли нужны не только для банковских приложений, наших аккаунтов в соцсетях или доступа к смартфонам, планшетам и компьютерам, но и для таких устройств, как WI-FI-телевизоры, умные пылесосы, видеокамеры, фотоаппараты.

«Эти и другие устройства приходят с паролями по умолчанию, которые пользователи не меняют. И порой это может привести к неприятным последствиям. Например, в одной московской семье у ребёнка была радионяня. И неожиданно малыш стал жаловаться на то, что его по ночам пугают призраки, монстры. Сначала родители не придали этому особого значения – ну кто в детстве не боялся пугалок? Но ситуация начала выходить из-под контроля, у ребёнка начались серьёзные проблемы. Как выяснилось, к радионяне подключился нехороший человек и через неё кошмарил ребёнка», – рассказал Олег Седов.

Спасёт ли нас биометрия?

Для двухфакторной аутентификации нередко используются биометрические данные, которые по сути своей уникальны и однозначно связаны с человеком. К таким данным относятся отпечатки пальцев, лицо, рисунок радужной оболочки или сетчатки глаза, голос и т.д.

«Согласитесь, что разблокировать телефон по отпечатку пальца удобно. Однако понятия удобно и безопасно – это антонимы, – напомнил эксперт. – В тех же смартфонах используются весьма примитивные технологии, которые не позволяют в достаточной мере защитить устройство от вторжения только по отпечатку пальца. И один из экспериментов это доказал. Для создания «ключа от всех биометрических замков» учёные взяли за основу базу данных, состоящую из более чем 800 реальных отпечатков. При помощи специального алгоритма они были совмещены таким образом, что в итоге получившийся «ключ» имеет схожесть 65% с любым отпечатком, взятым у случайного человека. В целом использовать отпечаток пальца или снимок лица можно, но не в качестве основного пароля».

Также стопроцентную защиту не дают и графические ключи. Примечательно, что 44% из них начинаются из верхнего левого узла, а 77% - в одном из четырёх углов экрана. Чаще всего ключ вводят слева направо и сверху вниз, что тоже значительно облегчает подбор.

«Графический пароль на Android должен включать не менее 8 узлов, не начинаться из угла и иметь пересечения, чтобы считаться надёжным», - посоветовал спикер.

«Если вы не клиент, вы – товар»

Ещё один важный вопрос – где хранить пароли? К примеру, Ричард Фейнман хранил свою шпаргалку с кодами ко всем шкафам в лаборатории Лос-Аламос в замке своего шкафа. Конечно, сегодня сложно представить, чтобы кто-то заводил для хранения пароля сейф. Однако есть ряд онлайн-решений.

«Существует большое количество менеджеров паролей, в том числе бесплатных. Но в цифровом мире, если вы не платите за ресурсы, то вы не клиент, вы – товар. В этом отношении платные сервисы всё-таки лучше, – уверен Олег Седов. – Если вы всё же пользуетесь для входа в аккаунт браузера встроенным менеджером паролей, используйте двухфакторную аутентификацию. Основной пароль должен быть сложным, и его надо запомнить. Также важно использовать антивирус: он может заметить подозрительную активность и пресечь атаку на вас».

Ещё одно правило цифрового мира – блокировать свои устройства, если нужно от них отойти. Это позволит избежать ряда неприятных ситуаций.