Алексей Кищенко (kas@usergate.ru) — специалист маркетингу, компания Entensys

Жил в одном городе совершенно неприметный молодой человек. Ходил парень на работу в будни, отдыхал в выходные. Имел свои обычные радости. Отличался он ото всех лишь мелочью — на каждой двери, которая существовала в его жизни, висели одинаковые замки, открывающиеся одним ключом. Гараж, дача, квартира. Да и не замок вовсе. Так, замочек маленький.

Редкий человек не теряет хотя бы раз в жизни связку ключей. Оставил в такси, потерял в парке, выронил на утренней пробежке — случаи бывают разные. А если кто-то специально выкрал? Или нашел, но решил не упускать возможность?

Вот так наш герой за день потерял все. Или почти все. Стены квартиры, дачи и гаража не унесли. Да и вырывать с корнем сантехнику тоже не стали. Но ценных вещей он уже не увидел.

В реальной жизни существование такого человека вряд ли возможно. Разные связки ключей для дачи, гаража, квартиры. В случае потери мы меняем замки. Когда один, когда все.

Сейчас часто говорят о всемирной информатизации, о переходе значительной части нашей жизни в Интернет. Но почему в виртуальной среде мы совершенно забываем о принципе «каждой двери — свой замок»?

Сколько у вас различных учетных записей в Интернете? Почтовые ящики, социальные сети, интернет-мессенджеры, всевозможные сервисы, сайты — большинство подобных ресурсов требует регистрации. Каждый ли ваш аккаунт защищен УНИКАЛЬНЫМ паролем?

Один пароль проще

«Я использую в сети различные вариации трех слов и трех цифр. Да, наверное, случаются совпадения, так как учетных записей не так уж и мало. Сама иногда подбираю одну из комбинаций к конкретному аккаунту», — рассказывает Татьяна, студентка 3-го курса.

«Два слова. Мне их очень легко запомнить. Где есть возможность самому задавать пароль без требований к нему, использую именно их. Так проще. Пробовал записывать пароли, но постоянно терял листочки», — говорит Александр, менеджер по продажам.

Специалистами компании Entensys был проведен опрос. Тысяче респондентов был задан всего один вопрос и предоставлено на выбор четыре варианта ответа.

«Используете ли Вы УНИКАЛЬНЫЕ пароли к каждой учетной записи в сети Интернет (социальные сети, почтовые аккаунты, интернет-мессенджеры и прочие электронные ресурсы, требующие регистрации)?»

  1. Да, каждый мой аккаунт защищен уникальным паролем.
  2. Использую ограниченный набор паролей (до трех) на всех ресурсах.
  3. Использую ограниченный набор слов и цифр, составляющих пароли на всех моих учетных записях.
  4. Использую везде один пароль. Так проще!

Как выяснилось, всего лишь 34 % опрошенных используют уникальные пароли для каждой учетной записи в Интернете. Ограниченный набор паролей применяют 32 % респондентов. Ограниченным набором слов и цифр обходятся 16,5%. И целых 17% напоминают нашего героя.

Безопасность или простота

«Самые популярные пароли у пользователей — это god, sex и love». А так ли далек от истины главный герой фильма «Хакеры»? «QWERTY», «abc123», «password» — подобного рода пароли достаточно часто встречаются на просторах Интернета. Это тревожный факт. При регистрации на любом ресурсе необходимо думать не только об уникальности, но и о сложности используемой в качестве пароля комбинации.

Утечками баз данных с логинами и паролями пользователей уже никого не удивить. Эта беда не обходит стороной и крупные компании. Так, около года назад в сети появилась база пользователей некоторых служб Sony. Ответственность за взлом взяла на себя группа хакеров LulzSec. Трой Хант, разработчик и журналист, опубликовал в своем блоге результаты исследования на основе базы данных, которую не уберегла Sony.

Трой провел анализ 37 608 учетных записей пользователей двух служб Sony по нескольким критериям (см. рисунки 1-4, источник http://www.troyhunt.com): длина пароля, тип символов в пароле, случайность набора символов и уникальность пароля.

 

Длина пароля
Рисунок 1. Длина пароля

 

Тип символов в пароле
Рисунок 2. Тип символов в пароле

 

Случайность набора символов
Рисунок 3. Случайность набора символов

 

Уникальность пароля
Рисунок 4. Уникальность пароля

Среднестатистический пользователь служб Sony формирует пароль из 6-8 символов, среди которых либо только буквы в нижнем регистре, либо только цифры. Комбинации не являются обычными словами и совпадают в учетной записи разных служб одного и того же пользователя. Пугающая статистика? Да. Но не удивительная. Цифры по всему Интернету будут схожими, так как пользователи Sony в какой-то степени являются случайной выборкой.

По сведениям Anti-Malware.ru, совсем недавно утечки данных пользователей не смог избежать и известный ресурс LinkedIn. 6,5 миллионов паролей от учетных записей профессиональной сети оказались в Интернете. Российский хакер, взявший на себя ответственность за взлом, в качестве доказательства опубликовал на просторах «всемирной паутины» файл, содержащий хеши паролей. Вскоре появились сообщения о том, что 300 тысяч из них уже расшифрованы.

Учиться на чужих ошибках

Наш герой задумался над тем, что один ключ для всех дверей лучше использовать исключительно в сказках, а замки должны быть крепкими и, в идеале, с «секретом». Парень получил горький опыт, и только это заставило его изменить свой подход.

В сети полно таких людей. Каждый из них уверен, что страшную статистику приводят для «простаков», а с ними ничего не может случиться; все злоумышленники интересуются исключительно соседями.

А ведь минимизировать риск утери контроля над учетными записями достаточно просто. Для этого:

  •  следуйте советам по обеспечению защиты вашей учетной записи, которые даются на сайте;
  •  используйте уникальные пароли для каждой учетной записи;
  •  применяйте в качестве паролей сложные комбинации, состоящие из букв разного регистра, цифр и других символов;
  •  записывайте пароли в недоступном для других месте.

Значительная часть владельцев только одного ключа и дверей с не особо надежными замками останется при своих принципах и после прочтения этой статьи. Разумный же читатель наверняка проверит данные своих учетных записей.

Дмитрий Курашев, директор компании Entensys

1.Какие существуют способы защиты учетных записей?

Один из популярных среди злоумышленников способов хищения учетных записей – фишинг. Ссылки на подобные страницы пользователи обычно получают посредством электронной почты и системы мгновенных сообщений в социальных сетях. Киберпреступники используют в качестве приманки уведомления о выигрышах, неоплаченных счетах, задержанных транзакциях и т.п. Далеко не каждый пользователь может отличить фишинговую страницу от оригинала. Это обуславливается растущим с каждым годом мастерством мошенников.

Уберечь от такого рода кражи учетных записей поможет использование эффективных средств фильтрации интернет-ресурсов. Постоянное обновление базы в подобных решениях позволяет блокировать сайты, используемые фишерами в качестве стартовой площадки.

В случае распространения вредоносных ссылок посредством электронной почты на помощь пользователям приходят антиспам-системы. Атаки фишеров обычно имеют массовый характер, что позволяет достаточно быстро отслеживать их специализированным дата-центрам, которые в свою очередь передают информацию по запросам «облачных» служб и решений. Описанные технологии находят применение и в нашей продуктовой линейке.

Кроме того, от хищения учетных записей может уберечь следование всем рекомендациям по безопасности. Владельцы сайтов в первую очередь заинтересованы в надежности сохранения ваших данных.

2. Почему пользователи не придерживаются принципа «Каждой двери — свой замок»?

Использовать уникальные пароли для каждой учетной записи представляется большинству людей сложным. Данные необходимо хранить в безопасном месте и при этом иметь быстрый доступ к ним. Не так уж хорошо у пользователей и с фантазией. Впрочем, в сети немало программных решений класса «Менеджер паролей» и «Генератор паролей», нередко бесплатных. К сожалению, они не особенно популярны.