Исследования зарубежных и российских компаний, специализирующихся на оказании услуг информационной безопасности, регулярно предупреждают владельцев сайтов о том, что интернет становится все более небезопасной средой. Растущее число веб-атак и увеличивающаяся активность хакерского сообщества накладывают определенные требования к работе в новом информационном пространстве.
Однако, пока представители киберсекьюрити все больше рассуждают о высоких технологиях и проактивных методах защиты, оказывается, что многие веб-администраторы, работающие с доступами к различного рода данным, пренебрегают такими простыми и элементарными правилами безопасности, как использование надежных паролей. Зачастую ненадежный пароль становится тем самым «слабым звеном», из-за которого взламываются и компрометируются корпоративные системы. По результатам исследования компании Trustwave, более четверти инцидентов, связанных с безопасностью, произошли в результате использования администраторами систем слабых паролей. Trustwave проанализировала 574 случаев взлома, зафиксированных в 15 странах. Оказалось, что 28% несанкционированных вторжений стали возможны из-за уязвимых паролей.
Россия в этот список не вошла, но данная тема Рунету знакома. Опираясь на собственный опыт работы в сфере информационной безопасности – оказывая услуги по лечению и защите сайтов от взлома – мы вынуждены признать, что проблема слабых паролей для входа в системы администрирования сайтов и аккаунтов хостинга имеет место быть, и на сегодняшний день является весьма актуальной.
Во всем виновато шаблонное мышление
Вспомним знакомый многим тест. Не думая, назовите первое, что придет в голову из категорий:
1) фрукт,
2) часть лица,
3) русский поэт,
4) цветок,
5) страна.
Это «яблоко», «нос», «Пушкин», «роза» и «Россия»? В большинстве случаев стандартные ответы россиян будут именно такими. Речь идет о предсказуемости мышления человека. Когда система «просит» пользователя придумать пароль при создании аккаунта или регистрации на сайте, то человек очень часто мыслит шаблонно, вбивая в поле «пароль» вполне стандартные, распространенные слова или комбинации. Именно на шаблонность человеческого мышления и делают ставку злоумышленники, когда пытаются «угадать» пароли пользователей от самых разных веб-служб. Делается это, конечно, не вручную, а с помощью специальных программ, которые за секунды перебирают тысячи комбинаций, генерирующихся с учетом известных критериев, которыми руководствуются пользователи при создании паролей. При этом программы легко вычисляют пароли, состоящие как из одного слова, так и наиболее популярные комбинации слов и цифр.
Компания WP Engine провела исследование, в котором проанализировала базу из 10 млн скомпрометированных паролей, созданных самой разношерстной публикой интернета – от генеральных директоров до ученых. Результаты анализа оказались весьма любопытны – приводим некоторые из них.
Наиболее популярными паролями оказались очень простые слова и цифровые комбинации:
Очевидно, что при создании таких паролей люди думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Однако с определенного момента пользователи стали осознавать, что добавление цифр в конце пароля делает его более надежными. Правда, эти самые цифры оказались не слишком сложными. Около 420 тыс. из 10 млн паролей (это почти 10%) заканчивались числами от 0 до 99, при этом почти в каждом пятом пароле была добавлена цифра «1».
При создании паролей пользователи часто выбирают на клавиатуре комбинации, которые легко запомнить и можно машинально повторить. Поэтому комбинации клавиш, расположенных рядом, завоевали популярность среди многих пользователей, не думающих о последствиях своего легкого выбора. Логично, что наиболее часто встречающимися паролями стали: qwerty; qwertyuiop; 1qaz2wsx; qazwsx; asdfgh и так далее.
All we need is love
К удивлению исследователей, одним из наиболее популярных слов, используемых в паролях, стало слово love. Отдельно и в комбинациях это слово встретилось 40 тыс. раз из 10 млн выборки паролей. Интересно, что слово love намного чаще фигурирует в паролях более молодых поколений:
Кстати, пользователи женского рода используют слово love чаще, чем пользователи мужского: по данным исследования Технологического института университета Онтарио (UOIT), комбинация ilove[мужское имя] встречалось в четыре раза чаще, чем ilove[женское имя]. Теперь вы понимаете, почему к созданию паролей нужно относиться очень и очень серьезно? Чем «неудобнее» и сложнее для воспроизведения пароль, тем ниже риски взлома вашего аккаунта злоумышленниками.
Ниже мы сформировали список правил для тех, кто хочет повысить защищенность своего онлайн-бизнеса и не превратиться в очередную жертву злоумышленника из-за использования недостаточно надежных паролей или нарушения правил безопасности при работе с доступами.
Каким должен быть пароль и как работать с конфиденциальными данными в «безопасном режиме»?
1. Представители киберсекьюрити утверждают: длина пароля должна быть не менее 10 символов. По данным исследования Trustwave, комбинация пароля, состоящая из восьми символов, может быть взломана злоумышленником за один день. Тогда как пароль из 10 и более знаков заставит интернет-мошенника изрядно попотеть: на его взлом могут уйти десятки месяцев.
2. Пароль должен содержать разные символы – строчные и прописные буквы, цифры, знаки. Наименее уязвимыми считаются пароли, сгенерированные по случайному принципу, типа sdl@GK93m**Hlk. Популярные названия, собственные имена, даты рождения, номера телефонов – легкая добыча злоумышленников. Такие пароли быстро вычисляются в рамках брутфорс-атаки.
3. Никогда нельзя быть уверенным на 100% в том, что текущий пароль не перехвачен злоумышленником (хакер может им воспользоваться не сразу). Частая смена пароля снижает риски, что у кого-то кроме вас в настоящий момент есть доступ к вашей конфиденциальной информации.
4. Нередко веб-администраторы используют один и тот же пароль для входа в разные системы. На языке безопасности это означает, что злоумышленнику достаточно перехватить один пароль, чтобы совершить «комплексную» компрометацию данных. Для входа в разные системы нужно использовать разные пароли.
5. Идея запомнить все пароли невероятно привлекательна, однако далеко не все пользователи являются адептами мнемотехники. Для хранения паролей существуют более удобные современные решения в виде программ – безопасных менеджеров паролей. Например, программа KeePass.
6. А вот где точно нельзя хранить пароли – так это в браузерах, «связках ключей», FTP-менеджерах. Автосохраненные пароли таким образом могут быстро стать добычей злоумышленников или троянской программы. «Троянец-воришка», обосновавшийся на компьютере пользователя, способен украсть сохраненные данные совсем незаметно для их владельца.
7. Навсегда забудьте о такой часто используемой функции на сайте, как «запомнить меня на этом компьютере». Данная функция реализуется с помощью cookie. Если злоумышленнику удастся перехватить ваши cookie (при подключении) или украсть с сайта (через XSS), то он сможет авторизоваться в личном кабинете на сайте уже без пароля.
8. Если есть возможность, вводите пароль не с обычной, а виртуальной клавиатуры. Виртуальные клавиатуры защищают от кейлоггеров – мошеннических программ, которые регистрируют нажатие клавиш или кликов мыши и передают полученную информацию хакерам.
9. Владельцы сайтов часто обращаются к помощи сторонних специалистов, предоставляя административный доступ к своему ресурсу сразу всем подрядчикам, что небезопасно. Каждому специалисту необходимо создавать свой персональный доступ, чтобы проследить, какие действия совершил конкретный подрядчик. После окончания работ пароли необходимо сменить или полностью удалить учетную запись пользователя.
10. Мы часто решаем деловые вопросы, подключаясь к сети в общественных местах. Однако работа в открытых Wi-Fi-сетях – кафе, торговых центрах или аэропортах – всегда сопряжена с риском перехвата ваших конфиденциальных данных программами-анализаторами трафика (снифферами). Что делать в таких случаях? Использовать безопасное VPN-подключение.
11. Работа с доступами по незащищенному трафику может стать началом конца: незащищенный трафик уязвим – увы, но перехватить и изучить незашифрованный трафик с доступами, конфиденциальными данными, личной перепиской и прочей «вкусной» информацией сегодня могут даже школьники. Для онлайн-коммуникаций, приема и отправки email, работы по FTP следует использовать безопасный канал для подключения (SSL/TLS/HTTPS).
12. Отличный вариант для повышения защищенности конфиденциальных данных и усиления контроля над доступами – двухфакторная аутентификация. Это усложненная схема подтверждения личности пользователей, когда вы сначала вводите логин и пароль для входа в систему, а затем подтверждаете, что вы – это вы, используя код верификации, полученный по SMS, через токен или специальное приложение. Двухфакторная аутентификация – надежная страховка от кражи доступов злоумышленниками: даже если мошенник и перехватит пароль, воспользоваться им он не сможет.
В современной цифровой реальности недостаточное внимание к вопросам информационной безопасности чревато печальными последствиями – от небольших неприятностей, с которыми могут столкнуться владельцы сайтов, до полной потери контроля над веб-ресурсом. Самое время задуматься о повышении защищенности бизнеса в онлайн-среде и провести аудит безопасности своего сайта. И начать можно с простого – проверки своего пароля на надежность и неуязвимость.
Редкостная чушь. Любые рассуждения на тему "хороший пароль/плохой пароль" -- это то же, что споры о том, в какой цвет надо красить дохлую лошадь, чтобы она не пахла. Сегодня скомпрометированы практически все системы, в которых используются credentials, которые вводит человек -- а последствия не такие ужасные просто потому, что всем все равно. Как говорил Борис Абрамыч, "если проблему можно решить деньгами -- то это не проблема, а статья расхода". Поэтому практически все компании, у которых доступ к их ресурсом регулируется паролями, просто считают, что статистически взломают не их, а соседа, а если и их, то откупятся. И именно эта тактика пока работает. Те компании, которые "попадают под раздачу" (Таргет, Ашли Мэдисон, вот теперь Экспериан с т-Мобилом), либо откупаются, либо тихо помирают. И пока не произойдет какой-нибудь 9/11, никто особо не будет заморачиваться... Я называю это "защитой стада антилоп-гну". Если лев уже жрет соседа -- зачем мне бежать?
Bottom line -- длинный пароль, короткий пароль -- если у Вас ресурс неважный, то и наплевать. А если важный -- все равно сломают. Когда сочтут необходимым. И единственный способ реальной -- переходить на систему. которая на первом этапе взаимодействия ничего не спрашивает. Да, это дорого. Но все определяется, в конечном итоге, ценностью объекта защиты. Вот мир кредитных карт постепенно переходит на EMV -- потому что достало. Дойдет и до usernames с паролями. Жаль, что еще не дошло, но всему свое время. Технологии уже есть, только требуется время на то, чтобы процесс пошел. С лошади на автомобиль, с дров на солярку человечество тоже не в один год перешло.
Прошу прощения, в предыдущем комментарии движок сайта удалил название статьи:
"Слабое звено вашего сайта".