Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (69)
  • добавить в избранное
    Добавить в закладки

Столкновение с реальностью

Прочитали: 1633 Комментариев: 112 Рейтинг: 88

I'm a programmer who cracked yourM
email account and device about half
year ago.

You entered a password on one of the
insecure site you visited, and I
catched it.

Your password from info@.. on moment of crack: 123320014.

Очередной запрос в службу техподдержки «Доктор Веб»

О подобных письмах мы не только несколько раз писали, но и выпустили специальную новость. Но запросы в техническую поддержку не прекращаются:

Здравствуйте, на моем компьютере злоумышленник установил вирусы, взломал мою почту, написал мне с моего же адреса и шантажирует меня. Вы можете помочь удаленно удалить вредоносные программы?

Из письма шантажиста следует, что мой компьютер будет заблокирован 31.10

И второе, почему программа антивирус не сообщает о наличии вирусов в компьютере? Я купила лицензионную программу.

Одно письмо из многих

Люди бесконечно далеки от информационной безопасности, не читают новостей об эпидемиях и не смотрят соответствующих передач (и это нормально!). И начинают паниковать, когда сталкиваются с реальностью.

Каждый второй (52%) считает, что использование персональных данных третьими лицами не несет никакой угрозы.

http://www.cnews.ru/news/top/2018-10-31_vtsiom_polzovateli_sotssetej_veryat_v_dostupnost

Обычные пользователи не делают бэкапы и полагают, что информация будет жить вечно. Раз за разом они выбирают удобное в ущерб безопасному и потому более дорогому или менее удобному.

И винят во всем антивирус: ведь, по их мнению, он должен защищать ото всех без исключения угроз.

И верят злоумышленникам, когда те заявляют, что уже всё-всё взломали и всё-всё похитили. Ведь люди не обманывают!

Но вернемся к причинам таких писем. Тут все просто: дело в паролях. Пароли типа 12345678 по-прежнему в моде!

#drweb

Пароли – это ключевой элемент безопасности, именно из-за неправильного отношения к ним и становится возможной эпидемия вымогательства. И тем удивительнее, что есть те, кто призывает отказаться от сложных паролей:

Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30–90 дней.

https://habr.com/company/crossover/blog/427711

Если вы не поняли, то имелось в виду вот что: менять пароли – это зло!

Принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает...

Пароль сам по себе – средство защиты не слишком стойкое ко взлому...

Если немного помучить поисковик, то можно найти массу публикаций и даже служебных документов на тему информационной безопасности. Некоторые из них пахнут нафталином, другие – чуть более бодрые и рассказывают об опасности «атак изнутри» и социальной инженерии в ходе взлома. Всех их объединяет пункт «периодическая смена пароля»...

Статья основывается на том, что пользователи меняют пароли по шаблону – используют пароли, похожие на предыдущие, или меняют их на использованные ранее. И вообще пароль не стоек ко взлому…

Если хакер слил БД 2-х месячной давности и видит, что у сотрудника Х 4 месяца назад пароль был ASSHUNTERX06, 3 месяца назад – ASSHUNTERX07, а 2 месяца назад – ASSHUNTERX08, то угадать, какой пароль сегодня, труда не составит.

В чем проблема? Пользователям сложно запоминать стойкие пароли, они не умеют создавать сложные пароли, удобные для запоминания. При этом в Интернете широко распространены рекомендации по созданию паролей, актуальные для тех времен, когда мощность компьютеров была не такой большой и перебор несложного по нынешним меркам пароля занимал кучу времени.

Лично знаю сотрудника (нет, не я – у меня другая технология «борьбы»), который при запросе AD на смену пароля меняет его десять раз подряд. Да, у нас пароль не должен совпадать с 10 последними.

Раз в несколько месяцев qiwi (на смартфоне) обязывает сменить pin-код.
Приходится менять, добавляя +1 к текущему пин-коду.
Сразу захожу в настройки и принудительно меняю на старый пин-код.

А теперь давайте разберемся, где мы используем пароли:

  • для доступа к интернет-ресурсам;
  • для входа в операционную систему / устройство локально;
  • для входа в операционную систему / устройство удаленно.

Это не все варианты (как минимум должен еще быть пароль для доступа к настройкам антивируса), но наиболее частые.

Начнем с доступа к интернет-ресурсам. Страшен ли перебор паролей для сайта? Если это обычный сайт, то не особо: после определенного количества попыток перебора сайт просто должен заблокировать доступ. Хакер, конечно, может повторить попытку через некоторое время, но скорость перебора в этом случае будет уже не та. Гораздо опаснее риск утечки базы данных паролей. Вот тогда перебор паролей станет хакеру по-настоящему доступен.

Вывод: для доступа к интернет-ресурсам нужно использовать стойкие пароли, так как вы никогда не можете быть уверены, что база паролей не утечет. Нужно использовать разные пароли для доступа к различным ресурсам или хотя бы пару – для доступа к важным и «неважным» сайтам. И в последнем случае по понятным причинам пароли нужно регулярно менять.

Если пароль короткий, то его легко перебрать; соответственно, его время жизни должно быть мало.

Аналогично обстоит дело и с удаленным доступом. Даже, пожалуй, еще хуже. Как правило, на компьютерах не регулируется число попыток входа, и хакер имеет большие шансы перебирать пароли без ограничений.

Вывод: для удаленного доступа к собственному компьютеру нужно использовать стойкие пароли.

Смена паролей это просто очень дешевый способ поднять безопасность. Есть подороже, но это все отразится на вашей зп в конечном счете.

Если вы заходите на свое устройство только локально и больше никто не имеет к нему доступа, а риска потери вы не боитесь, то слишком сложный пароль вам не нужен. Но при этом желательно проверить, что удаленный доступ отключен.

Как хранить сложные пароли?

Первое. Желательно их записать и запись убрать в надежное место – во избежание.

Знакомый на банковских картах везде пишет пинкод.

Фишка в том, что пинкод он пишет неправильный.

Второе. Напомним, что мы говорим об обычных пользователях, а не об организациях. Не повредит, если вы запишете пароли и будете иметь их под рукой (при этом, конечно, никому их не показывая, а желательно – слегка видоизменив).

Один раз я забыл пинкод от своей банковской карточки, которой пользовался почти каждый день. Подхожу к банкомату, готовлюсь ввести код… и ступор. Не помню. Вообще не помню. Вот что это было? Видимо, действие по вводу пина на магазинных терминалах было настолько доведено до автоматизма, что когда потребовалось ввести этот же пин на клавиатуре другой формы – у меня ничего не получилось.

Было у вас подобное?

И лайфхак в завершение:

Шаблоны бывают разные. Вместо сложнейшего «qwerty123465» (все заметили перестановку цифр в конце, что делает пароль практически невзламываемым?) можно использовать более причудливые схемы. Для человека, увлекающегося кулинарией, – блюдо + ингредиент + масса. Для историка – событие + год + участник. Для коневода – порода коня + тип древесины, из которой сложен загон + кличка животного, чья кожа пошла на изготовление хлыста. Для политика – дата + размер взятки + у кого брал. Все это можно сдобрить спецсимволами, получив в итоге что-то вроде $hurpaGarl1k250gR. И запомнить легко. Сколько чеснока кладем в шурпу?

#пароль #взлом

Dr.Web рекомендует

Выше мы дали список рекомендаций к парольной защите. А теперь позволим себе поинтересоваться о вашем отношении к паролям и приглашаем вас поучаствовать в небольшом опросе.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: