Люди, як і раніше, використовують передбачувані паролі та рідко їх змінюють. За результатами дослідження NordPass, найпоширенішими у 2022 році були password, «123456» та qwerty. Хакерам вистачить секунди, щоби вичислити такий пароль та отримати доступ до особистого кабінету.
Здається, настав час поговорити про корисні звички в мережі. Розповідаємо, як ми самі допомагаємо хакерам викрасти свої дані і як складати ідеальні паролі. Let's go!
Трохи статистики
Служба керування паролями NordPass (Панама) разом із незалежними дослідниками визначила 200 паролів 2022 року, які найчастіше використовуються. Компанія опрацювала мільйони комбінацій, об'єднавши їх у базу даних обсягом 3 Тб. Це паролі користувачів з 50 країн світу, які витекли в мережу.
Отже, ось переможці рейтингу:
Практично в кожній країні в першу двадцятку найпоширеніших паролів входять назви футбольних команд. У Великій Британії на 4 місці опинився liverpool (ФК «Ліверпуль») — його використовували 1921 раз, на 6-му — arsenal (ФК «Арсенал») — 1192 збіги, на 11 — chelsea (ФК «Челсі») — 897 разів. В Італії 3746 людей встановили пароль juventus (ФК «Ювентус») — 5 місце.
Жителі низки країн використовують як паролі релігійні поняття. Наприклад, blessing (благословення) опинився на 23 місці в Нігерії — його використали 926 осіб. Christian (християнин) — на 68 місці в Німеччині (450 збігів). Пароль bismillah (в ім'я Аллаха), використовували 1599 осіб у Саудівській Аравії (30 місце).
Жінки для захисту своїх акаунтів часто використовують позитивні та ласкаві слова: sunshine (сонце), iloveyou (я тебе люблю), princess (принцеса), butterfly (метелик), babygirl (малятко). Паролі чоловіків більш агресивні: dragon (дракон), superman (супермен), killer (вбивця). А ще чоловіки часто використовують лайку.
За словами NordPass, щороку в списку паролів переважають назви брендів, фільмів, улюбленої їжі та нецензурна лексика. Ось найпоширеніші:
Найбільш популярні імена, які входять до складу паролів, — Eva та Alex. Обидва за останні 4 роки вживалися близько 7,1 млн разів. Зазвичай люди використовують власні імена або членів сім'ї, рідше — клички домашніх тварин. Більшість користувачів доповнюють комбінації роком. Найпоширеніші варіанти: 2010 (10 млн разів), 1987 (8,4 млн), 1991 (8,3 млн). Це може бути рік народження, створення пароля чи рік, який є для людини особливим.
27% паролів складаються з 8 символів, і лише 3% включають 14 і більше символів. Близько 63% користувачів використовують один і той же пароль для всіх облікових записів (!).
Пара секунд — і готово! Як хакери зламують паролі
На зламування пароля типу 123456 або iloveyou знадобиться секунда, Liman1000 — близько 3 годин. Щоб «крякнути» пароль freedomandcreativity, може піти близько 3 років.
Як це відбувається? Зібрали найпопулярніші методи, якими користуються кібершахраї для отримання доступу до акаунтів.
#1. Словниковий метод
Атака передбачає автоматичний вибір слів зі словника. Це може бути стандартний словник англійської мови, який перетворюється на файл і додається до програми. Щоб спростити собі завдання, хакери використовують списки, що містять поширені паролі або повсякденні поняття, які жертва може використовувати. Такий метод працює, коли як пароль використовуються слова, а не комбінація букв, чисел і спецсимволів.
#2. Метод «грубої сили»
За допомогою спеціальних програм хакери підбирають всілякі комбінації доти, доки пароль не буде розкритий.
Більшість комбінацій складається із 8 символів, частина з них містить літери верхнього та нижнього регістру, цифри та символи. За даними General Software, це приблизно 2,18 трлн комбінацій. Комп'ютери досягли такого рівня, що їм вистачить дві години для злому 8-символьного літерно-цифрового пароля. У минулому, якби хакер намагався перебрати 1 тис. комбінацій на секунду, процес зайняв би щонайменше 7 тис. років.
Досвідчені кібершахраї розуміють, що багато корпоративних паролів складаються зі слів, пов'язаних із бізнесом. Тому, щоб прискорити процес, вони запускають павутинні програми, схожі на ті, що використовують пошукові системи для визначення ключових слів.
#3. Метод райдужних таблиць
Коли ми створюємо пароль для входу в особистий кабінет, він шифрується і перетворюється на хеш. Наприклад, пароль privet після хешування виглядатиме так:
c7f7a34bbe8f385faa89a04a9d94dacf
Райдужна таблиця є попередньо обчисленим словником паролів та їх хеш-значень. Отримуючи доступ до файлів із хешованими паролями, хакер шукає відповідності хеш-значень та паролів у списках таблиць.
Як зловмисники отримують доступ до хеша? Через слабко захищену базу даних паролів, вразливість коду сайту чи програми. Цей спосіб зазвичай застосовують для злому операційних систем та паролів Wi-Fi-мереж.
#4. Фішинг та шкідливе ПЗ
Часто користувачі самі повідомляють хакерам свої дані, відповідаючи на повідомлення фішингу. Щоб «виправити супертермінову проблему безпеки», жертва переходить на підроблений сайт онлайн-банкінгу або платіжного сервісу. Зовні він нічим не відрізняється від справжнього. У запропоновані поля вводиться логін та пароль, які потім зчитує програма.
Крім посилання на фейковий сайт, у листі може бути шкідлива програма, замаскована, наприклад, під оновлену версію антивірусу. Після встановлення програмного забезпечення буде фіксувати всі ваші дії, робити скріншоти сторінок авторизації та надсилати цю інформацію хакерам. Деякі програми цілеспрямовано шукають файли, де користувачі записують свої паролі.
#5. «Підглядання через плече»
Улюблений прийом хакерів — зателефонувати або прийти в офіс, представитися співробітником IT-безпеки і попросити адміністратора пароль доступу до мережі. Ви навіть не уявляєте, як часто це працює! Деякі кібершахраї для правдоподібності одягають спеціальні костюми та бейджі.
Крім цього, хакери можуть проникати в офіси під виглядом кур'єрів, прибиральників тощо. Уніформа дає безперешкодний пропуск практично у всі кабінети. Це дозволяє шахраям знаходити паролі, які багато хто так любить писати на стікерах і клеїти на монітор.
Який він — ідеальний пароль?
Багато сайтів, піклуючись про безпеку своїх користувачів, просять створювати паролі від 8 символів, включати в них літери обох регістрів, цифри та спецсимволи. З урахуванням таких критеріїв можна обмежитися чимось на зразок 12345Aa! або Abcde1). Але це дуже слабкі паролі, які шахраї швидко зламають.
Деякі ресурси використовують лічильники надійності паролів. Наприклад, якщо ви введете Aaaaa, з'явиться повідомлення про те, що пароль слабкий.
Згідно з рекомендаціями NCSC, пароль має бути довгим та унікальним. Його потрібно скласти як мінімум із 3 випадкових слів, цифр та спецсимволів. Загальна довжина — від 14 знаків. Подбайте також про те, щоби комбінацію було легко запам'ятати.
Приклад надійного пароля: sandpuckeringelephant2) (пісок морщиться слон). Щоб запам'ятати такий пароль, просто подумайте про слона, який живе в африканській піщаній пустелі і постійно морщиться від сонця. І не забудьте, що у слона два ока і він усміхається.
Ще декілька корисних порад для безпечного перебування в мережі
#1. Використовуйте окремий пароль для кожного сервісу
Якщо вам це поки складно, створіть індивідуальні паролі як мінімум для онлайн-банкінгу, державних сервісів, соцмереж і головне — для електронної пошти. Отримавши доступ до електронної пошти, шахраї можуть дістатися і до інших акаунтів, використовуючи функцію «забули пароль».
#2. Регулярно змінюйте паролі
Оптимальний термін життя одного пароля — 3 місяці. Потрібно негайно його поміняти, якщо ви підозрюєте, що хтось зламав ваш акаунт (наприклад, всім друзям у Facebook надійшло однакове повідомлення). Оновити захист потрібно після використання загальнодоступного Wi-Fi, — наприклад, у бібліотеці або кафе.
Весь бізнес-контент у зручному форматі
#3. Не забувайте оновлювати програмне забезпечення та додатки
Багато хто з нас ігнорує оновлення, але вони можуть містити важливі елементи безпеки для захисту пристроїв. Наприклад, у новій версії програми закрили вразливість, яка дозволяла хакерам отримати доступ до хеш-файлу. І тепер вони не можуть використовувати метод райдужних таблиць, описаний вище.
#4. Увімкніть двоетапну автентифікацію (2SV)
Крім пароля, використовуйте сканування відбитків пальців, обличчя, SMS-код. Деякі сервіси пропонують для підтвердження особи вчинити певні дії в додатку. У підсумку хакеру буде складно отримати доступ до вашого акаунта, навіть якщо він вичислить пароль.
#5. Зберігайте паролі у надійному місці
Записувати комбінації на папір — нормально, але клеїти стікери з паролями на монітор точно не варто. Найзручніший варіант — менеджер паролів. Це спеціальна програма у вигляді додатка чи розширення для браузера. Деякі з них безплатні (Bitwarden), інші — платні (Keeper, Dashlane).
Менеджер паролів генерує унікальні комбінації для всіх акаунтів, запам'ятовує їх і автоматично вводить, коли це потрібно користувачеві. Серед інших корисних функцій:
- синхронізація паролів на всі пристрої
- захист від фішингу
- нагадування про зміну пароля
- корисні повідомлення (наприклад, що ви використовували один пароль для декількох сайтів)
На думку кіберфахівців, використання менеджерів паролів є абсолютно безпечним методом захисту даних. Головне — не забути майстер-пароль!
До речі, більшість менеджерів вимагають двоетапної автентифікації для входу до програми. Крім основного пароля, сервіс може вимагати відбитки пальців, скан обличчя, PIN-код. І якщо ви втратили телефон або ноутбук, на якому встановлено менеджер, потрібно негайно зайти в програму з іншого пристрою та змінити пароль.
Майбутнє без паролей?
Приблизно через 5 років інтернет-користувачі забудуть, що таке паролі. У травні 2022 року Apple, Google та Microsoft домовилися про розширення єдиного стандарту для авторизації в інтернеті без пароля, запропонованого Альянсом FIDO та Консорціумом World Wide Web.
Користувачі будуть входити до системи за допомогою перевірки відбитка пальця, сканування обличчя або PIN-коду. Очікується, що нові можливості стануть доступні Apple, Google і Microsoft протягом 2023 року.
Банки, месенджери, поштові оператори та інші послуги теж шукають можливості для впровадження безпарольних технологій. Онлайн-банкінги, Viber та Telegram замість стандартних SMS почали використовувати зашифровані Push-повідомлення та QR-коди. А також вимагати підтвердження операцій за допомогою TouchID та FaceID.
У 2021 році American Banker повідомив, що 15–20% із 1 тис. фінансових установ у США використовували селфі у поєднанні з перевіркою документів для підтвердження особи користувача.
А банк BNP Paribas став першим, хто продемонстрував перехід на безпарольний режим під час Finovate London 2022. Банк запровадив багатофакторну автентифікацію (MFA) у всій організації. Вона передбачає перевірку справжності за трьома незалежними чинниками: знання, власність, біометрія. Для отримання доступу система може вимагати відповісти на секретне запитання, розблокувати пристрій та підтвердити біометричні дані. MFA — найкращий спосіб захисту від кібератак, доступний на сьогодні.
Бажаєте отримувати дайджест статей?
