Безопасность – в руках каждого
Иркутские журналисты приняли участие в вебинаре по парольной защите
Вопросы парольной безопасности в киберпространстве обсуждались на днях на вебинаре компании «Солар», российского провайдера сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью. Компания входит в кластер информационной безопасности группы «ПАО «Ростелеком». Участие в вебинаре приняли более 100 журналистов со всей России, включая представителей иркутской прессы.
О самых современных и эффективных методах защиты своей личной и корпоративной информации участникам рассказал директор по развитию ГК «Солар» направления «Кибербезопасность для населения» Олег Седов. Компания активно развивает данное направление, стремясь помочь каждому человеку защитить свои данные и информацию. Одной из ключевых тем вебинара стало обучение методике создания надёжных паролей, защищённых от взлома. Вебинар носил название «Энциклопедия парольной защиты».
— Тема, которую нам сегодня предстоит обсудить, очень важная, — подчеркнул Олег Седов, открывая вебинар. — Театр начинается с вешалки, а кибербезопасность – с пароля. Да, стоит признать, что надёжные логины и пароли – это неудобно для пользователя. Но правило кибербезопасности гласит – то, что удобно – не безопасно. Нам удобно подойти к квартире и открыть дверь, только толкнув рукой, но оставить квартиру без замков нам не приходит в голову. В реальной жизни мы понимаем, что у нас не может быть одного ключа на все случаи жизни – от машины, сейфа, квартиры, дачи. Ключи должны быть разными. А вот почему коды в киберпространстве должны быть разными, с этим у пользователей часто возникают проблемы. Аутентификация бывает двойной и тройной, например, по отпечатку пальца, или вас попросят пройти капчу. Это часто неудобно, но надёжно и безопасно.
Современному пользователю противостоят не просто абстрактные люди-мошенники, а вооружённые роботами. Человек в поле логина вводит пароль, а в поле пароля – логин. Казалось бы, ничего страшного. Но информация сохраняется, и может попасть роботам, простой анализ позволит им найти ваши актуальные коды.
Часто люди задают вопрос – для чего выдумывать сложные пароли, не прихоть ли это специалистов по безопасности? Представьте, что у вас есть чемодан с кодовым замком с тремя лимбами от 0 до 9. Для перебора такого замка нужна всего тысяча комбинаций. Для четырёх лимбов – 10 тысяч. Для пяти – 100 тысяч. С электронными паролями точно такая же ситуация – если код усложнить, увеличив его длину, использовать не только буквы, но и цифры, число вариантов для перебора значительно вырастет.
В списке 100 самых ненадёжных паролей года, обновляющемся ежегодно, не первое десятилетие лидируют два самых популярных «123456» (17% пользователей) и «password». Далее в антирейтинге идут какие-то первые приходящие в голову слова, например, «секс». Все это крайне небезопасно, уверяет эксперт. Мошенникам давно известен и список часто используемых пин-кодов для смартфонов. Часто люди думают, что можно запаролить свой телефон цифрами «7777» или «6666», или «1111». Или ещё рядом комбинаций цифр. 26% смартфонов можно взломать, только взяв популярные пин-коды.
Существует мнение, что на крючок к мошенникам попадаются пожилые люди и дети. Однако в списке жертв они на третьем месте, на втором – женщины в состоянии одиночества, например, сидящие дома с ребёнком, когда муж на работе. А вот на первом месте с большим отрывом находятся люди, считающие, что их статус и положение не позволит им быть обманутым какими-то проходимцами. Такие персонажи попадают на самые крутые суммы, поскольку были самоуверенны и не обеспечили достаточной защиты. «На каждого из нас есть хитрый приём, как украсть наши пароли. Буквально на каждого», — убеждён Олег Седов.
Как же избежать взлома? Правила парольной защиты гласят – каждому аккаунту свой пароль, при этом код должен быть сложным, часто меняемым. И меняемым с надёжного устройства. Обычные наши слова, которыми мы пользуемся каждый день, в качестве пароля ненадёжны, поскольку роботы могут отыскать любое слово на любом из языков, пользуясь словарями, которые в изобилии выложены в сети. Нужен именно уникальный набор символов, которые надо придумать самому лично, запомнить, и постоянно обновлять. Коды до 8 символов не являются надёжными. Для того, чтобы подобрать пароль из 3 символов, у робота уйдет менее секунды. На пять символов — 10 минут, на 7 – 9 дней. А вот уже 8-символьный код придется подбирать 11 месяцев. 9 – 32 года. Именно поэтому существует требование иметь в пароле не менее 12 символов. И даже этот код нуждается в обновлении раз в год.
Олег Седов привёл пример фразы «Каждый охотник желает знать, где сидит фазан», взяв первые буквы из каждого слова, переведя их в латиницу, часть букв сделав строчными, часть прописными и добавив нечитаемые символы. Так у него получился пароль, который будет трудно взломать не только человеку, но и роботу. Основой для кода может стать что угодно. Можно использовать формулы химических соединений, добавив нечитаемые символы. Стойкость такого пароля – 204 млн. лет. Можно использовать любой набор символов, значимых для автора кода, но совершенно не значимый для робота или другого человека. Немаловажно хранить пароли так, чтобы их невозможно было украсть. Ни в коем случае нельзя держать коды на бумаге рядом с компьютером, или в доступном файле на устройстве. В современном мире есть менеджеры паролей, лучше пользоваться платными, подчеркивает Олег Седов. Нужно взять за правило не оставлять свои устройства открытыми, когда покидаешь рабочее место, нужно их блокировать, и не давать в руки посторонним людям. Биометрию, фейс-айди и другие современные наработки можно использовать в качестве дополнительных сервисов для подтверждения каких-то операций, однако из-за недостаточной надёжности в качестве самостоятельных кодов они не годятся.
Олег Седов отметил, что безопасность данных – это личная ответственность каждого и к вопросу нужно подходить максимально серьёзно. И он надеется, что после вебинара участники не просто отметят для себя важные пункты, но сделают главное – проведут ревизию собственных паролей на всех устройствах и во всех аккаунтах. Участники отметили, что вебинар «Энциклопедия парольной защиты» позволил получить полезные знания и навыки, способствующие сохранению конфиденциальности личной и корпоративной информации.