Чому ваші паролі легко зламати і що з цим робити

30 грудня 2020, 09:44

Побутує думка, що безпеку можна просто купити або що можна зупинитися на одного разу досягнутому рівні, який зберігатиметься довічно. На жаль, це далеко не так. Як зараз, так і 15−20 років тому. Розгляньмо це на поведінковому і технологічному прикладі добору паролів.

Ще кілька років тому вважалося безпечним змінювати паролі через певний проміжок часу, скажімо, три місяці. Системні адміністратори і розробники програмного забезпечення змушували всіх дотримуватися цього правила, а люди покірно змінювали свої паролі з певною періодичністю. І це вважалося безпечним, навіть дуже. Але в цій стратегії виявилося кілька нюансів.

Відео дня

Дослідження і спостереження показали, що коли людей регулярно і за розкладом примушувати змінювати паролі — вони їх починають записувати на папірці, в блокноти; до старого паролю просто додають символ (було MyPassword1, стало MyPassword2, потім MyPassword3) і т. ін.

Якщо зловмисник отримує доступ до одного з таких паролів — він легко спрогнозує, яким пароль буде за півроку або рік, що дасть йому можливість без додаткових зусиль продовжувати використовувати дані жертви. А сама жертва змінить пароль лише тільки тоді, коли настане час чергової зміни.

А як прийнято зараз? Тут все просто: якщо ви підозрюєте, що пароль поцуплено — ви захочете діяти негайно, а не чекати закінчення терміну дії, щоб усунути проблему.

Наприклад, якщо ви вводили пароль від пошти десь у публічному місці, де встановлено камери спостереження — пароль краще змінити. Довелося зайти в свій Facebook-акаунт на чужому пристрої — надійніше буде оновити реквізити входу.

Під час карантину багато користувачів використовують пристрої вдома, і якщо ви не стали жертвою фішингової атаки, не встановлювали якесь підозріле програмне забезпечення — не обов’язково регулярно змінювати пароль. Це потрібно робити тільки в разі підозри на те, що хтось міг дістати дані для входу в той чи інший обліковий запис.

Авжеж, при цьому необхідно дотримуватися правил унікальності пароля (один акаунт — окремий пароль), довжини (що довший — то ліпший) і відсутності в ньому будь-якої персональної інформації (без усіляких там року народження і дівочого прізвища матері).

На сьогодні ці правила поведінки вважаються нормою, з урахуванням зібраного попереднього досвіду використання паролів, але незабаром і їх переглянуть та висновки з рекомендаціями будуть вже іншими. Слідкуйте за оновленнями.

Що стосується технічної складової — тут також повно сюрпризів. Наприклад, раніше було достатньо «пікселізувати» або «заблюрити» важливу інформацію (паролі, номери, адреси та інше) на будь-якому електронному документі або скріншоті й публікувати у відкритому доступі.

CC
Фото: CC

Зараз же майже будь-який користувач може спробувати відновити захований пароль на скріншоті за допомогою інструменту Depix. Щоправда, п’ять років тому теж були подібні інструменти, але менш ефективні.

Так, точність спершу може бути не найвищою, але, скажімо, знаючи точне значення і послідовність 8 символів пароля з 12 — це вже майже перемога. Такий пароль буде дуже легко зламати, підібравши відсутні значення.

Ефективність цього методу постійно зростатиме за умови тренування і масового використання, і зрештою технологія пошириться на інші способи приховування інформації, як-от «заблюрування».

Імовірно, найближчим часом на основі цього алгоритму з’являться чат-боти або додатки, в які можна буде долучити зображення з пікселізованим текстом і на виході отримати розшифрований варіант.

Що в цьому випадку робити? Змінювати свою поведінку й інструменти. Припинити взагалі публікацію документів, де міститься чутлива інформація. Якщо це все одно необхідно — обрізати документ, приховувати дані за допомогою зафарбовування, а не пікселізації тощо. Ну і перетрусити/підчистити всі свої старі публікації, де ви щось пікселізували.

Отже, просто один раз все зробити і розслабитися — не вийде. Сфера цифрової безпеки дуже динамічна, тому потребує вашої пильної уваги.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X