Доказательно о важности надёжного пароля

Несанкционированный доступ к информации является нарушением во многих странах. Например, в уголовном кодексе РФ это статья 272 «Неправомерный доступ к компьютерной информации». Нарушителю грозит до 7 лет лишения свободы.

Но потенциальное наказание не останавливает злоумышленников. Каждый новый нарушитель считает, что он умнее и хитрее других — тех, кто попался. Статистика красноречива. Количество кибератак в 1 квартале 2022 года увеличилось на 14,8% по сравнению с IV кварталом 2021 года. При этом доля атак на веб-ресурсы увеличилась до 22% от общего количества по сравнению с 13% в 4 квартале 2021 года.

Над безопасностью информационных систем трудятся специалисты, в направление инвестируют большие деньги. По оценке Accenture мировой рынок услуг в сфере кибербезопасности будет расти на 13% в год и достигнет объёма в $94 млрд к 2025 году.

Защита информации стала основополагающим принципом существования информационного продукта и его владельца. Болезненно ощутима атака на чувствительную информацию. Например, утечка персональных данных (номер мобильного телефона, банковские реквизиты и т.п.) может подорвать авторитет крупной компании. А такие последствия, как нарушение основной деятельности в результате атаки или ущерб интересам целого государства, могут запустить цепочку событий с непредсказуемым финалом.

В информационной безопасности достигнуты большие успехи. Давно разработаны алгоритмы защиты от многих видов атак, создано специальное оборудование, составлены рекомендации для обычных пользователей и должностные инструкции для сотрудников компаний. Но почему проблема безопасности не исчезает, а только множится? Регулярно случаются утечки баз данных и ценной информации. Часто источник проблемы кроется не в технологии, а в человеческом факторе. Да, к сожалению, человек — слабое звено в информационной безопасности.

1. Лень: «Я сделаю простой пароль, чтобы легко запомнить»

Ленивый пользователь — это потенциальная дыра в безопасности. Статистика красноречиво показывает, что пользователи не проявляют креативность при выборе пароля. Прямолинейность и лень способны только на самые примитивные комбинации символов для пароля.

Топ-10 самых популярных паролей за все время исследования:

1. 123456
2. 123456789
3. qwerty123
4. qwerty
5. 12345
6. qwerty1
7. password
8. 12345678
9. 1q2w3e
10. 111111

Топ-10 самых популярных паролей из утечек 2021 года:

1. qwerty1
2. 123456
3. a11111
4. 123456789
5. 111111
6. 112233
7. 12345678
8. 12345
9. 000000
10. qwerty123

Увидели свой пароль в этом списке? Срочно меняйте пароль!

2. Предрассудок: «Я сделаю простой пароль, чтобы легко запомнить. Кому нужно меня взламывать?»

Дело в том, что иногда хакеру, возможно, и не нужно взламывать именно вас, но он это сделает. Не важен ваш пол, возраст, социальный статус или место проживания. Нужен только ваш взломанный аккаунт, который станет одним из многих. Такие аккаунты используются в дальнейших манипуляциях хакеров. Способ использования зависит от их целей. И это лишь один пример того, почему любой аккаунт может подвергнуться хакерской атаке.

Подобные атаки чаще всего производятся автоматически, поэтому вероятность рано или поздно подвергнуться хакерской атаке достаточно высокая. Не стоит надеяться на незаметность.

В октябре 2021 года исследователь кибербезопасности из Израиля, обнаружил, что может восстановить пароли к 70% беспроводных сетей, когда он проезжал мимо. Часто потому, что они использовали номер мобильного телефона в качестве пароля.

Простой пароль от WiFi — это удобно для вас. А ещё удобно для злоумышленника, которому не потребуется много усилий для взлома пароля и использование вашего ip адреса в сомнительных делах.

3. Незнание современных технологий: «Мой пароль не 12345, а Olga2002, поэтому меня не взломают. Мой пароль достаточно сложный, зачем ещё эти спецсимволы?»

Специалист по информационной безопасности Сэм Кроули 14 октября 2022 рассказал в своём твиттер-аккаунте, что тесты видеокарты серии RTX 4090 показали невероятное увеличение скорости — в 2 раза по сравнению с предыдущей — RTX 3090.

First @hashcat benchmarks on the new @nvidia RTX 4090! Coming in at an insane >2x uplift over the 3090 for nearly every algorithm. Easily capable of setting records: 300GH/s NTLM and 200kh/s bcrypt w/ OC! Thanks to blazer for the run. Full benchmarks here: https://t.co/Bftucib7P9 — Chick3nman (@Chick3nman512)

Исследователи подсчитали, что специально созданная установка с восьмью такими видеокартами может взломать восьмизначный пароль за 48 минут. Меньше часа в автоматическом режиме. Конечно, это предполагает, что пароль имеет длину не менее восьми символов и соответствует необходимым соглашениям (включая хотя бы одну цифру и специальный символ). Да это достаточно дорогой способ взлома пароля, который основан на прямом переборе большого количества комбинаций.

Добавление спецсимволов увеличивает количество комбинаций, которые нужно проверить. Это делает процесс подбора пароля дольше и дороже. Именно поэтому современные формы регистрации мучают пользователя требованиями использовать более сложный и длинный пароль. Цель — усиление вашей безопасности.

Существует альтернативный способ — использование списков или словарей. Это такая же техника перебора паролей, но не всех подряд, а популярных и/или скомпрометированных паролей.

Любопытный результат получила компания Rapid7 в результате 12-месячного эксперимента. В попытках атак на учетные данные были использованы порядка 512 002 комбинаций. Почти все эти пароли (99,997%) включены в общий список паролей — файл RockYou2021, содержащий 8,4 миллиарда записей. Это говорит о том, что несфокусированные атаки на веб-ресурсы выбирают лёгкий путь, выбирая шаблонные решения. Это позволяет легко избежать последствий от подобных атак — достаточно использовать надёжный пароль.

Наши рекомендации по работе с паролями

• 1. Используйте сложные пароли: длина пароля от 8 символов, содержащих букву, цифру и спецсимвол. Не используйте в пароле целые слова, имена, названия
• 2. Не используйте одинаковый пароль для разных аккаунтов
• 3. Регулярно обновляйте пароли в важных аккаунтах. К сожалению, об утечке данных не всегда сообщают
• 4. При возможности включите двухфакторную аутентификацию (2FA). Например, смс-код на телефон или код в Google-Authenticator
• 5. Используйте надёжный менеджер паролей, чтобы не запоминать большое количество сложных паролей