Как снизить вероятность взлома аккаунта в интернете. 10 правил параноика
Как воруют пароли?
Есть три основных группы способов получения доступа к чужим аккаунтам:
– Перехват – липовые страницы авторизации (фишинг), вирусные программы (отслеживание нажатий клавиш, снимки экрана, воровство данных), перехват трафика (например, передаваемого по незащищённым сетям Wi-Fi в кафе).
– Взлом сайтов – получение доступа к базам данных, в которых хранятся пароли (вместе с логинами) и их расшифровка.
– Подбор – тупо перебираются варианты возможных паролей при авторизации (брутфорс).
Есть и другие способы: письма/звонки от "администрации сайта" с просьбой сменить пароль, наблюдение со скрытых камер в офисе, пытки… Но сегодня остановимся на защите от трёх самых распространённых.
Хороший пароль – это тот, который долго расшифровывать/подбирать и невозможно угадать. Но главное – защитить от перехвата при вводе.
1. Не ходите по левым ссылкам
Зарегистрировать сайт odnaklssniki.ru (схожий по написанию) и повесить на него страницу ввода логина/пароля – очень просто. Ещё проще купить бота для отправки этой ссылки в личку/по почте всем подряд, сократив её на bit.ly и приписав: "Ой, смотри как Вася мог такое в комментарии к твоей фотке написать". Этим промышляют очень много людей. Эпидемия фишинга началась более 15 лет назад, но люди ещё ведутся и авторизируются на липовых страницах.
Ещё бывают случаи, когда человек хочет подсоединиться к Wi-Fi в кафе, а его просят подтвердить свою личность, зайдя под своим логином и паролем в соцсеть. Те же яйца, только в профиль.
Более современный вариант – заражение компьютера вирусом, который будет перенаправлять человека на поддельный сайт в тот момент, когда он введёт адрес настоящего сайта, а после кражи логина/пароля авторизировать человека там, где он хотел.
Лучший способ защиты – внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Ещё можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).
2. Вовремя обновляйте антивирус
В первую очередь этот пункт касается тех, у кого Android и Windows. Поставьте себе хороший антивирус и не забывайте вовремя его обновлять. Это нужно для защиты от вредоносных программ, которые фиксируют ввод с клавиатуры, похищают данные с компьютера, перенаправляют на фишинговые сайты.
По результатам исследования портала TopTenReviews лучшие антивирусы в 2016 году это:
- Bitdefender Antivirus Plus
- Kaspersky Anti-Virus
- McAfee AntiVirus Plus
- Norton Security
- F-Secure Anti-Virus
3. Шифруйте трафик
Следующая опасность, от которой внимательность и антивирус уже не помогут – перехват трафика. Если вы сидите в интернете с офисного и публичного Wi-Fi, то старайтесь использовать VPN.
4. Подключите смс-подтверждение
Плюс к безопасности даёт схема, когда для входа надо помимо пароля ввести код из смс. Посмотрите настройки сервисов, которыми часто пользуетесь на предмет фразы: "двухфакторная идентификация". Примеры сайтов, которые её поддерживают: Gmail , Mail.ru, VK, "Яндекс" , Twitter .
Для Apple ID тоже можно подключить. В таком случае помимо пароля будут просить ввести проверочный код, который отображается на устройстве.
Когда это не сработает? Если у вас "открытая мобильная операционная система", то есть небольшая вероятность, что смс с кодом подтверждения может перехватить вирус. Она существенно понизится, если не забывать о пунктах 1 и 2 из этой статьи и на телефоне тоже.
5. Каждому сайту – свой пароль/логин/email
По разным данным одинаковые пароли для большинства аккаунтов используют от 15% до 25% пользователей.
Получить доступ ко всем аккаунтам такого человека можно, взломав базу какого-нибудь самописного блога, на котором человек засветил свой основной почтовый адрес и пароль от него ради скачивания книги "Советы от рыболова Васи".
Помимо уникального пароля, для регистраций на один раз лучше использовать временный адрес электронной почты, который можно создать на 10minutemail.com .
Большинство людей не уделяют достаточно внимания безопасности своих сайтов и они имеют какие-либо уязвимости, позволяющие хакеру (а чаще просто настойчивому человеку) получить доступ к файлам сайта и базе данных => логинам, паролям и почтовым адресам пользователей.
Если у кого-то стоит простой пароль на всех ресурсах и он засветил его на сайте, который был взломан, вместе с основным адресом электронной почты, то все его аккаунты окажутся в руках хакеров.
Вирусы и снифферы (анализаторы перехваченных пакетов трафика) чаще всего собирают пароли в зашифрованном виде. Так как современные браузеры их в открытом виде не хранят и не передают.
Как же создать такой пароль, который если и попадёт в зашифрованном виде к злоумышленникам, то они бы не смогли восстановить его методом подбора?
6. Чем длиннее, тем лучше
Зайдем на howsecureismypassword.net и посмотрим, сколько времени потребуется для подбора паролей разной длины:
iphones – 0,2 секунды;
iloveiphones – 4 недели;
iloveiphonesverymuch – 16 миллиардов лет.
Какая же оптимальная длина пароля? Джеф Атвуд, один из основателей Stack Overflow и владелец наикрутейшего блога CodingHorror утверждает, что 12 символов – минимум.
7. Разнообразие это +
Сложности для расшифровки и перебора добавляют цифры, прописные и заглавные буквы, знаки пунктуации:
iph0nes – 2 секунды;
!ph0nes – 22 секунды;
!Ph0nes – 7 минут;
ilove!Ph0nes – 3400 лет.
8. Меньше смысла
Пароли из предыдущих пунктов – хреновые пароли. Ведь интернетом пользуется 3 с лишним миллиарда человек. И наверняка есть ещё тысячи людей на этой земле, которые ставят себе пароли "айфоны", "Я люблю айфоны", "Я люблю айфоны очень сильно", заменяя "o" ноликом для большей "безопасности". По этой же причине никуда не годятся: "!H@cker1", "!admin123", "the_cool" и "thering7337".
Большинство подобных шаблонных фраз давно есть в хакерских словарях.
К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которыми бессознательно руководствуются люди при составлении паролей.
Люди мыслят и действуют очень похоже. И придумывают пароли тоже. Вот результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем их:
1. Четверть паролей в мире заканчиваются на единицу!
2. Часто при создании пароля люди просто тыкают в стоящие рядом клавиши.
3. Слова "Я люблю его" в пароле встречаются чаще, чем "Я люблю её", но отстают по распространённости от слов "Я люблю себя" и "Я люблю секс".
4. Ещё люди любят пятницу, бэтмена и чтобы логин совпадал с паролем.
5, 6, 7. Надёжность пароля человека совершенно не зависит от его личных качеств. Есть примеры очень слабых комбинаций символов, которые используют руководящие работники известных компаний.
8. Люди часто использует для своих паролей подряд идущие цифры и чьи-то имена, а также слова, связанные с компьютерными играми и спортом.
Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под неё можно создавать скрипты, которые учитывают подобные закономерности.
К примеру, можно написать код, который будет брать логин человека, по-разному переставлять в нём регистр символов, добавлять разные цифры перед ним и после него, удалять символы с разных позиций и проверять, совпадает ли зашифрованная строка с исходной или нет. Займёт это дело меньше секунды. И для определённого процента пользователей это сработает! И не надо никаких миллиардов лет. Пароль в виде немного изменённого логина – плохая идея.
В общем, характеристики надёжного пароля едины – длина, разнообразие и бессмысленность.
9. Да здравствуют коты и генераторы паролей!
Чтобы сгенерировать надёжный пароль, можно попросить кошку походить по клавиатуре или зайти на passwordsgenerator.net.
Можно установить браузерный плагин для создания паролей или воспользоваться менеджером паролей (о них ниже).
10. Не забываем о контрольных вопросах
Баян из 2000-х:
Alex: Слушай, мы чем-то похожи. Может мы родственники?
Kisa86: Думаешь?
Alex: Ну, может дальние. Какая девичья фамилия была у твоей матери?
Kisa86: Алексеенко
Alex: О, у тебя 8 новых писем )
Kisa86: в смысле???
Некоторые люди создали себе основную почту в лохматом году, сразу как вошли в Сеть, и по неопытности вводили ответ, о котором можно догадаться из их биографии. И с тех пор ничего не меняли. Рекомендуем зайти сейчас в настройки своего почтового ящика и проверить этот момент.
Где хранить пароли?
В голове. Или на бумажке, спрятанной в укромном месте. Но надо что-то придумать, чтобы в случае нахождения её кроме вас никто не мог использовать. В народе ходят разные "креативные" способы. Например, записать в адресной книге телефона виртуалов "Гуля", "Яша", "Мила", "Фоня" и поля для номеров заполнить паролями; составить список покупок в TO-DO листе и в комментарии к продуктам записать пароли. Допустим "Твикс" = "Twitter", "Патиссоны" = "iPhones". У кого какие ассоциации.
Но менеджеры паролей удобнее. Автоматическая генерация сложных комбинаций, автозаполнение, возможность передать данные на другое устройство. Главный минус – если кто-то узнает пароль от менеджера паролей, то он сразу будет знать всё. Но для некоторых программ такая проблема уже в прошлом. Например, True Key поддерживает идентификацию по отпечатку пальца или другому устройству. А в Dashlane можно настроить подтверждение по смс.
Но если кому-то очень сильно понадобится расшифровать базу менеджера и узнать ваши пароли, то он это сделает. История знает много примеров таких ситуаций. Но если вас не разыскивает интерпол и характер у вас спокойный, то беспокоится не о чем.
Итог
1. При вводе пароля внимательно смотрим, на каком именно сайте мы находимся.
2. Защищаемся от вирусов.
3. Используем VPN.
4. Для каждого сайта придумываем отдельный пароль. А для разовых регистраций используем временные адреса электронной почты.
5. Если есть возможность, подключаем подтверждение по смс.
6. Длина пароля должна быть не менее 12 символов.
7. В пароле должны быть цифры, знаки пунктуации, прописные и заглавные буквы.
8. Пароль должен быть максимально бессмысленным.
9. Для создания паролей удобно использовать онлайн-генераторы и менеджеры.
10. Ответы на контрольные вопросы должны быть непредсказуемыми.
Что будет, если их не соблюдать?
Среди читателей обязательно окажется человек с паролем dodik1, который ставит его везде уже 15 лет подряд и думает: "Да ну тебя нафиг, женщина, со своими сказками про хакеров. Я на всё это забил и ни разу ещё не случилось ничего".
Да, есть шанс всю жизнь прожить с паролем "qwerty" и ни разу не вляпаться в историю. Особенно, если мало сидеть в инете и пользоваться только техникой Apple.
На leakedsource.com можно проверить, есть ли ваш email и пароль от него (в зашифрованном виде) в базах взломанных аккаунтов. Старая почта для спама с 4-значным паролем засветилась аж в трёх местах, как и 38 аккаунтов моих тёзок. Искать человека можно по имени, фамилии, логину, номеру телефона и IP-адресу.
Если вы нашли свой адрес, и пароль от него легко расшифровать, то:
– Ваш профиль в соцсети может начать неожиданно рассылать спам.
– Если кто-то захочет почитать вашу переписку, то он сможет купить доступ к информации о вас .
Обнаружили себя – смените пароль.
