Пока IT-технологии не стали массовыми, обычному человеку приходилось запоминать разве что код замка подъездной двери, но и это было редкостью. Сегодня пароли используются везде, а значит вы должны уметь с ними обращаться.
В самом начале необходимо развенчать несколько заблуждений — это поможет понять, что именно вы находитесь в опасности, а не только богатые и известные люди.
Распространенные заблуждения
Отсутствие понимания принципов и технологий, использующихся в некоторых схемах подбора паролей, внушает людям чувство ложной безопасности. Вот примеры таких заблуждений:
- Никому не нужно меня взламывать.
- У меня нечего украсть.
- Если меня взломают, то отвечать будет банк/сервис/компания.
Рассмотрим эти утверждения подробнее.
Никому не нужно меня взламывать
Отчасти это утверждение верно: целенаправленно пытаться попасть именно в ваш аккаунт — не будут. Но дело в том, что по большей части взломы аккаунтов вообще не избирательны, это полностью автоматизированный процесс, рассчитанный на массовость.
К примеру, находят уязвимость системы, позволяющую многократно вводить неправильный пароль, и запускают Brute-force attack — метод, при котором автоматика начнет перебирать аккаунты в паре с распространенными примерами паролей: 1234, 123456, 1111, 23456789, LOVE, qwerty123, password и подобными. В результате все учетные записи, «защищенные» подобными паролями будут собраны в базы, которые потом могут использовать в различных целях, в зависимости от вида аккаунта.
У меня нечего украсть
Если даже именно у вас нечего украсть, то доступ к учетным записям все равно позволит мошенникам извлечь выгоду. Самое простое — рассылка сообщений родственникам, друзьям и знакомым с просьбой незамедлительно помочь. В таких случаях преступники часто используют прием психологического давления, что времени совсем нет, вы в беде и срочно нужны деньги.
В более сложных схемах аккаунты используют для распространения запрещенной литературы, торговли наркотическими средствами, создания открытых писем и петиций. Шантаж — тоже довольно распространенное явление, если получен доступ к материалам, которые могут скомпрометировать пользователя.
Если меня взломают, то отвечать будет банк/сервис/компания
Отвечать банк или компания будут только в том случае, если утечка данных произошла по их вине. Если же вы самостоятельно не обеспечили защиту, раскрыли пароль третьим лицам, то ответственность будете нести только вы. К примеру, AliExpress часто не запрашивает никакого подтверждения по привязанным картам. Мошенник, попавший в такой аккаунт, сможет купить что угодно, а расплачиваться придется вам.
Стоить помнить, что простая электронная подпись — присылаемый банком цифровой код — обладает той же юридической силой, что и собственноручная. Взятые таким образом кредиты придется платить именно вам, а переведенные на «безопасный» счет деньги не вернут, даже когда будет заведено уголовное дело по факту мошенничества.
Если вы уже достаточно напугались, пришло самое время рассказать о том, как грамотно пользоваться паролями, но перед этим немного о социальной инженерии.
Социальная инженерия
Это метод получения пароля, нужного цифрового кода или доступа к конфиденциальной информации не грубым взломом, а моделированием ситуации при которой пользователь сам отдает все необходимые данные.
Упрощенно социальную инженерию можно разделить на 2 вида:
- Техническая — фишинговые ссылки, например, на клоны сайтов платежных систем или известных магазинов, вредоносное программное обеспечение и так далее. Для рассылки чаще всего используются социальные сети и электронная почта, а сообщения оформляются в стиле официальных писем.
- Психологическая обработка — жертве поступает звонок, в котором мошенник, представившись сотрудником службы безопасности банка, просит подтвердить оформление большого кредита. А на удивленные вопросы жертвы отвечает, что если вы ничего не оформляли, то нужно немедленно отказаться, продиктовав код, который сейчас поступит на ваш телефон.
Несомненно, взломостойкие пароли не спасут от невнимательности и растерянности, но очень затруднят поиск необходимой информации о вас и снизят шансы на то, что такая ситуация произойдет.
Хорошие базы формируются путем объединения: в одной ваша почта, в другой телефон, в третьей ФИО, в четвертой социальные сети. Чем больше взломов, даже незначительных — тем больше шансов, что когда-то они соберутся в полную базу, достаточную для того, чтобы мошенники обратили на вас внимание. Чтобы этого не случилось, прочитайте нашу статью об Анонимности в интернете и грамотно пользуйтесь паролями.
Не сообщайте никому паролей и кодов из СМС! Каждый код — это ваша подпись под какой-то операцией!
Грамотная работа с паролями
Прежде чем работать с паролем, его нужно придумать. Пароль считается надежным, если он состоит из букв разного РеГисТРа, специ@льных символов и цифр: чем больше — тем лучше, но 12 будет достаточно. В пароле не должно быть не только имен или кличек животных, но и вообще слов. Только бессмысленный набор букв, цифр и символов.
Не пытайтесь набирать русские слова в английской раскладке. Несмотря на то, что такой пароль на первый взгляд может показаться надежным — это не так. Такие пароли тоже содержатся в списках, используемых для Brute-force attack. Вот пример хорошего пароля: fGdxcclfx_401!@erTO.
Основные источники опасности
Коротко о главных ошибках при обращении с паролями.
Одинаковый пароль
Одинаковый пароль ко всем учетным записям. Это очень распространенная ошибка, которая может дорого обойтись, потому что если ваш пароль попадает в базы мошенников, то первое, что они пытаются сделать — это определить, кому он принадлежит, и проверить его на других учетных записях пользователя.
Автосохранение паролей в Google/Apple
Это удобный и безопасный способ организации работы с паролями, если базовый аккаунт надежно защищен и используется только вами. Получив доступ к учетной записи, мошенник автоматически получит доступ ко всем сохраненным паролям.
Упрощение работы с паролями
В целях обеспечения более надежной защиты, компании активно внедряют возможность использовать двухфакторную аутентификацию. Это метод авторизации, при котором помимо ввода пароля необходимо вводить одноразовый код, поступающий на телефон или электронную почту. Двухфакторная аутентификация значительно усложнит работу мошенникам. Не пренебрегайте возможностью надежно защитить деньги, данные, личную жизнь.
Общие советы
Если потеряли банковскую карту в общественном месте — сразу блокируйте ее. Никаких иных правильных действий не существует, любые другие поступки будут автоматически ошибочными.
Не храните пароль на бумаге. Если не можете запомнить, то записывайте в зашифрованном виде так, чтобы его было невозможно соотнести с учетной записью. Не страшно потерять записку «fGd cclfx_401!@erTO», а записка «СберБанк логин Petya176 пароль fGdxcclfx_401!@erTO» — это трагедия.