Як говориться у відомому англомовному прислів’ї, «Попереджений — значить озброєний».
Як здійснюється крадіжка паролів
Є три основні способи перехоплення паролів:
- отримати паролі від самого користувача;
- перехопити паролі по дорозі від клієнта до сервера;
- перехопити паролі на стороні сервера, використовуючи його вразливість.
Ми розглянемо детально лише перші два способи, у яких користувач може впливати на ситуацію. Якщо він, звісно, поінформований. Відповідно, у кожному окремому випадку захист від крадіжки паролів відрізнятиметься.
Зламування пароля на стороні клієнта
Підбір паролів
Підбір паролів здійснюється методом введення відомих хакеру ідентифікаційних даних про користувача: імені, прізвища, року народження, прізвиськ, захоплень, слоганів, розміщених у статусах тощо.
Також хакери можуть підбирати паролі методом «атаки за словником». Його суть у переборі слів, що часто вживаються, і крилатих фраз. Зламавши один акаунт, хакери також можуть спробувати використовувати той самий пароль і в інших ваших облікових записах.
Захист від подборупаролів хакерами
- Не використовуйте короткі та прості паролі на кшталт 12345, qwerty, абвгд тощо.
- Не потрібно зашифровувати в паролі свої дані, які легко знайти у публічному доступі: ім’я, рік народження, телефон чи слоган.
- Не використовуйте однакові паролі в різних акаунтах.
- Приховуйте свої особисті номери та поштові адреси у соціальних мережах. Щоб зловмисники не могли напевно дізнатися ваш логін, яким може бути адреса або номер телефону. Не використовуйте публічну інформацію для створення паролів.
- Не використовуйте дані від корпоративної пошти (паролі) для реєстрації в інших службах.
- Використовуйте додатковий захист акаунтів, наприклад, за допомогою фізичних ключів безпеки.
Атаки Brute Force
Цей спосіб ще називають методом «грубої сили» або «повного перебору». Підбір паролів у цьому випадку здійснюється за допомогою утиліт із вбудованими словниками, частими комбінаціями. Найпопулярнішими з програм-зламників є Brutus, RainbowCrack, Wfuzz та Medusa.
Короткі паролі, до 7 знаків, підбираються машинними методами за лічені секунди. Для більш складних паролів може знадобитися кілька тижнів, місяців і навіть років. Хоча для прискорення процесу хакери можуть розподілити завдання на кілька машин. Так, у локальній мережі за 1 секунду може бути перевірено до 2000 паролів!
Захист паролів від повного перебору
- Рекомендується час від часу змінювати паролі у всіх облікових записах, а саме: раз на 30, 60 або 90 днів.
- Створюйте складні паролі з використанням різних символів та регістрів літер.
- Не використовуйте один пароль для всіх облікових записів.
- Захищайте дані у соцмережах. Вказуйте телефони та адреси, не пов’язані з логіном акаунтів.
- Увімкніть двофакторну автентифікацію.
Кейлогер та інші методи спостереження
Зловмисник може підглянути пароль під час використання його вами у загальнодоступному місці, наприклад, на роботі або в коворкінгу. Або знайти ваш стікер з паролем, встановити кейлогер, підкинути флешку зі шкідливим ПЗ.
Кейлогер — це програмне забезпечення, яке дозволяє відстежити, які клавіші ви натискаєте на клавіатурі.
Захист паролів від кейлогерів
- Не залишайте пристрої без нагляду.
- Захищайте вхід до комп’ютерів, планшетів та телефонів.
- Використовуйте на робочому місці менеджери паролів, щоб ваші натискання на клавіші не можна було відстежити та записати.
- Не підбирайте «загублені» флешки та не вставляйте їх у комп’ютер.
- Не переходьте за підозрілими посиланнями та встановлюйте лише ліцензійне програмне забезпечення.
- Встановіть двоетапний або двофакторний захист пароля від хакера.
Соціальна інженерія
Крадіжка паролів за допомогою методів соціальної інженерії є досить поширеною. Суть її в тому, що зловмисник зв’язується з жертвою через телефон, за допомогою пошти або в соцмережах і, впливаючи на емоції, добуває потрібну інформацію. Робить він це або за допомогою погроз — «ваші рахунки заблоковані», «вам нарахований штраф», «ваша дочка в небезпеці» тощо; або повідомляючи про великий виграш у лотерею, отримання несподіваної спадщини тощо.
Цей спосіб вимагає від шахрая знання психології та навичок емпатії. Крім того, часто про жертву попередньо збирається інформація (ім’я, телефон, посада, інтереси, діти, сервіси, що використовуються), тому звичайній людині іноді складно розпізнати трюк. Особливо якщо вона чекає на виграш або справді боїться штрафів, блокування рахунків тощо.
Захист від крадіжки паролів із використанням соціальної інженерії
- Нікому і ніколи не повідомляйте особисті дані: паролі, кодові слова, SMS-коди. Справжні працівники банківських, державних та інших установ ніколи не вимагають їх.
- Не пишіть публічно про свої цілі, плани, досягнення, болі. Або обмежте коло осіб у соцмережах, для кого можуть бути доступні особисті пости.
- Перевіряйте джерела інформації. Переконайтеся, що вона походить від реальних людей, які займають відповідну посаду. Ви маєте право перепитати назву установи, повне ім’я та посаду співробітника.
- Якщо після спілкування вам здалося, що вас «ошукали», негайно змініть паролі та заблокуйте карти.
- Регулярно оновлюйте програмне забезпечення та поставте надійний антивірус.
- Пам’ятайте: двофакторна автентифікація — надійніший спосіб захисту інформації, ніж за допомогою паролів, які можуть стати відомими третім особам.
Фішинг
Цей метод також належить до соціальної інженерії, оскільки в його основі — стеження за жертвою. Суть цього методу полягає в тому, що шахрай, вже знаючи, якими послугами ви користуєтеся, замінює вам їх. Він пропонує зайти на сайт для крадіжки пароля замість справжнього, надіславши нібито спеціальну пропозицію від компанії, наприклад, на пошту.
Захист від фішингу
- Уважно вивчайте сайт, на якому ви вводите дані.
- Не робіть покупок на невідомих майданчиках.
- Звертайте увагу на протокол сайту у браузері: захищеним є https-протокол. Він означає, що сайт перевірений і є справжнім, власник має на нього права і дані на ньому зашифровані.
- Увімкніть двоетапну автентифікацію. Принаймні захист ще одним паролем створить додатковий бар’єр від крадіжки даних.
- Використовуйте апаратні ключі безпеки, що працюють за принципом асиметричного шифрування. Вони не надішлють ваші дані фішинговому сайту з тієї простої причини, що спочатку вони мають отримати зашифрований запит від справжнього сервера.
Троянські програми
Цей спосіб крадіжки паролів також побічно належить до соціальної інженерії, якщо зловмисник вибирає жертву, щоб дізнатися дані від конкретних сервісів, якими вона користується. Далі справа техніки — він підкидає троян для крадіжки паролів, запропонувавши безплатно щось завантажити. І коли програма спрацьовує, він отримує доступ до комп’ютера.
Троянські програми також супроводжують піратські продукти, які користувачі намагаються завантажити у мережі безплатно. І тут жертва сама відкриває доступи зловмисникам.
Способи захисту паролів від троянських програм
- Використовуйте ліцензійне ПЗ.
- Регулярно оновлюйте програми для усунення вразливостей.
- Поставте надійний антивірус.
- Використовуйте ключі безпеки або інші методи двофакторної автентифікації. У цьому випадку, якщо зловмисник вкраде файл із паролями, увійти на сервіси під вашим ім’ям йому буде складно.
- Регулярно оновлюйте паролі, оскільки вони можуть бути скомпрометовані.
Перехоплення паролів на шляху від клієнта до сервера
Бувають ситуації санкціонованого перехоплення потоку інформації, яке здійснюється держслужбами. В інших випадках ці дії є незаконними. Коротко опишемо алгоритм дій, які здійснюються зловмисниками.
- Клієнт підключається до сервера та авторизується.
- Зловмисник підключається до локальної мережі та запускає скрипт для крадіжки паролів.
- Сервер у відповідь надсилає на поштову адресу зловмисника ваші Cookie з браузера (де ви, до речі, іноді зберігаєте паролі).
- Далі зчитує та розшифровує з Cookie необхідні дані, видає себе за кінцевого користувача та отримує доступ до всієї необхідної йому інформації.
Точки доступу Wi-Fi
Найбільш уразливим місцем, де можливе перехоплення даних, є загальнодоступна мережа Wi-Fi в кафе, аеропортах, вокзалах і т. ін. У ній хакер діє трохи інакше: підключившись до мережі, він використовує утиліти для зчитування вхідних IP-адрес. Далі свою адресу він підміняє за допомогою утиліт і входить в мережу під ім’ям користувача. У результаті, після підключення до спільної мережі ви можете втратити дані. Захист із використанням паролів у цьому випадку не допоможе.
Також ви можете випадково відкрити доступ хакерам при неправильному налаштуванні домашньої мережі.
Методи захисту від крадіжки паролів в точках доступу Wi-Fi
- Не зберігайте паролі у браузерах.
- Відключайте Wi-Fi та Bluetooth, коли не користуєтеся інтернетом.
- Під час налаштування домашньої мережі Wi-Fi використовуйте протокол WPA-2.
- Захищайте свою мережу Wi-Fi надійним паролем.
- Виходьте з облікових записів після завершення сесії.
- Змінюйте паролі якомога частіше, якщо періодично використовуєте загальнодоступну мережу Wi-Fi, і увімкніть двофакторну автентифікацію.
- Зробіть двофакторну перевірку обов’язковою при будь-якому вході до облікового запису, а не лише на іншому пристрої.
- Використовуйте фізичні ключі безпеки, щоб входити в акаунти легко і без введення паролів.
- Намагайтеся завжди знати, як захищати цифрову інформацію.
Найнадійнішийзахист пароля від крадіжки сьогодні
Ми коротко розглянули найбільш відомі методи хакерських атак і переконалися, що захист акаунтівз використанням паролів є на сьогодні недостатнім. найкраще вбережуть ваші облікові записи фізичні ключі безпеки, використовувати які легко й просто. Серед них вигідно виділяються ключі виробництва Швеції та США — YubiKey.
Їхні переваги:
- Абсолютна надійність, захист від механічних пошкоджень, вологи та пилу IP68.
- Працюють за принципом асиметричного шифрування.
- Широкий асортимент продукції, що підходить для різних цілей: як для особистого домашнього використання, так і для посиленого захисту на рівні держбезпеки.
- Підтримують тисячі сервісів, серед яких такі гіганти IT-індустрії, як Google, Microsoft, Binance.
- Ви можете використовувати ключі безпеки замість паролів і входити в акаунти в один дотик.
Щоб дізнатися більше про можливості використання ключів Yubikey, перейдіть на наступну сторінку.
Режим смарт-картки Yubikey без додаткового обладнання
Ідею першої смарт-картки запатентував французький винахідник Роланд Морено ще 1974 року. А сьогодні ми вже використовуємо цю технологію щодня, і не уявляємо, як можна без неї обходитися: в режимі смарт-карток працюють SIM-картки, електронні проїзні квитки та паспорти, ключі від номерів у готелі, пропуски працівників закритих підприємств, банківські платіжні картки.
Що таке двоетапна автентифікація
Що таке двоетапна автентифікація Уявити навіть на хвилину ситуацію, в якій хтось сторонній отримує доступ до вашого особистого облікового запису на ПК, дуже неприємно. Адже в цьому випадку зловмисник може: переглядати особисте листування; копіювати фотографії,...
Безпека облікових записів в академічній сфері
Безпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачівБезпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачів Сектор освіти стикається з кібератаками не менше, ніж інші напрямки. За...