Как защитить пароль от кражи

Как говорится в известной англоязычной пословице, «Предупрежден — значит, вооружён».

Как осуществляется кража паролей

Есть три основных способа перехвата паролей:

• получить пароли у самого пользователя;
• перехватить пароли на пути от клиента к серверу;
• перехватить пароли на стороне сервера, используя его уязвимости.

Мы рассмотрим детально только первые два способа, в которых пользователь может влиять на ситуацию. Если он, конечно, проинформирован. Соответственно, в каждом отдельном случае защита от кражи паролей будет отличаться.

Взлом пароля на стороне клиента

Подбор паролей

Подбор паролей осуществляется методом ввода известных хакеру идентификационных данных о пользователе: имени, фамилии, года рождения, прозвищ, увлечений, слоганов, размещённых в статусах и т. д. 

Также хакеры могут подбирать пароли методом «атаки по словарю». Его суть в переборе часто употребляемых слов и крылатых фраз. Взломав один аккаунт, хакеры также могут попробовать использовать тот же пароль и в других ваших учётных записях.

Защита от подбора паролей хакерами

1. Не используйте короткие и простые пароли вроде 12345, qwerty, абвгд и т. д.
2. Не нужно зашифровывать в пароле свои данные, которые легко найти в публичном доступе: имя, год рождения, телефон или слоган.
3. Не используйте одинаковые пароли в разных аккаунтах.
4. Скрывайте свои личные номера и почтовые адреса в социальных сетях. Чтобы злоумышленники не могли наверняка узнать ваш логин, которым может быть адрес или номер телефона. Не используйте публичную информацию для создания паролей.
5. Не используйте выданные вам данные от корпоративной почты (пароли) для регистрации в других службах.
6. Используйте дополнительную защиту аккаунтов, например с помощью физических ключей безопасности.

Атаки Brute Force

Этот способ ещё называют методом «грубой силы» или «полного перебора». Подбор паролей в этом случае осуществляется с помощью утилит со встроенными словарями, частыми комбинациями. Самыми популярными из программ-взломщиков являются Brutus, RainbowCrack, Wfuzz и Medusa. 

Короткие пароли, до 7 знаков, подбираются машинными методами в считанные секунды. Для более сложных паролей может понадобиться несколько недель, месяцев или даже лет. Хотя для ускорения процесса хакеры могут распределить задачи на несколько машин. Так, в локальной сети за 1 секунду может быть проверено до 2000 паролей!

Защита паролей от полного перебора

1. Рекомендуется время от времени менять пароли во всех аккаунтах, а именно: раз в 30, 60 или 90 дней.
2. Создавайте сложные пароли с использованием различных символов и регистров букв.
3. Не используйте один пароль для всех учётных записей.
4. Защищайте данные в соцсетях. Указывайте телефоны и адреса, не связанные с логином аккаунтов.
5. Подключите двухфакторную аутентификацию.

Кейлоггер и другие методы наблюдения

Злоумышленник может подсмотреть пароль при использовании его вами в общедоступном месте, например, на работе или в коворкинге. Или найти ваш стикер с паролем, установить кейлоггер, подбросить флешку с вредоносным ПО. 

Кейлоггер — это ПО, позволяющее отследить, какие клавиши вы нажимаете на клавиатуре.

Защита паролей от кейлоггеров

1. Не оставляйте устройства без присмотра.
2. Защищайте вход в компьютеры, планшеты и телефоны.
3. Используйте на рабочем месте менеджеры паролей, чтобы ваши нажатия на клавиши нельзя было отследить и записать.
4. Не подбирайте «потерянные» флешки и не вставляйте их в компьютер.
5. Не переходите по подозрительным ссылкам и устанавливайте только лицензионное ПО.
6. Установите двухэтапную или двухфакторную защиту пароля от хакера.

Социальная инженерия

Кража паролей с помощью методов социальной инженерии довольно распространена. Суть её в том, что злоумышленник связывается с жертвой по телефону, почте или в соцсетях и, воздействуя на эмоции, добывает нужную информацию. Делает он это либо с помощью угроз — «ваши счета заблокированы», «вам начислен штраф», «ваша дочь в опасности» и т. д.; либо сообщая о крупном выигрыше в лотерею, получении неожиданного наследства и т. д. 

Данный способ требует от мошенника знания психологии и навыков эмпатии. Кроме того, часто о жертве предварительно собирается информация (имя, телефон, должность, интересы, дети, используемые сервисы), поэтому обычному человеку иногда сложно распознать трюк. Особенно если он ждёт выигрыша или правда боится штрафов, блокировки счетов и т. п.

Защита от кражи паролей с использованием социальной инженерии

1. Никому и никогда не сообщайте личные данные: пароли, кодовые слова, SMS-коды. Настоящие сотрудники банковских, государственных и других учреждений никогда не запрашивают их. 
2. Не пишите публично о своих целях, планах, достижениях, болях. Или хотя бы ограничьте круг лиц в соцсетях, для кого могут быть доступны личные посты. 
3. Проверяйте источники информации. Убеждайтесь, что она исходит от реальных людей, занимающих соответствующее должности. Вы вправе переспросить название учреждения, полное имя и должность сотрудника.
4. В случае если после общения вам показалось, что вас «провели», немедленно смените пароли и заблокируйте карты.
5. Регулярно обновляйте ПО и поставьте надежный антивирус.
6. Помните: двухфакторная аутентификация — более надежный способ защиты информации, чем с помощью паролей, которые могут стать известны третьим лицам.

Фишинг

Этот метод также относится к социальной инженерии, поскольку в его основе — слежка за жертвой. Суть данного способа состоит в том, что мошенник, уже зная, какими сервисами вы пользуетесь, подменяет вам их. Он предлагает зайти на сайт для кражи пароля вместо настоящего, отправив якобы специальное предложение от компании, например, на почту.

Защита от фишинга

1. Внимательно изучайте сайт, на котором вводите данные.
2. Не делайте покупок на неизвестных площадках.
3. Обращайте внимание на протокол сайта в браузере: защищённым является https-протокол. Он означает, что сайт проверен и является подлинным, владелец имеет на него права и данные на нём зашифрованы.
4. Включите двухэтапную аутентификацию. По крайней мере, защита ещё одним паролем создаст дополнительный барьер от кражи данных.
5. Используйте аппаратные ключи безопасности, работающие по принципу ассиметричного шифрования. Они не отправят ваши данные фишинговому сайту по той простой причине, что прежде они должны получить зашифрованный запрос от настоящего сервера. 

Троянские программы

Данный способ кражи паролей также косвенно относится к социальной инженерии, если злоумышленник выбирает жертву, чтобы узнать данные от конкретных сервисов, которыми она пользуется. Дальше дело техники — он подбрасывает троян для кражи паролей, предложив бесплатно что-то скачать. И когда программа срабатывает, он получает доступ к компьютеру. 

Троянские программы также сопровождают пиратские продукты, которые пользователи пытаются скачать в сети бесплатно. В этом случае жертва сама открывает доступы злоумышленникам.

Способы защиты паролей от троянских программ

1. Используйте лицензионное ПО.
2. Регулярно обновляйте программы в целях устранения уязвимостей.
3. Поставьте надежный антивирус.
4. Используйте ключи безопасности или другие методы двухфакторной аутентификации. В этом случае, если злоумышленник украдет файл с паролями, войти на сервисы под вашим именем ему будет сложно.
5. Регулярно обновляйте пароли, поскольку они могут быть скомпрометированы.

Перехват паролей на пути от клиента к серверу

Бывают ситуации санкционированного перехвата потока информации, осуществляемого госслужбами. В остальных случаях эти действия являются незаконными.  Вкратце опишем алгоритм действий, осуществляемых злоумышленниками. 

1. Клиент подключается к серверу и авторизуется.
2. Злоумышленник подключается к локальной сети и запускает скрипт для кражи паролей.
3. Сервер в ответ высылает на почтовый адрес злоумышленника ваши Cookie из браузера (где вы, кстати, иногда храните пароли). 
4. Далее считывает и расшифровывает из Cookie необходимые данные, выдаёт себя за конечного пользователя и получает доступ ко всей необходимой ему информации.

Точки доступа Wi-Fi

Наиболее уязвимым местом, где возможен перехват данных, является общедоступная сеть Wi-Fi в кафе, аэропортах, вокзалах и т. д. В ней хакер действует немного иначе: подключившись к сети, он использует утилиты для считывания входящих IP-адресов. Далее свой адрес он подменяет с помощью утилит и входит в сеть под именем ушедшего пользователя. В итоге после подключения к общей сети вы можете потерять данные. Защита с использованием паролей в этом случае не поможет. 

Также вы можете случайно открыть доступ хакерам при неправильной настройке домашней сети.

Методы защиты от кражи паролей в точках доступа Wi-Fi

• Не храните пароли в браузерах.
• Отключайте Wi-Fi и Bluetooth, когда не пользуетесь интернетом.
• При настройке домашней сети Wi-Fi используйте протокол WPA-2.
• Защищайте свою Wi-Fi сеть надежным паролем. 
• Выходите из аккаунтов после завершения сессии.
• Меняйте пароли как можно чаще, если периодически используете общедоступную сеть Wi-Fi, и подключите двухфакторную аутентификацию.
• Сделайте двухфакторную проверку обязательной при любом входе в учётную запись, а не только на другом устройстве.
• Чтобы входить в аккаунты легко и без ввода паролей, используйте физические ключи безопасности.
• Старайтесь всегда быть в курсе, как защищать цифровую информацию. 

Самая надежная защита пароля от кражи на сегодняшний день

Мы вкратце рассмотрели наиболее известные методы атак хакеров и убедились, что защита аккаунтов с использованием паролей является на сегодня недостаточной. Лучше всего уберегут ваши учётные записи физические ключи безопасности, использовать которые просто и легко. Из них выделяются ключи производства Швеции и США — YubiKey. 

Их преимущества:

• Абсолютная надежность, защита от механических повреждений, влаги и пыли IP68.
• Работают по принципу ассиметричного шифрования.
• Широкий ассортимент продукции, подходящей для самых различных целей: как для личного домашнего использования, так и для усиленной защиты на уровне госбезопасности.
• Поддерживают тысячи сервисов, среди которых такие гиганты IT-индустрии как Google, Microsoft, Binance.
• Вы можете использовать ключи безопасности вместо паролей и входить в аккаунты в одно касание.

Чтобы узнать больше о возможностях использования ключей Yubikey, перейдите на следующую страницу.