Принято считать, что частая смена паролей гарантирует больший уровень безопасности. Однако CEO ИБ-компании Spycloud Тед Росс считает, что этого лучше не делать, пишет портал eWeek.
Выступая на недавней конференции NetEvents в Сан-Хосе (Калифорния), Тед Росс удивил слушателей, выразив сомнение в необходимости частой смены паролей. По его словам, прибегать к этому стоит лишь в случае, когда они взломаны. Он объяснил, что проблема со сменой паролей состоит в том, что, как правило, люди выбирают пароли, которые легко запомнить, а это значит, что их так же легко угадать. Когда требуется смена пароля на новый, люди отдают предпочтение вариациям старого пароля. «Мы обнаружили, что база утекших паролей настолько велика, что преступникам нужно только найти старый пароль, — сказал Росс. — Люди меняют свои пароли на те, что уже были раскрыты».
Его слова означают, что старые пароли накапливаются в даркнете и могут служить в качестве отправной точки для тестирования вариантов. Сопоставляя несколько паролей, хакеры могут видеть закономерности в том, как пользователь меняет пароли, что значительно упрощает их работу. Чем чаще он их меняет, тем больше вероятность того, что будет обнаружена одна или несколько версий старых паролей. Ситуация усугубляется количеством сайтов, которые требуют пароли для входа. «В среднем пользователь пользуется 200 сайтами. Запомнить такое количество паролей практически нереально», — сказал эксперт.
200 паролей запомнить нереально
Большинство людей не могут запомнить с десяток паролей, не говоря уже о нескольких сотнях. Как они выходят из положения? Как правило, для входа на сайты, которые они рассматривают как не критически важные, они подбирают один пароль или несколько его вариаций, чтобы их можно было проще запомнить. Таким образом, эти вариации могут выстроиться в следующую последовательность: Password, Pa55word, Passw0rd и, наконец, Password! Пользователи прибегают к подобной «тактике», когда их регулярно вынуждают менять свои пароли, например каждые 90 дней. «Несколько десятилетий назад мы были обеспокоены тем, что преступник пытается войти в аккаунт, — пояснил Росс.— Если бы они тогда смекнули, что пользователи применяют такие простые пароли, они могли бы продолжать попытки взлома при помощи атак „грубой силы“».
Уровень защиты от таких атак предусматривает некоторое число попыток, которое дается для входа на сайт. Если пользователь набирает неверный пароль три раза, то доступ к сайту блокируется. Нужно заметить, что некоторые сайты разрешают больше трех попыток или вообще их не ограничивают, но таких сайтов — меньшинство. Такое незначительное число неудачных попыток предусмотрено для того, чтобы пользователь мог вспомнить свой пароль, и отсеять хакерские атаки, направленные на подбор паролей.
Легкость взлома существенно варьируется в зависимости от сложности пароля. Опытный злоумышленник, вооруженный сложным ПО, может взломать короткий пароль за несколько минут, подбирая слова из набора популярных для составления паролей слов. Пароль длиной 99 символов, полностью состоящий из случайных символов, взломать практически невозможно. Но если повторно использовать один пароль, внося в него небольшие изменения, его можно взломать гораздо быстрее и проще. Как только злоумышленник узнает в пароле конкретные строки символов, его софт значительно сократит вариации слов, которые требуются для подбора пароля.
Менеджер паролей — выход из ситуации
Ясно, что защитить свою конфиденциальность можно при помощи сложных паролей и при том в немалом количестве. Запомнить их невозможно, поэтому лучше всего прибегнуть к менеджеру паролей. Качественный менеджер паролей будет работать со всеми платформами, которые применяются в организациях, включая компьютеры под управлением Windows и MacOS, а также телефоны и планшеты Apple и Android. Он должен обладать функцией обмена паролями между всеми устройствами, генерировать сложные пароли и сохранять их на сайтах, где они нужны.
Однако это еще не все, что от него требуется. Помимо этого ему нужно уметь сверять выбранный пользователем пароль с миллионами взломанных, которые хранятся в даркнете. Менеджер паролей также должен учитывать ограничения, которые выставляют некоторые сайты — одни требуют не превышать лимит на количество символов в пароле, тогда как другие ограничивают сложность паролей путем запрещения специальных символов или цифр. Росс отметил, что SpyCloud поддерживает базу данных взломанных паролей, которые обновляются практически в реальном времени, поэтому прежде, чем менять, его можно сверить с базой. Он также добавил, что менеджеры паролей Dashlane и Keeper проверяют пароли в базе данных SpyCloud автоматически.
Важно отметить, что защитить доступ к сайту позволяют не только пароли. Наиболее распространенным способом является использование двухфакторной аутентификации (ДА). Даже если хакер угадал пароль к аккаунту, ему будет предложено пройти еще один тест аутентификации, выходящий за рамки интернет-соединения.
Двухфакторная аутентификация — это не 100%-ная гарантия защиты
ДА в современном виде — это отправленное на мобильное устройство текстовое сообщение с цифровой комбинацией, которую нужно ввести на сайте для подтверждения входа. Это дополнительный слой защиты, который также поддается взлому. Чтобы усилить свою защиту, лучше всего установить на смартфоне приложение для аутентификации или использовать физическое устройство, такое как смарт-карта или ключ безопасности в виде USB-брелока. Еще одним слоем защиты безопасного доступа является биометрия, но развернуть соответствующие аппаратные средства проверки на предприятии может оказаться дорогостоящей процедурой.
В некоторых случаях удешевить ее помогают устройства со встроенной биометрией, такие как Apple Face ID или считыватели отпечатков пальцев на устройствах Android. Уже доказано, что сканер объемно-пространственной формы лица человека или считыватель отпечатков пальцев можно обмануть, но чтобы реализовать эту затею, требуются значительные ресурсы. Очевидно, что обычные хакеры заниматься подобной практикой взлома не будут — это компетенции спецслужб, а их деятельность выходит за рамки обсуждаемой темы.
Пока что не существует инструмента, который гарантирует 100%-ную защиту от взлома пароля. «Мы упражняемся с вероятностями», — объясняет Росс. Цель состоит в том, чтобы уменьшить вероятность того, что злоумышленник сможет украсть пароль и получить доступ к учетной записи.