В 2020 году компания DeviceLock проанализировала около 5 миллиардов уникальных пар — логин и пароль — за прошлый год. Среди попавших в открытый доступ из-за массовых утечек паролей популярными стали «123456», «111111», «qwerty», «password», «привет», «йцукен» и «любовь». Исследование проводилось в третий раз, но аналитики обратили внимание пользователей на то, что список уязвимых паролей почти не изменился с 2018 года.

Предлагаем сразу вам пройти наш экспресс-тест, чтобы узнать, насколько вы готовы к реальным опасностям виртуального мира и сможете ли себя защитить в интернете, не став мишенью для кибермошенников.

Экспресс-проверка «Насколько я готов к уловкам мошенников?»

Если у вас есть хотя бы один пароль из приведённых авторами исследования, тогда эксперты советуют их срочно поменять. Повторим азбучную истину: нужно использовать длинные пароли, которые содержат цифры, специальные символы, знаки препинания, а также буквы в верхнем и нижнем регистре. Тогда пароль будет максимально надёжным. Желательно также не связывать пароль с датами рождения и увлечениями — такие пароли быстро взламываются.

— Для простоты создания паролей можно пользоваться формулами. Например, такой: Mase89, где Ma — две первые буквы сайта, где он вводится (в данном случае — mail.ru), se — первые две буквы имени, а 89 — значимое для вас число. Такая формула имеет различные преимущества: для каждого сайта вы создаёте свой уникальный пароль, который легко запомнить. Если же вам кажется, что такой пароль недостаточно надёжен для вас, то вам просто нужно усложнить формулу, — делится своим советом директор компании «Смартсет» Сергей Фоминых.

Основатель и руководитель студии #f90, независимый разработчик, преподаватель курса «Школа мобильной разработки» Валерий Пазюк рассказал корреспонденту «Фонаря», как злоумышленники могут использовать наши данные в своих целях и что нужно сделать, чтобы этого не допустить.

Каким образом пользователь может обеспечить свою кибербезопасность?

— Возросшие количество взломов и значимость безопасности в интернете выработали свод правил, которыми следует пользоваться. Например, нужно приучить себя создавать сложные комбинации паролей, однако, к сожалению, не все могут их запомнить. Тут на помощь пользователей браузеров приходят функция сохранения паролей и форм при регистрации, а также механизм единого хранения этой связки паролей, привязанный к учётной записи браузера или операционной системы. Существуют и специальные программы, расширения для браузеров, которые сохраняют пароли в зашифрованном виде. Они либо «подставляют» нужные комбинации в зависимости от сайта, либо пользователь копирует их вручную. Также некоторые антивирусные комплекты содержат программное обеспечение, позволяющее сохранить пароли, — таким образом разработчики сами заботятся о вашей кибербезопасности.

Однако такая возможность может сыграть злую шутку: если подобные данные «утекут», то в руках злоумышленников могут оказаться все ваши пароли. А это всё равно, что потерять связку ключей! Да и само хранение паролей само по себе технически осуществляется на каком-то облачном сервисе, что хоть и удобно, но подвергает лишней опасности. Так что мастер-пароль, который обеспечивает дополнительную степень безопасности вашим паролям, необходимо делать наиболее сложным. Советую менять пароли с частотой 1–3 месяца.

К примеру, браузер Google Chrome предупреждает пользователей, если ваши пароли были как-то скомпрометированы: если вы их вводили на сайтах, которые были взломаны, или на поддельных сайтах, в названии которого была изменена одна буква. Пароли, сохранённые в учётной записи Google, можно посмотреть здесь. Там же есть ссылки на проведение аудита паролей и вашей безопасности, — пояснил Валерий Пазюк.

Почему же всё-таки слабые пароли могут сыграть злую шутку и к чему приведёт их бездумное сохранение для автозаполнения на различных сайтах?

— Пароль — ваш ключ. Ключ от вашего дома, от офиса, от сейфа с деньгами, от транспорта. Вы же в реальной жизни не используете один ключ для всех дверей и замков, чтобы было удобно? Нет, вы понимаете, что у каждой замочной скважины свой механизм. А оставляете ли вы свои ключи на лавке в парке или в магазине? Можете просто подойти к случайному прохожему, протянуть связку ключей со словами «подержите, пожалуйста» и отвернуться? И снова нет. Такая аналогия наглядно доказывает, что один пароль для всех сайтов — затея неудачная. Если ваш пароль станет известным злоумышленнику, а вы это заметите и замените его на одной сайте, проблемы на этом не за кончатся. Всё равно останется целый фронт атак на вас, потому что вряд ли вы не успеете сменить пароль на остальных сайтах.

Сейчас, когда регистрируешься на различных сайтах, форма регистрации старается помочь вам, оповестив, что ваш пароль слабый. Она предложит усилить его, добавив буквы в разном регистре, знаки препинания и цифры. Чем больше таких приёмов вы используете при составлении паролей, тем лучше. Так специальным программам будет труднее их перебрать: как с помощью простого перебора символов, так и с помощью словарей — готового списка распространённых паролей или слов.

Следует использовать программные комплексы для хранения сложных паролей или придумайте какую-нибудь методику их генерации и запоминания. Слабый пароль из восьми строчных символов можно взломать за 20–30 минут, но если вы добавите разнообразные символы, то сложность возрастёт до пары часов, дней, недель или лет перебора, — объясняет программист.

Существуют ли сервисы, которые могут выдавать пароли пользователей?

— К сожалению, такие сервисы есть, они даже находятся в публичном доступе. Персональные данные — это самый востребованный товар современности. Даже именитые компании собирают цифровые «отпечатки» пользователей, чтобы затем использовать полученную данные для рекламных компаний и оценки целевой аудитории. Такая информация, как ценный товар, распространяется на специальных хакерских форумах. В основном, это пара «email — пароль», однако к одной почте могут быть «привязаны» несколько паролей. Таким образом, ваши данные могут оказаться в руках злоумышленников.

В качестве примера рассмотрим такой вариант развития событий. Иногда злоумышленники, заполучив персональную информацию о вас и учётные данные, подходят комплексно. Сначала они могут под видом службы безопасности банка позвонить и уточнить, совершали ли вы вход в приложение банка, пытались ли вы осуществить перевод на определённую сумму, за компьютером ли вы. Разумеется, вы уже понимаете, что это попытка развести вас на деньги, и заканчиваете разговор. Но злоумышленнику достаточно и этого, чтобы применить социальную инженерию и продолжить атаку. Он уже знает за компьютером ли вы или нет, на сколько вы компетентны, у него на руках куча паролей и ссылок на профили в социальных сетях. Не удивляйтесь, если через одну минуту «вы» в социальных сетях начнёте писать друзьям просьбу занять денег до зарплаты.

Ранее заместитель начальника УМВД области — начальник Следственного управления Юрий Баранов рассказывал журналистам, что чаще всего — в 50 процентах случаев — мошенникам удаётся обмануть белгородцев, когда они проводят операции с банковскими картами. Немного меньше случаев мошенничества (30 процентов) составляют ситуации, когда люди соглашаются перевести предоплату за купленные интернет-товары. А вот к просьбам о помощи с урегулированием вопросов, если на родственника якобы завели уголовное дело, — жители региона относятся уже спокойнее и верят им всего десять процентов тех, кто столкнулся с мошенничеством. Меньше всего белгородцев откликаются на обещанную компенсацию за некачественный товар и получение кредита через интернет.

Если у вас ещё остались сомнения по поводу написанного, то напишите этому телеграм-боту свой адрес электронной почты и вам придёт список ваших паролей, которые вы использовали ранее на различных площадках. Разработчики бота проявили сознательность, поставив «звёздочки» вместо некоторых букв. Если этот бот выдал данные, значит вас давно уже взломали, просто вы об этом ещё не знаете, — предупреждает эксперт Валерий Пазюк.

Чек-лист «Как обезопасить себя в интернете»

1. Всегда придумывайте сложные и длинные пароли, где есть буквы в различном регистре, цифры, специальные символы и знаки препинания.
2. Для каждого сайта создавайте свой уникальный пароль. Если вам трудно их запоминать, тогда придумайте формулу (например, ту, что предлагает руководитель компании «Смартсет» Сергей Фоминых), которая поможет при их создании.
3. Если вы хотите использовать мастер-пароль для безопасного хранения паролей различных сайтов в браузере, тогда придумайте максимально сложную комбинацию.
4. Пароли меняйте каждые 1–3 месяца.
5. Старайтесь не сохранять данные своей банковской карты на различных сайтах.
6. Включите двухфакторную аутентификацию везде, где только можно. В качестве второго фактора не используйте SMS, так как их легко взломать. Лучше — специальное приложение на телефоне, которое генерирует одноразовые пароли.
7. При использовании чужого компьютера или при использовании небезопасного Wi-Fi учитывайте тот факт, что ваши данные могут украсть. Будьте осторожны и внимательны!
8. При телефонном общении с «работниками банка» никогда (!) не называйте данные своей банковской карты, особенно ту комбинацию цифр, что расположена сзади карты, а также код, который вы получите по SMS.