Как крадут пароли (и 10 простых шагов, чтобы защитить их)
Опубликовано: 2022-03-15
«RockYou2021: самая крупная подборка паролей за все время просочилась в сеть с 8,4 миллиардами записей»
«Полиция обнаружила 225 миллионов украденных паролей, спрятанных на взломанном облачном сервере»
К сожалению, в этих заголовках нет ничего нового. Опасности утечки/кражи пароля теперь хорошо известны. Технические волшебники разрабатывают и тестируют инструменты, которые в конечном итоге заменят использование паролей, но не ожидается, что переход будет реализован в полной мере в ближайшее время.
Большинство веб-сайтов и приложений не разрешают аутентификацию с помощью биометрических данных, а это означает, что мы, пользователи, по-прежнему ограничены в использовании скромного пароля. Реальность такова, что многие люди до сих пор не используют менеджеры паролей и повторно используют один и тот же пароль на нескольких веб-сайтах и в приложениях, включая такие важные, как онлайн-банкинг.
Это означает, что принятие мер предосторожности для защиты ваших паролей (опять же, если вы не используете диспетчер паролей) просто необходимо, если вы хотите защитить свои активы.
Прежде чем мы начнем, возможно, лучше взглянуть на то, как происходят утечки/кражи данных, так как понимание процесса может сыграть большую роль в предотвращении этого.
Как взламывают и крадут пароли
Они могут утверждать, что представляют компании, с которыми вели дела их жертвы. Они часто выдают себя за государственных чиновников, включая сотрудников правоохранительных органов, налоговых агентов и сотрудников Управления социального обеспечения. Иногда они утверждают, что звонят от имени членов семьи или друзей жертвы.
Эти преступники будут пытаться передать чувство безотлагательности, возможно, даже угрожая своим жертвам арестом или лишением доступа к льготам, если они не будут действовать немедленно, предоставив запрашиваемую информацию.
Эти учетные данные загружаются в приложения, которые быстро проверяют их на огромном количестве сайтов в надежде найти совпадения и получить доступ. Ежегодно регистрируются сотни миллионов таких атак.
Приложения и функции, которые крадут учетные данные, на самом деле могут быть кейлоггерами, вредоносными программами, которые записывают не только ваши пароли, но и все нажатия клавиш, а затем передают их злоумышленнику.
Вредоносное ПО для кражи учетных данных также может быть встроено в сайты, которые выглядят как сайты авторитетных организаций. Например, злоумышленник может отправить фишинговое сообщение, в котором утверждается, что на банковском счете жертвы наблюдается подозрительная активность и что цель должна войти в свою учетную запись, чтобы немедленно изменить пароль.
Жертва щелкает ссылку в сообщении и попадает на сайт банка, выглядящий законным, где ему или ей предлагается ввести учетные данные для входа в систему, чтобы начать процесс сброса пароля. Это дает злоумышленнику учетные данные банковского счета жертвы.
Некоторые вредоносные похожие сайты создаются в расчете на то, что случайные люди непреднамеренно попадут на них и у них выманят имена пользователей и пароли.
Высокотехнологичная версия этого — атака «человек посередине». Общедоступные сети Wi-Fi часто посещают злоумышленники, которые используют легкодоступные инструменты для мониторинга сетевого трафика и кражи конфиденциальных данных, включая учетные данные для входа в учетную запись, у тех, кто использует сети.
Иногда киберпреступники создают свои собственные общедоступные сети Wi-Fi, которые выглядят так, как будто они принадлежат законным предприятиям, с единственной целью — украсть пользовательские данные. Публичные сети Wi-Fi по своей сути небезопасны.
На самом деле количество используемых паролей продолжает расти, равно как и количество злоумышленников, активно пытающихся их украсть. К защите паролем следует относиться серьезно, поэтому действуйте и применяйте как можно больше из этих советов.
«Полиция обнаружила 225 миллионов украденных паролей, спрятанных на взломанном облачном сервере»
К сожалению, в этих заголовках нет ничего нового. Опасности утечки/кражи пароля теперь хорошо известны. Технические волшебники разрабатывают и тестируют инструменты, которые в конечном итоге заменят использование паролей, но не ожидается, что переход будет реализован в полной мере в ближайшее время.
Большинство веб-сайтов и приложений не разрешают аутентификацию с помощью биометрических данных, а это означает, что мы, пользователи, по-прежнему ограничены в использовании скромного пароля. Реальность такова, что многие люди до сих пор не используют менеджеры паролей и повторно используют один и тот же пароль на нескольких веб-сайтах и в приложениях, включая такие важные, как онлайн-банкинг.
Это означает, что принятие мер предосторожности для защиты ваших паролей (опять же, если вы не используете диспетчер паролей) просто необходимо, если вы хотите защитить свои активы.
Прежде чем мы начнем, возможно, лучше взглянуть на то, как происходят утечки/кражи данных, так как понимание процесса может сыграть большую роль в предотвращении этого.
Как взламывают и крадут пароли 
Угадывание - самый простой способ
В 2020 году было обнаружено, что тремя наиболее распространенными паролями являются «123456», «123456789» и «пароль». При поиске с использованием инструментов, доступных на HaveIBeenPwned (определенно стоит посетить), было обнаружено, что эти пароли появлялись десятки миллионов раз во время сканирования взломанных данных. Вот результаты отчетности по состоянию на январь 2022 года:- 123456 - 37 359 195 матчей
- 123456789 - 16 629 796 матчей
- пароль - 9 545 824 появления
Фишинг и другие варианты атак социальной инженерии
Киберпреступники часто напрямую связываются со своими жертвами по телефону (вишинг), электронной почте (фишинг), текстовым сообщениям (смишинг) или через учетные записи в социальных сетях. В этих атаках мошенники обычно выдают себя за других, чтобы убедить своих жертв предоставить конфиденциальную информацию, например учетные данные для входа.Они могут утверждать, что представляют компании, с которыми вели дела их жертвы. Они часто выдают себя за государственных чиновников, включая сотрудников правоохранительных органов, налоговых агентов и сотрудников Управления социального обеспечения. Иногда они утверждают, что звонят от имени членов семьи или друзей жертвы.
Эти преступники будут пытаться передать чувство безотлагательности, возможно, даже угрожая своим жертвам арестом или лишением доступа к льготам, если они не будут действовать немедленно, предоставив запрашиваемую информацию.
Атаки грубой силы и начинки
Как уже упоминалось, у хакеров есть инструменты, которые могут быстро генерировать случайные пароли и проверять их, чтобы определить, будут ли они предоставлять доступ к целевым учетным записям. Стаффинг, который является разновидностью брутфорса, включает в себя использование ранее украденных учетных данных, раскрытых при взломе и доступных преступникам через даркнет.Эти учетные данные загружаются в приложения, которые быстро проверяют их на огромном количестве сайтов в надежде найти совпадения и получить доступ. Ежегодно регистрируются сотни миллионов таких атак.
Вредоносное ПО для кражи учетных данных
Ваши устройства могут быть заражены вредоносной программой для кражи учетных данных, когда вы нажимаете на вредоносные ссылки в фишинговых сообщениях электронной почты, открываете зараженные вложения электронной почты, случайно посещаете веб-сайт злоумышленника или устанавливаете приложение, полученное из ненадежного источника.Приложения и функции, которые крадут учетные данные, на самом деле могут быть кейлоггерами, вредоносными программами, которые записывают не только ваши пароли, но и все нажатия клавиш, а затем передают их злоумышленнику.
Вредоносное ПО для кражи учетных данных также может быть встроено в сайты, которые выглядят как сайты авторитетных организаций. Например, злоумышленник может отправить фишинговое сообщение, в котором утверждается, что на банковском счете жертвы наблюдается подозрительная активность и что цель должна войти в свою учетную запись, чтобы немедленно изменить пароль.
Жертва щелкает ссылку в сообщении и попадает на сайт банка, выглядящий законным, где ему или ей предлагается ввести учетные данные для входа в систему, чтобы начать процесс сброса пароля. Это дает злоумышленнику учетные данные банковского счета жертвы.
Некоторые вредоносные похожие сайты создаются в расчете на то, что случайные люди непреднамеренно попадут на них и у них выманят имена пользователей и пароли.
Плечевой серфинг и атаки «человек посередине»
Термин «серфинг через плечо» описывает тактику просмотра через чье-то плечо, чтобы посмотреть, что находится на его компьютере или дисплее устройства, и попытаться обнаружить пароли или другую конфиденциальную информацию.Высокотехнологичная версия этого — атака «человек посередине». Общедоступные сети Wi-Fi часто посещают злоумышленники, которые используют легкодоступные инструменты для мониторинга сетевого трафика и кражи конфиденциальных данных, включая учетные данные для входа в учетную запись, у тех, кто использует сети.
Иногда киберпреступники создают свои собственные общедоступные сети Wi-Fi, которые выглядят так, как будто они принадлежат законным предприятиям, с единственной целью — украсть пользовательские данные. Публичные сети Wi-Fi по своей сути небезопасны.
Как защитить свои пароли от взлома за 10 простых шагов
Ниже приведены стратегии, которые вы можете легко реализовать для защиты ваших паролей, ваших учетных записей и вашей конфиденциальной информации:- Основное эмпирическое правило: получите менеджер паролей/хранилище. Это приложения, специально разработанные для обеспечения безопасности вашего пароля. С ними все, что вам нужно сделать, это просто запомнить один мастер-пароль (все еще соблюдая приведенные ниже правила!)
- Не включайте настоящие слова. Если возможно, придумайте свои собственные слова, которые вряд ли будут «угаданы» (например, «Радамабла»).
- Не используйте дни рождения и другие легко идентифицируемые данные о себе (например, фамилию).
- Не используйте слабые (упрощенные) пароли. Ваши пароли должны быть длинными, сложными и содержать буквы верхнего и нижнего регистра, цифры и специальные символы.
- Используйте разные пароли для каждой из ваших учетных записей. Если одна учетная запись будет скомпрометирована, другие учетные записи не будут в опасности из-за того, что они используют одни и те же учетные данные (особенно не повторяйте пароли для учетных записей электронной почты и финансовых учетных записей).
- Используйте 2FA (двухфакторную аутентификацию) везде, где это возможно. Это добавляет еще один компонент в процесс входа в систему. В большинстве случаев это PIN-код, который отправляется на ваше устройство в текстовом или электронном письме. Если злоумышленник сможет украсть ваши учетные данные для входа, он все равно не сможет завершить вход без этого дополнительного фактора.
- Если вы не уверены, что можете доверять источнику сообщения электронной почты, текста или сообщения в социальных сетях, и особенно если в сообщении есть что-то необычное или подозрительное, вам следует избегать открытия каких-либо вложений или нажатия любых включенных ссылок.
- Когда вы посещаете веб-сайты, убедитесь, что они используют HTTPS. Запертый замок должен отображаться слева от URL-адреса сайта в верхней части браузера, указывая на использование этого протокола безопасности. Некоторые преступники теперь начали использовать HTTPS на своих сайтах, поэтому этот метод не на 100% эффективен для защиты вашей информации от мошенников, но следование этой рекомендации поможет вам избежать вредоносных сайтов.
- Убедитесь, что операционные системы на ваших устройствах обновлены и настроены на автоматическую загрузку и установку обновлений. Кроме того, убедитесь, что на всех ваших устройствах установлены антивирусные и антивирусные приложения.
- Избегайте использования общедоступной сети Wi-Fi, если только ваше устройство не оснащено приложением виртуальной частной сети (VPN) и оно не используется. Виртуальные частные сети шифруют данные, передаваемые на ваше устройство и с него. Даже если он будет перехвачен злоумышленником, данные не могут быть декодированы и прочитаны. Если у вас нет VPN и вы должны использовать общедоступный Wi-Fi, избегайте входа в какие-либо учетные записи и отправки конфиденциальной информации через службы обмена сообщениями.
Последние мысли
Более десяти лет технические издания предсказывали конец пароля, но он все еще здесь.На самом деле количество используемых паролей продолжает расти, равно как и количество злоумышленников, активно пытающихся их украсть. К защите паролем следует относиться серьезно, поэтому действуйте и применяйте как можно больше из этих советов.