Кібероборона. Випуск 3. Парольна система

Кібероборона. Випуск 3. Парольна система

Сучасний цифровий світ – це не тільки про можливості, а й про загрози. Адже там, де є доступ до будь-яких ресурсів (чи це фінанси, чи особиста інформація, чи персональні дані), одразу ж проявляють активність зловмисники. Одним із найважливіших компонентів цифрової безпеки є пароль. Так-так, банальний, звичний, а для декого ще й не обов'язковий. Однак саме він виконує роль невидимого щита перед потенційними загрозами. І в багатьох випадках злом, викрадення інформації, доступ до особистих даних, крадіжки в онлайні стаються саме через слабкий пароль. Чому надійна парольна система – це важливо? Як створити надійні паролі? А ще – як правильно їх зберігати? Розповідає інженер із кібербезпеки компанії OptiData Владислав Радецький. 

0:00 0:00
10
1x

колаж: Українське Радіо


Владислав Радецький: Багатьом людям важко вибрати правильний пароль. Тому я нагадаю, що з точки зору інформаційної безпеки стійким, або надійним вважається парольна фраза з двох слів, яка містить від 10 до 12 символів бажано.  І там крім великих і малих літер має бути ще хоча б кілька цифр і хоча б один спецсимвол. Це основні такі стандартні вимоги до стійкого паролю.  Крім того, якщо ми вже говоримо про більш серйозний підхід, пароль, або парольна фраза не мають містити тих речей, які про людину можна дізнатися з її сторінки у соціальній мережі. Це часто психологія. Якщо ми візьмемо, скажімо, десять людей випадкових і попросимо їх просто придумати, навіть не пароль, а просто придумати якесь слово, більшість з них, приблизно 90 відсотків, вони перш за все згадають те, що їм подобається. Хтось любить читати книги. Комусь подобаються музичні гурти. Він пригадає, чи назву з пісні, чи слова пісні. І так далі і тому подібне. На цьому моменті дуже багато людей спотикаються, бо вибирають в якості паролю або клички домашніх улюбленців, і так далі і тому подібне. Це має бути те, що не властиве людині. Як приклад, я завжди наводжу, кому важко, то – я суджу по собі – я, людина, яка працює з комп’ютерами, отже в моїх паролях не повинно бути нічого з айтішної термінології. Тобто, ніяких там команд, ані лінукс, віндовз і так далі. Я приводжу по собі опера і вальс. Я не є шанувальником опери. Я не ходжу на танці. Відповідно я про це ніколи не писав, ні з ким не ділився, а значить це буде важко приписати саме мені. бажано пароль придумувати або самому. І я рекомендую це не з першої спроби робити. А зробити кілька спроб. Потім подивитися критично що вийшло. Краще за все, коли людина бере аркуш паперу і олівець, або ручку. І пробує і записує. Записали раз. Ага! Недостатньо символів. Або недостатньо складних. Записали другий. А, це можна сказати, бо я це виставляв у фейсбук, або в інстаграмі. На третій раз – о! Оце вже таке, що не схоже, і це вже більш складне. По такому принципу.

Владислав Радецький. Фото: radetskiy.wordpress.com

Попри важливість надійної парольної системи, користувачі в усьому світі продовжують обирати легкі, невигадливі паролі. Компанія NordPass, розробник однойменного менеджера паролів, проаналізувавши майже 4,5 терабайти паролів, що потрапили у загальний доступ внаслідок витоків даних, опублікувала топ–20 паролів, які найчастіше використовувалися у 2023 році. Якщо коротко підсумувати – користувачі наступають на ті самі граблі. Міркуйте самі – на першому місці пароль 123456. Ним свої акаунти захищали 4 млн 524 тисячі разів. У компанії зазначають, що на злом такого пароля сучасним системам перебирання знадобиться менше секунди. Такими ж легкими для злому є паролі "адмін" (він на 2-му місці), комбінація цифр 12345678 (3-тє місце), 123456789 (4-те місце) та 1234 (5-те місце). Цікаво, що кожного року ці паролі залишаються на перших місцях.

І тут кожен із нас, хто мав справу з вибором пароля, мабуть, згадає, що часто система може запропонувати свій пароль. Причому він видається доволі надійним, адже складається з набору різних літер, цифр і символів.  Та чи надійні такі паролі? Говорить викладач факультету інформатики Києво-Могилянської академії Трохим Бабич.

Трохим Бабич: Настільки надійні, що до першого злому вашої скриньки, де вони і зберігаються. Тому що, розгортаючи тему паролів, найнадійніший пароль, це той, який знаєш тільки ти, який тільки до одного акаунту відноситься, і який в ідеалі ніде не записаний. В ідеалі. Тому що, якщо казати про листочки. Далеко не ходити. Французька телерадіокомпанія Фердвекс, якщо не помиляюсь. Зламали. Тому що на одному стрімі на студійному обладнанні у них висів стікер, маленький кольоровий листочок, на якому був їх логін і пароль від Твіттера. І, відповідно, під час трансляції це зауважили, там буквально на 5–тій хвилині цього стріму Твіттер було отримано. Найменший ризик лишається, це парольні менеджери, так звані, це окремі програми, це не вбудовані в браузер, а окремі програми, які це зберігатимуть. Але, кібербезпеки завжди може бути багато, але ніколи не буде достатньо. Тому що є прецеденти, коли навіть всіх провайдерів ламали. Я вже не пам’ятаю, чи був там витік з цими паролями, чи не був, але тим не менш, навіть з цим, на жаль, спати спокійно на сто відсотків не можна ніколи. 

Трохим Бабич. Фото: skovoroda.ukma.edu.ua

Пароль – це перший ступінь або перший фактор захисту від зламу облікового запису. І, як стає зрозуміло, дуже важливо подбати про його надійність. Адже якщо хакери викрадуть пароль, то під загрозу потраплять усі наші особисті дані, документи, важливі листування та багато іншого. Тож як захистити свій пароль? Розповідає Владислав Радецький, інженер із кібербезпеки компанії OptiData.
 
Владислав Радецький: Тут є кілька варіантів. Раніше було прийнято зневажати людей, які записували паролі, і залишали ці папірці з паролями або під клавіатурою, або взагалі клеїли їх на монітор. Зараз більшість користувачів, не залежно від того, за якою операційною системою вони працюють, чи це віндовз, чи це маккуест,  вони частіше за все користуються функцією збереження паролів в браузерах. З точки зору інформаційної безпеки, це – ризик. Тому що, якщо людина буде необережна, і якщо вона або перейде за шкідливим посиланням, або відкриє спеціально підготовлену приманку–документ з фішингового листа, вона може заразити свою систему. І більшість з вірусів, які проходили через мої руки, вони в першу чергу спрямовані на те, щоб збирати збережені паролі і передавати власнику. Тобто, ціль номер один – це збережені в браузерах паролі. Тому для людей я завжди пропоную три варіанти. Перший – він ідеальний, але, на жаль, мало хто собі може дозволити. Це – придумувати пароль і намагатися їх тримати в пам’яті. Це було нормально, коли не було такої великої кількості облікових записів. Зараз у більшості з нас від 10 до 50 різних реєстрацій, різних акаунтів. І, зрозуміло, що пам’ятати повністю це не можливо. Другий сценарій. Є додатки, які називаються менеджери паролів. Або парольні менеджери. Їх небагато. Вони є різні. Є безкоштовні. Є платні. Є ті, які зберігають усі паролі, усі облікові записи локально. Звичайно, вони захищають і шифрують. Є ті, які синхронізуються з хмарою. Тобто, людина завела акаунт один раз. Там позаписувала всі свої секрети. І в неї цей парольний менеджер доступний з комп’ютера і з мобільних пристроїв. Це зручно, але знову ж таки це більш ризиковано. Якщо людина ще жодного разу не пробувала цим користуватися, я можу порекомендувати спробувати. Є безкоштовний варіант швейцарська компанія "Proton". Вони буквально півроку тому презентували свою версію, своє бачення того, як має працювати менеджер паролів, називається ProtonPass. Для того, щоб ним скористатися, потрібно просто зареєструвати обліковий запис на їхньому сайті. Третій варіант коли я починав свою кар’єру в АйТі, це було не прийнято, за це могли зневажати. Але зараз, враховуючи те, як усе змінилося. Як для деяких користувачів, роблю так би мовити, знижку, або спрощення, і я кажу, що у деяких випадках, коли людині складно запам’ятати, коли людина з якихось причин не хоче користуватися парольними менеджерами, я допускаю, що людина бере – тільки не нотатки в телефоні, тільки не якийсь текстовий файл на робочому столі в жодному разі – людина бере звичайний записник, записує туди свої паролі. Але єдина умова, що цей записник людина не носить з собою постійно. Цей записник у неї лежить вдома, бажано в якійсь шухляді, яка зачиняється, або на робочому місці в сейфі. Тобто, коли вона може контролювати фізичний доступ до цього записничка.

Один із найвідоміших способів викрадення паролів – фішинг. Це коли кіберзлочинці надсилають електронні листи нібито від відомих організацій, друзів або колег жертви. Отриманий електронний лист може мати правдоподібний вигляд і не викликати підозри, але містити шкідливе посилання чи вкладений файл. Що відбувається, коли користувач свідомо або несвідомо відкрив таке посилання? Пояснює директорка Центру медіааналітики "Cyber Media Track" Анастасія Кондрико.

Анастасія Кондрико: Тут можуть бути декілька варіантів. Якщо ми говоримо про фішинговий ресурс, то там, скоріше за все, їй будуть намагатися нав'язати здійснити певний платіж. Ввести дані своєї фінансової картки, CVV код, номер цієї картки, термін дії картки, і так далі. І в такий спосіб отримати доступ до всієї  картки загалом. Може бути інша історія. Ну, тут в залежності від того, наскільки людина захищає свої облікові записи і захищає свої інші акаунти. Зрештою, ми навіть часто можемо не побачити наслідки, які відбулися. Напевне, чули про різне вірусне програмне забезпечення, шкідливе програмне забезпечення. Це – інфостіллери, скелогери, бекдори і так далі. Ці віруси, коли потрапляють на наш гаджет, вони є абсолютно непомітні для нашого ока. І, поки ми з кимось листуємося, і нам здається, що ми здійснюємо свою діяльність абсолютно конфіденційно, хтось може повноцінно відстежувати нашу активність і зчитувати усе наше листування. Або нишпорити у наших папках і шукати все те, що може бути схожим на паролі. Третя історія найнеприємніше. Це – бекдори.  В такий спосіб ми можемо надати комусь повноцінний доступ до свого гаджету. І без нашої участі та бажання ця особа може вмикати камеру та мікрофон нашого ноутбука, або персонального комп’ютера. А ми навіть не будемо знати про те, що це відбувається. Це особливо неприємно. Ну, і, зрештою, звичайно, може тягнути за собою досить неприємні наслідки для нашої фінансової безпеки, безпеки наших персональних даних, і навіть фізичної зокрема. 

Анастасія Кондрико. Фото: "Cyber Media Track"

Сьогодні кожна людина має до ста і навіть більше облікових записів у різних сервісах, для яких потрібно запам’ятати дані для входу. Тому не дивно, що часто користувачі намагаються спростити собі життя, використовуючи на різних сайтах однакові комбінації для входу. Однак саме паролі часто є тим єдиним бар’єром, що стоїть між кіберзловмисником та конфіденційними даними жертв. А ще – це віртуальні ключі до онлайн–банкінгу, електронної пошти, соціальних мереж, стрімінгових платформ, служб таксі та доставки, а також усіх даних, розміщених у хмарних сховищах. Що відбувається, коли наш пароль або паролі зламали? І як діяти в такому випадку? Говорить інженер із кібербезпеки компанії OptiData Владислав Радецький.

Владислав Радецький: Тут трошки складно, тому що для багатьох людей, які не дотичні до галузі інформаційної безпеки, багато людей усвідомлюють що щось сталося занадто пізно. Дуже складно одразу зрозуміти, що ти втратив свої облікові дані по тій причині, що хтось взяв пароль. Якщо у людини, скажімо, не були облікові записи захищені додатково другим фактором, цими одноразовими кодами з додатків, або апаратними токенами, людина може місяцями не знати, що чужі люди отримали доступ до її документів, або до переписок. Як правило, більшість із постраждалих, більшість із жертв помічають  тільки коли файли недоступні, або файли спотворені. Це коли ми говоримо про результати роботи вірусів–шифрувальників. Тобто, те, що називається "ранцем вф". А якщо людина просто чи вибрала неправильний пароль, скажімо, недостатньо складний, чи людина не активувала захист через використання другого фактору, людина може собі далі користуватися соціальною мережею, месенджером, чи там корпоративною поштою, і може не знати, що туди заходить не тільки вона. Тому саме цей момент, саме питання типу що робити коли зламали, давайте так, по–чесному, більшість людей пропускають оцей момент зламу, і вони вже звертаються по допомогу, або починають бити на сполох, тільки тоді, коли їх файли пошифровані, або коли з їх акаунтів в соцмережах, чи в месенджерах починають розсилати якийсь небезпечний контент. Отоді! Тому спочатку я б порекомендував періодично перевіряти наявність своїх облікових даних у вільному доступі в Інтернеті. Є така річ, як зливи персональних даних. Або ще їх називають бази паролів, чи дампи. По–різному це іноді кажуть. Суть одна. Кожен з нас має багато облікових записів. Ми реєструємося на сайті в онлайн магазині, ми реєструємося на форумах, на якихось сайтах новин. Ми всюди залишаємо як мінімум зв’язку – свій логін і пароль. Проблема в тому, що ми не можемо проконтролювати, ми не знаємо наскільки обережно ці адміністратори того, чи іншого ресурсу, ставляться до захисту наших персональних даних. І час від часу стається так, що ці сервіси, ці портали зламують, їх компрометують. І викрадають базу з логінами і паролями. І можуть зразу виставити на продаж, якщо там не знайшлося покупця, через певний час воно починає вже по Інтернету розповсюджуватися безкоштовно. Так от, гарний варіант для людей, які дбають про свою цифрову безпеку, це періодично перевіряти наявність своїх робочих, або корпоративних адресів електронної пошти і персональних електронок. Зокрема, хоча б тих, до яких прив’язані мобільні телефони. Тобто, якщо андроїд, то це гуглівський акаунт, якщо Apple, то це Apple ID. Як це можна зробити? Є в Інтернеті дуже відомий популярний ресурс haveibeenpwned – це на сленгу безпечників "Чи мене зламали?" Він адмініструється відомим американським дослідником Троєм Хантом. І на цьому сайті кожен бажаючий може в поле пошуку ввести адресу електронної пошти. І, якщо, не дай боже, так сталося, що якісь із тих сайтів, де я, чи ви реєструвалися, якщо їх зламали і це десь спливло в Інтернеті,  то цей сайт одразу повідомить, що ось, дивись, он там, наприклад, пару років тому був злам популярної соцмережі LinkedIn, і твої облікові дані засвітилися в Інтернеті. І людина вже розуміє: так, ага, мені треба негайно зайти на LinkedIn, зайти під своїм обліковим записом, обов’язково змінити пароль, і перевірити, чи я включив захист через використання другого фактору. Це – превентивна міра. І бажано це періодично перевіряти. Я так всім рекомендую. Інша справа, якщо людина, наприклад, працювала і відкрила якийсь документ і зрозуміла, що вона зробила помилку. Наприклад, там мав бути якийсь, як часто це буває, рахунок на оплату, або там якась повістка з суду, чи ще щось. Людина відкриває документ. Документ пустий. Або документ взагалі якийсь з російським шаблоном. І людина розуміє, що, напевне, десь щось почалося якесь зараження. В цьому випадку той пристрій, з якого було зроблено, або перехід за посиланням, або відкриття документу, він вже не може вважатися довіреним. І людині потрібно пересісти або за інший комп’ютер – звичайно не у всіх є можливість, але бажано! – пересісти за інший пристрій, і позаходити в усі свої облікові записи, в усі свої акаунти, позмінювати паролі, подивитися активні сесії. Якщо є якісь активні сесії чи з інших країн, чи з інших міст, як правило, більшість соціальних переж дозволяють показувати і вони можуть сповіщати користувача, до прикладу, якщо людина постійно в останні кілька місяців, або в останні кілька років вона завжди користується Фейсбук з Києва, то соціальна мережа сповістить, якщо була спроба заходу, кажімо, з Нідерландів, або там , не дай боже, з Ростовської області, якось так. Тобто, якщо людина зрозуміла, що вона зробила щось неправильне, і там щось відкрилося, чи там… Знову ж таки, це не завжди одразу очевидно, це не завжди одразу видно. Тому, це дуже таке складне питання. Тому що, без сторонньої допомоги, без втручання хоча б фахівця з служби підтримки, навіть. У державних і у приватних є або IT helpdesk, або адміністратори. Без втручання людей, які можуть швиденько перевірити там перелік запущених процесів, подивитися мережеві з’єднання, подивитися список автозавантажень і т. д. і т. п., звичайний користувач без досвіду, як правило, не зможе на будь–якій системі. Це стосується що віндовса, що лінокса, що мака. Звичайний користувач не зможе сам у себе діагностувати чи в нього на системі запустився якийсь шкідливий код, чи не запустився. 

Створення надійного пароля – це перший і один з найважливіших кроків у забезпеченні своєї цифрової безпеки. Якщо ви досі не переймалися наявністю чи надійністю пароля, то час це зробити. І передусім подбати про надійний парольний захист для таких основних сервісів як поштова скринька, банківський акаунт, акаунти сайтів, де відбуваються інтернет–покупки (адже саме там зберігаються дані банківських карток), а також акаунти у соціальних мережах.
 

Цей матеріал підготовлено в рамках "Всеохопної інформаційно-просвітницької кампанії з протидії дезінформації", що впроваджується Українським радіо та Smart Angel у співпраці з експертними організаціями за фінансової підтримки Європейського Союзу. Його зміст є виключною відповідальністю редакції програми і не обов'язково відображає позицію ЄС.