Как защититься от хакерских атак? 12 правил надежного пароля

Как защититься от хакерских атак? 12 правил надежного пароля

Григорий Земсков Начальник управления, Москва

Дабы взломать ваш сайт либо аккаунт, хакерам потребуется всего один сутки. Григорий Земсков поведает о секретах надёжных паролях и информационной безопасности.

Изучения зарубежных и русских компаний, которые оказывают услуги информационной безопасности, систематично дают предупреждение обладателей сайтов о том, что интернет делается все более небезопасной средой. Растущее число веб-атак и возрастающая активность хакерского сообщества накладывают определенные требования к работе в новом информационном пространстве.

Но, пока представители киберсекьюрити все больше рассуждают о высоких разработках и проактивных способах защиты, выясняется, что многие веб-администраторы, трудящиеся с доступами к разного рода данным, пренебрегают такими несложными и элементарными правилами безопасности, как применение надежных паролей. Обычно ненадежный пароль делается тем самым «не сильный звеном», в результате которого взламываются и компрометируются корпоративные совокупности. По итогам изучения компании Trustwave, более четверти инцидентов, которые связаны с безопасностью, случились в следствии применения администраторами совокупностей не сильный паролей.

Trustwave проанализировала 574 случаев взлома, зафиксированных в 15 государствах. Оказалось, что 28% несанкционированных вторжений произошли из-за уязвимых паролей.

Российская Федерация в данный перечень не вошла, но эта тема Рунету знакома. Опираясь на личный «стаж работы» в сфере информационной безопасности – оказывая услуги по защите и лечению сайтов от взлома – мы вынуждены признать, что неприятность не сильный паролей для входа в совокупности аккаунтов хостинга и администрирования сайтов имеет место быть, и на сегодня есть очень актуальной.

Во всем виновато шаблонное мышление

Отыщем в памяти привычный многим тест. Не думая, назовите первое, что придет в голову из категорий:

1) фрукт,

2) часть лица,

3) русский поэт,

4) цветок,

5) страна.

Это «яблоко», «шнобель», «Пушкин», «Россия» и «роза»? Как правило стандартные ответы россиян будут как раз такими. Речь заходит о предсказуемости мышления человека. В то время, когда совокупность «требует» пользователя придумать пароль при создании аккаунта либо регистрации на сайте, то человек частенько мыслит шаблонно, вбивая в поле «пароль» в полной мере стандартные, распространенные слова либо комбинации. Именно на шаблонность людской мышления и делают ставку преступники, в то время, когда пробуют «предугадать» пароли пользователей от самых различных веб-работ. Делается это, само собой разумеется, не вручную, а посредством особых программ, каковые за секунды выбирают тысячи комбинаций, генерирующихся с учетом известных параметров, которыми руководствуются пользователи при создании паролей.

Наряду с этим программы легко вычисляют пароли, состоящие как из одного слова, так и самые популярные комбинации цифр и слов.

Компания WP Engine совершила изучение, в котором проанализировала базу из 10 млн скомпрометированных паролей, созданных самой разношерстной публикой интернета – от председателей совета директоров до ученых. Результаты анализа были очень любопытны – приводим кое-какие из них.

самые популярными паролями были весьма цифровые комбинации и простые слова:

Разумеется, что при создании таких паролей люди думают, первым делом, не о безопасности собственных данных, а о простоте воспроизведения парольной комбинации в будущем. Но с определенного момента пользователи стали осознавать, что добавление цифр в конце пароля делает его более надежными. Действительно, эти самые цифры были не через чур сложными.

Около 420 тыс. из 10 млн паролей (это практически 10%) заканчивались числами от 0 до 99, наряду с этим практически в каждом пятом пароле была добавлена цифра «1».

При создании паролей пользователи довольно часто выбирают на клавиатуре комбинации, каковые легко запомнить и возможно машинально повторить. Исходя из этого комбинации клавиш, расположенных рядом, завоевали популярность среди многих пользователей, не думающих о последствиях собственного легкого выбора. Логично, что чаще всего видящимися паролями стали: qwerty; qwertyuiop; 1qaz2wsx; qazwsx; asdfgh и без того потом.

All we need is love

К удивлению исследователей, одним из самые популярных слов, применяемых в паролях, стало слово love. Раздельно и в комбинациях это слово встретилось 40 тыс. раз из 10 млн выборки паролей. Примечательно, что слово love намного чаще фигурирует в паролях более молодых поколений:

Кстати, пользователи женского рода применяют слово love чаще, чем пользователи мужского: согласно данным изучения Технологического университета университета Онтарио (UOIT), комбинация ilove[мужское имя] виделось в четыре раза чаще, чем ilove[женское имя]. Сейчас вы осознаёте, из-за чего к созданию паролей необходимо относиться весьма и весьма без шуток? Чем «неудобнее» и сложнее для воспроизведения пароль, тем ниже риски взлома вашего аккаунта преступниками.

Ниже мы организовали перечень правил для тех, кто желает повысить защищенность собственного онлайн-бизнеса и не превратиться в очередную жертву преступника из-за применения не хватает надежных паролей либо нарушения правил безопасности при работе с доступами.

Каким должен быть пароль и как трудиться с тайными данными в «надёжном режиме»?

1. Представители киберсекьюрити утверждают: протяженность пароля должна быть не меньше 10 знаков. Согласно данным изучения Trustwave, комбинация пароля, складывающаяся из восьми знаков, возможно взломана преступником за один сутки. В то время как пароль из 10 и более знаков вынудит интернет-мошенника изрядно попотеть: на его взлом смогут уйти десятки месяцев.

2. Пароль обязан содержать различные знаки – строчные и прописные буквы, цифры, символы. Наименее уязвимыми считаются пароли, сгенерированные по случайному принципу, типа sdl@GK93m**Hlk. Популярные заглавия, личные имена, даты рождения, номера телефонов – легкая добыча преступников.

Такие пароли скоро вычисляются в рамках брутфорс-атаки.

3. Ни при каких обстоятельствах нельзя быть уверенным на 100% в том, что текущий пароль не перехвачен преступником (хакер может им воспользоваться не сходу). Нередкая смена пароля снижает риски, что у кого-то не считая вас на данный момент имеется доступ к вашей тайной информации.

4. Часто веб-администраторы применяют одинаковый пароль для входа в различные совокупности. На языке безопасности это указывает, что преступнику достаточно перехватить один пароль, дабы совершить «комплексную» компрометацию данных. Для входа в различные совокупности необходимо применять различные пароли.

5. Мысль запомнить все пароли поразительно привлекательна, но не все пользователи являются адептами мнемотехники. Для хранения паролей существуют более эргономичные современные ответы в виде программ – надёжных менеджеров паролей. К примеру, программа KeePass.

6. А вот где совершенно верно нельзя хранить пароли – так это в браузерах, «связках ключей», FTP-менеджерах. Автосохраненные пароли так смогут скоро стать добычей преступников либо вредоносной программы. «Троянец-вор», обосновавшийся на компьютере пользователя, способен похитить сохраненные эти совсем незаметно для их обладателя.

7. Окончательно забудьте о таковой довольно часто применяемой функции на сайте, как «запомнить меня на этом компьютере». Эта функция реализуется посредством cookie. В случае если преступнику удастся перехватить ваши cookie (при подключении) либо похитить с сайта (через XSS), то он сможет авторизоваться в личном кабинете на сайте уже без пароля.

8. В случае если имеется возможность, вводите пароль не с простой, а виртуальной клавиатуры. Виртуальные клавиатуры защищают от кейлоггеров – мошеннических программ, каковые регистрируют нажатие клавиш либо кликов мыши и передают взятую данные хакерам.

9. Обладатели сайтов довольно часто обращаются к помощи сторонних экспертов, предоставляя административный доступ к собственному ресурсу сходу всем подрядчикам, что небезопасно. Каждому эксперту нужно создавать собственный персональный доступ, дабы проследить, какие конкретно действия совершил конкретный подрядчик. По окончании завершения работ пароли нужно поменять или полностью удалить учетную запись пользователя.

10. Мы довольно часто решаем деловые вопросы, подключаясь к сети в публичных местах. Но работа в открытых Wi-Fi-сетях – кафе, торговых комплексах либо аэропортах – неизменно сопряжена с риском перехвата ваших тайных данных программами-анализаторами трафика (снифферами). Что делать в таких случаях?

Применять надёжное VPN-подключение.

11. Работа с доступами по незащищенному трафику может стать началом финиша: незащищенный трафик уязвим – увы, но перехватить и изучить незашифрованный трафик с доступами, тайными данными, личной перепиской и другой «вкусной» информацией сейчас смогут кроме того школьники. Для онлайн-коммуникаций, отправки и приёма email, работы по FTP направляться применять надёжный канал для подключения (SSL/TLS/HTTPS).

12. Хороший вариант для увеличения защищенности тайных данных и усиления контроля над доступами – двухфакторная аутентификация. Это усложненная схема подтверждения личности пользователей, в то время, когда вы сперва вводите пароль и логин для входа в совокупность, а после этого подтверждаете, что вы – это вы, применяя код верификации, полученный по SMS, через токен либо особое приложение. Двухфакторная аутентификация – надежная страховка от кражи доступов преступниками: кроме того в случае если мошенник и перехватит пароль, воспользоваться им он не сможет.

В современной цифровой действительности недостаточное внимание к вопросам информационной безопасности угрожает печальными последствиями – от маленьких проблем, с которыми смогут столкнуться обладатели сайтов, до полной утраты контроля над веб-ресурсом. Самое время задуматься о увеличении защищенности бизнеса в онлайн-среде и совершить аудит безопасности собственного сайта. И начать возможно с несложного – проверки собственного пароля на неуязвимость и надёжность.

Как обезопасисть MongoDB от хакерских атак. лечение и Профилактика от kraken ransomware virus.


К прочтению:

самые интересные статьи, подобранные как раз для Вас:

spacer