Используйте разные пароли

1 Введение

Для чего вообще нужны пароли? Это информация, которая известна только вам и проверяющему, чтобы доказать, что вы — это вы. Как только она становится известна кому-то еще, безопасность снижается.

У паролей существует сложность. Чем пароль сложнее, тем дольше он способен противостоять угадыванию или подбору. Комбинация вашего сотового телефона и дней рождений родственников — это не сложный пароль, его легко угадать. Но если добавить к этому какой-то набор символов, например, букв в произвольном порядке, сложность пароля увеличивается, ведь придется перебрать громадное количество комбинаций.

В фильмах часто показывают, как хакеры «угадывают» по очереди каждый символ пароля. Это далеко от реальности: пароль либо подходит целиком, либо нет. Поэтому остается либо перебирать все возможные комбинации, либо угадывать.

От перебора многие системы защищены, ограничивая попытки ввода. Например, при использовании банкомата можно ошибиться только три раза, вводя пинкод, потом придется обращаться в банк с удостоверением личности, которое в комбинации с вами тоже является своеобразным паролем.

У хакеров есть множество путей добраться до вашей информации. Например:

• Искать уязвимости в системе — вроде способа вводить неограниченное количество паролей без блокировки.
• Использовать социальную инженерию. Беспечность — страшная черта многих людей. Вам звонят из якобы банка и просят сообщить пароль, пришедший на телефон? Почему бы и нет, что тут может быть опасного (сарказм)?
• Воспользоваться добытыми ранее знаниями о вас для угадывания пароля.

О последнем пункте я и хочу поговорить.

2 Беда может придти к каждому

Когда трава была зеленее, вместо Гугла я пользовался поиском от Рамблера. Сейчас на главной странице сайта нагромождение новостей, но раньше была неплохая поисковая система и интересный каталог сайтов. Потом у них что-то пошло не так: поисковая выдача начала выдавать неадекватный результат, я перешёл к Гугле и заодно зарегистрировал там почтовый ящик. Рамблер потерял еще одного посетителя.

Даже успешное начинание (16 лет назад сайт был самым посещаемым в России) можно спустить в унитаз. Качество — изменчивое свойство, сейчас от того Рамблера нет и следа.

Ошибки случаются у всех. Только одни делают выводы и идут дальше, другие начинают юлить. Второе произошло в важное для сайта время — был 2012 год, сайт подвергся структурным изменениям, на главной появились те самые желтушные новости, что видим сейчас. Тогда хакеры получили доступ к, наверное, всем зарегистрированным там почтовым ящикам.

Чтобы прояснить ситуацию, процитирую недавнее заявление пресс-секретаря Rambler&Co Софии Ивановой. К сожалению, источника цитаты не нашел. Возможно, это прямой ответ на вопрос журналистов Roem.ru:

Никакой проблемы здесь нет: эта база всплывала еще в 2014 года, после ее анализа мы выявили, что скомпрометированы 4 миллиона активных пользователей — всем им пароли были, разумеется, изменены. При этом какой-то процент паролей все-равно может подходить, т.к. пользователи используют пароли типа 123456, они взламываются элементарным перебором по словарю. Плюс пользователи могли после нашей принудительной смены еще неоднократно сменить пароль, в том числе и на старый, который был скомпрометирован.Сейчас такая ситуация в принципе невозможна: пароли в открытом виде мы давно не храним, все данные шифруются, введена авторизация по мобильному телефону и мы постоянно напоминаем пользователям о необходимости сменить пароль.

Обратите внимание на ошибки — текст, возможно, писался впопыхах или не уделили внимания. Несерьезно как-то.

В голове вертятся вопросы:

1. Почему они хранили пароли ста миллионов пользователей простым текстом? Это настолько глупо, насколько возможно себе представить. Любой, получивший доступ к базе данных, сразу увидит пароли. В 2012 году уже было достаточно надежных способов обработать пароли так, чтобы после кражи их нельзя было расшифровать за разумный срок.
2. Как можно пропустить утечку такого объема данных? Был ли обнаружен факт взлома и быстро ли закрыли уязвимости?
3. Почему утверждают, что скомпрометированы только 4 миллиона активных пользователей? Не верю, что оставшиеся 94,2 миллиона пользователей сменили свои пароли за два года. Даже с учетом того, что аудитория Рамблера сократилась, цифры не кажутся относящимися к реальности.
4. Скомпрометированы и номера мессенджера ICQ. Учитывая любовь пользователей к одинаковым паролям, «аськи» под угрозой. Почему об этом молчат? Даже если пароли номера ICQ и электронной почты связаны (чего я не припомню), нужно уведомлять и пользователей сети сообщений.

На эти неудобные вопросы ответа, конечно, не будет. Но выводы можно сделать уже сейчас.

3 Выводы и советы

Взломать могут любой сервис, будь то сайт, служба сообщений или учётка в банке. Не нужно думать, что ваши данные никому не нужны. Конкретно ваши, может быть, не нужны, но всех пользователей — очень даже.

При этом владельцы сервиса о взломе могут и не сообщить, как показывает практика. На самом деле даже ответственности за это не несут — это учтено в соглашениях при регистрации. А всё потому, что иначе выкрутиться не смогут:

• Не знали о взломе несколько лет? Значит, пользователи были под угрозой всё это время.
• Знали, но не сказали? Пользователи тоже были под угрозой, только на них еще поплевали сверху.

Как ни крути, взлом оборачивается кошмаром для пострадавших. Лучше избежать взлома вовсе, снизив риск до минимума.

Правила хранения паролей, которые и вам советую:

1. Разным сайтам — разные пароли. Логины могут быть одинаковыми, чтобы хотя бы в этом не путаться.
2. Пароли должны быть сложными. Не меньше 20 латинских букв, цифр и прочих символов.
   Когда нужно вводить пароль часто, я придумываю 3-4 слова, разделяя их различными символами — такое запомнить легко, как и ввести, а подобрать сложно.
3. Не храните пароли в сервисах хранения паролей. Введёте туда свои пароли — считайте, они доступны всем. Не понимаю, как можно рекомендовать такие сервисы!
   Например, LastPass как минимум один раз взломали, из-за чего хакерам стали доступны адреса электронной почты пользователей, подсказки о паролях и сами мастер-пароли (к счастью, в зашифрованном виде). Тогда владельцы LastPass заявили что-то вроде: «Мы принудительно сбросили мастер-пароли пострадавших пользователей, им нужно придумать новый, проблема решена.» Мастер-пароль — это пароль для доступа к остальным паролям. Раз мастер-пароль можно сбросить, значит, пароли пользователя хранятся независимо от мастер-пароля. Напрашивается вывод: владельцы LastPass и любой, кто получит доступ к серверу с базой данных, может получить доступ в обход мастер-пароля! Может быть, я не прав и у них всё сложнее устроено, но сам факт взлома и обнаружившиеся потом уязвимости говорят о том, что такими сервисами лучше не пользоваться.
   Наилучшим местом хранения паролей я считаю KeePass. Программа доступна практически на всех популярных платформах, в том числе в виде расширений для браузеров. База надежно шифруется мастер-паролем и никто, кроме вас, доступа не получит. Пароли генерировать тоже можно прямо в ней.
4. Не используйте хранение и синхронизацию паролей в браузере. 28 августа этого года стало известно, что Opera Sync взломали, а значит — все пользователи браузера Opera, сохранявшие в онлайне свои пароли, пострадали. То же самое может случиться с альтернативными браузерами.
   К сожалению, не всегда удается следовать собственному совету — пользуюсь Google Chrome со включенной синхронизацией паролей, потому что многие сайты и форумы постоянно «забывают», что я вошёл. Например, форум 4pda этим постоянно страдает. Приходится балансировать между удобством и защитой паролей к важным для меня сервисам.
5. Используйте двухфакторную авторизацию с умом. Подтверждение входа на сайт с помощью смски — это дополнительная защита.
   Но есть и обратная сторона: восстановление паролей. Если можно получить пароль СМСкой, лучше не связываться с привязкой номера на таком сайте и вернуться к обычной авторизации. Уже были случаи получения сим-карты по поддельным доверенностям, так что лишняя уязвимость ни к чему.

Можно пренебрежительно отмахнуться и продолжить использовать пароли, составленные из днёх рождений родственников. В конце концов, даже создатель Фейсбука (примечание: Facebook — проект Meta Platforms Inc., деятельность которой в России запрещена) Марк Цукенберг успешно использовал примитивнейший пароль «dadada» в Твиттере, Инстаграме, Пинтересте и LinkedIn, пока последний не взломали.

А вы хотите надеяться исключительно на «авось»?