То, что мы до сих пор знали о надежных паролях для аккаунтов в интернете, оказалось ошибкой. Это признал даже тот эксперт, который придумал все нынешние правила.
Фото: picture-alliance/dpa/J. Stratenschulte
Реклама
Неужели это произошло и с вами? Вы снова забыли тот сверхсложный пароль, который вам пришлось придумать по требованию вашего компьютера в офисе или какого-нибудь онлайн-сервиса, в котором у вас аккаунт? Этот новый пароль от вас требуют каждые 90 дней, да еще и предписывают разные его параметры: не меньше 8 знаков, использование регистра (прописные и строчные буквы), использование цифр и символов вроде !?/_* и прочих?
Полагаем, что ответ будет "да", так как забытый пароль - это то, что случается сегодня с миллионами пользователей по всему миру. За исключением тех, кто имеет привычку записывать пароль на бумажке или придумывать "оригинальные" пароли вроде 12345678. Но и то, и другое является уже совсем непростительной халатностью в наше время хакеров и киберпреступности. Уж лучше тогда иногда забывать сложные пароли, говорят эксперты по компьютерной безопасности.
Покаяние автора "парольного безумия"
Но в августе 2017 года произошло событие, которое может кардинально изменить ситуацию. Интервью американскому изданию Wall Street Journal дал 72-летний Билл Бурр, который и является идеологом использующихся сейчас во всем мире правил создания надежных паролей. Он работал в NIST - Национальном институте стандартов и технологий США - и в 2003 году написал циркуляр под номером 800-63-3, где и сформулировал действующие поныне рекомендации к безопасности паролей. Циркуляр был принят американскими госучреждениями, затем частными компаниями в стране - а затем разошелся по всему миру.
Билл Бурр сегодня называет действующие правила "парольным безумием"Фото: Fotolia/Yong Hian Lim
Но вот только ряд положений документа "был неверен", прямо и откровенно заявил теперь Бурр в интервью. Он признал, что не имел на тот момент достаточно данных, и в ответах на некоторые вопросы ему пришлось опираться на исследования 1980-х годов. Часть содержащихся в этих работах рекомендаций показались ему разумными - вроде, используйте символы и чаще меняйте пароли. В итоге эти советы перекочевали в его циркуляр от 2003 года.
Сейчас эксперт честно заявляет: "Я очень сожалею, что взвалил на пользователей всё это. Нам нужно было тогда постараться и попробовать предугадать то, что мы опытным путем выяснили несколько позже".
"Пароль123"
Многие специалисты, в принципе, с пониманием отнеслись к покаянию Бурра - но призвали его не драматизировать. Как напомнил портал Naked Security, посвященный вопросам компьютерной безопасности, в 2003 году, в эру взрывного роста онлайн-сервисов, даже не совсем верные тезисы Бурра сыграли огромную роль. Они, например, заставили множество людей впервые задуматься о надежности своих аккаунтов и сменить свои примитивные пароли вроде "Пароль123" на чуть более продвинутый "П@роль123!".
Но, в целом, с пересмотром принципов циркуляра Бурра в отрасли согласны. Так, представители NIST подтвердили, что за прошедшие после его публикации 14 лет они проанализировали множество баз данных со вскрытыми хакерами аккаунтами пользователей - и в итоге пришли к новым выводам. Они сформулированы в новом документе, который обнародовал Национальный институт стандартов и технологий и который постепенно должен внедряться в отрасли.
Долой символы!
Новый циркуляр не отменяет все принципы Бурра, только часть из них. Например, миф о надежности паролей с символами (!?/_*и прочими). Дело в том, что взлом паролей хакеры осуществляют не вручную, а с помощью программ - а для них совершенно все равно, какой знак (буква, цифра или символ) использован в пароле. В итоге символы нисколько не повышают надежность, зато добавляют головной боли пользователям и делают пароли более "забывающимися".
Второй миф - необходимость менять пароли каждые 90 дней. Особенно часто это требуется в офисах, но в реальности приводит не к повышению безопасности, а к снижению. Как показывает статистика, измученные постоянными сменами паролей пользователи со временем начинают придумывать все более примитивные комбинации знаков, а то и вообще записывать их где-нибудь. Чем так, уж лучше придумать надолго один хороший и сложный пароль, говорят сегодня эксперты. Единственное исключение - это взлом системы, после которого всем в офисе, конечно, надо менять пароли.
Длинный пароль - это хорошо
А вот старая рекомендация, что пароль должен быть длинным, не потеряла своей актуальности. Более того, предписанные ныне 8 знаков - это мало, рассказал немецкий компьютерный эксперт Штефен Хашлер (Steffen Haschler) в интервью телерадиокомпании SWR. Надежнее пароли от 10 до 20 знаков. Причем лучше всего выбрать нормальную фразу, которую будет легко запомнить пользователю, и немного ее модифицировать. Например, "В лесу родилась елочка", где вместо пробелов вставлять, скажем, цифры по числу букв в предыдущем слове: "В1лесу4родилась8елочка6". (Только конкретно эту комбинацию использовать уже не надо: хороший пароль надо придумывать самому, а не брать в интернете. Даже на сайте DW.)
И вот чего еще категорически не стоит делать - это использовать один и тот же пароль (пусть и надежный) для разных аккаунтов. Как считает Хашлер, это даже важнее, чем надежность пароля как таковая. Ведь если хакерами будет вскрыта хотя бы одна система, в которой у пользователя есть аккаунт, это сразу означает компрометацию всех имеющихся у него аккаунтов.
Смотрите также:
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Сообщения о взломах, утечках личных данных и хакерских атаках появляются регулярно. Многих хакеров подозревают в связях со спецслужбами РФ. Но не только. Фотогалерея DW - о самых резонансных случаях.
Фото: picture-alliance/dpa/W. Kumm
Жертва российских хакеров - SolarWinds
Американский IT-гигант Microsoft сообщил о новой волне хакерских атак из России. По данным Microsoft, именно хакеры из группировки Nobelium стояли за серьезной кибератакой в 2020 году на производителя программного обеспечения SolarWinds. В результате проникновения злоумышленников в системы этой компании пострадали не менее 40 государственных структур США и неизвестное число частных фирм.
Фото: BRENDAN MCDERMID/REUTERS
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные - в том числе, паспортные и кредитных карт - 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Фото: picture-alliance/U.Baumgarten
Российские "мишки"
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров - Cozy Bear (дословно "уютный медведь", известна еще как APT29), Fancy Bear ("модный медведь", APT28) и Energetic Bear ("энерегетический медведь"), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Фото: S. Elkin
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам американских спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Фото: picture-alliance/dpa/J. Stratenschulte
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото - офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Фото: picture-alliance/dpa/J. Lo Scalzo
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Фото: Imago/T. Trutschel
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Фото: picture-alliance/dpa/O. Berg
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Фото: picture-alliance/dpa/P. Götzelt
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Фото: DW/M. von Hein
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы ("трояна"). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Фото: picture-alliance/dpa/W. Kumm
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го - Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Фото: Reuters/B. Snyder
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Фото: Imago/Reporters
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Фото: picture-alliance/ dpa/dpaweb
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.
Фото: picture-alliance/AP Photo/M. Jose Sanchez
14 фото1 | 14
Взлом электронной почты в США - следы ведут в Россию?
