Пароли и ПИН-коды — самое слабое место нашего кошелька. Причем, по наивности или невнимательности мы сами помогаем злоумышленникам получить доступ к онлайн-банкам, страницам в соцсетях, аккаунтам и мессенджерам. Утечка таких данных приводит к потерям крупных сумм, а порой и всех сбережений. Защитить себя от этого становится всё сложнее. Судорожное изменение кодов для входа в личные аккаунты — довольно утомительное занятие. Еще тяжелее сохранить в памяти все комбинации из букв и цифр для доступа к своим страницам. Разбираемся, как хранить пароли, чтобы не лишиться денег и психического здоровья.
Волгоградцы теряют огромные суммы из-за взломов аккаунтов
Каждый день в мире происходит более двух тысяч хакерских атак по взлому веб-сайтов и страниц интернет-пользователей. Такую статистику привел крупнейший исследовательский центр университета Мериленда. Так и жители Волгограда массово становятся жертвами мошенников, доверяя им свои данные и предоставляя возможность проникнуть в свои онлайн-кошельки и другие веб-ресурсы с важной информацией. А порой именно из-за страха оказаться обманутыми, люди шли на необдуманные действия.
ГУ МВД по Волгоградской области регулярно рассказывает, как люди сами отдают деньги мошенникам. Например, 83-летняя пенсионерка из Советского района, получив звонок с неизвестного номера и доверившись словам злоумышленника, представившегося сотрудником банка, поспешила перевести мошенникам 160 тысяч рублей, якобы в целях защиты своего счета от взлома.
Жертвой обмана стал и 47-летний волгоградец, но не из-за потери доступа к личному аккаунту, а по причине взлома страницы родственницы. Используя аккаунт женщины, незнакомец написал мужчине письмо с просьбой одолжить 28 тысяч рублей. Только после совершения операции по переводу средств, мужчина узнал, что страница его родственницы была взломана, а потому вернуть себе потерянные деньги у него не будет никакой возможности.
«Кидают пыль в глаза и запугивают, а дальше человек всё делает сам»
Специалисты по информационной безопасности в один голос утверждают, что без содействия самого человека совершить противоправные вещи мошеннику не удастся. Как и получить доступ к банковским счетам, ведь системы безопасности банков довольно надежны. Анонимный IT-специалист объяснил, как злоумышленникам удается получить необходимую им информацию от человека.
— Проще всего взламывается голова человека. Просто говоря с человеком по телефону, ты не узнаешь его пароли и то, сколько у него денег на счету, пока он сам этого не скажет, — утверждает IT-специалист. — Поэтому мошенники применяют методы социальной инженерии, прикидываются кем-то, представляются сотрудниками банков. Баннеры, что висят на остановках, по типу «не бери трубку от представителя банка, это мошенник», не работают. Каждый день кто-то отвечает и верит. Но напрямую тебе никогда никто звонить не будет, ни с какого банка и служб безопасности. Это надо донести до людей. Взламывается их голова, а не телефон. Мошенники сначала кидают пыль в глаза, запугивают, а дальше человек сам всё рассказывает.
Какие пароли ставить небезопасно?
Мы регулярно регистрируемся на десятках, а то и сотнях ресурсов, вводя свои личные данные и порой не задумываясь об их безопасности. И в очередной раз верифицируясь на каком-либо сайте, человек нередко не прилагает усилий для создания качественного ключа для входа в аккаунт. Да, запомнить пароль, состоящий из собственного имени на латыни и года рождения, не составит труда. Но надежно ли это?
— Вас проще всего взломать, если вы используете в пароле, например, буквы только нижнего или только верхнего регистра, — говорит специалист в информационных технологиях. — Кто-то еще додумывается поставить свое имя и дату рождения, а это самый распространенный вид паролей. Если знать, как человека зовут и когда он родился и просто попробовать это ввести, то часто можно взломать его страницу. Кто-то имена детей ставит, в общем, всё то, что связано с личной жизнью, с близкими, либо им самим. Ну и, конечно же, используют стандартные комбинации типа «qwerty123».
Обезопасить себя от утечки данных аккаунта можно, используя сложные комбинации из разных символов в своем пароле.
— Важно использовать цифры и буквы разных регистров — и верхних, и нижних. Но еще важнее символы. Подборщикам паролей тяжело работать со спецсимволами. Это восклицательный, вопросительный знаки, скобочка, звездочка и всё в этом духе. Нужно их комбинировать, — рассказывает специалист по информационной безопасности. — Да, это тяжело запоминать. Но можно брать за основу какую-то ассоциацию и разбивать ее этими символами. И важно, чтобы она состояла не менее чем из десяти символов. Нет пароля, который невозможно взломать. Но всегда нужно подпортить жизнь мошеннику выбором максимально сложного пароля.
Нередко человек неосознанно помогает злоумышленнику подобрать код пароля к вашей странице. Директор компании «ИТ-Резерв» Павел Мясоедов объяснил, как можно этого избежать.
— Очень часто при регистрации на каком-то сайте ресурс сам генерирует сложный пароль из разных символов, который обычный человек не сможет самостоятельно придумать и быстро запомнить, — рассказал Павел Мясоедов. — Тогда достаточно сохранить этот пароль в связке ключей на устройстве. Самый простой для взлома мошенником пароль — это тот, который как-то связан с событиями из вашей жизни. Всё, что включает какую-то информацию, имеющуюся на вашей странице. Самым надежным будет код, придуманный рандомно. Возникающий, когда человек в произвольном порядке нажимал на клавиши и получил комбинацию. Подобрать такой пароль будет практически невозможно.
Кто угодно попытается тебя обмануть и всё украсть
Один пароль не защитит от утечки личных данных. Не позаботившись о личной безопасности в Сети, каждый человек рискует лишиться накопленных сбережений, репутации и всего состояния. Утечка любой информации при попадании в руки злоумышленников может принести огромный ущерб как отдельной личности, так и большим коллективам. Главный эксперт «Лаборатории Касперского» Сергей Голованов рассказал о главных способах защиты в цифровом мире.
— Первое — это частое обновление операционной системы и приложений, чтобы избежать известные уязвимости в виде заражений. Второе — это безопасность сервисов: почты, социальных сетей и мессенджеров, — утверждает Сергей Голованов. — Это парольная политика: сложные комбинации, менеджер паролей и двухфакторная авторизация, которая везде сейчас поддерживается. И следующее: важно смотреть, откуда и что ты скачиваешь, и здраво это оценивать. Например, по банковским приложениям лучше пойти к сотруднику банка или обратиться в службу поддержки за инструкцией установки приложения на свой девайс. И нужно быть готовым к тому, что кто угодно попытается тебя обмануть, всё украсть и к тому же будет всё знать про тебя.
Нередко сам человек неосознанно предоставляет мошенникам неограниченные возможности для совершения на себя атак. Руководитель ЦУР Волгоградской области Олег Егорушин рассказал о том, как наши действия в Сети помогают злоумышленникам получить нужную информацию.
— Не все мы соблюдаем безопасность относительно того, что пишем, публикуем, пересылаем в личных сообщениях и так далее, — рассказывает Олег Егорушин. — Даже если вы в переписке отправляли сообщения со своими личными данными, это всё остается в Сети, и мошенник может это всё вытащить. И даже если я удалил во «ВКонтакте» свои фотографии, которые выкладывал пятнадцать лет назад, то на сайтах-клонах они хранятся до сих пор. Информацию, которой вы сами делитесь с Сетью, зачистить уже никак не получится.
Руководитель ЦУР Волгоградской области также объяснил, что всё, что однажды попадает в интернет, оставляет за собой цифровой след. И неважно, это личная переписка интернет-пользователя или какая-то публикация.
— Записи, которые хранятся в вашем телефоне — это абсолютно открытая информация. Поэтому и пароли лучше хранить в голове, самый идеальный вариант, — говорит Олег Егорушин. — Ничего важного на гаджетах хранить нельзя. А ведь вы можете случайно нажать на сайте «сохранить пароль для входа», и впредь это будет храниться в устройстве. Даже старый добрый дедовский способ — записать в блокнот, который может попасть в чужие руки, не спасет. Безопасность человека только в его руках.
Где безопасно хранить все ПИН-коды?
Кажется, что мозг человека просто не способен хранить в памяти такое количество абстрактных буквенных и цифровых сочетаний, но нередко именно от них зависит наша безопасность. Существует ли система или место, проникнуть в которое злоумышленнику никогда не удастся, и безопасно ли хранить все пароли в одном пространстве? Главный эксперт «Лаборатории Касперского» Сергей Голованов описал свои личные способы защиты и надежного хранения информации.
— У меня корпоративные рабочие пароли хранятся в зашифрованном виде, нигде не синхронизируются, собраны в отдельном менеджере паролей и только на нескольких рабочих машинах, — рассказывает Сергей Голованов. — Там настроено «протухание паролей», что заставляет менять их каждый месяц. И когда я провожу синхронизацию, всё меняю, то потом физически всё переношу с одного девайса на другой, например, на флешке. Моя персональная история проще: есть менеджер паролей, код от которого я помню и всё равно часто меняю. Но для него есть еще распознавание лица и синхронизация между девайсами. А данные, необходимые к «холодным» и «горячим» кошелькам, у меня записаны на бумаге и лежат в сейфе.
Самые важные и редко использующиеся данные специалист «Лаборатории Касперского» рекомендует хранить на бумаге в защищенных местах, но основную массу кодов — в специализированной системе в гаджете.
— Советую людям использовать менеджер паролей, который синхронизируется на телефонах и компьютерах и позволяет помнить только один мастер-пароль от него самого, — объясняет Сергей Голованов. — Входить в него можно и по отпечатку пальца или фэйс-айди. Он может даже мониторить утечки. Если ваша учетная запись где-то встретилась, то он покажет сообщение, что пароль надо срочно менять. Но сам мастер-пароль от менеджера надо как-то запомнить, сделайте хоть татуировку.
Однако не все считают предусмотренные в современных гаджетах функции по-настоящему надежными. Еще один IT-специалист видит в запоминании паролей и использовании двухфакторной аутентификации единственные способы себя обезопасить.
— Самое безопасное хранение пароля, естественно, в голове. Сейчас повально ломают «Госуслуги», — поделился айтишник. — ПИН-коды от важных ресурсов, где хранятся, например, паспортные данные, нужно помнить и всегда использовать двухфакторную аутентификацию. Ты ввел свой сложный пароль при входе в аккаунт, а потом тебе еще и SMS с кодом подтверждения приходит. А что касается менее важных вещей, например, маркетплейсов, можно, конечно, и одни и те же пароли использовать. У них всё равно часто угоняют данные.
По мнению специалиста в информационных технологиях, даже менеджер паролей, представляющий собой связку ключей в гаджете, не является стопроцентной гарантией сохранности данных. Под наибольшей угрозой при этом находятся владельцы девайсов компании Apple.
— В заметках в телефоне ни в коем случае нельзя ничего хранить, особенно на iPhone. Облачную память устройства тоже можно взломать, а вместе с ней мошенники получают не только фотографии, но и контакты, заметки и пароли. Это же одна экосистема, — говорит IT- специалист. — А связки паролей предусмотрены только для удобства. Но если достаточно сильно обезопасить свой аккаунт, то для повседневной жизни хранить там пароли можно. Лично у меня они состоят в среднем из 30 символов со всеми возможными комбинациями, плюс стоит двухфакторная аутентификация и есть резервная почта с таким же «километровым» паролем. Но пароли от важных ресурсов в облаке сохранять нельзя. И очень не советую хранить их и на бумаге, только при деменции.
Способен ли человек физически запомнить все пароли?
Если на бумаге не надежно, и даже на предусмотренных для этого системах в гаджетах есть риски потерять конфиденциальные данные, то единственным надежным вариантом остается только память. Но есть ли способ структурировать такое количество информации в памяти и метод вспоминать необходимый из множества паролей по щелчку пальца? Психолог Эвелина Гаевская рассказала, что мозг человека вполне способен хранить в памяти множество ПИН-кодов.
— Психика запоминает буквально всё, но не ко всей информации мы имеем прямой доступ. Не всё, что мы запоминаем, мы можем вспомнить. Вспомнить большое количество паролей к аккаунтам, особенно, если эти пароли лишь абстрактные комбинации — практически невозможно, — утверждает психолог. — Те, которыми мы пользуемся, «хранятся» либо в оперативной памяти, либо, чаще всего, в краткосрочной. Оперативная память работает для разовых паролей, типа подтверждающих кодов: отправили и освободили место, очистив кэш. Если же мы несколько раз пользуемся паролем, он «хранится» уже в краткосрочной памяти. Чтобы он попал в долгосрочную память, нужно пароль выучить, как таблицу умножения или спряжение иностранных глаголов. То есть нужно постоянно повторять его, причем делать это многократно, длительное время и в разных контекстах.
Но такой способ, по словам психолога, не является самым удобным. Эффективнее откладывается информация в долгосрочной памяти, если при запоминании ее сочетать образы, эмоции и логику. Тогда разные виды памяти будут задействованы.
— Например, пароль может содержать: дату значимого события, букву имени (эмоции), символ или сочетание символов (образ), и всё это в строгой последовательности (логика). И, пожалуй, наиболее простой способ запоминать любое количество паролей — это придумать и запомнить вовсе не пароль, а принцип его создания. Этому способу меня научил знакомый математик, — поделилась Эвелина Гаевская. — Принцип пароля может быть любым, это индивидуально. Например, пароль создается по принципу такой последовательности: заглавная буква, цифры, символ, буква. Цифры и буквы могут быть связаны со страницей (количество букв в доменном имени, дата регистрации). А могут быть константой (значимая дата, цифры телефона, номер дома). Например, для аккаунта на портале V1.ru можно придумать такой пароль, используя последовательность выше: «V дата регистрации аккаунта \ / имя». Если у вас есть свой личный принцип создания паролей, то запоминание любого их количества становится возможным. Другое дело, что принцип тоже надо выучить и запомнить. Но это проще, чем каждый раз запоминать новый код.