В Северо-Кавказском федеральном университете недавно представили свой подход к выявлению угроз, связанных с ненадежными и скомпрометированными паролями. Конечно, обычно система сама их проверяет, и при создании человеку почти всегда диктуется ряд условий - использование цифр, букв разного регистра и символов. Но и это не всегда помогает.
"ИT-специалисты делят пароли на простые и сложные. Чем проще пароль, тем он более уязвим перед хакерскими атаками. Ученые-математики СКФУ поставили перед собой задачу - разработать методику использования технологии машинного обучения, которая позволит устранить недостатки существующих классических подходов к определению простоты пароля и сообщит пользователю, что именно ему необходимо исправить, - поясняют в пресс-службе СКФУ. - Разработанная модель использует алгоритмы для анализа таких факторов, как частота использования паролей, шаблоны их создания и наличие в базах утекших данных. Благодаря этому система способна выявлять потенциально опасные комбинации".
Руководитель отдела по работе с клиентами департамента продаж ARinteg Александр Учителев отмечает, что данная проблема актуальна, поскольку далеко не все создают надежные пароли, регулярно их меняют, пользуются хранилищем для них.
- В организациях, как правило, действует документ под названием "парольная политика", в котором отражены конкретные требования к их созданию. Например, длина - рекомендуется как минимум 12 символов, поскольку пароль из девяти подбирается за 30 минут. Этим документом также предписывается, как использовать знаки верхнего регистра, подчеркивания, спецсимволы. Пароли надо менять не реже одного раза в два-три месяца. А еще при их составлении не быть предсказуемыми, не включать в них любые личные данные или сведения, касающиеся близкого окружения - даты рождения, клички животных, фамилии и так далее.
Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев привел данные исследования его компании, согласно которым около 65 процентов проанализированных паролей, используемых обычными интернет-пользователями, оказались комбинациями из шести-восьми символов, содержащими лишь цифры либо цифры с буквами в нижнем регистре. В топ вошли "123456" и "password". Около трети пользователей применяли одинаковые пароли для различных ресурсов, включая корпоративные.
- Идеи применения ИИ для проверки сложности паролей встречаются сегодня повсеместно. Но разработать подход - это только первый шаг. Самое сложное - перейти к реализации. Вопросов к предложенной вузом схеме множество. Важно понимать, оценивает ли нейросеть мутации паролей, соседние клавиши на клавиатуре, что она знает о дне рождения пользователя или его детей, а также о его инициалах, чтобы скорректировать небезопасную комбинацию, - отмечает Царев.
Опрошенные корреспондентом "РГ" эксперты выделили четыре основных способа хищения паролей - фишинг, социальная инженерия, брутфорс-атаки и скомпрометированные базы данных, где хранятся пароли пользователей (особенно опасно, если они не зашифрованы или зашифрованы с использованием слабых алгоритмов).
- Фишинг - это отправка злоумышленниками поддельных электронных писем или создание фальшивых веб-сайтов, которые выглядят как легитимные, чтобы заставить человека ввести свои учетные данные, - говорит директор департамента безопасности цифрового финансового сервиса Lime Дмитрий Бойко. - Социальная инженерия - это манипулирование людьми, чтобы те сами сообщили мошенникам свои пароли. Например, преступники могут выдавать себя за представителей технической поддержки.
Брутфорс-атаки предполагают использование программ для автоматического перебора возможных комбинаций до тех пор, пока не будет найдена правильная. Они особенно эффективны против простых паролей.
- Более продвинутые хакеры используют программы-кейлоггеры, которые записывают все нажатия клавиш, - добавляет предприниматель, а также эксперт по ИТ-цифровизации и ИИ Алексей Оносов. - Они могут проникнуть на компьютер через вредоносные вложения в письмах или зараженные флешки. Еще один распространенный способ - так называемая атака "человек посередине", когда хакер перехватывает трафик между пользователем и сервером. Поэтому важно использовать шифрованное соединение, особенно при работе через публичные Wi-Fi сети.
- И нужно отметить, что взлом аккаунтов и подбор паролей является киберпреступлением. Последствия таких атак - штраф или лишение свободы до семи лет по статье 272 УК РФ "Неправомерный доступ к компьютерной информации", - предупреждает доцент Финансового университета при Правительстве РФ Петр Щербаченко.
Как отмечает Евгений Царев, в коммерческих организациях в ряде случаев сложные комбинации сотрудникам выдает технический департамент. Однако те нередко для удобства заменяют такие пароли на свои, менее защищенные.
- Кроме того, малые и средние предприятия по-прежнему не уделяют внимания сложным комбинациям. По нашим оценкам, до трети паролей, используемых в коммерческих организациях, могут быть скомпрометированы, - сообщил эксперт.
- Для разных сервисов следует использовать разные комбинации, а хранить их нужно в специальном приложении - менеджере паролей, - добавляет Дмитрий Бойко. - Кроме того, необходимо использовать двухфакторную аутентификацию и быть внимательными к подозрительным сообщениям и ссылкам.
Алексей Оносов подтверждает, что малые предприятия, не имеющие собственных ИТ-отделов и политик информбезопасности, действительно самые уязвимые в данной ситуации. И для них разработки, вроде той, что предложили ученые СКФУ, могут стать эффективным и доступным способом защиты.
- По опыту работы с клиентами могу сказать, что проблема паролей для бизнеса стоит очень остро. Многие компании до сих пор недооценивают риски и используют примитивные комбинации вроде названия фирмы и года основания, - говорит Оносов. - Часто сотрудники записывают пароли на стикерах и приклеивают к монитору или используют один и тот же пароль для всех рабочих и личных аккаунтов. При этом взлом даже одной учетной записи может открыть злоумышленникам доступ ко всей корпоративной сети. Один из возможных рисков - кража денег со счетов компании. Но часто финансовые потери - не самое страшное. Гораздо опаснее утечка клиентской базы, которую конкуренты могут использовать для переманивания заказчиков, или кража технологических секретов и ноу-хау, на разработку которых ушли годы. Для некоторых компаний потеря интеллектуальной собственности может означать крах бизнеса. Кроме того, утечка персональных данных клиентов грозит огромными штрафами со стороны регуляторов. А если информация попадет в СМИ, репутационные издержки могут на годы подорвать доверие клиентов. Поэтому инвестиции в защиту паролей и обучение сотрудников правилам кибербезопасности - не прихоть, а необходимость для выживания бизнеса в цифровую эпоху.
- Более того, злоумышленники могут использовать украденные учетные данные для саботажа, шантажа или передачи доступа третьим лицам, - предупреждает IT-эксперт, backend-разработчик Филипп Щербанич. - Напомню, совсем недавно был ужесточен закон об утечке персональных данных пользователей (421-ФЗ), предусматривающий оборотные штрафы за серьезные утечки. Это добавит проблем тем компаниям, которые ранее пренебрегали инвестициями в безопасность. Современные решения для обеспечения безопасности паролей нужны всем предприятиям без исключения. Среди таких решений — менеджеры паролей, которые могут генерировать и безопасно хранить уникальные комбинации для каждого отдельного сайта или сервиса (и их не придется запоминать или записывать). Также активно внедряются биометрические методы аутентификации — FaceID или сканирование отпечатка пальца, позволяющие входить на сайты и в приложения вообще без пароля.
Кстати
Часть экспертов также сходится в том, что, если создан сложный и надежный пароль, который не был скомпрометирован, его не нужно менять так уж часто.
- Частая смена может даже навредить, так как люди начинают выбирать более простые комбинации, чтобы их было легче запомнить, - отмечает Алексей Оносов. - Гораздо важнее изначально создать действительно сложный пароль и никому его не разглашать. Идеальный вариант - случайный набор символов, сгенерированный специальной программой. Такой пароль можно не менять годами, если вы уверены, что он не попал в чужие руки. Но при малейших подозрениях на утечку нужно немедленно его сменить.
- Можно не так часто менять пароли, лучше вместо этого регулярно проверять, не попали ли они в базу данных утечек. Это можно сделать через сервис Have I Been Pwned или с помощью приложения Лаборатории Касперского. Современные браузеры и операционные системы также помогают в этом вопросе, - говорит Филипп Щербанич. - Появление новых методов кражи паролей происходит ежедневно, и это подталкивает нас к активному переходу на "беспарольные" решения, например, на одноразовые ключи доступа или биометрию.
- Обязательно нужно сменить пароли для доступа к корпоративным ресурсам в следующих случаях - при подозрении на несанкционированный доступ, при обнаружении вредоносного ПО на устройствах или если произошла утечка данных, - заключил Евгений Царев.