Участникам последней DEF CON – одной из крупнейших в мире конференций хакеров, был задан вопрос от редакторов издания Vice, почему люди по-прежнему подвергаются кражам и преступлениям в сети. Самым распространённым ответом было «потому что они не принимают даже самых очевидных и простых мер предосторожности».
На самом деле, недавнее исследование Google также показало, что сотни тысяч людей используют не только один и тот же пароль для нескольких веб-страниц и сервисов, но даже повторяют те пароли, которые уже опубликованы и привязаны к их логинам в открытых электронных документах. В реальной жизни это сравнимо с использованием одного и того же ключа, который открывает все двери: дома, автомобиля, офиса, кабинки тренажёрного зала и т.д. Более того, представьте, что этот ключ лежит во многих местах – достаточно просто сходить за ним. Вопрос, поэтому, не в том, взломали ли Вас, а в том, когда это сделают.
Сотни тысяч людей используют не только несуразно лёгкие пароли, но и повторяют один и тот же на многих сайтах. А если вы поищете эти пароли, то они опубликованы и прикреплены к логинам – их можно использовать и делать с ними всё, что душе угодно. Подобная кибер-атака называется «credential stuffing»: достаточно просто автоматически подставлять логин и пароль, чтобы узнать, использовал ли пользователь их также на других сайтах.
Как узнать, коснулось ли это Вас или нет? Повторюсь: проблема не в том, что Ваш пароль слишком лёгкий, ни в том, что Вы используете его везде – хотя хакеры уже посчитали бы Вас наивным человеком и доступной жертвой – а в том, что этот пароль уже опубликован. Чтобы проверить это, зайдите на страницу Have I Been Pwned, созданную специалистом по кибер-безопасности Троем Хантом, который накопил информацию из прошлых утечек данных с разного рода сайтов. Введите адрес своей электронной почты – не беспокойтесь, её не будут использовать для спама – и Вы узнаете, фигурировали ли Ваши данные в различных утечках. При утвердительном ответе вывод очень прост: пароль, который Вы использовали на данном Интернет-ресурсе, находится в открытом доступе, поэтому не повторяйте его ни на каком другом сайте, где оставляли свой электронный адрес. Иначе любой может просто взять его из этого общедоступного ресурса и подставлять его на других до тех пор, пока не взломает Вас.
Сама компания Google представила для браузера Chrome новое расширение Password Checkup, которое предупреждает пользователя, если его пароль был затронут утечками и нарушениями конфиденциальности на различных веб-сервисах и находится в руках преступника, которому ничего не стоит начать его подставлять. Опять же: в этом случае вопрос не в том, взломали ли Вас, а в том, когда это произойдёт. Это подобно тому, как если бы Вы вышли из дома и оставили ключ в двери, пока мимо неё не пройдёт желающий нажиться вор. Проще не бывает.
Если, после того как Вы проверите свою почту на наличие проблемы и исправите её, Вы захотите больше не ошибаться, просто перестаньте использовать один и тот же пароль на разных сайтах. Кроме того, забудьте все Ваши пароли за исключением одного и пользуйтесь каким-либо менеджером паролей. Среди их множества лидерами рынка являются LastPass, 1Password, Dashlane и KeePass, которые предлагают различные условия за определённую цену или символическую плату, а иногда даже фримиум-модель – в любом случае все они просто требуют немного упорядоченности и дисциплинированности. Не верьте тем, кто утверждает, что менеджеры паролей небезопасны, потому что «если взломают менеджер, то украдут все мои пароли»: они просто плохо информированы и не знают, как работают программы, которые используют неуязвимое шифрование во всех своих учётных записях. Если же Вы не хотите использовать менеджер паролей, по крайней мере, проверьте, скомпрометированы ли те, которые Вы уже используете: это займёт мало времени и предотвратит кражу в будущем. По крайней мере, не облегчайте задачу другим.
Энрике Данс. Преподаватель инноваций. IE Business School