Главные правила создания паролей

Одна из наиболее важных составляющих предотвращения компрометации личных данных — это понимание того, как киберпреступники могут пытаться получить доступ к вашим критически важным данным. 

Методы атак продолжают развиваться и становиться все более изощренными, предоставляя киберпреступникам обширный инструментарий, который можно использовать для эксплуатации пользователей. Вот несколько приемов, на которые следует обратить внимание:

• Атаки социальной инженерии: атаки, такие как фишинг с помощью электронных писем и текстов, когда пользователей обманом заставляют предоставить свои учетные данные, щелкнуть вредоносные ссылки или вложения, перейти на вредоносные веб-сайты.
• Атаки по словарю: злоумышленник использует список общих слов, называемый словарем, чтобы попытаться получить доступ к паролям, ожидая, что люди использовали общие слова или короткие пароли. Их методика также включает в себя добавление чисел до и/или после общих слов, чтобы учесть людей, думающих, что простое добавление чисел до и/или после затрудняет угадывание пароля.
• Атака грубой силой: подход, при котором злоумышленники случайным образом генерируют пароли и наборы символов, чтобы многократно угадывать пароли и проверять их на соответствие доступному криптографическому хэшу пароля.
• Распыление паролей: форма атаки методом грубой силы, нацеленной на несколько учетных записей. При традиционной атаке методом грубой силы злоумышленники пытаются несколько раз угадать пароль для одной учетной записи, что часто приводит к блокировке учетной записи. При распылении паролей злоумышленник пробует только несколько наиболее распространенных паролей для нескольких учетных записей пользователей, пытаясь идентифицировать человека, который использует пароль по умолчанию или легко угадываемый пароль.
• Атака с регистрацией ключей. Устанавливая программное обеспечение для регистрации ключей на устройстве жертвы, как правило, посредством фишинг-атаки по электронной почте злоумышленник может перехватывать нажатия клавиш жертвы, чтобы получить ее имя пользователя и пароли для различных учетных записей.
• Перехват трафика. Преступники используют программное обеспечение, такое как анализаторы пакетов, для отслеживания и перехвата сетевого трафика, содержащего информацию о паролях. Если трафик не зашифрован или использует слабые алгоритмы шифрования, захват паролей становится еще проще.
• Подмена. В этом сценарии злоумышленник интегрируется между пользователем и веб-сайтом или приложением, обычно выдавая себя за этот веб-сайт или приложение. Затем злоумышленник перехватывает логин и пароль, которые пользователь вводит на поддельный сайт. Часто это происходит с помощью фишинговых атак.

Как пользователи могут избежать компрометации своих паролей?

Пользователи могут использовать ряд тактик, чтобы злоумышленники не могли скомпрометировать их личную информацию с помощью описанных выше методов. Среди них: надежные пароли, многофакторная аутентификация и возможности единого входа. В дополнение к этому — подкованность в области кибербезопасности имеет решающее значение для защиты вас, вашей семьи и вашего работодателя от злоумышленников.

Создание сильного пароля

Важно разработать пароли, которые невозможно забыть и трудно угадать, даже для человека, который может знать такие личные детали вашей жизни, как название улицы, на которой вы выросли, или имя вашей первой собаки. Хотя добавление цифр и специальных символов к обычным словам может казаться привлекательным, киберпреступники умеют использовать ряд методов атаки, чтобы взломать такие пароли. Избегайте использования следующих данных в паролях:

• Дни рождения.
• Телефонные номера.
• Информация о компании.
• Названия, включая фильмы и спортивные команды.
• Простое запутывание общего слова («P @ $$ w0rd»).

Предлагаем вам ознакомиться с лучшими методами защиты вашей информации:

• Используйте маловероятные или кажущиеся случайными комбинации прописных и строчных букв, цифр и символов и убедитесь, что ваши пароли содержат не менее десяти символов.
• Никому не сообщайте пароли.
• Не используйте один и тот же пароль для нескольких учетных записей, это увеличивает объем информации, к которой может получить доступ киберпреступник, если ему удастся взломать ваш пароль.
• Меняйте пароль каждые три месяца, чтобы снизить вероятность взлома вашей учетной записи.
• Используйте диспетчер паролей для создания уникальных, длинных, сложных, легкоизменяемых паролей для всех онлайн-учетных записей и безопасного зашифрованного хранения паролей в локальном или облачном хранилище. Это упростит вам задачу — нужно будет только запомнить один-единый пароль к хранилищу.

Дополнительные меры безопасности

Одиночная линия защиты больше не эффективна для сдерживания передовых кибератак. Чтобы действительно обеспечить надежную защиту, требуется использование несколько тактик. Учитывайте следующее:

• Многофакторная аутентификация (MFA): подтверждает личность пользователей, добавляя дополнительный шаг к процессу аутентификации, будь то с помощью физических или мобильных токенов на основе приложений. Это гарантирует, что даже в случае взлома пароля злоумышленники не смогут получить доступ к информации.
• Единый вход (SSO): позволяет пользователям использовать единое безопасное имя пользователя и пароль для нескольких приложений в организации.
• Обучение и образование в области кибербезопасности: по мере того как киберугрозы развиваются и злоумышленники разрабатывают новые методы нацеливания на отдельных лиц, пользователи должны оставаться в курсе методов обеспечения кибербезопасности. Бесплатные учебные курсы, такие как Network Security Expert (NSE) 1 и NSE 2 от Fortinet, могут помочь обучить людей любого возраста тому, как обеспечить собственную безопасность.

Поскольку текущие события вынуждают людей увеличивать количество времени, которое они проводят в Сети для работы, электронного обучения и общения с семьей и друзьями, а киберпреступники усиливают атаки, нацеленные на пользователей, важно выполнить проверку состояния безопасности для всех учетных записей — обновить слабые и устаревшие пароли по мере необходимости.