Декабрь 2018
Пн Вт Ср Чт Пт Сб Вс
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
Январь 2019
Пн Вт Ср Чт Пт Сб Вс
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
Февраль 2019
Пн Вт Ср Чт Пт Сб Вс
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28      
Посмотреть другие выпуски корпоративных СМИ

Цифровая безопасность: названы худшие пароли для аккаунтов в интернете

Заведующий кафедрой бизнес-информатики УрГЭУ, доцент, доктор экономических наук Дмитрий Назаров провёл ретроспективный анализ данных, собранных компанией SplashData, и подготовил обоснованные выводы по выбору Интернет-паролей пользователей с наименьшим риском, доказав это с помощью использования облачного сервиса по исследованию надежности паролей.

В процессе перехода экономики на цифровые рельсы, очевидно, что число сервисов, предлагающих онлайн-услуги, а также возможности их оплаты посредством интернет-модулей на сайтах и порталах будет расти. Как правило, чтобы «привязать» клиента к своей услуге, такие сервисы требуют от пользователя обязательной регистрации (создания аккаунта), то есть указания логина и пароля. В качестве логина сами сервисы рекомендуют обычно использовать e-mail, номер телефона, а вот пароль – уникальную последовательность символов, позволяющую получить доступ пользователя к своему аккаунту, каждый должен придумать сам.

Аккаунт пользователя любого сервиса чаще всего включает в себя персональные данные, содержание которых различается от вида предлагаемых услуг. Если это аккаунт на порталах, предлагающих госуслуги (gosuslugi.ru, nalog.ru и др.), то он содержит полную информацию о пользователе, включая паспортные данные, адрес регистрации и т.д. Если это аккаунт в интернет-сервисе, к примеру, доставка еды, интернет-магазин, онлайн-библиотеки, то он может включать и данные банковских карт, и историю покупок. Совершенно очевидно, доступ к такой информации посторонних (мошенников, хакеров, преступников) может привести к плохим последствиям для пользователя. Поэтому процесс выбора пароля для доступа к аккаунту – дело серьезное и ответственное.

На протяжении последних 8 лет американская компания SplashData выпускает список наихудших паролей года. Анализируя данные по более чем 5 миллионам паролей, просочившихся в Интернет, компания ежегодно составляет TOP-100 худших паролей пользователей к различным сервисам интернет (исключения составляют взломы паролей сайтов для взрослых). Приведем TOP-30 худших паролей пользователей за 2017 и 2018 годы.

Место

Худшие пароли 2017

Худшие пароли 2018

Статус

1

123456

123456

 

2

password

password

 

3

12345678

123456789

 

4

qwerty

12345678

 

5

12345

12345

 

6

123456789

111111

новый

7

letmein

1234567

 

8

1234567

sunshine

новый

9

football

qwerty

 

10

iloveyou

iloveyou

 

11

admin

princess

новый

12

welcome

admin

 

13

monkey

welcome

 

14

login

666666

новый

15

abc123

abc123

 

16

starwars

football

 

17

123123

123123

 

18

dragon

monkey

 

19

passw0rd

654321

новый

20

master

!@#$%^&*

новый

21

hello

charlie

новый

22

freedom

aa123456

новый

23

whatever

donald

новый

24

qazwsx

password1

новый

25

trustno1

qwerty123

новый

26

654321

 zxcvbnm

 

27

jordan23

121212

новый

28

harley

bailey

 

29

password01

freedom

 

30

1234

shadow

 

Подчеркнем, что использование одних и тех же предсказуемых и легко угадываемых паролей хакерами и мошенниками любой категории, подвергнет любого человека существенному риску взлома и кражи его персональных данных.

Анализ данных таблицы показывает, что лидерами на протяжении последних 5 лет остаются такие пароли, как «123456» и «password». Следующие пять главных паролей в списке – просто числовые строки, содержащие либо последовательности цифр, либо повторяющиеся цифры. Также в лидерах остаются пароли, содержащие простые клавиатурные раскладки: qwerty, qwerty123, qazwsx, zxcvbnm, !@#$%^&*, имена знаменитостей, термины от поп-культуры, спорта, учетных записей: football, donald, harley, iloveyou, admin. Хакеры давно поняли, что многие люди используют эти легко запоминающиеся комбинации.

По оценкам SplashData, почти 10% людей использовали, по крайней мере, один из 25 худших паролей в списке этого года, и почти 3% людей использовали худший пароль – 123456.

Заметим, что время подбора пароля можно оценить, используя знания теории вероятности, например, пароль из 6 символов для полного перебора вариантов из 60 возможных символов потребует примерно 18 лет. Но давайте оценим время подбора пароля с помощью сервиса https://howsecureismypassword.net/.

Пароль: 111111, ответ сервиса: немедленно.

Пароль: 111111111, ответ сервиса: 25 миллисекунд.

Пароль: 1994anton, ответ сервиса: 42 минуты

Пароль: 1994AntoN, ответ сервиса 4 дня.

Пароль: 1994anton1994, ответ сервиса: 100 лет

Пароль: 1994Anton1994, ответ сервиса: 158000 лет.

Интересный результат – пароль из 6 символов 111111 разгадан немедленно. Почему так? Очень просто: хакеры организуют «умный» перебор паролей, пишут специальные модули, которые перебирают сначала частые, легко запоминаемые пароли, а потом только все остальные. Использование прописных и строчных букв одновременно увеличивает на несколько порядков время для разгадывания пароля, положительную роль, с точки зрения уменьшения риска играет и символьная длина паролей.

Поэтому при выборе пароля предлагаем использовать следующие правила:

  1. Используйте парольные фразы из двенадцати или более символов со смешанными типами (это снижает риск примерно в 1000 раз).
  2. Для каждого логина используйте свой пароль, это обезопасит от мультидоступа (подобрав пароль к одному сервису, хакер не сможет его использовать для доступа к другому сервису или сайту).
  3. Если у Вас логинов и паролей более 5-7, то рекомендуем защиту своих персональных данных осуществлять с помощью использования менеджера для хранения паролей.

О менеджерах для хранения паролей нужно говорить отдельно, но в рамках этой статьи перечислим лишь самые известные.

Самым надежным мультиплатформенным решением для пользователей считается SplashID (http://www.splashid.com) стал самым надежным мультиплатформенным решением. Сервис Gpass (http://www.gpass.io) позволяет пользователям Google без проблем управлять паролями в своей учетной записи Google. Сервис Zoho Vault (https://www.zoho.com/vault/) — бесплатный для личного использования менеджер паролей. Приложение может сохранять бесконечное количество паролей и заметок, в нём можно хранить файлы и документы, есть генератор паролей и автосохранение. Сервис LogMeOnce (https://www.logmeonce.com/ru/) – бесплатный менеджер паролей, в котором поддерживается синхронизация и мультифакторная авторизация и др.

Все эти сервисы работают по одному принципу, который заключается в создании зашифрованного по алгоритму 256-битного шифрования цифрового сейфа, доступного на любых устройствах, реализуя возможность доступа к важной информации в любое удобное для пользователя время. При этом, конечно, один пароль для входа в менеджер паролей нужно помнить, и он должен быть неуязвимым, но в этом помогут сами сервисы при создании аккаунта.


Заведующий кафедрой бизнес-информатики УрГЭУ, доцент, доктор экономических наук Дмитрий Назаров провёл ретроспективный анализ данных, собранных компанией SplashData, и подготовил обоснованные выводы по выбору Интернет-паролей пользователей с наименьшим риском, доказав это с помощью использования облачного сервиса по исследованию надежности паролей.

Пресс-служба УрГЭУ

Просмотров: 520
Поделиться: