Сотрудник силовых структур, работающий заместителем директора по безопасности на заводе МАЗ, похоже, не слишком заботился о безопасности своих аккаунтов в соцсетях. Он использовал простые и повторяющиеся пароли, схожие между собой. Как мы это выяснили? Его пароли оказались в нескольких базах утечек и, похоже, выдали его предыдущие места службы. «Зеркало» разобрало основные ошибки этого человека и приводит рекомендации по безопасному обращению с паролями.
О ком речь?
«Зеркало» уже рассказывало о «безопасниках» десяти крупнейших предприятий Беларуси и их возможных связях со спецслужбами.
Один из героев этого материала — Сергей Демин, заместитель генерального директора по кадрам, безопасности и режиму на Минском автомобильном заводе. Он работает на должности с 2020 года и среди прочего следит, чтобы на предприятие не просочился «экстремизм».
Издание «Наша Ніва» писало, что Демин — полковник КГБ. Однако утверждать на 100% это нельзя. По информации BELPOL, мужчина окончил Академию МВД, работал в органах внутренних дел, а в 2006-м уволился по собственному желанию из ГУВД Мингорисполкома. Дальше след карьеры силовика обрывается: в базах ФСЗН информации о нем нет.
Специалисты OSINT-проекта Digital Intelligence Team нашли в публичных массивах «утечек» информацию об аккаунтах, связанных с Деминым. В числе украденных данных — в том числе пароли, которые он использовал на разных площадках. И сами эти пароли стоят того, чтобы напомнить об информационной безопасности.
«Любимый» пароль силовика
По информации из утечки 2015 года, на одной из платформ для знакомств Демин поставил пароль mvdkgb. Это очень неудачный пароль. Он слишком короткий — всего шесть символов — и состоит только из букв. Сервис по оценке паролей Security Hero указывает, что такой пароль может быть взломан «мгновенно», сервис Security.org отводит на его взлом семь миллисекунд. Кроме того, этот пароль содержит личную информацию — упоминание аббревиатур силовых органов. Это тоже может быть минусом для человека, который стремится к приватности.
В массиве данных, опубличенном в 2017 году, есть еще один пароль, связанный с почтой Демина, — mVd11KgB14. Это более надежный вариант, в нем чередуются большие и маленькие буквы, есть цифры. Специализированные сервисы оценивают время, необходимое для подбора такой комбинации, от шести месяцев до шести лет. Минус этого пароля — опять же упоминание личных данных.
В базах — агрегаторах паролей с почтой силовика встречается еще одна комбинация — mVd11KgB14bu. Сам по себе этот длинный пароль надежен, на его подбор уйдет от 2000 до 25 000 лет. Но есть важный нюанс: он буквально повторяет предыдущий с небольшим отличием — на два символа длиннее.
И еще один момент: судя по данным крупных утечек, силовик с МАЗа использовал один и тот же пароль как минимум для двух разных социальных сетей. Сервис Have I Been Pwned показывает, что этот самый длинный и надежный пароль — mVd11KgB14bu — фигурировал в утечках семь раз и «его никогда не следует использовать».
Что здесь не так?
Приведенный нами пример служит ценным напоминанием о необходимости соблюдать информационную безопасность. Первое и самое главное правило: не используйте один «вечный» пароль на разных площадках. Даже если он сам по себе достаточно надежный и сильный, он может попасть в утечку и станет известен злоумышленникам.
— Повторное использование паролей для важных аккаунтов опасно, — говорится в инструкции Google. Если кто-то получит доступ к вашему паролю для одной учетной записи, он сможет получить доступ к вашей почте, адресу и даже к банковскому счету.
Создавать новый пароль, немного модифицируя старый, тоже не лучшая тактика.
— Если злоумышленник может предположить, что ваша схема изменения пароля заключается лишь в замене одного символа (например, потому что он получил доступ к вашим двум последним паролям или понимает, как вы думаете), то, скорее всего, он сначала попробует изменять только один символ. И если ваш аккаунт кажется ему более ценным, чем другие, злоумышленник приложит больше усилий, чтобы взломать ваш пароль, — объяснял специалист по IT-безопасности Штеффен Улльрих.
— Если провести некоторое время, просматривая слитые пароли, вы сами начнете замечать эти шаблоны и ужаснетесь, насколько плохими бывают многие пароли, — добавляет Трей Блэйлок, специалист по безопасности в интернете, пентестер и преподаватель.
Только у меня пароли повторяются?
«Любимый» пароль для разных сервисов, как у силовика с МАЗа, — это очень частое явление. По результатам исследования сервиса LastPass, 65% людей всегда или в большинстве случаев используют повторяющиеся пароли или их вариации. При этом 92% опрошенных знают, что это небезопасно. К тому же 45% респондентов не меняли пароли в течение года или дольше, в том числе после того, как узнавали об утечках.
Скорее всего, так происходит из-за того, что крайне сложно запомнить десятки разных паролей, никак между собой не связанных. Особенно если это бессмысленный набор символов.
— Любой бы почувствовал себя перегруженным, если бы ему пришлось создавать и запоминать множество паролей вроде Wt4e-79P-B13^qS, — отмечают авторы блога компании по кибербезопасности Webroot.com. — В результате вы можете использовать один и тот же пароль, хотя знаете, что это небезопасно, и в случае его компрометации вся ваша информация в интернете окажется под угрозой.
Три шага, которые помогут справиться с хаосом в паролях
Шаг 1. Вы можете придумывать новый абсолютно уникальный пароль для каждого нового аккаунта. И хранить все эти пароли в специальном сервисе — менеджере паролей.
Вот несколько вариантов таких сервисов:
- 1Password;
- LastPass;
- Bitwarden;
- KeePass;
- Google Password Manager (в этом случае сам аккаунт Google должен быть защищен надежным паролем и двухфакторной авторизацией, а ваши устройства, на которых выполнен вход, — паролем или ПИН-кодом).
Шаг 2. Аккаунт в менеджере паролей должен быть защищен мастер-паролем — и вот его уже точно придется запомнить. Мастер-пароль должен быть сильным и не повторяться ни в какой другой комбинации, которую вы когда-либо использовали.
Напомним базовые правила создания надежного пароля:
- Не меньше восьми символов, а лучше — от 12
- Есть и буквы, и цифры, и спецсимволы.
- Нет вашего имени, даты рождения, номера телефона, адреса и других личных данных.
Шаг 3. Для мастер-пароля вовсе не обязательно использовать абракадабру вроде i54HTP1TQ23HzgbRAJAg. Вы можете взять фразу, строчку из песни, цитату и зашифровать или исковеркать ее только вам понятным способом.
Например, если вы зашифруете фразу «котлетки с пюрешкой» вот так — K0tletki8 $ 2pureeeshkoj — получится весьма надежный пароль, запомнить который будет гораздо проще (конечно, наш вариант использовать не следует, о нем мы уже написали).
А можно попроще?
Эксперты проекта Electronic Frontier Foundation отмечают, что в вопросе паролей для разных людей подойдут разные решения. Если вы думаете, что вас могут пытаться взломать власти, — стоит посвятить время выбору менеджера паролей.
— Если вы являетесь целью такого могущественного противника, как правительственные структуры, то к выбору подходящего менеджера паролей стоит подойти особенно тщательно, а затем настроить его для обеспечения максимальной безопасности, — рекомендуют специалисты.
Но бывают иные ситуации.
— Для некоторых людей нетехнологичное решение может оказаться лучше, чем менеджер паролей. Оптимальный вариант зависит от вашей модели угроз, но лучше создать разные пароли для каждого сайта и хранить их в надежном месте на листке бумаги, чем повторно использовать один пароль для всех сайтов, — подчеркивают эксперты.