Находясь в общественном месте, нужно помнить о том, что пароль могут увидеть посторонние, и при его вводе прикрывать рукой экран смартфона или клавиатуру ноутбука; примерно так же вы поступаете при наборе ПИН-кода в банкомате. И очень важно, чтобы при вводе пароля вместо его символов на экране отображались кружочки или звездочки. Если система не скрывает пароль при вводе, к ней нет доверия. В некоторых системах, защищающих пароль от подсматривания, по мере ввода каждый символ все же на мгновение отображается в открытом виде, что снижает уровень безопасности и позволяет злоумышленникам подсмотреть пароль, записав изображение на экране с помощью скрытых грабберов[48] экрана или камеры. Иногда настройки позволяют избавиться от этой уязвимости.
Нельзя вводить пароли и передавать любые другие персональные (особенно банковские) данные в открытых сетях (например, MT_FREE, действующей в московском общественном транспорте). Вводить пароли можно только в доверенных сетях, доступ к которым защищен соответствующим образом (должна быть защищена и сама точка доступа). Следует учитывать, что даже в закрытых недомашних сетях (общественных и корпоративных) введенные данные могут быть перехвачены сетевым администратором или злоумышленником, поэтому нужно четко разделить контролируемые зоны и использовать разные профили, о чем мы говорили ранее.
Вводить пароли рекомендуется только на сайтах, использующих протокол HTTPS (а не HTTP) с подтвержденными сертификатами, о чем сообщит адресная строка в браузере (обычно в ней появляется зеленый замочек). Это не панацея (сертификаты специально выпускаются для мошеннических сайтов в центрах, где нет проверки отправителя и используются на поддельных сайтах злоумышленниками), но риск перехвата вводимых данных все же снижается. Кроме того, не рекомендуется вводить учетные данные и указывать свою персональную информацию на сайтах, не хеширующих пароли. В некоторых случаях подобные сайты можно распознать так: после запроса по поводу восстановления пароля с сайта поступает электронное письмо, в котором старый пароль указан в открытом виде. Надежные ресурсы вместо учетных данных обычно присылают ссылку, перейдя по которой можно создать новый пароль.
Также следует внимательно проверять адрес сайта, на котором вы планируете ввести учетные данные, так как злоумышленники зачастую имитируют оригинальные сайты, меняя 1–2 буквы в URL-адресе (например, https://www.mircosoft.com или https://www.microsoft.cm вместо https://www.microsoft.com) либо используют вовсе посторонний адрес, хотя интерфейс такой же, как у настоящего ресурса. Это сейчас вы видите разницу, а при открытии страницы в браузере, особенно на мобильном устройстве, вряд ли вы читаете адрес, тем более если он целиком не помещается в строке.
Примечание. Не стоит доверять свои пароли родственникам. В плане информационной безопасности они могут быть еще более неосторожны, чем вы.
Разные сервисы – разные пароли
В реальной жизни вы используете разные ключи для доступа в подъезд, квартиру, дачный дом, офис, автомобиль, к почтовому ящику, банковской ячейке или персональному сейфу и даже для открытия замка на велосипедном тросике. Глупо, если ко всем замкам будет подходить единый ключ (злоумышленник запросто сделает слепок ключа от домофона или почтового ящика и попадет к вам в жилище или угонит велосипед). И тем более глупо, если вы сделаете этот ключ доступным абсолютно для всех (хотя многие так и поступают, только в цифровой среде). Вот и для защиты персональных данных на каждом сайте или в приложении должен использоваться уникальный пароль. Ведь если, к примеру, вы используете один и тот же пароль для доступа к сайту платежной системы PayPal с записями о ваших банковских картах/счетах и к социальной сети «ВКонтакте», то в случае утечки базы данных «ВКонтакте» (либо угона пароля методами социальной инженерии и т. п.) под угрозой оказываются и ваши финансовые средства. Для аутентификации/авторизации на сайте платежной системы злоумышленнику нужен только адрес электронной почты и пароль, который он уже знает. Адрес электронной почты он тоже знает, если вы используете один и тот же почтовый аккаунт для регистрации на разных сайтах, в том числе и на сайтах социальных сетей.
О безопасности баз данных
Компания DeviceLock, разрабатывающая системы защиты данных от утечек, провела исследование уровня безопасности облачных баз данных, расположенных в российском сегменте интернета. Проанализировав свыше 1900 серверов, специалисты компании выяснили, что 52 % серверов предоставляли возможность неавторизованного доступа, а 10 % при этом содержали персональные данные пользователей или коммерческую информацию компаний, еще 4 % ранее были взломаны хакерами, которые оставили требования о выкупе. Среди крупнейших уязвимых баз данных оказались: БД финансовой компании «Финсервис» (https://finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию о выданных займах; база сервиса автообзвона «Звонок» (https://zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные подмосковных станций скорой медицинской помощи объемом более 18 Гб, содержащие всю информацию о вызовах бригад, включая имена, адреса и телефоны пациентов[49]; база российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы); базы данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также большое число клиентских баз различных проектов электронной коммерции[50].
По словам Алекса Стамоса, начальника службы безопасности Facebook, «повторное использование паролей – пример большого вреда от простой проблемы. Как только сайт взламывают, пароли в итоге попадают в базы данных, а преступники мастерски настраивают программное обеспечение, чтобы опробовать те же пароли на других аккаунтах»[51]. Компания B2B International собрала интересную статистику, согласно которой только 35 % пользователей создают новую парольную комбинацию для каждого отдельного аккаунта, большинство же предпочитает оперировать ограниченным набором паролей, а 8 % вообще имеют один пароль для всего. При этом 69 % опрошенных признали, что испытывают стресс, читая новости об утечке данных[52].
Пароль нужно периодически менять
Зачастую сохранность вашей конфиденциальной информации зависит не от сложности используемого вами пароля, а от надежности защиты сервиса, где он используется. Утечки персональных данных с серверов происходят ежедневно – и мелкие, и крупные, такие как взлом 3 млрд аккаунтов пользователей компании Yahoo[53]. Мы узнаем только об обнародованных фактах кражи персональной информации, а ведь многие компании скрывают правду об утечках, чтобы не нанести вреда своей репутации.
В 2016 г. помимо уже упомянутого сайта AshleyMadison.com атаке подвергся ресурс AdultFriendFinder[54], а также другие сайты схожей тематики, принадлежащие одной компании. В сеть утекли учетные данные пользователей ресурсов Adultfriendfinder.com, Cams.com, Penthouse.com, Stripshow.com и iCams.com. Всего было похищено свыше 412 млн записей: это были персональные данные, накопленные почти за 20 лет. Важно отметить, что часть адресов электронной почты в базе имела вид [email protected]@deleted1.com, т. е. компания хранила данные даже тех пользователей, которые решили удалить свои аккаунты. Также интересно, что в базе присутствовало около 6000 адресов, принадлежащих американским правительственным ведомствам, и свыше 78 000 адресов доменной зоны министерства обороны США. В тройке самых популярных паролей: 123456 (900 000 записей), 12345 (свыше 635 000 записей) и 123456789 (более 585 000 записей).
