Паролі оточують нас всюди. Вони слугують гарантією того, що доступ до особистих даних і ресурсів, будь то фінанси в банку чи інформація в соціальних мережах, є виключно у нас, або у тих, кому ми цей доступ дозволили. На жаль, часто ми легковажно ставимося до них, застосовуючи той самий пароль для різних акаунтів, бо його легше запам’ятати.
Попри вдосконалення систем безпеки багатьох програм і сервісів, кіберзлочинці теж не стоять на місці. Використання ідентичного пароля всюди робить вас легкою здобиччю для кібератак. Існують й інші, менш очевидні, негативні наслідки цієї практики.
Ось декілька вагомих причин, чому до вибору пароля потрібно підходити відповідальніше.
1. Атаки з використанням скомпрометованих облікових даних
Ви не єдині, хто використовує один і той же пароль для різних ресурсів. Згідно з даними сайту NordPass, велика кількість людей обирає прості, легко вгадувані паролі, як “гість” або “пароль”. Це вкрай небезпечно, оскільки злам таких паролів займає мінімум часу.
Якщо ви використовуєте такий слабкий пароль для всіх ваших облікових записів, ви стаєте ідеальною ціллю для атак, що використовують скомпрометовані дані. Суть таких атак полягає у переборі великої бази викрадених паролів та логінів на тисячах різних веб-сайтів. Якщо ваш повторюваний пароль опиниться в базі даних витоків, ви ризикуєте втратити доступ до багатьох своїх акаунтів.
2. Ризик для корпоративних акаунтів
У 2012 році Dropbox став жертвою злому, що зачепив 69 мільйонів користувачів. Як повідомляє видання The Guardian, причиною витоку стало те, що співробітник Dropbox використовував той самий пароль для Dropbox, що і раніше для LinkedIn. Після злому його облікового запису LinkedIn, хакери отримали доступ до корпоративної мережі Dropbox.
Отже, використовуючи повторювані паролі для корпоративного акаунта, ви наражаєте на небезпеку не лише себе, а й всю компанію. Саме тому багато технологічно розвинених компаній зараз впроваджують менеджери паролів, що дозволяють зберігати і генерувати надійні паролі.
Додаючи співробітника або підрядника до менеджера паролів, ви надаєте їм доступ до всіх облікових записів, паролі від яких зберігаються в програмі, спрощуючи процес авторизації без потреби ділитися паролями.
Повторювані або схожі паролі є слабкими, не унікальними та легко передбачуваними. Кіберзлочинці можуть легко зламати їх, використовуючи інструменти на базі штучного інтелекту. Навіть безкоштовна версія ChatGPT може допомогти згенерувати перелік таких паролів:
Якщо стандартні підказки виявляються недостатньо ефективними для зламу вашого пароля, хакери можуть обійти обмеження ChatGPT та спробувати створити більш персоналізовані запити для його вгадування.
Для прикладу, я сформулював підказку, представляючи себе як автора історії про вигаданого персонажа Адама (будь-яка схожість з реальними людьми є випадковою), де кіберзлочинці намагаються зламати його Facebook-акаунт:
Ось як ChatGPT створив список можливих паролів, які міг би використовувати цей персонаж:
Звичайно, деякі з цих паролів виглядають кумедно, проте ми схильні використовувати паролі, які легко запам’ятати, які пов’язані з людьми та речами, які нас цікавлять. Відповідно, чим більше хакери знають про нас (що, враховуючи нашу активність у соцмережах, не так вже й складно), тим більша ймовірність, що вони зможуть вгадати наш пароль.
Сучасні інструменти для зламу паролів, що використовують штучний інтелект, є ще більш потужними. Вони аналізують загальні паролі, використовуючи різні варіанти слів або паролів, які були виявлені в результаті витоків даних.
Якщо ви використовуєте пароль на кшталт “qwerty”, інструментам для зламу паролів знадобиться менше секунди, щоб його зламати. Додавання цифр на кшталт “qwerty12345” не робить його більш складним. Багато інструментів аналізують шаблони, а очевидні цифри після очевидних фраз є найпоширенішим з них.
3. Розповсюдження паролів робить вас більш вразливими
Повторне використання паролів – це погано, а ділитися ними – ще гірше. Незалежно від того, наскільки ви довіряєте людині, якій надали свій пароль, ви не можете нести відповідальність за витоки даних або кібератаки, що можуть її торкнутися. Ваш обліковий запис піддається ще більшому ризику, якщо пристрій особи, з якою ви поділилися даними облікового запису, зламано або вкрадено.
Щойно хакер отримує доступ до пристрою, кожен обліковий запис та всі дані стають вільними для викрадення. Припустімо, ви ділитеся обліковим записом Netflix з іншою людиною. Якщо її ноутбук буде зламано, і зловмисники проникнуть до цього облікового запису, дані вашої банківської карти одразу опиняться під загрозою.
Тому, по-перше, використовуйте надійні паролі, які важко вгадати. По-друге, застосовуйте двофакторну аутентифікацію або менеджер паролів, щоб безпечно обмінюватися паролями з друзями та родиною і мінімізувати ризики.
4. Атаки соціальної інженерії
Соціальна інженерія – це маніпулювання людьми з метою викрадення їхніх особистих даних. Тут застосовується не стільки технічна майстерність, скільки психологічні методи. Найпоширенішим прикладом є фішингові посилання.
Зараз це вже не просто фішингові посилання на підроблені сторінки входу до Facebook чи Instagram. Зловмисники маскуються під друзів, колег або надійні організації, щоб змусити вас натиснути на посилання, що скомпрометують ваші облікові записи.
Хакер може попросити вас зареєструватися в новій службі, щоб побачити, який пароль ви використовуєте. В деяких випадках вони можуть звернутися до вас з облікового запису вашого друга, який зламали раніше. Більшість із нас не розпізнає небезпеку в посиланнях від друзів, тому на цю пастку легко потрапити.
Оскільки ви, найімовірніше, використаєте повторюваний пароль з іншого місця, вони спробують застосувати його до всіх ваших акаунтів, про які їм відомо. Якщо ви використовуєте той самий пароль для свого банківського застосунку, на вас чекатимуть серйозні неприємності.
Часто ця техніка виявляється ефективною.
5. Підвищений ризик інсайдерських атак
Використання однакових паролів всюди створює підвищений ризик інсайдерських атак. Припустімо, співробітник, що знає пароль, звільняється з вашої організації. Якщо пароль не змінити, колишній працівник матиме простий доступ до всіх конфіденційних даних.
Якщо інсайдер знає пароль, що використовується повсюди, всі ваші програми та сервіси опиняються під загрозою. Вони можуть застосувати ці дані для здійснення шахрайських дій, використання вразливостей чи завдання шкоди комп’ютерним системам. Такі особи також можуть видавати себе за співробітників і маніпулювати колегами для отримання конфіденційної інформації.
Крім того, якщо один і той самий пароль використовується на різних веб-сайтах, буде важко виявити інсайдера у випадку будь-якої несанкціонованої діяльності. Зменшити ризики інсайдерських атак можна за допомогою надійних методів безпеки. Рекомендовано починати з використання індивідуальних облікових даних для кожного працівника.
Будьте креативними, зберігайте секретність та суворість у ставленні до паролів
Незалежно від того, які інші заходи безпеки ви вживаєте, ваша присутність в Інтернеті завжди буде під загрозою, якщо ви повторно використовуєте один і той же пароль на різних платформах. Звичайно, повторювані паролі простіше запам’ятати, але ви пошкодуєте про цю зручність, якщо ваші облікові записи буде зламано.
На щастя, можливо, в майбутньому вам взагалі не доведеться використовувати паролі. Такі сервіси, як Apple PassKeys, застосовують біометричну аутентифікацію, наприклад, FaceID або TouchID, для входу в акаунти. Це усуває потребу в паролі, оскільки замість нього сервіс використовує криптографічний ключ. Коли інші компанії почнуть впроваджувати це, паролі можуть залишитися в минулому.