Паролі всюди. Вони гарантують, що лише ми (або ті особи, яким ми дозволяємо) маємо доступ до нашої особистої інформації та речей — будь то гроші в банку чи дані в соціальних мережах. Однак ми часто ставимося до них несерйозно, всюди використовуючи той самий пароль, оскільки його легко запам’ятати.
У той час як багато програм і служб стали кращими з точки зору безпеки, хакери також значно покращилися. Використовуючи той самий пароль всюди, ви ризикуєте стати основною мішенню для кібератак. Є й інші менш очевидні недоліки цієї практики.
Ось кілька причин, чому ви повинні бути більш уважними під час вибору пароля.
1. Атаки з використанням облікових даних
Коли справа доходить до використання однакового пароля всюди, ви не самотні. Відповідно до Веб-сайт NordPass, багато людей використовують паролі, які легко вгадати, як-от «guest» і «password». Це жахлива практика, оскільки злам цих, здавалося б, неінтуїтивних паролів майже не потребує часу.
Якщо ви використовуєте такий слабкий пароль для всіх своїх облікових записів, ви станете ідеальною мішенню для атаки з використанням облікових даних. Це тип кібератаки, яка заповнює велику колекцію викрадених паролів або імен користувачів на тисячі веб-сайтів. Якщо ваш перероблений пароль потрапить у зону порушення даних, велика кількість ваших облікових записів може мати проблеми.
2. Поставте під загрозу свої корпоративні рахунки
У 2012 році Dropbox зазнав зламу, який торкнувся 69 мільйонів користувачів онлайн. Відповідно до Опікун, порушення сталося через те, що співробітник Dropbox повторно використав той самий пароль у Dropbox, що й раніше в LinkedIn. Коли його обліковий запис LinkedIn зламали, хакери також отримали доступ до корпоративної мережі Dropbox.
Це означає, що якщо ви переробляєте паролі для свого корпоративного облікового запису, ви також піддаєте себе та корпорацію величезному ризику. Саме тому багато технічно підкованих компаній зараз використовують менеджери паролів. Менеджери паролів дозволяють зберігати та створювати надійні паролі.
Додавши свого співробітника або підрядника до свого менеджера паролів, вони отримають доступ до всіх облікових записів, чиї паролі зберігаються в програмі менеджера, що спрощує процес їх входу, усуваючи при цьому необхідність ділитися паролем з ними взагалі.
Повторно використовувані паролі або навіть подібні паролі є слабкими, не унікальними та легко передбачуваними. Хакери можуть легко зламати такі паролі за допомогою інструментів ШІ. Навіть безкоштовну версію ChatGPT можна використовувати для мозкового штурму таких паролів:
Якщо підказка вище занадто проста, щоб вгадати ваш пароль, хакери можуть обійти обмеження ChatGPT і спробувати створити більш персоналізовану підказку для вгадування ваших паролів.
Наприклад, я написав підказку, вдаючи, що пишу історію про вигаданого персонажа Адама (будь-яка схожість із реальними особами є чистою випадковістю), де хакери намагаються зламати його акаунт у Facebook:
Ось як ChatGPT із задоволенням склав список паролів, які ця особа може використовувати:
Деякі з цих паролів, безсумнівно, виглядають кумедно, але насправді ми прагнемо розміщувати паролі, які ми можемо легко запам’ятати (люди та речі, які нам зазвичай найбільше цікаві). Отже, чим більше хакери знають про нас (що неважко, враховуючи, що ми розміщуємо все в соціальних мережах), тим вищі шанси, що вони успішно вгадають наш пароль.
А передові інструменти AI для злому паролів знаходяться на іншому рівні. Вони перевіряють загальні паролі, використовуючи варіанти слів або паролів, знайдені під час витоку даних.
Якщо ви використовуєте такий пароль, як «qwerty», інструментам для злому паролів знадобиться менше секунди, щоб його зламати. Додавання чисел і зміна його на «qwerty12345» не ускладнює його зламати. Багато інструментів шукають шаблон, і очевидні цифри перед ще більш очевидними фразами є найпоширенішими шаблонами.
4. Поширення паролів робить вас більш уразливими
Повторне використання паролів — це погана практика, але ділитися повторно використаними паролями — ще гірше. Незалежно від того, наскільки надійною є особа, якій ви надали пароль, ви не можете відповідати за витік даних або кібератаки. Ваш обліковий запис піддається ще більшому ризику, якщо пристрій особи, з якою ви поділилися даними облікового запису, зламано або викрадено.
Щойно хакер отримує доступ до пристрою, кожен обліковий запис і частина даних стають вільними для отримання. Наприклад, припустімо, що ви ділитеся обліковим записом Netflix з кимось. Якщо їхній ноутбук зламано або викрадено, і хтось проникне в цей обліковий запис Netflix, дані вашої кредитної картки одразу потраплять під загрозу.
Отже, по-перше, використовуйте надійні паролі, які важко вгадати. Потім, по-друге, використовуйте двофакторну автентифікацію або менеджер паролів, щоб безпечно повідомити пароль друзям і родині та мінімізувати ризик.
5. Атаки соціальної інженерії
Соціальна інженерія — це акт маніпулювання людьми з метою викрадення їх особистої інформації. Це насправді не технічна майстерність, а більше психологічна гра. Найпоширенішим прикладом цього є фішингові посилання.
Це вже не так просто, як фішингове посилання, яке веде вас на підроблену сторінку входу в Facebook або Instagram. Хакери прикидаються друзями, колегами або надійною організацією, щоб змусити вас натиснути посилання, які скомпрометують ваші облікові записи.
Отже, хакер може попросити вас зареєструватися в його новій службі запуску, лише щоб побачити, який пароль ви використовуєте. У деяких випадках вони можуть зв’язатися з вами з облікового запису вашого друга, який було зламано. Більшість із нас не вміють відкривати посилання від друзів, тому цю пастку легко встановити.
Оскільки ви, швидше за все, повторно використаєте пароль з іншого місця, щоб зареєструватися в цій службі, вони спробують використати цей пароль для всіх ваших облікових записів, про які їм відомо. Якщо ви використовуєте той самий пароль для свого банківського додатка, вас, ймовірно, чекає ціла неприємність.
Якщо не кожного разу, ця техніка спрацювала б у більшості випадків.
6. Підвищений ризик інсайдерських атак
Повторне використання одних і тих самих паролів скрізь потенційно підвищує ризик інсайдерських атак. Припустімо, що співробітник, який знає пароль, залишає вашу організацію. Якщо пароль залишиться незмінним, колишній співробітник матиме легкий доступ до всіх ваших конфіденційних даних.
Якщо інсайдер знає пароль, який використовувався всюди, усі ваші програми та служби знаходяться під загрозою. Вони можуть використовувати ці облікові дані для здійснення шахрайських дій, використання вразливостей або шкоди комп’ютерним системам. Такі люди також можуть прикидатися співробітниками та маніпулювати колегами, щоб вони поділилися конфіденційною інформацією.
Подібним чином, якщо той самий пароль використовується на кількох веб-сайтах, буде важко точно визначити інсайдера у разі будь-якої небажаної чи зловмисної діяльності. Ви можете зменшити ризики інсайдерських атак, застосувавши надійні методи безпеки. Гарне місце для початку — це надання індивідуальних облікових даних усім вашим співробітникам.
Будьте креативними, секретними та суворими з паролями
Незалежно від того, які інші заходи безпеки ви вживаєте, ваша присутність в Інтернеті завжди буде під загрозою, якщо ви повторно використовуєте той самий пароль на різних платформах. Звичайно, повторно використані паролі легше запам’ятати, але ви пошкодуєте про цю зручність, якщо ваші облікові записи зламано.
На щастя, можливо, у майбутньому вам взагалі не доведеться використовувати паролі. Такі служби, як Apple PassKeys, використовують біометричну автентифікацію, наприклад FaceID або TouchID, для входу в облікові записи. Це усуває потребу в паролі, оскільки замість нього служба використовує криптографічний ключ. Коли інші компанії почнуть це впроваджувати, паролі можуть залишитися в минулому.