img

Если Вы столкнулись с Интернет-угрозой, Вы можете обратиться на Линию помощи или на Горячую линию

Как не утонуть в море паролей?

11 месяцев назад

Еще каких-то пятнадцать лет назад люди были довольно слабо представлены в Интернете. Аккаунт от электронной почты, аккаунт от соцсети — и все, пожалуй. Три-четыре пароля успешно «держались в голове» и не требовали дополнительных усилий. Однако сейчас пользователю доступна куча приложений — и количество аккаунтов у одного юзера начинает уже исчисляться десятками. Впрочем, и полтора десятка лет назад любители сидеть на множестве площадок мучились той же проблемой — ибо регистрация на двадцати форумах логично требовала и двадцати паролей.

Как поступали юзеры?

Пользователь часто шел, да и сейчас идет, «путем упрощения». Точнее, таких путей сразу несколько. Самый, казалось бы, простой — заставить компьютер или приложение «запомнить пароль», избавляя себя от необходимости вбивать комбинацию каждый раз при входе. Однако этот путь далеко не самый безопасный — и даже не самый удобный. Что, если придется войти в аккаунт на каком-то другом устройстве, а пароль за ненадобностью уже «выветрился» из головы? Или, скажем, «случилось страшное», и сервер почему-то «выкинул» вас из аккаунта на всех устройствах? Да, можно воспользоваться функцией восстановления пароля (если она подключена), но тогда придется переавторизовываться уже на своих устройствах. А бывает, что эта функция просто недоступна. Есть опасность и похуже — если к вашему устройству получил доступ злоумышленник, то сохраненные пароли «благополучно утекут» к нему. Со всеми, так сказать, вытекающими.

Второй «простой» путь — использовать один и тот же пароль для нескольких аккаунтов. Те, кто хоть немного заботятся о своей безопасности, используют не один пароль, а три или четыре, но все равно для разных аккаунтов пароль дублируется. Тоже не лучший способ. Допустим, злоумышленник взломал один из ваших аккаунтов — ну, или подобрал пароль, так или иначе он его узнал. Тут он логично предположит, что этот же пароль может сработать и для других ваших аккаунтов — в том числе тех, к которым привязана платежная карта. А почему бы и нет, размышляет он, я ведь ничего не теряю? При отсутствии двухфакторной аутентификации злоумышленник благополучно попадет и на те ваши аккаунты, которые до этого не были взломаны. А уж что он с ними сделает — зависит от его фантазии.

Третий путь, которым идут юзеры — записывают свои пароли. Либо в отдельном файле, либо на бумаге. Причем, разумеется, с указанием сервиса и логина, чтобы самим не запутаться. Тоже не очень хороший вариант. Создать «базу собственных паролей» в электронном файле — это почти то же самое, что сохранить их в браузере. Если злоумышленник получает удаленный доступ к вашему устройству — с высокой долей вероятности он «найдет» и файл с паролями. С «бумагой» немного сложнее — но только в том плане, что число злоумышленников сужается. Человек, имеющий доступ в Вашу комнату на работе или дома, может легко прочитать бумажный пароль и при необходимости им воспользоваться. Если же вы планируете входить в аккаунты из разных мест — то бумажку с логином и паролем придется носить с собой. Для начала, в нужный момент ее можно просто забыть взять с собой — а пароля-то в голове и не помнится… Или, наоборот, забыть ее в чужом месте — либо просто потерять на улице. Если такую запись найдет кто-то злонамеренный, или просто шутник — он тут же поймет, что на листке записано, и ждите «неавторизованную авторизацию».

Как же тогда быть пользователю?

Весьма неплохо работает двухфакторная аутентификация. По крайней мере, от простого подбора пароля злоумышленником она защищает. Фактически телефонный номер становится универсальным «ключом доступа» к цифровым сервисам. Именно номер, а не устройство — в случае утери смартфона можно перевыпустить SIM-карту и вставить ее в новый аппарат. Правда, если тот, кто нашел потерянный смартфон, решит через него войти в Ваши аккаунты — его «успешность» будет зависеть от того, насколько хорошо защищен вход в Ваш смартфон.

У этого способа есть один минус, правда, он важен не для всех — привязка аккаунта к телефону частично «деанонимизирует» юзера. Однако сейчас с этим ничего не поделать — многие цифровые сервисы считают авторизацию по номеру телефона необходимым элементом безопасности, ибо пароль, как уже говорилось, можно и подобрать. Авторизация с резервным аккаунтом сохраняется разве что на некоторых сервисах электронной почты, которую по-прежнему можно еще завести без телефона. В этом случае ссылка для восстановления пароля придет на другой адрес электронной почты, который остается доступным для пользователя.

QR-код как средство авторизации работает, если надо «привязать» аккаунт к еще одному устройству — обычно смартфону. То есть для успешной авторизации на устройстве А нужно уже быть авторизованным на устройстве Б, с которого и считывается QR-код. Если же пользователь не авторизован, то этот способ ему не поможет.

Что касается биометрии, то ее «ареал» как средства авторизации очень и очень ограничен. Не в последнюю очередь это связано с очень высокими рисками в случае компрометации биометрических данных. Помимо некоторых банков и московского метро, биометрия в «широком цифровом обороте» применяется для разблокировки смартфонов — правда, для этого используется не снимок лица, а цифровой «отпечаток» пальца. Однако и этот «ключ», который, казалось бы, нельзя забыть, имеет свои минусы — злоумышленник может разблокировать устройство жертвы силой, прижав палец жертвы к нужному месту на поверхности смартфона.

Итак, наилучшим вариантом оказывается двухфакторная аутентификация. Что же касается пароля, то лучше делать пароли похожими друг на друга, но все же немного отличающимися — это усложнит задачу злоумышленнику, если он вдруг получит пароль от одного какого-то аккаунта. А если и записывать пароли «на память», то такое записи лучше хранить дома — так надежнее…

Наверх