Пароли

  • По-добре дълги, отколкото сложни: 6 съвета за сигурни пароли от NIST и CISA

    Докладът 2023 Threat Horizons на Google Cloud установява, че 86% от пробивите в киберсигурността  включват откраднати идентификационни данни. Впоследствие голяма част от тях се продават в dark web и се превръщат в инструмент за още и още киберпрестъпления. 

    Тази статистика още веднъж напомня за ролята, която играят паролите, за високите нива на киберсигурност на потребители и организации. Те трябва да са възможно най-сигурни и трудни за пробиване.  

    Ето на какви условия трябва да отговарят, според американските National Institute of Standards and Technology (NIST) и Cybersecurity & Infrastructure Security Agency (CISA):

    Уверете се, че всичките ви пароли са достатъчно силни

    Според NIST една парола е силна, когато е достатъчно дълга – минимум 15 символа. 64 символа е разумната максимална дължина. Тази поредица трябва да е случайна, със смесица от главни и малки букви, цифри и символи. Също така паролата не трябва да включва части от вашето име или името на услугата, която отключва. 

    Експертите от NIST твърдят, че последните анализи на разбити бази данни с пароли показват, че наличието на по-дълга парола е много по-важно от опитите тя да бъде сложна.

    Използвайте мениджър на пароли

    Средностатистическият потребител има десетки пароли. Никой обаче не може да запомни дори шепа дълги, случайни и уникални такива. Нито пък се налага! Просто инсталирайте мениджър на пароли на всяко устройство. 

    Тези софтуери незабавно създават наистина случайни пароли, запазват ги в криптирана база данни и синхронизират всичко на няколко устройства. 

    И най-важното – те знаят кои домейни са свързани със запазения набор от идентификационни данни и няма да ги въведат в такъв, който не е оторизиран. 

    Никога не използвайте повторно парола

    Естествен човешки инстинкт е да имате любим набор от идентификационни данни, които да използвате многократно в различни сайтове. Това улеснява запомнянето, но също така гарантира, че нарушаването на сигурността в един сайт ще даде на нападателите достъп и до други ваши профили. 

    Имайте предвид, че просто добавяне на възклицателен знак или число в края на старата парола не се счита за създаване на нова.  

    Променете паролите по подразбиране

    Един от най-обичайните начини за проникване в домашна или бизнес мрежа е през уязвимости в интерфейса за управление на някое устройство. Това може да бъде Wi-Fi рутер с неговата парола по подразбиране, която често е проста. IP-базираните камери и умните звънци за врати, които се инсталират като част от системата за домашна сигурност, също са възможни входни точки. 

    Ако имате подобни свързани устройства в дома си, задължително заменете паролите по подразбиране с по-сигурни. 

    Използвайте многофакторно удостоверяване, когато е възможно

    Без значение колко силни са паролите ви и колко внимателно се опитвате да ги защитите от компрометиране, това се случва 

    Затова най-ефективната защита е да се гарантира, че никой не може да влезе в акаунтите ви от ново устройство, освен ако не може да предостави втора форма на идентификация. Затова използвайте многофакторно удостоверяване навсякъде, където това е възможно. Особено в услуги с висока стойност като електронна поща, социални медии и банкови сметки. 

    Не променяйте паролите си, освен ако не се налага

    Експертите са обединени, че постоянната смяна на паролите не е необходима. Всъщност организациите, които изискват от потребителите да променят паролата си без причина, правят мрежите си по-малко сигурни. Тази принуда кара хората в един момент да започнат да избират слаби, лесни за отгатване пароли. Ако сте си свършили добре работата по избора на силна и уникална парола, не е необходимо да я променяте при нормални обстоятелства. 

  • Rapid7: Спрете да си съчинявате пароли, използвайте автоматично генерирани

    Забравете съчинените от служителите ви пароли. Използвайте специализирани софтуери, с които да генерирате произволни низове от букви, цифри и специални символи. Това е основното заключение от годишното проучване 2020 Under the Hoodie Report: Lessons Learned from a Year of Penetration Tests на Rapid7.

    В него, компанията е анализирала наученото от над 200 проведени пен теста и споделя опита си.

    Данните на Rapid7 показват, че каквато и да е съчинена от човек парола, има драстично по-голям шанс да бъде разбита. Например, ако използвате част от името на компанията, за която работите, има 33.7% шанс тази парола да бъде компрометирана:

    „SQL инжекции, buffer overflowing – всичко това е много интересно. Практиката ни показва, че почти във всеки успешен пробив участва разбиването на някаква форма на парола. Затова, и вероятно най-важният научен урок е, че бизнесите трябва да обърнат специално внимание за начините, по които се генерират“, съхраняват и управляват пароли, пише в проучването.

    В края на септември е предвиден и уебинар по темата, за който може да се регистрирате тук.

     

  • Защо паролите са лесна плячка за кибер престъпниците и защо трябва да ги сменяте често

    Паролите са в основата на кибер сигурността днес. Тази основа обаче е далече от сигурна, твърдят от SpyCloud в своя Annual Credential Exposure Report, публикуван в края на февруари 2019 г.

    Изнесените данни то него са меко казано стряскащи. Статистиката показва, че SpyCloud е усял да събере над 3.5 млрд. пароли от повече от 2 800 публично достъпни бази с източени потребителски данни. Над 90% от тях са били успешно декриптирани – което означава, че в момента компанията разполага с 2.5 млрд. уникални пароли в текстови формат. Според публикуваната информация разбиването на паролите е било… лесно.





    Причината: дори и криптирането на паролите може да се окаже недостатъчна защита при източване на лични данни, тъй като кибер престъпниците разполагат с достатъчно софистицирани софтуерни инструменти за декриптирането им.

    Без да коментираме, че сложността на самите пароли далеч не е това, което трябва да бъде – защото пароли като “12345”, “password”, “iloveyou” и “qwerty” продължават да оглавяват списъците с най-често използваните.

    С други думи, какво трябва да направите, за да се предпазите:

    • Налагайте политики. Освен за сложност на самите пароли, и за честотата на смяната им и употребата им (например, не използвайте една и съща парола за различни услуги и сайтове
    • Обучавайте служителите си. Научете ги защо е важно да защитават паролите си, да ги сменят регулярно и да спазват хигиена при съхраняването им
    • Използвайте дву-факторна автентикация 
    • Криптирайте. Използвайте възможно най-сложните алгоритми за криптиране, за да затрудните максимално разбиването на пароли, които евентуално са били източени от системите ви

     

  • 2.2 млрд. крадени имейли и пароли изплуваха в интернет

    Екип на германския институт Hasso-Plattner Institute(HPI) е открил огромен масив с 25 млрд. записа на имейл адреси и пароли, публикуван в интернет. Масивът е с размер 845 гигабайта и вероятно е най-големият по рода си: поне като обем на данните.

    Разделен е на четири отделни файла: Collection#2, Collection#3, Collection#4, Collection#5, Както имената подсказват, той е наследник на Collection#1, който се появи две седмици по-рано. Неговият размер беше далеч по-малък – едва 87 гигабайта и съдържаше 773 млн. имейл адреса.

    Прогнозата на HPI е, че от петте колекции с данни за достъп могат да се създадат общо 2.2 млрд. уникални комбинации от имейл адреси и пароли. Все още обаче не е ясно каква част от изтеклите данни са публикувани и преди в интернет, и каква – не. Вероятно някои от данните се дублират многократно или пък са публикувани в мрежата преди години, а сега просто са събрани на едно място.

    Дори и това да е така, събраните данни със сигурност представляват един от най-големите масиви с крадени данни за достъп в историята.

    Всяка база данни с крадени имейли и пароли е ценна за хакерите, които използват credential stuffing. Това е автоматизирана атака, при която хакерът се опитва да пробие даден акаунт, тествайки произволни комбинации от имейл адрес и парола, докато накрая познае вярната. Колкото повече записи съдържа базата данни, толкова по-голяма е ефективността й при credential stuffing атака.

    [box type=“success“ align=“alignleft“ class=““ width=““]

    Съвети за потребителите

    • Използвайте този инструмент на HPI, за да проверите дали имейл адресът ви се намира в базата данни;
    • Използвайте различни пароли за всеки отделен акаунт, който си правите;
    • Използвайте двуфакторна автентикация там, където е възможно;
    • Използвайте силни, трудни за отгатване пароли;
      [/box]
  • Пет начина да предпазите дигиталната си самоличност през 2019 г.

    Замисляли ли сте се колко важни са паролите за вашата дигитална същност? Тези комбинации от символи, букви и числа защитават всички онлайн услуги и устройства, които използвате. Те заключват дигиталния ви портфейл, защитават цялата ви онлайн комуникация, осигуряват неприкосновеност на профилите ви в социалните мрежи и т.н.

    Въпреки че са толкова важни, паролите съвсем не са перфектния ключ. Те могат да бъдат разбити – точно като ключалка – и да доведат до кражба на вашите лични данни, важна информация и финансови средства. Много потребители правят разбиването им максимално лесно, избирайки слаби пароли или разчитайки само на една парола за достъп до всички онлайн услуги.

    Компанията за информационна сигурност ESET дава пет съвета за разумно използване на пароли, които са лесни за спазване и могат да се превърнат в едно добро новогодишно обещание през 2019 г.

    Използвайте фрази

    Стандартните пароли са едновременно трудни за запомняне и лесни за отгатване. Ако вместо тях използвате фрази (няколко думи, събрани в една голяма комбинация), това прави паролата лесна за запомняне и трудна за отгатване. Колкото повече думи съдържа вашата фраза, толкова по-добре.

    От ESET препоръчват да изберете фраза с поне 7 думи. „Броят на възможните комбинации нараства експоненциално с всяка следваща дума, а това намалява значително вероятността паролата ви да бъде отгатната“, коментират от компанията.

    Избягвайте смислени комбинации от думи

    Не правете грешката да избирате смислени фрази: например имена на филми, песни, любими цитати и т.н. Такива фрази са по-лесни за отгатване. Вместо това изберете комбинация от случайни думи, която лесно можете да запомните, но няма смисъл за никой друг.

    Пример за такава фраза е drain hearings power homes. Със сегашните технологии ще отнеме стотици хиляди години, за да бъде разбита тази парола, според сайта Use A Passphrase.

    Можете да направите паролата още по-трудна за разбиване като добавите числа или специални символи. Например: dr@1nhear1ngspowеrhome$

    Забравете за многократното използване на една и съща парола

    Никога не използвайте една и съща парола за две или повече онлайн услуги. „Ако по някаква причина някой разбере коя парола използвате, той вече разполага с един ключ, който отключва две или повече врати към дигиталната ви идентичност“, коментират от ESET.

    Може би си мислите: „Но как някой ще разбере в кои акаунти използвам тази парола?“ По-лесно е, отколкото си мислите. Нарича се credential stuffing: автоматизиран процес, с който хакерите тестват дали някоя хакната вече парола няма да отключи вашия акаунт. И ако този акаунт се отключва със същата парола, която вече е била хакната, това ви оставя без никаква защита.

    Разбира се, ако не трябва да използвате една парола повече от веднъж, това означава, че ще трябва да помните ужасно много пароли. От ESET препоръчват използването на мениджър за управление на пароли, който помни всички дигитални ключове вместо вас.

    Използвайте двуфакторна автентикация

    Двуфакторната автентикация е второ ниво на защита на вашия акаунт след паролата (тя е първото ниво). Дори и някой да знае паролата ви, двуфакторната автентикация го спира да получи достъп до вашата дигитална самоличност.

    Много онлайн услуги като Facebook и Google предлагат двуфакторна автентикация, но тя се активира само по желание на потребителя. Можете да избирате между двуфакторна автентикация със SMS (получавате код за автентикация като текстово съобщение на телефона си), с допълнително приложение (приложението генерира кода) или с физически носител (т.нар. тоукън, който обикновено прилича на флашка).

    „Малкото допълнително усилие, което правите, за да се впишете в акаунта си с двуфакторна автентикация, се отплаща. Най-малкото защото няма как да станете жертва на престъпник, който знае вашата парола“, посочват от ESET.

    Използвайте по-малко пароли

    Звучи като противоречие с казаното дотук, но не е така. Важно е да използвате различни пароли за различните онлайн услуги. Но ако сте се регистрирали в онлайн услуги, които вече не използвате, следва да ги деактивирате. Тук говорим за електронна поща, форуми, сайтове за онлайн игри и каквото друго ви хрумне.

    Защо ви е да го правите?

    „Проблемът е, че всяка такава услуга носи риск. Доставчикът на услугата може да претърпи пробив и паролата ви да се озове в грешните ръце“, коментират от ESET.

    Помислете и за закриване на акаунтите, които са обвързани със социалните ви мрежи. Много онлайн услуги(включително и мобилни приложения) дават възможност да ги достъпвате чрез профила си във Facebook или Google.

    В повечето случаи деактивирането на онлайн услуга става бързо и с няколко клика. Достатъчно е да влезете в профила си и да посетите настройките за поверителност.

Back to top button