Теперь, три года спустя, кажется, что повторное использование пароля по-прежнему является серьезной проблемой. Люди по-прежнему подвергают свои персональные данные риску кражи. А при повторном использовании паролей на работе они также подвергают своего работодателя опасности стать жертвами хакеров и кибер-преступников.
Один отчет, цитируемый журналом Computing, предполагает, что 80% всех нарушений, связанных со взломом, связаны с паролями. Вот что хакеры делают с вашими дублированными паролями:
Credential stuffing
Credential stuffing – это атака, в рамках которой хакеры, чтобы проникнуть в компьютерную систему, используют огромный список возможных имен пользователей и паролей. Автоматизированный скрипт проверяет тысячи комбинаций имени пользователя и пароля, пытаясь найти совпадение, которое позволит хакеру войти в систему.
Такие списки обычно продаются в «теневом» Интернете и могут содержать данные по сотням тысяч аккаунтов.
Атака типа credential stuffing зависит от элемента удачи, потому что список может не содержать данные для атакуемого сервиса. Но если вы используете одинаковые пароли для разных онлайн-сервисов, то вероятность того, что хакеры подберут правильную комбинацию и получат доступ к вашей учетной записи в Интернете, гораздо выше.
Атаки по словарю
Атака по словарю работает по аналогичному принципу, но вместо использования списка известных регистрационных данных они полагаются на список известных адресов электронной почты и популярных паролей и фраз. Опять же, автоматический скрипт проверяет каждый пароль на соответствие каждому имени пользователя, пытаясь найти подходящую комбинацию.
Любой, кто использует обычный пароль, такой как 123456 или abc123, может оказаться скомпрометированным благодаря такой атаке по словарю.
«Распыление» паролей (Password spraying)
Метод «распыления» паролей (password spraying) очень похож на атаку по словарю, поскольку в нем используется список известных адресов электронной почты и распространенных паролей. Однако метод «распыления» сперва проверяет один пароль на каждый адрес электронной почты, прежде чем перейти к следующему паролю в списке.
Атаки с «распылением» паролей становятся все более популярными среди хакеров, потому что их немного сложнее обнаружить. Для загруженного веб-сайта тысячи неудачных попыток входа в систему не являются подозрительными - если только все они не регистрируются подряд на один и тот же адрес электронной почты (что и делает метод атаки по словарю).
Пожалуйста, прекратите использовать одинаковый пароль
С таким количеством различных аккаунтов всегда возникает соблазн воспользоваться простым вариантом и повторно использовать один и тот же пароль на всех этих аккаунтах. Но каждый раз, когда вы сокращаете путь, вы увеличиваете риск стать жертвой кибер-преступности.
Если вы не можете создать и запомнить достаточно надежные пароли, попробуйте вместо этого использовать менеджер паролей. Это простой и безопасный инструмент, который автоматически создаст и запомнит ваши пароли автоматически. Вам нужно запомнить только один пароль – тот, который используется для защиты самого менеджера паролей.
Для максимальной защиты (и простоты) выберите менеджер паролей, который работает на всех ваших устройствах. Например, менеджер паролей Panda Dome Password, входящий в состав решений Panda Dome Complete и Panda Dome Premium, защитит все ваши аккаунты на вашем смартфоне (iOS и Android) и вашем компьютере – он даже интегрируется непосредственно в ваш веб-браузер, чтобы сделать работу с ним еще проще.
Но как бы вы ни решили действовать и какой бы менеджер паролей не стали использовать, пожалуйста, прекратите повторно использовать один и тот же пароль для разных аккаунтов!
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.