Чуть больше четверти российских пользователей веб-ресурсов и онлайн-приложений применяют для доступа к ним разные пароли, выяснили эксперты Национальной системы платежных карт, которые провели тематический опрос в канун Дня криптографии, приходящегося на 5 мая.
Результаты исследования поступили в распоряжение «Известий».
Согласно документу, 76% юзеров уверены, что знают свои пароли наизусть. В то же время, около 40% пользователей прибегают к опции сохранения авторизационных данных в интернет-браузерах и мобильных приложениях, еще 29% дублируют пароли в рукописном виде, а 18% — хранят их в электронных заметках на используемых гаджетах.
Принцип «каждому аккаунту – свой пароль» используют всего 28% россиян. Такое же количество опрошенных применяют разные пароли, но состоящие из одних и тех же комбинаций. 17% предпочитают идентичный код доступа ко всем ресурсам. 27% участников исследования выбирают тот или иной принцип установки пароля в зависимости от конкретного приложения или портала. При этом 49% респондентов считают, что их пароли являются сложными либо слишком сложными, 44% опрошенных оценили свои коды доступа как средние по степени защищенности, а 7% признали, что пользуются простейшими комбинациями символов.
Глава направления информационной безопасности НСПК Артём Гутник в беседе с изданием отмечает, только использование разных кодов доступа к различным ресурсам позволит минимизировать потери от кражи одного пароля. Дабы сложные коды не были утрачены по забывчивости, можно прибегнуть к использованию специализированных утилит, говорит эксперт. А вот записывать пароли на бумажные носители не стоит, поскольку они с легкостью могут стать добычей посторонних. Классический пример – листок с пин-кодами, вложенный в бумажник с самими кредитками, поясняет Гутник.
Категорически не советует использовать идентичные логины и пароли на различных ресурсах эксперт по информационной безопасности в «Одноклассниках» Александра Сватикова. Чаще всего взламываются именно те страницы, владельцы которых применяют везде один и тот же пароль. В «Яндексе» добавляют, если последний при этом является сложным, ситуация не меняется. Киберпреступники, заполучив пароль жертвы от одного ресурса, обязательно попробуют при помощи него авторизоваться и на остальных – от соцсетей до банковских приложений. В то же время, компания мониторит черный рынок на предмет продажи похищенных паролей, и заставляет сменить коды доступа к аккаунтам тех пользователей, чьи старые авторизационные данные были скомпрометированы.
В пресс-службе соцсети «ВКонтакте» отмечают, ресурс не позволяет повторно устанавливать пароль, который прежде уже использовался для конкретного аккаунта. Владельцам страниц соцсеть в доступной форме советует применять для авторизации длинные пароли с комбинациями букв и символов, которые невозможно просчитать, и не создавать пароли на основании собственных персональных данных – при желании, взломщики с легкостью узнают день рождения потенциальной жертвы, кличку ее питомца либо номерной знак автомобиля.
Представители финучреждений также уверяют, что их программное обеспечение не позволит клиентам установить простейший либо скомпрометированный пароль. Представители «Росбанка» и «Зенита» указывают, их утилиты проверяют, не применял ли ранее данный пользователь пароль, который он желает установить в качестве нового. Также банки активно практикуют двухфакторную авторизацию, при которой, помимо пароля, клиент должен ввести одноразовый код, присылаемый в СМС-сообщении на сотовый номер, привязанный к онлайн-банкингу.
Глава департамента информационной безопасности «Открытия» Илья Сулоев заверил, сама кредитная организация не копирует пароли клиентов и не может ими воспользоваться, равно как и проверить, не использует ли гражданин идентичную комбинацию символов на ином ресурсе или в стороннем приложении. Сулоев подтверждает, украденный на сервисе со слабой защитой пароль, в случае совпадения с паролем онлайн-банкинга, позволит мошеннику завладеть деньгами жертвы.
Консультант центра информационной безопасности компании «Инфосистемы Джет» Владимир Ротанов согласен, завладев кодом доступа к электронной почте или аккаунту жертвы в соцсетях, киберпреступник с высокой долей вероятности либо пробьется в ее банкинг, либо, как минимум, разошлет всем контактам пострадавшего сообщения с просьбой о материальной помощи – с указанием собственных реквизитов для переводов.
Основатель сервиса разведки утечек данных «DLBI» Ашот Оганесян предупреждает, существуют группы киберпреступников, которые проверяют единожды украденные пароли на предмет совпадения с другими учетными записями владельца, помимо той, которая была взломана изначально. Обнаруженные универсальные пароли хакеры выставляют на продажу. Чтобы протестировать массив паролей на предмет совпадения, злоумышленникам может хватить нескольких часов, а может потребоваться неделя, уточняет эксперт.