КЕЙС В 2013 г. с серверов всем известной корпорации Adobe были похищены данные около 150 млн учетных записей[46] (кстати, это повод сменить пароль к учетной записи Adobe, если она у вас есть). Благодаря этой утечке у вас есть прекрасная возможность посмотреть, какие пароли не стоит использовать: на сайте https://zed0.co.uk/crossword/ можно найти множество кроссвордов, составленных из похищенных паролей.
Вряд ли кто-то вывесит на видном месте ключ от своей квартиры, чтобы любой мог в нее войти. Но большинство пользователей пренебрегают правилами безопасности, открыто набирая пароли, записывая их на стикерах и прилепляя эти стикеры на монитор, сообщая свои пароли кому ни попадя и авторизуясь на сомнительных сайтах.
КЕЙС В апреле 2015 г. в результате деятельности хакеров на несколько часов была парализована работа французского телеканала TV5Monde. Были выведены из строя служебные серверы, отвечающие за обработку электронной почты, видеомонтаж, трансляцию сигнала. Вещание канала было прервано, а на страницах компании в социальных сетях были опубликованы экстремистские материалы. Причиной произошедшего стала беспечность сотрудников телекомпании: во время съемки интервью с одним из репортеров в кадр за его спиной попал стол одного из сотрудников, заклеенный стикерами с паролями к учетным записям канала в популярных соцсетях. В кадр попали логины и пароли для официальных аккаунтов YouTube, Twitter и Instagram компании, причем пароль к аккаунту на сайте YouTube был lemotdepassedeyoutube, что можно перевести с французского как «пароль от YouTube»[47].
Чтобы защитить себя и своих близких, свои данные, нужно не только максимально серьезно подходить к составлению паролей, следя за тем, чтобы они были достаточно сложными, но также при их вводе и хранении соблюдать правила безопасности.
Находясь в общественном месте, нужно помнить о том, что пароль могут увидеть посторонние, и при его вводе прикрывать рукой экран смартфона или клавиатуру ноутбука; примерно так же вы поступаете при наборе ПИН-кода в банкомате. И очень важно, чтобы при вводе пароля вместо его символов на экране отображались кружочки или звездочки. Если система не скрывает пароль при вводе, к ней нет доверия. В некоторых системах, защищающих пароль от подсматривания, по мере ввода каждый символ все же на мгновение отображается в открытом виде, что снижает уровень безопасности и позволяет злоумышленникам подсмотреть пароль, записав изображение на экране с помощью скрытых грабберов[48] экрана или камеры. Иногда настройки позволяют избавиться от этой уязвимости.
Нельзя вводить пароли и передавать любые другие персональные (особенно банковские) данные в открытых сетях (например, MT_FREE, действующей в московском общественном транспорте). Вводить пароли можно только в доверенных сетях, доступ к которым защищен соответствующим образом (должна быть защищена и сама точка доступа). Следует учитывать, что даже в закрытых недомашних сетях (общественных и корпоративных) введенные данные могут быть перехвачены сетевым администратором или злоумышленником, поэтому нужно четко разделить контролируемые зоны и использовать разные профили, о чем мы говорили ранее.
Вводить пароли рекомендуется только на сайтах, использующих протокол HTTPS (а не HTTP) с подтвержденными сертификатами, о чем сообщит адресная строка в браузере (обычно в ней появляется зеленый замочек). Это не панацея (сертификаты специально выпускаются для мошеннических сайтов в центрах, где нет проверки отправителя и используются на поддельных сайтах злоумышленниками), но риск перехвата вводимых данных все же снижается. Кроме того, не рекомендуется вводить учетные данные и указывать свою персональную информацию на сайтах, не хеширующих пароли. В некоторых случаях подобные сайты можно распознать так: после запроса по поводу восстановления пароля с сайта поступает электронное письмо, в котором старый пароль указан в открытом виде. Надежные ресурсы вместо учетных данных обычно присылают ссылку, перейдя по которой можно создать новый пароль.