Повторное применение учетных данных грозит компрометацией всех аккаунтов разом.

Меньше трети россиян (28%) используют уникальные пароли для разных сайтов, следует из результатов опроса Национальной системы платежных карт, которые есть у «Известий». Из-за одинаковых или похожих учетных данных граждане рискуют потерять доступ ко всем аккаунтам разом: после перехвата страницы мошенники могут украсть личную и платёжную информацию или рассылать спам от лица пользователя. Представители крупнейших сервисов электронных почт, социальных сетей и банков сообщили «Известиям», что предъявляют высокие требования к безопасности пароля, но не могут узнать, применялся ли он раньше на других ресурсах.

Трудные и не очень

Большинство россиян (76%) хранят пароли от своих аккаунтов в интернете самым надежным способом ­— запоминают их. Об этом говорится в исследовании «Мир Plat.form» (IT-бренд Национальной системы платежных карт — НСПК), которое есть в распоряжении «Известий». Опрос был проведен ко Дню криптографии, который отмечается 5 мая. В вопросе о способах хранения учетных данных можно было выбрать несколько ответов: почти 40% россиян заявили, что используют автосохранение в телефоне или браузере, 29% записывают данные на бумаге, а 18% — фиксируют их в текстовом формате на телефоне, планшете или компьютере.

В то же время лишь 28% респондентов сообщили, что создают уникальные пароли для каждого ресурса. Столько же опрошенных применяют набор из нескольких комбинаций символов, 17% — ставят одно и то же сочетание для всех ресурсов, а еще 27% — меняют свой подход в зависимости от задачи. Большинство россиян (49%) устанавливают трудные или очень трудные комбинации символов, 44% выбирают среднюю сложность, а оставшиеся 7% — придумывают простые или очень простые конфигурации, отмечается в исследовании.

Применяя уникальные пароли для разных учетных записей, россияне могут обезопасить себя от компрометации одного из наборов символов, подчеркнул руководитель направления информационной безопасности НСПК Артём Гутник. Он отметил, что самый безопасный метод хранения данных — запоминание последовательности цифр. Чтобы не забывать учетные данные, можно пользоваться специальными программами для их фиксации, однако важно выбирать надежные решения.

— Хранение паролей на бумаге — самый небезопасный вариант, так как к записанной на ней информации проще всего получить доступ третьим лицам. Нередки случаи, когда люди кладут в бумажник с банковскими картами листок с записанными PIN-кодами, чего делать ни в коем случае не нужно, — заявил Артём Гутник.

Применение одинаковых учtтных данных на разных сервисах — плохая практика: большинство взломов аккаунтов является результатом переиспользования паролей, подтвердила эксперт по информационной безопасности в «Одноклассниках» Александра Сватикова. Даже сложное сочетание символов, которое человек применяет на нескольких сайтах, считается ненадежным, убеждены в «Яндексе». В компании подчеркнули: если злоумышленник узнает такую комбинацию, то он попробует зайти с ним и в социальные сети, и в почтовые сервисы, и в онлайн-банки.

В «Яндексе» добавили, что отслеживают появление различных баз украденных паролей в интернете и при подозрении, что человек может использовать такие же комбинации символов, заблаговременно направляют его на обязательную смену данных для входа.

Открытые источники

При смене учетных данных «ВКонтакте» система не разрешит использовать сочетание букв, цифр и знаков, которое уже применялось ранее, заявили «Известиям» в пресс-службе сервиса. Там отметили, что дают пользователям рекомендации при установке защиты. Среди них — применение большого числа символов, нестандартных сочетаний слов, номеров, цифр и формул, а также отказ от использования дат рождений, фамилий, номеров машин и кличек домашних животных, поскольку мошенники могут найти эту информацию в открытых источниках.

Представители других почтовых сервисов и соцсетей оперативно не ответили на вопросы «Известий» о безопасных паролях.

Высокие требования к сложности учетных данных помимо интернет-ресурсов предъявляют также кредитные организации. Об этом «Известиям» рассказали в ВТБ, ГПБ, «Открытии», ПСБ, «Райффайзене», РСХБ, ОТП Банке, крымском РНКБ, Росбанке и «Зените». В последних двух подчеркнули, что проверяют историю установки кодов доступа и не позволяют применять ранее использованные сочетания. Кроме того, финансовые организации устанавливают двухфакторную аутентификацию для входа в мобильный и интернет-банк — с помощью кода из SMS.

Банк не хранит пароли клиентов в открытом виде, не имеет доступа к ним и, соответственно, не имеет возможности контролировать использование клиентом таких же учётных данных в других сервисах, подчеркнул директор департамента информационной безопасности «Открытия» Илья Сулоев. Он предупредил, что компрометация сведений на менее защищенных площадках рискует привести к несанкционированному доступу к финансам клиента. О рисках хранения PIN-кода от карты вместе с самим «пластиком» известно в ГПБ: иногда россияне также записывают четырехзначный код на самой карте, или она завернута в кошельке в стикер из ранее полученного PIN-конверта, говорит замначальника департамента защиты информации банка Алексей Плешаков.

Если злоумышленник получил пароль от социальной сети или почты, он может украсть конфиденциальную и платежную информацию пострадавшего, а также рассылать фишинговые письма от лица жертвы или обманом вымогать у знакомых пострадавшего деньги, рассказал консультант центра информационной безопасности компании «Инфосистемы Джет» Владимир Ротанов. Он оценил, что на взлом учетных данных может потребоваться от одного до двух дней.

Сейчас существуют целые хакерские группировки, которые специализируются на проверке паролей, содержащихся в свежих утечках из популярных сервисов: в дальнейшем они продают доступ к взломанным учетным записям, рассказал основатель сервиса разведки утечек данных DLBI Ашот Оганесян, добавив, что расшифровка слитых учетных данных потребует от нескольких часов до недель.

В Минкомсвязи оперативно не ответили на запрос «Известий» о требованиях к интернет-ресурсам относительно защищенности паролей.