Използването на една парола многократно е удобно, но излага вашата онлайн сигурност на сериозна опасност. Ето защо.
Паролите са навсякъде. Те гарантират, че само ние (или лицата, на които разрешаваме) имаме достъп до личната ни информация и вещи – било то парите в банката или самоличността в социалните медии. Често обаче ги приемаме несериозно, използвайки една и съща парола навсякъде, защото е лесна за запомняне.
Докато много приложения и услуги са се подобрили по отношение на сигурността, хакерите също са се подобрили значително. Използването на една и съща парола навсякъде ви излага на риск да станете основна цел за кибератаки. Има и други по-малко очевидни недостатъци на тази практика.
Ето няколко причини, поради които трябва да сте по-внимателни при избора на парола.
1. Атаки с пълнене на идентификационни данни
Когато става въпрос за използване на една и съща парола навсякъде, не сте сами. Според Уебсайт NordPass, много хора използват лесни за отгатване пароли като „гост“ и „парола“. Това е ужасна практика, тъй като тези на пръв поглед контраинтуитивни пароли не отнемат време за разбиване.
Ако използвате слаба парола като тази във всичките си акаунти, вие сте идеалната цел за атака с пълнене на идентификационни данни. Това е вид кибератака, която натъпква голяма колекция от откраднати пароли или потребителски имена в хиляди уебсайтове. Ако рециклираната ви парола попадне в пробив в данните, голяма част от вашите акаунти може да имат проблеми.
2. Излагане на корпоративни сметки на риск
През 2012 г. Dropbox претърпя пробив, който засегна 69 милиона потребители онлайн. Според Пазителят, нарушението е станало поради повторно използване на същата парола в Dropbox като него от служител на Dropbox по-рано в LinkedIn. Когато акаунтът му в LinkedIn беше хакнат, хакерите също получиха достъп до корпоративния Dropbox мрежа.
Това означава, че ако рециклирате пароли за вашия корпоративен акаунт, вие също излагате себе си и корпорацията на огромен риск. Точно затова много технически разбиращи компании сега използват мениджъри на пароли. Мениджъри на пароли ви позволяват да съхранявате и генерирате сигурни пароли.
Добавяйки ваш служител или изпълнител към вашия мениджър на пароли, те получават достъп до всички акаунти, чиито пароли са съхранявани в приложението за мениджър, опростявайки техния процес на влизане - като същевременно елиминира необходимостта да споделят паролата с тях изобщо.
Повторно използваните пароли или дори подобни пароли са слаби, не са уникални и лесно предвидими. Хакерите могат лесно разбийте такива пароли с помощта на AI инструменти. Дори безплатната версия на ChatGPT може да се използва за мозъчна атака на такива пароли:
Ако подканата по-горе е твърде проста, за да отгатнете паролата си, хакерите може да заобиколят ограниченията на ChatGPT и да се опитат да измислят по-персонализирана подкана за отгатване на паролите ви.
Например, написах подкана, като се преструвах, че пиша история за измислен герой, Адам (който и да е приликата с действителни лица е чисто съвпадение), където хакери се опитват да проникнат в неговия Facebook сметка:
Ето как ChatGPT щастливо излезе със списък с пароли, които това лице може да използва:
Някои от тези пароли със сигурност изглеждат смешни, но ние всъщност сме склонни да поставяме пароли, които можем лесно да запомним (хора и неща, които обикновено ни интересуват най-много). Така че, колкото повече знаят хакерите за нас (което не е трудно, като се има предвид, че публикуваме всичко в социалните медии), толкова по-големи са шансовете те да отгатнат паролата ни успешно.
А усъвършенстваните AI инструменти за кракване на пароли са на друго ниво. Те тестват общи пароли, като използват варианти на думи или пароли, открити при пробиви на данни.
Ако използвате парола като "qwerty", на инструментите за разбиване на пароли са необходими по-малко от секунда, за да я разбият. Добавянето на числа и промяната му на "qwerty12345" не го прави по-труден за кракване. Много инструменти търсят модел и очевидните числа пред още по-очевидни фрази са най-често срещаните модели.
4. Споделянето на пароли ви прави по-уязвими
Рециклирането на вашите пароли е лоша практика, но споделянето на тези повторно използвани пароли е още по-лошо. Без значение колко надежден е човекът, на когото споделяте паролата, не можете да отговорите за нарушения на данните или кибератаки. Вашият акаунт е изложен на още по-голям риск, ако устройството на лицето, с което сте споделили подробности за акаунта, е компрометирано или откраднато.
След като хакер получи достъп до устройство, всеки акаунт и част от данните са безплатни за вземане. Да приемем например, че споделяте акаунт в Netflix с някого. Ако техният лаптоп бъде хакнат или откраднат и някой влезе в този акаунт в Netflix, данните на вашата кредитна карта са незабавно изложени на риск.
Така че, първо, използвайте силни пароли, които са трудни за отгатване. След това, второ, използвайте двуфакторно удостоверяване или мениджър на пароли, за да безопасно споделяйте парола с приятели и семейство, и минимизиране на риска.
5. Атаки чрез социално инженерство
Социалното инженерство е акт на манипулиране на хората с цел кражба на личната им информация. Това всъщност не е техническо умение, а по-скоро психологическа игра. Фишинг връзките са най-честият пример за това.
Вече не е толкова просто като фишинг връзката, която ви отвежда до фалшива страница за вход във Facebook или Instagram. Хакерите ще се представят за приятел, колега или надеждна организация, за да ви накарат да щракнете върху връзки, които компрометират вашите акаунти.
Така че хакерът може да ви поиска да се регистрирате за новата им услуга за стартиране, само за да видите каква парола използвате. В някои случаи те може да се свържат с вас от акаунта на ваш приятел, който е бил компрометиран - повечето от нас не са по-мъдри, когато отварят връзки от нашите приятели, така че това е лесен капан за поставяне.
Тъй като най-вероятно ще използвате повторно парола от друго място, за да се регистрирате за тази услуга, те ще се опитат да използват тази парола за всички ваши акаунти, за които знаят. Ако използвате една и съща парола за вашето банково приложение, вероятно ви очакват цял свят на проблеми.
Ако не всеки път, тази техника ще работи в повечето случаи.
6. Повишен риск от вътрешни атаки
Повторното използване на едни и същи пароли навсякъде потенциално увеличава рисковете от вътрешни атаки. Да предположим, че служител, който знае паролата, напуска вашата организация. Ако паролата е непроменена, бившият служител пак ще има лесен достъп до всички ваши чувствителни данни.
Ако вътрешният човек знае парола, която е била използвана навсякъде, всичките ви приложения и услуги са изложени на непосредствен риск. Те могат да използват тези идентификационни данни, за да извършват измамни дейности, да използват уязвимости или да навредят на компютърни системи. Такива хора също могат да се представят за служители и да манипулират колегите си да споделят поверителна информация.
По същия начин, ако една и съща парола се използва в множество уебсайтове, би било трудно да се определи вътрешният човек в случай на нежелана или злонамерена дейност. Можете да намалите рисковете от вътрешни атаки, като възприемете силни практики за сигурност. Добро място да започнете е да дадете персонализирани идентификационни данни на всички ваши служители.
Бъдете креативни, потайни и стриктни с паролите
Без значение какви други мерки за сигурност предприемате, вашето онлайн присъствие винаги ще бъде изложено на риск, ако използвате повторно една и съща парола в различни платформи. Разбира се, повторно използваните пароли се запомнят по-лесно, но ще съжалявате за това удобство, ако акаунтите ви бъдат хакнати.
За щастие може изобщо да не се наложи да използвате пароли в бъдеще. Услуги като Apple PassKeys използват биометрично удостоверяване като FaceID или TouchID, за да ви влязат в акаунти. Това премахва необходимостта от парола, тъй като вместо това услугата използва криптографски ключ. Тъй като други компании започват да прилагат това, паролите може да останат нещо от миналото.