Автор:  Павел Белоусов, эксперт Школы цифровой безопасности DSS380

Бытует мнение о том, что безопасность можно просто купить или о том, что можно остановиться на однажды достигнутом уровне, который будет сохраняться вечно. Увы, но это далеко не так. Как сейчас, так и 15−20 лет назад. Рассмотрим это на поведенческом и технологическом примере подбора паролей.

Еще несколько лет назад считалось безопасным менять пароли через какой-то определенный промежуток времени, скажем, три месяца. Системные администраторы и разработчики программного обеспечения заставляли всех соблюдать это правило, а люди покорно меняли свои пароли с некоторой периодичностью. И это считалось безопасным, даже очень. Но в этой стратегии оказалось несколько нюансов.

Павел Белоусов

Исследования и наблюдения показали, что если людей регулярно и по расписанию заставлять менять пароли — они их начинают записывать на листочки, в блокноты; к старому паролю просто добавляют символ (было MyPassword1, стало MyPassword2, потом MyPassword3) и т. д.

Если злоумышленник получает доступ к одному из таких паролей — он легко спрогнозирует, какой пароль будет через полгода или год, что даст ему возможность без дополнительных усилий продолжать использовать данные жертвы. А сама жертва поменяет пароль лишь только, когда придет время очередной смены.

А как принято сейчас? Тут все просто: если вы подозреваете, что пароль украден — вы захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему.

Например, если вы вводили пароль от почты где-то в публичном месте, где установлены камеры наблюдения — пароль лучше сменить. Пришлось зайти в свой Facebook-аккаунт на чужом устройстве — надежнее будет обновить реквизиты входа.

Во время карантина многие пользователи используют устройства дома, и если вы не стали жертвой фишинговой атаки, не устанавливали какое-то подозрительное программное обеспечение — не обязательно регулярно менять пароль. Это нужно делать только при подозрении на то, что кто-то мог заполучить данные для входа в ту или иную учетную запись.

Конечно, при этом необходимо соблюдать правила уникальности пароля (один аккаунт — отдельный пароль), длины (чем длиннее — тем лучше) и отсутствия в нем какой-либо персональной информации (без всяких там года рождения и девичей фамилии матери).

На сегодня эти правила поведения считаются нормой, с учетом собранного предыдущего опыта использования паролей, но в скором времени и их пересмотрят и выводы с рекомендациями будут уже другие. Следите за обновлениями.

Что касается технической составляющей — здесь также полно сюрпризов. Например, раньше было достаточно «пикселизировать» или «заблюрить» важную информацию (пароли, номера, адреса и прочее) на каком-либо электронном документе или скриншоте и публиковать в открытом доступе.

Сейчас же почти любой пользователь может попробовать восстановить спрятанный пароль на скриншоте с помощью инструмента Depix. Правда, пять лет назад тоже были подобные инструменты, но менее эффективны.

Да, точность на первых порах может быть не самой высокой, но, скажем, зная точное значение и последовательность 8 символов пароля из 12 — это уже почти победа. Такой пароль будет очень легко взломать, подобрав недостающие значения.

Эффективность этого метода будет постоянно расти, при условии тренировки и массового использования, и в конечном счете технология распространится на остальные способы скрытия информации, такие как «заблюривание».

Скорее всего, в ближайшее время на основе этого алгоритма появятся чат-боты или приложения, в которые можно будет закинуть картинку с пикселизированным текстом и на выходе получить расшифрованный вариант.

Что в этом случае делать? Менять свое поведение и инструменты. Прекратить вообще публикацию документов, где содержится чувствительная информация. Если это все равно необходимо — обрезать документ, скрывать данные с помощью закрашивания, а не пикселизации и так далее. Ну и перетрясти/подчистить все свои старые публикации, где вы что-то пикселизировали.

Как видите, просто один раз все сделать и расслабиться — не получится. Сфера цифровой безопасности очень динамична, поэтому требует к себе вашего пристального внимания.