ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства РФ.

Почему требуют менять пароль каждые 90 дне

Правило менять пароль каждые 90 дней придумали без исследований полвека назад. Квартал звучал серьёзно, цифру закрепили в стандартах, доказательств так и не появилось. Стоимость атаки падает, защита усложняется. Вся цифровая инфраструктура держится на примитиве 1961 года. Галочка в отчёте важнее реальной безопасности.

Коллега использовал пароль Ivanov12. После требования IT-отдела сменил на Ivanov13. Система получила восемь символов и цифру, как и требовала. Галочка в отчёте стоит.

Правило «менять пароль каждые 90 дней» придумали полвека назад без исследований. Квартал звучал достаточно серьёзно. Цифру закрепили в стандартах, доказательств пользы так и не появилось.

Стоимость атаки падает. За двести долларов можно арендовать GPU и перебрать миллиарды комбинаций за сутки. Защита усложняется. Система требует запомнить сорок разных паролей. Асимметрия растёт каждый месяц.

Вся цифровая инфраструктура держится на примитиве 1961 года, который придумали для разделения файлов в университете, а не для защиты банковских переводов.

Требование появилось в военных стандартах. Квартал звучал разумно. Достаточно часто, чтобы сократить окно компрометации, но не настолько, чтобы вызвать бунт пользователей. Цифру придумали за пять минут, закрепили на полвека.

Логика была простой. Если пароль украли, злоумышленник получает доступ только на ограниченный срок. Через 90 дней пароль сменится, доступ закроется. В теории разумно. В реальности не работает.

Исследователи проанализировали поведение тысяч пользователей. Принудительная смена увеличивает количество инцидентов, а не снижает. 

Пользователи не генерируют случайные строки каждые три месяца. Выбирают паттерны.

Что будет если часто менять пароли

Сотрудник получает уведомление о смене пароля до конца недели. Открывает генератор, получает строку из двенадцати символов, записывает на стикер. Через месяц стикер теряется. Звонит в поддержку, сбрасывает, получает новый, записывает снова. Или действует иначе. Берёт фамилию, добавляет цифру. Ivanov1, Ivanov2, Ivanov3. Политика требует восемь символов и одну цифру, получает ровно восемь символов и одну цифру. Система выполнена, безопасность упала. Частая смена приводит к предсказуемым паттернам. Пользователи инкрементируют числа, меняют регистр, добавляют символы к старой базе. Атаки по словарю учитывают варианты типа Password1, Password2, Password! Злоумышленник с доступом к старому паролю легко угадывает новый.

Когда нужно менять пароль

Смена нужна не по календарю, а по событиям. Подозрительное письмо со ссылкой, которую ты открыл. Уведомление о входе с незнакомого устройства. Новость об утечке из сервиса, про который уже забыл, но где регистрировался в 2018-м.

Признаки не всегда очевидны. Фишинговые письма выглядят точнее, чем раньше. Уведомления о входе приходят в спам. Утечки обнаруживаются месяцами позже, когда пароли уже используются в цепочках атак на другие сервисы.

Если получил письмо с просьбой подтвердить данные, не переходи по ссылке, открой сайт вручную. Если видишь вход с незнакомого устройства, меняй пароль немедленно. Сервис сообщил об утечке — меняй везде, где использовал тот же пароль.

Что делать если был в утечке данных

Люди повторяют пароли не из глупости. Систем слишком много для человеческой памяти. Средний сотрудник помнит пароли от домена, почты, CRM, облака, VPN, бухгалтерии, внешних сервисов. Менеджер паролей решает проблему, но требует решения внедрить его.

Когда утекает база малозначимого форума, злоумышленники получают email и пароль. Автоматические скрипты пробуют комбинацию в почте, облачных сервисах, корпоративных порталах. Если пароль повторяется, открывается доступ ко всему остальному.

Утечка одного сервиса угрожает архитектуре доступа целиком. Проблема не в том, что кто-то использовал слабый пароль на форуме. Проблема в том, что тот же пароль открывает корпоративную почту.

Сервисы типа Have I Been Pwned показывают утечки без раскрытия самих паролей. Вводишь email, получаешь список инцидентов. Если видишь несколько утечек, меняй пароли везде, где использовал одинаковые.

Что такое двухфакторная (MFA) аутентификация и зачем она нужна

• Пароль — то, что ты знаешь.
• Второй фактор — то, чем ты владеешь.Телефон, аппаратный ключ.

Или то, чем ты являешься уже биометрия. Злоумышленник может узнать пароль через фишинг или утечку, но второй фактор усложняет атаку на порядок.

MFA поднимает планку. Не делает взлом невозможным, но делает его дороже и заметнее. Массовые атаки по утечкам перестают работать, когда включен второй фактор.

Граница между внутренней и внешней сетью размылась. VPN создаёт туннель, но сам доступен из интернета. Облако считается внутренним, хотя серверы физически в другой стране. CRM открыта через временный туннель для отладки. Личный мессенджер с рабочими файлами.

Политики считают сеть закрытой периметром, но доступов размножилось настолько, что контролировать их невозможно. MFA становится базовой гигиеной, а не дополнительной защитой.

Можно ли взломать SMS код

Двухфакторная аутентификация работает, но не любая. SMS-коды перехватываются через подмену SIM-карты или вредоносное ПО на телефоне. Мобильные банковские трояны используют доступ к сообщениям для обхода подтверждений уже несколько лет.

Злоумышленник звонит оператору, выдаёт себя за владельца номера, называет паспортные данные из старой утечки, просит перевыпустить SIM. Получает новую карту в салон связи, вставляет в телефон, перехватывает все SMS. Или устанавливает вредонос, который пересылает сообщения на сторонний сервер. SMS работал в эпоху, когда атаки были редкими и дорогими. Сейчас инструменты доступны, подмена SIM занимает минуты.

Что лучше SMS или приложение аутентификатор

Приложения-аутентификаторы генерируют коды на устройстве по алгоритму TOTP. Не зависят от сети, не передают данные по SMS. Код можно перехватить, только если телефон скомпрометирован полностью. Приложение работает по общему секрету между сервисом и устройством. Секрет генерируется один раз при настройке, сохраняется локально. Каждые 30 секунд создаётся новый код на основе времени и секрета. Сервер проверяет код по тому же алгоритму.

Синхронизация времени критична. Часы на телефоне отстают больше чем на минуту — коды перестают совпадать. Серверы принимают коды из нескольких соседних временных окон (обычно текущее плюс одно до и одно после), чтобы компенсировать небольшие расхождения.

Телефон потерян, доступ заблокирован до восстановления. Большинство сервисов предлагают backup-коды при настройке MFA. Сохрани их отдельно, не на телефоне.

Как работают аппаратные ключи безопасности

Аппаратные ключи типа YubiKey не генерируют коды. Подписывают криптографическое подтверждение прямо на устройстве. Усложняет фишинг — даже если ввести пароль на поддельном сайте, ключ не подтвердит операцию, потому что домен не совпадёт.

• Ключ содержит закрытую часть криптографической пары.
• Открытая часть хранится на сервере.

При входе сервер отправляет запрос, ключ подписывает его закрытой частью, сервер проверяет подпись открытой. Без физического устройства подтверждение невозможно. Недостаток очевиден. Потеря ключа блокирует доступ. Восстановление сложнее, чем с SMS или приложением. Рекомендуется иметь резервный ключ или backup-коды.

Выбор между удобством и параноией зависит от того, что защищаешь. Для почты и облака достаточно приложения-аутентификатора. Для финансовых операций или доступа к критичной инфраструктуре — аппаратный ключ.

Как работают менеджеры паролей

Идея проста. Помни один пароль, получи доступ ко всему остальному. Реализация зависит от инфраструктуры и уровня параноии.

Облачный менеджер типа 1Password хранит зашифрованные пароли на серверах провайдера. Удобно, синхронизация между устройствами автоматическая. Риск в доверии провайдеру. Провайдер скомпрометирован, доступ получает злоумышленник. Провайдер закрывается, данные могут стать недоступны. Локальный менеджер типа KeePass хранит базу на твоём устройстве. Синхронизация ручная или через облачное хранилище, которое ты контролируешь. Безопаснее, но неудобнее. Потеря файла базы без резервной копии означает потерю всех паролей. Самостоятельный сервер типа Bitwarden self-hosted даёт полный контроль, но требует администрирования. Обновления, резервное копирование, защита от атак становятся твоей ответственностью.

Безопасно ли хранить все пароли в одном месте

Идея концентрировать все пароли в одном месте пугает. Один мастер-пароль открывает всё. Он скомпрометирован, злоумышленник получает доступ ко всем сервисам сразу. Альтернатива выглядит хуже. Десятки паролей, которые человек не запомнит. Будет повторять везде одинаковый или записывать на стикерах. Реальность выбирает между концентрацией риска в менеджере и распределением через повторение паролей.

Менеджер даёт возможность использовать уникальные длинные случайные пароли для каждого сервиса. Один сервис скомпрометирован, остальные безопасны. Без менеджера люди используют один пароль везде. Один сервис скомпрометирован, открываются все остальные.

Мы концентрируем риск в одной точке, чтобы устранить риски в сорока семи других. Не идеальное решение, но лучшее из доступных в реальности, где политики запрещают менеджеры, но не предлагают замены.

Почему на работе запрещают менеджеры паролей

Формально менеджеры паролей запрещены во многих организациях. «Нельзя хранить учётные данные в неутверждённых системах». Утверждённых нет, потому что выбор требует ответственности, которую никто не хочет брать.

Сотрудник должен помнить сорок паролей или нарушать политику. Выбирает второе. Записывает на стикерах, повторяет везде одинаковый, использует фамилию с годом рождения. Результат предсказуем, но его никто не измеряет.

Выбор инструмента требует решения. Решение требует отвечать за последствия. Если внедрённый менеджер паролей скомпрометируют, виноват тот, кто выбрал. Если пользователь записал пароль на стикере и его украли, виноват пользователь. Система перекладывает ответственность вниз.

Какой пароль считается надёжным

Энтропия растёт линейно с длиной, но логарифмически с разнообразием символов. Четыре случайных слова дают больше комбинаций, чем восемь символов с цифрами и спецзнаками. Условие — слова должны быть случайными.

Возьми для примера восемь символов, где разрешены маленькие буквы (26), большие (26), цифры (10) и десять спецзнаков. Всего 72 варианта на каждую позицию. 72 в степени 8 даёт примерно 10 в степени 14 комбинаций. Четыре случайных слова из словаря на 7000 слов дают 7000 в степени 4, примерно 2,4 × 10 в степени 15 комбинаций. Больше в 24 раза, набирать проще, запомнить легче.

Фраза из четырёх обычных слов больше не работает. Атаки по словарю включают комбинации слов, известные фразы, цитаты. Любая осмысленная последовательность — узнаваемый шаблон, а не случайность.

Случайная строка из двадцати символов без спецзнаков сильнее, но её невозможно набрать на телефоне без ошибок. Пользователь ненавидит мобильный ввод, а не выбирает надёжные пароли.

Можно ли использовать фразу из слов как пароль

Современные инструменты взлома знают про четыре слова. Словари включают не только отдельные слова, но и популярные комбинации. «correct horse battery staple» стал мемом и попал в словари атак в первую очередь. Фраза осмысленная, она предсказуема. Случайная, её сложно запомнить. Генератор паролей выдаёт случайные слова без связи. «umbrella dolphin keychain glacier» — случайно, но набирать долго.

Настоящая случайность требует генератора, не человека. Человек выбирает осмысленное, потому что иначе не запомнит. Вывод — чем длиннее пароль, который просят запомнить, тем предсказуемее он становится.

Что такое квантовые компьютеры и почему они опасны для паролей

Могут ли квантовые компьютеры взломать шифрование? Квантовые компьютеры разрушат асимметричную криптографию. RSA, ECC, алгоритмы цифровых подписей. Всё, что использует сложность факторизации больших чисел или дискретного логарифма. HTTPS, VPN, зашифрованная почта используют асимметричную криптографию для обмена ключами.

Угроза не паролям напрямую, а инфраструктуре вокруг. Симметричные алгоритмы типа AES пострадают меньше. Хеши типа bcrypt, scrypt, Argon2 тоже устоят. Пароль не станет бесполезен, но способы передачи и хранения придётся перестроить. Квантовый компьютер, способный взломать RSA-2048, пока не построен. Исследования показывают, что через десять-пятнадцать лет технология станет доступна крупным организациям и государствам.

Зачем записывают зашифрованный трафик

Злоумышленники уже сейчас записывают зашифрованный трафик для расшифровки позже. Harvest now, decrypt later. Государственные группы, крупные структуры архивируют данные, дожидаются квантовых компьютеров, затем расшифровывают.

Меняет логику защиты. Не важно, насколько сложный пароль ты использовал сегодня, если записанный трафик раскроют через десять лет. Данные, которые ты считал безопасными, окажутся открытыми, когда твои секреты станут историей, но всё ещё актуальны для шантажа или промышленного шпионажа.

Примеры данных, которые останутся опасны через десять лет. Переписка с коллегами о внутренних конфликтах в компании, финансовые отчёты до публикации, исходные коды проприетарных алгоритмов, личные переписки для шантажа или компрометации. Информация устаревает медленнее, чем мы думаем. Единственная защита постквантовые алгоритмы, внедрённые до того, как данные были записаны. NIST уже стандартизировал несколько постквантовых алгоритмов. Внедрение идёт медленно. Системы, написанные десятилетия назад, всё ещё обрабатывают критичные данные. Их не обновляют, потому что «работает — не трогай». Пока не случится инцидент, который нельзя скрыть.

Как проверить надёжность пароля

Have I Been Pwned собирает базы утечек и позволяет проверить, фигурировал ли email в инцидентах. Не раскрывает сами пароли, показывает только факт утечки и название сервиса. Проверка не гарантирует безопасность. Сервис знает только об утечках, которые стали публичными. Закрытые базы, продаваемые на чёрном рынке, туда не попадают.

Если email фигурирует в нескольких инцидентах, меняй пароли там, где использовал одинаковые. Сервис не в списке, но ты подозреваешь компрометацию — меняй в любом случае.

Как защититься от взлома пароля

Не меняй пароль без причины. Проверь, где использовал одинаковые. Email в утечках — меняй везде, где повторялся.

Проверь длину пароля. Если он короче двенадцати символов и не случайный, уязвим к брутфорсу на современном оборудовании. Облачные ресурсы с GPU делают перебор паролей доступным за сотни долларов вместо миллионов.

Включи MFA на всех сервисах с деньгами или почтой. Перейди с SMS на приложение-аутентификатор или аппаратный ключ.

Чек-лист базовой защиты.

[√] Проверил email на Have I Been Pwned, нашёл утечки, сменил пароли

[√] Установил менеджер паролей, сгенерировал уникальные пароли для критичных сервисов

[ ] Включил MFA через приложение на почте, облаке, банковских сервисах

[ ] Создал резервные коды для MFA и сохранил их отдельно от телефона

[ ] Проверил длину паролей, все критичные не короче 12 символов

Чек-лист не заменяет понимание угроз, но показывает минимум действий, которые снижают риски на порядок. Выполнение первых двух пунктов уже ставит тебя выше восьмидесяти процентов пользователей по уровню защиты.

Квантовая угроза реальна, но не требует немедленных действий от обычного пользователя. Для организаций задача иная данные с длительным сроком хранения нужно защищать уже сейчас постквантовыми алгоритмами.

Пользователю достаточно трёх вещей. Менеджер паролей, генерирующий длинные случайные строки. MFA на критичных сервисах, не через SMS. Понимание, что пароль не гарантирует безопасность, а остаётся элементом системы, которая устаревает быстрее, чем мы привыкаем к ней. Мы не исправим парольную политику, потому что она работает не для защиты данных, а для защиты репутации. Когда случится инцидент, найдут документ с требованием менять пароль каждые 90 дней. Пользователь нарушил, IT-отдел выполнил, ответственность переложена.

#информационнаябезопасность #кибербезопасность #защитаданных #киберугрозы #технологии #безопасность #IT #полезное #советы #лайфхаки

About The Author