Українська Служба

Пароль має бути не менше десяти: великі, малі букви, цифри й спецсимволи

01.02.2023 12:50
Фахівець із кібербезпеки Костянтин Корсун на пальцях пояснює, що таке кібербезпека, та нагадує – в максимально доступній формі – основні правила користування електронною поштою та соцмережами
Аудіо
Ілюстраційне фотоCC0 Domena publiczna https://pxhere.com/pl/photo/1575607

Знаємо тисячі історій, як за допомогою Інтернету були викрадені кошти з банківського рахунку чи зроблене якесь відео й потім людину шантажували. Пане Костянтине, може, почнімо з найпростішого: ми часто чуємо «захист даних», «кібербезпека»,  що це таке ці дані й ця безпека?

Безпека в кіберпросторі — фактично означає забезпечення нормального функціонування різного комп’ютерного комунікаційного мережевого обладнання, щоби воно правильно виконувало свою функцію та щоби злочинці не зловживали якимись недоліками. Це обладнання високотехнологічне, а чим складніша система — тим важче її обслуговувати.

Інформацію можна порівняти з водою, вона скрізь навколо нас і її безліч. А «кібер-»— це інженерні споруди, які спрямовують цю воду: крани, дамби, мости, системи водозабезпечення і под. Відносно загального обсягу, вони – це невеликий обсяг, але важливий, бо за допомогою кібер-» інформацію можна направляти в потрібному річищі, забезпечувати якість цієї інформації, щоби це не були фейки, маніпуляції, скажімо. «Кібер-» використовуємо для отримання в Інтернеті інформації, яка нас цікавить.

Інформаційна безпека — це в десятки разів ширше питання, бо інформація може бути не лише в електронному вигляді, але у формі книжок, відео, усних розмов; будь-що, навіть щось надряпане на паркані, — це вже інформація.

Це кібербезпека й кіберзасоби для Вас як фахівця, а що ми можемо назвати кіберзасобами для звичайного, сказати би, простого користувача? Чи такого не існує?

Ну, знаєте, існує, абсолютну більшість користувачів можемо вважати «простими», але якщо у кожного запитати - кожен скаже «я не простий, я просунутий, я не такий, як всі».

Я поділяю в кібербезпеці людей на фахівців і нефахівців. Фахівці теж бувають різного рівня. А нефахівці взагалі не дуже розуміють, навіщо це все потрібно і як може нашкодити конкретно мені, користувачу.

Ось, наприклад, середньостатистичний українець користується Інтернетом: читає у різних месенджерах новини, дивиться вебсайти, листується в пошті, з друзями і под. Для кожного, залежно від того, який у нього основний засіб доступу до Інтернету — чи це телефон, чи комп’ютер — це і є головне вікно можливостей для технічного прогресу, але водночас для зловживань злочинцями. Тут криються основні ризики. Останнім часом основний дивайс — це телефон.

Так, гаразд, практично у кожного є телефон. А в телефоні різноманітні додатки: ігри, скажімо, пошта. Ну, я ж не пишу надсекретні дані якісь, ані в месенджерах, ані в пошті.

Якщо відкрити телефон, то бачимо встановлені додатки – віконця, через які користувач взаємодіє та користується інформаційними послугами. От, наприклад, багато людей, далеких від кібербезпеки, вважають «хто я такий, кому потрібна моя пошта» — і тому ставлять пароль «12345» або «password» або «qwerty», — популярні паролі, які зламуються за пів секунди. Дуже часто рядові кіберзлочинці просто запускають по всьому Інтернету автоматизовний пошук, за певними критеріями, без персоналізації. Це як закинути в море тенета й дивитися, яка рибка потрапить до них. І автоматично підбирається пароль і зламується пошта.

У мене в пошті нічого цінного немає, щоби вкрасти. Тоді навіщо?... Ну от, хакнули чиюсь пошту. І що далі?

Що далі? Тут можливі декілька варіантів.

Ну, по-перше, вас можуть шантажувати якимись матеріалами, які ви пересилаєте між собою, своїм друзям, колегам чи ворогам.

По-друге, від вашого імені можуть у ваших контактів просити гроші: «Скинь мені 100, 200 гривень. Я потім розкажу». Цей тупий «розвод» досі працює.

Потенційно через вашу пошту злочинець може отримати доступ до всього вашого дивайсу – комп’ютера чи телефона. Можна «угнати» ваш месенджер чи банківський акаунт, наприклад, таких випадків безліч.

Більш екзотичні випадки, коли ваш телефон можуть використовувати як проксі-сервер, наприклад. Через вас буде йти шкідливий трафік, а ви просто не будете знати про це. А потім завалиться до вас у хату кіберполіція одного нечудового дня — і скаже, що ви кіберзлочинець, а ви не в курсі, таких випадків теж чимало.

Тобто спектр потенційних ризиків великий, але мало хто ними переймається. Здебільшого кіберзлочинці теж не високого рівня, і якщо десь не вдалося щось хакнути — вони одразу пішли туди, де легше це зробити.

Але жертвою може стати хто завгодно, це лотерея, і саме тому важливо, щоби всі знали базові правила кібербезпеки й користувалися ними.

Тож які ці базові правила безпеки щодо телефону й щодо пошти, бо це є у більшості людей?

Загалом якщо погуглити «Як не стати кібержертвою» — ми з колегами багато років тому записали ці правила, там десять правил. Я згадаю дуже коротко.

Перше правило: не тицяй каку, тобто не натискай посилання, яке прийшло з невідомого джерела, а навіть якщо й із довіреного джерела, але воно виглядає нетипово, нестандартно або людина так тобі не пише й дивно отримати від знайомого таке повідомлення — теж не натискати.

Я рекомендую в таких випадках правою клавішею копіювати це посилання, яке вам прийшло, це посилання може бути «зашите» в картинку, якщо тицьнути на неї. Тож не відкривати, а скопіювати — і вставити на такий ресурс virustotal.com, де зібрані усі антивіруси, які існують на світі, — і протягом однієї хвилини всі антивіруси світу перевірять це посилання, чи не «засвітилося» воно раніше в шахрайських схемах. Якщо там усе буде «нуль», тоді можна відкривати, але бажано в іншому вікні чи іншому браузері, щоби подивитися, про що йдеться. І, знову-таки, критично мислити, включати здорову логіку, здоровий глузд, наприклад, якщо вам пропонують виграш, а ви його не заслужили й не брали участі в розіграшах.

Друге правило — це унікальні складні паролі для кожного ресурсу. Усі про нього чули й знають, але...

Я навіть подкаст записував, як саме складати, КіберКорсун, подкаст на Spotify. Там подаю методику, як створити, а головне — як запам’ятати паролі: до пошти — один, до соцмереж — другий, до банку — третій і так далі, тому що ви не можете завжди контролювати «ту» сторону. Тобто коли ви залогінилися в пошту, то ви не можете контролювати, наскільки там усе добре з кібербезпекою і хто цим займається, і чи він не проспав сьогодні й вийшов на роботу, щоби забезпечити вашу безпеку.

«Злами» трапляються в найкрутіших компаніях, регулярно, зокрема й у безпекових, їх теж «хакають», можуть «угнати паролі» — і ви про це не знатимете. Тож придумувати різні паролі для різних ресурсів — це як розкладати яйця до різних корзин. Бо якщо «спалили» один пароль, то кіберзлочинці автоматично намагаються його застосувати на інших ваших ресурсах. І якщо вони різні — то їх спіткає зла невдача, а якщо однакові — то ви зазнаєте набагато масштабніших втрат.

Чи пароль має складатися з букв, символів і цифр? Чи можна лише частково змінювати його?

Я рекомендую довжину пароля не менше десяти — і це мають бути великі, малі букви, цифри й спецсимволи. При цьому це не повинні бути якісь слова, які є в нашій мові, особливо імена, кличка кота чи день народження,  такі паролі люди дуже часто ставлять собі. Це автоматично проганяється по словниках — пів хвилини, хвилина — і пароль зламано, бо всі слова, які колись були використані — всі скомпроментовані, бо вони відомі. Тож можна скористатися методикою, яку я пропоную, для вигадування пароля та його запам’ятовування.

Більше слухайте в доданому звуковому файлі

Сніжана Чернюк

Побач більше на цю тему: кібербезпека Чи/я інформація