Пароли: сложные, простые, ужасные — как управлять паролями в компании
03.10.2019
Дата обновления: 15.12.2020
В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.
Информационная безопасность
Узнать больше
К чему приведет плохой пароль
Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:
- Компания «Нутелла» посоветовала подписчикам использовать в качестве надежного пароля слово Nutella.
- Один из сотрудников Белого дома забыл на автобусной остановке бумажку, на которой был записан незащищенный пароль от электронной почты.
- В Google стажировался студент из Индии, который смог получить доступ к спутнику компании через административную панель, просто оставив поля ввода логина и пароля пустыми.
- Данные более 14 миллионов избирателей штата Техас в США стали доступны в режиме онлайн просто потому, что сервер не защитили паролем.
- Сотрудники Организации Объединенных Наций хранят документы в Trello и Google Docs, которые не защищены паролем. По ссылкам они становятся доступны всем желающим.
Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.
Критические ошибки
Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.
Примитивные и слабые пароли
Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:
Пароль
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwertry
- iloveyou
Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.
Люди продолжают использовать примитивные пароли, которые можно объединить в группы:
- Двухсловные пароли: tanyatanya, dindin, «сашамаша»
- Слова с числами в конце: ivanov1994, football2018, login1234
- Выдаваемые системой по умолчанию: guest, user, default
- Слова из английского и других словарей: sweet, «семья», myhouse.
- Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
- Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
- Известные цифровые комбинации: «112», «0911», «777» и т. д.
- Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.
Одинаковые пароли для всех программ и сервисов
Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:
- Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
- Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
- Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.
Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.
Открыто записанные логины и пароли
Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:
- Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
- На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
- В браузере (особенно это касается критически важных программ и сервисов).
Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.
Легко восстанавливаемые пароли
Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.
В этом случае:
- Надежно защитите электронный ящик для восстановления.
- Выберите секретный вопрос, ответ на который знаете только вы.
Дискредитированные и просроченные пароли
Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:
- Смена пароля автоматически увеличивает время на его взлом.
Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке. Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.
Неграмотное использование спецсимволов
Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333
. Пример равномерного распределения знаков по паролю – kIs$t0cHk@.Игнорирование альтернативных средств защиты
Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.
Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.
Недочеты и рекомендации
Знание первых и следование вторым приведет к грамотному использованию паролей.
Часто сменяемые пароли
Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.
Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.
Адекватное отношение к смене паролей
Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.
Использование автоматической генерации паролей
Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. ). Пароль приходится записывать. А как хранить такие записи, мы уже советовали. Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.
Как посмотреть сохраненные пароли в разных браузерах — PromoPult.ru.
Браузеры умеют запоминать пароли. Чтобы узнать, изменить или удалить пароль, нужно найти в настройках менеджер паролей
Google Chrome
Хром синхронизируется с вашим Google аккаунтом, и хранит пароли не прямо в браузере, здесь их можно только посмотреть, а на серверах Google. Сохраненные пароли хранятся по адресу https://passwords.google.com/, для просмотра нужно ввести пароль от Google аккаунта.
В браузере для просмотра паролей нажмите на иконку своего аккаунта на панели инструментов:
Выберите пункт «Пароли»:
Менеджер паролей выглядит так:
Здесь можно отключить сохранение паролей и автоматический вход, а также посмотреть все сохраненные пароли. Для просмотра пароля из списка нажмите на иконку глаза, для удаления — на три точки.
Если у вас на компьютере установлен пароль на вход, после нажатия на иконку глаза появится такое окно:
В этом окне введите пароль от Windows — это нужно, чтобы посторонний человек за вашим ПК не мог посмотреть сохраненные пароли.
Если список сохраненных паролей длинный, ищите их через через строку поиска по адресу сайта:
Все введенные в Хроме пароли хранятся в Google аккаунте, там их можно просматривать, редактировать и удалять — после этого они изменятся и в браузере.
Мобильная версия Chrome
В мобильной версии Google Chrome пароли находятся в разделе настроек:
Чтобы посмотреть пароли, у вас должна быть включена блокировка экрана на телефоне — это защита от просмотра случайным человеком.
Если вы не хотите включать блокировку на телефоне, перейдите по ссылке в Google аккаунт — там все будет так же, как в десктопной версии.
Пароли, которые вы изменили на компьютере, изменяются и на телефоне — и в обратную сторону.
Opera
В браузере Опера нажмите на значок браузера в левом верхнем углу:
В открывшемся меню выберите «Настройки»:
Настроек в Опере много, так что быстрее всего будет написать слово «Пароли» в окне поиска и выбрать нужный пункт:
Здесь хранятся все сохраненные пароли. Их можно искать, просматривать и удалять.
Просмотр паролей защищен — нужно ввести пароль от аккаунта Windows:
Мобильная версия Оперы
Чтобы увидеть пароли в мобильном браузере, нажмите на логотип в правом нижнем углу и откройте настройки:
Отлистайте настройки вниз до пункта «Конфиденциальность» и нажмите в нем «Пароли»:
Откройте пункт «Сохраненные пароли» и выберите нужный сайт:
Если у вас не установлена блокировка телефона пин-кодом или графическим ключом, «глазика» рядом с паролем не будет, и посмотреть его будет нельзя:
Если пин-код или графический ключ есть, нажмите на иконку «глаза», разблокируйте телефон и посмотрите пароль:
Если вы пользуетесь на десктопе и мобильном телефоне одним аккаунтом Оперы, пароли на девайсах будут синхронизироваться.
Mozilla Firefox
В браузере Firefox есть синхронизация паролей. Чтобы она работала, нужно создать аккаунт.
Для этого перейдите по ссылке https://accounts.firefox.com/signup?service=sync&context=fx_desktop_v3&entrypoint=menupanel, заполните поля и подтвердите адрес электронной почты:
После этого авторизуйтесь в браузере на любом компьютере или телефоне — все ваши пароли, закладки и настройки будут доступны.
Чтобы посмотреть пароли, нажмите на «гамбургер» в правом верхнем углу браузера и войдите в настройки:
В настройках перейдите во вкладку «Приватность и защита»:
В этом окне наверху находятся настройки паролей. Нажмите кнопку «Сохраненные логины»:
В открывшемся окне будут все сохраненные логины и пароли:
Среди них можно искать нужный пароль по названию сайта или логину. Кнопка «Отобразить пароли» покажет сразу все сохраненные пароли. Вводить пароль Windows для этого не понадобится.
Чтобы изменить пароль, просто дважды кликните на него:
Мобильная версия Firefox
Чтобы посмотреть пароли в мобильном браузере, нажмите на три точки в правом верхнем углу экрана и перейдите в Параметры → Приватность → Управление логинами:
В открывшемся окне нажмите на нужный логин и на кнопку «Показать пароль» — если хотите его посмотреть, и «Изменить логин», если хотите изменить логин или пароль.
На всех девайсах, где вы пользуетесь одним аккаунтом Firefox, пароли синхронизируются.
Safari
В браузере Сафари нажмите на шестеренку в правом верхнем углу экрана (или в меню Safari → Настройки в iOS) и перейдите по пути Настройки → Пароли.
В iOS для доступа к спику потребуется ваш пароль пользователя iOS.
В меню «Пароли» можно найти нужный логин, если паролей много — воспользуйтесь поиском.
Пароли скрыты точками. В iOS достаточно нажать на них, чтобы посмотреть. В Windows потребуется дважды кликнуть и ввести пароль пользователя для просмотра (в iOS вы его ввели раньше).
Если нужно посмотреть несколько паролей, поставьте галочку в поле «Показывать пароли для выбранных веб-сайтов» (Windows).
Мобильная версия Safari
На iPhone и iPad пароли находятся в общих настройках телефона или планшета. В настройках нужно выбрать пункт Пароли и аккаунты → Пароли сайтов и приложений.
Чтобы открыть пароли, понадобится ввести пин-код или иначе разблокировать телефон.
Чтобы посмотреть пароль, просто нажмите на нужный сайт.
В iOS все пароли синхронизируются между девайсами.
Edge
Edge — это новый браузер Microsoft, который заменил Internet Explorer.
В самом браузере посмотреть сохраненные пароли нельзя — он хранит их в настройках Windows. Чтобы посмотреть пароли, нажмите на иконку поиска рядом с меню пуск:
В поиске найдите панель управления:
В Панели управления убедитесь, что пункты отсортированы по категориям и нажмите на категорию «Учетные записи пользователей».
Выберите пункт «Управление учетными данными для Интернета»:
Здесь вы увидите все сохраненные в Edge пароли:
Нажатие на стрелочку откроет полные данные о сохраненном логине, на кнопку «Показать» — покажет пароль.
Мобильная версия Edge
В мобильной версии пароли хранятся в Настройках. Для просмотра нажмите три точки в нижнем правом углу экрана и перейдите по пути Настройки → Сохранение паролей.
Чтобы посмотреть пароль, нажмите на нужный сайт и на иконку глаза. Нужно, чтобы на телефоне была установлена блокировка экрана — иначе посмотреть пароль не получится.
Пароли учетной записи Microsoft синхронизируются между девайсами пользователя.
Яндекс.Браузер
В Яндекс.Браузере попасть в менеджер паролей можно прямо из меню настроек — нажмите на «гамбургер»:
В окне поиска можно искать нужные пароли по названию сайта. Клик на сайт позволит посмотреть и изменить пароль:
Мобильный браузер Яндекс
Чтобы попасть в настройки в мобильном браузере, нажмите на три точки прямо в строке поиска:
Скриншоты менеджера паролей сделать нельзя (защита браузера, на скриншоте будет рабочий стол) — под Андроидом. В iOS на входе в меню управления паролями потребуется разблокировка экрана, далее все аналогично.
Внутри нажмите на нужную вам ссылку. Чтобы посмотреть пароль, нажмите на иконку глаза, чтобы посмотреть и изменить — на кнопку «редактировать».
Пароли синхронизируются для одного аккаунта Яндекса.
Возможные различия
Скриншоты браузеров сделаны в основном под Windows и Android, исключение — Safari, «родной» браузер от Apple.
Дата подготовки инструкции — октябрь 2018 года. Позднее, а также в младших версиях браузеров, порядок доступа к паролям может измениться. Для уточнения сведений читайте справочные разделы браузеров.
Статистика доходов и использования Telegram (2023)
Telegram — это облачная служба обмена мгновенными сообщениями, которая предлагает мультимедийные сообщения, голосовые и видеозвонки, аналогичные Facebook Messenger.
Основана Николаем и Павлом Дуровыми в 2013 году, основателями российской социальной сети ВКонтакте (крупнейшей на отечественном рынке). Первоначально штаб-квартира Telegram находилась в Санкт-Петербурге, но команда Telegram неоднократно меняла юрисдикцию, чтобы избежать проблемных правил. В настоящее время штаб-квартира компании находится в Дубае, после того как она побывала в Лондоне (где она официально зарегистрирована), Берлине и Сингапуре.
Telegram был создан с целью оспорить первенство WhatsApp. Он отличается от последнего тем, что позволяет пользователям получать доступ к учетным записям с нескольких устройств, и Telegram сосредоточился на том, чтобы быть анти-Facebook с точки зрения шифрования и правил. Его создатели утверждают, что его инфраструктура с несколькими центрами обработки данных и шифрование делают его более безопасным, чем его конкурент, принадлежащий Facebook.
— Реклама —
Пользователи могут иметь «секретные чаты», которые видят сообщения, хранящиеся на устройствах, а не в облаке. Сообщения также можно настроить на самоуничтожение, как в Snapchat.
Однако это вызвало критику со стороны экспертов по безопасности. Одноразовые пароли для входа в систему, переданные по SMS, были перехвачены хакерами в Иране, России, Бразилии и властями Германии.
Тем не менее, когда пользователи ищут безопасный сервис, кажется, что Telegram оказывается тем местом, где они отказываются. Мы видели это в 2013 году, когда вокруг Kakao Talk в Южной Корее возникли опасения по поводу слежки, и снова в 2019 году во время протестов в Гонконге против правительства Китая. Беларусь — последняя точка доступа, где Telegram оказался незаменимым в 2020 году9.0003
Telegram использует открытый API и приглашает разработчиков создавать свои собственные приложения Telegram. Компания Samsung воспользовалась этим, запустив в 2015 году свой недолговечный Socializer Messenger.
Разработчикам также предлагается создавать ботов, а пользователи могут создавать наборы наклеек. Помимо отправки сообщений, пользователи могут подписаться на «каналы», которые позволяют создателям отправлять сообщения подписчикам.
Telegram не продает рекламу, заявляя, что доступ к личным данным, полученным рекламодателями, будет противоречить его духу. Финансирование пока поступает в частном порядке от Павла Дурова. Компания заявила, что при необходимости обратится к пожертвованиям пользователей или модели freemium для увеличения доходов. По его собственным словам, «получение прибыли никогда не будет конечной целью Telegram».
Telegram работает относительно секретно и подчеркивает свою приверженность свободе от рыночного давления, а также от любых ограничений, налагаемых на национальном уровне. Это сделало его очень популярным инструментом в некоторых частях мира с более чем 500 миллионами активных пользователей в месяц.
Мы собрали данные и статистику по Telegram. Читайте ниже, чтобы узнать больше.
Ключевая статистика Telegram
- Telegram имеет 500 миллионов активных пользователей в месяц
- Telegram — самое популярное приложение для обмена сообщениями в Иране и Узбекистане (SimilarWeb via ChartsBin)
- Telegram достиг более миллиарда раз, с 430 миллионами загрузок только в 2021 году. , хотя в ближайшем будущем он планирует запустить функции Freemium. Неудачная попытка запустить криптовалюту была остановлена SEC в 2019 году, и Telegram не пытался ее перезапустить.
Пользователи Telegram
Количество активных пользователей Telegram в 2021 году достигло 500 миллионов, что сделало его одной из самых популярных платформ обмена сообщениями в мире.
Годовые пользователи Telegram с 2014 по 2021 год (мм)
2014 35 50 2016 80 2017 150 2018 200 2019 300 2020 5420 9006 61 2021 500 Источники: Telegram, TechCrunch, Mashable
Пользователи Telegram по регион
Крупнейшим рынком сбыта Telegram является Индия, на которую приходится более 20% его пользовательской базы. Telegram также имеет большое количество пользователей в странах с жесткой цензурой и слежкой, таких как Иран, Россия и Узбекистан.
Пользователи Telegram по регионам 2021 (мм)
Азия 38 6 Азия 7 Латинская Америка 21 MEMA 8 Источник: Telegram. Изменение настроек конфиденциальности Facebook в WhatsApp вызвало массовый всплеск загрузок Telegram в январе 2021 года9.0003
Общее количество загрузок Telegram с 2014 по 2021 год (мм)
2014 6 906 100 20152
130 2016 180 2017 250 2018 340 2019 515 2020 2 80062 2021 1270 Источники: AppMagic, Sensor Tower добавляются в Telegram каждый день?
В апреле 2020 года Telegram ежедневно добавлял 1,5 миллиона новых пользователей
Сколько иранцев пользуются Telegram?
До запрета 50 миллионов пользователей Telegram находились в Иране.
- Смена пароля автоматически увеличивает время на его взлом.