17 апреля 2014

#heartbleed: приключения с паролями

Бизнес

У всей истории с #heartbleed есть один позитивный результат: возникла необходимость глобальной перетряски всех паролей — везде и всюду, прямо вот сейчас. Сегодня пароли являются ключевым способом обеспечения безопасности данных в IT, однако у них есть свои слабости… Точнее сказать, это скорее слабости людей: короткие, легко подбираемые, используемые многократно пароли — это весьма распространённая проблема. Согласно опросу, который проводили B2B International и «Лаборатория Касперского», порядка 39% пользователей в мире предпочитают использовать всего лишь несколько паролей (а то и вовсе один и тот же) для всех ресурсов, которые они посещают. Кроме того, 63% респондентов в ходе того же опроса, признали, что их пароли легко отгадать.

Уязвимость #heartbleed, которая сегодня выглядит как одна из крупнейших брешей за всю историю, напугала и экспертов, И хорошо информированных пользователей. Пора что-либо предпринять. На самом деле, впереди у нас, скорее всего, долгое, трудное и вряд ли особо приятное приключение. Особенно это справедливо для малого бизнеса, учитывая, что в малых компаниях далеко не всегда есть отдельные системные администраторы, и работникам этих фирм приходится разбираться со своими паролями и безопасностью самостоятельно.

800_1

Что ж, первое, что стоит сделать, это понять, что именно может повлиять на нашу безопасность. Для малого бизнеса правильный ответ краток: всё. Всё, поскольку люди преимущественно используют одни и те же устройства для личных и рабочих нужд, и если не установлено какое-либо защитное решение, изолирующее рабочие и личные данные друг от друга, визит на заражённый вредоносным ПО легитимный веб-сайт может привести к компрометации данных. Так что безопаснее всего — исходить из того, что любые веб-ресурсы, которые вы посещаете, могут быть скомпрометированы, вне зависимости от причин.

Для начала меняем пароли к почтовым ящикам. И рабочим, и личным, особенно, если они используются для восстановления паролей.

Однако затем возникает явственный «эффект бабочки»: как только сменили пароль к почте, выясняется, что менять надо ещё много где: ПО и сервисы для организации групповой работы, такие как Microsoft Exchange и Google Drive, доступ к которым осуществляется через почту и аккаунты Google. Затем — аккаунты Apple, к которым подключены все устройства на базе Mac OS X и iOS.

350_in_text_side_pictureЗатем идут социальные сети с личными и корпоративным аккаунтами. Большинство коммерческих компаний сегодня использует их для того, чтобы стать ближе к своим клиентам. Киберпреступники тоже используют их, чтобы стать ближе к вам, вашим деньгам и данным.

Во всех современных браузерах существует опция хранения паролей (и автоматического заполнения форм). Давайте посмотрим, сколько сайтов мы посещаем… Скорее всего, их весьма порядочно. А сколько похожих (не одинаковых, но похожих) используются для авторизации на них? Используются ли эти пароли на публичных веб-площадках и в электронной почте? — Тогда весь вопрос заключается в том, как скоро потенциальные хакеры угадают нужный пароль. А с угадыванием у них всё хорошо. Опыт имеется.

Кстати, у «Лаборатории Касперского» есть свой онлайновый инструмент для проверки надёжности паролей.

По правде сказать, жизнь значительно облегчает использование таких решений как Kaspersky Small Office Security со встроенным Менеджером Паролей. Он позволяет формировать уникальные и не поддающиеся подбору пароли для всего диапазона посещаемых ресурсов, хранит их в зашифрованном виде, в то время как самому пользователю понадобится запомнить только один мастер-пароль. Подробнее об этом читайте здесь.