Безопасная аутентификация: рекомендации агентства по кибербезопасности ЕС

Агентство по сетевой и информационной безопасности Евросоюза (European Union Agency for Cybersecurity, ENISA) опубликовало в четверг рекомендации по усилению методов безопасности аутентификации и защиты паролей.

Пароли всё ещё являются основным методом аутентификации пользователей интернет-платформ и IT-систем, а следовательно, и главной целью киберпреступников, напоминает ENISA. Сегодня пароли могут быть похищены множеством способов, включая следующие:

  1. Социальная инженерия, в чьи методы входят фишинг (кража данных при помощи поддельных веб-страниц); телефонное мошенничество (когда жертву в разговоре убеждают раскрыть нужную преступникам информацию); «взгляд через плечо» (shoulder surfing, подглядывание за человеком, вводящим пароль на своём устройстве), сюда же входит банальное прочтение пароля, записанного ручкой на бумажном стикере.
  2. Кража паролей при помощи специализированного программного обеспечения или физических устройств для перехвата ввода с клавиатуры. Некоторые из таких атак требуют физического доступа злоумышленника к компьютеру или хотя бы нахождения рядом с ним.
  3. Перехват коммуникаций при помощи фальшивых точек доступа или проведения атаки типа «человек посередине» (man-in-the-middle, MiTM), она же «атака посредника», на сетевом уровне. Чаще всего используется в публичных Wi-Fi-сетях – в отелях, аэропортах, кафе и пр.
  4. Брутфорс-атаки на пароли (от brute force, «грубая сила», перебор всех возможных комбинаций), словарные атаки или попытки «просто угадать» пароль.
  5. Извлечение паролей из баз похищенных данных и применение этих паролей на других сайтах и в других системах.

Исходя из этого, ENISA рекомендует:

  1. Активировать многофакторную аутентификацию для всех своих аккаунтов (где это возможно).
  2. Не применять один и тот же пароль на разных ресурсах.
  3. Комбинировать систему «логин-пароль» с многофакторной аутентификацией.
  4. Использовать менеджер паролей.
  5. Создавать стойкие и уникальные пароли или кодовые фразы, следуя новейшим доступным руководствам, для каждого сайта и сервиса.
  6. Проверять, не оказался ли какой-нибудь из ваших аккаунтов в базе свежих утечек. В случае, если такое произошло – срочно менять пароль.
  7. Многие сайты предлагают воспользоваться «напоминалкой паролей», позволяющей быстро сменить пароль. Убедитесь, что применяя этот функционал, вы не вводите туда легко добываемую личную информацию вроде клички домашнего животного, даты своего рождения, названия учебного заведения и т.д.
  8. Используйте VPN или хотя бы мобильный доступ, когда заходите в интернет-банк или иной важный сервис в зоне публичного Wi-Fi.
  9. Находясь в общественных местах – аэропортах, поездах, кафе, — проверяйте, не следит ли за вами кто-то с целью увидеть ваш пароль. Избежать подобной утечки может помочь специальный защитный экран, препятствующий прочтению текста при взгляде со стороны, т.е. под большим углом (такой плёнкой покрыты экраны банкоматов, например).
  10. Не оставляйте свои устройства без присмотра и блокировки вне дома (в отеле, общественном транспорте, залах ожидания и пр.).

Напомним, в свежем исследовании компании «Ростелеком-Солар» отмечается, что около 80% российских компаний не соблюдают базовых правил парольной защиты. Основной проблемой эксперты назвали человеческий фактор – и рекомендуют вводить в сетях двухфакторную аутентификацию пользователей.

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"