Какая статистика! За прошлый год хакеры слили 721 миллион паролей. И что бы вы думали? 74% (!!!) пользователей их так и не сменили. Но мы ведь с вами в Starliner не такие?
Ненадежные пароли – самое уязвимое место даже в самой надежной системе безопасности. Хакерам легко подобрать простой пароль, для этого у них есть все средства – от словарей с миллионами типичных паролей до спецпрограмм для автоматического перебора тысяч паролей в секунду.
По договору Starliner вся ответственность за действия, совершенные с логином и паролем, целиком и полностью лежит на компании-клиенте. Но не в наших правилах бросать клиента один на один с хакерами. Именно поэтому с 19 апреля 2023 года Starliner вводит обязательное обновление пароля и авторизацию по коду из СМС или google authenticator. Объясняем, как правильно подобрать и хранить пароли, и зачем это нужно.
Что будет, если пароль будет украден или подобран хакером?
Если хакер, подобрав пароль, вошел в систему, он может выписать множество дорогих билетов. И это будет прямым финансовым ущербом для одной компании, проигнорировавшей рекомендации по обеспечению безопасности.
Кроме того, хакеры могут попытаться взломать цифровую систему Starliner изнутри (имея пароль, это сделать проще). И тогда это затронет уже многие компании. Могут быть украдены все остальные пароли. Ущерб будет фатальным.
Поэтому Starliner предлагает воспользоваться всеми доступными в нашей системе на сегодняшний день средствами безопасности: сложным паролем и вторым фактором аутентификации – кодом из СМС или из приложения google authenticator. Это значительно снизит риски. Но!
Без качественного пароля все равно нельзя
На уровне компании можно настроить политику безопасности, прописав, как часто нужно менять пароли, насколько сложными они должны быть.
Опираясь на мнения экспертов в сфере ИТ и обеспечения безопасности, мы считаем, что принуждать сотрудников к частой смене паролей контрпродуктивно. Их тяжело запоминать и хранить. Это приводит лишь к тому, что пароли забываются, теряются, а люди злятся и тратят время впустую на восстановление доступов.
Практика показывает, что чаще всего сотрудники используют сложный пароль, но везде один и тот же. А при смене на новый – добавляют к старому паролю по одному символу. Всё это только ухудшает безопасность. Менять раз в год или даже реже – достаточно.
Современные рекомендации просты. Пароль должен быть:
- уникальным
- чем длиннее, тем лучше
- подобрать его должно быть сложнее, чем запомнить.
Предлагаем использовать парольные фразы – несколько осмысленных слов, складывающихся в неожиданную, но легко запоминающуюся последовательность. Детские стишки, сказки, любимые малоизвестные фильмы и книжные цитаты – неисчерпаемый источник таких паролей. И нет, пароль «рыба-меч» не подходит.
Tridtsat3Bogatirya, 451PoFarengeitu – хороший пример. Но! Внимание! Никогда не используйте готовые примеры. Придумайте свои собственные!
Согласно сайту проверки украденных паролей, среди всех известных, украденных ранее 12,465,334,323 (двенадцати миллиардов!), этих паролей нет. А та самая «рыба-меч» (SwordFish) – есть.
Избегайте контекста: пароль StarLiner1918 для сайта Starliner – это очень плохой вариант.
А как запомнить все эти уникальные пароли для сайтов? И знать, на каких сайтах у меня вообще есть аккаунты?
Помнить этого и не нужно. Лучше хранить пароли в менеджерах паролей – специальных программах, которые зашифруют их и сделают работу гораздо удобнее. Есть сайты для хранения паролей, например:
Их многократно пытались взломать, но ни одной известной утечки паролей из них так и не произошло.
Еще надежнее использовать локальный менеджер паролей. Например, keepass. Эта программа надежно шифрует и хранит ваши пароли в файле на вашем компьютере или смартфоне и мгновенно ищет их по любому слову из описания. А передавать обновленные пароли можно, синхронизируя файл через облачные диски: icloud, google drive, Яндекс.Диск.
Главное – запомнить пароль к самому хранилищу паролей. Если его забыть, восстановить доступ будет невозможно.
Запись паролей на бумаге – не лучшая практика. Особенно, если это стикер, приклеенный к монитору или под клавиатуру. Но если вы используете органайзер, который всегда при вас или лежит в закрытом ящике, а парольная фраза записана без пояснения, к чему она относится, на только вам известной странице, то это вполне надежно. Там и запишите.
Резюме или Инструкция по безопасности:
- Настоятельно рекомендуем подключить авторизацию по коду из СМС или google authenticator. Если нужна помощь с настройкой, обратитесь к нашим сотрудникам. Подробности – вот здесь.
- Задайте качественный пароль. Он должен быть 12 символов + с использованием строчных, заглавных букв и цифр.
- Пароль не должен состоять из одного слова, даже длинного. Несколько слов – лучше.
- В пароле не должно быть информации, которая общедоступна или угадывается – частей логина, дат рождения и т.п.
- Пароль должен быть уникальным, а не вариацией другого или использовавшегося где-то ещё.
- Не передавайте пароль никому, даже сотрудникам Starliner.