Защо трябва да забравите всичко, което знаете за паролите

StockSnap_N6NK9J8V0A

Всички сме чували препоръките: „използвайте сложни пароли“, „включете числа“, „включете специални символи в паролите си“, „използвайте главни и малки букви“, „използвайте различни пароли за всеки уебсайт“, „внимавайте за паролата си за електронно банкиране“, „сменяйте паролите си често“…

Тези съвети са абсолютно грешни, пише Joseph Steinberg. Ето защо:

  1. Човешкият ум не може да запомни много сложни пароли. Използването на такива пароли създава рискове за сигурността

Използването на дълги, сложни пароли за малък брой специфични сайтове може и да е добра идея, но залагането на подобна тактика за по-голям брой сайтове би довело до проблеми: хората неправилно използват паролите си повторно, записват си ги на листове или избират пароли, следващи предсказуеми модели (например, първа главна буква, следвана от малки букви и число накрая). Всяка от тези грешки може сериозно да навреди на сигурността

Далеч по-добър подход от това да се казва на хората да използват сложни пароли е специалистите да ги съветват да класифицират системите, за които се нуждаят от достъп с парола. Подредете по важност системите, до които имате достъп, и задайте съответните правила. В зависимост от нивото на риска използвайте различни стратегии за паролите си: случайни пароли, пароли, съставени от няколко думи, които евентуално са разделени с цифри, пароли, които представляват цели фрази (25 или повече знака) и т.н. Разбира се, многофакторното удостоверяване също може да увеличи нивото на сигурност, където е налично.

  1. Понякога използването на една и съща парола за няколко акаунта е за предпочитане пред алтернативите

Макар да е вярно, че паролите за някои сайтове не бива да бъдат използвани за други сайтове, е напълно приемливо да използвате повторно пароли за сайтове, където сигурността не бива да тревожи потребителя. Сайтовете, в които повечето хора основно влизат, са именно такива. Няма причина за силна парола, например, в сайтове, които използват акаунтите само за да проследяват потребителите с маркетингови цели. Друг може да твърди, че няма причина да се измисля силна парола и за сайтове, които използват акаунтите само за да могат да свържат коментарите с авторите им. Често за регистрация в тях не се изисква нищо повече, освен име (истинско или фалшиво), имейл и парола.

Вместо да създавате множество нови пароли, приемете, че хората имат ограничен капацитет на паметта: ако използвате една и съща или сходна парола в много сайтове, където не е толкова важно информацията да бъде защитена от атаки, това ви позволява да създавате и запомняте по-сложни пароли за сайтовете, които са наистина важни. Подобен подход е за предпочитане пред правилото да използвате една парола само веднъж.

  1. Паролата за имейла и социалните мрежи може да се окаже по-важна от тази за онлайн банкирането ви

Хората са склонни да вярват, че паролата за онлайн банкирането им, както и други пароли за управление на финансите, са най-важни, но в много случаи се оказва, че това не е така. Защо? Защото много системи са създадени така, че да позволяват паролите да се заменят след валидация на самоличността на потребителите чрез имейл. Поради тази причина престъпник, който има достъп до нечий имейл акаунт, може да е в състояние да смени паролите му за множество системи, включително за някои от финансовите институции. Подобно на имейла, удостоверяването чрез Facebook и Twitter е използвано от много сайтове, така че компрометираната парола за социалните медии също може да доведе до неоторизиран достъп на трети лица до многобройни системи. Избирайте силни пароли за имейл акаунтите и за акаунтите си в социалните мрежи и използвайте многофакторното удостоверяване, когато е налице.

  1. Понякога се налага хората да предоставят паролата си по телефона, така че да им казваме никога да не го правят не е начин да ги защитим

Множество държавни комисии, съвети или отделни специалисти препоръчват на хората никога да не разкриват паролите си по телефона, в съобщение или в имейл, като твърдят, че истинските фирми, за чиито представители измамниците се представят, никога не биха ги поискали, когато комуникацията се осъществява през подобен канал.

Това, обаче, не е вярно, макар че би било добре да е истина. Все още много фирми искат от хората да им казват паролите или секретни кодове по телефона или по подобен начин. Затова по-полезен съвет е никога да не даваме парола по телефона, ако преди това не сме се свързали по своя инициатива с организацията, която я иска.

  1. Твърде честата смяна на пароли може да навреди на сигурността, вместо да я подобри

Някои препоръчват паролите да се сменят всяка седмица. Представете си колко броя важни пароли трябва да смените всяка седмица, ако следвате това правило: имейл, поне две социални мрежи, банкови акаунти, акаунти за безжични мрежи, Google и т.н., и т.н. Дори само с пет такива акаунта – а повечето хора имат много повече, смяната на паролите за тях на всеки две седмици би накарала някого да научи 130 нови пароли годишно. Не е трудно да си представите, че такъв сценарий ще доведе до повторно използване на паролите, до частични промени (например, само в цифрите накрая) или до записването им. Освен това може да заключите акаунтите си след няколко неуспешни опита да влезете в тях, което впоследствие ще ви накара да преизползвате пароли или да измисляте много по-лесни комбинации, за да не ви се налага да се справяте с ново заключване.

Паролите трябва да се сменят, ако са изложени на риск, но твърде честата им смяна може да е контрапродуктивна.

  1. Не се паникьосвайте за паролите си, когато са докладвани нарушения, игнорирайте лъжливите тревоги на „експерти“

Изглежда, че всеки път, когато в новините се съобщава за сериозен пробив в данните, „експерти“, цитирани във всички медии, съветват хората да сменят паролите си. Подобна реакция на новините за пробив е като биологичен рефлекс – дължи се на малко рационална обосновка и на множество хорови вопли и повтаряне на общи съвети като мантри.

Вместо да ви помогне, едновременната смяна на много пароли може да доведе до проблеми със сигурността, подобни на проблемите, произтичащи от честата смяна на пароли: когато хората измислят много нови пароли наведнъж, те се изправят пред сериозните ограничения на човешката памет и е по-вероятно да си ги запишат, да ги съхраняват в компютъра си (което, ако не са криптирани както трябва, също е лоша идея) или да използват сходни пароли за различни важни сайтове.

Ако наистина съществува заплаха и дадена система е уязвима, след като фактите добият публичност, напълно логично е кибер престъпниците да се възползват от тази уязвимост, обяснява Steinberg. Това не е моментът да предприемате промени. Освен това, ако тревогата е лъжлива и се вдига шум без основание, това е напълно безотговорно и поставя хората в опасна ситуация – вероятно, ако постоянно са заливани от информация за хакерски атаки, хората няма да обърнат внимание на предупрежденията, когато са наистина уязвими.

Свързани публикации