Gestionarea parolelor online

Când vine vorba despre securitatea online, mulți utilizatori se simt copleșiți. Mark Risher și Stephan Micklitz de la Google oferă sfaturi privind luarea în calcul a acestor emoții la dezvoltarea măsurilor de securitate.

Domnule Risher, sunteți directorul departamentului de management de produs din cadrul Google și lucrați în domeniul securității pe internet. Ați fost vreodată victima unei escrocherii online?

Mark Risher: Nu îmi amintesc un exemplu concret, dar presupun că da. Și eu fac greșeli când navighez pe web, ca toți ceilalți. De exemplu, am introdus recent parola contului Google pe un site greșit. Din fericire, instalasem pluginul Alertă privind parola pentru Chrome, care a semnalat greșeala. Apoi, evident, am schimbat imediat parola.

Stephan Micklitz, director tehnic în echipa de confidențialitate și securitate de la Google: A greși e omenește. Odată ce am memorat parola, putem foarte ușor să o introducem fără să fim atenți unde.

Risher: Am vrea să scăpăm definitiv de parole, dar din păcate nu e atât de simplu.

„Multe măsuri de securitate sunt active în fundal.”

Mark Risher

De ce sunt problematice parolele?

Risher: Au multe dezavantaje: sunt ușor de aflat, dar greu de memorat și gestionarea lor poate fi incomodă. Mulți utilizatori cred că parola trebuie să fie cât mai lungă și mai complicată, deși aceasta sporește riscul de securitate. Utilizatorii sunt tentați să folosească parole complicate pentru mai multe conturi, ceea ce îi face și mai vulnerabili.

Micklitz: Cu cât o parolă este introdusă mai rar, cu atât este mai bine. De aceea nu este recomandată conectarea și deconectarea repetată de la conturi. În timp, aceste operațiuni determină utilizatorii să nu mai fie atenți pe ce pagină web se află, simplificând astfel acțiunea hoților de parole. Prin urmare, le recomandăm utilizatorilor să rămână conectați.

Site-ul băncii mele mă deconectează automat după câteva minute de inactivitate.

Micklitz: Din păcate, multe companii aplică în continuare reguli învechite. Recomandarea privind deconectarea datează dintr-o perioadă în care majoritatea oamenilor se conectau din cafenele cu internet sau foloseau computere în comun cu alte persoane. Conform studiilor noastre, cu cât persoanele introduc mai des parolele, cu atât cresc șansele să fie victime ale unui atac cibernetic. Prin urmare, este mai sigur să activăm blocarea ecranului pe telefonul mobil sau pe computer și să folosim o parolă sigură.

Risher: Corect. Din păcate, circulă multe recomandări false sau ineficiente, care pot fi derutante pentru mulți utilizatori. În cel mai rău caz, utilizatorii sunt atât de nesiguri încât pur și simplu renunță: „Dacă e atât de greu să mă protejez, mai bine nu mai încerc”. E ca și cum am lăsa ușa de la intrare deschisă când știm că există hoți în zonă.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher este directorul departamentului de management de produs pentru securitate și confidențialitate din cadrul Google. În 2010, a înființat start-upul pentru securitate cibernetică Impermium, care a fost achiziționat de Google în 2014. De atunci, Risher lucrează la sediul companiei din Mountain View, California. În dreapta: o cheie de securitate de tipul celor folosite în Programul Protecție avansată. Este disponibilă la un preț mic și poate fi folosită pe o mulțime de site-uri.

Cum ar putea Google să garanteze siguranța utilizatorilor dacă ar fi interzise parolele?

Risher: Avem deja multe măsuri de securitate suplimentare active în fundal. Chiar dacă un hacker află parola și numărul tău de telefon mobil, putem garanta securitatea Contului tău Google în procent de 99,9 %. De exemplu, verificăm dispozitivul sau țara de unde se conectează utilizatorul. Dacă cineva încearcă să se conecteze la contul tău de mai multe ori consecutiv folosind o parolă incorectă, aceasta declanșează alarme pe sistemele noastre de securitate.

Micklitz: În plus, am creat și Verificarea securității, care le dă utilizatorilor posibilitatea de a examina pas cu pas setările personale pentru securitate din Contul Google. Iar cu Programul Protecție avansată, mergem chiar mai departe.

Care este ideea care stă la baza acestui program?

Micklitz: Inițial, programul a fost creat pentru persoane precum politicieni, directori executivi sau jurnaliști, care ar putea prezenta un interes deosebit pentru infractori. Dar acum este disponibil tuturor celor care își doresc un plus de protecție online. Numai utilizatorii care au un dongle USB sau Bluetooth special au acces la Contul Google personal protejat.

Risher: Știm din experiență cât de eficient este acest sistem, deoarece toți angajații Google folosesc o cheie de securitate pentru a proteja contul companiei. De când am introdus această măsură de securitate, nu am avut niciun caz de phishing care să ducă la confirmarea parolei. Tokenul îmbunătățește semnificativ securitatea Contului Google deoarece, chiar dacă atacatorii știu parola, nu pot accesa contul fără token. În general, conturile online pot fi compromise de oriunde în lume. Acest lucru nu este valabil în cazul conturilor protejate de un token de securitate fizic.

Micklitz: Apropo, aceste tokenuri de securitate pot fi folosite pentru multe site-uri, nu doar pentru Programul Protecție avansată de la Google. Pot fi cumpărate de la noi sau de la alți furnizori, la un preț mic. Toate detaliile sunt disponibile la g.co/advancedprotection.

„Uneori, oamenilor le este greu să evalueze riscurile de pe internet.”

Stephan Micklitz

După părerea dvs., care sunt cele mai mari pericole de pe internet în momentul de față?

Risher: Una dintre probleme este numărul mare de liste de nume de utilizator și parole care există online. Colegul nostru Tadek Pietraszek și echipa sa au făcut căutări pe internet timp de șase săptămâni și au găsit 3,5 miliarde de combinații de nume de utilizator și parole. Acestea nu sunt date din Conturi Google compromise, ci date furate de la alți furnizori. Însă, întrucât mulți utilizatori folosesc aceeași parolă pentru mai multe conturi, listele reprezintă o problemă și pentru noi.

Micklitz: Cred că phishingul direcționat este o problemă majoră. Acesta are loc atunci când atacatorul creează un mesaj atât de bine personalizat, încât este dificil pentru victimă să recunoască intenția frauduloasă. Observăm că hackerii folosesc tot mai des această metodă cu succes.

Risher: Sunt de acord cu Stephan. În plus, phishingul direcționat nu necesită prea mult timp. Adesea, personalizarea unui e-mail spam durează doar câteva minute. Hackerii pot folosi informațiile personale publicate online de utilizatori. Astfel, apare o problemă legată de criptomonede. De exemplu, persoanele care fac public faptul că dețin 10.000 de bitcoini nu ar trebui să fie surprinse dacă această informație atrage atenția infractorilor cibernetici.

Micklitz: E ca și cum aș sta în mijlocul pieței cu o portavoce și aș anunța care este soldul contului meu bancar. Cine ar face asta? Nimeni. Însă, uneori, oamenilor le este greu să evalueze riscurile de pe internet.

E-mailurile de spam periodice sunt în continuare o problemă?

Risher: Asocierea dispozitivelor și a serviciilor este o provocare serioasă pentru noi. Utilizatorii nu folosesc doar laptopuri și smartphone-uri pentru a se conecta la internet, ci și televizoare, smartwatchuri și difuzoare inteligente. Diferite aplicații rulează pe toate aceste dispozitive, oferindu-le hackerilor multe ținte de atac potențiale. Și pentru că multe dispozitive sunt acum conectate, hackerii pot folosi un dispozitiv pentru a încerca să acceseze informații stocate pe un altul. Așa că trebuie să găsim o soluție pentru a garanta siguranța utilizatorilor, în ciuda numeroaselor obiceiuri noi de utilizare.

Micklitz: Pentru început, trebuie să stabilim ce date sunt cu adevărat necesare pentru fiecare serviciu și ce date sunt transferate între servicii.

Cum folosiți inteligența artificială pentru a proteja utilizatorii?

Micklitz: Google folosește de mult timp inteligența artificială.

Risher: Tehnologia a fost încorporată în serviciul nostru de e-mail, Gmail, de la bun început. Google a dezvoltat și propria bibliotecă de machine learning, numită TensorFlow, care simplifică operațiunile programatorilor care lucrează la machine learning. Mai ales Gmail beneficiază de biblioteca TensorFlow, deoarece este foarte utilă atunci când vine vorba despre recunoașterea modelelor uzuale.

Puteți să explicați cum funcționează recunoașterea modelelor?

Risher: Să presupunem că observăm activitate suspectă în rândul mai multor utilizatori, pe care nu o putem clasifica. Un sistem de machine learning poate să compare evenimentele respective și, în cel mai bun caz, să detecteze noi metode de fraudă înainte ca acestea să se răspândească online.

Micklitz: Însă există limitări: sistemul este la fel de inteligent ca persoana care îl folosește. Dacă introduc date false sau părtinitoare pe sistem, modelele pe care le recunoaște vor fi și ele false sau părtinitoare. În ciuda entuziasmului față de inteligența artificială, eficiența acesteia depinde întotdeauna de persoana care o folosește. Utilizatorul trebuie să instruiască sistemul folosind date de calitate și să verifice ulterior rezultatele.

Risher: În perioada în care am lucrat cu un alt furnizor de servicii de e-mail, am primit un mesaj de la un angajat al unei bănci din Lagos. La vremea aceea, circulau multe e-mailuri frauduloase, despre care se pretindea că ar fi trimise din Nigeria. Bărbatul se plângea că e-mailurile sale ajung mereu în dosarul de spam al destinatarilor, deși lucra pentru o bancă de încredere. Acesta este un caz tipic de generalizare falsă folosită pentru recunoașterea modelelor, din cauza informațiilor insuficiente. Am rezolvat problema schimbând algoritmul.

Fotografii: Conny Mirbach

Progrese în securitatea cibernetică

Află cum menținem în siguranță online mai mulți utilizatori decât orice altă companie din lume.

Aflați mai multe