Как управлять паролями
Когда речь заходит о безопасности в интернете, многие пользователи чувствуют растерянность, пытаясь разобраться в хитросплетениях множества требований. Марк Ришер и Штефан Миклиц из компании Google рассуждают о том, как разработать меры безопасности, которые не будут усложнять пользователям жизнь.
Марк, в Google вы директор по управлению продуктами для обеспечения интернет-безопасности. Вы сами когда-нибудь становились жертвой мошенников в Сети?
Марк Ришер: Не скажу точно, но думаю, что становился. Потому что я ничем не отличаюсь от других пользователей. Например, недавно я ошибся и ввел пароль от своего аккаунта Google не на том сайте. К счастью, у меня установлен плагин "Защитник паролей", поэтому мне пришло предупреждение. Конечно, я сразу сменил пароль.
Штефан Миклиц, руководитель команды Google по вопросам конфиденциальности и безопасности: Каждый из нас может ошибиться. Скажем, если я знаю свой пароль наизусть, то могу ввести его машинально, особо не задумываясь о том, что это за сайт.
Ришер: Мы бы с радостью навсегда отказались от паролей, но, к сожалению, все не так просто.
"Множество функций безопасности работают незаметно для пользователей".
Марк Ришер
А что не так с паролями?
Ришер: У них масса недостатков. Их легко украсть и тяжело запомнить. А каждый раз записывать куда-то новый пароль – увольте! Многие считают, что пароль должен быть очень длинным и сложным, но на самом деле это только снижает общий уровень безопасности. Придумав один сложный пароль, мы начинаем использовать его на разных сайтах, тем самым повышая уязвимость своих данных.
Миклиц: Чем реже вы вводите пароль в интернете, тем лучше. Поэтому не рекомендуется лишний раз выходить из своих аккаунтов и снова входить в них. Это может привести к тому, что в какой-то момент вы потеряете бдительность и введете пароль на подозрительной веб-странице. Мы советуем пользователям не выходить из аккаунтов, если нет такой необходимости.
Я пользуюсь интернет-банком, и, если несколько минут я ничего не делаю в своем аккаунте, сеанс автоматически завершается. Разве это необходимо?
Миклиц: К сожалению, до сих пор многие компании следуют устаревшим правилам. Раньше действительно считалось, что нужно выйти из аккаунта, если компьютер вам больше не нужен, потому что большинство людей выходили в Сеть в интернет-кафе или работали поочередно за одним компьютером. Мы провели исследование и выяснили, что чем чаще пользователь вводит пароль, тем больше для него риск стать жертвой кибератаки. Поэтому лучше просто блокировать экран своего телефона или компьютера и использовать надежный пароль.
Ришер: Все верно. Но, к сожалению, зачастую можно встретить неверные или бессмысленные рекомендации, которые сбивают пользователей с толку. Иногда люди настолько теряют надежду разобраться, что просто говорят себе: "Все так сложно, что я даже не буду ввязываться". Это сродни тому, чтобы уйти и оставить незапертой машину в криминальном районе.
Марк Ришер – директор по управлению продуктами для обеспечения интернет-безопасности и конфиденциальности (Google). В 2010 году он основал стартап по кибербезопасности, Impermium, который в 2014 году купила компания Google. С тех пор Ришер работает в главном офисе Google в Маунтин-Вью, Калифорния. Справа: ключ безопасности для программы Дополнительной защиты. Он продается по доступной цене и может использоваться для входа на различные сайты.
Но как вы сможете гарантировать безопасность, если отмените пароли?
Ришер: Мы уже внедрили множество дополнительных мер безопасности, которые работают незаметно для пользователей. Хакер может узнать ваш пароль и номер телефона, но даже в таком случае уровень защиты вашего аккаунта Google составит 99,9 %. Например, мы проверяем с какого устройства и из какой страны выполняется вход. Если пользователь несколько раз подряд ввел неверный пароль, наши системы безопасности получают информацию об этом.
Миклиц: Да, и мы создали сайт "Проверка безопасности", на котором пользователи могут задать персональные настройки для своих аккаунтов Google с помощью пошаговых инструкций. У нас также есть программа Дополнительной защиты, которая ещё больше усиливает безопасность пользователей.
Расскажите об этой программе.
Миклиц: Изначально она была задумана для политиков, крупных бизнесменов и журналистов, то есть для тех, за кем постоянно следят разного рода мошенники и преступники. Но сейчас эта программа стала доступна всем пользователям, которые хотят повысить уровень своей безопасности в интернете. Для доступа к аккаунтам Google, защищенным в рамках этой программы, нужен специальный USB- или Bluetooth-ключ.
Ришер: Мы уже давно убедились в эффективности этого метода на собственном опыте – все сотрудники Google должны использовать электронный ключ для безопасного доступа к своим рабочим аккаунтам. С момента ввода этой меры безопасности мы не зафиксировали ни одного случая фишинга, который бы произошел в результате ввода пароля. Этот ключ значительно повышает безопасность аккаунтов Google. Даже если злоумышленник знает пароль, он не сможет выполнить вход без электронного ключа. Обычный аккаунт может подвергнуться атаке хакеров из любой точки мира, но если ваш аккаунт защищен физическим ключом безопасности, можете быть спокойны.
Миклиц: К тому же такие ключи можно использовать и на других сайтах, которые не участвуют в нашей программе Дополнительной защиты. Вы можете купить их у нас или другого поставщика по доступной цене. Все подробности вы найдете на странице g.co/advancedprotection.
"Пользователям бывает сложно оценить реальные риски безопасности в интернете".
Штефан Миклиц
Каковы, по вашему мнению, самые большие опасности для нашей конфиденциальности, которые таит в себе интернет?
Ришер: Начнем с того, что сейчас в Сети можно найти множество списков с именами пользователей и паролями. Наш коллега Тадек Петрашек и его команда полтора месяца прочесывали интернет в поисках таких списков и обнаружили 3,5 млрд комбинаций имен пользователей и паролей. Это не данные взломанных аккаунтов Google – это данные, которые кто-то украл у других компаний. Но так как многие пользователи задают один и тот же пароль на нескольких сайтах, найденные списки представляют собой угрозу и для аккаунтов Google.
Миклиц: Ещё одна большая проблема – целевой фишинг. Это когда мошенник отправляет вам поддельное электронное письмо, которое практически неотличимо от настоящего. Сегодня хакеры используют такой вид мошенничества всё чаще и, к сожалению, небезуспешно.
Ришер: Согласен. Вы удивитесь, но создать поддельное письмо, адресованное конкретному человеку, совсем не сложно. У мошенника это может занять всего несколько минут. При этом он зачастую использует информацию, которую люди публикуют о себе в Сети. Такая проблема, к примеру, часто возникает при использовании криптовалют: люди, которые открыто сообщают о том, что владеют 10 000 биткоинов, с большой долей вероятности привлекут внимание мошенников.
Миклиц: Это как если бы я, встав в центре городской площади, начал в рупор кричать о том, какая сумма лежит на моем банковском счете. Знаете таких людей? И я нет. Но в интернете пользователям бывает сложно оценить реальные риски.
А что насчет привычного нам спама? Он остается в списке проблем?
Ришер: Сейчас на первый план вышла проблема, обусловленная связью различных устройств и сервисов. Люди выходят в интернет не только со своих планшетов и телефонов, но и с телевизоров, умных часов и колонок. На всех этих устройствах установлены различные приложения, которые могут попытаться взломать хакеры. Сейчас многие устройства связаны между собой, поэтому доступ к информации на одном из них можно получить через другое. Перед нами стоит важная задача – гарантировать безопасность пользователей в условиях популярности устройств с выходом в интернет.
Миклиц: Прежде чем приступать к решению этой проблемы, необходимо выяснить, какие данные действительно нужны для тех или иных сервисов и какими данными сервисы обмениваются.
Штефан Миклиц,
руководитель команды Google по вопросам конфиденциальности и безопасности. Он изучал компьютерные науки в Мюнхенском техническом университете, а в конце 2007 года начал работать в офисе Google в Мюнхене. Штефан Миклиц – один из руководителей программы по повышению онлайн-безопасности Deutschland sicher im Netz (DsiN).
Как в защите пользователей вам помогает искусственный интеллект?
Миклиц: Мы уже давно оценили преимущества его использования.
Ришер: Эта технология встроена в наш почтовый сервис Gmail. Компания Google даже разработала собственную библиотеку машинного обучения для программистов – TensorFlow. В частности, она с большим успехом используется в Gmail, так как помогает отлично распознавать типовые схемы.
Расскажите, в чем суть этого распознавания?
Ришер: Представьте, что мы заметили подозрительную активность нескольких пользователей, которая не подпадает ни под одну определенную нами ранее категорию. Самообучающаяся машина сравнит обнаруженные события и, возможно, определит новые формы мошенничества ещё до того, как они широко распространятся в интернете.
Миклиц: Но у этого метода есть ограничения: качество обучения машины зависит от того, как она используется. Если обучать ее с помощью неверных или неполных данных, машина будет распознавать такие же схемы – неверные и неполные. Несмотря на все суперспособности, которые сегодня приписываются искусственному интеллекту, его эффективность напрямую зависит от человека. Необходимо отбирать высококачественные данные и обязательно проверять результаты.
Ришер: У меня был случай, когда я работал над почтовым сервисом для другой компании. Мы получили письмо от банковского служащего из Лагоса, столицы Нигерии. В то время как раз был пик мошеннических рассылок якобы из этой страны. Этот служащий жаловался, что его письма всегда попадают в папку со спамом, несмотря на то что он работает в банке с хорошей репутацией. Это типичный случай ошибочного обобщения при распознавании схем из-за недостатка информации. Мы тогда смогли решить проблему, изменив алгоритм.
Фото: Конни Мирбах
