Керування паролями в Інтернеті

Коли йдеться про безпеку в мережі, багато людей розгублюються. Працівники Google Марк Рішер і Штефан Міклітц говорять про те, як ці емоції враховуються під час розробки заходів безпеки.

Пане Рішер, ви директор із питань менеджменту продуктів компанії Google у сфері безпеки в Інтернеті. Ви самі коли-небудь ставали жертвою шахрайства в мережі?

Марк Рішер: "Зараз не можу пригадати конкретний приклад, однак припускаю, що таке бувало. Користуючись Інтернетом, я можу помилятися, як і всі інші. Наприклад, нещодавно я ввів пароль Google на неправильному веб-сайті. На щастя, у мене встановлено плагін Захист пароля в Chrome, який попередив мене про цю помилку. Звісно, після цього я негайно змінив пароль."

Штефан Міклітц, директор із розробки в команді конфіденційності й безпеки Google: "Тут діє людський фактор. Запам'ятавши пароль, ви можете легко ввести його на веб-сайті, не особливо звертаючи увагу, де саме ви це робите."

Рішер: "Ми хотіли би назавжди розпрощатися з паролями, але, на жаль, це не так просто."

"Багато заходів безпеки працюють непомітно".

Марк Рішер

Що не так із паролями?

Рішер: "У паролів багато недоліків: їх легко вкрасти, але важко запам'ятати, а керувати ними часом виснажливо. Багато користувачів вважають, що пароль має бути якомога довшим і складнішим, хоча насправді це навіть підвищує небезпеку. Маючи складний пароль, користувачі зазвичай хочуть використати його для кількох облікових записів, що робить їх навіть вразливішими."

Міклітц: "Що рідше ви вводите пароль, то краще. Ось чому не варто постійно входити в обліковий запис і виходити з нього. Через це з часом користувачі можуть втратити пильність і не звертати увагу, на якій веб-сторінці перебувають. Це полегшить роботу зловмисникам, що викрадають паролі. Тому ми радимо не виходити з облікового запису."

На веб-сайті банку я виходжу з облікового запису автоматично, якщо не виконую жодних дій упродовж кількох хвилин.

Міклітц: "На жаль, багато компаній усе ще дотримуються застарілих правил. Порада завжди виходити з облікового запису – це відголосок тих часів, коли більшість людей виходили в мережу з інтернет-кафе або мали один комп'ютер на кількох. За результатами нашого дослідження, що частіше користувачі вводять паролі, то ймовірніше вони можуть стати жертвами кібератак. Тому безпечніше просто активувати блокування екрана на телефоні чи комп'ютері й використовувати надійний пароль."

Рішер: "Це правда. На жаль, існує багато неправдивих або непрактичних порад, які радше спантеличують користувачів. У найгіршому випадку почуття непевності настільки сильне, що люди просто здаються: "Якщо так важко захистити себе, то краще вже й не намагатися". Такий підхід – майже те саме, що завжди залишати двері відчиненими, бо десь неподалік бродять злодії."

Марк Рішер
USB-ключ безпеки

Марк Рішер – директор із питань менеджменту продуктів компанії Google у сфері безпеки й конфіденційності. У 2010 році він заснував стартап у сфері кібербезпеки Impermium, який у 2014 році придбала компанія Google. З того часу Рішер працює в головному офісі компанії в місті Маунтін-В'ю, штат Каліфорнія. Праворуч: ключ безпеки, який використовується в межах Програми додаткового захисту. Його можна придбати за невелику плату й використовувати на різних веб-сайтах.

Як компанія Google забезпечуватиме захист користувачів, якщо паролі буде скасовано?

Рішер: "Ми вже впровадили багато додаткових заходів безпеки. Зломник може дізнатися ваш пароль і номер мобільного телефону, але ми все одно зможемо гарантувати безпеку вашого облікового запису Google на 99,9 відсотка. Наприклад, ми перевіряємо, на якому пристрої чи в якій країні входять в обліковий запис. Якщо хтось кілька разів підряд намагатиметься ввійти у ваш обліковий запис за допомогою неправильного пароля, спрацює наша система безпеки."

Міклітц: "Ми також розробили Перевірку безпеки, що дає користувачам змогу покроково налаштувати параметри захисту. А з Програмою додаткового захисту ми пішли ще далі."

У чому суть цієї програми?

Міклітц: "Спочатку ми розробляли цю програму для політиків, генеральних директорів, журналістів або інших осіб, які можуть зацікавити злочинців. Але зараз вона доступна для всіх, хто хоче краще захистити себе в Інтернеті. Для доступу до захищеного облікового запису Google потрібно мати зовнішній ключ безпеки USB або Bluetooth."

Рішер: "Ми з власного досвіду знаємо, наскільки ефективна ця система, оскільки працівники компанії Google захищають свої облікові записи за допомогою ключів безпеки. З моменту впровадження цього заходу не було жодного випадку фішингу, який би був пов'язаний із підтвердженням пароля. Цей спосіб значно покращує захист: навіть якщо зловмисники знають пароль, без токена вони не отримають доступ до облікового запису. Як правило, обліковий запис в Інтернеті можна зламати з будь-якої точки світу. Проте це не стосується облікових записів, захищених фізичним ключем безпеки."

Міклітц: "До речі, ці токени можна використовувати для різних веб-сайтів, а не лише для Програми додаткового захисту від Google. Їх можна придбати в нас або інших постачальників за невелику плату. Докладніше можна прочитати на сторінці g.co/advancedprotection."

"Часом людям важко оцінити ризики в Інтернеті".

Штефан Міклітц

На вашу думку, які найсерйозніші загрози в Інтернеті сьогодні?

Рішер: "Одна з проблем – наявність в Інтернеті безлічі списків з іменами користувачів і паролями. Наш колега Тадек П'єтрашек і його команда впродовж шести тижнів прочісували Інтернет та знайшли 3,5 мільярда комбінацій імен користувачів і паролів. Ці дані походять не зі зламаних облікових записів Google, їх викрали в інших постачальників. Та оскільки багато користувачів застосовують один пароль для кількох облікових записів, ці списки створюють проблеми й нам."

Міклітц: "Я вважаю величезною проблемою цілеспрямований фішинг. Це коли шахрай створює настільки продумане й персоналізоване повідомлення, що жертві важко розпізнати зловмисний намір. Ми бачимо, що зломники застосовують цей спосіб усе частіше – і успішно."

Рішер: "Погоджуюся зі Штефаном. Крім того, цілеспрямований фішинг не займає стільки часу, як може здатися на перший погляд. Часто персоналізувати лист зі спамом – це справа на кілька хвилин. Зломники використовують інформацію, яку люди публікують про себе в мережі. Вона може бути пов'язана, наприклад, із криптовалютою. Якщо хтось відкрито хвалиться, що має 10 000 біткоїнів, не варто дивуватися, що він приверне увагу кіберзлочинців."

Міклітц: "Це те саме, що стояти посеред ринку з мегафоном і виголошувати, скільки у вас грошей на банківському рахунку. Хто так робитиме? Ніхто. Проте часом людям важко оцінити ризики в Інтернеті."

А звичайні електронні листи зі спамом – це ще поширена проблема?

Рішер: "Справді великим викликом для нас є зв'язаність пристроїв і сервісів. Користувачі виходять в Інтернет не лише з ноутбуків і смартфонів, а й з телевізорів, розумних годинників та розумних колонок. На всіх цих пристроях працюють різні додатки, що дає зломникам більше можливостей для потенційної атаки. Оскільки багато пристроїв тепер зв'язані, хакери можуть спробувати отримати доступ до інформації, що зберігається на одному пристрої, через інший. Тепер постає запитання: як ми можемо гарантувати безпеку наших користувачів, попри безліч нових способів використання пристроїв?"

Міклітц: "Спершу варто зрозуміти, які дані нам насправді потрібні для кожного сервісу та якою інформацією обмінюються ці сервіси."

Як штучний інтелект допомагає захистити користувачів?

Міклітц: "Компанія Google уже доволі давно застосовує технологію штучного інтелекту."

Рішер: "Цю технологію із самого початку було вбудовано в наш сервіс електронної пошти Gmail. Ми навіть розробили власну бібліотеку машинного навчання під назвою TensorFlow, яка полегшує роботу програмістів, що займаються машинним навчанням. TensorFlow дає Gmail особливі переваги, оскільки бібліотека – цінний ресурс для розпізнавання типових зразків."

Можете пояснити, як працює розпізнавання зразків?

Рішер: "Скажімо, ми виявляємо подозрілі дії в кількох облікових записах, але не можемо категоризувати їх. Машина, що самостійно навчається, може порівняти ці події та навіть виявити нові форми шахрайства ще до того, як вони поширяться Інтернетом."

Міклітц: "Проте ці можливості не безмежні. Машина не може бути розумнішою за людину, яка нею користується. Якщо я даю їй неправдиві чи односторонні дані, розпізнані зразки також будуть неправдивими або односторонніми. Попри ажіотаж навколо штучного інтелекту, його ефективність завжди залежить від користувача. Саме він має навчати машину за допомогою якісних даних і перевіряти результати."

Рішер: "Одного разу, коли я працював на іншого постачальника послуг електронної пошти, ми отримали повідомлення від працівника банку в Лагосі. У той час поширювалося багато шахрайських листів, які начебто надсилали з Нігерії. Цей чоловік скаржився, що його електронні листи завжди опиняються в папці "Спам", хоча він справді працює у відомому банку. Це типовий випадок помилкового узагальнення під час розпізнавання зразків через нестачу інформації. Нам вдалося допомогти цьому чоловіку, змінивши алгоритм."

Фотографії: Конні Мірбах

Досягнення в галузі кібербезпеки

Дізнайтесь, як нам вдається захищати більше користувачів в Інтернеті, ніж будь-якій іншій компанії.

Докладніше