Теги → пароли
Быстрый переход

Сложные пароли применяет только каждый десятый веб-пользователь в России

Российские пользователи Интернета не утруждают себя созданием сложных паролей, хотя прекрасно знают об опасности применения простых шифров.

В частности, только каждый десятый (10 %) веб-пользователь в нашей стране защищает свои аккаунты надёжным паролем. Такие данные получены в ходе исследования Avast, результаты которого приводит «Коммерсантъ».

Более половины респондентов — 55 % — признались, что применяют одинаковые пароли для доступа к разным аккаунтам в социальных сетях, почтовых сервисах и пр. При этом подавляющее большинство (94 %) опрошенных осведомлены о том, что такая беспечность может обернуться проблемами, в частности, взломом сразу нескольких учётных записей.

Каждый пятый (19 %) интернет-пользователь в России никогда не меняет пароль. Ещё 29 % респондентов меняют его только после взлома. При этом почти половина опрошенных — 46 % — считают, что информация в их аккаунтах попросту не может быть интересна злоумышленникам.

Ранее проведённое исследование Avast также говорит о том, что российские пользователи пренебрегают защитой маршрутизаторов. Так, только половина отечественных веб-пользователей изменила логин и пароль для подключения к роутеру, а 28 % российских пользователей никогда не регистрировались в административном веб-интерфейсе роутера для изменения учётных данных. 

Новая статья: Как сбросить пароль Windows 10 (1803): Trinity Rescue Kit

Данные берутся из публикации Как сбросить пароль Windows 10 (1803): Trinity Rescue Kit

Mozilla начала тестировать мобильные менеджер паролей и приложение для создания заметок

Программа Test Pilot от Mozilla — это уже устоявшийся способ экспериментировать с новыми функциями для браузера Firefox. Раньше компания выпускала через программу только настольные расширения, но теперь включила в неё и мобильные приложения. Первыми стали менеджер паролей Firefox Lockbox для iOS и сервис для создания заметок Notes by Firefox для Android.

Приложения напрямую связаны с Firefox, однако на этот раз речь идёт не о расширениях, а о полноценных программах. Обе синхронизируются как с настольной, так и с мобильной версиями браузера.

Firefox Lockbox позволяет просматривать пароли, которые вы сохранили через Firefox, и использовать их в других сервисах — например, в Twitter или Instagram. Разблокировать приложение можно с помощью Face ID или отпечатка пальца. Если вы активно пользуетесь браузером от Mozilla и вам нужен менеджер паролей, то Firefox Lockbox — отличный выбор.

Notes by Firefox выступает сервисом для хранения заметок в зашифрованном виде. Вы можете синхронизировать свои записи между приложением и браузером. Аналогичный плагин для настольного Firefox появился в программе Test Pilot в 2017 году, и теперь разработчик дополнил его мобильным клиентом.

Приложение поддерживает все стандартные возможности подобных сервисов, включая markdown-разметку, но в целом его функциональность держится на базовом уровне. Чего-то вроде Microsoft OneNote от Notes by Firefox ожидать не стоит.

Исследователи описали способ похищать пароли, считывая тепловой след с клавиатуры

Считывание теплового следа с цифровой панели набора пароля публика видела не раз в голливудских фильмах. И, согласно недавно опубликованной исследовательской работе трёх учёных из Калифорнийского университета Ирвина (UCI), тепловой остаток, оставляемый пальцами человека, действительно можно использовать для получения пароля.

«Этот новый тип атаки позволяет злоумышленникам с тепловой камерой среднего диапазона определять клавиши, нажатые на обычной клавиатуре в течение одной минуты после того, как жертва осуществила ввод, — отметил участвовавший в исследовании профессор по компьютерным наукам UCI Джин Цудик (Gene Tsudik). — Если вы наберёте свой пароль и уйдёте или же отойдёте, кто-то может получить важные данные о вводе».

Команда UCI назвала эту атаку Thermanator и уверяет, что её можно использовать для восстановления коротких строк текста: это может быть код подтверждения, банковский PIN-код или обычный пароль. Для работы атаки Thermanator злоумышленники должны иметь возможность использовать камеру с функциями тепловой записи сразу после ввода информации жертвой, причём камера должна хорошо видеть клавиши. Когда эти условия соблюдены, злоумышленник, даже не эксперт, может восстановить набор клавиш, на которые нажимала жертва, а затем собрать их в возможные строки для последующей атаки методом подбора по словарю.

В экспериментах исследовательской группы принимал участие 31 пользователь, которые вводили пароли на четырёх разных типах клавиатур. Исследователи из UCI затем попросили восемь неспециалистов получить набор нажатых клавиш из записанных тепловых данных. Тест показал, что информации, полученной через 30 секунд после ввода пароля, достаточно, чтобы злоумышленник, не являющийся экспертом, восстановил весь набор нажатых жертвой кнопок.

Частично восстановить данные можно в течение одной минуты после нажатия клавиш. Исследователи говорят, что пользователи, которые набирают тексты, нажимая по одной клавише двумя пальцами, постоянно глядя на клавиатуру, более уязвимы к тому, чтобы злоумышленники заполучили их важную информацию при помощи такого метода. Учитывая всё бо́льшую доступность качественных тепловизоров, это может стать проблемой.

Российские пользователи плохо заботятся о защите своих мобильных устройств

«Лаборатория Касперского» выяснила, что каждый шестой российский пользователь никак не защищает своё мобильное устройство — смартфон или планшет.

Проведённое исследование показало, что более трети (41 %) респондентов используют «умные» сотовые аппараты для совершения операций онлайн-банкинга. Около 57 % опрошенных регулярно заходят со смартфонов в свои аккаунты электронной почты, а 59 % — в социальные сети.

Между тем защита мобильных устройств оставляет желать много лучшего. Так, 17 % российских пользователей признались, что никак не защищают свои смартфоны и (или) планшеты от возможных угроз. Более половины опрошенных — 58 % — сообщили, что не ставят на свои гаджеты пароль.

Выяснилось также, что менее трети — 30 % — пользователей создают резервные копии данных, хранящихся на мобильных гаджетах. При этом пятая часть респондентов (21 %) использует функцию «Антивор», а примерно каждый десятый (11 %) шифрует файлы и папки во избежание несанкционированного доступа к ним.

Исследование также показало, что 71 % респондентов регулярно выходят в Интернет со смартфона, а 35 % — с планшета. Отсутствие защиты при этом может обернуться утечкой персональных данных и финансовыми потерями. 

Пароли пользователей Twitter оказались под угрозой из-за бага в системе

Twitter предложила всем своим более чем 330 млн пользователей сменить пароли. К их утечке могла привести ошибка во внутренней системе компании.

Главный технический директор Twitter Параг Аграваль (Parag Agrawal) написал, что недавно компания обнаружила баг в процессе хеширования. Из-за него пароли пользователей хранились во внутреннем журнале в виде обычного текста. Хеширование представляет собой превращение паролей в последовательность символов, которая на первый взгляд кажется совершенно случайной.

По словам Аграваля, из-за бага пароли «записывались во внутреннем журнале ещё до завершения процесса хеширования». Ошибка была обнаружена непосредственно сотрудниками Twitter, поэтому нет причины бояться, что пароли могли попасть за пределы компании и быть использованы злоумышленниками.

Тем не менее, компания порекомендовала пользователям сменить пароли в Twitter, а также на всех других сайтах, где они используют такие же пароли. Генеральный директор Джек Дорси (Jack Dorsey) добавил, что проблема была исправлена, и ничто не указывает на утечку паролей или их неправомерное использование.

«Нам очень жаль, что это произошло, — подытожил Аграваль. — Мы видим и ценим ваше доверие к нам, и мы стремимся оправдать его каждый день».

Компания не рассказала, сколько паролей было затронуто багом. Reuters со ссылкой на достоверный источник пишет, что число «значительное», и что ошибка возникла ещё «несколько месяцев» назад. Twitter обнаружила проблему всего несколько недель назад и сообщила о ней регулирующим органам.

«Яндекс.Браузер» обзавёлся менеджером паролей

Компания «Яндекс» сообщила о выходе новой версии своего браузера, в котором появился встроенный менеджер паролей.

Отныне «Яндекс.Браузер» способен генерировать стойкие пароли, которые защищаются с помощью мастер-пароля. Сохранённые коды доступны в меню браузера — в новом разделе «Менеджер паролей». Их можно редактировать, сортировать и снабжать примечаниями.

Важно отметить, что сохранённые пароли будут доступны на любом устройстве с «Яндекс.Браузером» — достаточно включить синхронизацию. При посещении той или иной веб-страницы с необходимостью авторизации обозреватель предложит ввести соответствующий код.

Менеджер использует многоступенчатую систему шифрования. Сначала браузер шифрует пароли случайным ключом, а затем защищает этот ключ мастер-паролем. Если человек его забудет, поможет запасной ключ, который можно создать вместе с мастер-паролем. С помощью такого ключа можно сменить мастер-пароль, но только при наличии пароля от аккаунта «Яндекса» и только на том устройстве, где хоть раз был успешно введён мастер-пароль. Иными словами, выполнить данную процедуру сможет только сам пользователь.

Таким образом, даже если злоумышленник узнает пароль от аккаунта «Яндекса» или похитит мобильное устройство, он не сможет получить доступ к сохранённым паролям. Кстати, на смартфонах вместо мастер-пароля можно использовать отпечаток пальца, пин-код или жест.

Загрузить «Яндекс.Браузер» для персональных компьютеров, смартфонов и планшетов можно отсюда

1Password сообщит, был ли ваш пароль похищен злоумышленниками

В менеджере паролей 1Password появилась новая концептуальная функция, которая предупреждает пользователя, если он использует пароль, который когда-либо похищали злоумышленники. Нововведение использует сервис Pwned Passwords, представленный экспертом в области сетевой безопасности Троем Хантом (Troy Hunt). Этот сервис даёт возможность проверить, утекал ли когда-либо ваш пароль в Сеть. База данных состоит более чем из 500 млн паролей, полученных в результате анализа прошлых взломов.

Воспользоваться новым сервисом может любой подписчик 1Password. Для этого достаточно войти в учётную запись, нажать «Открыть хранилище» (Open Vault) и выбрать элемент, чтобы просмотреть его подробности. На macOS, чтобы использовать новую функцию, нажмите и удерживайте Shift-Control-Option-C, на Windows — Shift+Ctrl+Alt+C. Затем кликните по кнопке «Проверить пароль» (Check Password), чтобы узнать, присутствует ли он в базе Ханта.

AgileBits, разработчик 1Password, говорит, что такая проверка безопасна. Компания хеширует пароль с помощью алгоритма SHA-1 и отправляет первые пять символов 40-значного хеша в сервис Ханта. Затем Pwned Passwords возвращает список хешей утёкших паролей, которые начинаются с тех же пяти символов. Наконец, 1Password локально сравнивает результаты.

Компания отмечает, что даже если хеши совпали, это не обязательно означает, что ваш аккаунт был взломан — возможно, просто кто-то другой использовал такой же пароль. Как бы то ни было, AgileBits рекомендует в случае совпадения поменять пароль. В будущем разработчик планирует встроить функцию в инструмент Watchtower в приложениях 1Password.

Российские веб-пользователи стали чаще применять сложные пароли

Исследование, проведённое «Лабораторией Касперского», говорит о том, что российские пользователи Интернета стали чаще применять надёжные пароли, подбор которых затруднён.

Эксперты выяснили, что доля людей, уверенных в необходимости сложного пароля для систем онлайн-банкинга, выросла на 15 процентных пунктов — с 50 % в 2016 году до 65 % в 2017 году. Кроме того, всё больше пользователей стараются обезопасить свои аккаунты в интернет-магазинах: сложные и устойчивые к взлому пароли для них выбирают сегодня 39 % респондентов против 31 % в 2016 году.

Применение сложных паролей привело к сокращению случаев взлома аккаунтов российских веб-пользователей. Так, количество пользователей в нашей стране, столкнувшихся с попытками взлома онлайн-аккаунтов, за последний год уменьшилось с 30 % до 24 %.

В то же время исследование показало, что пользователи зачастую небрежно относятся к хранению паролей. Так, 28 % записывают комбинации символов в блокнот, а 9 % — на листок бумаги, лежащий рядом с компьютером. Ещё 11 % доверяют пароли интернет-браузерам, а 8 % сохраняют их в отдельном файле на компьютере. И только около 6 % пользователей применяют для хранения паролей специальные программы, обеспечивающие максимальную безопасность. 

Настройки App Store в macOS High Sierra можно разблокировать любым паролём

Недавно на Open Radar было опубликовано сообщение об уязвимости в текущей версии macOS High Sierra, которая позволяет разблокировать меню App Store в системных настройках любым паролём. Сотрудники ресурса MacRumors проверили проблему на macOS High Sierra 10.13.2, последней публичной сборке, и при работе через учётную запись администратора в самом деле разблокировали магазин приложений.

Для обычных пользовательских аккаунтов без прав администратора доступ к настройкам App Store с помощью любого пароля не срабатывает. Стоит отметить, что на все иные настройки системы ошибка тоже не распространяется, так что более важные разделы вроде «Пользователи и группы» или «Безопасность и приватность» остаются защищены паролём.

В последней бета-версии macOS 10.13.3, которая пока тестируется, ошибка исправлена. Пользователи также сообщают, что в версиях операционной системы macOS Sierra 10.12.6 или более ранних она тоже не встречается.

Прокол очень уж любительский и позволяет сомневаться в должном внимании к безопасности в Apple. Особенно с учётом того, что в сборке macOS High Sierra 10.13.1 была обнаружена схожая, ещё более серьёзная уязвимость: она позволяла пользователю с root-правами входить в операционную систему с помощью пустого пароля (Apple быстро исправила проблему, выпустив небольшую заплатку). Тогда компания извинилась специальным заявлением, признала, что её пользователи заслуживают большего, и пообещала более строго следить за процессом разработки, чтобы предотвратить повторение подобных ошибок в будущем.

Конечно, стоит помнить, что настройки App Store по стандарту разблокированы в учётной записи администратора и, учитывая невеликую значимость этого раздела, новая ошибка куда менее серьёзная по сравнению с root-уязвимостью. Тем не менее, пока она не исправлена, пользователям, желающим защищать настройки магазина приложений паролём, лучше полагаться в работе на стандартную учётную запись без прав администратора.

Представлен рейтинг худших паролей 2017 года

Многие пользователи Интернета, несмотря на постоянные и повсеместные предостережения экспертов в области безопасности, продолжают применять ненадёжные пароли. Рейтинг таких комбинаций по итогам уходящего года представили специалисты SplashData.

Беспечные пользователи не утруждают себя изобретением устойчивых к подбору кодов. В нынешнем году самым ненадёжным паролем признана последовательность «123456». Любопытно, что именно этот «шифр» удерживал первую позицию в рейтинге SplashData в прошлом году.

На втором месте в списке небезопасных паролей находится собственно слово «password». По сравнению с 2016 годом изменений также не произошло.

Третью строку в нынешнем году заняла ещё одна числовая комбинация — «12345678». Годом ранее пользователи чаще применяли последовательность только из пяти цифр — «12345».

Кроме того, в рейтинг вошли такие комбинации и слова, как «qwerty», «letmein», «football», «iloveyou», «welcome», «master» и «freedom». Ниже мы приводим перечень из десяти самых ненадёжных паролей в 2017 и 2016 гг., а с полным перечнем можно ознакомиться здесь

Windows 10 комплектовалась менеджером паролей с серьёзной уязвимостью

Есть веские причины, заставляющие известных экспертов по безопасности нервничать, когда какое-либо ПО комплектуется сторонними программами: ведь последние могут включать в себя уязвимости, которые компании не всегда способны контролировать. И Microsoft, к сожалению, лишний раз доказала обоснованность подобных опасений.

Исследователь из Google Тэвис Орманди (Tavis Ormandy) обнаружил, что образ Windows 10 комплектовался утилитой для управления паролями, Keeper, которая включала дополнение для браузера с серьёзной уязвимостью: вредоносные веб-ресурсы могли просто красть пароли. Копия ОС господина Орманди — официальный образ MSDN для разработчиков, но пользователи ресурса Reddit сообщают, что некоторые из них получили копию Keeper с уязвимостью после свежей установки ОС и даже с купленными в магазинах ноутбуками.

Представитель Microsoft сообщил журналистам ресурса Ars Technica, что команда разработчиков Keeper уже выпустила заплатку, закрывающую уязвимость (в ответ на сообщение Тэвиса Орманди, сделанное ранее в частном порядке). Так что пользователи актуального ПО не должны сталкиваться с проблемой. Вдобавок, чтобы стать объектом атаки, необходимо заранее включить дополнение для браузера.

Впрочем, существование дыры по-прежнему ставит важный вопрос: проводит ли Microsoft настолько же тщательные тесты безопасности сторонних приложений, как и своего ПО? Компания не стала давать комментариев на этот счёт. Но вопрос серьёзный, потому что не важно, насколько код самой Microsoft безопасен, если в комплекте могут поставляться приложения со столь серьёзными уязвимостями.

Личные данные 31 млн пользователей клавиатуры Ai.Type попали в Сеть

Скольких бы проблем удалось избежать людям, если бы они придерживались простейших правил цифровой гигиены: не открывали подозрительные ссылки (особенно присланные незнакомцами), не использовали слишком простые пароли вроде «123456», не посещали сомнительные сайты, не использовали нешифрованные каналы Wi-Fi и так далее. Но если от рядовых пользователей требовать такого сложно, то от разработчиков популярных программ по умолчанию ожидаешь использования хотя бы простейших методов безопасности. Но, оказывается, чужой негативный опыт не всегда способен помочь избежать ошибок.

По крайней мере, специалисты по безопасности The Kromtech Security Center обнаружили попавшую в общий доступ огромную базу данных в формате MongoDB, содержащую самые разнообразные сведения о более чем 31 млн пользователей виртуальной клавиатуры Ai.Type для смартфонов и планшетов Android и iOS, разрабатываемой начинающей компанией из Тель-Авива.

Ai.Type основана в 2010 году и, по данным официального сайта, их флагманский Android-продукт был скачан около 40 млн раз из магазина Google Play, а количество пользователей неуклонно росло благодаря возможностям широкой персонализации клавиатуры. В следующем году они планировали добавить в приложение поддержку ботов и переименовать клавиатуру в Bots Matching Mobile Keyboard.

Как же случилась утечка? Ai.Type случайно предоставила доступ ко всей своей 577-Гбайт базе данных на хостинге Mongo всем пользователям Интернета. Дело в том, что стандартная настройка в платформе MongoDB позволяет любому желающему получать доступ к базе данных, а в худшем сценарии — даже удалять хранящуюся там информацию.

Самое печальное, что помимо регистрационных данных, разработчики собирали целый ворох потенциально чувствительной информации о пользователях. Например, мошенникам или злоумышленникам могут быть доступны такие сведения о пользователе Ai.Type:

Телефонный номер, полное имя владельца, модель и название устройства, название мобильной сети, SMS-номер, разрешение экрана, используемый в системе язык, версия Android, номер IMSI (международный идентификатор мобильного абонента), номер IMEI (уникальный идентификатор смартфона), ассоциированные с телефоном email-адреса, страна проживания, ссылки и информациях из социальных сетей (дата рождения, имя, email и так далее), фотографии (ссылки на Google+ и Facebook), IP (если доступен), данные геопозиционирования (долгота и широта).

В рамках утечки в Сеть также попали 6,5 миллионов записей, содержащих информацию из адресных книг пользователей, хранящихся в аккаунтах Google (занесённые имена со связанными номерами телефонов и иной информацией) — всего сведения о свыше 373 миллионах номеров. Ещё в папке «старая база данных» содержится информация 753 456 человек.

Разумеется, потенциально злоумышленники могут извлечь выгоду и из массы других данных этой огромной базы. Например, оценить самые популярные поисковые запросы по регионам, стандартные сообщения, количество слов на сообщения, средний возраст пользователей и так далее — всё это может быть использовано для более персонализированных схем мошенничества.

Столь масштабная утечка снова во весь рост ставит вопрос: действительно ли пользователям стоит передавать столь широкие личные данные разработчикам в обмен на бесплатные или недорогие продукты, получающие полный доступ к их устройствам и далеко не всегда надёжно защищённые. А компаниям, которые занимаются сбором и хранением такой широкой информации, снова и снова нужно подумать о методах безопасности и контроля, минимизирующих возможность утечки.

В письмах с «билетами в США» скрывается троян, ворующий пароли

Компания ESET предупреждает о том, что сетевые злоумышленники организовали вредоносную спам-рассылку с целью кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон (столица США) успешно оплачен и его можно получить по указанной ссылке.

Тем, кто перейдёт на веб-страницу, будет предложено загрузить документ Microsoft Office. Этот файл вместо обещанного билета в США содержит специальный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, происходит заражение компьютера трояном PSW.Fareit.

Названная вредоносная программа предназначена для кражи логинов и паролей, сохранённых в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird.

Любопытно, что после кражи информации и её отправки на сервер киберпреступников троян уничтожает все следы своей активности и удаляется из системы. Злоумышленники же, имея логины и пароли жертвы, могут получить несанкционированный доступ к различным веб-сервисам, в которых зарегистрирован пользователь. Понятно, что это может обернуться утечкой конфиденциальной информации и финансовыми потерями. 

Российский врач вживил себе шесть упрощающих жизнь чипов

Врач Александр Волчек, работающий в одном из роддомов Новосибирска, имплантировал себе под кожу шесть чипов, которые, по его мнению, значительно упростили ему жизнь.

studying-in-germany.org

studying-in-germany.org

С их помощью он открывает двери и турникет на работе, разблокирует компьютер, хранит пароли и данные о визитной карточке.

«Первый чип я поставил 8 августа 2014 года. Он не позволяет менять свой код и является эквивалентом карты контроля доступа от одного из сибирских горнолыжных курортов. Чуть позже я зарегистрировал его в системе контроля доступа организации, в которой работаю», — рассказал Волчек агентству РИА Новости.

Стандартный размер чипа — 2 × 12 мм, а минимальный — 1,5 × 8 мм. Под кожу они вводятся большим шприцем с толстой иглой (инжектором) и легко извлекаются при желании.

В тематической группе в Facebook у Волчека около ста единомышленников и разработчиков новых функций для подобных имплантов. «Я не только пользователь, но и разработчик. Сейчас несколькими командами в мире, в том числе и нами, активно разрабатывается имплант, который будет содержать микропроцессор с функциями шифрования и может быть использован для электронной подписи, оплаты в бесконтактных терминалах, оплаты общественного транспорта. Отдельная проблема — неотчуждаемый имплантированный криптоноситель. Но это будущее», — говорит врач.

Он также мечтает о создании имплантируемого глюкометра для измерения уровня сахара в крови, для которого уже сейчас имеется вся необходимая техническая база.

window-new
Soft
Hard
Тренды 🔥