Зачем в аккаунте гугл нужен пароль

Как управлять паролями

Когда речь заходит о безопасности в интернете, многие пользователи чувствуют растерянность, пытаясь разобраться в хитросплетениях множества требований. Марк Ришер и Штефан Миклиц из компании Google рассуждают о том, как разработать меры безопасности, которые не будут усложнять пользователям жизнь.

Link copied to the clipboard Press Ctrl+C or ⌘+C to copy

Марк, в Google вы директор по управлению продуктами для обеспечения интернет-безопасности. Вы сами когда-нибудь становились жертвой мошенников в Сети?

Марк Ришер: Не скажу точно, но думаю, что становился. Потому что я ничем не отличаюсь от других пользователей. Например, недавно я ошибся и ввел пароль от своего аккаунта Google не на том сайте. К счастью, у меня установлен плагин «Защитник паролей», поэтому мне пришло предупреждение. Конечно, я сразу сменил пароль.

Штефан Миклиц, руководитель команды Google по вопросам конфиденциальности и безопасности: Каждый из нас может ошибиться. Скажем, если я знаю свой пароль наизусть, то могу ввести его машинально, особо не задумываясь о том, что это за сайт.

Ришер: Мы бы с радостью навсегда отказались от паролей, но, к сожалению, все не так просто.

«Множество функций безопасности работают незаметно для пользователей».

А что не так с паролями?

Ришер: У них масса недостатков. Их легко украсть и тяжело запомнить. А каждый раз записывать куда-то новый пароль – увольте! Многие считают, что пароль должен быть очень длинным и сложным, но на самом деле это только снижает общий уровень безопасности. Придумав один сложный пароль, мы начинаем использовать его на разных сайтах, тем самым повышая уязвимость своих данных.

Миклиц: Чем реже вы вводите пароль в интернете, тем лучше. Поэтому не рекомендуется лишний раз выходить из своих аккаунтов и снова входить в них. Это может привести к тому, что в какой-то момент вы потеряете бдительность и введете пароль на подозрительной веб-странице. Мы советуем пользователям не выходить из аккаунтов, если нет такой необходимости.

Я пользуюсь интернет-банком, и, если несколько минут я ничего не делаю в своем аккаунте, сеанс автоматически завершается. Разве это необходимо?

Миклиц: К сожалению, до сих пор многие компании следуют устаревшим правилам. Раньше действительно считалось, что нужно выйти из аккаунта, если компьютер вам больше не нужен, потому что большинство людей выходили в Сеть в интернет-кафе или работали поочередно за одним компьютером. Мы провели исследование и выяснили, что чем чаще пользователь вводит пароль, тем больше для него риск стать жертвой кибератаки. Поэтому лучше просто блокировать экран своего телефона или компьютера и использовать надежный пароль.

Ришер: Все верно. Но, к сожалению, зачастую можно встретить неверные или бессмысленные рекомендации, которые сбивают пользователей с толку. Иногда люди настолько теряют надежду разобраться, что просто говорят себе: «Все так сложно, что я даже не буду ввязываться». Это сродни тому, чтобы уйти и оставить незапертой машину в криминальном районе.

Марк Ришер – директор по управлению продуктами для обеспечения интернет-безопасности и конфиденциальности (Google). В 2010 году он основал стартап по кибербезопасности, Impermium, который в 2014 году купила компания Google. С тех пор Ришер работает в главном офисе Google в Маунтин-Вью, Калифорния. Справа: ключ безопасности для программы Дополнительной защиты. Он продается по доступной цене и может использоваться для входа на различные сайты.

Но как вы сможете гарантировать безопасность, если отмените пароли?

Ришер: Мы уже внедрили множество дополнительных мер безопасности, которые работают незаметно для пользователей. Хакер может узнать ваш пароль и номер телефона, но даже в таком случае уровень защиты вашего аккаунта Google составит 99,9 %. Например, мы проверяем с какого устройства и из какой страны выполняется вход. Если пользователь несколько раз подряд ввел неверный пароль, наши системы безопасности получают информацию об этом.

Миклиц: Да, и мы создали сайт «Проверка безопасности», на котором пользователи могут задать персональные настройки для своих аккаунтов Google с помощью пошаговых инструкций. У нас также есть программа Дополнительной защиты, которая ещё больше усиливает безопасность пользователей.

Расскажите об этой программе.

Миклиц: Изначально она была задумана для политиков, крупных бизнесменов и журналистов, то есть для тех, за кем постоянно следят разного рода мошенники и преступники. Но сейчас эта программа стала доступна всем пользователям, которые хотят повысить уровень своей безопасности в интернете. Для доступа к аккаунтам Google, защищенным в рамках этой программы, нужен специальный USB- или Bluetooth-ключ.

Ришер: Мы уже давно убедились в эффективности этого метода на собственном опыте – все сотрудники Google должны использовать электронный ключ для безопасного доступа к своим рабочим аккаунтам. С момента ввода этой меры безопасности мы не зафиксировали ни одного случая фишинга, который бы произошел в результате ввода пароля. Этот ключ значительно повышает безопасность аккаунтов Google. Даже если злоумышленник знает пароль, он не сможет выполнить вход без электронного ключа. Обычный аккаунт может подвергнуться атаке хакеров из любой точки мира, но если ваш аккаунт защищен физическим ключом безопасности, можете быть спокойны.

Миклиц: К тому же такие ключи можно использовать и на других сайтах, которые не участвуют в нашей программе Дополнительной защиты. Вы можете купить их у нас или другого поставщика по доступной цене. Все подробности вы найдете на странице g.co/advancedprotection.

«Пользователям бывает сложно оценить реальные риски безопасности в интернете».

Каковы, по вашему мнению, самые большие опасности для нашей конфиденциальности, которые таит в себе интернет?

Ришер: Начнем с того, что сейчас в Сети можно найти множество списков с именами пользователей и паролями. Наш коллега Тадек Петрашек и его команда полтора месяца прочесывали интернет в поисках таких списков и обнаружили 3,5 млрд комбинаций имен пользователей и паролей. Это не данные взломанных аккаунтов Google – это данные, которые кто-то украл у других компаний. Но так как многие пользователи задают один и тот же пароль на нескольких сайтах, найденные списки представляют собой угрозу и для аккаунтов Google.

Миклиц: Ещё одна большая проблема – целевой фишинг. Это когда мошенник отправляет вам поддельное электронное письмо, которое практически неотличимо от настоящего. Сегодня хакеры используют такой вид мошенничества всё чаще и, к сожалению, небезуспешно.

Ришер: Согласен. Вы удивитесь, но создать поддельное письмо, адресованное конкретному человеку, совсем не сложно. У мошенника это может занять всего несколько минут. При этом он зачастую использует информацию, которую люди публикуют о себе в Сети. Такая проблема, к примеру, часто возникает при использовании криптовалют: люди, которые открыто сообщают о том, что владеют 10 000 биткоинов, с большой долей вероятности привлекут внимание мошенников.

Миклиц: Это как если бы я, встав в центре городской площади, начал в рупор кричать о том, какая сумма лежит на моем банковском счете. Знаете таких людей? И я нет. Но в интернете пользователям бывает сложно оценить реальные риски.

А что насчет привычного нам спама? Он остается в списке проблем?

Ришер: Сейчас на первый план вышла проблема, обусловленная связью различных устройств и сервисов. Люди выходят в интернет не только со своих планшетов и телефонов, но и с телевизоров, умных часов и колонок. На всех этих устройствах установлены различные приложения, которые могут попытаться взломать хакеры. Сейчас многие устройства связаны между собой, поэтому доступ к информации на одном из них можно получить через другое. Перед нами стоит важная задача – гарантировать безопасность пользователей в условиях популярности устройств с выходом в интернет.

Миклиц: Прежде чем приступать к решению этой проблемы, необходимо выяснить, какие данные действительно нужны для тех или иных сервисов и какими данными сервисы обмениваются.

Штефан Миклиц,

руководитель команды Google по вопросам конфиденциальности и безопасности. Он изучал компьютерные науки в Мюнхенском техническом университете, а в конце 2007 года начал работать в офисе Google в Мюнхене. Штефан Миклиц – один из руководителей программы по повышению онлайн-безопасности Deutschland sicher im Netz (DsiN).

Как в защите пользователей вам помогает искусственный интеллект?

Миклиц: Мы уже давно оценили преимущества его использования.

Ришер: Эта технология встроена в наш почтовый сервис Gmail. Компания Google даже разработала собственную библиотеку машинного обучения для программистов – TensorFlow. В частности, она с большим успехом используется в Gmail, так как помогает отлично распознавать типовые схемы.

Расскажите, в чем суть этого распознавания?

Ришер: Представьте, что мы заметили подозрительную активность нескольких пользователей, которая не подпадает ни под одну определенную нами ранее категорию. Самообучающаяся машина сравнит обнаруженные события и, возможно, определит новые формы мошенничества ещё до того, как они широко распространятся в интернете.

Миклиц: Но у этого метода есть ограничения: качество обучения машины зависит от того, как она используется. Если обучать ее с помощью неверных или неполных данных, машина будет распознавать такие же схемы – неверные и неполные. Несмотря на все суперспособности, которые сегодня приписываются искусственному интеллекту, его эффективность напрямую зависит от человека. Необходимо отбирать высококачественные данные и обязательно проверять результаты.

Ришер: У меня был случай, когда я работал над почтовым сервисом для другой компании. Мы получили письмо от банковского служащего из Лагоса, столицы Нигерии. В то время как раз был пик мошеннических рассылок якобы из этой страны. Этот служащий жаловался, что его письма всегда попадают в папку со спамом, несмотря на то что он работает в банке с хорошей репутацией. Это типичный случай ошибочного обобщения при распознавании схем из-за недостатка информации. Мы тогда смогли решить проблему, изменив алгоритм.

Войти в аккаунт Google теперь можно без пароля

Компания Google сообщила, что пользователи теперь могут создавать и применять для доступа к своему аккаунту Google ключи шифрования (passkey) вместо обычного пароля или двухэтапной аутентификации. Криптографические ключи — это более удобная и безопасная альтернатива паролям, отмечает Google, поскольку надёжный пароль нужно сначала создать, а затем не забыть или безопасно сохранить. Кроме того, пароль могут украсть злоумышленники. Ключи шифрования избавляют от всех этих проблем. Этот способ теперь работает на всех основных платформах и браузерах и позволяют входить в систему и разблокировать свой компьютер или смартфон с помощью отпечатка пальца, распознавания лица или локального PIN-кода.

Когда пользователь выбирает ключ шифрования в качестве способа получения доступа к своей учётной записи Google, ключ начинают запрашивать при входе в аккаунт или выполнении конфиденциальных действий. Сам ключ хранится на устройстве (компьютере или смартфоне), которое будет запрашивать биометрические данные или PIN-код. Биометрия никогда не передаётся Google или какой-либо третьей стороне, обещает компания, эти данные используются только локально на устройстве.

Разработчики также сообщили, что владелец аккаунта Google по-прежнему может использовать чужое устройство, чтобы временно получить доступ к своей учётной записи. Функция «использовать пароль с другого устройства» позволяет выполнить единоразовый вход и не переносит пароль на новое оборудование. Если пользователь заподозрит, что его аккаунт взломан, или потеряет устройство с ключом, то он может немедленно отключить этот способ аутентификации в настройках учётной записи Google. Компания планирует уделить самое пристальное внимание изучению и дальнейшему внедрению ключей шифрования — возможно, в будущем они полностью заменят обычные пароли.

Логин

Загадочное слово — идентификация! Как можно сказать проще? Например, представление. В цифровом мире каждый субъект, будь то человек, машина или устройство должен назвать себя — указать, кто он такой, зачем пришел в инфраструктуру и хочет работать с ресурсами.

Для идентификации могут использоваться логин и идентификатор. Еще есть такой термин, как учетная запись. Он объединяет несколько ключевых в области информационных технологий наименований, которые хоть и отличаются друг от друга, но используются для похожих целей. В статье расскажем, что такое логин и пароль, как их создать и защитить. Поговорим о комплексных мерах безопасности и эффективных инструментах для работы с учетными записями.

Что такое логин

Логин (англ. Login) — это имя пользователя, которое используется для входа в информационные системы, приложения или другие программы. Его обычно устанавливает сам пользователь или тот, кто разрешает ему доступ. Он может содержать буквы, цифры или символы. Логин позволяет идентифицировать пользователя, который заходит на определенный ресурс или пытается получить доступ к программам.

Логин — частный случай идентификатора, который используется для представления конкретного пользователя в системе. Например, часто юзеры используют имена или прозвища: Pasha88, Batman, Fox, Olga1995 и другие.

Идентификатор (англ. identifier — опознаватель) — уникальный код или номер, присвоенный объекту в определенной системе и далее применяемый для идентификации этого объекта (человека, машины, устройства или даже файла). Он обычно создается автоматически при появлении нового фигуранта информационной инфраструктуры. Однако в некоторых случаях может быть задан вручную.

Чаще всего идентификаторы состоят из набора символов и цифр. Они всегда являются уникальными для конкретных систем или приложений. Это важное требование контролируется специальными механизмами определения уникальности. Примеры идентификаторов: RA87756, K_700005648764, 564875#675 и т.п.

Учетная запись в отличие от логина и идентификатора являются комплексной структурой данных. Она может содержать такие атрибуты, как имя пользователя, адрес электронной почты, контактную информацию, некоторые данные об устройстве и т.п. Иногда под учетной записью (или аккаунтом) в сети интернет понимается профиль или личная страница (личный кабинет) юзера, где хранятся данные о нем и его активности. Для ее использования обычно требуется авторизация, то есть ввод своего логина и пароля.

Ограничения логина и идентификатора

Для логина могут быть установлены ограничения на ввод определенных символов и максимальную длину. Это часто вызывает сложности у пользователей, использующих длинные названия или имена, для которых требуется транслитерация. Также проблемой становится совпадение наименований для разных юзеров в одной системе или приложении.

С аналогичными ограничениями на максимально допустимую длину и набор символов могут столкнуться и идентификаторы, что вызывает сложности в их использовании. Например, ограничения по длине могут приводить к совпадению для разных объектов системы, поэтому приходится предпринимать многократные попытки выбрать наименование.

Но, несмотря на ограничения, логин и идентификатор являются основными важными элементами в любой ИТ-архитектуре, поскольку обеспечивают эффективную и безопасную работу в цифровой среде.

как создать уникальный логин

Как создать уникальный логин

В корпоративной среде логины или идентификаторы обычно создаются согласно правилам, описанным в регламентирующих документах организации.

Если вы создаете учетные данные вручную, воспользуйтесь советами по выбору логинов от экспертов по кибербезопасности Solar inRights (Ростелеком-Солар).

При создании уникального логина следует учитывать несколько важных моментов. Вот несколько рекомендаций, которые помогут вам избежать сложностей:

Используйте комбинацию букв, цифр и символов, если это допустимо в конкретной информационной среде или приложении. Чередуйте заглавные и строчные буквы, знаки.
Избегайте очевидных и предсказуемых логинов, например, «admin», «user». Такие наименования очень легко угадать при попытках взлома.
Придумывайте длинные логины. Такие сложнее угадать или взломать. Оптимальная длина — от 8 символов.
Не используйте личную информацию. Не стоит включать в логин имя, дату рождения, адрес и другие персональные данные. Эти сведения могут оказаться доступными другим людям.
Перед окончательным выбором логина проверьте его доступность. Убедитесь, что выбранное имя не занято другим пользователем и не фигурирует на платформе, где вы хотите его использовать.
При необходимости используйте генератор логинов idm или другие подобные программы. Только проверяйте, чтобы наименование соответствовало вышеперечисленным требованиям.

Помните, что учетные данные должны быть не только уникальными, но и легко запоминаемыми для вас. Рекомендуем внести информацию о них в надежное специализированное хранилище или в другое недоступное для общей публики поле.

стандартные требования к логину

Стандартные требования к логину

Требования могут незначительно отличаться в зависимости от конкретной системы, веб-сайта или приложения. Несколько общих правил, которые важно соблюдать:

1. Длина логина. В каждой среде есть свои минимальные и максимальные показатели. Обычно длина стартует от 3 символов и ограничивается 16-32.

2. Допустимые символы. Имя может содержать только определенные знаки. Обычно разрешены буквы (как заглавные, так и строчные), цифры и некоторые специальные символы — подчеркивание (_) или дефис (-). Обязательно обращайте внимание на требования разных систем, поскольку очень легко запутаться.

3. Уникальность. Логин должен быть неповторимым в пределах данной системы или платформы. Это означает, что никто другой не может использовать то же самое имя.

4. Исключение специальных символов. Чтобы предотвратить возможные проблемы с безопасностью или технические сложности, некоторые системы исключают использование определенных знаков. Например, иногда запрещаются символы, которые фигурируют в кодировании URL.

5. Регистрозависимость. Логин может быть регистрозависимым или регистронезависимым. В первом случае «username» и «Username» считаются разными наименованиями. Во втором — одинаковыми.

6. Безопасность пароля. Логин часто фигурирует в паре с кодом для входа. Хорошей практикой является установка требований к безопасности пароля, чтобы обеспечить надежность учетной записи. Например, использование минимальной длины кода, комбинаций букв, цифр и специальных символов. И самое главное — запрет на очевидные сочетания.

Это общие требования, которые могут варьироваться в зависимости от системы или платформы. При создании рекомендуется следовать указаниям, предоставляемым при регистрации на конкретном веб-сайте, программе или приложении.

связка логин и пароль

Связка логин и пароль

Неотъемлемой частью безопасного использования логинов и идентификаторов является применение паролей, которые используются для аутентификации. После того, как пользователь вошел в систему (назвал себя), он должен подтвердить, что это именно он. Для этого применяется процедура аутентификации.

Для аутентификации может быть использован пароль — набор символов, который вводит пользователь для подтверждения своей легитимности. Первоначально код может быть задан вручную или сгенерирован в автоматическом режиме системой. После стартового входа его рекомендуется сменить.

Каждый пользователь должен знать, зачем создавать надежный пароль и какую роль он играет. Неосведомленность ведет к неминуемым рискам кибератак и утечке данных.

риски при использовании логина идентификатора и пароля

Риски при использовании логина, идентификатора и пароля

Учетные данные — логины, идентификаторы и пароли часто становятся целью атак злоумышленников, которые пытаются получить доступ к чужим учетным данным. Их компрометация приводит к очень серьезным последствиям. Для конкретного человека это может быть кража его личных данных или финансовых средств. А в рамках организации — утрата конфиденциальной информации, мошенничество с материальными ресурсами, потеря репутации. Кроме того, украденные учетные данные могут быть использованы для иных корыстных целей: вымогательства, шантажа и проведения других кибератак.

Примеры компрометации учетных данных:

Работник организации использовал один и тот же пароль для разных учетных записей. При компрометации одной из них злоумышленник получил доступ к списку логинов и паролей, включая учетные данные от критически важных систем компании.
Посредством фишинга злоумышленники внедрили вредоносное программное обеспечение, которое передавало все данные, что были введены с клавиатуры пользователя. Таким образом киберпреступники получили доступ к секретным логинам и паролям работника.
По вине подрядчика случилась утечка базы данных с наименованиями и паролями пользователей. Злоумышленники получили доступ к учетным данным, которые были использованы для финансового мошенничества. Поэтому важно знать методы и средства кибергигиены, которые в том числе относятся к логинам и паролям.

кража учетных данных

Кража учетных данных

Кража учетных данных — это самый распространенный тип киберпреступления. Злоумышленники пытаются завладеть логинами и паролями, чтобы получить все возможные привилегии в системах и нанести ущерб: повредить инфраструктуру, совершить мошеннические действия, стереть или украсть данные, получить удаленный доступ к ресурсам и закрепиться в локальных сетях предприятия.

Безусловно, борьба с кражей учетных сведений должна быть приоритетной задачей для служб безопасности. Нелегитимное использование украденных данных привилегированных пользователей, обладающих расширенными правами, может привести к катастрофическом последствиям для компании любого масштаба.

как злоумышленники крадут логин и пароль

Как злоумышленники крадут логин и пароль

Учетные данные могут быть получены из хранящихся в файлах хэшей. Злоумышленники научились восстанавливать пароли из хэшированных функций, если не применяются сложные современные алгоритмы, например, с добавлением соли (модификаторов входа).

Также для получения учетных данных используют социальную инженерию, например, фишинг, поскольку это не очень дорого и эффективно. К тому же, происходит взаимодействие с людьми, а их очень часто удается поймать на обман. Злоумышленники, нацеленные на кражу корпоративных учетных данных, часто используют социальные сети для получения контактной информации о сотрудниках компании. Далее в ход идут фишинговые письма — послания, имитирующие реальные корпоративные сообщения или приложения. Они детально разработаны, поэтому становятся неплохим инструментом в руках мошенников.

Также учетные данные можно угадать или подобрать случайным образом. А еще они часто становятся рассекречены в результате утечки информации.

Какие логины точно нельзя использовать

Существуют некоторые типы логинов, которые не рекомендуется использовать по соображениям безопасности и в целях предотвращения конфликтов с другими пользователями. Вот несколько примеров таких наименований:

1. Общие и очевидные логины. Не используйте очень распространенные и предсказуемые наименования. Например, «admin», «user», «guest» или «password». Злоумышленники первым делом проверяют такие логины и пытаются угадать комбинации.

2. Имена и фамилии. Такие данные опасно использовать, поскольку они известны многим людям. Тем более, что распространенные имена и фамилии часто совпадают с другими пользователями.

3. Личная информация. Избегайте использования логина, содержащего дату рождения, номер телефона, адрес или номер социального страхования. Эти данные легко найти в свободном доступе, поэтому они часто становятся уязвимыми для злоумышленников.

4. Общие распространенные слова. При создании наименований не вдохновляйтесь словарями. И тем более не делайте выбор в пользу банальных «password», «welcome», «123456». Это небезопасно — киберпреступники могут получить информацию путем словарных атак и легко подобрать ключ к вашему личному кабинету.

5. Негативные или оскорбительные термины. Избегайте использования логинов, которые могут вызвать конфликты с другими пользователями или нарушить правила определенных систем. В этом случае скорее грозят не мошенники, а блокировка на ресурсе.

6. Информация о пароле. Не включайте даже часть кода, поскольку такое наименование окажется очень уязвимым к атакам. Неудачные примеры: «pass», «pwd», «123» или «qwerty». И тем более не пытайтесь сделать логин и пароль одинаковыми.

7. Символы и символьные комбинации. Их часто включают в учетные записи, но можно использовать далеко не все. Требования зависят от конкретной системы, потому обязательно убедитесь, что не нарушаете правила. Использование нежелательных символов неминуемо провоцирует проблемы с безопасностью или технические сложности.

пример надежного login и password

Пример надежного login и password

Пример надежного логина и пароля может выглядеть следующим образом:

Важно знать, как создать хороший пароль. В этом примере использованы следующие принципы:

1. Логин содержит комбинацию букв, цифр и специальных символов. Например, «jOntario2017_» — сочетание буквы имени, города, где победила любимая команда и даты памятного события. Нижнее подчеркивание добавит наименованию надежности.

2. Пароль также является сочетанием строчных и заглавных букв, символов и цифр. Код «P@@ssw0rd!2» считается достаточно сильным и надежным. Хоть в основе и известное слово, зато достаточная длина и богатый набор знаков. Такой пароль злоумышленникам будет сложно угадать случайно или подобрать.

3. Пароль не содержит очевидных или предсказуемых фраз. Также он не связан с логином или иной личной информацией.

4. В пароле фигурируют различные типы символов: знаки, цифры, буквы. Они удачно скомбинированы относительно друг друга, поэтому код считается устойчивым к взлому и надежным.

Важно помнить, что это всего лишь пример. По факту информационная безопасность зависит от многих факторов. Поэтому обязательно внедрите дополнительные меры защиты, например, двухфакторную аутентификацию.

Не забывайте про регулярное обновление паролей. Постарайтесь использовать для каждой учетной записи свой уникальный код. Когда везде один и тот же пароль, злоумышленникам намного проще добраться до личных кабинетов в разных системах.

Не передавайте «входные» данные третьим лицам. Не записывайте логины и пароли там, где их легко могут увидеть.

Способы защиты учетных данных

В ваших силах предпринять простые меры для снижения риска компрометации важных данных. Правила, которые помогут обеспечить защиту логинов, идентификаторов и паролей:

Используйте надежные пароли. Включайте в код буквы нижнего верхнего регистра, специальные символы, цифры. Идеально подойдут парольные фразы длиной не менее 8 знаков.
Старайтесь как можно чаще менять пароли. Идеально — раз в месяц.
Не допускайте повторения одного и того же кода для разных ресурсов, приложений и систем. Если такое случайно произошло, обязательно поменяйте пароль.
Не устанавливайте в качестве пароля даты рождения, имена и фамилии. Под запретом и подряд идущие на клавиатуре знаки. Коды, созданные таким методом, очень легко угадываются.
Не передавайте третьим лицам информацию о «входных» данных. Если все же пришлось это сделать, после чужого посещения поменяйте пароли.
Используйте многофакторную аутентификацию. Даже двухэтапная проверка повысит уровень безопасности ваших личных данных и снизит риск утечки.
Не подключайтесь к конфиденциальной информации через общедоступные компьютеры или открытые Wi-Fi сети. После таких посещений часто происходит утечка учетных данных.
Обязательно установите антивирусное программное обеспечение, которое поможет своевременно обнаружить вредоносное ПО и защитит ресурсы от внешних посягательств.
Организациям помимо этих правил следует предпринять дополнительные меры. Самые эффективные:
Обучение сотрудников правилам информационной безопасности. В его рамках обязательно обсуждаются нюансы создания надежных паролей и методы обнаружения фишинговых атак.
Создание политики безопасности, где будет регламентирован порядок обращения с учетными данными.
Регламентирование работы с привилегированным доступом. Создание четких правил обращения с конфиденциальными данными и контроль за соблюдением требований.
Разграничение доступа к системам и приложениям, которые используются работниками в рамках профессиональной деятельности.
Поддержание всех сетей, систем и устройств в актуальном безопасном состоянии и периодическая оценка уязвимостей.

Непрерывная аутентификация в целях защиты логинов и идентификаторов

Одним из перспективных и новых методов обеспечения кибербезопасности (в том числе защиты учетных данных) является непрерывная аутентификация. Это метод проверки подлинности пользователя, который проводится не один раз при подключении к ресурсу, а на протяжении всего сеанса работы.

Непрерывная аутентификация базируется на проверке личности без прерывания рабочего процесса и реализуется с использованием машинного обучения. Она включает множество факторов, в том числе поведенческие модели и биометрические данные.

Непрерывная аутентификация востребована там, где требуются повышенные меры безопасности. Например, при работе с конфиденциальной и критически важной для бизнеса информацией.

Многие привыкли использовать традиционные методы аутентификации — однофакторную и многофакторную. Однако эти методы не обеспечивают непрерывной проверки логинов и личности пользователя. К сожалению, киберпреступность набирает обороты, поэтому с ней лучше бороться динамическими методами защиты. Цифровые технологии постоянно модернизируются — остается только правильно и своевременно выбирать инструменты.

как работает непрерывная аутентификация

Как работает непрерывная аутентификация

Чтобы получить корректные результаты проверки, необходимо постоянно собирать информацию о действиях пользователя и создавать определенные шаблоны его обычного поведения. Это позволит впоследствии выявлять различные несостыковки. Если будет наблюдаться аномальное поведение, система отреагирует дополнительными проверками личности.

На основе анализа поведения пользователя может быть предоставлен или продлен доступ к системе или приложению. Если выявится компрометация, сеанс работы немедленно прервется.

Помимо поведения юзера исследуются и его физиологические характеристики. Например, черты лица, сила нажатия на клавиши, положение глаз, размер зрачка, частота моргания и другие признаки пользователя. В совокупности с действиями физиологические характеристики дают системе понимание, кто именно в данный момент участвует в сеансе.

Приложение оценивает поведение и характеристики на протяжении всего сеанса работы. В случае подозрений оно может потребовать дополнительное подтверждение личности. Например, запросить смарт-карту, пароль или отпечаток пальца. Если пользователь не выполнит требования, доступ к ресурсу будет заблокирован даже при условии введения верного логина и пароля.

В рамках непрерывной аутентификации существуют разные технологии:

Голосовая аутентификация. Это отслеживание изменения высоты и частоты тона. Речь, зафиксированная в системе в качестве эталона сравнивается с актуальным входящим потоком.
Распознавание лица. Камера постоянно отслеживает, передает и анализирует изображение. Например, при доступе к мобильному устройству. Если появится другой фигурант, система затребует дополнительную проверку.
Отслеживание физического движения. Датчики фиксируют уникальный способ перемещения юзера. Отмечают, в каком положении находятся его руки во время сеанса, как он сидит и ходит, какие жесты использует.
Поведенческая и физиологическая биометрия. Тут важно, как долго и с какой силой пользователь нажимает на клавиатуру, как проводит по экрану или использует мышь. При проверке роль сыграют абсолютно все характерные черты конкретного пользователя.

Возможности и ограничения непрерывной аутентификации

Использование поведенческой биометрии и физиологических характеристик позволяет выявить злоумышленников и мошенников, которые пытаются нанести вред или реализовать свои преступные намерения посредством использования чужих логинов. Это повышает уровень киберзащиты и снижает риски возникновения нарушений. Без непрерывной аутентификации ресурсы будут более уязвимыми, что откроет путь к атакам на информационную инфраструктуру.

Пример инцидента — сотрудник отвлекся, отошел от рабочего места, оставив сеанс работы с системой незавершенным. В этот момент доступом воспользовался другой работник, похитив информацию в корыстных целях или внеся несанкционированные изменения. Также внезапно может произойти фишинговая атака, повлекшая утечку учетных данных.

Непрерывная аутентификации находится только на пути развития и внедрения. Пока такая технология возможна для отдельных систем и приложений. К сожалению, комплексно она пока не используется.

Кроме того, остро стоят вопросы этического и юридического характера, поскольку не каждый работник захочет находиться под постоянным контролем. Пока нет четких нормативных требований, которые бы регулировали данный аспект.

где и как хранить логин и пароль

Где и как хранить логин и пароль

Хранение логинов и паролей в безопасном месте очень важно для защиты ваших учетных записей от несанкционированного доступа. Вот несколько рекомендаций, которые помогут обезопасить данные:

Оптимизируйте физическое хранение. Некоторые предпочитают записывать логины и пароли в блокноты. В таком случае информация может легко оказаться в руках третьих лиц. Если вы предпочитаете физическое хранение, убирайте блокнот в надежное недоступное для других место. Например, в сейф или закрытый ящик. Никогда не записывайте такие важные данные на стикеры, которые приклеиваете на рабочую доску или монитор.
Не храните данные на компьютере в виде открытых текстовых файлов. Также желательно не фиксировать логины и пароли в браузере. Это удобно, однако если устройство украдут или взломают, вся учетная информация окажется в чужих руках и может быть использована в мошеннических целях.
Используйте двухфакторную аутентификацию (2FA). Включите ее для ваших учетных записей везде, где это возможно. Очень эффективно себя показывают дополнительные слои защиты, например, код аутентификатора или SMS. Если логины и пароли окажутся в руках и злоумышленников, у них не будет возможности полностью пройти аутентификацию и получить доступ к ресурсам, т.к. они не владеют вторым фактором защиты.
Никогда не передавайте учетные сведения третьим лицам, даже если это кажется необходимостью. Следите за безопасностью данных, избегайте использования общих или публичных компьютеров для входа в свои аккаунты.
Прибегайте к помощи менеджера паролей. Если используете разные учетные данные для нескольких систем, обязательно подумайте, как держать их в тайне и не запутаться самому. Эти задачи поможет решить менеджер паролей — специализированное приложение, которое обеспечивает безопасное хранение уникальных паролей. При необходимости оно поможет сгенерировать новые. Причем большинство менеджеров паролей синхронизируются между несколькими устройствами, поэтому полностью исключается риск остаться без доступа к нужной системе.

программа для хранения логина и пароля

Программа для хранения логина и пароля

Менеджер паролей – технологический инструмент, который позволяет создавать, сохранять и использовать уникальные коды для различных сервисов, систем и приложений. Он повышает удобство работы и безопасность, поскольку помогает генерировать сложные надежные пароли для каждого логина (учетной записи). Причем инструмент снимает необходимость запоминать многочисленные коды и в случае забывчивости упростит процедуру восстановления логина и пароля.

Такой механизм помогает эффективно управлять логинами и паролями. Вся информация в менеджере обычно защищена надежным шифрованием.

Сам инструмент надежно защищен с помощью мастер-пароля, который используется для доступа к менеджеру. Некоторые продвинутые механизмы также предусматривают дополнительную защиту в виде двухфакторной аутентификации. Такие программы на данный момент считаются самыми безопасными и востребованными.

Менеджеры паролей бывают различных типов:

На основе браузера. Все основные платформы, например, Google Chrome, Mozilla Firefox, Microsoft Edge и другие давно в той или иной форме имеют встроенные менеджеры паролей.
Локальные менеджеры паролей. Это приложения, которые базируются непосредственно на устройстве пользователя. Именно там они хранят учетные данные и помогают управлять ими.
Корпоративные менеджеры паролей. Такие программные инструменты используются в организациях. Они часто включены в различные решения по управлению доступом. Например, в систему по управлению привилегированным доступом (PAM) SafeInspect.
Аппаратные менеджеры паролей. Это устройства, которые часто используются в качестве USB-ключей. Иногда они содержат токен, который обеспечивает доступ к учетной записи, либо используются как безопасное автономное хранилище паролей.
Облачные менеджеры паролей. Эти инструменты сохраняют учетные данные в облаке и позволяют пользователям получить необходимые сведения только при подключении к интернету.

Благодаря таким инструментам не возникнет вопроса, что делать, если забыл логин или пароль.

Удобные инструменты, которые позволяют исполнять парольную политику компании

Многие решения по управлению доступом включают механизмы, взаимодействующие с паролями. Например, Solar inRights обладает специальным модулем, отвечающим за исполнение парольной политики компании. Удобство в том, что все подключенные к решению системы могут подчиняться единым централизованным требованиям. При необходимости разрешено ввести исключение по некоторым системам и приложениям.

Solar inRights включает очень широкий набор параметров по управлению парольной политикой. Все инструменты отвечают высоким стандартам безопасности и могут варьироваться в зависимости от требований и стандартов организации.

Ограничение минимальной и максимальной длины пароля.
Наличие и обязательность включения различных символов.
Учет буквенного регистра.
Наличие и обязательность цифр в пароле.
Повторяемость различных символов в пароле.
Периодичность возможности использования повторных кодов для входа в системы.
Срок действия дефолтного и постоянного пароля.
Количество некорректных попыток ввода и другие важные аспекты.

Если речь идет о привилегированном доступе, то такая система, как Solar SafeInspect решает вопросы по управлению паролями для привилегированных учетных записей. Подстановка данных позволяет держать сведения в секрете не только от третьих лиц, но и даже от самих привилегированных пользователей, например администраторов.

Сотрудники входят в систему под обычной социальной учеткой и используют свой пароль, а далее система автоматически подставляет данные для доступной привилегированной учетной записи. Все это происходит на основании введенных в систему требований.

Такой механизм позволяет защитить учетные данные от атак злоумышленников. Кроме того, есть возможность настроить любую необходимую периодичность автоматической смены пароля привилегированной учетной записи, вплоть до манипуляций после каждого сеанса работы.

Все учетные данные привилегированных пользователей базируются в специальном зашифрованном хранилище системы Solar SafeInspect. Это также позволяет повысить возможности безопасной работы с критически важными ресурсами компании.

Автор:
Людмила Севастьянова, эксперт центра продуктов Solar inRights компании «Ростелеком-Солар»

Passkeys для аккаунта Google: что, где, как и зачем

Все, что вы хотели знать про passkeys (ключи доступа) для Google-аккаунта: как работают, зачем нужны, где включить, как настроить и какие есть варианты хранения.

Как включить и настроить passkeys для вашего Google-аккаунта

Alanna Titterington

3 ноября 2023

Недавно появились новости о том, что Google собирается сделать так называемые ключи доступа (passkeys) дефолтной опцией для входа в Google-аккаунты. Так что в следующий раз, когда вы будете логиниться в YouTube, Gmail, Google-документы, карты Google или любое другое приложение поискового гиганта, вас, скорее всего, попросят создать этот самый passkey — ключ доступа.

В этом посте мы разберемся, где можно настроить passkeys для вашего Google-аккаунта, какие есть варианты и что делать, если возникнут сложности. Но сначала немного поговорим о том, что это вообще такое и как работает данная технология.

Что такое ключи доступа — они же ключи входа, они же passkeys

Passkeys (от англ. pass + key — «проход» + «ключ») разработаны FIDO Alliance — организацией, чьей миссией является создание новых стандартов аутентификации, которые в перспективе позволят человечеству меньше полагаться на пароли. Если у вас есть аппаратный ключ доступа — чаще всего их называют YubiKey (как наиболее популярный бренд), — то вы уже знакомы с одной из разработок FIDO Alliance.

Passkeys — это следующий этап развития новых технологий аутентификации. Предыдущие разработки FIDO Alliance касались дополнительных факторов — то есть вспомогательных вариантов подтверждения входа, которые работали совместно со всеми ненавидимыми паролями. А вот passkeys призваны уже не дополнить, а полностью заменить собой пароли.

Крупнейшие технологические гиганты — Apple, Google и Microsoft — уже внедрили в свою инфраструктуру поддержку технологии и готовы дать пользователям возможность отказаться от паролей. Собственно, Google в ближайшем будущем как раз и собирается немного подтолкнуть их в этом направлении.

К сожалению, в FIDO Alliance не предусмотрели канонический перевод слова Passkey с английского на какие-либо другие языки. Поэтому компании, внедряющие этот механизм аутентификации, называют его, как им заблагорассудится, не особенно оглядываясь на коллег по цеху. Так что на русском это могут быть как «ключи доступа» (в терминологии Google и Microsoft), так и «ключи входа» (в терминологии Apple).

Отдельно замечу, что та же ситуация сложилась и в других языках — ни на французском с португальским, ни даже на испанском пока не удалось прийти к единой терминологии.

Passkeys, они же ключи доступа, они же ключи входа

Как Apple, Google и Microsoft называют passkey на разных языках

Как работают ключи доступа (passkeys) и зачем все это нужно

Ключи доступа (они же ключи входа, они же passkeys) полностью заменяют пароли. С ними ни придумывать, ни запоминать какие-то последовательности символов больше не придется вообще.

Вот как это работает. При регистрации пользователем ключа доступа на том или ином сервисе создается пара ключей шифрования — секретный и публичный (альтернативные термины — открытый и закрытый ключи). Все это называется криптография с открытым ключом. Основная суть — если зашифровать что-то с помощью публичного ключа, то расшифровать это можно, только зная секретный ключ.

Таким образом, секретный ключ остается на устройстве пользователя, а публичный отправляется сервису. В дальнейшем эти два ключа используются для шифрования диалога, происходящего в момент входа пользователя на сервис:

сервис отправляет пользователю зашифрованный с помощью публичного ключа запрос, в котором содержится некое очень большое случайное число;
в этот момент устройство пользователя просит того подтвердить, что он — это он. Как правило, с помощью биометрии, то есть приложив палец к датчику или посмотрев в камеру, а также с помощью ПИН-кода;
в случае успешного подтверждения устройство пользователя расшифровывает запрос от сервиса с помощью секретного ключа и узнает из него то самое случайное число. Тот, у кого нет секретного ключа, не сможет правильно расшифровать это сообщение и узнать заветное число;
далее на основе этого случайного числа из запроса от сервиса устройство пользователя по определенному алгоритму создает цифровую подпись — вычисляет новое очень большое число — и отправляет обратно сервису;
сервис на своей стороне проделывает точно такие же вычисления и сравнивает результат. Если вычисленное им число совпадает с тем, что он получил от устройства пользователя, значит, запрос был правильно расшифрован. Следовательно, пользователь обладает соответствующим секретным ключом — в этом случае происходит его авторизация в сервисе.

Как видите, «под капотом» этот механизм устроен довольно сложно. Но хорошая новость состоит в том, что от пользователя вся криптографическая магия полностью скрыта. На практике все работает очень просто и понятно: достаточно просто нажать кнопку «Войти» и приложить палец (посмотреть в камеру). Всю сложную работу в фоновом режиме проделает ваш смартфон или компьютер.

Зачем это вообще нужно? Очень просто: passkeys — это попытка одновременно повысить безопасность и упростить жизнь пользователя. Первое достигается путем замены не очень-то надежных паролей на чрезвычайно устойчивые к взлому ключи шифрования. Второе — с помощью отказа от необходимости что-то придумывать и запоминать пользователю, а также совершать еще какие-то дополнительные действия для двухфакторной аутентификации.

Таким образом, ключи доступа — в теории — призваны обеспечивать высочайший уровень безопасности, не требуя от пользователя вообще никаких усилий.

Как настроить вход в аккаунт Google с помощью ключа доступа (passkey)

Теперь о том, как это все устроено на практике и как же настроить вход в Google-аккаунт с использованием ключей доступа. Делается это очень несложно. Вот что вам нужно предпринять:

Войдите в настройки вашего Google-аккаунта — это можно сделать как через какой-нибудь сервис Google (например, Gmail), так и прямо через браузер Google Chrome, который у вас наверняка есть. Для этого щелкните по аватару в верхнем правом углу экрана и выберите пункт Управление аккаунтом Google.

Где найти настройки ключей доступа (passkeys) для аккаунта Google, шаг 1

На открывшейся странице выберите пункт Безопасность.

Где найти настройки ключей доступа (passkeys) для аккаунта Google, шаг 2

Промотайте вниз до пункта Вход в аккаунт Google.

Где найти настройки ключей доступа (passkeys) для аккаунта Google, шаг 3

Найдите под списком различных вариантов подтверждения входа и восстановления аккаунта кнопку Ключи доступа и нажмите ее.

Далее возможны разные варианты, но для начала я предлагаю создать локальный ключ доступа на компьютере, который позволит вам больше не вводить пароль для входа в Google-аккаунт в браузере. Для этого:

Нажмите на синюю кнопку Создать ключ доступав верхней части экрана.

Создание ключа локального доступа для Google-аккаунта в десктопном браузере, шаг 1

Во всплывающем окне нажмите Продолжить.

Создание ключа локального доступа для Google-аккаунта в десктопном браузере, шаг 2

После этого подтвердите действие тем способом, которым вы разблокируете ваше устройство, — в моем случае это отпечаток пальца.

Создание локального ключа доступа для Google-аккаунта в десктопном браузере, шаг 3

Поздравляю! Ключ доступа создан — вы можете входить в этом браузере в свой Google-аккаунт без пароля.

Теперь давайте создадим еще один ключ доступа на вашем смартфоне. Это позволит, во-первых, входить в Google без пароля на данном смартфоне. Во-вторых, этот же ключ доступа можно будет использовать для входа на других устройствах — с помощью Bluetooth.

Собственно, перед тем как начать, убедитесь, что у вас и в смартфоне, и в компьютере включен Bluetooth, а также дайте браузеру разрешение на доступ к нему (если его вдруг нет). Дальше надо сделать следующее:

Вернитесь на страницу Ключи доступа и нажмите на белую кнопку Создать ключ доступа в нижней части экрана.

Создание ключа доступа для Google-аккаунта на смартфоне, шаг 1

Во всплывающем окне выберите Другое устройство.

Создание ключа доступа для Google-аккаунта на смартфоне, шаг 2

Далее появится еще одно всплывающее окно с QR-кодом — его надо отсканировать камерой вашего смартфона.

Создание ключа доступа для Google-аккаунта на смартфоне, шаг 3

Затем надо будет уже в смартфоне подтвердить создание ключа доступа с помощью того метода, которым вы этот смартфон разблокируете.

Подтверждение регистрации ключа входа на айфоне

Подтверждение регистрации ключа доступа на айфоне. Источник

Ну вот и все, вы создали ключ доступа еще и в вашем смартфоне — он позволит входить в Google-аккаунт без пароля на любом устройстве. Ключей доступа можно создавать больше одного — так что, если у вас много устройств, ничто не мешает иметь по ключу на каждом.

Ключ доступа для Google-аккаунта на смартфоне успешно создан

Также для хранения ключей доступа можно использовать аппаратный аутентификатор — их еще называют ключами безопасности или YubiKey, по наиболее известному бренду. Однако подойдет не любой: нужен «юбик» со встроенным механизмом подтверждения входа — с помощью ПИН-кода или отпечатка пальца. Если попытаться создать ключ доступа на «юбике» без такого механизма, то регистрация будет якобы успешной, но при входе вас все равно попросят ввести пароль от аккаунта — так что вся затея теряет смысл.

Не все YubiKey можно использовать для записи passkeys

Было бы мило получить это предупреждение на стадии регистрации ключа, а не в тот момент, когда уже собираешься использовать его для входа в аккаунт

Запасной план: пароли и одноразовые коды из приложения

Механизм подтверждения входа с помощью ключей доступа максимально автоматизирован, и все «мудреные» действия изолированы от пользователя. Поэтому пока все работает нормально, аутентифицироваться ключами доступа действительно удобно и легко. Однако у этой изолированности есть и обратная сторона: когда что-то не работает, то практически невозможно понять, что же пошло не так, почему и как это починить.

Скажем, один из созданных мной ключей доступа наотрез отказывался срабатывать для беспарольного входа. Мне так и не удалось понять, в чем проблема: в настройках аккаунта Google он отображался как активный, он просто… не работал. Хорошо, что для того же аккаунта у меня была включена еще масса вариантов подтверждения доступа.

Ошибка входа в аккаунт Google с помощью ключа доступа

Что-то пошло не так. Спасибо, Капитан Google!

Поэтому на данный момент я предпочитаю относиться к ключам доступа как к вспомогательному варианту входа, который иногда может сэкономить время. Но пароль и двухфакторную аутентификацию для входа в аккаунт Google, на мой взгляд, сбрасывать со счетов пока рано. Что-то мне подсказывает, они еще пригодятся, когда ключ доступа внезапно не сработает. Причем, скорее всего, это произойдет в самый неподходящий момент.

Хорошая новость состоит в том, что поскольку теперь вы будете реже вводить пароль от Google-аккаунта, то заучивать его наизусть не обязательно. Следовательно, комбинацию символов стоит сделать максимально надежной — то есть случайной и очень длинной, скажем, из 32 или даже 64 символов. А сгенерирует и запомнит его для вас Kaspersky Password Manager.

Кстати, в менеджере паролей можно заодно получать и одноразовые коды для двухфакторной аутентификации — в Kaspersky Password Manager не так давно появилась еще и такая функция.