Експерт з кібербезпеки Он Хаочжен дає інтерв’ю Бонн і розповідає, як «хакери» викрадають мережеві паролі!

Експерт із кібербезпеки Він Хаочжен проходить інтерв’ю у Бьо Бона та проводить глибокий розбір актуальних проблем кібербезпеки в інтернеті. Він Хаочжен зазначив, що зі поширенням штучного інтелекту хакери вже можуть використовувати автоматизовані інструменти, знаходити логіку мислення людини та її контекст, щоб проникати в облікові записи, і це створює серйозні виклики для традиційних уявлень про захист у сфері кібербезпеки. Він наголосив, що складність паролів уже не є важливою; головне — щоб вони були достатньо особливими, і він вважає, що наразі найкориснішими засобами захисту є інструменти керування паролями з «біометрією» або «шифруванням».

Чи розумні лампочки теж стануть зброєю для атак на держави?

У середовищі, де інтернет поширений повсюдно, такі домашні пристрої, як розумні лампочки, також можуть стати для хакерів «перехідним пунктом» під час запуску масштабних кібератак. Якщо користувачі не змінять паролі за замовчуванням або не користуватимуться слабкими паролями на кшталт «12345678», хакери можуть легко отримати контроль за допомогою автоматизованих інструментів сканування.

Після того як контроль буде перехоплено, хакери атакують не лише сам цей пристрій, а використовують його як базу: ховають реальну особу та далі здійснюють атаки на важливі цілі, як-от структури оборони чи державні органи. Такі дії призведуть до того, що під час розшуку цифрових слідів правоохоронні підрозділи напряму вийдуть на IP-адресу власника цього пристрою IoT, через що пересічні громадяни без відома можуть стати цапами-відбувайлами хакерських дій. Оскільки більшість користувачів не насторожено ставляться до безпеки таких домашніх пристроїв, домашні розумні пристрої нині є дуже прихованими шляхами атак у злочинах в інтернеті.

Чим довший пароль за замовчуванням, тим система є більш передовою та безпечною!

Він Хаочжен розкритикував традиційні системи кібербезпеки, особливо норми на кшталт «регулярної зміни паролів» або «обов’язкового включення спеціальних символів». Він підкреслив, що для сучасного захисту від атак хакерів більш дієвими є «довжина» пароля та «непередбачуваність». Наразі рекомендована довжина пароля має бути в діапазоні від 14 до 20 символів, або ж використовувати комбінацію довгих фраз. Якщо це сайт із старішої епохи інтернету, інженер просто встановлював пароль за замовчуванням у межах 8 символів. Коли користувачі застосовують шаблони, які легко передбачити, наприклад додають наприкінці вихідного пароля зростаючий символ оклику, то перед сучасними техніками зламу це майже не має захисної сили. Основна причина в тому, що хакери можуть зрозуміти логіку користувача іншими способами: наприклад, якщо просто взяти 1234567 і додати спеціальний символ, це легко обчислюється.

Інструменти керування паролями та багатофакторна автентифікація можуть збалансувати зручність і безпеку

Для захисту персональних акаунтів експерти пропонують використовувати інструменти керування паролями (Password Manager) і багатофакторну автентифікацію (Multi-Factor Authentication, MFA). Інструменти керування паролями можуть згенерувати для різних акаунтів тисячі незалежних і випадкових паролів, запобігаючи ланцюговому ефекту, коли зламують один-єдиний акаунт. Хоча висококласні хакери можуть спробувати обійти багатофакторну автентифікацію, для блокування атак на кшталт SIM Swapping «заміна SIM-карти» або AI-керованих автоматизованих фішингових атак багатофакторна автентифікація нині залишається найефективнішим способом балансувати зручність і безпеку.

Навіть психічна втома може спричинити вразливості

Під час того як технології кібербезпеки постійно розвиваються, людська неуважність, спричинена психічною втомою, все одно залишається найбільшою вразливістю. Останніми роками поширеною є Push Fatigue Attack «атака втомою від push-сповіщень»: хакери надсилають безперервно велику кількість запитів на підтвердження входу, намагаючись змусити жертву, коли вона нетерпляча або відволіклась, інстинктивно натиснути «Згоден» або «Дозволити». Такий тип атак, спрямований на особливості поведінки людини, показує, що лише технічного захисту недостатньо.

Коли користувач керує цифровими ризиками, він має мати чітку усвідомленість. Для акаунтів із вищим рівнем важливості (наприклад, інтернет-банкінг або електронна пошта) необхідно застосовувати налаштування безпеки найвищого рівня, а не виставляти однаковий рівень захисту для всіх сервісів. Експерти нагадують: між безпекою та зручністю завжди існує компроміс. Найбільша загроза часто походить від ігнорування налаштувань пристроїв або надмірної залежності від процесів користування — це людські слабкі місця, які автоматизовані інструменти найпростіше обходять.

Як обрати інструмент керування паролями

На ринку наразі існує кілька рішень для керування паролями, зокрема окремі застосунки (наприклад 1Password) і вбудовані в браузер функції збереження (наприклад, вбудовані інструменти Google Chrome або Firefox). Хоча інструменти керування в браузері мають високу зручність, якщо хтось отримає контроль над комп’ютером фізично, існує ризик витоку паролів. Професійним інструментам керування паролями потрібно, щоб користувач пам’ятав лише один набір надійного Master Password «головний пароль», а решту складного процесу шифрування виконує програмне забезпечення.

Окрім збереження паролів, ці інструменти мають суттєві переваги в захисті від фішингу (Phishing). Коли користувач помилково вводить дані на шахрайському сайті або на фішинговій сторінці, інструменти керування паролями відмовляються автоматично підставляти облікові дані через невідповідність URL (URL не збігається), що ефективно запобігає витоку особистих даних через неможливість користувача розпізнати підроблений сайт неозброєним оком. Експерти підкреслюють: незалежно від того, яке саме програмне забезпечення керування вибрати — будь-яке з добру репутацією — його безпека значно вища за стару звичку повторно використовувати один і той самий простий пароль на багатьох сайтах.

Ця стаття. Експерт із кібербезпеки Он Хаочжен приймає інтерв’ю Бьо Бона та ділиться тим, як «хакери» викрадають інтернет-паролі! Вперше з’явилася в Lian News ABMedia.