Более половины россиян используют дистанционные способы взаимодействия с банками в повседневной жизни, а специалисты отмечали уверенный рост количества людей, подключенных к мобильному и интернет-банкингу. Клиенты даже сравнить ставки по потребительским кредитам предпочитают с помощью сервисов, где нужно завести личный кабинет.
В такой ситуации остро встает вопрос защиты банковских приложений на смартфонах и особенно онлайн-банка клиентов финансовых организаций от несанкционированного доступа. Банки постоянно совершенствуют безопасность программного обеспечения, однако эти усилия оказываются тщетными, если клиент безответственно подходит к установке пароля при подключении к дистанционному банковскому обслуживанию (ДБО). В этом случае злоумышленника достаточно подобрать комбинацию для входа в онлайн-банк, и они могут вывести все деньги со счетов беспечной жертвы.
Как мошенники узнают чужие пароли
Исследования показывают, что многие люди используют легкие однотипные пароли и предпочитают применять одну и ту же комбинацию символов для авторизации в разных сервисах: электронная почта, интернет-магазины, служба доставки, онлайн-банки и т.д. В топ наиболее распространенных паролей из года в год входят такие буквенные и цифровые комбинации, как qwerty, 123456, 111111, password и всевозможные вариации с применением схожих основ. Все это позволяет мошенникам получать доступ к учетным записям людей простым перебором символов. Более того, в подобной ситуации при утечке базы данных какого-то одного сервиса в руках у злоумышленников оказываются пароли от остальных учетных записей человека, включая онлайн-банк.
И это не все схемы, которые используют мошенники. Также для подбора или сброса пароля злоумышленники могут анализировать социальные сети потенциальной жертвы и любую другую информацию о человеке в интернете. Это может сработать, если для смены пароля в онлайн-банке требуется ответить на контрольный вопрос, например указать имя питомца, девичью фамилию матери, любимое блюдо и т.д.
Банки и платежные системы тоже предпринимают меры, чтобы обеспечить клиентам безопасность, но все равно в первую очередь человеку нужно самостоятельно соблюдать все предосторожности.
Требования к паролям
Надежный пароль — это уникальная комбинация знаков, используемая человеком для входа только в один сервис. Он может состоять из букв разного регистра, цифр и специальных символов. Понимая, что многие люди идут по простому пути и устанавливают шаблонные пароли при подключении к ДБО, большинство банков используют автоматическую проверку введенных комбинаций и одобряют их только при соответветствии нескольким критериям. Например, принимают пароль, если в нем содержатся прописные и строчные литеры, хотя бы одна цифра и один специальный символ (!”№% и др.).
Как создать надежный пароль
Существует несколько способов придумать хороший пароль. Для этого следует придерживаться нескольких несложных правил:
- Отказаться от применения коротких комбинаций. Чем больше знаков содержит пароль, тем сложнее его подобрать.
- Наряду с буквами и цифрами использовать специальные символы. Добавлять к словам и числам круглые или квадратные скобки, знаки валют, графическое обозначение процента и т.д.
- Составлять пароли из нескольких слов. Во-первых, так комбинацию будет проще запомнить, во-вторых, сложнее подобрать. Также можно заменить отдельные буквы в словах цифрами или спецсимволами. Например, вместо DontWorryBeHappy использовать D0ntW@rry8eHappy.
- Комбинировать случайные слова (HomeRainApple) или использовать сокращение известной фразы до первых букв входящих в выражение слов в разном регистре (NvTzCb вместо «Не все то золото, что блестит»). К таким паролям также следует добавлять цифры и спецзнаки.
Чем более отвлеченным получается пароль, тем сложнее будет его подобрать злоумышленникам. В то же время, при создании пароля человеку все же стоит придерживаться некой логики или прибегать к мнемоническим техникам для запоминания, чтобы самому не забыть использованный набор знаков.
Инструменты для генерации паролей
Для людей, которые сталкиваются со сложностями в придумывании уникальных паролей, существуют специальные программы генерации случайных наборов символов. С одной стороны, это упрощает для человека прохождение процедуры регистрации в онлайн-банке или ином сервисе с привязкой реквизитов карты. С другой, подобный способ создания паролей имеет свои недостатки. Во-первых, созданные подобным образом комбинации по умолчанию лишены какой-либо внутренней логики, а значит такой пароль будет сложно запомнить. Во-вторых, сгенерированный набор символов может сохраняться в используемой программе во избежание повторной выдачи другим пользователям, а значит существует вероятность утечки данных. Поэтому пользователям лучше все же придумывать пароли самостоятельно.
Как правильно хранить пароли
Данные учетной записи от онлайн-банка не следует записывать и хранить вместе с банковскими картами и документами, в обычных текстовых файлах на компьютере или в заметках на смартфоне. Также нельзя сохранять пароль в браузере или мобильном приложении для быстрого доступа к дистанционным банковским услугам. В этом случае пароль просто теряет какой-либо смысл.
Правильнее всего запоминать используемые пароли и всегда держать их в голове. Но если человек боится забыть данные учетной записи, то для их хранения на физическом или цифровом носителе обязательно необходимо использовать защищенные способы. Держать записанные на бумаге пароли в сейфе или в ином недоступном для посторонних людей месте, хранить информацию в телефоне, компьютере или USB-накопителя в зашифрованном виде и т.д.
Для облегчения этой задачи также предусмотрены современные цифровые решения — так называемые менеджеры паролей. При их использовании человеку фактически необходимо запомнить один мастер-пароль для входа в программу, после чего он может увидеть данные для авторизации во всех подключенных сервисах. Учитывая важность хранящейся в таких программах информации, при установке менеджера паролей пользователю следует обязательно активировать двухфакторную аутентификацию, когда для входа в аккаунт требуется не только ввести учетные данные, но и подтвердить действие кодом из SMS или переходом по ссылке из электронного письма.