В гостях у программы «Утро в Петербурге» Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук.
Николай Растворцев, ведущий: А защищён ли ваш аккаунт? В первом квартале 2024 года хакерами были атакованы почти 52% российских пользователей, и число желающих заполучить ваши данные меньше не становится. Если нам кажется, что наш пароль сложен, красив и практически не может быть украден, то есть ли у такого хорошего пароля срок годности. Или все равно рано или поздно его придется сменить?
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Пароль нужно менять, причем несколько раз в год, потому что пароль имеет свойство устаревать. То есть это значит, что кто-то его может когда-либо подобрать, либо вы его засветили частично, кто-то догадался, либо вы передали его сторонним лицам случайным образом.
Марианна Дьякова, ведущая: Но чаще не надо? Например, менять каждую неделю не стоит.
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Нет, этого не нужно делать. Пароль следует ставить длиной более 10 символов и использовать различные буквы, символы, цифры.
Марианна Дьякова, ведущая: Иногда бывает нам подсказывают сложный пароль. Стоит ли пользоваться таким предложением? И как его потом запомнить или куда-то зафиксировать? Или все-таки лучше придумать свой пароль, который имеет какое-то значение.
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Можно его использовать, но запомнить его сложно, потому что состоит из последовательностей, которые не вы придумывали. Обычно это сохраняется просто в браузере – самый простой вариант для удобства, – и потом его можно синхронизировать со смартфоном или любым другим устройством. Но здесь самое важное, чтобы вы его запомнили, чтобы этот пароль был с вами всегда. Можно использовать менеджер паролей, который хранит множество паролей от ваших учетных данных, но при этом все равно вам нужно знать мастер-пароль. Все сводится к тому, что вам нужен некий пароль, который лучше хранить в голове, и периодически менять вариацию последовательности.
Николай Растворцев, ведущий: А менеджер пароля не угонят? Вскроют один и узнают все остальные.
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Бывают, к сожалению, случаи, когда пароли угоняли или забирали методом хакерских атак у этих менеджеров, потому что они, как правило, хранят пароли в облачном сервисе. Поэтому риски всегда есть, и нужно быть на чеку.
Марианна Дьякова, ведущая: В телефоне можно сохранить пароли?
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Это можно сделать, но в этом мало удобства. Представьте, что в заметке куча сервисов, и их надо не путать между собой. Поэтому в телефоне можно их сохранять и пользоваться до тех пор, пока телефон не попадет в чужие руки, либо кто-то не узнает ваш пароль или мастер-пароль от самого телефона, либо они воспользуются вашими отпечатками пальцев, либо вашим лицом.
Николай Растворцев, ведущий: Вот отпечатки пальцев, лицо – это по-прежнему отличает нас и защищает? Или те же дипфейки и прочие технологии могут скопировать нас?
Марианна Дьякова, ведущая: Да, сейчас можно фактически создать любой образ любого человека.
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Хороший вопрос. Искусственный интеллект развивается, и дипфейки тоже не стоят на месте. Злоумышленники используют искусственный интеллект против нас с вами. Но в защиту пользователей скажу, что есть достаточно эффективные методы выявления дипфейков, они запатентованы, в частности, внедрены в некоторых крупных банках, потому что эта задача очень важная. Прежде всего, можно детектировать дипфейк – то есть полный клон вашего лица – наложенным искусственным интеллектом с помощью такого эффекта как моргание. Потому что обычно нейросети обучаются на какой-то выборке, на каких-то данных, и часто не получается обучить ее большой последовательностью видео человека. И из-за этого можно часто увидеть в дипфейке эффект того, что человек там практически не моргает, или моргает очень быстро.
Марианна Дьякова, ведущая: Но для Face ID, в принципе, это все равно, моргает или нет. То есть все равно, получается, можно использовать.
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Это мы говорим про видеоконференцию, а если фотография, там другие есть методы, которые тоже позволяют защититься от такой ситуации. То есть в серьёзных организациях дипфейк не пройдёт. Хотя есть риски того, что определённые вбросы, фейкньюс так называемые, могут быть.
Николай Растворцев, ведущий: Всегда советуют не использовать пароль 12345 и так далее. Значит ли это, что когда-нибудь мы доживём до того, что пароль 12345 будет самым редким, потому что его никто не использует?
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: К сожалению, нет, потому что лень человека не победить. Всё равно такие пароли встречаются очень часто. И в разных комбинациях, к сожалению. Свои даты рождения и все эти вещи легко подбираются.
Николай Растворцев, ведущий: Какой основной путь взлома сейчас? Присылают ссылку, предлагают пройти на какой-то сайт. Что должно нас настораживать?
Игорь Ушаков, заведующий кафедрой информационной безопасности компьютерных сетей СПбГУТ им. профессора М. А. Бонч-Бруевича, кандидат технических наук: Сейчас используется двухфакторная аутентификация, даже на Госуслугах ввели. То есть помимо пароля, злоумышленнику нужно знать какой-то дополнительный код. Например, это смс-код, который вам приходит на телефон. И здесь жизнь его усложняется, но даже в этом случае злоумышленник может получить этот код методом социальной инженерии. Когда он пытается с вами найти контакт, выудить его, пообщаться, либо использовать так называемые фейк-сайты и перевести вас на него, чтобы вы там передали данные свои. Так называемые клоны реальных сайтов, где человек думает, что он заходит в какой-то сервис, вводит свой реальный пароль, а сам передает его злоумышленнику. Это категория фишинговых атак.