Почему многие используют одинаковые пароли для личных и рабочих аккаунтов?
Далеко не вседа мы полагаемся на воображение и память: проще придумать и запомнить один пароль, чем несколько.
Одни заменяют выданный компанией корпоративный пароль на свой личный, потому что и так его помнят. Другие поступают наоборот, поскольку считают корпоративный пароль более надёжным.
В чём опасность использования одинаковых паролей
Узнав пароль от ваших личных ресурсов, — социальных сетей, почты, — злоумышленники попробуют с его помощью получить доступ к вашему корпоративному аккаунту. Если пароли одинаковы, у них это получится.
При этом далеко не всегда они будут «ломиться в лоб», пытаясь подобрать корпоративный пароль. Они могут воспользоваться утечкой, что гораздо проще.
Например, в конце 2017 года в интернет выложили базу с 1,4 млрд (!) паролей от различных почтовых сервисов. Преступникам нетрудно проверить, подходит ли личный пароль из базы к другим аккаунтам.
Если ваша компания находится под прицелом преступников, в случае подобных утечек или других успешных краж паролей они непременно это проверят.
Никогда не используйте один и тот же пароль для личных и корпоративных ресурсов.
Что случится, если злоумышленник получит доступ к вашему корпоративному аккаунту
С вашей рабочей почты мошенник может рассылать вашим коллегам фишинговые письма с просьбой сообщить их пароль или какие-либо корпоративные данные — и коллеги не заподозрят подвоха.
Примерно так и начинаются сложные многоступенчатые кибератаки: сначала у злоумышленника есть доступ к одному аккаунту, а потом через него он получает доступ к внутренним системам предприятия, счетам и конфиденциальной информации.
Как ни странно, последствия могут быть невидимыми в течение долгого времени. Хакеры нередко скрывают своё присутствие в корпоративной сети, дожидаясь удобного момента или занимаясь разведкой.
Однако рано или поздно они воспользуются своим доступом.
Ситуация
В середине ноября 2022 года белорусская хакерская группа «Киберпартизаны» заявила, что взломала внутреннюю сеть российского ГРЧЦ (подведомственная организация «Роскомнадзора») и выкачала более двух терабайтов данных — около двух миллионов документов и писем сотрудников, сотни тысяч текстовых документов, таблиц и презентаций, архив внутреннего почтового сервера, файлового хранилища, программы, данные некоторых внутренних систем и системы контроля за сотрудниками. Также был получен доступ к полусекретному мессенджеру «Роскомнадзора» для обмена информацией с госструктурами
В самом ГРЧЦ факт взлома признали, но заверили, что «ситуация была управляемой» и хакерам не удалось получить доступ к закрытой информации и критически важной инфраструктуре. «Киберпартизаны» опровергли это, продемонстрировав списки сотрудников, их личные данные, в том числе паспортные и медицинские.
Хакеры не раскрыли, как им удалось совершить крупнейший киберудар. Их представитель лишь рассказала позднее, что «Киберпартизаны» оставались в сетях ГРЧЦ незамеченными несколько месяцев, что и позволило им выкачать этот огромный массив данных.
А может быть одинаковые пароли всё же допустимы?
Масштаб возможных неприятностей несопоставим с усилиями по придумыванию и запоминанию или записыванию ещё одного пароля.
Например, утечка внутренней информации — распространенная причина для увольнения сотрудника.
А если личный пароль будет похож на корпоративный?
Дело в том, что вы не знаете, чего добивается злоумышленник, что он знает о вас и какие программы для подбора паролей использует. Поэтому ваша задача — максимально усложнить ему жизнь. Два совершенно разных, ничем не напоминающих друг друга пароля подобрать значительно сложнее, чем связанные мнемонически или буквенно.
Иначе говоря, личный и корпоративный пароли никак не должны иметь между собой никакого внешнего сходства или логической связи.
Выводы
-
Ни при каких обстоятельствах не используйте одинаковые пароли для личных и корпоративных ресурсов.
-
Пароли для личных и корпоративных ресурсов должны быть совершенно разными — не похожими и не связанными между собой.