Компания
1 397,40
рейтинг
4 марта 2015 в 12:58

Разработка → Безопасность в интернете: готовы ли пользователи противостоять киберугрозам?

Количество интернет-пользователей в России стремительно растет: осенью 2014 года месячная аудитория рунета достигла 72,3 млн пользователей, что составляет 62% населения РФ. Увеличивается и объем пользовательских данных в сети, ведь сегодня онлайн можно сделать практически все: от оплаты коммунальных услуг до покупки авиабилетов. Одновременно с этим растет и количество киберугроз. В прошлом году на весь мир прогремели Heartbleed, Shellshock, слив фото обнаженных знаменитостей из iCloud и многие другие события в сфере IT. При этом россияне находятся в большей опасности, чем зарубежные пользователи: по данным Лаборатории Касперского, во втором квартале 2014 года Россия заняла первое место среди стран, в которых пользователи подвергались наибольшему риску заражения через интернет.

Но растет ли уровень знаний о том, как противостоять киберугрозам? Особенно учитывая, что сегодня в результате взлома аккаунта можно потерять гораздо больше, чем на заре рунета? Многие эксперты считают, что огромное количество пользователей до сих пор пренебрегают элементарными правилами, фактически сводя на нет своей беспечностью все усилия, прилагаемые онлайн-сервисами для повышения безопасности.

Мы проанализировали то, как российские пользователи обеспечивают свою безопасность в интернете, а также выяснили, насколько часто они сталкиваются с мошенничеством. В онлайн-опросе, проведенном с привлечением исследовательской компании Nielsen, приняли участие 1783 человека в возрасте от 15 до 64 лет, которые проживают в городах с населением свыше 100 тысяч человек и заходят в интернет хотя бы один раз в неделю.

Проверка безопасности соединения


Один из способов защиты логина и пароля при работе с различными интернет-сервисами заключается в использовании зашифрованного соединения по протоколу HTTPS. Проверить, включено ли у интернет-ресурса защищенное соединение, можно в адресной строке браузера; как правило, оно обозначается иконкой в виде замка (в зависимости от типа браузера). Такая проверка позволяет дополнительно убедиться в том, что сайт не является фишинговым.

Исследование показало, что при вводе личных данных в почте и соцсетях почти в половине случаев пользователи не проверяют наличие значка безопасного соединения. Зато при совершении онлайн-платежей к проверке безопасного соединения обращаются почти в два раза чаще. В целом можно сказать, что пользователи онлайн-сервисов не придают особого значения наличию или отсутствию значка безопасного соединения.



Иногда при посещении различных сайтов пользователи сталкиваются с объявлением об ошибке сертификата безопасности веб-узла. Наличие таких ошибок может означать, что пользователя пытаются обмануть или хотят перехватить информацию, передаваемую на сервер. При появлении объявления рекомендуется прекратить работу с подозрительным ресурсом. С такими сообщениями сталкивалось большинство пользователей (три четверти). При этом 21% из них продолжили работу с сайтом. Интересно, что пользователи в возрасте до 34 лет почти в 2 раза реже обращают внимание на ошибку сертификата безопасности и продолжают работу с сайтом.



Для доступа как в электронную почту, так и в соцсети пользователи обычно используют закладки в браузере или ссылки на странице быстрого доступа. Такой способ является более безопасным, так как в этом случае пользователь защищен от опечаток, которые могут привести к попаданию на мошеннический сайт. Тем не менее, каждый десятый пользователь набирает адрес в браузерной строке.



Используемые пароли


Очевидно, что для наиболее важных сервисов рекомендуется заводить уникальные пароли. Ведь именно взлом сторонних ресурсов является основным способом кражи аккаунтов. Крупные сервисы постоянно работают над усилением своей безопасности, тогда как многие мелкие форумы, торрент-трекеры, онлайн-магазины пренебрегают такими вещами — и хакеры, зная об этом, атакуют именно их. Если при регистрации на слабо защищенном ресурсе человек указал тот же пароль, который он использует для почты, то в случае взлома ресурса хакер автоматически получает и доступ к ящику. Результаты исследования говорят о том, что одинаковые пароли для всех учетных записей используют 12% опрошенных. 36% респондентов используют разные пароли для наиболее важных, одинаковые — для наименее.



По результатам нашего исследования, в среднем пользователь рунета имеет три ящика электронной почты. Ниже мы отдельно рассмотрим использование основного ящика (единственный либо наиболее часто используемый в личных целях) и дополнительного.

Поскольку придумать разные пароли для всех аккаунтов достаточно сложно, многие эксперты рекомендуют использовать уникальные пароли для наиболее важных, включая почту и социальные сети, и одинаковые — для остальных. Однако 24% пользователей электронной почты используют пароль от основного ящика и на других ресурсах, из них около 2/3 пользователей почты используют тот же пароль в социальных сетях (62%), 27% — в онлайн-магазинах, 25% — в дополнительном почтовом ящике.

В идеале, менять пароли нужно раз в три месяца. Однако так поступает лишь пятая часть респондентов. Примечательно, что 22% участников исследования никогда не меняли пароль от своего основного ящика, а каждый третий — от дополнительного.



К смене пароля в социальных сетях пользователи прибегают редко — 38% меняют пароль не чаще раза в год, а 18% вообще никогда его не меняли.



Согласно современным стандартам безопасности, надежный пароль должен состоять не менее чем из восьми символов и представлять собой сочетание букв в разном регистре, цифр и специальных символов, подобранных по случайному или понятному одному лишь пользователю принципу. Пароль, состоящий из символов, букв и цифр используют лишь 26% респондентов. У большинства пользователей пароль состоит только из букв и цифр. 37% респондентов использует в пароле только строчные буквы. Причем среди обладателей относительно коротких (менее 8 символов) паролей такая беспечность встречается почти в полтора раза чаще, чем среди тех, чей пароль состоит из 8 символов и более (44% и 32% соответственно). 43% респондентов используют пароли длиной от 6 до 8 символов. 27% — от 9 до 10 символов. Лишь у 26% пользователей пароли имеют длину более 10 символов.



Почти треть пользователей используют в качестве пароля произвольный набор букв (29%), а еще 27% — выдуманное ими самими слово. 17% предпочитают использовать в пароле русское слово, набранное латинскими буквами, что является небезопасной опцией, поскольку злоумышленники тоже умеют переключать раскладку клавиатуры. Среди тех, в чьих паролях встречаются цифры, 17% используют дату рождения (свою или близких), 5% — номер телефона.



Большинство пользователей помнят пароли от почты и соцсетей наизусть, около 30% — записывают на бумаге. Специальными приложениями для хранения паролей пользуются лишь 3% пользователей.



Качество и частота смены пароля зависят, в основном, от пользователя. Однако сегодня у интернет-сервисов есть возможность влиять на уровень сложности задаваемых паролей. Многие ресурсы не допускают создания короткого
  • пароля без цифр. Так, например, в Почте Mail.Ru невозможно завести пароль:
  • короче шести символов,
  • совпадающий с логином,
  • только из цифр или из цифр и точек и при этом короче 10 символов,
  • являющийся словарным словом.

Кроме того, в процессе создания пароля отображается оценка уровня его сложности и всплывают рекомендательные подсказки, призывающие использовать заглавные и строчные буквы, цифры и специальные символы.

Меры безопасности при пользовании онлайн-сервисами


Нас также интересовало, какие меры безопасности принимают пользователи различных интернет-сервисов: какие методы восстановления пароля они используют, как относятся к приходящим в почту ссылкам, а также как оценивают защищенность своих аккаунтов. Отдельно задавались вопросы о мерах безопасности, к которым пользователи чаще всего прибегают при совершении онлайн-платежей.

На сегодняшний день самым безопасным способом восстановления пароля считается привязка к номеру мобильного телефона. Этот метод восстановления пароля от основного ящика использует 68% респондентов. Тех, кто привязывает к номеру телефона дополнительный ящик, меньше — 41%. Чаще всего для восстановления пароля от дополнительного ящика используется секретный вопрос, что гораздо менее безопасно по сравнению с привязкой к номеру телефона, поскольку, по сути, представляет собой еще один пароль.



Один из распространенных методов взлома аккаунтов — фишинг. Типичный пример: пользователю отправляют ссылку на сайт, замаскированный под страницу авторизации на каком-либо популярном ресурсе. Человек вводит логин и пароль, которые тут же отправляются в руки злоумышленнику. Поэтому при переходе по ссылкам, которые приходят от незнакомых отправителей, нужно быть очень внимательным: лучше вообще не открывать их. Или, по меньшей мере, проверить адрес сайта. Результаты исследования говорят о том, что пользователи с осторожностью относятся к ссылкам, пришедшим на основной электронный ящик: 74% в таких случаях всегда внимательно проверяют адрес, прежде чем перейти по ссылке. Но в то же время люди менее бережно относятся к безопасности дополнительного аккаунта: реже меняют пароль, реже используют привязку номера телефона, предпочитая секретный вопрос для восстановления.



Рассмотрим, к каким мерам безопасности чаще всего прибегают пользователи при онлайн-платежах. В первую очередь они изучают информацию об онлайн-магазине в сети (60%). 27% стараются не совершать покупки в магазинах с бесплатным хостингом. 17% проверяют сертификат подлинности, выданный сайту. Еще 17% пользуются виртуальной клавиатурой, чтобы защититься от кейлогеров.



Помимо знания пользователей о возможных мерах безопасности, нам было интересно их мнение о том, насколько защищены их аккаунты в почте и социальных сетях. Почти половина пользователей считает, что их аккаунты в безопасности. Около трети обеспокоены незащищенностью своих почтовых аккаунтов, считая, что их ящики «совершенно не защищены» или «скорее не защищены». Защищенность основного и дополнительного ящиков в среднем оценивают одинаково.



Пользователи социальных сетей более не уверенны в защищенности своих аккаунтов. Кроме того, почти две трети пользователей опасаются, что информация, которую они публикуют в соцсетях, может попасть в руки мошенников.



Опыт столкновения с мошенничеством


На сегодняшний день с интернет-мошенничеством ежедневно сталкиваются десятки тысяч людей. Под «мошенничеством» понимается кража пароля от аккакунта и/или рассылка спама от имени пользователя в почте, соцсети, а также мошенничество при онлайн-платежах (например, списание средств с карты). Многие эксперты считают, что чаще всего пользователи страдают из-за собственной беспечности или невнимательности, сводя на нет усилия интернет-компаний по повышению уровня безопасности. Это подтверждают и результаты нашего исследования. Четверть участников исследования сталкивались с кражей пароля от основного ящика, причем 9% — неоднократно. У 17% респондентов был украден пароль от дополнительного ящика.



Наши респонденты чаще сталкиваются с мошенничеством в соцсетях, чем при использовании почты или совершении онлайн-платежей. Почти у половины пользователей социальных сетей (48%) воровали пароли, 58% получали мошеннические сообщения, половина сталкивались с рассылкой спама от своего имени.





В основном пользователи становились жертвами мошенничества по трем причинам: использовали простые пароли, скачивали вирусы, переходили на мошеннические сайты. При проведении онлайн-платежей использование простого пароля реже становится причиной столкновения с мошенничеством.



Мошенничество в сети: кто с ним сталкивается? Социально-демографический профиль пользователя


С мошенничеством в сети чаще всего сталкиваются люди в возрасте 15-34 лет, холостые или незамужние. Женщин среди них несколько больше, чем мужчин. Люди старше 45 лет чаще всего утверждают, что не сталкивались с мошенничеством в сети. Обычно они женаты (замужем) или состоят в гражданском браке. Мужчин среди них несколько больше, чем женщин.





Выводы


В целом можно констатировать, что пользователи по-прежнему недостаточно внимательно следят за своей безопасностью в интернете. Так, почти две трети пользователей онлайн-сервисов когда-либо становились жертвами мошенничества (64%). Среди причин пострадавшие чаще всего называют простой пароль, скачанный вирус или переход на мошеннический сайт. Почти в два раза реже пользователи отмечают, что пострадали из-за использования одного пароля на нескольких сервисах или из-за того, что ответили на мошенническое сообщение. Среди жертв мошенничества на онлайн-сервисах больше пользователей в возрасте 15-34 лет, не состоящих в браке.

При вводе личных данных (например, логина или пароля) почти половина пользователей онлайн-сервисов (почты, социальных сетей) не проверяют наличие безопасного соединения.

Каждый пятый пользователь никогда не менял пароль от основного почтового ящика, и каждый третий — от дополнительного. К смене пароля в социальных сетях пользователи прибегают редко: 38% меняют пароль не чаще раза в год, а 18% вообще никогда не меняли пароль.

Почти четверть пользователей электронной почты применяют пароль от основного почтового ящика на других ресурсах, из них 62% — в социальных сетях, 27% — в онлайн-магазинах и 25% — в дополнительном почтовом ящике.

К безопасности дополнительного ящика пользователи склонны относиться менее бережно по сравнению с основным: реже меняют пароль, реже используют привязку номера телефона, предпочитая секретный вопрос для восстановления аккаунта.

Всего четверть пользователей используют наиболее безопасный пароль, состоящий из символов, букв и цифр. У 43% пользователей длина пароля не превышает восьми символов, пароль состоит из букв и цифр (без использования специальных символов). Чуть больше трети пользователей (37%) используют в пароле только строчные буквы. Если говорить о цифрах, используемых в пароле, 16% выбирают дату рождения — свою или близких. Что касается буквенных элементов пароля, каждый шестой пользователь выбирает русское слово, набранное латинскими буквами, 8% — фамилию, имя или отчество, 7% — несколько слов подряд.

29% пользователей используют в качестве пароля произвольный набор букв и 27% — выдуманное ими самими слово.

43% респондентов используют пароли длиной от 6 до 8 символов. Чуть более четверти (27%) — от 9 до 10 символов. Однако можно предположить, что в основном это связано с тем, что сегодня многие онлайн-сервисы не позволяют пользователю ввести короткий и слишком простой пароль (так, при регистрации в Почте Mail.Ru или при создании нового профиля в Одноклассниках пользователь не сможет ввести пароль меньше шести символов и состоящий только из букв).

Для восстановления пароля от основного ящика большинство пользователей (68%) используют привязку к номеру телефона.

Пользователи с осторожностью относятся к ссылкам, пришедшим на основной электронный ящик: почти три четверти опрошенных (74%) в таких случаях всегда внимательно проверяют адрес, прежде чем перейти по ссылке.
Автор: @antigona

Комментарии (15)

  • +1
    Похоже, пингвин слева немного недоумевает…
  • +4
    О безопасности в картинках от создателей Guard@Mail.Ru
  • –1
    Сюда просто просится эта картинка (лично я её взял на заметку, способ превосходный)

    image
  • +3
    О какой готовности пользователей мы говорим? Я работают в IT компании, сегодня человек 10 прислали мне ссылку на вирусную рассылку (ссылка на какой-то видео ресурс, где предлагается скачать недостающий плагин). Что уже говорить об обычных смертных
  • 0
    Я многократно слышал совет менять пароль, но что это дает? (я действительно спрашиваю)
    • +2
      adic3x  нормальный вопрос, мы часто сталкиваемся с тем, что многие не понимают зачем :) все прозаично: ваш пароль мог попасть в какую-то из баз взломанных паролей. если вы его регулярно меняете — меньше шансов, что в такой базе лежит ваш валидный пароль, чисто по теории вероятности. как он туда попал? на это миллион способов, если у вас пароль, который вы используете «с детства», то наверняка вы уже устанавливали его на каких-нибудь торрент-треккерах, форумах на пхп бб, играх, может быть в жж (я не хочу обвинить жж, но мало ли), может быть в линкедине (у которых достоверно известно, что уводили базу 2 года назад), ну и т.п. И часто вы использовали этот пароль вместе с вашей почтой в качестве логина. Вот вам и ответ. Я уж не говорю о том, что когда-то вы были моложе и глупее и могли также попасться на фишинг или кто-то из ваших близких (например, позапрошлая девушка) случайно скачивала на ваш ноут трояна. или вы попади под mitm-аттаку, когда хттпс работал еще не везде и не так хорошо. В общем, по теории вероятности — лучше регулярно менять.

      недавно, кстати, был случай: у знакомого взломали ящик и поменяли пароль, что он сделал первым делом, когда ему вернули доступ? правильно! поменял пароль на старый, ему же так удобно. и очень удивился, когда подозрительная активность в ящике не прекратилась…
      • +1
        Есть еще интересный момент: процент респондентов, которые заявляют о взломе эккаунтов в соц. сетях меньше, чем процент респондентов, которые замечали, что из под их эккаунта рассылался спам. Т.е. многие даже не подозревают о том, что они взломаны. Сейчас мошенники стараются себя вести именно таким образом, «паразитировать» в чужом эккаунте длительное время, рекламные сообщения или лайки могут поститься раз в 2-4 недели максимально незаметно для хозяина, что делает такой взлом трудно отслеживаемым.
      • 0
        Хорошо, а какой смысл менять один устойчивый пароль, которые используется только для доступа к одному ресурсу, и только со своих «чистых» устройств?

        Я на самом деле понимаю, что смена дает таки какую-то дополнительную защиту, но мне просто интересно узнать мнение других.

        > кто-то из ваших близких (например, позапрошлая девушка) случайно скачивала на ваш ноут трояна

        У одного моего знакомого была последняя степень «близких» отношений, та, что прямо перед женитьбой — «она знает мой, а я ее пароль от почты».
        • 0
          Универсальный совет, который годится всем, давать сложно. Напрямую привязывать смену пароля конкретного пользователя к конкретным интервалам времени — некорректно. Например, есть исследование Microsoft, в соответствии с которым принуждение пользователя к частой смене пароля или слишком жесткая парольная политика дают негативные результаты. Т.е. совет «меняйте пароль каждый месяц» будет не самым удачный. Но совершенно точно, необходимо менять пароль, когда меняются какие-либо внешние обстоятельства, прямо или косвенно связанные с эккаунтом и возможностью того, что он утечет — вы меняете место работы, компьютер, антивирус, девушку, знакомых, или начинаете использовать эккаунт для каких-то других целей. То, что большая часть пользователей меняет пароли реже раза в год, говорит о том, что какие-то обстоятельства они явно игнорируют.
  • 0
    У вас до сих пор ограничение на длину пароля байт, помнится, 16?
    • 0
      Ограничение 40 символов, но прямой зависимости между длиной пароля и его надежностью нет. На практике, 6-символьный пароль из случайных символов не брутфорсится даже в заказных взломах, если только вы не политик или celebrity на которых может идти постоянная направленная атака. А вот пароль из имени, фамилии и даты рождения в любом написании легко будет взломан, несмотря на большое количество символов.
      • 0
        Мне, знаете ли, с более длинным паролем спится слаще. Максимальный пароль точно был короче указанного Вами значения.
        А вот пароль из имени, фамилии и даты рождения в любом написании легко будет взломан, несмотря на большое количество символов.
        Не Васей Пупкиным мир полнится.
      • 0
        6-символьный пароль брутфорсится элементарно, сам это делал. 8 символов полностью рандомных со спецсимволами прочим — это уже challenge.

        Хотя я согласен с xkcd: мы придумываем пароли, которые трудно запомнить, но легко взломать. 4 рандомных слова, сложность для русского языка 300000^4 = 8.1 × 10^21 комбинаций, и запоминается элементарно. Если же брать среднюю длину слова в 5.21 символов, при брутфорсе получаем 33^21 = 7.74 × 10^31 комбинаций.

        Теперь смотрим: арабские цифры + латинский алфавит с регистром + спец. символы = 95 вариантов. Для 6-символьного полностью рандомного пароля — 95^6 = 7.35 × 10^11

        Выводы каждый для себя делает сам.
        • 0
          Несколько слов + один спецсимвол + пару цифр:

          NopeForeverTwoMetal&22

          Я так понимаю, такой пароль очень сложно взломать перебором.
          • 0
            Лично я использую 4 слова + 1-2 спецсимвола или цифры между ними. Может я и параноик, но запомнить не так трудно, а надежность капитальная.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка