Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.
Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.
І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.
А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:
- Запам’ятати його та використовувати скрізь.
- Записати його десь в небезпечному місці.
- Забути його одразу ж після використання.
Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.
Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.
Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.