По данным исследования, проведенного компанией B2B International и «Лабораторией Касперского», доля пользователей онлайн-банкинга и клиентов интернет-магазинов в общем количестве пользователей интернета составляет 98% по миру и 81% по России (из них мобильными устройствами пользуются 38% и 20% соответственно). Такая финансовая активность пользователей в Сети не могла не привлечь внимания злоумышленников, вследствие чего за прошлый год 74% российских и 62% мировых пользователей онлайн счетов столкнулись с кибератаками.
Компания Dashlane провела опрос британских пользователей интернета и выяснила, что лишь каждый третий клиент интернет-магазинов использует надежные пароли. Dashlane изучили сайты электронной коммерции по 26 критериям, присвоив каждому различный вес. Результаты опроса оказались неутешительными. Стало известно, что даже самые известные розничные онлайн магазины Великобритании, такие как Amazon UK, Next, Tesco и New Look, не могут похвастаться высоким уровнем защиты пользователей. 66% покупателей используют пароли вроде «1234567» или «password», что легко вычисляется при использовании автоматизированных программ, перебирающих пароли в поисках подходящего (система Brute Force).
Эти показатели выглядят достаточно неплохо по сравнению с соседней Францией, где каждый второй сайт отправляет пользователям подтверждение регистрации и пароли в обычном текстовом e-mail письме. При этом общеевропейский уровень защиты интернет ресурсов проигрывает США, чьи сайты попали на первые места рейтинга Dashlane. Статистика показывает, что обороты электронной коммерции растут ежегодно, а значит, вопрос безопасности данных пользователей встает особенно остро.
Ситуация в России не сильно отличается от европейской. Эксперты компании Positive Technologies в ходе проведения тестов на проникновение, аудитов безопасности и других исследовательских работ проанализировали 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам. 88% используемых паролей – это сочетание цифр и символов латинского алфавита в нижнем регистре, причем 53% паролей включают в себя лишь цифры. Более того, подавляющее большинство россиян используют восьмизначные пароли, и лишь единицы пользуются паролями, длина которых больше 12 знаков. Также статистика показывает, что женщины чаще мужчин используют «словарные» идентификаторы, что взламывается злоумышленниками намного проще. Особое внимание было обращено на сочетание логин/пароль у администрации сайта: несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.
Из всего вышесказанного можно сделать выводы, что для собственной безопасности пользователь должен учитывать несколько факторов при составлении пароля:
• по возможности его длина должна быть больше 8 символов;
• в составе пароля должны отсутствовать словарные элементы;
• должны использоваться не только нижний, но и верхний регистры;
• пароль должен состоять из цифр, букв и символов;
• пароль должен отличаться от логина (имени пользователя);
• при регистрации на каждом новом сайте пароль должен меняться.
Соблюдение таких мер безопасности снижает вероятность взлома вашего аккаунта более чем в 10 раз. Что касается мер по защите конфиденциальной информации со стороны сайтов, то существуют десятки инструментов, среди которых временные пароли, подтверждение операций по SMS, токены, генераторы одноразовых паролей, CAPTCHA и многие другие. Тем не менее, хакеры находят новые возможности обойти систему защиты и получить персональные данные пользователей.
Для сайтов, на которых пользователи вводят данные банковских карт и другую конфиденциальную информацию, существует сертификат стандарта PCI DSS (Payment Card Industry Data Security Standard), определяющий шесть областей контроля и 12 основных требований по безопасности. Лишь при полном соответствии этим требованиям сайт будет предоставлять пользователям максимально возможною защиту их платежных данных и, как следствие, их денег.
Чаще всего российские интернет-магазины не принимают платежи по банковским картам самостоятельно, а используют услуги профессионального платежного сервис-провайдера: банка-эквайера или процессингового центра. Каждый платежный сервис-провайдер обязан пройти проверку на соответствие требованиям международного сертификата PCI DSS. В зависимости от уровня сертификат PCI DSS позволяет ему проводить от 300 тысяч до 6 миллионов транзакций в год. Платежный сервис должен пройти сертификацию в VISA и MasterCard, стать участником программ MasterCard Site Data Protection Program и Visa Cardholder Information Security Program.
Все эти усилия нацелены на обеспечение максимального уровня безопасности платежей и конфиденциальных платежных данных клиентов российских интернет-магазинов. Однако, никакая, даже самая совершенная система защиты не будет работать, если сам пользователь не будет выполнять базовые правила безопасности, в том числе – по отношению к своим регистрационных данным: логинам и паролям.
Процессинговый центр PayOnline советует любителям и профессионалам интернет-шоппинга: не оставляйте информацию о себе в открытом доступе, пользуйтесь только проверенными сайтами, изучайте настройки безопасности на новых ресурсах, выбирайте правильные пароли и берегите свои данные от злоумышленников.