Создание и хранение надежных паролей

Обновлено11 November 2021

Содержание

...Загрузка оглавления...

    Пароли важны для защиты вашей личности и данных. К сожалению, это знают и злоумышленники. В их арсенале есть немало способов заполучить ваши пароли.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Выясните, не утекли ли ваши пароли

    • Зайдите на сайт "Have I Been Pwned" и посмотрите, есть ли ваши аккаунты в числе скомпрометированных.
      • Нашли свои аккаунты в списке? Как можно быстрее смените пароли. Ниже мы даем инструкции к парольному менеджеру.
    • Даже если никакие из ваших аккаунтов здесь не упомянуты, все равно лучше следовать инструкциям ниже. Многие взломы не попадают в статистику.
    Почему мы советуем делать так

    Злоумышленникам нужны пароли, которые уже "слиты" и доступны онлайн. Они будут пробовать их применить, пока не добьются успеха. Поэтому особенно рискованно использовать пароли повторно. Обратитесь к сайту "Have I Been Pwned": есть ли среди перечисленных там паролей (используемых злоумышленниками) ваши пароли?

    Избегайте слабых паролей

    Давайте посмотрим, как злоумышленники чаще всего получают пароли.

    1. Они могут угадать пароль:
      • используя вашу личную информацию, например, важные даты, имена, любимые цитаты, названия любимых песен или имена авторов;
      • с помощью словаря;
      • слегка изменяя предыдущие пароли, которые им стали известны;
      • со специальной программой для перебора всех возможных комбинаций элементов пароля.
    2. Их может интересовать:
    3. Они могут попытаться вас обмануть:
      • подтолкнуть к установке приложения, которое запишет ваш пароль;
      • использовать фишинг, чтобы вы ввели пароль на фейковой странице входа;
      • заполучить ваши пароли или иную информацию, притворяясь службой техподдержки или кем-то из ваших знакомых (социальная инженерия).
    4. Они ищут уязвимости:
      • взламывают сайт, где вы используете свой пароль;
      • воруют пароль, если вы сохранили его в браузере;
      • крадут пароль из приложений, которые вы используете на смартфоне.

    Вот несколько рекомендаций, которые помогут вам не поддаться злоумышленникам.

    • Для доступа к важным данным всегда используйте заведомо не зараженное, защищенное устройство, которому вы доверяете.

    • Помните о том, что следующие приемы НЕ работают сами по себе, по отдельности:

      • использование слов и/или чисел, которые связаны с близкими вам людьми и организациями, вот примеры:
        • имена людей, клички животных, названия организаций;
        • даты рождения, юбилеи, праздники;
        • телефонные номера, адреса;
        • что-то ещё из той информации, которую злоумышленник может получить, изучая вас и ваших близких.
      • использование обычных фраз, например, известных цитат из стихотворений;
      • замена одних знаков на другие, похожие (например, "a" на "@");
      • добавление чисел, восклицательных знаков или других знаков пунктуации в конце пароля;
      • начало каждого слова в парольной фразе с заглавной буквы;
      • использование в качестве пароля одиночных слов (из любого лексикона);
      • частая смена паролей.

    Вот несколько рекомендаций, которые помогут вам не поддаться злоумышленникам.

    Используйте менеджер паролей

    • Скачайте KeePassXC (для Linux, Mac или Windows), KeePassDX (для Android) или StrongBox (для iOS).
    • Не используйте пароли повторно.
    • Используйте функцию генератора паролей в парольном менеджере, чтобы создавать для каждого своего аккаунта длинные, уникальные пароли, состоящие из случайных элементов.
    • Попробуйте освоить парольный менеджер вместе с коллегами. Вы сможете помогать друг другу по ходу дела.
      • Возможно, вам пригодятся соображения по тому, как безопасно расшаривать пароли. Но мы рекомендуем везде, где это возможно, ради вашей же безопасности использовать отдельные логины со своими паролями, а не делить пароль к одному и тому же логину.
    • Почитайте наши советы насчет KeePassXC и KeePassDX.
    • Если вы склоняетесь к онлайновому менеджеру паролей, читайте дальше.
    Почему мы советуем делать так

    Человеческий мозг не обладает способностью придумывать и хранить много длинных, уникальных и случайных паролей. А это необходимо, чтобы защищать устройства и аккаунты. Менеджер паролей умеет генерировать пароли и хранить их в зашифрованном виде.

    Мы советуем использовать KeePassXC, KeePassDX и StrongBox. Это бесплатные приложения, которые не раз были проверены независимыми экспертами. Они регулярно обновляются. Пароли хранятся в офлайновой базе данных. Вы контролируете, где именно хранить эту база и как ее использовать.

    Делайте резервные копии парольной базы

    Почему мы советуем делать так

    Потеря одного-единственного пароля может вызвать неприятности от плохого настроения до катастрофы (утраты связи с людьми или денежного ущерба). Представьте, что произойдет, если человек потеряет все пароли разом! Старайтесь регулярно делать резервную копию базы паролей.

    Запомните несколько надежных паролей

    • Используйте метод игральных костей для создания мастер-пароля к самому парольному менеджеру и для других паролей, которые приходится запоминать (например, пароля для разблокирования устройства):
      • скачайте список пронумерованных слов (на английском языке) и достаньте где-нибудь кубик (кость);
      • бросьте кубик пять раз и посмотрите, какие цифры выпали (допустим, 6, 2, 5, 1, 1);
      • найдите в списке слово под соответствующим номером (в нашем примере 62511);
      • повторите описанное выше пять раз, чтобы получить пять слов, и составьте парольную фразу из этих слов;
        • нигде больше не используйте эту парольную фразу;
      • создайте мысленный образ с этими словами, который поможет запомнить фразу.
    • Практикуйтесь, вводите пароли регулярно, поначалу ежедневно, потом хотя бы раз в неделю. Повторение поможет вам зафиксировать пароли в памяти.
    Почему мы советуем делать так

    Вам понадобится запомнить всего несколько паролей, включая мастер-пароль к парольному менеджеру. Есть способы, которые помогут вам создавать легко запоминающиеся пароли, а вот злоумышленнику их будет чрезвычайно трудно угадать. Даже если он будет исключительно умен и оснащен специальными программами для "взлома" паролей.

    Если у вас есть пароли или коды доступа, которые нужно хранить вне парольного менеджера

    • Если приходится записывать пароли на бумажке, храните ее в безопасном, закрытом месте, например, в сейфе или запираемом ящике стола.
      • Важно, чтобы, ваши пароли не были видны прохожим, чтобы пароли не было легко найти и скопировать.
      • Не храните пароли в бумажнике.
    • Уничтожьте бумажные носители паролей и резервных кодов, как только они перестанут быть вам нужны.
    • Как вариант, можно хранить пароли на другом устройстве. Вы можете спрятать их среди других заметок, не добавляя никаких пояснений или описаний.
    Почему мы советуем делать так

    Конечно, длинные пароли трудно запоминать. Если ваш пароль нельзя сохранить в парольном менеджере (например, это пароль для входа в устройство), запишите его и защитите физическим способом.

    Если вы предпочитаете онлайновый менеджер паролей

    • Старайтесь не хранить самую важную информацию (например, финансовые данные или коды восстановления доступа к аккаунтам) в онлайновой базе данных.
    • Защитите доступ к онлайновой базе с помощью двухфакторной аутентификации.
    • Из всех парольных менеджеров мы рекомендуем Bitwarden.
    Почему мы советуем делать так

    Парольные менеджеры обычно легче использовать из-за простоты синхронизации паролей между разными устройствами. Ваша парольная база находится на сервере провайдера в зашифрованном виде. Но у онлайнового парольного менеджера есть свои недостатки. Злоумышленник в принципе может незаметно расшифровать вашу парольную базу и добраться до паролей.

    Мы советуем использовать KeePassXC, KeePassDX и StrongBox, потому что они не хранят пароли онлайн. Если вы решили использовать онлайновый парольный менеджер, наши советы помогут дополнительно защитить ваши пароли.

    Если нужно с кем-то поделиться паролем

    • Старайтесь избегать ситуации, когда нужно с кем-либо делиться паролем.
      • Если приходится делиться с другом, членом семьи или коллегой, сначала поменяйте свой обычный пароль на что-нибудь другое, временное, и поделитесь этой "заменой". Когда надобность в расшаривании пароля отпадет, верните себе оригинальный пароль.
      • Подумайте о том, чтобы создать отдельные аккаунты для всех, кому нужен доступ. Многие сервисы это позволяют. Можно ограничить некоторые аккаунты в правах. Как это сделать, вы узнаете из наших рекомендаций для Android, iOS, Linux, Mac и Windows.
      • Настройте парольный менеджер так, чтобы можно было использовать его совместно с другими людьми. KeePassXC это позволяет.
    Почему мы советуем делать так

    Когда вы делитесь паролем, это выглядит примерно как если бы сделали копию своего обычного ключа и отдали его кому-то. Возможно, вы при этом открыли двери и окна своего дома для воров. Даже больше. В цифровом мире до многих "дверей" и "окон" можно добраться издалека и так, что вы даже не заметите. Старайтесь этого не допускать. По возможности не делитесь паролями.

    Не раскрывайте свой пароль по чьей-то просьбе (по звонку, сообщению или в электронном письме)

    • Для проверки зайдите на сайт или в приложение, откуда (предположительно) пришло сообщение.
    • Если вы знаете человека или организацию, которая отправила сообщение, свяжитесь с ней напрямую по другому каналу и проверьте, правда ли это.
      • Например, если сообщение пришло по email, позвоните отправителю.
      • Не щелкайте по ссылкам в электронном письме, не отвечайте на письмо.
    • Иногда отправитель письма может пытаться вас запугать или пробудить ваше любопытство, заставить вас ощущать, что вы можете потерять выгодный шанс. Все подобные способы подталкивают к тому, чтобы действовать быстро и без раздумий. Не торопитесь, сохраняйте спокойствие, найдите способ проверить срочное сообщение.
    Почему мы советуем делать так

    Злоумышленники часто представляются другими людьми. Например, сотрудниками банка или техподдержки. Их задача — убедить вас передать им какие-либо важные данные (хотя вы ничего такого им не должны). Злоумышленники часто играют на эмоциях и свойствах человеческой натуры.

    Если вы получили звонок, электронное письмо или иное сообщение с просьбой дать пароль или другие важные данные, или такая просьба содержится на странице, куда вы перешли по ссылке из письма — скорее всего, кто-то пытается вас обмануть.

    Когда нужно менять пароль

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Минимизируйте ущерб: предупреждайте тех людей, кого проблема тоже могла затронуть.

    О том, как сменить пароли для ваших устройств, читайте в наших рекомендациях по социальным сетям и основам безопасности для Android, iOS, Linux, Mac и Windows.

    Почему мы советуем делать так

    Некоторые эксперты полагают, что регулярная смена паролей необязательно ведет к повышению уровня безопасности. Когда вы требуете от людей, чтобы они часто меняли пароли, они склоняются к тому, чтобы минимально менять свои нынешние пароли, а не придумывать совершенно новые. Подробнее см. этом исследовании.

    Важнее менять свои пароли после взлома. Но мы не можем всегда знать, когда где-то "утекает" тот или иной пароль. Поэтому мы все же рекомендуем менять пароли несколько раз в год (или хотя бы раз в год) или немедленно после того, как у вас появились основания считать, что пароли скомпрометированы.

    Помните, где вы находитесь и кто это видит

    • Если вы набираете пароль где-то в общественном месте, обратите внимание, кто может видеть ваши действия.
    • Проверьте, не наблюдает ли кто-нибудь за клавиатурой или телефоном, когда вы набираете пароли.
    • Используйте специальный экран для защиты приватности. Он создает помехи для любителей подглядывать.
    Почему мы советуем делать так

    Злоумышленники могут наблюдать за тем, как вы вводите пароли, и записывать их. Был случай, когда у одной активистки изъяли мобильный телефон (ее подозревали в подготовке мятежа). Смартфон был защищен паролем. Владелица отказалась дать его властям. Тем не менее, следователи смогли разблокировать телефон и добраться до информации. Они выяснили, что лифт в доме, где жила женщина, оборудован видеонаблюдением. На записях камер было видно, как она набирала пароль.

    Используйте двухфакторную аутентификацию

    • Здесь вы можете узнать, какие сервисы используют двухфакторную аутентификацию.
    • Очень важно включать двухфакторную аутентификацию для:
      • банковских аккаунтов и любых финансовых приложений;
      • почтовых сервисов, соцсетей и прочих подобных аккаунтов, которые могут вам понадобиться в том числе для восстановления доступа к другим аккаунтам.
    • Двухфакторная аутентификация может быть реализована по-разному.
      • Можно использовать специальное приложение для аутентификации, такое как Google Authenticator, Okta или Duo. Мы рекомендуем Aegis для Android или Raivo OTP для iOS/iPhone.
        • Этот вариант подразумевает, что смартфон должен быть защищен от вредоносного кода.
      • Можно использовать аппаратное решение — часто его называют токеном или USB-ключом. Такой токен надо вставить в USB-порт устройства или подключить по NFC.
        • Примеры: Yubikey, Nitrokey, Google Titan Key, Thetis Key.
        • Этот вариант может не подойти для мобильного устройства.
    • Одно и то же приложение-аутентификатор (или аппаратный токен) можно использовать для разных аккаунтов. Иногда в аккаунте можно выбрать разные варианты двухфакторной аутентификации для дополнительной защиты.
    • После первичной настройки ни один из этих двух вариантов не нуждается в интернете. А вот использование email для получения второго фактора требует подключения к интернету.
    • Попробуем расположить способы двухфакторной аутентификации по убыванию надежности: генератор кодов и аппаратный токен, затем email и, наконец, СМС. Имейте в виду, что СМС может не дойти до адресата, если тот находится вне зоны действия сети или даже просто в другой стране.
      • Текстовые СМСки не шифруются. Злоумышленники могут успешно перехватывать одноразовые коды на пути к вашему телефону.
    • Первичная настройка двухфакторной аутентификации выполнена. Теперь при входе в аккаунт после ввода логина и пароля вы увидите запрос второго фактора. Надо либо ввести код из приложения-аутентификатора, либо ввести код из полученного вами сообщения, либо подключить аппаратный токен.
    • Некоторые сервисы предлагают временно отключить двухфакторную аутентификацию для вашего удобства. Не надо. Подумайте, как плохо это может сказаться на вашей безопасности.
    Почему мы советуем делать так

    Для залогинивания в аккаунты безопаснее иметь несколько уровней защиты. Если злоумышленник преодолеет первый уровень, вы сможете положиться на второй и защитить свои цифровые ценности. Двухфакторная аутентификация обеспечивает такие дополнительные слои защиты. Текстовые СМС-сообщения — наименее безопасный способ двухфакторной аутентификации (хотя некоторым людям нравится простота этого способа).

    Иногда кажется, что двухфакторная аутентификация неудобна в использовании. Но подумайте вот о чем: то, что немного напрягает вас, создает по-настоящему серьезные препятствия для злоумышленников, которые могут пытаться добраться до содержимого вашего аккаунта. Если у вас украдут или взломают аккаунт (или станут за ним тихо наблюдать), это будет гораздо хуже в перспективе.

    Храните резервные коды в отдельном безопасном месте

    • Если при настройке двухфакторной аутентификации вы создали резервные коды, сохраните их в парольном менеджере.
    • В идеале эти коды лучше хранить отдельно от других данных, которые требуются для входа в аккаунты. Можно создать отдельную базу KeePassXC и хранить ее на другом устройстве.
    Почему мы советуем делать так

    У большинства онлайновых сервисов при первом включении двухфакторной аутентификации можно получить список резервных кодов. Эти коды помогут зайти в аккаунт, если у вас не окажется доступа к устройству, которое вы обычно используете для двухфакторной аутентификации. Резервные коды не имеют срока годности. Важно хранить их в безопасном месте. Если злоумышленник получит пароль и резервный код, он сможет войти в аккаунт.

    Избегайте биометрии (отпечатка пальца или распознавания лица)

    • Если для доступа к вашему устройству используется распознавание лица или отпечаток пальца, смените этот вариант на пароль.
    • О том, как это сделать, говорится в рекомендациях для Android, iOS, Linux, Mac и Windows.
    Почему мы советуем делать так

    Биометрия ускоряет доступ к устройству. Обычно используют отпечаток пальца или распознавание лица. Но в целом это не очень безопасный способ. В отличие от пароля, вы не можете в любое удобное время поменять отпечатки пальцев или лицо. Многим людям приходится оставлять биометрические данные в аэропортах, государственных учреждениях и т.д. Возникает риск того, что кто-то может получить доступ к вашим аккаунтам без вашего согласия. Если же злоумышленник может применить к вам физическое принуждение, ему проще открыть заблокированные устройства, чем при использовании пароля.

    Придумывайте более безопасные ответы на вопросы для восстановления пароля

    Многие веб-сервисы при создании аккаунтов предлагают "вопросы на случай восстановления пароля". Есть риск, что злоумышленники могут узнать ответы на простые вопросы. Поэтому: а) придумывайте "ответы", по смыслу не связанные с вопросами, б) для этого можно даже использовать генератор паролей в парольном менеджере, в) сохраните придуманные "ответы" в парольном менеджере.

    Почему мы советуем делать так

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    Что почитать