Пароли › Создание и хранение надежных паролей

Создание и хранение надежных паролей

Обновлено 28 March 2024

Содержание

...Загрузка оглавления...

    Пароли важны для защиты вашей личности и данных. К сожалению, это знают и злоумышленники. В их арсенале есть немало способов заполучить ваши пароли.

    Защититься от них помогут некоторые важные инструменты и тактики.

    Берегите свои пароли

    • Используйте только безопасное, обновленное, защищенное, доверенное устройство для доступа к своим аккаунтам и работы с важной информацией, такой как пароли. В главе о телефонах и компьютерах есть советы о том, как обезопасить свое устройство.
    • Используйте менеджер паролей. Никакой мозг не в состоянии придумать и запомнить пароли, достаточно длинные, случайные и уникальные — пароли, которые обеспечат защиту всех ваших устройств и аккаунтов. Парольный менеджер умеет генерировать и хранить пароли. Он защищает их с помощью шифрования. Подробнее о том, какие бывают парольные менеджеры и как их использовать, мы рассказываем в соответствующей главе нашего руководства.
    • Используйте двухфакторную аутентификацию (ДА), иногда ее называют мультифакторной. Она добавляет второй фактор к процедуре входа в аккаунт. Даже если злоумышленник сумеет добраться до вашего пароля, у него ничего не выйдет: при включенной ДА ему понадобится выполнить второе условие, посложнее. О том, как самым безопасным образом использовать ДА, вы можете узнать в нашем руководстве.

    Читайте дальше, чтобы больше узнать о защите паролей и аккаунтов от самых распространенных атак.

    Создавайте надежные пароли

    По сути, мы предлагаем вам создавать все нужные пароли в офлайновом парольном менеджере. Запомнить придется лишь несколько парольных фраз подлиннее. Они понадобятся, чтобы открыть устройство, на котором установлен парольный менеджер, и войти в сам парольный менеджер.

    При желании можете создать все пароли вручную. Ниже перечислены минимальные условия, при которых пароль может считаться достаточно надежным.

    • Создавайте длинные пароли. Разумный минимум — 12 символов (лучше 14).
    • Используйте буквы, цифры и спецсимволы.
    • Следующие приемы сами по себе не делают ваши пароли более надежными. Можно использовать, если у вас уже есть надежный пароль и вы хотите усложнить его.
      • Замена букв похожими символами или цифрами (например, "а" менять на "@", букву "O" на цифру "0" и т.п.). Это старый прием, хорошо знакомый взломщикам паролей.
      • Добавление восклицательного знака, или цифры, или иного знака препинания в конце. Еще один прием, о котором наслышаны злоумышленники.
      • Замена каждой первой буквы слова на заглавную. И снова — распространенная техника, которую учтет атакующий.

    Прочие рекомендации:

    • не делайте пароль из единственного слова, которое легко найти в словарях;
    • не используйте в качестве пароля простые фразы, например, известные цитаты из песен и стихов;
    • не используйте слова или числа, связанные с вами или близкими вам людьми/организациями, например:
      • имена людей, клички домашних животных, названия организаций;
      • даты рождения, даты праздников, юбилейные даты;
      • телефонные номера, адреса;
      • прочие данные, которые посторонний человек может разузнать о вас.
    • Часто менять пароли нет необходимости. О том, когда лучше менять пароли, рассказывается здесь.

    Запомните несколько надежных паролей

    Парольный менеджер может хранить ваши надежные и уникальные пароли в базе. Но и тогда вам придется запомнить парочку надежных паролей. Как минимум, чтобы получить доступ к устройству и к самому парольному менеджеру.

    • Если вы знаете английский язык, для создания надежных, но запоминаемых паролей можно использовать метод игральных костей.
      1. Cкачайте пронумерованный список слов и раздобудьте где-нибудь пять кубиков.
      2. Бросьте кубики и посмотрите, какое цифры выпали на верхних гранях (например: 6, 2, 5, 1, 1).
      3. Найдите в списке слово под соответствующим номером (в нашем примере 62511).
      4. Повторите 6 раз, и полученные 6 слов составят ваш пароль.
        • Нигде больше не используйте эту парольную фразу.
      5. Создайте ассоциативный ряд с использованием слов из вашего пароля. Это поможет запомнить пароль.
      6. Практикуйтесь, используйте пароли регулярно, поначалу ежедневно, потом хотя бы раз в неделю. Повторение поможет вам зафиксировать пароли в памяти.
    • Если у вас нет кубиков, можно создать такую парольную фразу с помощью генератора паролей в KeePassXC.
    • В качестве альтернативы можно использовать метод книги.
      1. Возьмите любую книгу, лучше всего не связанную с вашей основной работой.
      2. Откройте книгу на любой странице.
      3. Закрыв глаза, ткните пальцем в страницу и выберите таким образом случайное слово.
      4. Повторите 6 раз, чтобы получить 6 случайных слов.
        • Этот способ менее безопасен, чем его аналог с кубиками, особенно если вы используете книгу из офиса: выбранные слова "менее случайны". Но если вы не хотите устанавливать специальную программу и выберите произвольную книгу (журнал), это хороший вариант для создания надежных и запоминаемых паролей.
    Почему мы советуем делать так

    Вам придется запомнить совсем немного паролей, включая пароль для доступа к устройству и мастер-пароль к парольному менеджеру. Метод игральных костей помогает создавать пароли, которые легко запомнить, но крайне трудно угадать, даже если у злоумышленника есть и время, и специальные программы для взлома паролей.

    Если нужно с кем-то поделиться паролем

    • Старайтесь избегать ситуации, когда нужно с кем-либо делиться паролем.
      • Если приходится делиться с другом, членом семьи или коллегой, сначала поменяйте свой обычный пароль на что-нибудь другое, временное, и поделитесь этой "заменой". Когда надобность в расшаривании пароля отпадет, верните себе оригинальный пароль.
      • Подумайте о том, чтобы завести отдельные аккаунты для всех, у кого есть доступ к сервису. Многие сервисы это позволяют. Можно ограничить действия, которые разрешены владельцам тех или иных аккаунтов, и показывать им лишь определенные данные.
      • Если нужно предоставить кому-то доступ к вашему устройству, лучше создать для этого отдельную учетную запись. Почитайте наши базовые рекомендации о том, как это сделать для Android, Linux, macOS и Windows.
        • Из устройств iOS эта опция доступна только в iPad (подробнее см. здесь.
    • Если вам и правда необходимо поделиться паролями с кем-то еще, можно настроить KeePassXC для совместного использования паролей. О том, как это сделать, рассказано в документации KeePassXC.
    Почему мы советуем делать так

    С чем можно сравнить расшаривание пароля? С передачей копии ключа от вашей квартиры кому-нибудь еще. Что если этот человек потеряет ключ?Скажем так, риски еще выше: к вашей квартире могут получить доступ разные устройства, а вы это даже не заметите. Чтобы уменьшить "площадь атаки", старайтесь не расшаривать пароли.

    Узнайте, была ли утечка ваших паролей

    • Загляните на сайт ';--have i been pwned? и убедитесь, что ваших аккаунтов нет в списке скомпрометированных.
    • Но даже если ваших аккаунтов там нет, лучше следовать рекомендациям из этого гайда, потому что о многих "сливах" мы не знаем.
    Почему мы советуем делать так

    Злоумышленники ищут пароли, которые уже были раскрыты и теперь доступны онлайн. Они будут пробовать их на ваших аккаунтах, пока не добьются результата. Вот почему мы особенно подчеркиваем: не используйте один пароль для разных аккаунтов! Зайдите на ';--have i been pwned? и убедитесь, что ваших паролей нет в списках, доступных злоумышленникам.

    Как злоумышленники могут заполучить пароли

    Ниже перечислены самые распространенные способы, какими злоумышленники могут заполучить ваши пароли.

    1. Они могут угадать пароль:
      • используя личные данные, такие как важные даты или имена, любимые вами цитаты, названия песен, имена авторов;
      • используя словари паролей;
      • слегка изменяя те пароли, которые были у вас в прошлом;
      • с помощью программы для перебора всех возможных комбинаций.
    2. Их могут интересовать:
      • где вы записываете свои пароли (например, где-то на рабочем столе);
      • на что вы смотрите, когда вводите пароль;
      • пароли, ранее "утекшие" и ставшие доступными онлайн.
    3. Они могут попытаться вас обмануть:
      • установить вредоносное приложение, чтобы записать пароль;
      • подтолкнуть вас к тому, что вы введете пароль на фейковой странице (фишинг);
      • выудить у вас пароли или другие важные данные, притворяясь службой техподдержки или кем-то из ваших знакомых (социальная инженерия);
      • Подробнее о том, как распознать попытки заставить вас действовать без оглядки и давить на ваши эмоции, можно прочесть в нашем руководстве по вредоносным программам.
    4. Они могут использовать уязвимости:
      • взломать сайт, где вы обычно вводите пароль;
      • украсть пароль, сохраненный в вашем браузере;
      • вытащить пароль из приложений на вашем телефоне.

    Не раскрывайте свой пароль по чьей-то просьбе (по звонку, сообщению или в электронном письме)

    • Для проверки зайдите на сайт или в приложение, откуда (предположительно) пришло сообщение.
    • Если вы знаете человека или организацию, которая отправила сообщение, свяжитесь с ней напрямую по другому каналу и проверьте, правда ли это.
      • Например, если сообщение пришло по email, позвоните отправителю.
      • Не щелкайте по ссылкам в электронном письме, не отвечайте на письмо.
    • Имейте в виду: когда автор сообщения пытается вас напугать, или чем-то приманить, или вызвать у вас тревогу об упущенной возможности, или иным способом подтолкнуть вас к быстрым необдуманным действиям, это может быть попыткой фишинга. Сделайте паузу, придите в спокойствие и попробуйте проверить поступающую информацию.
    Почему мы советуем делать так

    Злоумышленники часто представляются другими людьми. Например, сотрудниками банка или техподдержки. Их задача — убедить вас передать им какие-либо важные данные (хотя вы ничего такого им не должны). Злоумышленники часто играют на эмоциях и свойствах человеческой натуры.

    Если вам звонят, пишут email или иное сообщение и просят пароль (или другую важную информацию), а также если в тексте сообщения есть гиперссылка, чтобы вы прошли по ней и предоставили какую-то информацию, есть немалая вероятность, что вас пытаются обмануть.

    Подробнее о том, как распознать попытки заставить вас действовать без оглядки и давить на ваши эмоции, можно прочесть в нашем руководстве по вредоносным программам.

    Узнать больше о фишинге можно в руководстве по защите от фишинговых атак сборника "Surveillance Self-Defense".

    Когда нужно менять пароль

    Далее перечислены ситуации, в которых мы советуем немедленно сменить пароль.

    • Вы предполагаете, что ваш аккаунт, устройства или коллеги (близкие люди) стали жертвами взлома.
    • Вы ввели пароль на устройстве, которому не следует доверять, или на устройстве с общим доступом (возможно, там установлен вредоносный код).
    • Вы тревожитесь из-за того, что кто-то мог подсмотреть набираемый вами пароль.

    Минимизируйте ущерб: предупредите тех, кого может затронуть проблема.

    Также подумайте о смене пароля, если вы получили заслуживающее доверие предупреждение от используемого вами сервиса о попытке входа с неизвестного устройства или из непривычного места. Чтобы понять, скомпрометирован ли ваш пароль, лучше предпринять следующие шаги.

    • Обратите внимание, есть ли в новостях сообщения о взломах.
    • Если получили предупреждение (по email или в другом формате), проверьте на сайте владельца сервиса, отправляли ли они в самом деле такое сообщение. Никогда не переходите по ссылкам в электронных письмах, SMS или сообщениях чатов.

    О том, как сменить пароль на устройстве, см. наше руководство по соцсетям и базовые руководства по безопасности для Android, iOS, Linux, macOS и Windows.

    Почему мы советуем делать так

    Исследования показывают, что периодическая смена паролей необязательно повышает безопасность. Когда людей заставляют часто менять пароли, они обычно стараются вносить лишь самые малые изменения, а не менять пароль полностью. Подробнее об этом исследовании см. в материале Брюса Шнайера.

    Важнее менять пароли, когда случается утечка данных. Мы не всегда знаем, когда такое происходит, поэтому советуем менять пароли, особенно к онлайновым сервисам, с периодом от нескольких месяцев до года. Если же у вас есть основания считать, что аккаунт скомпрометирован, следует сменить пароль немедленно.

    Не забывайте, где находитесь и кто может подсмотреть пароль

    • Если вы оказались в общественном месте и набираете пароль, обратите внимание, может ли кто-нибудь заглянуть (или даже вести запись) из-за плеча.
    • Убедитесь, что никто не наблюдает за клавиатурой или телефоном, когда вы набираете пароли.
    • Используйте специальный экран для защиты приватности. Он создает помехи для любителей подглядывать.
    Почему мы советуем делать так

    Злоумышленники могут мониторить и записывать ваши манипуляции с паролями. Если мобильное устройство изъято властями, но пароля разблокировки у них нет, власти могут, например, изучить ежедневную деятельность владельца устройства и заметить камеру наблюдения. Потом можно изъять записи этой камеры, на которых видно, какой пароль вводит владелец устройства.

    Избегайте биометрии (отпечатка пальца или распознавания лица)

    • Если для доступа к вашему устройству используется распознавание лица или отпечаток пальца, смените этот вариант на пароль.
    • См. базовые руководства по безопасности для Android, iOS, Linux, macOS и Windows.
    Почему мы советуем делать так

    С помощью биометрии (отпечатка пальца, распознавания лица) получить доступ к устройству можно куда быстрее. Но это менее надежный способ защиты вашего устройства (аккаунта). В отличие от пароля, вы не можете в любой момент, просто по желанию сменить биометрические данные. Многим людям приходится использовать биометрическую аутентификацию в аэропортах, государственных учреждениях и других местах. Возникает потенциальный риск того, что кто-то сможет получить доступ к вашим аккаунтам без вашего согласия. А если недоброжелатели способны пойти на физическое принуждение, им будет проще это сделать, чем если бы вы использовали пароль.

    Может, использовать ключи доступа?

    Некоторые онлайновые платформы могут предложить вам вместо логина и пароля использовать ключ доступа, см. также на русском.

    Ключи доступа лучше защищают от фишинга, но сильно зависят от биометрии и облачного обмена данными, который мы не советуем использовать ни для какой сенситивной информации, тем более для входа в аккаунты. Впрочем, если вы считаете, что подвергаетесь серьезным фишинговым атакам, ключи доступа могут оказаться решением. Нужно лишь найти способ использовать их без биометрии и облачного обмена данными.

    Для начала работы с ключами доступа понадобился или парольный менеджер с поддержкой ключей доступа, или специальный чип безопасности, встроенный в компьютер или телефон. В большинстве случаев люди разблокируют свои ключи с помощью облачных парольных менеджеров или тем же способом, что само устройство (часто это биометрия — отпечаток пальца или распознавание лица).

    Но в этом нет необходимости. Как правило, вы можете хранить ключи доступа более безопасными способами. Например, на отдельном физическом устройстве-ключе безопасности или в специальном чипе на компьютере или телефоне. Соответственно, доступ к чипу мы советуем защищать с помощью надежного пароля, а не биометрии.

    Ключи доступа можно хранить в KeePassXC. Для этого нужно включить интеграцию KeePassXC с браузером. Правда, это решение зависит от браузера, а тот может сам оказаться объектом атаки. Специальные чипы для обеспечения безопасности и физические ключи все-таки надежнее.

    Придумывайте более безопасные ответы на вопросы для восстановления пароля

    У многих сервисов есть опция "восстановления пароля" по ответу на контрольный вопрос. Этот ответ вы сообщаете сервису при создании аккаунта. Чтобы эту информацию было сложнее угадать, следуйте нашим советам:

    • используйте в качестве ответа фейковые данные, не связанные с вами;
    • можно использовать случайный код, созданный генератором паролей в парольном менеджере;
    • не забудьте сохранить ответ в парольном менеджере, чтобы не забыть эту информацию и не потерять доступ к аккаунту.
    Почему мы советуем делать так

    Вопрос для восстановления пароля помогает подтвердить вашу личность, если провайдер сервиса подозревает, что кто-то чужой пытается добраться до вашего аккаунта. Если вы потеряли доступ к аккаунту, можете воспользоваться таким вопросом. К сожалению, правдивые ответы на вопросы типа "В каком городе вы родились?" или "Как зовут вашего питомца?" можно легко найти в интернете. Это едва ли случится, если вы станете придумывать фейковые ответы.

    Что почитать