Создание и хранение надежных паролей

Обновлено28 March 2024

Содержание

...Загрузка оглавления...

    Пароли важны для защиты вашей личности и данных. К сожалению, это знают и злоумышленники. В их арсенале есть немало способов заполучить ваши пароли.

    Защититься от них помогут некоторые важные инструменты и тактики.

    Берегите свои пароли

    • Используйте только безопасное, обновленное, защищенное, доверенное устройство для доступа к своим аккаунтам и работы с важной информацией, такой как пароли. В главе о телефонах и компьютерах есть советы о том, как обезопасить свое устройство.
    • Используйте менеджер паролей. Никакой мозг не в состоянии придумать и запомнить пароли, достаточно длинные, случайные и уникальные — пароли, которые обеспечат защиту всех ваших устройств и аккаунтов. Парольный менеджер умеет генерировать и хранить пароли. Он защищает их с помощью шифрования. Подробнее о том, какие бывают парольные менеджеры и как их использовать, мы рассказываем в соответствующей главе нашего руководства.
    • Используйте двухфакторную аутентификацию (ДА), иногда ее называют мультифакторной. Она добавляет второй фактор к процедуре входа в аккаунт. Даже если злоумышленник сумеет добраться до вашего пароля, у него ничего не выйдет: при включенной ДА ему понадобится выполнить второе условие, посложнее. О том, как самым безопасным образом использовать ДА, вы можете узнать в нашем руководстве.

    Читайте дальше, чтобы больше узнать о защите паролей и аккаунтов от самых распространенных атак.

    Создавайте надежные пароли

    По сути, мы предлагаем вам создавать все нужные пароли в офлайновом парольном менеджере. Запомнить придется лишь несколько парольных фраз подлиннее. Они понадобятся, чтобы открыть устройство, на котором установлен парольный менеджер, и войти в сам парольный менеджер.

    При желании можете создать все пароли вручную. Ниже перечислены минимальные условия, при которых пароль может считаться достаточно надежным.

    • Создавайте длинные пароли. Разумный минимум — 12 символов (лучше 14).
    • Используйте буквы, цифры и спецсимволы.
    • Следующие приемы сами по себе не делают ваши пароли более надежными. Можно использовать, если у вас уже есть надежный пароль и вы хотите усложнить его.
      • Замена букв похожими символами или цифрами (например, "а" менять на "@", букву "O" на цифру "0" и т.п.). Это старый прием, хорошо знакомый взломщикам паролей.
      • Добавление восклицательного знака, или цифры, или иного знака препинания в конце. Еще один прием, о котором наслышаны злоумышленники.
      • Замена каждой первой буквы слова на заглавную. И снова — распространенная техника, которую учтет атакующий.

    Прочие рекомендации:

    • не делайте пароль из единственного слова, которое легко найти в словарях;
    • не используйте в качестве пароля простые фразы, например, известные цитаты из песен и стихов;
    • не используйте слова или числа, связанные с вами или близкими вам людьми/организациями, например:
      • имена людей, клички домашних животных, названия организаций;
      • даты рождения, даты праздников, юбилейные даты;
      • телефонные номера, адреса;
      • прочие данные, которые посторонний человек может разузнать о вас.
    • Часто менять пароли нет необходимости. О том, когда лучше менять пароли, рассказывается здесь.

    Запомните несколько надежных паролей

    Парольный менеджер может хранить ваши надежные и уникальные пароли в базе. Но и тогда вам придется запомнить парочку надежных паролей. Как минимум, чтобы получить доступ к устройству и к самому парольному менеджеру.

    • Если вы знаете английский язык, для создания надежных, но запоминаемых паролей можно использовать метод игральных костей.
      1. Cкачайте пронумерованный список слов и раздобудьте где-нибудь пять кубиков.
      2. Бросьте кубики и посмотрите, какое цифры выпали на верхних гранях (например: 6, 2, 5, 1, 1).
      3. Найдите в списке слово под соответствующим номером (в нашем примере 62511).
      4. Повторите 6 раз, и полученные 6 слов составят ваш пароль.
        • Нигде больше не используйте эту парольную фразу.
      5. Создайте ассоциативный ряд с использованием слов из вашего пароля. Это поможет запомнить пароль.
      6. Практикуйтесь, используйте пароли регулярно, поначалу ежедневно, потом хотя бы раз в неделю. Повторение поможет вам зафиксировать пароли в памяти.
    • Если у вас нет кубиков, можно создать такую парольную фразу с помощью генератора паролей в KeePassXC.
    • В качестве альтернативы можно использовать метод книги.
      1. Возьмите любую книгу, лучше всего не связанную с вашей основной работой.
      2. Откройте книгу на любой странице.
      3. Закрыв глаза, ткните пальцем в страницу и выберите таким образом случайное слово.
      4. Повторите 6 раз, чтобы получить 6 случайных слов.
        • Этот способ менее безопасен, чем его аналог с кубиками, особенно если вы используете книгу из офиса: выбранные слова "менее случайны". Но если вы не хотите устанавливать специальную программу и выберите произвольную книгу (журнал), это хороший вариант для создания надежных и запоминаемых паролей.
    Почему мы советуем делать так

    There will be a few passwords you must memorize, including the password to log in to the device where you have installed your password manager and the master password to your password manager. The diceware method can help you create passphrases that are easy to remember but extremely difficult to guess, even for an attacker who has a lot of time and skills and knows how to use "password cracking" software.

    Если нужно с кем-то поделиться паролем

    • Старайтесь избегать ситуации, когда нужно с кем-либо делиться паролем.
      • Если приходится делиться с другом, членом семьи или коллегой, сначала поменяйте свой обычный пароль на что-нибудь другое, временное, и поделитесь этой "заменой". Когда надобность в расшаривании пароля отпадет, верните себе оригинальный пароль.
      • Подумайте о том, чтобы завести отдельные аккаунты для всех, у кого есть доступ к сервису. Многие сервисы это позволяют. Можно ограничить действия, которые разрешены владельцам тех или иных аккаунтов, и показывать им лишь определенные данные.
      • Если нужно предоставить кому-то доступ к вашему устройству, лучше создать для этого отдельную учетную запись. Почитайте наши базовые рекомендации о том, как это сделать для Android, Linux, macOS и Windows.
        • Из устройств iOS эта опция доступна только в iPad (подробнее см. здесь.
    • Если вам и правда необходимо поделиться паролями с кем-то еще, можно настроить KeePassXC для совместного использования паролей. О том, как это сделать, рассказано в документации KeePassXC.
    Почему мы советуем делать так

    С чем можно сравнить расшаривание пароля? С передачей копии ключа от вашей квартиры кому-нибудь еще. Что если этот человек потеряет ключ?Скажем так, риски еще выше: к вашей квартире могут получить доступ разные устройства, а вы это даже не заметите. Чтобы уменьшить "площадь атаки", старайтесь не расшаривать пароли.

    Узнайте, была ли утечка ваших паролей

    • Загляните на сайт ';--have i been pwned? и убедитесь, что ваших аккаунтов нет в списке скомпрометированных.
    • Но даже если ваших аккаунтов там нет, лучше следовать рекомендациям из этого гайда, потому что о многих "сливах" мы не знаем.
    Почему мы советуем делать так

    Злоумышленники ищут пароли, которые уже были раскрыты и теперь доступны онлайн. Они будут пробовать их на ваших аккаунтах, пока не добьются результата. Вот почему мы особенно подчеркиваем: не используйте один пароль для разных аккаунтов! Зайдите на ';--have i been pwned? и убедитесь, что ваших паролей нет в списках, доступных злоумышленникам.

    Как злоумышленники могут заполучить пароли

    Ниже перечислены самые распространенные способы, какими злоумышленники могут заполучить ваши пароли.

    1. Они могут угадать пароль:
      • используя личные данные, такие как важные даты или имена, любимые вами цитаты, названия песен, имена авторов;
      • используя словари паролей;
      • слегка изменяя те пароли, которые были у вас в прошлом;
      • с помощью программы для перебора всех возможных комбинаций.
    2. Их могут интересовать:
      • где вы записываете свои пароли (например, где-то на рабочем столе);
      • на что вы смотрите, когда вводите пароль;
      • пароли, ранее "утекшие" и ставшие доступными онлайн.
    3. Они могут попытаться вас обмануть:
      • установить вредоносное приложение, чтобы записать пароль;
      • подтолкнуть вас к тому, что вы введете пароль на фейковой странице (фишинг);
      • выудить у вас пароли или другие важные данные, притворяясь службой техподдержки или кем-то из ваших знакомых (социальная инженерия);
      • Подробнее о том, как распознать попытки заставить вас действовать без оглядки и давить на ваши эмоции, можно прочесть в нашем руководстве по вредоносным программам.
    4. Они могут использовать уязвимости:
      • взломать сайт, где вы обычно вводите пароль;
      • украсть пароль, сохраненный в вашем браузере;
      • вытащить пароль из приложений на вашем телефоне.

    Не раскрывайте свой пароль по чьей-то просьбе (по звонку, сообщению или в электронном письме)

    • Для проверки зайдите на сайт или в приложение, откуда (предположительно) пришло сообщение.
    • Если вы знаете человека или организацию, которая отправила сообщение, свяжитесь с ней напрямую по другому каналу и проверьте, правда ли это.
      • Например, если сообщение пришло по email, позвоните отправителю.
      • Не щелкайте по ссылкам в электронном письме, не отвечайте на письмо.
    • Имейте в виду: когда автор сообщения пытается вас напугать, или чем-то приманить, или вызвать у вас тревогу об упущенной возможности, или иным способом подтолкнуть вас к быстрым необдуманным действиям, это может быть попыткой фишинга. Сделайте паузу, придите в спокойствие и попробуйте проверить поступающую информацию.
    Почему мы советуем делать так

    Злоумышленники часто представляются другими людьми. Например, сотрудниками банка или техподдержки. Их задача — убедить вас передать им какие-либо важные данные (хотя вы ничего такого им не должны). Злоумышленники часто играют на эмоциях и свойствах человеческой натуры.

    Если вам звонят, пишут email или иное сообщение и просят пароль (или другую важную информацию), а также если в тексте сообщения есть гиперссылка, чтобы вы прошли по ней и предоставили какую-то информацию, есть немалая вероятность, что вас пытаются обмануть.

    Подробнее о том, как распознать попытки заставить вас действовать без оглядки и давить на ваши эмоции, можно прочесть в нашем руководстве по вредоносным программам.

    Узнать больше о фишинге можно в руководстве по защите от фишинговых атак сборника "Surveillance Self-Defense".

    Когда нужно менять пароль

    Далее перечислены ситуации, в которых мы советуем немедленно сменить пароль.

    • Вы предполагаете, что ваш аккаунт, устройства или коллеги (близкие люди) стали жертвами взлома.
    • Вы ввели пароль на устройстве, которому не следует доверять, или на устройстве с общим доступом (возможно, там установлен вредоносный код).
    • Вы тревожитесь из-за того, что кто-то мог подсмотреть набираемый вами пароль.

    Минимизируйте ущерб: предупредите тех, кого может затронуть проблема.

    Также подумайте о смене пароля, если вы получили заслуживающее доверие предупреждение от используемого вами сервиса о попытке входа с неизвестного устройства или из непривычного места. Чтобы понять, скомпрометирован ли ваш пароль, лучше предпринять следующие шаги.

    • Обратите внимание, есть ли в новостях сообщения о взломах.
    • Если получили предупреждение (по email или в другом формате), проверьте на сайте владельца сервиса, отправляли ли они в самом деле такое сообщение. Никогда не переходите по ссылкам в электронных письмах, SMS или сообщениях чатов.

    О том, как сменить пароль на устройстве, см. наше руководство по соцсетям и базовые руководства по безопасности для Android, iOS, Linux, macOS и Windows.

    Почему мы советуем делать так

    Исследования показывают, что периодическая смена паролей необязательно повышает безопасность. Когда людей заставляют часто менять пароли, они обычно стараются вносить лишь самые малые изменения, а не менять пароль полностью. Подробнее об этом исследовании см. в материале Брюса Шнайера.

    Важнее менять пароли, когда случается утечка данных. Мы не всегда знаем, когда такое происходит, поэтому советуем менять пароли, особенно к онлайновым сервисам, с периодом от нескольких месяцев до года. Если же у вас есть основания считать, что аккаунт скомпрометирован, следует сменить пароль немедленно.

    Не забывайте, где находитесь и кто может подсмотреть пароль

    • Если вы оказались в общественном месте и набираете пароль, обратите внимание, может ли кто-нибудь заглянуть (или даже вести запись) из-за плеча.
    • Убедитесь, что никто не наблюдает за клавиатурой или телефоном, когда вы набираете пароли.
    • Используйте специальный экран для защиты приватности. Он создает помехи для любителей подглядывать.
    Почему мы советуем делать так

    Злоумышленники могут мониторить и записывать ваши манипуляции с паролями. Если мобильное устройство изъято властями, но пароля разблокировки у них нет, власти могут, например, изучить ежедневную деятельность владельца устройства и заметить камеру наблюдения. Потом можно изъять записи этой камеры, на которых видно, какой пароль вводит владелец устройства.

    Избегайте биометрии (отпечатка пальца или распознавания лица)

    • Если для доступа к вашему устройству используется распознавание лица или отпечаток пальца, смените этот вариант на пароль.
    • См. базовые руководства по безопасности для Android, iOS, Linux, macOS и Windows.
    Почему мы советуем делать так

    С помощью биометрии (отпечатка пальца, распознавания лица) получить доступ к устройству можно куда быстрее. Но это менее надежный способ защиты вашего устройства (аккаунта). В отличие от пароля, вы не можете в любой момент, просто по желанию сменить биометрические данные. Многим людям приходится использовать биометрическую аутентификацию в аэропортах, государственных учреждениях и других местах. Возникает потенциальный риск того, что кто-то сможет получить доступ к вашим аккаунтам без вашего согласия. А если недоброжелатели способны пойти на физическое принуждение, им будет проще это сделать, чем если бы вы использовали пароль.

    Может, использовать ключи доступа?

    Некоторые онлайновые платформы могут предложить вам вместо логина и пароля использовать ключ доступа, см. также на русском.

    Passkeys offer stronger protection against phishing, but rely a lot on biometrics and cloud sharing, which we don't recommend using for anything sensitive, let alone for credentials to log in to your accounts. If you think you may be exposed to advanced phishing attacks, however, you may choose to protect yourself against this threat with passkeys, and use them without biometrics or cloud sharing.

    Для начала работы с ключами доступа понадобился или парольный менеджер с поддержкой ключей доступа, или специальный чип безопасности, встроенный в компьютер или телефон. В большинстве случаев люди разблокируют свои ключи с помощью облачных парольных менеджеров или тем же способом, что само устройство (часто это биометрия — отпечаток пальца или распознавание лица).

    Но в этом нет необходимости. Как правило, вы можете хранить ключи доступа более безопасными способами. Например, на отдельном физическом устройстве-ключе безопасности или в специальном чипе на компьютере или телефоне. Соответственно, доступ к чипу мы советуем защищать с помощью надежного пароля, а не биометрии.

    Ключи доступа можно хранить в KeePassXC. Для этого нужно включить интеграцию KeePassXC с браузером. Правда, это решение зависит от браузера, а тот может сам оказаться объектом атаки. Специальные чипы для обеспечения безопасности и физические ключи все-таки надежнее.

    Придумывайте более безопасные ответы на вопросы для восстановления пароля

    У многих сервисов есть опция "восстановления пароля" по ответу на контрольный вопрос. Этот ответ вы сообщаете сервису при создании аккаунта. Чтобы эту информацию было сложнее угадать, следуйте нашим советам:

    • используйте в качестве ответа фейковые данные, не связанные с вами;
    • можно использовать случайный код, созданный генератором паролей в парольном менеджере;
    • не забудьте сохранить ответ в парольном менеджере, чтобы не забыть эту информацию и не потерять доступ к аккаунту.
    Почему мы советуем делать так

    Вопрос для восстановления пароля помогает подтвердить вашу личность, если провайдер сервиса подозревает, что кто-то чужой пытается добраться до вашего аккаунта. Если вы потеряли доступ к аккаунту, можете воспользоваться таким вопросом. К сожалению, правдивые ответы на вопросы типа "В каком городе вы родились?" или "Как зовут вашего питомца?" можно легко найти в интернете. Это едва ли случится, если вы станете придумывать фейковые ответы.

    Что почитать