В современном мире мы ежедневно вводим пароли — от рабочих компьютеров и социальных сетей до личной почты и банковских сервисов. Тем не менее многие пользователи относятся к своим паролям слишком беспечно, недооценивая реальную угрозу, которую представляют киберпреступники. В этой статье, подготовленной отделом защиты информации, вы узнаете, почему важно заботиться о безопасности паролей, как придумать, проверить и надёжно хранить пароль.
Почему мы оказываемся под угрозой?
- Недооценка собственной значимости. Некоторым людям кажется, что их данные не представляют ценности для мошенников, поэтому они хранят пароли небрежно: например, 28% пользователей записывают пароли в блокнот, а 9% — на листок, лежащий рядом с компьютером.
- Лень придумывать сложные пароли. Мы часто уверены, что злоумышленники «охотятся» на крупные компании или знаменитостей. На практике же они могут атаковать любые аккаунты — в том числе и обычных пользователей. Простые пароли особенно легко подобрать с помощью специального программного обеспечения.
- Многократное использование одного и того же пароля. Надёжный пароль от личной почты кажется идеальным вариантом и для других ресурсов, однако дублировать пароль нельзя. Если злоумышленники взломают один из аккаунтов, они получат доступ и ко всем остальным.
- Бездействие при попытках взлома. Даже заметив подозрительную активность, пользователи часто не меняют пароль, если считают, что хакерам «не удалось ничего украсть». Однако за первой попыткой может последовать более серьёзная атака.
- Посторонний доступ к паролю. Наконец, мы можем по неосторожности доверить свои пароли родственникам, коллегам, знакомым, даже если не знаем, известны ли им хотя бы основы информационной безопасности. Любая цепочка, в которой участвует человек, может оказаться слабым звеном.
Как злоумышленники взламывают пароли?
Мошенники используют программное обеспечение, которое автоматически подбирает пароли (так называемый «брутфорс» — систематический перебор всех возможных комбинаций символов до тех пор, пока не будет найдена правильная комбинация) или комбинирует часто используемые варианты. К примеру, проверяются популярные слова (в том числе при инвертированной раскладке клавиатуры), даты, имена и словосочетания типа Mashenka2017, если видно, что пользователь — Мария, а аккаунт зарегистрирован в 2017 году.
Таким образом, простые пароли оказываются уязвимыми: их либо легко подобрать, либо они уже есть в словарях для автоматического перебора. Пароли типа 1qaz2wsx уже давно вошли в списки самых распространённых и ненадёжных.
Поэтому, пока вы используете простые пароли, мошенники будут их взламывать, получая доступ к вашим данным, деньгам и ресурсам. Преступники заинтересованы в аккаунтах, защищенных простыми паролями. Они массово запускают специальные программы, подбирающие пароли и ждут, когда кто-нибудь попадется.
Но как придумать надежный и сложный пароль?
Самый простой способ — это использовать генератор паролей — сервис или программу, которая формирует случайные пароли из случайных символов. Вы можете задать определенные параметры: указать число знаков, хотите ли вы включить в него цифры, специальные символы или буквы разного регистра.
Минус этого способа — сгенерированный пароль почти невозможно запомнить.
Плюс есть ещё одна тонкость: многие онлайн-генераторы сохраняют сгенерированные пароли в собственных базах данных. В результате утечек эти базы попадают к злоумышленникам и используются в качестве словарей для механического подбора паролей. Поэтому лучше использовать офлайн-генератор.
Второй способ — придумать пароль самостоятельно. Для этого необходимо, во-первых, помнить минимум надежного пароля: длина не менее 12 знаков, наличие букв в разных регистрах, использование цифр и специальных символов.
Во-вторых, следовать следующим пунктам:
- Придумайте легко запоминаемую основу для пароля:
- Не используйте очевидной модификации вашего имени или других открытых данных, вместо этого используйте редкое слово, а лучше — неочевидное словосочетание. Идеальны внутренние, семейные шутки, типа любимой бабушкиной присказки. Главное, не использовать это словосочетание в социальных сетях.
- Используйте акронимы. Например, можно взять фразу из Шекспира: Better three hours too soon than a minute too late. Если выделить первые буквы слов этой строки, получится: Bthtstamtl — неплохая и легко запоминаемая основа для пароля.
- Усложните придуманную основу с помощью добавления в неё прописных и строчных букв, цифр и специальных символов.
- Усложняйте с умом. Вам придется запомнить, какую букву вы сделали заглавной, а какую — заменили на цифру.
- Существуют стандартные методы замены буквы на цифры. Так, англоязычные пользователи заменяют F на 4, а S — на 7. Однако типичные замены уже известны злоумышленникам, поэтому лучше придумайте индивидуальную замену: например, превратив все буквы М в цифры 5.
Кому можно сообщать пароль?
Ответ на этот вопрос прост — никому. Будь то член семьи или близкий друг, специалист по безопасности или начальник – пароль нельзя давать никому и никогда. Если кто-то просит у вас пароль, остановитесь и подумайте:
- Кто это?
- Зачем ему нужен ваш пароль?
- Может ли он обойтись без него?
И обнаружится, что делиться паролем совершенно не обязательно.
Как хранить пароль?
Существует целый ряд методик, позволяющих безопасно хранить пароль. Можно использовать менеджер пароля. Можно видоизменять пароль и записывать его таким образом, чтобы никто, кроме вас, не смог понять эту запись (так называемая запись-напоминание). Но если пароль корпоративный, то есть правило, которое превалирует над любыми методиками: вы всегда должны следовать правилам хранения паролей, принятым в вашей компании.
Если же пароль личный или компания не имеет политики хранения паролей, то общие правила выглядят так:
- Храните пароль в памяти. С точки зрения безопасности нет ничего надёжнее. Но если вы редко пользуетесь своим паролем и постоянно получаете новые порции информации, то вы его забудете. Так что целиком полагаться на память нельзя;
- Храните запись-напоминание пароля таким образом, чтобы ее не могли увидеть посторонние;
- Храните запись-напоминание в месте, к которому вы относитесь внимательно — например, в кошельке рядом с банковскими картами или в памяти смартфона;
- Не храните запись-напоминание в легкодоступных местах или местах, к которым относитесь беспечно;
- Никогда не записывайте рядом с паролем имя пользователя и тем более пояснение, для чего этот пароль предназначен.
Также пароль можно хранить в менеджере паролей. Менеджер паролей — это специальная программа, в которой хранятся ваши учетные данные: имена пользователя, пароли, пин-коды, данные банковской карты и счета, а также сопутствующая информация.
Многие менеджеры паролей синхронизируются с браузером, а часть браузеров уже имеют встроенные. Когда вы заходите на любой сайт, где регистрировались ранее, менеджер подставляет ваши данные в форму и автоматически вас авторизует. Ещё часть менеджеров умеет распознавать поддельные сайты: если вы попали на подобный ресурс, менеджер поймет это и «откажется» вводить данные. Пароли и другая информация в менеджере хранятся в зашифрованном виде, и никакое специальное ПО не может их оттуда «извлечь».
Менеджеры бывают нескольких типов: программы для компьютера, приложения для смартфона или планшета и сетевые приложения. Наиболее популярные менеджеры обычно имеют и локальную, и онлайн-версию. Также бывают менеджеры, встроенные непосредственно в браузеры. Наиболее удобные и безопасные менеджеры паролей:
- Встроенные в браузеры Google, Yandex и Mozilla
- KeePass
- Kaspersky Password Manager
Для того, чтобы получить доступ к менеджеру, нужно помнить всего один пароль — так называемый мастер-пароль. Его нужно придумать в соответствии со всеми правилами, о которых мы рассказывали ранее. И его придётся запомнить.
Но важно понимать, что, как и в любом ПО, в менеджерах паролей есть уязвимости, которыми пользуются киберпреступники. Плюс, если мастер-пароль станет известен злоумышленнику, последний сразу получит доступ ко всем вашим учетным записям, хранящимся в менеджере.
Так, в менеджере паролей можно хранить пароли от большинства ресурсов, требующих регистрации, — интернет-магазинов, спортивных секций, онлайн-курсов и так далее. Но некоторые ресурсы стоит держать «в стороне» и запоминать пароли от них без использования менеджера. Это ресурсы, которые используются для восстановления доступов и хранения документов — то есть электронная почта, социальные сети, кабинеты онлайн-банков и сервисы типа «Мои документы» (например: Госуслуги).