Принципы парольной защиты — Проект SAFE
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Рекомендации
Принципы парольной защиты

Создаем и правильно храним надежные пароли

Мощная металлическая дверь с надежным замком не защитит от вора, если ключ лежит под ковриком. К сожалению, такое часто встречается в компьютерном мире. Когда вы слышите душераздирающие истории о взломанных аккаунтах в почте и соцсетях, с большой вероятностью причина – плохой пароль. Или хороший пароль, который плохо хранился. В двадцатку самых популярных паролей уже не первый год подряд попадают такие «шедевры», как 12345678, password и qwerty.

У Светланы Анатольевны больше полусотни паролей к разным аккаунтам и свои правила на этот счёт. Поблагодарите её за чеклист и сравните его со своими правилами. Они могут оказаться разными – в этом нет ничего страшного. Как и везде в теме безопасности, у разных людей может быть разный контекст, а значит, и правила могут отличаться друг от друга.

1. Светлана использует длинные пароли

Длинными она считает пароли от 12 символов. Правда, некоторые системы (веб-сайты, приложения) ограничивают длину пароля «сверху», но тут уж что поделаешь. В последнее время Света пробует использовать длинные парольные фразы из 6-7 никак не связанных по смыслу слов.

2. Она не использует в паролях личную информацию

У Светланы есть любимый толстый кот-британец по имени Борис, но она никогда не использует его кличку в паролях. И вообще не использует никакую подобную информацию. Фамилии, имена, номера машин и квартир, памятные даты – плохие пароли. Если злоумышленнику удастся собрать информацию о Свете, он может попробовать подобрать пароль или «восстановить» его через ответ на контрольный вопрос (эта функция по сей день есть во многих сервисах).

3. Светлана избегает паролей-слов и коротких паролей-фраз

Пароль из одного слова – плохой пароль. Немногим лучше и пароли, состоящие из коротких фраз (склеенных слов), например, ladygaga, jimbeam или warandpeace. О том, как эффективно применять фантазию для создания и запоминания паролей, рассказано в конце этой статьи.

4. Она не делится паролями с другими людьми

Светлана ни при каких обстоятельствах не дает коллегам или членам семьи пароль к своему компьютеру. (Даже Борису). Если очень-очень нужно пустить человека за компьютер, легко создать новую учётную запись. Уезжая в отпуск, Светлана никому не говорит пароль к почтовому ящику.

5. Светлана не сообщает пароли в ответ на сомнительные запросы

Как и всем, Свете иногда приходят странные письма с просьбами ввести свой логин/пароль «для предотвращения блокировки», «в рамках проведения технических работ» и пр. Это сетевое мошенничество, иначе фишинг. Сегодня многие провайдеры предупреждают об угрозе фишинга. Света на фишинг не покупается, не отвечает мошенникам, не нажимает на присланные ей гиперссылки. А если сомневается, то связывается с техподдержкой сервиса по другому каналу, например, по телефону, указанному на официальном сайте.

6. Светлана осторожно использует пароли в публичных сетях wifi

Если нужно где-то залогиниться на компьютере, подключившись к wifi в гостинице, на вокзале, в аэропорту, Светлана делает это только под защитой VPN.

7. Светлана не пересылает пароли по открытым каналам

«Алё, Свет, это Наташа. Мы не можем войти в админку сайта, нужен пароль, у тебя же есть? Скинь нам быстренько по СМС!» Нет, нет, нет. Передача таких важных данных – только в зашифрованном виде.

8. И меняет пароль сразу после регистрации

Случается, что при регистрации на сайте система сама придумывает пароль. Тогда Света заходит в настройки аккаунта и меняет его на собственный.

9. Разные пароли для разных ресурсов

Светлана никогда не использует один и тот же пароль для доступа к разным аккаунтам, сервисам, устройствам.

10. Регулярная смена паролей

У Светы есть правило не реже раза в год менять пароли к важным ресурсам. Даже если всё выглядит так, будто угроз нет и старый пароль может послужить ещё. Бывает, что пароль скомпрометирован, а пользователь об этом не подозревает.

11. Светлана не использует пароли повторно

«Этот пароль был у меня раньше на Фейсбуке. Хороший пароль, я его крепко запомнила. Почему бы не использовать его снова, только в Google?» Нет. Света не использует старые пароли. Делать новый пароль путём добавления или изменения одного-двух символов – тоже не её метод.

12. Если пароль скомпрометирован, Светлана его быстро меняет

Есть ощущения, что с паролем не всё в порядке? Тогда Света меняет пароль. Например, если она была вынуждена кому-то его сообщить. Или по неосторожности записала его на бумагу и потеряла. Или заметила какую-нибудь подозрительную активность в своем аккаунте, следы несанкционированного доступа. Смену пароля нужно производить с заведомо «здорового»,  очищенного от вредоносного кода устройства.

13. У Светланы включена двухфакторная аутентификация

Это дополнительная защита для аккаунтов. Если злодей завладеет паролем, ему вдобавок понадобится второй фактор (устройство, файл, ключ). Популярные соцсети и провайдеры услуг вроде Google поддерживают двухфакторную аутентификацию.

14. Светлана избегает схем восстановления паролей

Большинство сервисов предлагает функцию восстановления пароля, например, по привязанному адресу email, по телефону (СМС), по ответу на секретный вопрос. Сама возможность восстановить пароль – потенциальная уязвимость. Лучшим решением с точки зрения безопасности было бы вообще не использовать эту функцию. Вместо того, чтобы терять пароли и восстанавливать их, Света хранит пароли в надёжном месте и не забывает создавать резервные копии.

15. Светлана не позволяет браузеру сохранять пароли

Во всех современных браузерах эта функция включена по умолчанию. Света просто отключила её.

16. Она хранит пароли в надёжном месте

Выбор Светы – защищённый, зашифрованный менеджер паролей (она использует Bitwarden, а раньше KeePassXC). В таком менеджере, кстати, можно хранить также пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС.

17. И не забывает о резервных копиях

Резервные копии паролей обеспечивают надежный «тыл». База паролей (парольного менеджера) у Светы хранится в облаке, но она регулярно делает локальные копии. На всякий случай.


Как создать и запомнить надёжный пароль

Даже если вы храните пароли под защитой парольного менеджера, вам понадобится придумать и запомнить мастер-пароль, чтобы защитить саму базу.

Способ 1. Мнемоника

В большинстве руководств вам предложат использовать кучу символов из разных множеств: букв (прописных и строчных), цифр, знаков препинания. Что-нибудь вроде Jd4wE#m!kK_2dOf9Mx. Увы, запомнить подобную абракадабру очень трудно. Помогает мнемонический метод. Вместо того, чтобы запоминать совокупность знаков один за другим, запомните хорошо знакомую вам фразу и несколько правил. Вот как выглядит возможный результат:

3pkm,1i3ev,K4:"P,p!"

Этот надежный пароль состоит из букв в разном регистре, цифр и знаков препинания. Кажется, что запомнить его нереально. Но это и не требуется. В основе – фраза из шекспировского «Макбета»:

Трижды пестрый кот мяукнул,
Раз и трижды ежик всхлипнул,
Крикнул черт: «Пора, пора!»

Эту фразу очень легко запомнить, особенно если вы любите Шекспира. Если нет, можно выбрать другое художественное произведение или, например, песню. Вдобавок нужно запомнить несколько придуманных нами же правил (у вас, конечно, могут быть собственные правила):

  • Берём первые буквы каждого слова.
  • Меняем числительные на цифры.
  • Букву "ч" меняем на цифру "4".

Способ 2. Метод книги

Этот способ в оригинале называется diceware (метод игральных костей), но мы предпочитаем называть его метод книги. Здесь ставка делается на случайность выборки слов из огромного словаря. Как получить действительно случайные, не связанные с вашей личностью слова? Возьмите книгу и раскройте её наугад на первой попавшейся странице. Какое слово попалось первым? Допустим, это

box (коробка)

Повторяем. Другая страница, первое слово: 

quickly (быстро)

И так далее, всего шесть раз. Получаем набор из шести случайных слов, скажем, такой:

box (коробка)
quickly (быстро)
hides (прячет)
spruce (ель)
kangaroo (кенгуру)

Jane (Джейн)

Из этих слов (в любой последовательности) и будет состоять ваш пароль. Кажется, что запомнить совершенно случайную последовательность слов не получится, но вы удивитесь свойству человеческого мозга. Можно немножко упростить задачу: фраза kangaroo Jane quickly hides a box under a spruce (кенгуру Джейн быстро прячет коробку под ёлкой) запоминается легче. Для усиления стойкости пароля можете добавить какой-нибудь символ из другого множества, например:

kangarooJanequicklyhidesbox#spruce