Мощная металлическая дверь с надежным замком не защитит от вора, если хозяин хранит ключ от квартиры под ковриком. К сожалению, такое часто встречается в компьютерном мире. Когда вы слышите душераздирающие истории о взломанных аккаунтах в почте и соцсетях, с большой вероятностью проблема – плохая парольная защита. В двадцатку самых популярных паролей уже не первый год подряд попадают такие "шедевры", как "12345678", "password" и "qwerty".
У Светланы Анатольевны больше полусотни паролей к разным аккаунтам и свои правила на этот счёт. А у вас?
Длинными она считает пароли от 12 символов. Правда, некоторые системы (веб-сайты, приложения) ограничивают длину пароля, но тут уж что поделаешь.
У Светланы есть любимый толстый кот Борис, но какие бы лакомства Света ему ни покупала, она никогда не использует его имя в паролях. И вообще ничто родное, близкое, запомнившееся. Это создает серьезную уязвимость. Если злоумышленнику удастся собрать информацию о Свете, он может попробовать подобрать пароль или добраться до аккаунта через "ответ на секретный вопрос". Фамилии, имена, номера машин и квартир – плохие пароли.
Пароль, состоящий из одного слова – не лучший выбор. Такой пароль может оказаться в специальных словарях, используемых злоумышленниками. Немногим лучше и пароли, состоящие из коротких фраз (склеенных слов), например, "ladygaga", "jimbeam" или "warandpeace". О том, как эффективно применять фантазию для создания и запоминания паролей, рассказано в конце этой статьи.
Светлана ни при каких обстоятельствах не дает коллегам или членам семьи пароль к своему компьютеру. (Даже Борису). Если очень-очень нужно пустить человека за компьютер, легко создать новую учетную запись. Уезжая в отпуск, Светлана никому не сообщает пароль к почтовому ящику.
Как и всем, Свете иногда приходят странные письма с просьбами ввести свой логин/пароль "для предотвращения блокировки", "в рамках проведения технических работ" и пр. Это сетевое мошенничество, иначе "фишинг". Сегодня многие провайдеры предупреждают об угрозе фишинга. Света на это не покупается, не отвечает мошенникам, не нажимает на присланные ей гиперссылки, а если сомневается, то связывается с техподдержкой сервиса (по другому каналу, например, по телефону, указанному на официальном сайте).
Если нужно где-то залогиниться на компьютере, подключившись к wi-fi в гостинице, на вокзале, в аэропорту, Светлана делает это только под защитой VPN.
"Алё, Свет, это Наташа. Мы не можем войти в админку сайта, нужен пароль, у тебя же есть? Скинь нам быстренько по СМС!" Нет, нет, нет. Передача таких важных данных – только в зашифрованном виде.
Случается, что при регистрации на сайте система сама придумывает пароль. Тогда Света заходит в настройки аккаунта и меняет его на собственный, надежный.
Светлана никогда не использует один и тот же пароль для доступа к разным аккаунтам, сервисам, устройствам.
У Светы есть правило не реже раза в год менять пароли к важным ресурсам. Даже если всё выглядит так, будто угроз нет и старый пароль может "послужить еще". Бывает, что пароль скомпрометирован, а пользователь об этом не подозревает.
"Этот пароль был у меня раньше на Фейсбуке; хороший пароль, я его крепко запомнила; почему бы не использовать его снова, только в Google?" Нет. Света не использует старые пароли. Делать новый пароль путем добавления/изменения одного-двух символов в прежнем – тоже не её метод.
Есть ощущения, что с паролем не всё в порядке? Тогда Света меняет пароль. Например, если она была вынуждена кому-то его сообщить; если по неосторожности записала его на бумагу и потеряла; если заметила какую-нибудь подозрительную активность в своем аккаунте (например, следы несанкционированного доступа); если только что успешно пролечила компьютер от вирусов. Смену пароля нужно производить с заведомо "здорового", очищенного от вредоносного кода устройства.
Во всех современных браузерах эта функция включена по умолчанию. Света просто отключила её. Удобно пользоваться приватным режимом (в Mozilla Firefox называется "приватное окно", в Google Chrome – режим инкогнито). В приватном режиме браузер не запоминает пароли и другие данные, такие как историю посещенных страниц и куки-файлы. Хранить пароли лучше в надежном, защищенном менеджере паролей (например, KeePassXC).
Это добавляет к каждому из светиных паролей еще один, дополнительный ключ. Новый уровень защиты: если злодей завладеет паролем, ему вдобавок понадобится ключ. Популярные соцсети и провайдеры услуг вроде Google поддерживают двухфакторную аутентификацию.
Большинство сервисов предлагает функцию восстановления пароля, например, по привязанному адресу e-mail, по телефону (СМС), по ответу на секретный вопрос и др. Сама возможность восстановить пароль – потенциальная уязвимость. Лучшим решением с точки зрения безопасности было бы вообще не использовать функцию восстановления паролей. Вместо того, чтобы терять пароли и восстанавливать их, Света хранит пароли в надежном месте и не забывает создавать резервные копии.
Выбор Светы – защищенный, зашифрованный менеджер паролей (тот же KeePassXC). В таком менеджере можно хранить также пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС.
Резервные копии паролей обеспечивают надежный "тыл". Базу паролей (из парольного менеджера) Света регулярно копирует и сохраняет в облако, а ещё на флешку, в общем, отдельно от компьютера, на котором вводит пароли каждый день.
Даже если вы храните пароли под защитой менеджера паролей, вам понадобится придумать и запомнить мастер-пароль, чтобы защитить саму базу.
В большинстве руководств вам предложат использовать кучу символов из разных множеств: букв (прописных и строчных), цифр, знаков препинания. Что-нибудь вроде Jd4wE#m!kK_2dOf9Mx. Увы, запомнить такую абракадабру очень трудно. Помогает мнемонический метод. Вместо того, чтобы запоминать совокупность знаков один за другим, запомните хорошо знакомую вам фразу и несколько правил. Вот как выглядит возможный результат:
3pkm,1i3ev,K4:"P,p!"
Этот надежный пароль состоит из букв в разном регистре, цифр и знаков препинания. Кажется, что запомнить его нереально. Но это и не требуется. В основе – фраза из шекспировского "Макбета":
Трижды пестрый кот мяукнул,
Раз и трижды ежик всхлипнул,
Крикнул черт: "Пора, пора!"
Эту фразу очень легко запомнить, особенно если вы любите Шекспира. (Если нет, можно выбрать другое художественное произведение или, например, песню). Вдобавок нужно запомнить несколько придуманных нами же правил (у вас могут быть собственные правила):
Этот способ в оригинале называется diceware (метод игральных костей), но мы предпочитаем называть его метод книги. Здесь ставка делается на случайность выборки слов из огромного словаря. Как получить действительно случайные, не связанные с вашей личностью слова? Возьмите книгу и раскройте её наугад на первой попавшейся странице. Какое слово попалось первым?
box (коробка)
Повторяем. Другая страница, первое слово:
quickly (быстро)
И так далее, всего шесть раз. Получаем набор из шести случайных слов, скажем, такой:
box (коробка)
quickly (быстро)
hides (прячет)
spruce (ель)
kangaroo (кенгуру)
Jane (Джейн)
Из этих слов (в любой последовательности) и будет состоять ваш пароль. Кажется, что запомнить совершенно случайную последовательность слов не получится, но вы удивитесь свойству человеческого мозга. Можно немножко упростить задачу: фраза "kangaroo Jane quickly hides a box under a spruce" ("кенгуру Джейн быстро прячет коробку под ёлкой") запоминается легче. Для усиления стойкости пароля можете добавить какой-нибудь символ из другого множества, например:
kangarooJanequicklyhidesbox#spruce