Принципы парольной защиты — Проект SAFE
Рекомендации
Принципы парольной защиты

Создаем и правильно храним надежные пароли

Мощная металлическая дверь с надежным замком не защитит от вора, если хозяин хранит ключ от квартиры под ковриком. К сожалению, такое часто встречается в компьютерном мире. Когда вы слышите душераздирающие истории о взломанных аккаунтах в почте и соцсетях, с большой вероятностью проблема – плохая парольная защита. В двадцатку самых популярных паролей уже не первый год подряд попадают такие "шедевры", как "12345678", "password" и "qwerty".

У Светланы Анатольевны больше полусотни паролей к разным аккаунтам и свои правила на этот счёт. А у вас?

1. Светлана использует длинные пароли

Длинными она считает пароли от 12 символов. Правда, некоторые системы (веб-сайты, приложения) ограничивают длину пароля, но тут уж что поделаешь.

2. Она не использует в паролях личную информацию

У Светланы есть любимый толстый кот Борис, но какие бы лакомства Света ему ни покупала, она никогда не использует его имя в паролях. И вообще ничто родное, близкое, запомнившееся. Это создает серьезную уязвимость. Если злоумышленнику удастся собрать информацию о Свете, он может попробовать подобрать пароль или добраться до аккаунта через "ответ на секретный вопрос". Фамилии, имена, номера машин и квартир – плохие пароли.

3. Светлана избегает паролей-слов и коротких паролей-фраз

Пароль, состоящий из одного слова – не лучший выбор. Такой пароль может оказаться в специальных словарях, используемых злоумышленниками. Немногим лучше и пароли, состоящие из коротких фраз (склеенных слов), например, "ladygaga", "jimbeam" или "warandpeace". О том, как эффективно применять фантазию для создания и запоминания паролей, рассказано в конце этой статьи.

4. Она не делится паролями с другими людьми

Светлана ни при каких обстоятельствах не дает коллегам или членам семьи пароль к своему компьютеру. (Даже Борису). Если очень-очень нужно пустить человека за компьютер, легко создать новую учетную запись. Уезжая в отпуск, Светлана никому не сообщает пароль к почтовому ящику.

5. Светлана не сообщает пароли в ответ на сомнительные запросы

Как и всем, Свете иногда приходят странные письма с просьбами ввести свой логин/пароль "для предотвращения блокировки", "в рамках проведения технических работ" и пр. Это сетевое мошенничество, иначе "фишинг". Сегодня многие провайдеры предупреждают об угрозе фишинга. Света на это не покупается, не отвечает мошенникам, не нажимает на присланные ей гиперссылки, а если сомневается, то связывается с техподдержкой сервиса (по другому каналу, например, по телефону, указанному на официальном сайте).

6. Светлана осторожно использует пароли в "чужих" сетях wi-fi

Если нужно где-то залогиниться на компьютере, подключившись к wi-fi в гостинице, на вокзале, в аэропорту, Светлана делает это только под защитой VPN.

7. Светлана не пересылает пароли по открытым каналам

"Алё, Свет, это Наташа. Мы не можем войти в админку сайта, нужен пароль, у тебя же есть? Скинь нам быстренько по СМС!" Нет, нет, нет. Передача таких важных данных – только в зашифрованном виде.

8. И меняет пароль сразу после регистрации

Случается, что при регистрации на сайте система сама придумывает пароль. Тогда Света заходит в настройки аккаунта и меняет его на собственный, надежный.

9. Разные пароли для разных ресурсов

Светлана никогда не использует один и тот же пароль для доступа к разным аккаунтам, сервисам, устройствам.

10. Регулярная смена паролей

У Светы есть правило не реже раза в год менять пароли к важным ресурсам. Даже если всё выглядит так, будто угроз нет и старый пароль может "послужить еще". Бывает, что пароль скомпрометирован, а пользователь об этом не подозревает.

11. Светлана не использует пароли повторно

"Этот пароль был у меня раньше на Фейсбуке; хороший пароль, я его крепко запомнила; почему бы не использовать его снова, только в Google?" Нет. Света не использует старые пароли. Делать новый пароль путем добавления/изменения одного-двух символов в прежнем – тоже не её метод.

12. Если пароль скомпрометирован, Светлана его быстро меняет

Есть ощущения, что с паролем не всё в порядке? Тогда Света меняет пароль. Например, если она была вынуждена кому-то его сообщить; если по неосторожности записала его на бумагу и потеряла; если заметила какую-нибудь подозрительную активность в своем аккаунте (например, следы несанкционированного доступа); если только что успешно пролечила компьютер от вирусов. Смену пароля нужно производить с заведомо "здорового",  очищенного от вредоносного кода устройства.

13. Светлана не позволяет браузеру сохранять пароли

Во всех современных браузерах эта функция включена по умолчанию. Света просто отключила её. Удобно пользоваться приватным режимом (в Mozilla Firefox называется "приватное окно", в Google Chrome – режим инкогнито). В приватном режиме браузер не запоминает пароли и другие данные, такие как историю посещенных страниц и куки-файлы. Хранить пароли лучше в надежном, защищенном менеджере паролей (например, KeePassXC).

14. У Светланы включена двухфакторная аутентификация

Это добавляет к каждому из светиных паролей еще один, дополнительный ключ. Новый уровень защиты: если злодей завладеет паролем, ему вдобавок понадобится ключ. Популярные соцсети и провайдеры услуг вроде Google поддерживают двухфакторную аутентификацию.

15. Светлана избегает схем восстановления паролей

Большинство сервисов предлагает функцию восстановления пароля, например, по привязанному адресу e-mail, по телефону (СМС), по ответу на секретный вопрос и др. Сама возможность восстановить пароль – потенциальная уязвимость. Лучшим решением с точки зрения безопасности было бы вообще не использовать функцию восстановления паролей. Вместо того, чтобы терять пароли и восстанавливать их, Света хранит пароли в надежном месте и не забывает создавать резервные копии.

16. Она хранит пароли в надежном месте

Выбор Светы – защищенный, зашифрованный менеджер паролей (тот же KeePassXC). В таком менеджере можно хранить также пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС.

17. И не забывает о резервных копиях

Резервные копии паролей обеспечивают надежный "тыл". Базу паролей (из парольного менеджера) Света регулярно копирует и сохраняет в облако, а ещё на флешку, в общем, отдельно от компьютера, на котором вводит пароли каждый день.


Как создать и запомнить надежный пароль

Даже если вы храните пароли под защитой менеджера паролей, вам понадобится придумать и запомнить мастер-пароль, чтобы защитить саму базу.

Способ 1

В большинстве руководств вам предложат использовать кучу символов из разных множеств: букв (прописных и строчных), цифр, знаков препинания. Что-нибудь вроде Jd4wE#m!kK_2dOf9Mx. Увы, запомнить такую абракадабру очень трудно. Помогает мнемонический метод. Вместо того, чтобы запоминать совокупность знаков один за другим, запомните хорошо знакомую вам фразу и несколько правил. Вот как выглядит возможный результат:

3pkm,1i3ev,K4:"P,p!"

Этот надежный пароль состоит из букв в разном регистре, цифр и знаков препинания. Кажется, что запомнить его нереально. Но это и не требуется. В основе – фраза из шекспировского "Макбета":

Трижды пестрый кот мяукнул,
Раз и трижды ежик всхлипнул,
Крикнул черт: "Пора, пора!"

Эту фразу очень легко запомнить, особенно если вы любите Шекспира. (Если нет, можно выбрать другое художественное произведение или, например, песню). Вдобавок нужно запомнить несколько придуманных нами же правил (у вас могут быть собственные правила):

  • Берем первые буквы каждого слова.
  • Меняем числительные на цифры.
  • Букву "ч" меняем на цифру "4".

Способ 2

Этот способ в оригинале называется diceware (метод игральных костей), но мы предпочитаем называть его метод книги. Здесь ставка делается на случайность выборки слов из огромного словаря. Как получить действительно случайные, не связанные с вашей личностью слова? Возьмите книгу и раскройте её наугад на первой попавшейся странице. Какое слово попалось первым?

box (коробка)

Повторяем. Другая страница, первое слово: 

quickly (быстро)

И так далее, всего шесть раз. Получаем набор из шести случайных слов, скажем, такой:

box (коробка)
quickly (быстро)
hides (прячет)
spruce (ель)
kangaroo (кенгуру)

Jane (Джейн)

Из этих слов (в любой последовательности) и будет состоять ваш пароль. Кажется, что запомнить совершенно случайную последовательность слов не получится, но вы удивитесь свойству человеческого мозга. Можно немножко упростить задачу: фраза "kangaroo Jane quickly hides a box under a spruce" ("кенгуру Джейн быстро прячет коробку под ёлкой") запоминается легче. Для усиления стойкости пароля можете добавить какой-нибудь символ из другого множества, например:

kangarooJanequicklyhidesbox#spruce

Версия для печати