Обновлено 05.08.2024
Использование одного пароля на нескольких (или всех) ресурсах создает высокие угрозы для вашей цифровой безопасности.
Задавая пароль, вы передаете заботу о его хранении сервису и на надежность хранения повлиять не можете. Если произойдет утечка данных или пароль, который вы используете для нескольких учетных записей, попадет в руки злоумышленника другим путем, то он, скорее всего, получит доступ ко всем вашим учетным записям с этим паролем. А если таким образом в руки злоумышленника попадет ваш почтовый адрес, к которому привязаны другие сервисы, то и эти сервисы окажутся под угрозой.
Риски высоки. Если вы не хотите, чтобы ваши персональные данные попали в чужие руки, стоит забыть пароль 123456 (и даже qwerty12345) и перейти к использованию надежных и уникальных паролей, а также принимать дополнительные меры для защиты ваших учетных записей.
Как запомнить все эти уникальные длинные пароли?
К счастью, вы можете использовать разные сложные пароли на разных сайтах без необходимости их запоминать. Для этого существует менеджер паролей — специальная программа, которая позволяет создавать и хранить уникальные пароли.
Доступ к данным в менеджере можно получить только по мастер-паролю. Это один из немногих паролей, которые вам действительно нужно запомнить (или записать). Если его забыть, доступ к данным может быть утерян. Зачастую сервисы предлагают скачать список одноразовых кодов для восстановления, который нужно хранить в надежном месте.
Условно менеджеры паролей можно разделить на три вида:
Встроенные в браузеры
Они есть в большинстве современных браузеров и включены по умолчанию. Из-за их низкой безопасности специалисты не рекомендуют использовать встроенные менеджеры и в принципе не рекомендуют давать браузерам запоминать ваши данные для входа.
Выбор подходящего менеджера паролей зависит от ваших потребностей и возможностей. Изучите разные варианты и посмотрите обзоры (например, те, что мы приводим в конце статьи).
Используя менеджер паролей, важно помнить, что:
- Использовать менеджер паролей — это как складывать все яйца в одну корзину.
- Менеджер паролей является очевидной целью для злоумышленников.
Вот почему у вас должен быть надежный мастер-пароль и, если это возможно, включена двухфакторная аутентификация.
В некоторых случаях нетехнологичное решение — выучить пароль наизусть или записать его на бумаге и хранить в безопасном месте — может быть наиболее надежным. Например, для хранения паролей от самых важных сервисов и пароля от связки ключей такое решение подойдет лучше всего. Оптимальная же стратегия зависит от вашей юрисдикции и модели угроз.
Эти пароли должны быть особенно надежны, и их лучше выучить наизусть:
- пароли от ваших устройств
- пароли шифрования (например, если вы зашифровали жесткий диск)
- мастер-пароль или «парольная фраза» от менеджера паролей
- пароли от электронной почты
У меня устройство Apple и я использую связку ключей iCloud, это ок?
Это лучше, чем ничего. По сути связка ключей (iCloud Keychain) — это встроенный менеджер паролей. Связка ключей iCloud достаточно защищена от внешних атак и использует шифрование для обеспечения безопасности данных, а Apple открыто рассказывает, как и в каких случаях шифрует ваши данные (хотя сам код не является открытым исходным кодом).
При этом у нее есть ряд недостатков (по сравнению с другими менеджерами паролей):
- нет возможности делиться паролями
- не работает на устройствах, выпущенных не Apple
- закрытый исходный код
Почему это недостаток?
Закрытый исходный код означает, что независимые исследователи не могут проверить, как тот или иной сервис работает. В данном случае, если в iCloud Keychain есть ошибки или проблемы с безопасностью, вы рассчитываете на то, что Apple и только Apple их найдет и исправит. Менеджер паролей с открытым исходным кодом (Open Source) может быть проверен независимыми экспертами, и это вызывает больше доверия. Здесь разработчики руководствуются законом Линуса:
«При достаточном количестве глаз ошибки выплывают на поверхность» (ориг. «Given enough eyeballs, all bugs are shallow»).
- пароли защищены тем же мастер-паролем, что и само устройство (PIN или биометрия)
Создание надежного пароля методом игральной кости
Одна из проблем, которая возникает при создании пароля человеком, заключается в том, что люди часто не сильны в действительно непредсказуемом и случайном выборе.
Эффективным способом создания надежного и легко запоминающегося пароля является выбор слов из списка (wordlist) с помощью игральной кости. Случайно выбранные слова сформируют вашу «парольную фразу». Хоть слова и не связаны, их проще запомнить, чем бессвязный набор символов. Для парольной фразы от менеджера паролей или шифрования диска рекомендуется использовать минимум 6 слов: такой длинный и непредсказуемый пароль сложнее подобрать.
Некоторые менеджеры паролей сами позволяют создать надежные парольные фразы. Если вы хотите попробовать похожий метод, чтобы понять, как устроен процесс, вы можете воспользоваться одним из стандартных списков слов от Electronic Frontier Foundation (EFF) или списком слов, вдохновленным каким-либо фэндомом.
Рассказываем и показываем, как это работает.
Вам понадобится:
- Wordlist (для примера мы используем вдохновленный Гарри Поттером список от EFF из ссылки выше).
- Нужное количество кубиков с указанным количеством граней (в случае Wordlist из примера это три 20-гранных кубика или d20).
Приступаем:
- С физическими кубиками, конечно интереснее, но мы воспользуемся электронными с сайта https://rolladie.net/ Выбираем 3 кубика и 20 граней.
- Нажимаем Start и затем Stop. В нашем случае получились числа: 12-13-20. Находим их в нашем Wordlist:
- Отлично, первое слово парольной фразы у нас есть. Проделываем эту процедуру еще 5 раз, чтобы получить шесть слов.
- В нашем случае получилось: bathilda-owls-portkey-gotten-rocks-werewolf
Отличная парольная фраза, которую не так сложно запомнить, но и непросто подобрать.
Регулярно меняйте пароли
Даже самый надежный пароль может быть без вашего ведома скомпрометирован. Если вы регулярно пользуетесь сервисом с разных устройств, то постарайтесь менять пароль раз в квартал, раз в полгода или год. Это полезная привычка, которая приучает заниматься вопросами цифровой безопасности на регулярной основе.
Пара слов о «секретных вопросах»
Иногда сервисы предлагают вам выбрать «секретный вопрос», который может быть использован для восстановления доступа к тому или иному сервису.
Использование честных ответов на этот вопрос создает потенциальную уязвимость для ваших аккаунтов. Можете ли вы быть уверены, что кличку вашей кошки вы не публиковали под ее милой фотографией в соцсетях, что на сайте оценки фильмов нет указания на ваш любимый фильм или что в профиле вашей мамы ВКонтакте не указана ее девичья фамилия?
В большинстве случаев ответы на такие вопросы злоумышленник может найти в открытом доступе и таким образом обойти вашу парольную защиту.
Лучше вовсе не использовать такой способ восстановления доступа.
Либо в качестве ответа использовать что-то придуманное или парольные фразы, которые никто кроме вас знать не может. А еще лучше вместо ответа использовать надежный сгенерированный пароль, который вы будете хранить на бумажном носителе или в заметках в менеджере паролей.
Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены своих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов.
Смотрите также
