Обновлено 18.09.2024
Использование одного пароля на нескольких (или всех) ресурсах создает высокие угрозы для вашей цифровой безопасности.
Создавая пароль, вы доверяете его хранение сервису и не можете контролировать надежность этого хранения. Если произойдет утечка данных или злоумышленник иным способом получит пароль, который вы используете для нескольких учетных записей, он, вероятно, получит доступ ко всем вашим аккаунтам с этим паролем. Более того, если злоумышленник завладеет вашим почтовым адресом, к которому привязаны другие сервисы, то и эти сервисы окажутся под угрозой.
Риски действительно высоки. Чтобы защитить свои персональные данные от посторонних, следует отказаться от простых паролей вроде 123456 (и даже qwerty12345). Вместо этого необходимо использовать надежные и уникальные пароли, а также применять дополнительные меры защиты ваших учетных записей.
Как запомнить все эти уникальные длинные пароли?
К счастью, вы можете использовать разные сложные пароли на разных сайтах, не запоминая их. Для этого существует менеджер паролей — специальная программа, позволяющая создавать и хранить уникальные пароли.
Доступ к данным в менеджере осуществляется только по мастер-паролю. Это один из немногих паролей, которые вам действительно нужно запомнить (или записать). Если его забыть, доступ к данным может быть утерян. Большинство менеджеров паролей предлагают скачать список одноразовых кодов восстановления, который следует хранить в безопасном месте.
Условно менеджеры паролей можно разделить на три вида:
Встроенные в браузеры
Они есть в большинстве современных браузеров и включены по умолчанию. Из-за их низкой безопасности специалисты не рекомендуют использовать встроенные менеджеры и в принципе не рекомендуют давать браузерам запоминать ваши данные для входа.
Выбор подходящего менеджера паролей зависит от ваших индивидуальных потребностей и технических возможностей. Рекомендуем тщательно изучить различные варианты и ознакомиться с обзорами (включая те, что мы приводим в конце статьи), прежде чем принять решение.
Используя менеджер паролей, важно помнить, что:
- Использовать менеджер паролей — это как складывать все яйца в одну корзину;
- Менеджер паролей является очевидной целью для злоумышленников.
Вот почему у вас должен быть надежный мастер-пароль и, если это возможно, включена Двухфакторная аутентификация.
В некоторых случаях нетехнологичное решение — заучивание пароля наизусть или запись его на бумаге с хранением в надежном месте — может оказаться наиболее безопасным. Это особенно актуально для паролей от критически важных сервисов и мастер-пароля от связки ключей. Однако оптимальная стратегия зависит от вашей конкретной ситуации и модели угроз.
Эти пароли должны быть особенно надежны, и их лучше выучить наизусть:
- пароли от ваших устройств
- пароли шифрования (например, если вы зашифровали жесткий диск)
- мастер-пароль или «парольная фраза» от менеджера паролей
- пароли от электронной почты
У меня устройство Apple и я использую связку ключей iCloud, это ок?
Это лучше, чем ничего. По сути связка ключей (iCloud Keychain) — это встроенный менеджер паролей. Связка ключей iCloud достаточно защищена от внешних атак и использует шифрование для обеспечения безопасности данных, а Apple открыто рассказывает, как и в каких случаях шифрует ваши данные (хотя сам код не является открытым исходным кодом).
При этом у нее есть ряд недостатков (по сравнению с другими менеджерами паролей):
- не работает на устройствах, выпущенных не Apple
- закрытый исходный код
Почему это недостаток?
Закрытый исходный код означает, что независимые исследователи не могут проверить, как тот или иной сервис работает. В данном случае, если в iCloud Keychain есть ошибки или проблемы с безопасностью, вы рассчитываете на то, что Apple и только Apple их найдет и исправит. Менеджер паролей с открытым исходным кодом (Open Source) может быть проверен независимыми экспертами, и это вызывает больше доверия. Здесь разработчики руководствуются законом Линуса:
«При достаточном количестве глаз ошибки выплывают на поверхность» (ориг. «Given enough eyeballs, all bugs are shallow»).
- пароли защищены тем же мастер-паролем, что и само устройство (PIN или биометрия)
Создание надежного пароля методом игральной кости
Одна из проблем при создании пароля человеком заключается в том, что люди часто не способны к действительно непредсказуемому и случайному выбору.
Эффективный способ создания надежного и легко запоминающегося пароля — выбор слов из списка (wordlist) с помощью игральной кости. Случайно выбранные слова формируют вашу «парольную фразу». Хотя слова и не связаны между собой, их проще запомнить, чем бессвязный набор символов. Для парольной фразы менеджера паролей или шифрования диска рекомендуется использовать минимум 6 слов: такой длинный и непредсказуемый пароль сложнее подобрать.
Многие менеджеры паролей предлагают встроенные инструменты для создания надежных парольных фраз. Если вы хотите самостоятельно опробовать подобный метод и разобраться в его механике, воспользуйтесь одним из стандартных списков слов от Electronic Frontier Foundation (EFF) или выберите тематический список слов, вдохновленный вашим любимым фэндомом.
Рассказываем и показываем, как это работает.
Вам понадобится:
- Wordlist (для примера мы используем вдохновленный Гарри Поттером список от EFF из ссылки выше).
- Нужное количество кубиков с указанным количеством граней (в случае Wordlist из примера это три 20-гранных кубика или d20).
Приступаем:
- С физическими кубиками, конечно интереснее, но мы воспользуемся электронными с сайта https://rolladie.net/ Выбираем 3 кубика и 20 граней.
- Нажимаем Start и затем Stop. В нашем случае получились числа: 12-13-20. Находим их в нашем Wordlist:
- Отлично, первое слово парольной фразы у нас есть. Проделываем эту процедуру еще 5 раз, чтобы получить шесть слов.
- В нашем случае получилось: bathilda-owls-portkey-gotten-rocks-werewolf
Отличная парольная фраза, которую не так сложно запомнить, но и непросто подобрать.
Регулярно меняйте пароли
Даже самый надежный пароль может быть без вашего ведома скомпрометирован. Если вы регулярно пользуетесь сервисом с разных устройств, то постарайтесь менять пароль раз в квартал, раз в полгода или год. Это полезная привычка, которая приучает заниматься вопросами цифровой безопасности на регулярной основе.
Пара слов о «секретных вопросах»
Иногда сервисы предлагают вам выбрать «секретный вопрос», который может быть использован для восстановления доступа к тому или иному сервису.
Использование честных ответов на этот вопрос создает потенциальную уязвимость для ваших аккаунтов. Можете ли вы быть уверены, что кличку вашей кошки вы не публиковали под ее милой фотографией в соцсетях, что на сайте оценки фильмов нет указания на ваш любимый фильм или что в профиле вашей мамы ВКонтакте не указана ее девичья фамилия?
В большинстве случаев ответы на такие вопросы злоумышленник может найти в открытом доступе и таким образом обойти вашу парольную защиту.
Лучше вовсе не использовать такой способ восстановления доступа.
Либо в качестве ответа использовать что-то придуманное или парольные фразы, которые никто кроме вас знать не может. А еще лучше вместо ответа использовать надежный сгенерированный пароль, который вы будете хранить на бумажном носителе или в заметках в менеджере паролей.
Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены своих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов.
Смотрите также
