Как узнать, соответствует пароль требованиям безопасности или нет? Руководитель сектора по безопасности приложений и инфраструктуры НПЦ «Кейсистемс – Безопасность» Анна Абрамова расскажет об основных принципах создания надёжных паролей. Советы эксперта помогут вам проверить свои пароли на надёжность, защитить учётные записи от несанкционированного доступа и сохранить личные и финансовые данные в безопасности.
− Добрый день, Анна! Скажи, пожалуйста, почему пароль должен быть надёжным?
− Несмотря на то, что цифровизация уже давно очень плотно вошла в нашу жизнь, сталкиваюсь с мнением, что пароль – это формальность, к которой можно относиться несерьёзно. Но не стоит забывать, для чего в первую очередь он нужен.
Все мы храним какие-то данные, которые требуют защиты: документы на рабочем компьютере, фотографии и переписки в социальных сетях, финансовую информацию в приложениях банка. Зачастую от внешнего мира их отделяет окно ввода логина и пароля. И если он будет слабым, его подберут злоумышленники, что может привести к разглашению коммерческой тайны или краже денег со счетов.
Качественный сильный пароль и соблюдение правил его создания и хранения помогут от таких атак, как перебор по словарю, брутфорс − атака перебором по всем сочетаниям символов, а в случае утечек данных даже поможет ослабить их эффект.
− Какие ошибки обычно совершают пользователи при создании и хранении паролей?
− Самая распространённая ошибка − это делать пароль простым. До сих пор среди самых популярных паролей фигурируют сочетания 123456, 1q2w3e, Aa123456 и так далее. Несмотря на то, что многие системы уже не дают создавать такие пароли и принуждают пользователей соблюдать определённые правила, это не всегда защищает от слабых паролей, к числу которых относятся и основанные на публичной информации: именах и датах рождения.
Ещё одна часто встречающаяся ошибка − использовать один и тот же пароль для разных систем. Вы не знаете, как хранят пароли владельцы этих ресурсов: они могут их плохо шифровать или вовсе хранить в открытом виде. Тогда при утечке злоумышленники получат к ним доступ. А дальше осуществляются попытки зайти с уже известными логином, почтой и паролем в другие системы.
Стоит упомянуть и про пароли, записанные на листочек, в текстовый файл или мессенджеры. Каждый из этих способов имеет свои риски:
− листочки под клавиатурой доступны всем посетителям кабинета и их легко потерять;
− текстовые файлы на компьютере доступны другим пользователям компьютера, вредоносным программам и злоумышленникам в случае взлома;
− мессенджеры и онлайн-заметки могут утечь в случае взлома, а пароли, записанные в них, могут попасть в руки нечестным администраторам этих систем или по ошибке быть пересланы не тем получателям. Даже в случае удаления они могут оставаться в истории переписки и базах данных на серверах.
И, конечно же, никому не надо передавать свои пароли.
− Анна, а какие советы по созданию надёжных паролей дашь нашим читателям?
Во-первых, соблюдайте базовые правила по используемым символам в пароле: большие и маленькие буквы, цифры и спецсимволы. Чем больше используемый словарь символов, тем сложнее подобрать такой пароль.
Во-вторых, обратите внимание на длину пароля: не стоит создавать пароли короче 10-12 символов. Чем длиннее, тем надёжнее он получится.
В-третьих, не используйте «очевидные» сочетания. Например, пароль не должен содержать последовательности или повторения символов на клавиатуре, логин/почту, имя системы, к которой вы этот пароль создаёте, публичные данные (например, Ф. И. О. свои или родственников, девичьи фамилии, клички питомцев, памятные даты и локации и так далее).
В-четвертых, не повторяйтесь. Не стоит использовать старые пароли или пароли, отличающиеся только на несколько символов от предыдущих. И тем более надо навсегда забыть про пароли, которые уже были скомпрометированы ранее.
Кстати, эти правила хорошо подходят и для кодовых фраз, используемых для восстановления паролей. Можно создать стойкий пароль, но какой от этого толк, если ответом на кодовую фразу является, например, номер вашего автомобиля, который легко узнать.
− Получается, стоит создавать уникальный пароль для каждого аккаунта? Это же достаточно сложно.
− Да, для каждого аккаунта пароли должны быть действительно уникальными. Можно придумать какое-то правило, которое будете понимать только вы, но оно обязательно должно быть личным. Никакие способы наподобие «использовать один пароль, но добавлять к нему название сайта/дату/кодовое слово и так далее» не являются безопасными. В случае утечки злоумышленники смогут на основе такого пароля подобрать пароль к другим системам, просто подставив к основе пароля, согласно вашей же логике, другие данные или перебрав оставшиеся несколько символов.
− Расскажи, пожалуйста, о методах создания безопасных паролей?
На данный момент существуют два распространённых надёжных способа создания сложных паролей.
Первый − генерация пароля из случайных символов. В таких паролях содержатся выбранные случайным образом символы указанных обязательных типов и заданной вами длины. Главный плюс − такой пароль можно подобрать только брутфорсом, а при достаточной его длине это может занять столько времени, сколько ни один сервис не просуществует. Но не надо для этого использовать онлайн-сервисы или недоверенные программы, которые могут не только сгенерировать пароль, используя слабые алгоритмы, но и передать его злоумышленникам.
Второй − использование парольных фраз. Удобно для запоминания и сложно перебрать. Парольная фраза основывается на сочетании нескольких слов и применении к ним различных правил. Например, сложный на вид пароль So6Od*Zl0Ur@ представляет фразу «собака одолела злой ураган», где из каждого слова взяты 3 первые буквы (соб одо зло ура), написаны транслитом (sob odo zlo ura), первые буквы каждого слова большие (Sob Odo Zlo Ura), а третьи – заменены на «похожие» внешне то цифру (So6 и Zl0), то спецсимвол (Od* и Ur@).
− А есть какие-нибудь инструменты для хранения паролей?
Главный инструмент для хранения паролей − наш мозг. Если пароль основан на понятной вам фразе, то запомнить его будет несложно.
Но когда паролей слишком много или они сгенерированы из случайных символов, можно воспользоваться специальными программами − менеджерами паролей, в которых данные хранятся в зашифрованном виде. К слову, в них уже есть свои надёжные генераторы паролей, которыми удобно пользоваться. При этом стоит учитывать, что доступ к локальным менеджерам паролей возможен только из одного места. Более удобные же в использовании облачные менеджеры паролей хранят данные у себя на серверах, поэтому могут стать жертвами взлома и утечки. Чтобы минимизировать риски, обращайтесь к надёжному провайдеру услуги.
При выборе менеджера паролей всегда смотрите на репутацию сервиса, так как можно нарваться на вредоносные программы, которые передадут ваши пароли злоумышленнику, или сама программа будет иметь незакрытые уязвимости, которые могут быть использованы для обхода защиты этого менеджера.
− По-твоему, как часто нужно менять пароли?
На этот вопрос существует много споров, но в одном единогласны все: необходимо менять пароли от систем, безопасность которых была нарушена, и в случае, когда существует риск компрометации доступа к аккаунту. Если вы услышали, что какой-то сервис взломали или его данные утекли, если вы заметили подозрительную активность в своём аккаунте, если кто-то ещё знает ваш пароль, − менять пароль надо обязательно.
Что касается периодической смены, то тут надо опираться в первую очередь на важность информации в самих системах. В зависимости от потенциальных последствий взлома аккаунта менять пароли рекомендуется не реже нескольких раз в год, в среднем – раз в 3 месяца. Также стоит соблюдать требования самих информационных систем и сервисов по смене пароля.
− Спасибо, твои советы помогли мне и, надеюсь, читателям пристальнее взглянуть на свои пароли. Но интересно узнать, надёжный пароль убережёт аккаунты от злоумышленников?
− Надёжный пароль − это очень хорошо, но этого недостаточно. Если система позволяет использовать двухфакторную аутентификацию, то её стоит активировать. Это очень полезная дополнительная проверка безопасности, которая помешает злоумышленнику получить доступ к вашим данным, даже если он каким-то способом получит ваш пароль.
− Благодарю за информацию! До новых встреч!
Беседовала Людмила Егорова
