Урок 3. Создание и управление надежными паролями
На прошлом уроке мы с вами разобрались, что такое киберугрозы, каковы основные виды киберугроз и как защититься от киберугроз. И узнали, что надежный пароль может защитить от многих проблем. В частности, от несанкционированного доступа к вашим данным.
Сегодня мы будем разбираться, как создать пароль, который тяжело взломать, осваивать управление паролями, и, как и обещали на прошлом уроке, узнаем, что такое менеджер паролей и как с ним работать.
Уточним, что мы будем обсуждать как технические возможности генерации паролей, так и мнемонические правила, позволяющие придумать и запомнить пароль, который будет понятен только вам и который практически невозможно угадать или подобрать. Лучшие мнемотехники можно освоить на нашей одноименной программе «Мнемотехники».
Содержание:
- Важность надежных паролей
- Методы создания надежных паролей
- Управление паролями: использование менеджеров паролей
- Проверочный тест
Нам поможет книга «Eben anders менеджер паролей: Книга для вашего логина и паролей» [J. Winddecker, M. Fima, 2021]. И очень короткая, но очень интересная заметка «Как хранить пароли, если ты параноик» [Хабр, 2021].
Важность надежных паролей
Итак, что такое надежный пароль и какой пароль надежный? Это такой пароль, который сложно угадать или взломать с помощью методов перебора (brute-force) или других атак. Почему надежный пароль – это так важно?
Надежные пароли играют ключевую роль в обеспечении безопасности личной и корпоративной информации. Пароли защищают аккаунты, данные и ресурсы от несанкционированного доступа злоумышленников.
Казалось бы, все самоочевидно, однако многие по-прежнему отдают предпочтение паролям наподобие 12345678 просто потому, что их легче запомнить. Поэтому давайте еще раз проясним, почему так важен надежный пароль.
Зачем нужен надежный пароль:
- Защита личных данных – надежные пароли предотвращают доступ к вашей личной информации, такой как электронная почта, социальные сети и банковские счета.
- Защита от кражи идентификационной информации – например, такой как номера кредитных карт, адреса и номера телефонов.
- Предотвращение несанкционированного доступа – надежные пароли затрудняют злоумышленникам возможность взлома аккаунтов и усложняют организацию автоматизированных атак, таких как атаки грубой силы (brute force attacks) и атаки словарем (dictionary attacks).
- Обеспечение корпоративной безопасности – в корпоративной среде надежные пароли защищают конфиденциальную информацию компании, включая данные клиентов, финансовую информацию и интеллектуальную собственность, и снижают риск кибератак, которые могут привести к серьезным финансовым и репутационным потерям.
- Снижение риска повторного использования паролей – использование уникальных паролей для разных сервисов предотвращает ситуацию, когда взлом одного аккаунта приводит к компрометации других аккаунтов. Это своего рода защита от массовых взломов при утечке данных одного из сервисов.
Уточним встретившиеся нам понятия:
| Атака грубой силы – это когда злоумышленник систематически пробует все возможные комбинации символов, пока не найдет правильные учетные данные, которые дадут ему доступ к целевой системе или учетной записи. |
| Атака словарем, она же атака перебором по словарю – это когда злоумышленники используют список слов, который содержит часто используемые слова и фразы для паролей. Затем они используют программу взлома паролей для ввода комбинаций слов в различные учетные записи пользователей в попытке взломать пароли. |
Как выглядят наиболее надежные пароли? Давайте рассмотрим основные характеристики надежного пароля.
Оптимальная длина пароля – надежные пароли должны быть длинными:
- Минимальная длина надежного пароля составляет 8 символов.
- Если позволяет система, рекомендуется использовать пароли длиной 12-16 символов.
Сложность пароля – пароль должен включать комбинацию различных типов символов:
- Верхний регистр (например, A, B, C).
- Нижний регистр (например, a, b, c).
- Цифры (например, 0, 1, 2).
- Специальные символы, разрешенные сервисом (например, !, @, #, $).
Неочевидность – пароль не должен содержать легко угадываемую информацию:
- Не используйте в пароле свое имя, дату рождения, известное всем прозвище или никнейм с форума, где вы суперпопулярны.
- Избегайте использования последовательностей символов или простых комбинаций, например, 123456, password или qwerty (верхняя строчка на клавиатуре латиницей слева направо).
- Придумайте для пароля фразу, понятную только вам.
Уникальность – каждый пароль должен быть уникальным:
- Создавайте свой пароль для каждой учетной записи.
- Не используйте один и тот же пароль для разных сайтов и сервисов.
В качестве примеров надежных паролей часто приводят какую-нибудь абракадабру наподобие R$9fY!2kLq8*D. Запомнить это нереально, поэтому такое обычно хранится в менеджере паролей, который по умолчанию доступен всем пользователям основных браузеров.
Конечно, как мы знаем из прошлого урока, существует вредоносное шпионское программное обеспечение, которое сканирует все действия пользователя и крадет логи.
Но тут злоумышленнику нужно очень сильно заморачиваться, потому что установить такую программу на чужое устройство не так-то просто. Что еще можно посоветовать для надежности пароля? Давайте посмотрим!
Практические советы по созданию паролей и управлению паролями:
1 | Использование менеджеров паролей – менеджеры паролей позволяют генерировать сложные случайные пароли, а затем хранить пароли и управлять паролями. Наиболее популярные менеджеры паролей – это LastPass, 1Password, Dashlane, Bitwarden. |
2 | Регулярное обновление паролей – рекомендуется регулярно менять пароли, особенно после утечки данных или подозрительных активностей. И просто по истечении какого-то времени, если вы очень часто пользуетесь аккаунтом и тем более, если там есть конфиденциальная информация. |
3 | Проверка на утечки – используйте сервисы для проверки утечек данных для мониторинга компрометации своих учетных данных. Например, онлайн-сервис Have I Been Pwned, где нужно просто ввести адрес электронной почты. Если с ним есть проблемы, велика вероятность, что есть проблемы и с защитой аккаунтов, привязанных к этому электронному адресу. |
4 | Избегание повторного использования паролей – повторимся, что каждый аккаунт должен иметь уникальный пароль. Не используйте один и тот же пароль для разных сайтов и сервисов. |
Надежные пароли являются фундаментальной частью обеспечения безопасности в цифровом мире. Они защищают личные и корпоративные данные от несанкционированного доступа и кибератак. Создание, использование и управление надежными паролями должны быть приоритетными задачами для всех пользователей Интернета.
Методы создания надежных паролей
Создание надежных паролей – это важная мера для защиты личных и корпоративных данных от несанкционированного доступа. Мы уже фактически начали рассматривать методы создания паролей, так что теперь продолжим.
Как создать надежный пароль:
- Использование менеджеров паролей.
- Создание паролей на основе фраз.
- Использование случайных символов.
- Использование замены символов.
- Адаптация и комбинирование методов.
- Использование приложений и веб-сервисов для генерации паролей.
Теперь о каждом методе расскажем подробнее.
Использование менеджеров паролей
Менеджеры паролей – это программы, которые позволяют генерировать и сохранять пароли и управлять паролями. Они могут создавать случайные и сложные пароли для каждого аккаунта, запоминать и сохранять их. Эти опции есть у всех менеджеров паролей, в том числе у ранее перечисленных нами LastPass, 1Password, Dashlane, Bitwarden.
Менеджеры паролей хранят пароли в зашифрованном виде и предлагают автозаполнение паролей на веб-сайтах. Это отличная защита от фишинга – вы точно не зайдете случайно на фишинговый сайт, похожий на настоящий, потому что вам не предложат автозаполнение. Если вам всегда предлагают автозаполнение, то отсутствие такой подсказки должно насторожить и заставить проверить данные еще раз.
Из недостатков только то, что нужно внимательно следить за своим компьютером или телефоном, не оставляя без присмотра и не допуская, чтобы им пользовались посторонние, которые могут просто воспользоваться автозаполнением и попасть во все ваши аккаунты.
Создание паролей на основе фраз
Метод создания паролей на основе фраз – это способ генерирования сложных паролей, которые легко запомнить. Суть метода заключается в выборе случайных слов и соединении их специальными символами, цифрами и разным регистром.
Посмотрим, как это работает. Допустим, вы выбираете четыре случайных слова: «корова», «небо», «телефон», «шоколад». А теперь соедините их специальными символами и цифрами: Корова!Небо$Телефон2Шоколад. Согласитесь, угадать такое почти невозможно. Особенно, если записать латиницей.
Мы сразу получаем длинный пароль, что автоматически повышает его надежность. К тому же фразу, имеющую для вас смысл, зачастую запомнить проще, чем обычное сочетание букв и цифр. А если вы представите корову, улетевшую в небо, чтобы позвонить по телефону и съесть шоколадку, вы такое точно не забудете никогда.
Использование случайных символов
Метод случайных символов подразумевает создание паролей путем генерации случайного набора символов, включая буквы верхнего и нижнего регистра, цифры и специальные символы. Сделать это можно как с помощью менеджера паролей, так и самим, разрешив пробежаться по клавиатуре домашнему коту или просто нажимая все клавиши подряд.
Пароли вида R$9fY!2kLq8*D обладают высокой степенью безопасности и представляют трудность для злоумышленников при использовании методов взлома, таких как атаки грубой силы. Кроме того, как мы уже говорили ранее, их можно дополнить чем-то попроще, и не хранить в облаке или на устройстве в целом виде.
Использование замены символов
Метод замены символов – это техника, при которой буквы в словах заменяются цифрами или специальными символами. Например, латинская s – на значок доллара $, буква «о» – на ноль (0) и т.д. Тогда даже самый простой пароль угадать будет не так-то просто, потому что обычно дается всего три попытки, за которые не каждый догадается заменить определенные символы и написать Pa$$w0rd123 вместо password123.
Если фантазия позволяет мыслить хоть чуточку шире, чем вариации на тему password123, есть шанс сгенерировать по-настоящему уникальный пароль. Ограничение только одно: не все сервисы разрешают использовать все многообразие символов в паролях и названиях.
Адаптация и комбинирование методов
Комбинирование различных методов – это способ повышения безопасности паролей путем использования нескольких техник одновременно. Например, можно комбинировать метод создания паролей на основе фраз и метод замены символов.
Используйте фразу из случайных слов, заменяя некоторые буквы цифрами и добавляя специальные символы. Слова «небо», «солнце» и «дом» вполне увязываются в логическую цепочку, так что запомнить нетрудно. А если их представить как N3b0$S0lntse9D0m, это будете знать только вы.
Использование приложений и веб-сервисов для генерации паролей
Программы и онлайн-сервисы для генерации паролей – это удобные инструменты для создания сложных и надежных паролей, где можно задать нужные параметры и ограничения, которые требует тот или иной сервис. Например, количество знаков, наличие специальных символов, буквы в верхнем и нижнем регистре и т.д.
По запросу «password generator онлайн» или «генератор паролей онлайн» вы найдете соответствующие сервисы, из которых выберете то, что вам больше понравится. Да, эта функция есть в любом менеджере паролей, однако если вы еще не дозрели до использования менеджера паролей, тогда онлайн-сервисы для генерации паролей могут здорово вас выручить.
Тем не менее, менеджеры паролей остаются лидерами в деле создания паролей и управления паролями.
Управление паролями: использование менеджеров паролей
Мы уже знаем, что менеджеры паролей – это программы, которые позволяют генерировать и сохранять пароли и управлять паролями. Менеджеры паролей хранят ваши пароли в зашифрованной базе данных. Они могут автоматически заполнять пароли на веб-сайтах и в приложениях, генерировать сложные пароли и синхронизировать данные между различными устройствами.
Преимущества использования менеджеров паролей:
- Создание сложных паролей – менеджеры паролей автоматически генерируют длинные, случайные и сложные пароли, которые трудно взломать. Эти пароли могут включать комбинации букв (верхний и нижний регистр), цифр и специальных символов.
- Удобство использования – вам нужно запомнить только один главный пароль (master password) для доступа к менеджеру паролей, что значительно упрощает управление множеством паролей.
- Хранение паролей в зашифрованном виде – менеджеры паролей хранят пароли в зашифрованном виде, обеспечивая их безопасность даже в случае утечки данных. Только пользователь, обладающий мастер-паролем, может получить доступ к зашифрованным паролям.
- Автоматическое заполнение паролей – менеджеры паролей могут автоматически заполнять пароли на веб-сайтах и в приложениях, что упрощает процесс входа и минимизирует риск фишинга. Еще это помогает избежать ошибок, связанных с вводом паролей вручную.
- Синхронизация на разных устройствах – менеджеры паролей синхронизируют данные на всех ваших устройствах, обеспечивая доступ к вашим паролям, где бы вы ни находились. Это особенно полезно для пользователей, которые работают на нескольких устройствах (например, ПК, смартфоны, планшеты).
- Предупреждения о взломах – многие менеджеры паролей мониторят базы данных утечек и предупреждают пользователя, если его пароль или учетная запись были скомпрометированы. Пользователи могут немедленно изменить пароли, чтобы предотвратить несанкционированный доступ.
- Хранение другой конфиденциальной информации – некоторые менеджеры паролей могут хранить другие типы конфиденциальной информации, такие как ответы на контрольные вопросы, банковские данные, заметки, документы и другие личные данные.
Теперь чуть подробнее о популярных менеджерах паролей.
Популярные менеджеры паролей:
| LastPass – удобен в использовании, предоставляет функции автозаполнения и синхронизации. Поддерживает двухфакторную аутентификацию для дополнительной безопасности. |
| 1Password – обладает интуитивно понятным интерфейсом и широкими возможностями для организации и хранения паролей. Поддерживает семейные и командные планы для совместного использования. Предлагает функции хранения не только паролей, но и других данных (документы, заметки). |
| Dashlane – удобный интерфейс и мощные функции безопасности. Ведет мониторинг утечек данных, имеет анонимайзер для защиты онлайн-активности, в том числе в DarkNet и DarkW. |
| Bitwarden – открытый исходный код, что позволяет проводить независимые аудиты безопасности. Бесплатная версия с множеством функций и доступная платная версия для дополнительных возможностей. |
Уточним, что открытый исходный код – это децентрализованная модель разработки, которая позволяет любому человеку изменять технологию и обмениваться ею, поскольку ее структура находится в открытом доступе.
Эта информация представляет интерес больше для разработчиков, чем для обычных пользователей, однако вам следует знать значение этого понятия, потому что оно часто встречается в специальной литературе и прочих открытых источниках.
И уточним еще парочку популярных терминов: DarkNet и DarkWeb.
DarkNet – это скрытый от глаз обычного пользователя сегмент Интернета, «черный» или «теневой» Интернет, куда можно попасть только при помощи специального программного обеспечения.
Рассказывать, как туда попасть, мы не будем, потому что это небезопасно, в том числе в плане утечки персональных данных и конфиденциальной информации. Желающим разобраться в этой теме подробнее можем посоветовать статью «Что такое даркнет, как туда попасть и почему не стоит этого делать» [M. Volotsky, 2020].
Как выбрать менеджер паролей, если ранее перечисленные менеджеры паролей вас почему-либо не привлекают и вы решили искать подходящий софт самостоятельно? Можно ориентироваться на удобство пользования и простое человеческое «нравится – не нравится». И мы рекомендуем обратить внимание еще на несколько параметров.
Как выбрать менеджер паролей:
- Безопасность – выбирайте менеджер паролей, который предлагает надежное шифрование (например, AES-256) и двухфакторную аутентификацию. Обратите внимание на прозрачность и репутацию компании-разработчика.
- Удобство использования – убедитесь, что менеджер паролей имеет интуитивно понятный интерфейс и легко интегрируется с вашими устройствами и браузерами. Функции автоматического заполнения и генерации паролей должны быть удобны и надежны.
- Поддержка и синхронизация устройств – выбирайте менеджер паролей, который поддерживает синхронизацию между различными устройствами и платформами. Убедитесь, что вы можете легко получить доступ к своим паролям на всех устройствах.
- Дополнительные функции – обратите внимание на дополнительные функции, такие как мониторинг утечек данных, хранение других типов конфиденциальной информации и возможность совместного использования паролей.
Теперь давайте посмотрим, как использовать менеджер паролей.
Установка и регистрация:
- Выберите подходящий менеджер паролей и установите его на свои устройства (компьютер, смартфон, планшет).
- Зарегистрируйтесь, следуя указаниям сервиса, и создайте главный пароль (master password), который будет использоваться для доступа к менеджеру паролей.
Импорт существующих паролей:
- Импортируйте пароли из браузеров или других менеджеров паролей, если такая функция доступна.
- Вручную добавьте пароли для аккаунтов, если их нельзя импортировать.
Создание и хранение новых паролей:
- Используйте встроенный генератор паролей для создания новых сложных паролей.
- Добавляйте новые пароли в менеджер паролей, когда создаете новые учетные записи.
Автозаполнение и управление паролями:
- Включите функцию автозаполнения для удобного входа на веб-сайты и в приложения.
- Управляйте сохраненными паролями: обновляйте, удаляйте или изменяйте их по мере необходимости.
Безопасность и синхронизация:
- Включите двухфакторную аутентификацию для дополнительной защиты вашего аккаунта в менеджере паролей.
- Настройте синхронизацию между всеми вашими устройствами для доступа к паролям в любое время и в любом месте.
Итак, мы с вами изучили методы создания надежных паролей, узнали, что такое менеджер паролей и как его использовать. Далее вас ждет проверочный тест, а затем мы перейдем к новой теме – безопасности в социальных сетях и защите личных данных.
Проверьте свои знания
Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только один вариант. После выбора вами одного из вариантов система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.
Далее мы поговорим про социальные сети.