Почему нельзя использовать qwerty123 на всех сайтах и как создавать и запоминать надёжные пароли, рассказывает Алексей Савченко, начальник отдела корпоративных сетей «СОЦИУМ-ТЕЛЕКОМ».
Алексей Савченко, начальник отдела корпоративных сетей компании «СОЦИУМ-ТЕЛЕКОМ»
Почему нужны уникальные пароли для каждого сайта?
Вопрос о необходимости уникальных паролей для каждого сайта сводится к принципу минимизации рисков. Получив каким-либо способом данные для доступа к сайту, который пользователь считает неважным, злоумышленник может применить эту же связку логина и пароля к другим, более важным ресурсам.
Речь идёт о сайтах банков, портале госуслуг, почтовых сервисах и социальных сетях. Достаточно утечки пароля от одного мессенджера, чтобы злоумышленник начал автоматический перебор учётных записей пользователя во всех мессенджерах и социальных сетях. Таким образом, использование одинаковых паролей превращает единичную утечку в угрозу для всех аккаунтов.
Как создавать надёжные пароли?
Современные вычислительные мощности достигли такого уровня, что пароль из восьми символов подбирается за 15 секунд. Сегодня минимально надёжной считается длина в 15–16 символов – на подбор такой комбинации уйдёт около месяца, что делает атаку бессмысленной. При этом надёжный пароль включает как минимум одну заглавную букву, как минимум одну цифру, как минимум одну строчную латинскую букву, а также знак препинания или специальный символ.
Злоумышленники используют методы автоматического подбора и атаки по словарям, которые содержат десятки миллионов популярных комбинаций – от простых слов и последовательностей символов вроде qwerty до распространённых имён и кличек питомцев. Любой пароль, совпавший со словарной единицей, будет мгновенно скомпрометирован.
Встроенные генераторы паролей в браузерах выдают действительно надёжные комбинации, но запомнить случайный набор из 16 символов практически невозможно.
Поэтому целесообразно применять мнемонические техники. Один из рабочих способов – использовать в качестве префикса название сайта. Например, для Ozon взять за основу «ozon-», добавив через разделитель (тире, восклицательный знак) постоянную комбинацию, которую легко запомнить. На разных сайтах префиксы будут различаться, создавая уникальные пароли с переменной длиной и структурой. Правило формирования известно только вам.
Мнемонические правила создания надёжных паролей, которые легко запомнить
Речь идёт о постоянной комбинации, которую легко запомнить, она будет служить основным паролем, к которому можно добавлять префиксы или окончания в виде названия сайта, интернет-магазина, сервиса и т. д.
Разбейте пароль на несколько смысловых блоков – два, три или четыре. В каждом блоке используйте хорошо знакомое вам слово или цифровую комбинацию, а между ними – знаки препинания. Например, в английской раскладке: имя с заглавной буквы, например, «Marina», тире, год рождения – допустим, 2025, тире, слово «котик». Получается легко запоминающаяся конструкция, основанная на личных ассоциациях: имя, любовь к котикам, значимый год. Вместо года рождения можно использовать номер машины, квартиры или почтовый индекс.
Такая комбинация из 3–4 блоков с разделителями достигает 15–16 символов, и подобрать подобную конструкцию методом прямого перебора практически нереально, это равносильно случайному угадыванию.
Но нужно помнить о социальной инженерии. Мошенники целенаправленно собирают персональную информацию: имена ваших близких, клички питомцев, значимые даты и цифры. Эти данные затем попадают в специализированные словари для подбора паролей. Поэтому, используя в пароле личные сведения, которые легко обнаружить в открытых источниках или через личное общение, вы невольно упрощаете злоумышленникам задачу.
Где хранить множество паролей, которые невозможно удержать в голове?
Здесь вновь возникает вопрос выбора между комфортом и безопасностью.
Использовать для хранения паролей текстовые документы или приложения для заметок на смартфоне не рекомендуется. Многие пользователи по привычке хранят файлы с паролями на рабочем столе, что весьма рискованно: такие файлы не защищены шифрованием, и любой, кто получит доступ к устройству, может их открыть и ознакомиться с содержимым. И даже если файл хранится не на рабочем столе, его можно найти через раздел «Последние документы», что делает конфиденциальную информацию лёгкой добычей для злоумышленника.
В браузерах есть встроенные менеджеры паролей, когда данные автоматически подставляются при входе, удобство такого способа хранения информации очевидно. Но и их специалисты использовать не рекомендуют – разве что для сайтов, которые пользователь относит к неважным. Для ресурсов, содержащих конфиденциальные данные – портал госуслуг, онлайн-банки или платёжные системы, – разумнее будет отказаться от этой функции.
Особая осторожность нужна при оплате услуг через сайты и приложения интернет-магазинов, сервисов бронирования и услуг. Для оплаты в интернете стоит завести отдельную банковскую карту и пополнять её по мере необходимости, непосредственно перед покупкой.
Ни в коем случае не соглашайтесь на сохранение реквизитов банковской карты в браузере и не «привязывайте» карту в приложениях. Номер карты сам по себе является ценной информацией для злоумышленников, которые могут использовать его в схемах социальной инженерии.
В большинстве случаев перед оплатой на сайте запрашивается CVV-код, но некоторые сайты позволяют оплачивать покупки без двухэтапной проверки. В приложениях списание денежных средств с привязанных карт чаще всего происходит автоматически, без дополнительного подтверждения. Чтобы избежать неприятных сюрпризов и ошибочных списаний, лучше отказаться от хранения данных карты в системе.
Для управления десятками паролей от различных сайтов существуют специализированные программы. Одной из наиболее надёжных считается менеджер паролей KeePass – бесплатное приложение, которое использует мастер-пароль для доступа к зашифрованной базе данных. Программа используется в профессиональной среде, включая банковский сектор, и имеет версии для мобильных устройств.
Зашифрованная база данных хранится на локальном устройстве, пользователь может внести в базу свои пароли или сгенерировать в программе новые сложные комбинации. Версии программы, установленной на разных устройствах, не синхронизируются автоматически. Это дополнительная мера безопасности: синхронизация обычно требует использования облачных сервисов, а любая информация в облаке потенциально уязвима.