Трудно найти, легко потерять и невозможно вспомнить: как хранить пароли
Мы храним в интернете множество личных данных: телефоны, аккаунты в почтовых сервисах и социальных сетях, данные банковских счетов и платежных систем, номера паспортов, фрагменты личной переписки. Главный инструмент, который все это защищает, — пароль. Но как просто и надежно защитить сам пароль, разберемся в этом материале.
Как правильно придумывать пароли
Большинство продвинутых интернет-пользователей уже привыкли создавать пароли, которые сложно подобрать. Конечно, есть и те, кто использует дату рождения, имя домашнего питомца или комбинацию цифр от 0 до 9, но более искушенные юзеры давно знают, что это небезопасно.
Распространенным лайфхаком при выборе пароля была подстановка похожих символов. Например, цифры 0 вместо буквы O, цифры 7 вместо буквы T, записывание кириллических слов латинскими буквами с похожим начертанием. Но механизмы взлома тоже совершенствуются, и сейчас мошенники уже знакомы с подобными трюками.
Современные системы авторизации учитывают этот момент при защите аккаунтов. Рассмотрим пример. Если вы хотя бы раз регистрировались в любом из сервисов Яндекса, то вам автоматически доступен Яндекс ID. Это единый аккаунт для Яндекса, а также 11 тысяч сторонних сайтов и мобильных приложений, которые поддерживают его авторизацию. Работает она просто: при регистрации на новом сайте не нужно придумывать, а потом запоминать логин и пароль и подтверждать вход с помощью sms или e-mail. Если у вас есть аккаунт на Яндексе, достаточно нажать на кнопку «Войти с Яндекс ID». Формы для наполнения личного кабинета тоже заполнять не нужно: все данные (телефон, e-mail и так далее) подтянутся автоматически. Важно: никто не получит доступ к этим сведениям без вашего согласия.
Если вы не используете стороннюю авторизацию, учтите, что хакеры используют перебор слов по словарю, специальные программы, подставляющие разные последовательности символов (брутфорс-алгоритмы), фишинговые технологии, утечки данных, сведения пользователей из социальных сетей и открытых веб-страниц: дни рождения, имена и фамилии близких, названия любимых книг, групп, спортивных команд и чего угодно еще.
Многие личные данные давно доступны, а подсказки — стандартны, не стоит на них опираться при создании пароля
Чтобы обезопасить себя от взломов, помните, что пароли должны быть:
— длинными
Не менее 10–12 символов. Сочетание знаков такой длины не под силу брутфорс-алгоритмам.
— небанальными
Избегайте простых и предсказуемых последовательностей букв и цифр, а также распространенных слов и словосочетаний.
— сложносоставными
Используйте символы разных типов: знаки препинания, цифры, заглавные и строчные буквы. Чем менее предсказуемо, тем лучше.
— бессмысленными
Если вы используете кодовые слова и фразы, меняйте порядок слов или стройте бессмысленные словосочетания.
— редкими
Если знаете какие-то слова на редких языках, можно использовать их в паролях: подобрать слова на абазинском или инуитском сложнее, чем, например, на русском, английском или испанском.
— запоминающимися
Используйте пароли, которые сложно подобрать автоматически, но легко запомнить лично вам. В противном случае вы сами рано или поздно не попадете в свой личный кабинет.
— уникальными
Лучше создавать пароли, которые вы не использовали раньше, и придумывать разные буквосочетания для разных интернет-сервисов.
Почему никакой, даже хороший, пароль, не стоит использовать дважды? Потому что если он утечет, а в качестве логина вы используете электронную почту, ваши учетки в других сервисах и приложениях окажутся под угрозой.
Николай Потанин, системный администратор
Где и как стоит хранить пароли
Все пароли нужно хранить в надежном месте не допуская попадания солнечных лучей, но так, чтобы вам они были доступны в любой момент.
Что точно делать не надо: записывать на бумаге, хранить в заметках в телефоне, в отдельных файлах на компьютере или в обычных облачных хранилищах: к ним могут получить доступ посторонние.
Память — надежное, но неудобное хранилище
Многие привыкли держать важные пароли в браузере: если компьютер общедоступный (например, им пользуются ваши дети или коллеги), то посторонние могут спокойно выудить данные.
При входе в самые ценные аккаунты имеет смысл пользоваться двухфакторной аутентификацией с помощью биометрии, sms или электронной почты: эти данные здорово осложняют задачу злоумышленникам. Важные пароли стоит время от времени менять, хотя бы раз в несколько месяцев. Новый пароль должен существенно отличаться от старого: не только одним или двумя символами.
В Яндекс ID для большей безопасности вы также можете привязать к аккаунту номер мобильного телефона и включить двухфакторную авторизацию с помощью одноразовых паролей. Для этого установите приложение Яндекс Ключ на смартфон или планшет. Сам Яндекс подскажет, как усилить пароль для лучшей защиты.
Возможно, для аккаунтов на развлекательных форумах или фриланс-биржах, откуда приходит заказ раз в полгода, это и не так важно. Но вот основной пароль от менеджера паролей, электронной почты, социальных сетей, банковских счетов, личных кабинетов важных для вас сайтов, интернет-провайдера обновлять нужно.
Что делать, если вам кажется, что пароль украли
Тут все просто: отключите все активные сеансы во всех сервисах и срочно поменяйте пароли. Перед тем как сделать это, обязательно проверьте свои гаджеты на вирусы, затем придумайте надежную комбинацию символов в качестве пароля.
С Яндекс ID вы сами решаете, какие сведения и кому предоставить. Данные спрятаны и защищены. А при любой подозрительной активности или попадании пароля в публичный доступ (последнее может произойти при заражении компьютера вирусом или использовании одного и того же пароля для разных сервисов) Яндекс ID предложит вам пройти проверку, чтобы убедиться, что аккаунт по-прежнему находится в руках владельца. После подтверждения личности пароль от аккаунта нужно будет поменять. Этот новый пароль всего один, и работать он будет также на всех сайтах с авторизацией по Яндекс ID.
Чем сложнее пароль, тем труднее им пользоваться — если, конечно, нет Яндекс ID
Если вы используете для защиты номер телефона или дополнительный e-mail, важно, чтобы они были актуальными. Если же вы защищаете аккаунт только с помощью контрольного вопроса, важно, чтобы ответ был известен только вам, чтобы его было нелегко подобрать и чтобы он был недоступен из открытых источников. Можно использовать для этого вопрос, который придумаете сами и о котором не догадается злоумышленник. Но в любом случае защита при помощи двухфакторной аутентификации будет надежнее.