Пароли – это первый этап кибербезопасности. С ними мы сталкиваемся как в повседневной жизни, так и по нуждам нашего движения. Но, как показывает практика, некоторые абсолютно не представляют, как правильно создать пароль, где его хранить и как его обслуживать.
В этой статье я дам выжимку из различных источников о паролях.
Как создать пароль?
- Первое, разумеется, это длина пароля. Длина вашего надежного пароля должна начинаться от 12 символов.
- Качество символов. Если весь ваш пароль будет из цифр, то не спасёт от перебора и длина 18+ символов. Нужно использовать всё, и буквы (верхний и нижний регистр), и цифры, и символы.
- Пароль не должен содержать имен, дат и подобную информацию, которую злоумышленник может взять из ваших аккаунтов в социальных сетях.
- Дополнительно к этому некоторые советы от лаборатории Касперского:
— избегайте простых последовательностей («12345», «qwerty») – такие пароли подбираются за считаные секунды. По той же причине избегайте распространенных слов («password1»);
— избегайте очевидных подстановок символов. Например, ноль вместо буквы «О». Современные хакерские программы учитывают подобные замены;
— используйте правило, которое трудно угадать компьютеру. Например, пароль из трех 4-буквенных слов, в которых первые две буквы заменяются цифрами и символами. Выглядит это так: «?4ей#2ка?6цо» вместо «улейрукалицо»;
— используйте необычные сочетания слов. Кодовые фразы надежнее, если слова в них идут в неожиданном порядке. Даже если вы используете обычные слова, берите такие, которые не связаны друг с другом по смыслу, и расставляйте их нелогичным образом. Это поможет противостоять словарному подбору.
В заключение этого подраздела приведу таблицу надежности паролей для понимания ситуации:
Сколько должно быть паролей?
Паролей в идеале должно быть столько, сколько у вас аккаунтов. Крайне нежелательно делать универсальный пароль на несколько аккаунтов. В случае компрометации одного аккаунта (возможно даже не по вашей вине) злоумышленники могут проверить и остальные ваши аккаунты: «а не подойдет ли тот пароль еще куда-нибудь?».
Исключение можно сделать только для «мусорных» аккаунтов. Например, группы каких-то рекламных аккаунтов.
Хранение паролей.
Первое и самое важное, что в этой главе нужно уяснить – нельзя хранить пароли в вашем браузере. Современные браузеры (если их не настроить) обычно любезно предлагают сохранить логин-пароль от сайта после того, как вы его ввели в первый раз. Информация эта будет храниться в зашифрованном виде в соответствующей папке вашего аккаунта на устройстве. Но если злоумышленник скачает эти файлы и подставит в свой браузер, то он получит доступ к вашим паролям. Так какие варианты?
Блокнотик с паролями.
Из плюсов такого решения – хакер не взломает ваш блокнотик, так как бумага не может подключаться к интернету.
Может встать вопрос хранения самой бумаги. Как вариант — хранить в таком виде не пароль, а подсказки к его припоминанию.
Ваша голова.
Если вы не боитесь забыть пароль, то конечно лучшее хранилище — ваша голова. Однако, если пароль используется не часто, рекомендуется взять в привычку повторять его по некоему графику, что бы не терялся из памяти.
Менеджер паролей.
Современное решение для хранения паролей. Менеджер паролей – это программа, которая позволяет хранить вашу базу паролей в зашифрованном файле. Разумеется, в нашем случае менеджер паролей должен быть open source проект. И для наших целей лучше использовать локальный, а не облачный менеджер.
Одним из лучших приложений является KeepassXC
База данных шифруется по умолчанию по стандарту AES 256, но можно выбрать и другие варианты. Функция автоввода позволяет быстро заполнять поля в формах на сайте в 2 клика, а можно скачать одноименный плагин для браузера и автоввод станет еще удобнее. Таймер зачистки кэша очистит вашу память от пароля в установленное время.
Вот такие варианты есть для хранения паролей. Однако стоит заметить, что в случае, если на устройство попадёт вирус троян, то ваши пароли будут скомпрометированы вне зависимости от условий хранения. Поэтому будьте бдительны!
Обслуживание.
Пароли нужно менять со временем. Как уже упоминал ранее, бывают случаи, когда компрометация вашего пароля происходит не по вашей вине. Ну, например, хакеры взломали сайт, на котором вы зарегистрированы. В целом общепринятый стандарт времени жизни пароля сегодня — полгода.
Заключение.
Сегодня многие из нас ужасаются беспечности пролетариев, которые не хотят соблюдать технику безопасности. Говорят: “неразумные”, “как так можно?”. Тем не менее, сами в этом вопросе ничуть не лучше. Определенно, сегодня кибербезопасность – это часть нашей техники безопасности. И, как на производстве, она поначалу вызывает неудобство и отторжение…
Привыкайте… Соблюдайте “технику безопасности”!