Як правильно створювати, використовувати та зберігати паролі?

Навчання

Автор: GigaCloud

24.10.2019

У 1964 році компанія IBM створила багатокористувацький комп’ютер, мейнфрейм ― обчислювальну машину, розраховану на одночасну роботу декількох користувачів. Мейнфрейм працював у режимі поділу часу, і для того, щоб користувачі могли використовувати його одночасно, створювали окремі облікові записи для кожного. Щоб увійти в обліковий запис, був потрібен пароль.

З тих пір минуло більше 50 років, а ми так і не навчилися створювати надійні паролі, правильно зберігати їх та використовувати. Дослідження, проведене Національним центром кібербезпеки Великобританії (NCSC) з’ясувало, що менше половини опитаних використовують окремий важко вгадуваний пароль для свого основного облікового запису електронної пошти. Розбираємося, як створити надійний пароль та не стати жертвою онлайн-шахрайства.

Чого варто уникати при створенні пароля?

Будь-який пароль можна зламати, і для зловмисників це всього лише питання часу. Користувач сам може як ускладнити, так і полегшити це завдання. 10% всіх існуючих паролів, хакери можуть підібрати з 4 спроб.

Які паролі використовувати не можна:

  • 123456, 123456789, qwerty, password і 1111111;
  • один пароль для всіх сервісів;
  • пароль, який містить важливі дати з життя користувача;
  • пароль, який складається з осмислених слів і відомих фраз;
  • пароль з неперевірених онлайн-генераторів.

Звичайні користувачі та навіть системні адміністратори створюють паролі за застарілим принципом:

  • пароль повинен складатися з російських слів в англійській розкладці;
  • містити формули, неіснуючі адреси електронної пошти і рими;
  • мінімальна довжина пароля ― 8-12 символів;
  • містити всі доступні символи, великі букви і транслітерацію.

Такі методи підвищують надійність пароля, але запам'ятати його складніше. В результаті користувачі будуть спрощувати пароль і це його скомпрометує. Сучасний підхід до створення надійних паролів грунтується на методі відбраковування простих паролів за словниками і базами витоків, а також на моніторингу та зміні паролів у разі компрометації.

Як створити надійний пароль?

Щоб створити пароль, який хакери не зможуть зламати або, принаймні, їм для цього буде потрібно більше чотирьох спроб, його потрібно захеширувати з додаванням «солі». Сіль ― це постійна частина паролю, яку приписують до нього і хеширують разом з ним. Але варто розуміти, що якщо використовувати одну сіль для всіх паролів, є ймовірність того, що зловмисники отримають доступ до всіх ваших даних. Тому варто мати три варіанти солей:

  • супер сіль ― для захисту робочої інформації;
  • запасна сіль ― для акаунтів соціальних мереж, інтернет-магазинів, онлайн-майданчиків для покупки квитків і т.п.
  • особиста сіль ― для захисту персональної та фінансової інформації.

На практиці «засолені» паролі виглядають так: Matros nasos kirpich rabota), Matros nasos kirpich viber), Matros nasos kirpich OSBBnashdvor).

Створити надійний пароль дуже просто. Беремо чотири випадкових, незв'язаних між собою слова, наприклад, correct horse battery staple. Користувачеві такий пароль легко запам'ятати, але складність його підбору висока. Чим довший пароль, тим краще.

Як правильно зберігати паролі?

Використовувати один і той же пароль для всіх сайтів не рекомендується, тому що зламавши одну сторінку користувача, наприклад, в соціальних мережах, хакери зможуть легко зайти в хмарні сховища, поштові та інші сервіси користувача, ввівши той же набір букв та цифр. Тому користувачеві потрібні різні паролі у великій кількості.

Головні проблеми з паролями, які виникають у користувачів:

  • Пароль важко вигадати. Для цього є спеціальні програми ― генератори паролів.
  • Складно запам'ятати велику кількість різних паролів. Необхідно використовувати менеджери паролів.
  • Паролі складно зберігати в таємниці. Для цього використовують шифрувальник файлів.

Менеджер паролів ― це сервіс, призначений для зберігання конфіденційної інформації в зашифрованому вигляді на віддалених серверах або в локальній захищеній папці. Детальніше розглянемо хмарний та «наземний» менеджери паролів.

LastPass ― хмарний сервіс, який працює на Windows, Linux, Mac, IOS, Android та інтегрується з Chrome, Firefox, Safari та Opera. Дозволяє зберігати всю базу даних на його захищених серверах. При цьому, тільки користувач може отримати доступ до своїх даних. Хмарне зберігання зручне тим, що користувач отримує доступ до паролів та іншої конфіденційної інформації з будь-якої точки світу.

KeePass ― безкоштовний сервіс з відкритим вихідним кодом. Він зберігає всю конфінденційну інформацію локально на комп'ютері користувача. Є можливість налаштувати синхронізацію бази даних через Dropbox на всі пристрої. Має вбудований генератор паролів. Базу даних паролів можна бекапувати. Програма доступна на Windows, Mac OS, Linux, iOS, Android, Blackberry та інтегрується з Chrome, Firefox, Opera, але не інтегрується з Safari.

Детальніше про кібербезпеку у відео:

subscribe

Підписатись на новини

Залиште свій Email, и будьте завжди в курсі свіжих новин!