Как правильно создавать, использовать и хранить пароли?

Обучение

Автор: GigaCloud

24.10.2019

В 1964 году компания IBM создала многопользовательский компьютер, мэйнфрейм — вычислительную машину, рассчитанную на одновременную работу нескольких пользователей. Мэйнфрейм работал в режиме разделения времени, и для того, чтобы пользователи могли использовать его одновременно, создавали отдельные учетные записи для каждого. Чтобы войти в учетную запись, нужен был пароль.

С тех пор прошло более 50 лет, а мы так и не научились создавать надежные пароли, правильно хранить их и использовать. Исследование, проведенное Национальным центром кибербезопасности Великобритании (NCSC) выяснило, что менее половины опрошенных используют отдельный трудно угадываемый пароль для своей основной учетной записи электронной почты. Разбираемся, как создать надежный пароль и не стать жертвой онлайн-мошенничества.

Чего стоит избегать при создании пароля?

Любой пароль можно взломать, и для злоумышленников этого всего лишь вопрос времени. Пользователь сам может как усложнить, так и облегчить эту задачу. 10% всех существующих паролей, хакеры могут подобрать с 4 попыток.

Какие пароли использовать нельзя:

  • 123456, 123456789, qwerty, password и 1111111;
  • один пароль для всех сервисов;
  • пароль, который содержит важные даты из жизни пользователя;
  • пароль, который состоит из осмысленных слов и известных фраз;
  • пароль из непроверенных онлайн-генераторов.

Обычные пользователи и даже системные администраторы создают пароли по устаревшему принципу:

  • пароль должен состоять из русских слов в английской раскладке;
  • содержать формулы, несуществующие адреса электронной почты и рифмы;
  • минимальная длина пароля — 8-12 символов;
  • содержать все доступные символы, верхний регистр и транслитерацию.

Такие методы повышают надежность пароля, но запомнить его сложнее. В итоге пользователи будут упрощать пароль и это его скомпрометирует. Современный подход к созданию надежных паролей основывается на методе отбраковки простых паролей по словарям и базам утечек, а также на мониторинге и смене паролей в случае компрометации.

Как создать надежный пароль?

Чтобы создать пароль, который хакеры не смогут взломать или, по крайней мере, им для этого потребуется больше четырех попыток, его нужно захэшировать с добавлением «соли». Соль ― это постоянная часть пароля, которую приписывают к нему и хэшируют вместе с ним. Но стоит понимать, что если использовать одну соль для всех паролей, есть вероятность того, что злоумышленники получат доступ ко всем вашим данным. Поэтому стоит иметь три варианта солей:

  • супер соль ― для защиты рабочей информации;
  • запасная соль ― для регистраций в социальных сетях, интернет-магазинах, онлайн-площадках для покупки билетов и т.п.
  • личная соль ― для защиты персональной и финансовой информации.

На практике «засоленые» пароли выглядят так: Matros nasos kirpich rabota ), Matros nasos kirpich viber ), Matros nasos kirpich OSBBnashdvor ).

Создать надежный пароль очень просто. Берем четыре случайных, несвязанных между собой слова, к примеру, correct horse battery staple. Пользователю такой пароль легко запомнить, но сложность его подбора высокая. Чем длиннее пароль тем, лучше.

Как правильно хранить пароли?

Использовать один и тот же пароль для всех сайтов не рекомендуется, потому что взломав одну страницу пользователя, например, в социальных сетях, хакеры смогут легко зайти в облачные хранилища, почтовые и прочие сервисы пользователя, введя тот же набор букв и цифр. Поэтому пользователю нужны разные пароли в большом количестве. Главные проблемы с паролями, которые возникают у пользователей:

  • Пароль трудно придумать. Для этого есть специальные программы ― генераторы паролей.
  • Сложно запомнить большое количество разных паролей. Необходимо использовать менеджеры паролей.
  • Пароли сложно хранить в тайне. Для этого используют шифрователь файлов.

Менеджер паролей ― это сервис, предназначенный для хранения конфиденциальной информации в зашифрованном виде на удаленных серверах или в локальной защищенной папке. Детальнее рассмотрим облачный и «наземный» менеджеры паролей.

LastPass ― облачный сервис, который работает на Windows, Linux, Mac, IOS, Android и интегрируется с Chrome, Firefox, Safari и Opera. Позволяет хранить всю базу данных на его защищенных серверах. При этом, только пользователь может получить доступ к своим данным. Облачное хранение удобно тем, что пользователь можете получить доступ к паролям и другой конфиденциальной информации из любой точки мира.

KeePass ― бесплатный сервис с открытым исходным кодом. Он хранит всю конфинденциальную информацию локально на компьютере пользователя. Есть возможность настроить синхронизацию базы данных через Dropbox на все устройства. Имеет встроенный генератор паролей. Базу данных паролей можно бэкапить. Программа доступна на Windows, Mac OS, Linux, iOS, Android, Blackberry и интегрируется с Chrome, Firefox, Opera, но не интегрируется с Safari.

Подробнее про кибербезопасность в видео:

subscribe

Подписаться на новости

Оставьте свой Email, и будьте всегда в курсе свежих новостей!