Все о надежных паролях

Тему одолжил с канала)

Всем привет. Сегодня я хочу поговорить с вами о такой теме, как надежность паролей. Ведь пароль - это то, за чем охотятся все хакеры. Можно скинуть кому-нибудь стиллер и вытащить все логи из браузеров - а оттуда пароли. В таком случае сложность пароля не играет никакой роли.

А если вас ломают? Брутят ваш ящик или кошелек? В таком случае есть вариант себя обезопасить. Если вы много времени проводите во Всемирной паутине, то, скорее всего, зарегистрировали на различных веб-сайтах множество аккаунтов. При этом, если вы используете для них один и тот же пароль (или почти такой же, с небольшими вариациями), ваши аккаунты уязвимы к кибератакам.  

Ведь если хотя бы один из этих веб-сайтов будет взломан, злоумышленники получат доступ к паролям всех его пользователей, а значит, смогут взломать ваши учетные записи и на других сайтах. Такие взломы случаются чаще, чем вы думаете, и зачастую администраторы взломанных веб-сайтов даже не подозревают о произошедшем. Поэтому в целях обеспечения собственной безопасности следует использовать для своих учетных записей надежные и сложные пароли, и, что немаловажно, различные для разных вебсайтов.  

Разумеется, такие пароли сложно запомнить, и можно воспользоваться одним из следующих методов:

1) Записывать пароли на бумагу — весьма практично записывать пароли и хранить эти записи в безопасном месте (например, в сейфе или в бумажнике). Вы, как минимум, заметите, если такие записи будут потеряны или украдены, и оперативно смените все пароли;

2) Использовать менеджер паролей — программу для смартфона, планшета или компьютера, которая позволяет создавать, безопасно хранить и даже автоматически подставлять уникальные пароли при авторизации на веб-сайтах и в онлайн-приложениях (см. далее разд. «Менеджеры паролей»). Менеджеры паролей также обеспечивают и синхронизацию вашей парольной базы между принадлежащими вам устройствами. Обратите внимание, что менеджеры паролей требуют наличия мастер-пароля, после ввода которого вы сможете получить доступ ко всем остальным своим паролям. Мастер-пароль должен быть особенно надежным, но легко запоминаемым, т. к. это единственный пароль, который вы не сможете хранить в менеджере паролей и который понадобится каждый раз при запуске программы 

3)Выбор надежных паролей

Существуют несколько паролей, которые все же придется запомнить и которые должны быть действительно надежными. К ним относятся, как минимум, пароли от ваших устройств, пароли для шифрования диска (в том числе и полного) и мастер-пароль oт менеджера паролей.

Подобрать пароль из десяти символов — не проблема для мощного современного компьютера. Поэтому короткие пароли, даже составленные из совершенно случайных символов, — например, такие: a$ct7W.p9!, UTAc'dp-rE или xc,u&HqlY{ и им подобные, — недостаточно надежны для использования в шифруемых системах.

Способов создания надежных и легко запоминаемых паролей много. Самым простым и безотказным считается метод Diceware, разработанный Арнольдом Рейнхольдом. В методе Рейнхольда пользователь физически кидает игральные кости, чтобы случайным образом выбрать несколько слов из списка. Выбранные слова образуют парольную фразу. Для шифрования диска (и для менеджера паролей) рекомендуется выбрать как минимум шесть слов. 

На методе Рейнхольда основан ряд программ выбора паролей, существуют также использующие его онлайн-генераторы паролей — например, здесь: tinyurl.com/hdub86x.

При использовании менеджера паролей безопасность всех паролей (включая мастер-пароль) напрямую зависит от безопасности вашего компьютера. Если он заражен вредоносной программой, то может перехватить мастер-пароль во время набора или скопировать содержимое базы паролей. Поэтому очень важно защитить и компьютер, и другие ваши устройства от вредоносных программ

О «секретных вопросах»

Важно кое-что знать и о «секретных вопросах» — таких как «Девичья фамилия вашей матери?» или «Кличка вашего первого питомца?». На веб-сайтах подобные вопросы используются для восстановления пароля. Существующий пароль, новый или ссылка для генерации нового пароля (зависит от веб-сайта, на котором восстанавливается пароль) будет отправлен на указанный вами адрес электронной почты.

Однако правильные ответы на многие секретные вопросы злоумышленник может легко найти в открытом доступе (например, в аккаунтах социальных сетей) и с их помощью подменить пароль и получить доступ к вашей учетной записи. Поэтому рекомендуется на «секретные вопросы» указывать выдуманные ответы (которые, как и пароли, не знает никто, кроме вас).

Ваши выдуманные ответы на секретные вопросы также рекомендуется хранить в менеджере паролей. Периодически секретные вопросы и ответы на них можно менять.

Менеджеры паролей

Запомнить много разных паролей для авторизации на различных сайтах и в программах сложно. Поэтому люди часто задают всего несколько или даже один пароль для самых разных учетных записей, сайтов и сервисов. В результате один и тот же пароль используется ности данных. Если какой-либо ваш пароль попал в руки злоумышленника, тот, скорее всего, попробует его для доступа и к другим вашим учетным записям. Поэтому для обеспечения безопасности никогда не используйте пароли повторно.

Но тут возникает проблема — как запоминать многочисленные пароли, если они существенно отличаются друг от друга? Решить эту проблему помогают программы, называемые менеджерами паролей. Они позволяют безопасно хранить неограниченное количество паролей и защищают все ваши пароли для разных учетных записей при помощи одного мастер-пароля (в идеале — парольной фразы). Вам будет достаточно запомнить эту единственную фразу (пароль), а остальную работу по созданию и хранению всех прочих паролей возьмет на себя программа.

Менеджеры паролей помогают выбирать надежные пароли. Это крайне важно. Неопытные пользователи часто применяют короткие, простые пароли, которые легко угадать злоумышленнику: passwordl, qwerty, 12345, дату рождения, имя друга (супруга), кличку животного и тому подобное. А вот менеджер паролей позволяет создавать и использовать случайные пароли без прослеживаемого стиля или структуры. Такой пароль, например: mdD50*df]Q32/dfR4$vH0(s! — невозможно отгадать.

Несмотря на все преимущества, у менеджеров паролей есть один существенный недостаток — все пароли хранятся в одном файле или группе файлов, расположенных в одном месте диска компьютера. Это очевидная цель для злоумышленников.

Рекомендуется также создавать резервные копии файла (файлов), хранящего пароли. Если этот файл будет утерян из-за сбоя или кражи устройства, восстановить пароли может оказаться очень сложно, а в некоторых случаях и невозможно. Менеджеры паролей обычно обеспечивают функционал сохранения резервных копий, но вы можете использовать и собственные средства резервного копирования.

При выборе менеджера паролей учитывайте также, что многие популярные программы этого назначения имеют уязвимости. Поэтому, решая, подходит ли вам тот или иной инстру

мент, невредно посмотреть имеющиеся о нем в Интернете отзывы и рекомендации специалистов. Со своей же стороны считаю возможным упомянуть в качестве примера менеджера паролей бесплатную программу KeePassX.

Использование мастер-пароля

Мастер-пароль играет роль кода, открывающего сейф (базу данных паролей), — без него невозможно получить доступ к паролям.

Мастер-пароль защищает все ваши пароли, поэтому он должен быть надежным!

Надежность мастер-пароля обеспечивается его длиной и сложностью. Создавая мастер- пароль, нет надобности озабочиваться присутствием в нем специальных символов, прописных букв или цифр, — парольная фраза из шести случайных слов (в нижнем регистре с пробелами) может быть более устойчивой ко взлому, чем 12-символьный пароль из смеси прописных и строчных букв, цифр и специальных символов.

Мастер-пароль необходимо запомнить!

Мастер-пароль обеспечивает доступ ко всем остальным вашим паролям, поэтому нужно запомнить его, не записывая. Это еще один аргумент в пользу метода Рейнхольда, использующего ряд простых, легко запоминаемых слов вместо неестественных комбинаций символов, цифр и прописных букв.

Использование файла-ключа

В качестве альтернативы мастер-паролю (парольной фразе) для шифрования базы паролей можно использовать файл-ключ. Тогда каждый раз, когда необходимо открыть базу паролей, нужно будет указывать менеджеру паролей путь к файлу-ключу. Этот файл можно хранить на Flash-накопителе или на другом портативном устройстве, подключая его к компьютеру только для доступа к базе паролей. И если злоумышленник получит доступ к жесткому диску вашего компьютера и, соответственно, к базе паролей, он не сможет расшифровать ее, не имея файла-ключа, который хранится у вас на внешнем носителе. Более того, во многих случаях взломщику гораздо сложнее найти файл-ключ, чем подобрать обычный пароль.

Недостаток этого способа в том, что для доступа к паролям всякий раз придется подключать внешний носитель. А в случае утери или повреждения этого носителя вы утратите доступ к своим паролям.

Так что, если вы решите использовать файл-ключ вместо мастер-пароля, убедитесь, что используемый Flash-накопитель физически надежен (невредно иметь и хранящийся отдельно его дубликат) и хранится в безопасном месте, — если злоумышленник его найдет, то сможет получить доступ к вашей базе паролей.

Комбинация мастер-пароля и файла-ключа

Самый безопасный метод шифрования базы паролей— использовать и мастер-пароль, и файл-ключ одновременно. Тогда для вскрытия базы злоумышленнику нужно будет знать мастер-пароль и иметь файл-ключ. К этому варианту шифрования следует подходить с учетом степени угрозы утечки данных. Большинству обычных пользователей, которые хотят безопасно хранить свои пароли, будет вполне достаточно сложного мастер-пароля. Если же потенциальный злоумышленник обладает огромными вычислительными мощностями, лучше выбирать самое безопасное решение.

Синхронизация паролей между несколькими устройствами

Скорее всего, вы используете для ввода своих логинов и паролей на тех или иных вебсайтах или в сервисах более чем одно устройство — например, и компьютер, и смартфон, и планшет. Учитывая это, многие менеджеры паролей имеют встроенную функцию синхронизации файла хранилища паролей между различными устройствами пользователя. И после выполнения такой синхронизации вы можете пользоваться своими паролями на всех своих устройствах. То есть, добавив новую учетную запись в менеджер паролей на компьютере, вы сможете войти в нее и со смартфона, и с планшета. Некоторые менеджеры паролей позволяют хранить базу паролей «в облаке» — в зашифрованном виде на удаленном сервере. Менеджеры паролей, которые используют собственные серверы для хранения паролей и обеспечивают синхронизацию данных, удобны, но имеют недостаток — они более уязвимы к атакам, т. к. злоумышленник может взломать их сервер. Если же вы храните пароли только на своем компьютере, то злоумышленник должен сначала получить доступ к компьютеру и лишь затем к паролям.