Театр начинается с вешалки, а кибербезопасность — с пароля. Как придумать надёжный пароль и где его хранить?

Сегодня каждому из нас приходится пользоваться паролями при работе с компьютером или телефоном. Почти у всех есть социальные сети, аккаунты в многочисленных маркетплейсах, сервисах и других сайтах. Там всегда просят зарегистрироваться, ввести имя, контактные данные и придумать пароль. Разбираемся, для чего нужен пароль, как его грамотно составить и надёжно хранить.

Проверим ваш пароль?

Тема серьёзная, поэтому мы сразу начнём с проверки: пройдите наш тест, чтобы выяснить, насколько ваши пароли защищены от взлома. Не переживайте: наш тест мы придумали, чтобы помочь вам самим увидеть слабые стороны в используемых паролях, а не для того, чтобы собрать у вас информацию и использовать её в своих целях.

Для чего нужен пароль?

Неопытные пользователи часто возмущаются, когда их просят придумывать надёжные пароли к каждому сервису при регистрации. Как правило, они создают себе одну комбинацию букв или цифр, а потом используют её для всех аккаунтов на различных сайтах. Подсознательно многие пользователи понимают, что это не совсем правильно, но придумать к каждому новому сервису свой пароль, а потом ещё и не забыть его — задача не из лёгких.

Так зачем же сайты просят помимо номера телефона или e-mail ещё и придумать пароль? С помощью уникального пароля, который никто кроме самого пользователя не знает, интернет-ресурс получает подтверждение, что на сайт сейчас заходит именно этот человек, а не тот, кто просто знает его почтовый адрес или номер телефона. Пароль также становится защитой для персональных данных и данных банковской карты, если человек приобретает товары или услуги в интернете.

Как злоумышленники взламывают аккаунты?

Просто наличия пароля недостаточно — он должен быть сложным, чтобы защитить от попыток его подбора. Как взламывают чужие данные злоумышленники, рассказал директор по развитию направления «Кибербезопасность населения» ГК «Солар» Олег Седов. Наиболее популярной является атака методом «грубой силы» (brute force). Это автоматизированный и эффективный метод взлома паролей. При нём хакеры вводят наиболее популярные пароли и проверяют, подходит ли какой-то из них к аккаунту или нет.

Кроме того злоумышленники могут проверять информацию, размещённую на страницах человека в социальных сетях. И если человек использует в пароле свою дату рождения, свадьбы, кличку кота или любимую группу, хакеры также могут использовать специальные программы, чтобы модифицировать эту информацию, например, добавив дополнительные данные, такие как числа или специальные символы. Они также могут перевести слова в лит-спик, в котором «password» станет «p422W0Rd».

Ещё одним вариантом, который назвал Седов, является мониторинг уже взломанных паролей, которые слили в сеть. Злоумышленники проверяют, использовал ли человек один и тот же пароль для другой учётной записи. Даже если он поменял пароль, но сделал его очень похожим на старый — это неэффективно. По этой причине так важно использовать уникальные пароли для всех аккаунтов.

Альтернативный способ, который тоже используют хакеры, это программа для считывания неправильно введённых паролей в систему. Роботы анализируют, какой предположительно может быть у пользователя пароль, подбирая правильный для входа в аккаунт. Как говорит Олег Седов, с этой задачей справится даже человек, не говоря уже о роботах.

Как придумать надёжный пароль?

Прежде всего, надёжность пароля зависит от его длины: чем больше в пароле символов, тем дольше придётся его подбирать «грубой силой». Сейчас стойкими считаются пароли, где не меньше восьми символов. Эксперты рекомендуют использовать не только буквы, но и цифры, а также знаки препинания и служебные символы, такие как $ @ и % и прочие.

Если у вас есть чемодан с кодовым замком, имеющий три лимба с цифрами от нуля до девяти, то, чтобы его открыть, вам нужно перебрать тысячу комбинаций. Для четырёх потребуется перебрать 10 тысяч комбинаций. Для пяти — 100 тысяч и так далее. Поэтому пароли усложняют, не только увеличивая их длину, но также используя буквы вместе с цифрами, что увеличивает число вариантов. В топе-100 самых ненадёжных паролей 2023 года самыми популярными остаются: «123456» и «password».

— Почему же пароли до восьми символов не считаются надёжными? Допустим, что в вашем пароле используется 36 различных символов (латинские буквы одного регистра и цифры), а скорость перебора составляет 100 тысяч паролей в секунду. Тогда получается, что пароли длиной от одного до трёх символов можно взломать менее, чем за секунду. На пароль из пяти символов уйдёт десять минут, на восьмизначный — 11 месяцев. А вот пароль из 12 символов будут взламывать 1,5 миллиона лет, — объясняет директор по развитию направления «Кибербезопасность населения» ГК «Солар».

Скрин из презентации Олега Седова

Чтобы придумать хороший пароль, не нужно использовать дни рождения, номера телефонов, любые комбинации только из цифр, простые слова — все, которые есть в словаре, ни в коем случае пароль не должен совпадать с логином (именем пользователя) и его электронной почтой, не быть его вариацией, например логин «user123». Не годятся в качестве пароля и «прогулки по клавиатуре» — так называемые keyboard-walks пароли, например, «qwerty», даже с добавлением цифр типа qwerty123456 и тому подобное. Не остановят хакеров и такие банальные хитрости, как заменить букву «o» на ноль, «s» на $, «i» на 1 и так далее.

Хорошей основой пароля будет любая максимально персонализированная информация, уникально значимая именно для пользователя. номер автомобиля латиницей, заглавными буквами, например С284МH31; код домофона с номером квартиры, например 456#1238; номер группы в университете, к примеру 1002712. Естественно, к этим примерам нужно будет добавить различные символы, чтобы сделать пароль сложным для взлома. Конечно, есть люди, которым известна данная информация, но её будет достаточно трудно отождествить с конкретным человеком как с пользователем сайта интернет-магазина.

Кроме придумывания сложного длинного пароля важно подобрать к каждому аккаунту свой пароль, часто его менять, причём с надёжного устройства.

Где хранить пароли?

— Если злоумышленники взламывают ваш компьютер, а у вас все пароли хранятся на рабочем столе, считайте, что теперь паролей у вас нет. Существуют ещё менеджеры паролей, они достаточно удобны. Но в цифровом мире если вы не платите за ресурс, тогда вы не клиент, вы — товар. Поэтому советую использовать при возможности платный менеджер паролей, — рассказал Олег Седов.

Спикер также посоветовал использовать двухфакторную аутентификацию для входа в аккаунт браузера, если человек пользуется встроенным менеджером паролей. Настроить безопасный вход в менеджер паролей можно опираясь на инструкции производителя, если человек использует специальное программное обеспечение.

— Основной пароль должен быть сложным, но при этом будет неплохо, если вы его сможете запомнить. Ни в коем случае не держите его записанным на компьютере или на бумажке рядом с ним. Используйте антивирус, он может заметить подозрительную активность и пресечь атаку на вас. Не давайте свои устройства посторонним и всегда блокируйте, если вам нужно отойти, — советует директор по развитию направления «Кибербезопасность населения» ГК «Солар».