[Цифровая безопасность] Береги пароль смолоду

Дисклеймер:
Всё или почти всё было прочитано, услышано, увидено, впитано, испробовано на себе и представлено через призму своего опыта. Лейтмотив данного цикла — «если вы не параноик, это не значит, что за вами не следят».


Все статьи из этого цикла





Думаю, никто не станет спорить с очевидным фактом, что мы живем в цифровом мире. У меня нет желания рассказывать вам прописные истины о том, что пароль должен быть сложным. Как этого добиться — разберем позднее.

Береги пароль смолоду
Смысл в том, чтобы показать, почему это стоит делать, а также к чему может привести ваша легкомысленность, переоценка надежности систем безопасности банков, интернет-магазинов и недооценка возможностей хакеров или просто заинтересованных лиц. Пока мы не станем уделять особое внимание фишингу, спаму, вирусам — они всего лишь один из элементов системы. Гораздо более интересен и распространён человеческий фактор.

Первым делом идите на и проверяйте свои пароли. Как проверите, сразу возвращайтесь! Безопасный ли у вас пароль? Только не говорите, что это просто цифры какой-то значимой для вас даты. Но даже если и так, то бывает хуже!

Ежегодно американская компания Splash Data собирает список самых худших паролей. В 2018 это список выглядел так, пароли указаны в порядке популярности:
  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine (новый)
  9. qwerty
  10. iloveyou
  11. princess (новый)
  12. admin
  13. welcome
  14. 666666 (новый)
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321 (новый)
  20. !@#$%^&* (новый)
  21. charlie (новый)
  22. aa123456 (новый)
  23. donald (новый)
  24. password1 (новый)
  25. qwerty123 (новый)
Пароли с пометкой «новый» впервые появились в рейтинге за всё время наблюдений. Именно такими паролями пользуются около 10% пользователей. Пароль «123456», уже который год лидирует в списке, и ко всему прочему 3% всех пользователей используют именно его.

Давайте начнем разбор с социальных сетей

Что же такого случиться может, если профиль взломают? Вы, конечно, можете сказать: «Ну утекут мои фотки с корпоратива в сеть, ну и что?» или «Ну поспамят немного знакомых, все уже к этому привыкли…» Задумывались ли вы, что с аккаунта в или можно посылать денежные переводы и оплачивать товары в интернете (да-да, даже товары с Aliexpress)? Если вы попросите у друга в VK денег, многие откажут, кто-то догадается вам лично позвонить (и их будет меньшинство), а кто-то переведет деньги в ваш взломанный аккаунт, и злоумышленник спокойно их переведет себе. Неприятно, правда? Другой аспект — а если у вас в социальных сетях есть (зачем-то) ценная, рабочая информация? Это может закончиться банальным сливом информации или шантажом. Оно вам надо?

Если же получат доступ к вашей почте…

…то может быть гораздо хуже, чем с «социалками». В большинстве случаев социальные сети привязаны к основной почте человека, а если еще и пароли одинаковые, то это фиаско. Приведу сразу познавательный пример! На заре e-mail, почтовые онлайн-сервисы позволяли ставить простой пароль, но вот новые пользователи уже не могли ставить такие же простые пароли. Хороший пример для подражания — почта mail.ru. Она при обнаружении подобного старого, небезопасного пароля, предложит вам его сменить и даже предупредит о возможных последствиях.

Проверка пароля почты mail.ru
Жаль, что подобное редко практикуется другими сервисами.

Как же создать надежный пароль?

Совет от компании Splash Data: «Используйте пароли из 12 и более разных символов. Используйте разные пароли для каждого аккаунта. Защищайте свои личные данные, используя генератор создания случайных паролей». Немного поясню, это должны быть разные символы — цифры, большие и маленькие буквы, знаки препинания. Сочетания букв не должны образовывать слова, даже несуществующие, особенно, если они напоминают вашу фамилию, так как они слишком короткие. Пример такого небезопасного пароля — «s0nоVa».

Можно воспользоваться сервисами «менеджер паролей». Они сами генерируют надежные пароли и хранят их в себе. Вариантов много на выбор, есть программы, которые работают в онлайне, некоторые устанавливаются на компьютер. Выбор за вами. На этих элементарных советах мы пока и остановимся. Про создание более сложных паролей мы еще раз подробно поговорим отдельно. Дальше будет ещё интереснее!​
Мнение автора может не совпадать с мнением редакции.
 
  • Спасибо
Благодарности: Lord_X, Raven-13, kroleg и 10 других
Вернуться к: Авторское
Имхо это должен быть оффлайн open source менеджер паролей вроде keepass. Всякие lastpass следует сразу забыть.
 
Имхо это должен быть оффлайн open source менеджер паролей вроде keepass. Всякие lastpass следует сразу забыть.
Если внешний вид, удобство и функциональность не особо важны, то конечно.
Но если вышеперечисленные факторы имеют значения, то советую посмотреть в сторону и . Ещё стоит упомянуть , т. к. он open-source, но всё же он менее удобен чем 1Password или Dashlane.

Ещё не так давно появилась , где сравниваются популярные менеджеры паролей. Но учитывайте, что искался лучший менеджер паролей для корпоративной организации.
 
Open-source не значит безопасность
Opensource не означает безопасность, но означает, что любой может провести независимый аудит, внести в случае чего свои правки или же просто просмотеть код и убедиться, что там ничего, что может целенаправленно скомпрометировать его данные, нет
 
У меня пароли 8-10 знаков. Пароль от этого аккаунта уникальный т.е. используется только на этом аккаунте. Я использую скрипт для линукс на основе данных из интернета.
 
Последнее редактирование:
Если внешний вид, удобство и функциональность не особо важны, то конечно.
Но если вышеперечисленные факторы имеют значения, то советую посмотреть в сторону и . Ещё стоит упомянуть , т. к. он open-source, но всё же он менее удобен чем 1Password или Dashlane.

Ещё не так давно появилась , где сравниваются популярные менеджеры паролей. Но учитывайте, что искался лучший менеджер паролей для корпоративной организации.
Как-бы опрос в статье подтверждает что лучше использовать в личных целях)
 
Не обязательно создавать пароль длинной в дцать знаков. Достаточно просто менять 8 значный - раз в месяц. Но кто это делает регулярно? 📲
 
Для родителей своих и жены, я сделал на бумаге сетку 10×10 где в каждую клеточку вписал цифры ,буквы ( разного риестра) и символы, и при необходимости создать пароль они произвольно выбирают строку/столбец/диагональ для получения пароля, и хранят бумажку-подсказку с документами.
Дёшево и сердито.
 
  • Спасибо
Благодарности: asadli573 и Agent K
bakpetr bakpetr, если получить этот листок и хэш пароля даже, то отгадать его не составит труда. Если б каждый символ выбирался произвольно то получили бы 100^10 возможных комбинаций символов, если же я вас правильно понял то получается с вашим листом всего 10^10. Учитывая полностью произвольное распределение и выбор ячейки с символом для пароля.
Лучше б посадили их на менеджер паролей имхо.