Для тех, кто хочет пройтись по основам – гайд по видам паролей и лучшим способам их создания.
День безопасного интернета отмечают 7 февраля, и в честь этого мы публикуем для вас гайд по одному из базовых аспектов безопасности – созданию надёжного пароля от проекта «Самозащита от слежки». Надёжный пароль — это одна из основ цифровой безопасности.
Также в тексте вы найдёте несколько советов от Digital Skills Coalition специально для беларусов, которые находятся в Беларуси.
Создание надёжных паролей с помощью менеджера паролей
Примечание от Digital Skills Coalition
Для беларусов в Беларуси у нас есть дополнительные советы по безопасному использованию менеджера паролей. Они связаны с тем, что основная угроза – это физический доступ к человеку и пытки.
Если вы решили использовать менеджер паролей, то лучше выбрать онлайн-вариант (Bitwarden) и сделать там две и более учётные записи. Одна из них должна быть «публичной» – той, которую можно раскрыть силовикам. Вторая – тайной, то есть той, где вы храните действительно важные пароли.
Повторное использование паролей негативно влияет на вашу безопасность. Если пароль от нескольких учётных записей попадёт к злоумышленнику, то он сможет получить доступ к ним всем. Поэтому пароли должны быть надёжны и уникальны.
Запомнить и держать их в порядке поможет менеджер паролей – специальная программа, которая их создаёт и хранит. Менеджеры паролей:
- создают пароли, которые невозможно отгадать человеку,
- надёжно хранят пароли (и ответы на секретные вопросы),
- защищают их с помощью мастер-пароля (или фразы-пароля).
Например, KeePassXC – бесплатный менеджер паролей с открытым исходным кодом. Вы можете установить эту программу на свой компьютер или интегрировать в браузер. KeePassXC не сохраняет изменения в базе паролей по умолчанию, если случится сбой и программа завершит работу аварийно. Так вы можете потерять информацию (но эту настройку можно изменить).
Подойдёт ли вам менеджер паролей? Скорее всего нет, если могущественный злоумышленник (например, власти) считают вас своей целью.
- Использование менеджера паролей – все равно что сложить все яйца в одну корзину.
- Менеджер паролей – это очевидная цель для злоумышленников.
- Исследования показали, что множество менеджеров паролей имеют уязвимости.
Альтернативный вариант – менее технологичный вариант. Вы самостоятельно можете создать надёжные пароли, записать их и хранить в надёжном месте.
Постойте, но мы же должны запоминать пароли и никогда не записывать их? Вообще-то, записать их на бумаге и положить куда-нибудь (например, в бумажник) достаточно полезно. По крайней мере вы заметите исчезновение бумаги с записанными паролями.
Создание надёжного пароля случайным способом
Вы непременно должны знать наизусть несколько важнейших надёжных паролей:
- пароль от своего устройства,
- пароль шифрования (например, если вы полностью зашифровали жесткий диск),
- мастер-пароль или «парольную фразу» от менеджера паролей,
- пароль от электронной почты.
Одна из многих сложностей при выборе человеком пароля заключается в том, что что люди изначально не сильны в действительно непредсказуемом и случайном выборе чего-либо. Эффективным способом создания надёжного и легко запоминающегося пароля является выбор слов из списка с помощью специального сервиса. Выбранные случайно слова сформируют вашу «парольную фразу». Это то же самое, что пароль, только длиннее и надёжнее. Мы рекомендуем использовать минимум 6 слов для парольной фразы от менеджера паролей или шифрования диска.
Почему это нужно и зачем так много слов? Чем длиннее и случайнее будет пароль, тем сложнее его будет подобрать как человеку, так и компьютеру. Вот видео, объясняющее, зачем нужен такой длинный пароль, который сложно угадать.
Попробуйте создать парольную фразу, используя один из списков слов по ссылке.
Если ваш компьютер или другое устройство подверглось атаке, и на него было установлено шпионское программное обеспечение, оно сможет проследить за тем, как вы набираете мастер-пароль. Тогда все содержимое базы данных менеджера паролей может стать известно злоумышленникам. Поэтому очень важно убедиться в том, что на устройстве, на котором вы пользуетесь менеджером паролей, нет никаких вредоносных приложений.
Пара слов о «секретных вопросах»
С осторожностью подходите к выбору ответа на «секретный вопрос», который веб-сайты используют для подтверждения вашей личности. Честные ответы на такие вопросы злоумышленник зачастую сможет легко найти в открытом доступе, и с их помощью обойти вашу парольную защиту.
Лучше, напротив, использовать придуманные вами ответы, которые никто кроме вас знать не может. Например, секретный вопрос:
«Какова кличка вашего первого домашнего животного?»
Вашим ответом может стать любое сочетание слов, букв, цифр и символов, созданное вашим менеджером паролей. Данный ответ вы также можете хранить в том же менеджере паролей.
Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены этих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов на различных веб-сайтах и сервисах.
Синхронизация паролей между несколькими устройствами
Многие менеджеры паролей имеют встроенную функцию синхронизации. При синхронизации файла с паролями они обновляются на всех ваших устройствах.
Менеджеры паролей могут хранить файл с паролями в облаке. Это значит, что ваши пароли будут записаны в зашифрованном виде на удалённом сервере. По мере необходимости пароли будут извлекаться из базы на сервере и расшифровываться автоматически. Менеджеры паролей, которые используют собственные серверы для хранения паролей или обеспечивают синхронизацию данных, удобны, но чуть более уязвимы к атакам. Если вы храните пароли и на своём компьютере, и в облаке, то для получения ваших паролей злоумышленнику не будет нужен доступ к компьютеру. Хотя ему придётся подобрать парольную фразу к менеджеру паролей.
Если это вас беспокоит, отключите синхронизацию с облаком и храните пароли только на устройстве.
На всякий случай делайте резервную копию базы с паролями. Это может оказаться полезным, в случае утери базы данных в результате сбоя или утраты устройства. Менеджеры паролей обычно имеют функциональность, позволяющую создавать резервную копию базы данных с паролями. Также вы можете использовать обычную программу резервного копирования.
Многофакторная аутентификация и одноразовые пароли
Надёжные и уникальные пароли весьма затрудняют злоумышленникам доступ к вашей учетной записи. Но не стоит останавливаться на этом. Включите двухфакторную аутентификацию!
Некоторые сервисы предлагают использовать двухфакторную (двухэтапную) аутентификацию, которая предполагает помимо введения пароля еще и обладание пользователем неким вторым компонентом (второй фактор). Им может стать единовременный код или число, генерируемое приложением на вашем мобильном устройстве.
Двухфакторная аутентификация с помощью телефона может быть реализована двумя способами:
- 1. Использование приложения аутентификации, которое будет генерировать защитные коды на вашем телефоне (например Google Authenticator или Authy). Также можно воспользоваться специальным устройством (YubiKey).
- 2. Отправка на телефон SMS-сообщения с дополнительным защитным кодом, который нужно ввести на сайте каждый раз при входе на сервис.
Если у вас есть выбор, то лучше использовать приложение на телефоне или специальное устройство вместо получения кодов по SMS, так как злоумышленник сможет переадресовать сообщения с кодами на свой телефон.
Некоторые сервисы (например, Google) позволяют генерировать список одноразовых паролей. Идея в том, чтобы вы записали их и носили с собой. Каждый пароль – однократный. Если при вводе его перехватит шпионская программа, злоумышленник не сможет использовать этот пароль в будущем.