Генерация надежных и хорошо запоминающихся паролей порой требует много усилий, и, к сожалению, не все пароли позднее остаются в памяти. Поэтому пользователи иной раз выбирают более легкий путь и используют простые пароли либо используют в разных местах один и тот же пароль. Руководитель подразделения бизнес-клиентов Elisa Маргус Вайно делится полезными советами, как составить запоминающиеся пароли и безопасно их хранить.
Надёжный пароль – длинный пароль
Хороший пароль не должен быть простым или легко вычисляемым. Надежный пароль должен быть по возможности длинным и содержать прописные и строчные буквы, цифры, символы, и его длина должна быть не менее 12-14 знаков. Пароли, используемые в интернете и компьютерах, должны быть всегда относительно сложными и очень трудными для подбора.
Короткий пароль более уязвим для атак так называемой «грубой силы» (на английском языке brute force), где пароль пытаются вычислить, просто перебирая подряд разные комбинации. При такой атаке начинают прежде всего с ввода наиболее популярных паролей. Если пароль не относится к таковым, то начинают по очереди пробовать разные комбинации символов.
Составляйте пароли методом предложения
Одним из запоминающихся способов для составления паролей является так называемый метод предложения. Пароль, составленный таким методом, можно адаптировать в зависимости от веб-браузера или приложения, где человек регистрируется пользователем, и таким образом пароль также лучше запоминается. Например, если вы регистрируетесь пользователем в социальной сети, то придумайте предложение, где в нем было бы название данного веб-браузера, несколько цифр, и выберите, какие слова начинаются с заглавной буквы.
Например, Мой сверхСекретный пароль Социальной Сети faceBook 02. декабря.
Из этого предложения возьмем первые и заглавные буквы всех слов и получим в итоге МсСпССfB02.д, что и образует довольно хороший и сложный пароль длиной 12 знаков. Конечно же, предложения могут отличаться, и каждый может составить аналогичным образом пароль, который будет полностью уникальным, легко запоминающимся и, что самое главное, трудно угадываемым.
Например, можно составить предложение для пароля в Swedbank «Мой сверхСекретный пароль для интернет-Банка SwedBank 02. декабря» и предложение для пароля в банке Luminor «Мой сверхСекретный пароль для интернет-Банка Luminor 02. декабря», которые дают разные пароли, но которые легко запомнить.
Выступая с речью на одном семинаре для предприятий, я привел аналогичный пример, но фразой было «Я Очень Красивая девочка». Позднее выяснилось, что довольно приличная часть женщин использовала именно эту фразу, что, разумеется, не было хоть сколько-то безопасным, и поэтому я как раз советую каждому составить для себя уникальное предложение.
Используйте администратор паролей
Если вы желаете, чтобы пароли были более надежными, а ваша жизнь проще, стоит использовать администратор паролей, как например LastPass, 1password или Dashlane. Администраторы паролей – это программы, смарт-приложения и приложения веб-браузера, которые генерируют сложные пароли и сохраняют их в зашифрованном виде на защищенном сервере. В дальнейшем вам нужно помнить только один пароль, по которому можно войти в администратор паролей, и непременно рекомендуется для входа в администратор активировать также двухступенчатую проверку подлинности.
Но если вы не желаете пользоваться коммерческим программным обеспечением, то имеются также и бесплатные приложения, например Keepass. В нем пользователь может выбрать, куда сохраняется его пароль, и тем самым уменьшить риск утечки пароля, поскольку сайты администраторов паролей представляют интерес для киберпреступников.
Используйте двухступенчатую проверку подлинности
Используемый на сайтах пароль может быть очень длинным и сложным, но порой его утечка происходит независимо от пользователя. В случае если тот же пароль используется также в другом месте, злоумышленник может войти под вашим именем пользователя и с вашим паролем также в другие интернет-приложения. Дополнительной защитной мерой могла бы служить двухступенчатая проверка подлинности.
Речь идет о процессе, который запускается после ввода пароля и устанавливает посредством SMS, письма на э-почту или генератора кодов, что на сайт вошел правильный человек. Например, при регистрации высылается на указанный номер телефона или адрес э-почты секретный код, который просят ввести при входе в систему.
Google и Microsoft создали также свои приложения генератора кодов, которые можно использовать для входа на многие сайты.
Ещё более надёжным является ключ безопасности
Следующим уровнем безопасности был бы ключ безопасности (на английском языке security key). Это небольшой гаджет, который при входе в систему нужно физически соединить с компьютером.
Самые простые ключи безопасности выглядят как тоненькие флеш-накопители, и их вставляют в USB-разъем. Имеются также устройства с беспроводным соединением, но они еще не так сильно распространены. Наиболее известными производителями ключей безопасности являются Yubico и Google, названия продуктов которых соответственно – YubiKey и Titan Security Key. У нас в Эстонии можно использовать также ID-карту, которая выполняет аналогичную функцию, но, к сожалению, ее можно использовать только в э-услугах, предлагаемых в Эстонии.
Не сохраняйте пароли в веб-браузер
В отличие от администратора паролей, где пароли хранятся в зашифрованном виде и защищены главным паролем (master password), аналогичное не обязательно будет действовать в веб-браузере пользователя. Если у кого-то имеется доступ к компьютеру, он также может получить доступ ко всем паролям и входить в различные приложения или на разные сайты. Такой опасностью не обязательно может быть другой человек, вероятно больший риск представляет вредоносная программа.
Мой пароль взломан?
Эксперт по безопасности компании Microsoft Трой Хант (Troy Hunt) создал сайт по адресу haveibeenpwned.com, где можно проверить утечку данных по учетной записи, связанной с адресом э-почты. В строку на главной странице следует ввести только свой адрес э-почты, и система скажет, была ли утечка ваших данных с какого-либо сайта.
Если постоянный ручной контроль кажется хлопотным, то на сайте можно настроить также автоматическое извещение на случай, если произошла утечка некоторых личных данных.
В растущем информационном обществе виртуальному пространству отводится все больше места и все сильнее фокусируются на нем, что намного упрощает наши повседневные дела. Вместе с этим растет также спрос на безопасность. Каждый человек должен прилагать как можно больше усилий, чтобы его данные и идентичность были защищены.
Так почему бы не дать себе хорошее обещание на новый год, которое соблюдалось бы в течение всего года – повысить свой уровень безопасности и использовать только надежные пароли!