Какой поставить пароль: как сочинить и где надёжно хранить

Содержание

как сочинить и где надёжно хранить

Неопытного пользователя смущает и затрудняет необходимость в очередной раз придумывать новый пароль. Многие в этом случае используют один и тот же для различных сайтов и сервисов. Подспудно понятно, что это не слишком правильно, но придумывать новый пароль, чтобы потом его не забыть, довольно затруднительно.

Для начала разберёмся, для чего всем этим сайтам нужен ваш пароль в дополнение к имени пользователя и контактному телефону или электронному почтовому адресу. С помощью пароля, не известного никому, кроме вас, интернет-сайт получает подтверждение того, что действия на сайте совершаете именно вы, а не кто-то, кто знает ваш почтовый адрес или телефонный номер. Если же на сайте вы заказываете товары и услуги, а также вводите свои персональные данные, то пароль становится защитой для ваших денег и данных. Если ваши контактные данные могут быть известны широкому кругу лиц, то секретный пароль позволит вам подтвердить свою аутентичность при входе на сайт.

Конечно, хранение пароля в секрете очень важно, однако пароль также должен быть достаточно сложным, чтобы противостоять попыткам его подбора. Злоумышленник, который хочет похитить ваши данные, может воспользоваться программой автоматического подбора пароля, которая будет многократно пытаться зайти на сайт с вашим логином и различными паролями. Дело в том, что в отличие от ПИН-кода ошибочный пароль можно вводить без каких-либо ограничений по количеству попыток. В большинстве случаев сайты не только разрешают это делать, но даже могут не обращать внимания на многократные и очевидные попытки подбора пароля. Подбирать пароль можно, просто перебирая всевозможные комбинации символов, вводимых с клавиатуры. Существенно упростить задачу помогает словарь часто используемых паролей. Оказывается, многие люди (и даже специалисты по информационным технологиям) недостаточно оригинальны и выбирают одни и те же пароли, даже не сговариваясь.

Словари для побора паролей собирают чаще всего в результате кражи баз паролей с взломанных сайтов. Однако есть и другие способы, эксплуатирующие человеческое невежество и любопытство. Некоторое время назад в интернете появились сайты, предлагавшие проверить пароль на стойкость. Для этого достаточно был ввести свой пароль и увидеть результат оценки. Были и такие сайты, которые обещали поискать пароль в словаре для подбора паролей. Очевидно, всё это примеры социальной инженерии злоумышленников. Никогда нельзя вводить свой пароль на сайте, отличном от того, для которого этот пароль предназначен!

Как же создать стойкий пароль, который с гарантией не окажется в словаре злоумышленников? Прежде всего, стойкость пароля заключается в его длине. Чем больше в пароле символов, тем дольше придется его подбирать «грубой силой» (методом brute force — атакой перебором данных) и тем меньше шансов его подобрать по словарю. В настоящее время стойкими считаются пароли длиннее 14 символов. Кроме того, настоятельно рекомендуется использовать в пароле не только буквы, но и цифры, а также знаки препинания и служебные символы вроде $, @ и %. Следует отметить, что в пароле нужно использовать буквы английского алфавита (русские буквы могут быть некорректно восприняты на некоторых сайтах) и то, что заглавные и строчные буквы считаются разными.

Мы видим, что создать такой пароль, в котором выполнялись бы все или большинство перечисленных условий, — уже нетривиальная задача. Конечно, можно воспользоваться многочисленными сервисами и программами, предлагающими создать по-настоящему сложный стойкий пароль любой заданной длины. Проблема только в запоминании такого пароля. Вернёмся к обсуждению задачи хранения чуть позже, а пока рассмотрим технику создания сложных, но запоминаемых паролей.

Правила мнемотехники говорят нам, что лучше всего запоминается то, что имеет для нас смысл. Выделю «для нас», поскольку очень важно даже в качестве части пароля не использовать заезженные слова, давно попавшие во все словари злоумышленников. Однозначно нельзя использовать слова: password, secret, key и их тривиальные производные. Хорошей основой пароля будет любая максимально персонализированная информация, уникально значимая именно для вас. Предложу несколько идей на выбор:

номер автомобиля латиницей, заглавными буквами, например P450Ch299;
код домофона с номером квартиры, например 123#4398;
имя домашнего питомца с заглавной буквы, например Murzik;
ваше домашнее или школьное прозвище;
любимый герой мультфильма или книги, например Chernomor;
номер вашей группы в университете, например А-01-12.

Конечно, есть люди, которым известна данная информация, однако её очень трудно отождествить с вами как с пользователем сайта интернет-магазина. На всякий случай можно подстраховаться и использовать в качестве секретного слова что-то из вашего личного прошлого: номер своего первого автомобиля, который давно уже продан, имя домашнего питомца из детства и т. п. В итоге мы получим строчку символов, несущую смысл только для вас и по этой причине хорошо запоминаемую, а точнее, уже находящуюся у вас в памяти. Назовём все придуманные вами строчки базовыми парольными словами.

Сами по себе базовые парольные слова слишком короткие, чтобы использоваться в качестве пароля. Сделать пароль длиннее можно путем перечисления нескольких базовых парольных слов через какой-либо специальный знак, не обязательно разделительный. Можно взять, к примеру, восклицательный знак, или даже открывающуюся скобку. Взяв таким образом в цепочку 2—3 базовых слова, мы уже получаем отличный пароль, стойкость которого достигает достаточного уровня.

Такой пароль безусловно хорош, но нам ведь нужно уметь производить запоминающиеся пароли во множестве и без особых усилий. Комбинировать в разном порядке базовые парольные слова — плохая идея, поскольку порядок лишен смысла, и вы будете постоянно путаться. Кроме того, комбинаций небольшого числа мнемоничных базовых слов не так уж и много, в отличие от сайтов в интернете, с которыми вам потребуется иметь дело.

Решением этой проблемы является использование имени сайта непосредственно в качестве части пароля. Можно предложить схему «имя сайта»—«базовое слово №1»—«базовое слово №2». Количество символов, скорее всего, будет достаточным для стойкого пароля, а также не возникнет вопросов с придумыванием и запоминанием пароля для конкретного сайта.

Понятно, что такая схема (включая мелкие детали её реализации), а также базовые парольные слова должны оберегаться вами как самый большой секрет. Не стоит записывать пароли, созданные с помощью подобной схемы, поскольку посторонний человек, увидев два или три ваших пароля, мгновенно поймёт способ их генерации. Однако до тех пор, пока вы держите всё в голове, никто не сможет подобрать ваши пароли.

Иногда всё же приходится пароли записывать и хранить. Во-первых, иногда пароль создается самим сайтом и по какой-то причине его не хочется менять. Во-вторых, у вас наверняка есть уже пять, а то и десять паролей, которые вы запомнили, несмотря на их абсолютную бессмысленность, и вам жалко с ними расставаться. В-третьих, есть пароли, которые создаются для служебных целей и используются несколькими людьми. Конечно, такой пароль нельзя создавать по личной секретной схеме.

В любом случае, для хранения паролей есть места более удобные и надёжные, чем блокнот в письменном столе. Рассмотрим некоторые из подходящих вариантов.

Во-первых, очень удобно пользоваться менеджером паролей в браузере. В этом случае пароли ассоциируются с сайтами и часто ввод логина и пароля производится браузером автоматически, экономя время и повышая удобство. Важно отметить, что менеджер паролей в браузере должен быть защищён своим паролем. Этот мастер-пароль должен быть стойким и для него стоит использовать иную схему, чем обычно. Например, составьте его из других базовых слов.

Не рекомендую хранить пароли даже в запароленном менеджере на компьютере, который не является вашим персональным и к которому может иметь легитимный доступ большое количество людей. В таком случае при посещении сайтов, требующих ввода пароля, всегда следите, чтобы сайт не запомнил случайно ваш логин и пароль для последующего входа. Если вы всё-таки случайно дали браузеру запомнить свои данные аутентификации, то в настройках приватности браузера всегда можно стереть информацию об этом сайте.

Во-вторых, пароли можно хранить в специальных программах-менеджерах паролей, которые устанавливаются на смартфон. Вход в такую программу всегда защищён отпечатком пальца, графическим ключом или паролем, так что случайный человек не получит доступа к вашим секретам, даже если вы потеряете смартфон.

Программы — менеджеры паролей делятся на два больших класса: требующие доступ в интернет для своей работы и работающие автономно. С точки зрения здоровой паранойи не вижу смысла доверять программе, которая хранит мои секреты, используя интернет. Объективно такая программа без труда может передавать всю хранимую информацию разработчику программы, что делает бессмысленной саму задачу защиты ваших паролей от чужих глаз. Автономные программы хранят зашифрованные пароли на самом мобильном устройстве, что позволяет вам быть уверенными в их секретности.

Единственная проблема с автономным хранилищем паролей — это возможная потеря или выход из строя смартфона. Для этой цели зашифрованную базу с паролями нужно периодически сохранять в каком-либо онлайн-хранилище либо копировать на отдельный носитель (извлекаемую карту памяти). Таким образом, ваши пароли будут не только секретными, но и надёжно защищенными от потери.

Эта статья была полезной?

Подключиться

Чтобы подключиться к услуге защиты каналов связи, заполните заявку

Заполнить заявку

Придумать надежный пароль и запомнить его

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны.

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон.

Но согласись — мало приятного, осознавать, что твой единственный пароль от всех сервисов стал известен кому-то. И теперь только вопрос времени, когда он попробует его ввести на других сайтах в связке с твоим емейлом. А там — бонусные баллы в магазинах, твои адреса доставки и другие персональные данные.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

А теперь лайфхак. 3 часть не надо придумывать или запоминать! Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно.

Формулу компонуем по принципу:

или

Вот лишь некоторые примеры, что может получиться:

12Pianino?YAN
?YANPianino12
Pianino?YAN12
Pianino12YAN?

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект «Интернет без бед».

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Подробней о миссии: https://www.youtube.com/watch?v=bt6Us…

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

#internetnotbad #интернетбезбед

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Проверка VASYA123

Для аналитики могу предложить почитать статью:

Из которой можно взять на заметку, что обычные юзеры популярных сайтов очень часто используют лишь буквенные пароли и не заморачиваются. Знание мнемонических приемов, которыми не ограничивается приведенный в этой статье вариант, значительно помогает запоминать важную информацию, в частности — пароль.

Как создать надежный пароль и победить хакеров

Лучшие пароли предотвратят атаки методом грубой силы и атак по словарю, но их также можно сделать легкими для запоминания. Попробуйте эти варианты паролей, чтобы сделать ваши учетные записи невзламываемыми.

Каждую неделю наши исследователи собирают последние новости безопасности и сообщают о своих выводах на этих страницах блога. Если вы читали, вы, возможно, заметили особенно неприятную тенденцию: новые жертвы появляются неделя за неделей — утечек данных . Среди прочего, мы сообщали о Carnival Cruises, ProctorU и Garmin.

Ваши пароли открывают доступ в ваше личное королевство, поэтому вы, вероятно, думаете: «Как лучше всего создать надежный пароль», чтобы защитить свои учетные записи от этих киберпреступников. Если ваши пароли были частью взлома, вы захотите изменить их немедленно.

Итак, какое решение? Неподдающиеся взлому пароли . Но прежде чем перейти к этому, давайте сначала рассмотрим различные способы взлома паролей, чтобы вы поняли наиболее распространенные методы, используемые сегодня.

Как взломать пароль?

Киберпреступники имеют в своем распоряжении несколько способов взлома паролей, но самый простой из них — просто купить ваши пароли в даркнете. Покупка и продажа учетных данных и паролей на черном рынке приносит большие деньги, и если вы используете один и тот же пароль в течение многих лет, велика вероятность, что он был скомпрометирован.

Но если вы были достаточно мудры, чтобы держать свои пароли вне сводных списков черного рынка, киберпреступникам придется их взломать. И если это так, они обязаны использовать один из методов ниже. Эти атаки могут быть нацелены на ваши реальные учетные записи или, возможно, на утечку базы данных хешированных паролей.

Атака полным перебором

Эта атака пытается угадать каждую комбинацию в книге, пока не наткнется на вашу. Злоумышленник автоматизирует программное обеспечение, чтобы пробовать как можно больше комбинаций за максимально короткое время, и в развитии этой технологии произошел некоторый неудачный прогресс. В 2012 году трудолюбивый хакер представил кластер из 25 графических процессоров, который он запрограммировал для взлома любого 8-символьного пароля Windows, содержащего прописные и строчные буквы, цифры и символы, менее чем за шесть часов. Он имеет возможность делать 350 миллиардов догадок в секунду. Как правило, все, что меньше 12 символов, уязвимо для взлома. По крайней мере, из атак грубой силы мы узнаем, что длина пароля очень важна. Чем дольше, тем лучше.

Атака по словарю

Эта атака звучит именно так — хакер, по сути, атакует вас со словарем. В то время как атака грубой силы пробует каждую комбинацию символов, цифр и букв, атака по словарю пробует заранее подготовленный список слов, который вы найдете в словаре.

Если ваш пароль действительно является обычным словом, вы переживете атаку по словарю только в том случае, если ваше слово будет дико необычным или если вы используете фразы из нескольких слов, например ПрачечнаяЗебраПолотенцеСиний. Эти пароли, состоящие из нескольких слов, перехитрили атаку по словарю, которая уменьшает возможное количество вариаций количества слов, которые мы можем использовать, до экспоненциальной степени количества слов, которые мы используем, как описано в разделе «Как выбрать пароль». видео от Computerphile.

Фишинг

Самая отвратительная тактика — фишинг — это когда киберпреступники пытаются обмануть, запугать или заставить вас с помощью социальной инженерии невольно сделать то, что они хотят. Фишинговое электронное письмо может сообщить вам (ложно), что что-то не так с вашей учетной записью кредитной карты. Он направит вас щелкнуть ссылку, которая приведет вас на фальшивый веб-сайт, созданный так, чтобы напоминать вашу компанию, выпускающую кредитные карты. Мошенники стоят, затаив дыхание, надеясь, что уловка сработает и вы сейчас введете свой пароль. Как только вы это сделаете, они получат это.

Фишинговые мошенники также могут попытаться заманить вас в ловушку с помощью телефонных звонков. С подозрением относитесь к любым звонкам роботов, которые утверждают, что касаются счета вашей кредитной карты. Обратите внимание, что в записанном приветствии не указано, о какой кредитной карте идет речь. Это своего рода тест, чтобы увидеть, сразу ли вы кладете трубку или они вас «зацепили». Если вы останетесь на линии, вас соединят с реальным человеком, который сделает все возможное, чтобы выманить у вас как можно больше конфиденциальных данных, включая ваши пароли.

Недавние взломы паролей

Хотя вам может надоесть придумывать уникальный пароль, изобилующий заглавными буквами, специальными символами и т. д., важность наличия надежного пароля невозможно переоценить. Только в этом году южноафриканское подразделение TransUnion выставило себя за выкуп в размере 15 миллионов долларов, установив свой пароль как «пароль» — да, хотите верьте, хотите нет, слишком много людей и компаний все еще используют полностью заблокированы от их собственных серверов. Кроме того, в декабре 2021 года Национальное агентство по борьбе с преступностью Великобритании (NCA) и Национальное подразделение по борьбе с киберпреступностью (NCCU) обнаружили 225 миллионов кэшей украденных электронных писем и паролей, хранящихся на взломанном облачном сервере, прежде чем передать информацию HIBP или HaveIBeenPwned. (бесплатный сервис для тех, кто хочет знать, могут ли их учетные записи быть скомпрометированы).

Учитывая огромное количество данных, находящихся в распоряжении киберпреступников, в последние несколько лет появился новый метод, известный как «вброс учетных данных». Чтобы уточнить, этот метод включает в себя тестирование киберпреступниками компиляций утекших, украденных и часто используемых комбинаций имени пользователя и пароля в отношении онлайн-аккаунтов отдельных лиц. Согласно пресс-релизу ФБР от 2020 года: «С 2017 года ФБР получило многочисленные отчеты об атаках с подменой учетных данных против финансовых учреждений США, в которых подробно описывается почти 50 000 взломов учетных записей. Среди жертв были банки, поставщики финансовых услуг, страховые компании и инвестиционные компании». По сути, вы должны регулярно проверять, не были ли взломаны ваши учетные записи, и прекратить использование общих или утекших паролей.

Анатомия надежного пароля

Теперь, когда мы знаем, как взламываются пароли, мы можем создавать надежные пароли, способные перехитрить каждую атаку (хотя способ перехитрить фишинговую аферу — просто не попасться на ее удочку). Ваш пароль находится на пути к невозможности взлома, если он соответствует этим трем основным правилам.

Сделайте каждый пароль уникальным

Держитесь подальше от очевидного. Никогда не используйте порядковые номера или буквы, и из любви ко всем кибер-вещам не используйте «9».0035 пароль» как ваш пароль . Придумайте уникальные пароли, не содержащие никакой личной информации, такой как ваше имя или дата рождения. Если вы специально нацелены на взлом пароля, хакер выложит все, что знает о вас, в своих попытках угадать.

Избегайте этих 10 самых слабых паролей

Может ли это быть атака грубой силой?

Помня о характере атаки методом грубой силы, вы можете предпринять определенные шаги, чтобы держать их в страхе:

Длиннее. Это самый важный фактор. Выберите не короче 15 символов, если возможно, больше.
Используйте сочетание символов. Чем чаще вы смешиваете буквы (прописные и строчные), цифры и символы, тем мощнее ваш пароль и тем труднее его взломать методом грубой силы.
Избегайте общих замен. Взломщики паролей лучше обычных замен. Независимо от того, используете ли вы DOORBELL или D00R8377, злоумышленник взломает его с одинаковой легкостью. В наши дни случайное размещение персонажей намного эффективнее обычных букв* замен. (*определение литспика: неформальный язык или код, используемый в Интернете, в котором стандартные буквы часто заменяются цифрами или специальными символами. )
Не используйте запоминающиеся пути клавиатуры. Как и в приведенном выше совете не использовать последовательные буквы и цифры, также не используйте последовательные пути клавиатуры (например, qwerty ). Это одни из первых, о которых можно догадаться.

Возможна ли атака по словарю?

Ключом к предотвращению этого типа атак является обеспечение того, чтобы пароль не состоял из одного слова. Использование нескольких слов сбивает с толку эту тактику — помните, эти атаки уменьшают возможное количество догадок до количества слов, которые мы могли бы использовать, до экспоненциальной степени количества слов, которые мы используем, как объясняется в популярном посте XKCD на эту тему.

Лучшие методы паролей (и отличные примеры паролей)

Мы в Avast кое-что знаем о кибербезопасности. Мы знаем, что делает надежный пароль, и у нас есть свои любимые методы для их создания. Приведенные ниже методы дадут вам несколько хороших идей для создания собственных надежных и запоминающихся паролей. Следуйте одному из этих полезных советов, и вы удвоите усилия по защите своего цифрового мира.

Пересмотренный метод парольной фразы

Это метод фразы из нескольких слов с изюминкой — выбирайте причудливые и необычные слова. Используйте имена собственные, названия местных предприятий, исторических деятелей, любые слова, которые вы знаете на другом языке, и т. д. Хакер может угадать Quagmire, , но ему или ей будет невероятно сложно попытаться угадать хороший пример пароля, подобный этому. :

QuagmireHancockMerciDeNada

Хотя слова должны быть необычными, попробуйте составить фразу, которая вызовет у вас мысленный образ. Это поможет вам вспомнить.

Чтобы еще больше повысить сложность, вы можете добавить случайные символы в середине ваших слов или между словами. Просто избегайте подчеркивания между словами и любых распространенных замен leetspeak* . (*leetspeak: неформальный язык или код, используемый в Интернете, в котором стандартные буквы часто заменяются цифрами или специальными символами).

Метод предложений

.» Идея состоит в том, чтобы придумать случайное предложение и преобразовать его в пароль с помощью правила. Например, если взять первые две буквы каждого слова в «Старый герцог — мой любимый паб в Южном Лондоне», вы получите:

ThOlDuismyfapuinSoLo

Для всех остальных это абракадабра, но для вас это имеет смысл. Убедитесь, что предложение, которое вы выбираете, является как можно более личным и непредсказуемым.

Рекомендуемые способы улучшить свой портфель паролей

Все вышеперечисленные методы помогают укрепить ваши пароли, но не очень действенны, учитывая, что среднестатистический человек использует их десятки. Давайте рассмотрим несколько способов, которые мы рекомендуем: использовать новые сложные пароли и менеджер паролей, установить приложение для проверки подлинности на свой смартфон и приобрести новое оборудование. Каждый из них может помочь с лучшей и более безопасной аутентификацией.

Используйте менеджер паролей и генератор случайных паролей

Менеджер паролей отслеживает все ваши пароли и запоминает все за вас, за исключением одного — мастер-пароля, который предоставляет вам доступ к вашему менеджеру паролей. Для этой большой кахуны мы рекомендуем вам использовать все советы и приемы, перечисленные выше. Программы также поставляются с генераторами, такими как Avast Random Password Generator, показанный ниже, поэтому вы можете создавать сверхсложные, сверхдлинные пароли, которые гораздо сложнее взломать, чем любые пароли, которые может придумать человек. В журнале PC Magazine есть ряд рекомендаций по менеджерам паролей.

Проверьте также и свой адрес электронной почты

Посетите сайт Avast Hack Check, чтобы узнать, не был ли ваш пароль утек в результате предыдущих утечек данных. Если это так, немедленно измените свой пароль в своей учетной записи электронной почты.

Пример теста с использованием Avast Hack Check, показывающий, что электронная почта « [email protected] » была скомпрометирована в результате предыдущей утечки данных.

Будьте осторожны с теми, кому вы доверяете

Заботящиеся о безопасности веб-сайты будут хэшировать пароли своих пользователей, так что даже если данные станут известны, фактические пароли будут зашифрованы. Но другие сайты не беспокоятся об этом шаге. Прежде чем создавать учетные записи, создавать пароли и доверять веб-сайту конфиденциальную информацию, найдите время, чтобы оценить сайт. Есть ли https в адресной строке, обеспечивающее безопасное соединение? Вы чувствуете, что это соответствует новейшим стандартам безопасности дня? Если нет, подумайте дважды, прежде чем делиться с ним какими-либо личными данными.

Использовать многофакторную аутентификацию

Многофакторная аутентификация (MFA) добавляет дополнительный уровень защиты (который становится вашим первым уровнем защиты в случае утечки данных вашей учетной записи). Они стали новым отраслевым стандартом эффективной безопасности. В нашем сообщении в блоге мы объясняем, как они используются и как вы можете добавить MFA в общие учетные записи социальных сетей, таких как Twitter и Facebook. Они требуют что-то помимо пароля, например, биометрические данные (отпечаток пальца, сканирование глаз и т. д.) или физический токен. Таким образом, каким бы простым или сложным ни был ваш пароль, это только половина головоломки.

Дополнительная литература: Как использовать многофакторную аутентификацию для более безопасных приложений

Примечание: учитывая взлом Reddit в 2018 году, вызванный перехватом SMS, мы не рекомендуем использовать SMS в качестве второго фактора аутентификации. Это проторенный путь многими хакерами за последние несколько лет.

Используйте приложение-аутентификатор для смартфона

Лучший метод многофакторной проверки подлинности — использовать специальное приложение для смартфона. Google Authenticator (для Apple здесь, для Android здесь) и Authy — два примера, и оба бесплатны. Приложение генерирует одноразовый PIN-код, который вы вводите в качестве дополнительного фактора при входе в систему. PIN-коды автоматически меняются каждые 30 секунд. Вам нужно будет следовать инструкциям по настройке MFA для вашего конкретного приложения, а некоторые приложения еще не поддерживают этот метод MFA.

Ключи безопасности и альянс FIDO

Ключи безопасности выводят безопасность на новый уровень. Ключ безопасности, такой как YubiKey (названный в честь «вездесущего ключа»), обеспечивает самую современную защиту, доступную на сегодняшний день. Он служит вашим MFA, предоставляя вам доступ к файлам, только если у вас физически есть ключ. Ключи безопасности доступны в версиях USB, NFC или Bluetooth, и они обычно имеют размер флэш-накопителя. В 2017 году Google поручил всем своим сотрудникам начать использовать ключи безопасности, и компания утверждает, что с тех пор у ее 85 000 сотрудников не было ни одной утечки данных. У них есть собственный продукт под названием Titan Security Key, разработанный специально для защиты людей от фишинговых атак.

Для MFA и ключей безопасности: проверьте альянс FIDO, который работает над созданием надежных стандартов аутентификации для настольных и мобильных приложений. Если вы так же обеспокоены онлайн-безопасностью, как и мы, вы хотите использовать только службы, совместимые с FIDO, такие как Microsoft, Google, PayPal, Bank of America, NTTDocomo и DropBox, и это лишь некоторые из них. Когда определенный ключ безопасности, веб-сайт, мобильное приложение и т. д. сертифицированы FIDO®, они соответствуют высоким стандартам альянса в отношении аутентификации и защиты.

На заре практической мысли Сократ раздал изощренный совет: Познай самого себя. Мы собираемся позаимствовать из его книги, обновить совет на пару тысяч лет и призвать всех вас сделать то, что абсолютно необходимо сегодня: обезопасить себя.

Дополнительные советы по безопасности, связанные с паролями

Еще больше защитите свою регистрационную информацию с помощью этих разумных советов по обеспечению безопасности:

Как создать надежный пароль за 7 простых шагов

(6 минут чтения)

Следуйте этим 7 рекомендациям по использованию надежных паролей

Ежегодно 7 мая ^th организации по всему миру напоминают своим конечным пользователям о важности надежного пароля. Но в связи с новой нормой удаленной работы и резким увеличением объема информации, ежедневно обмениваемой в цифровом виде, передовые методы создания надежных паролей должны быть приоритетом каждого в течение всего года.

Несмотря на повышенное внимание общественности к безопасности данных, большая часть населения мира использует слабые пароли для защиты своих профессиональных и личных учетных записей. По данным Google, 24% использовали слова «пароль», «Qwerty» или «123456» в качестве пароля своей учетной записи, и только 34% часто меняют свои пароли.

Почему это проблема? Ну, независимо от вашей отрасли или уровня встроенной кибербезопасности вашей организации, простые пароли — не что иное, как проблемы для ваших сотрудников, сети и данных. Если хакер легко угадает их, данные для входа в вашу сеть, электронную почту, облачные приложения, а также личные пароли для сайтов социальных сетей, личной электронной почты, онлайн-банкинга и сайтов электронной коммерции могут быть скомпрометированы.

Запомнить
Каждый вход в систему — это шанс для киберпреступника взломать сеть компании и украсть данные.

В рамках обучения и кампаний по повышению осведомленности о безопасности используйте микро- и нанообучение, посвященное безопасности паролей, а также информационные бюллетени и плакаты, чтобы напомнить сотрудникам об основах надежных паролей.

Чтобы получить дополнительную поддержку, поделитесь с пользователями советами, советами и рекомендациями по созданию надежных паролей в информационных бюллетенях, плакатах и электронных письмах. Загрузите набор надежных паролей, чтобы получить больше ресурсов для паролей, которыми вы можете поделиться с теми, кто получает доступ к вашим системам.

ПОЛУЧИТЕ МОЙ НАБОР

Помните об этих рекомендациях по надежному паролю

Киберпреступники знают, что большинство людей создают пароли, которые легко запомнить, и часто используют один и тот же пароль для нескольких учетных записей. Из-за этого все, что нужно, это взломать одну учетную запись, чтобы легко получить доступ к остальным учетным записям.

Пожалуйста, потратьте несколько минут, чтобы ознакомиться с этими семью рекомендациями по использованию надежных паролей и создать новые пароли для всех учетных записей, которые не соответствуют этим рекомендациям по паролям:

1. Не используйте последовательные цифры или буквы

Например, не используйте 1234, qwerty, jklm, 6789 и т. д.

2. Не включайте в пароль год своего рождения или месяц/день рождения

Помните, что киберпреступники могут легко найти эту информацию, просматривая ваши учетные записи в социальных сетях.

3. Используйте комбинацию из не менее восьми букв, цифр и символов

Чем длиннее ваш пароль и чем больше в нем символов, тем труднее его угадать. Например, M0l#eb9Qv? использует уникальную комбинацию букв верхнего и нижнего регистра, цифр и символов.

4. Комбинируйте разные не связанные между собой слова в своем пароле или парольной фразе

Это затрудняет подбор вашего пароля киберпреступниками. Не используйте фразы из популярных песен, фильмов или телевизионных шоу. Используйте три или четыре более длинных слова, чтобы создать парольную фразу. Например, 9SpidErscalKetobogGaN .

5. Не используйте имена или слова, найденные в словаре.

Заменяйте буквы цифрами или символами, чтобы было трудно угадать пароль. Или намеренно использовать орфографические ошибки в пароле или парольной фразе. Например, P8tty0G#5dn для «патио-сад».

6. Используйте менеджер паролей для хранения ваших паролей

Не храните свои пароли в документе на вашем компьютере. Убедитесь, что вы используете инструмент менеджера паролей, предоставленный вам ИТ/службой поддержки, для хранения всех профессиональных и личных паролей.

7. Не используйте пароли повторно

Для каждого устройства, приложения, веб-сайта и программного обеспечения требуется уникальный и надежный пароль или PIN-код. Помните, что если киберпреступник угадает один из ваших паролей, он попытается взломать все ваши личные и профессиональные учетные записи.

Никогда и никому не сообщайте свои пароли. Сюда входят ваши коллеги, команда ИТ/поддержки, персонал службы поддержки клиентов/службы поддержки, члены семьи и друзья.

Кроме того, остерегайтесь фишинговых писем, smishing-сообщений и вишинг-звонков, в которых запрашивается информация о вашем пароле. Не отвечайте и не предоставляйте никакую личную информацию, включая пароль, дату рождения, адрес или данные кредитной карты.

Информация, которую никогда не следует включать в пароли

При обновлении и создании новых паролей не включайте в пароли следующую информацию:

Имя вашего питомца.
Ваш день рождения или день рождения членов семьи.
Любые слова, связанные с вашим хобби, работой или интересами.
Часть вашего домашнего адреса, включая город, улицу, номер дома/квартиры или страну.
Ваше имя или имя члена семьи.

Киберпреступники исследуют своих жертв в Интернете в поисках подсказок, которые могут помочь им взломать ваш пароль. И они будут использовать любые подсказки о вас, о том, где вы живете, о ваших интересах и вашей семье, чтобы стратегически угадать ваш пароль.

Если какой-либо из ваших паролей использует какую-либо информацию, связанную с вами лично, потратьте несколько минут, чтобы обновить свои пароли в соответствии с нашими рекомендациями по использованию надежных паролей.

Как защитить и защитить свой пароль в социальных сетях

Многие веб-сайты, приложения и инструменты теперь позволяют вам входить в систему, используя учетную запись Facebook, Twitter, Instagram или другой социальной сети. Это добавляет удобства обычному веб-пользователю, поскольку вам не нужно создавать новое имя пользователя и пароль. Однако использование этой функции делает вас уязвимыми для взлома данных социальных сетей.

Получив учетные данные вашей учетной записи Facebook, киберпреступник может получить доступ к любым другим веб-сайтам, приложениям или инструментам, в которые вы вошли с помощью Facebook.

Пять советов о том, как защитить пароли в социальных сетях

Не используйте пароли повторно и часто их меняйте. Даже если вы создали надежный пароль, не используйте его повторно в нескольких социальных сетях, веб-сайтах и приложениях.
Используйте инструмент управления паролями для хранения ваших паролей. Используйте инструмент управления паролями, предоставленный вам ИТ-службой/службой поддержки. Используйте это для хранения личных и профессиональных паролей. Одними из самых популярных менеджеров паролей являются Dashlane, Keeper и LastPass. Не храните свои пароли в файле на вашем компьютере или смартфоне.
Использовать двухфакторную аутентификацию. Если киберпреступник угадает ваше имя пользователя и пароль в социальной сети, двухфакторная аутентификация заставит преступника предоставить безопасный PIN-код для входа в систему. Вы получите уведомление о попытке входа в систему, предупреждающее вас о том, что ваш пароль был взломан. Если вы получите это уведомление по электронной почте или в текстовом сообщении, откажитесь от доступа и немедленно измените пароль и имя пользователя.
Не входите в учетные записи или на веб-сайты, используя свои учетные данные Facebook или социальной сети. Если ваши учетные данные Facebook скомпрометированы, хакер теперь может получить доступ к любым приложениям и веб-сайтам, которые также используют ваши учетные данные для входа в Facebook.
Обращайте внимание на запросы друзей, сообщения в чате и новых подписчиков или друзей. Остерегайтесь запросов на добавление в друзья на Facebook от людей, с которыми вы уже дружите на Facebook, или подписчиков в Instagram, у которых нет сообщений. Киберпреступники могут взломать учетную запись вашего друга, отправить вам запрос на добавление в друзья, а затем начать сбор информации о вас, которая может быть использована для взлома ваших учетных записей. Если ваш аккаунт в социальной сети взломан, сообщите об этом публично и опубликуйте что-то вроде «Внимание, мой аккаунт взломан. Не отвечайте на запросы друзей, прямые сообщения или чаты из моей учетной записи».

Прежде всего будьте подозрительны и осторожны. Не доверяйте электронным письмам с обещаниями сбросить пароль. Ни одна компания никогда не отправит вам электронное письмо для сброса пароля или проверки учетной записи без запроса. Если вы сомневаетесь в запросе на добавление в друзья или сообщении в чате, проигнорируйте это сообщение и свяжитесь с вашим другом по электронной почте или в текстовом сообщении, чтобы предупредить его о подозрительном запросе.

Вы — ваша лучшая линия защиты от кибератак и взломов. Создавайте надежные пароли. Не забывайте с осторожностью относиться к электронным письмам, текстовым сообщениям и телефонным звонкам, которые содержат срочные формулировки и/или обещают вам специальное предложение или бесплатный приз.