Создание надёжных паролей

Запомнить много разных паролей сложно. Поэтому люди часто имеют всего несколько паролей для самых разных учётных записей, сайтов и сервисов. Пользователей всё время просят придумывать новые пароли. В результате человек использует один пароль десятки и даже сотни раз.

Повторное использование паролей – плохо для вашей безопасности. Если пароль попал в руки злоумышленника, тот, скорее всего, попробует этот пароль для других ваших учётных записей. Если вы применили один и тот же пароль несколько раз, злоумышленник получит доступ к этим учётным записям. Таким образом, надёжность пароля такая же, как у наименее надёжного сервиса с этим паролем. Ради вашей безопасности не используйте пароли повторно.

Но как запоминать пароли, если они сильно отличаются друг от друга? К счастью, есть программы, которые помогают решить проблему. Это программы управления паролями (их ещё называют «менеджеры паролей»). Они позволяют безопасно хранить огромное количество паролей. Идея отказа от повторного использования паролей становится более реалистичной. Программа защищает все ваши пароли для разных учётных записей при помощи одного мастер-пароля (идеально – парольной фразы, см. пояснение ниже). Вам достаточно запомнить эту единственную фразу (пароль). Больше не нужно выучивать наизусть трудные сочетания знаков. Всю работу берёт на себя программа: она и создаёт, и запоминает пароли.

Пример – KeePassX. Это бесплатная программа с открытым исходным кодом. Важно отметить: KeePassX не сохраняет изменения и дополнения автоматически. Если вы добавляли в KeePassX пароли, не успели сохранить изменения, а работа программы прервалась из-за сбоя, ваши правки будут утрачены. Вы можете изменить это свойство в настройках KeePassX.

Менеджер паролей дает возможность выбирать надёжные пароли. Это тоже важно. Люди (увы!) часто использует короткие, простые пароли, которые легко угадать злоумышленнику: «password1», «12345», дату рождения, имя друга (мужа, жены), кличку животного и тому подобное. Менеджер паролей позволяет создавать и использовать случайные пароли без узнаваемого стиля или структуры. Такой пароль невозможно отгадать. Программа предлагает что-нибудь вроде «vAeJZ!Q3p$Kdkz/CRHzj0v7». Человек такое, скорее всего, не сможет ни отгадать, ни запомнить. Но не беспокойтесь, программа запомнит и сохранит.

Синхронизация паролей между несколькими устройствами Anchor link

Вы можете использовать свои пароли более чем на одном устройстве, например, на компьютере и смартфоне. Многие менеджеры паролей имеют встроенную функцию синхронизации. При синхронизации файла с паролями они обновляются на всех ваших устройствах. Если вы добавите новую учётную запись на компьютере, то сможете войти в неё и с мобильного телефона. Другие менеджеры паролей предлагают сохранять файл с паролями «в облаке». Это значит, что ваши пароли будут записаны в зашифрованном виде на удалённом сервере. Менеджеры паролей, которые используют собственные серверы для хранения паролей и обеспечивают синхронизацию данных, удобны, но имеют недостаток: они чуть более уязвимы к атакам. Если вы храните пароли только на своём компьютере, то злоумышленник должен сначала получить доступ к компьютеру и лишь затем, возможно, к паролям. Если вы храните их в облаке, оно также может стать целью злоумышленника. Впрочем, нет смысла переживать по этому поводу, за исключением ситуаций, когда злоумышленник имеет юридическую власть над компанией-разработчиком менеджера паролей или известен своими атаками против компаний или анализом интернет-трафика. Если вы используете облачное хранилище, компания-разработчик менеджера паролей также может узнать, каким облаком, когда и откуда вы пользуетесь.

Выбор надёжных паролей Anchor link

Есть несколько паролей, которые всё же придётся запомнить. Они должны быть действительно надёжными. Это те пароли, которые в конечном счёте защищают ваши данные с помощью криптографии. Сюда относятся, как минимум, пароли от ваших устройств, пароли для шифрования (например, полного шифрования диска) и мастер-пароль от менеджера паролей.

Раскрыть пароль из десятка символов – не проблема для мощного современного компьютера. Короткие пароли (даже те, которые составлены из совершенно случайных символов, такие как «nQ\m=8*x», «!s7e&nUY» или «g,aG5^bG») недостаточно надёжны для использования в шифровальных системах.

Есть несколько способов создания надёжных и легко запоминаемых паролей. Самым простым и безотказным методом является метод Арнольда Рейнхольда под названием «Diceware» (англ. dice – игральная кость).

В методе Рейнхольда пользователь физически кидает игральные кости, чтобы случайным образом выбрать несколько слов из списка. Выбранные слова образуют парольную фразу. Для шифрования диска (и для менеджера паролей) мы рекомендуем выбрать как минимум шесть слов.

Попробуйте создать пароль методом «Diceware».

При использовании менеджера паролей безопасность всех паролей (включая мастер-пароль) напрямую зависит от безопасности используемого вами компьютера. Если он заражён вирусом, тот может перехватить мастер-пароль во время набора или скопировать содержимое базы паролей. Очень важно защитить ваш компьютер и другие устройства от вредоносных программ.

О «секретных вопросах» Anchor link

Важно кое-что знать о «секретных вопросах» (таких как «Девичья фамилия вашей матери?» или «Как звали вашего первого питомца?»). Веб-сайты используют такие вопросы для подтверждения вашей личности, если вы забыли пароль. Честные ответы на многие секретные вопросы – данные, которые злоумышленник может легко найти в открытом доступе и с их помощью обойти вашу парольную защиту. Подобным образом была взломана учётная запись Yahoo! кандидата в вице-президенты США Сары Пэйлин. Рекомендуем указывать выдуманные ответы (которые, как и пароли, не знает никто, кроме вас). Например, сайт интересуется именем вашего питомца. Возможно, вы уже публиковали где-то снимок с подписью «Мой кот-красавец Барсик». Не указывайте «Барсик» в качестве ответа на секретный вопрос. Выберите что-то вроде «Румпельштильцхен». Не используйте один и тот же пароль или секретный вопрос для нескольких учётных записей и для разных веб-сайтов или сервисов. Ваши придуманные ответы на секретные вопросы тоже лучше хранить в менеджере паролей.

Вспомните, на каких сайтах вы использовали секретные вопросы. Не пора ли сменить настройки и ответы?

Не забывайте создавать резервные копии файла, где хранятся ваши пароли! Если файл будет утерян из-за сбоя, кражи или конфискации устройства, восстановить пароли может оказаться очень сложно. Менеджеры паролей обычно предлагают способ сохранения резервных копий. Вы можете использовать и свои средства резервного копирования.

Как правило, утраченный пароль можно восстановить. Новый пароль будет отправлен на указанный вами адрес электронной почты. Если вы запомните парольную фразу от электронной почты, то сможете восстановить пароли независимо от менеджера паролей.

Многофакторная аутентификация и одноразовые пароли Anchor link

Многие сервисы и программные инструменты позволяют использовать двухфакторную (двухэтапную) аутентификацию. В чём смысл? Для входа на сервис нужно владеть определённым физическим объектом, как правило, мобильным телефоном. Возможно использование специального устройства – токена безопасности. Двухфакторная аутентификация защищает вашу информацию даже в том случае, когда пароль был взломан или украден (если только вор не завладел вторым устройством или специальными кодами, которые оно генерирует).

Как правило, это означает, что для получения полного доступа к вашей учётной записи вору или хакеру нужно завладеть как вашим компьютером, так и вашим телефоном.

Настроить двухфакторную аутентификацию можно только если её поддерживает оператор сервиса.

Двухфакторная аутентификация с помощью телефона может быть реализована двумя способами. Первый: каждый раз, когда вы пытаетесь войти, сервис отправляет на телефон смс-сообщение с дополнительным защитным кодом, который нужно ввести на сайте. Второй способ – установить приложение аутентификации, которое будет генерировать защитные коды на вашем телефоне. Это поможет защитить учётную запись, если злоумышленник завладел паролем, но не имеет физического доступа к вашему мобильному телефону.

Некоторые сервисы (например, Google) позволяют генерировать список одноразовых паролей. Идея в том, чтобы вы записали их и носили с собой (иногда можно запомнить несколько наизусть). Каждый пароль – однократный. Если при вводе его перехватит шпионская программа, вор не сможет использовать этот пароль в будущем.

Ваша организация использует собственную коммуникационную инфраструктуру, например, почтовые серверы? Есть бесплатные программы для двухфакторной аутентификации доступа к вашим системам. Обратитесь к вашему системному администратору, чтобы найти программу, поддерживающую открытый стандарт «Time-Based One-Time Passwords» или RFC 6238.

Угрозы физического вреда или лишения свободы Anchor link

В конечном счёте у злоумышленников всегда есть как минимум один способ получения вашего пароля: они могут напрямую угрожать вам физической расправой или задержанием. Если вы оцениваете эту угрозу как реальную, подумайте о том, как скрыть само существование данных или защищённого паролем устройства. Это может быть эффективнее надежды, что вам никогда не придётся выдать ваш пароль. Например, можно зарегистрировать ещё одну учётную запись и хранить там маловажную информацию, чтобы при необходимости, не задумываясь, дать к ней пароль.

Допустим, вы обоснованно предполагаете, что кто-то может угрожать вам с целью получения пароля. Тогда настройки ваших устройств не должны позволить злоумышленнику определить, что учётная запись, пароль от которой вы раскрыли, является «неосновной». Отображается ли ваша основная учётная запись при входе в операционную систему компьютера? Может быть, автоматически открывается при запуске веб-браузера? Если так, нужно изменить настройки, чтобы замаскировать вашу основную учётную запись.

В некоторых юрисдикциях (например, в США и Бельгии) вы можете на законных основаниях опротестовать требование раскрытия вашего пароля. В других юрисдикциях (например, в Великобритании и Индии) законы позволяют правительству требовать раскрытия данных. Организация EFF предоставляет подробную информацию тем, кто выезжает за пределы США и хочет защитить данные на своих цифровых устройствах. Об этом можно прочесть в руководстве «Defending Privacy at the U.S. Border».

Пожалуйста, учтите: намеренное уничтожение улик или препятствие следствию само по себе может рассматриваться как преступление и повлечь очень серьёзные проблемы. Иногда правительству гораздо проще доказать именно это (и наказать вас более сурово), чем разбираться с первоначальным делом.

Последнее обновление: 
2016-01-13
Эта страница переведена с английского языка. Наиболее актуальной английская версия.
JavaScript license information