Головний секрет безпеки. Інструкція, щоб вас не зламали та де зберігати паролі
У Всесвітній день паролів експерт з цифрової грамотності розповідає головні правила збереження приватності своїх акаунтів
Ілюстрація: securityintelligence.com
У перший четвер травня відзначається своєрідне свято — Всесвітній день паролів. Це молода традиція, яка була заснована тільки у 2013 році експертами Intel і підтримана фахівцями з IT-галузі в усьому світі. Всього у світі налічується близько 170 організацій, включаючи Toshiba, Dell і Microsoft, які закликають своїх користувачів цього дня змінити пароль.
Всесвітній день пароля був заснований з однією єдиною метою: нагадати користувачам про те, що паролі потрібно міняти. Однак за 7 років багато що змінилося, і міняти пароль потрібно всього в декількох випадках.
Чи потрібно змінювати пароль?
Експерт Школи цифрової безпеки DSS380 Павло Білоусов розповів, що у 2017-2018 році концепція трохи змінилася, і її підтримали великі компанії ринку, зокрема і Microsoft:
«Раніше нам і справді говорили, що регулярна зміна паролів нас захистить, але дослідження показали, що це не так. Щотижня, щомісяця чи раз на пів року міняти пароль сенсу немає. Люди починають забувати ці паролі, записувати, додавати при кожній зміні прості комбінації. Ви можете, звичайно, постійно міняти пароль, але такого правила вже немає.
Зараз сучасний підхід дещо інший. Вважається, якщо у вас спочатку хороший, надійний пароль, який ви не використовуєте для всіх акаунтів, його потрібно міняти в тому випадку, якщо у вас з'являються підозри, що його вкрали. Наприклад, коли ви вводили його в публічному місці або на чужому комп'ютері. Якщо ваш пароль складний, унікальний, без персональної інформації й ви використовуєте новий пароль для кожного акаунту і зберігаєте його в надійному місці, міняти його потрібно тільки в випадку, якщо стався якийсь витік і ваш пароль опинився у відкритому доступі», — радить експерт.
Хороший пароль — який він?
Це питання ми поставили Павлу, і він дав кілька простих характеристик хорошого пароля. Отже, дані надійно захищені, якщо ваш пароль:
- Унікальний, який використовується тільки 1 раз для одного акаунту.
- Довгий. Чим довше — тим краще, тому що кожен символ в паролі, якщо його підбирати машинним способом, додає час до того, щоб розгадати його. Наприклад, пароль з 4 символів можна підібрати за частки секунди, а на пароль з 14 символів знадобиться близько 50 років, а з 16 символів — декілька десятків тисяч років, в залежності від того, які ви використовуєте символи.
- Без змісту персональної інформації. Дата народження, ім'я, ім'я домашнього улюбленця або рідного міста — ці дані легко дізнатися про людину, а значить, легко буде підібрати пароль. Також не потрібно підбирати для пароля поширені слова: наприклад, «літо2021» — це поганий пароль.
- Пароль повинен бути добре збережений, тому що якщо всі попередні критерії дотримані, запам'ятати його буде не так вже й просто.
Комп'ютер сам підбирає пароль — чи безпечно це?
За словами експерта з безпеки, системи, наприклад, браузер, пропонують непогані паролі, але проблема в тому, що вони їх же і зберігають:
«У браузері зберігати пароль, навіть якщо він хороший, небезпечно, тому що його можна витягти, якщо у когось з'являється доступ до комп'ютера. Він зберігається в, скажімо так, доступному вигляді. Тому пропоновані браузерами паролі — хороші, але тільки якщо зберігати його в спеціалізованій програмі — менеджері паролів. Тоді браузер генерує пароль, ти записав його в менеджері, і ваші дані будуть в безпеці».
Який менеджер паролів вибрати?
Де ви зазвичай зберігаєте свої паролі? Багато хто по-старому записує їх у блокнот або зберігають в нотатках на телефоні — це не найбезпечніший варіант. Були випадки, коли робочі комп'ютери в офісах зламували, тому що наліпка з паролем була приклеєна до монітора, а це загрожує витоком даних, який може виявитися згубною для цілої компанії.
Надійніше, звичайно, запам'ятовувати свої паролі, однак, це не завжди реально. Втім, існують програми, які зберігають всі ваші паролі. Доступ до програми також забезпечується паролем — замість десятка різних доведеться запам'ятати тільки одну комбінацію.
Павло Білоусов пояснює: «Це повинен бути додаток-open source, тобто з відкритим вихідним кодом, який могли перевірити фахівці з безпеки. Якщо у програми код відкритий, то будь-який більш-менш тямущий програміст, який розбирається в безпеці, може перевірити, чи немає яких-небудь лазівок для спецслужб, які можуть витягнути ці паролі», — по суті, це головний критерій, на який варто спиратися під час вибору менеджера паролів.
Якщо говорити про конкретні безплатні програми, експерт радить менеджери KeePass або Bitwarden: «Вони працюють і на мобільних, і на стаціонарних комп'ютерах. Безплатна версія виконує всі необхідні функції. До того ж вони перевірені часом, у них відкриті коди. Це хороші програми, які було б корисно використовувати», — вважає він.
Доступ за відбитком пальця або Face ID — це так само надійно?
Біометричний доступ до систем стає все більш популярним. Нікого не здивуєш тим, що комп'ютер можна розблокувати відбитком пальця. Павло Білоусов погоджується з тим, що такий метод безпечний, якщо ви вводите пароль в громадському місці — інші люди можуть його побачити, вкрасти телефон і скористатися цим.
«Тому біометричні способи доступу хороші в тому плані, що їх не можна підглянути, — говорить експерт. — Але якщо ми говоримо про позаштатні ситуації, коли у вас вимагають розблокувати телефон, то завжди можна сказати, що пароль ти забув. Але якщо встановлений FaceID або TouchID, то пароль питати ніхто не буде, а просто розблокують телефон. Так буває з поліцією в інших країнах».
На думку експерта, ідеальний варіант — комбінувати біометричний доступ і доступ по паролю:
«Коли ти в громадських місцях використовуєш біометрику — це круто, адже ніхто не підгляне, а якщо говорити про ситуації, коли зловмисники вимагають пароль від вас особисто, то краще спрацює код, який ви тримаєте в голові», — підсумував він.
Є і ще один нюанс, про який згадав експерт — збіги облич і відбитків пальців. Це можливо, але в рідкісних випадках: за статистикою, на 50 тисяч осіб буде одна, чий відбиток пальця може збігтися з вашим, і у цієї людини вийде розблокувати ваш телефон. Якщо це FaceID, тут ймовірність менше — 1:1 000 000, але якщо у вас є брат/сестра-близнюк, якщо дуже схожа на вас людина, то шанси розблокувати телефон збільшаться.
«З паролями такого немає, адже якщо згенерувати хороший унікальний пароль, то ймовірність його вгадати буде може бути 1 до мільярда або секстильярда», — вважає експерт.
Які ще є способи захистити свій акаунт?
Є і ще один спосіб захистити свій акаунт, який радить Павло. Це двофакторна ідентифікація, коли під час авторизації вам на телефон надходить смс з кодом, або цей код генерується додатком: «Якщо навіть у вас вкрали пароль, то зловмисник не зможе увійти в ваш акаунт, тому що разом з паролем йому потрібен буде код, який прийде на телефон. Це ускладнює його завдання, оскільки щоб зламати акаунт, знадобиться вкрасти ще й телефон, фізично. Тому навіть якщо пароль поганий, двофакторна ідентифікація рятує, а значить, повинна бути підключена за можливості на всіх акаунтах», — пояснює він.
Паролі від яких сайтів важливі насамперед?
Якщо після прочитання цієї статті зрозуміли, що ваші паролі — небезпечні, їх слід замінити. Однак, скільки облікових записів і реєстрацій у вас є? З чого почати найперше?
- 1-2 ключові поштові скриньки. Це повинні бути ті електронні пошти, які ви використовуєте під час реєстрації в ресурсах в Інтернеті. «Відновлення пароля» на таких ресурсах відбувається саме через імейли, а це значить, що захищати передусім потрібно їх.
- Банківські акаунти та інші, пов'язані з вашими фінансовими ресурсами. Тут все зрозуміло і так — це прямий доступ до ваших фінансів.
- Акаунти сайтів, де відбуваються інтернет-покупки. Саме там зберігаються дані ваших банківських карт. Додатково захистити свої банківські дані на сайтах для інтернет-покупок можна, прив'язавши до них спеціально виділені дебетові (не кредитні) карти, на яких ви триматимете тільки невеликі суми грошей, розраховані на заплановані покупки.
