Главный секрет безопасности. Инструкция, чтобы вас не взломали и где хранить пароли

В первый четверг мая отмечается своеобразный праздник — Всемирный день паролей. Это молодая традиция, которая была учреждена только в 2013 году экспертами Intel и поддержана специалистами из IT-отрасли по всему миру. Всего в мире насчитывается порядка 170 организаций, включая Toshiba, Dell и Microsoft, призывающих своих пользователей в этот день изменить пароль. 

Всемирный день пароля был учрежден с одной единственной целью: напомнить пользователям о том, что пароли нужно менять. Однако за 7 лет многое изменилось, и менять пароль нужно всего в нескольких случаях. 

Эксперт Школы цифровой безопасности DSS380 Павел Белоусов рассказал, что в 2017-2018 году концепция немного изменилась, и ее поддержали крупные компании рынка, в том числе и Microsoft:

"Раньше нам и правда говорили, что регулярная смена паролей нас защитит, но исследования показали, что это не так. Каждую неделю, месяц или полгода менять пароль смысла нет. Люди начинают забывать эти пароли, записывать, добавлять при каждой смене простые комбинации. Вы можете, конечно, постоянно менять пароль, но такого правила уже нет. 

Сейчас современный подход несколько другой. Считается, если у вас изначально хороший, надежный пароль, который вы не используете для всех аккаунтов, его нужно менять в том случае, если у вас появляются подозрения, что его украли. Например, когда вы вводили его в публичном месте или на чужом компьютере. Если ваш пароль сложный, уникальный, без персональной информации и вы используете новый пароль для каждого аккаунта и храните его в надежном месте, менять его нужно только в случае, если произошла какая-то утечка и ваш пароль оказался в открытом доступе", — советует эксперт. 

Этот вопрос мы задали Павлу, и он дал несколько простых характеристик хорошего пароля. Итак, данные надежно защищены, если ваш пароль:

• Уникальный, который используется только 1 раз для одного аккаунта. 
• Длинный. Чем длиннее — тем лучше, потому что каждый символ в пароле, если его подбирать машинным способом, добавляет время к тому, чтобы разгадать его. Например, пароль из 4 символов можно подобрать за доли секунды, 14 символов потребуется около 50 лет, а из 16 — несколько десятков тысяч лет, в зависимости от того, какие вы используете символы. 
• Без содержания персональной информации. Дата рождения, имя, имя питомца или родной город — эти данные легко узнать о человеке, а значит, легко будет подобрать пароль. Также не нужно подбирать для пароля распространенные слова: например, "лето2021" — это плохой пароль. 
• Пароль должен быть хорошо сохранен, потому что если все предыдущие критерии соблюдены, запомнить его будет не так уж просто.

По словам эксперта по безопасности, системы, например, браузер, предлагают неплохие пароли, но проблема в том, что они их же и хранят:

"В браузере хранить пароль, даже если он хороший, небезопасно, потому что его можно вытащить, если у кого-то появляется доступ к компьютеру. Он хранится в, скажем так, доступном виде. Поэтому предлагаемые браузерами пароли — хорошие, но только если хранить его в специализированной программе — менеджере паролей. Тогда браузер генерирует пароль, ты записал его в менеджер, и ваши данные будут в безопасности". 

Где вы обычно храните свои пароли? Многие по-старинке записывают их в блокнот или хранят в заметках на телефоне — это не самый безопасный вариант. Были случаи, когда рабочие компьютеры в офисах взламывали, потому что стикер с паролем был приклеен к монитору, а это грозит утечкой данных, которая может оказаться губительной для целой компании.

Надежнее, конечно, запоминать свои пароли, однако, это не всегда представляется реальным. Впрочем, существуют программы, которые сохраняют все ваши пароли. Доступ к программе также обеспечивается паролем — вместо десятка разных придется запомнить только одну комбинацию. 

Павел Белоусов объясняет: "Это должно быть приложение-open source, то есть с открытым исходным кодом, который могли проверить специалисты по безопасности. Если у программы код открыт, то любой более-менее понимающий программист, который разбирается в безопасности, может проверить, нет ли каких-либо лазеек для спецслужб, которые могут вытащить эти пароли", — по сути, это главный критерий, на который стоит опираться при выборе менеджера паролей. 

Если говорить о конкретных бесплатных программах, эксперт советует менеджеры KeePass или Bitwarden: "Они работают и на мобильных, и на стационарных компьютерах. Бесплатная версия выполняет все функции, которые необходимы. К тому же, они проверены временем, у них открыты коды. Это хорошие программы, которые было бы полезно  использовать", — считает он. 

Биометрический доступ к системам становится все более популярным. Никого не удивишь тем, что компьютер можно разблокировать отпечатком пальца. Павел Белоусов соглашается с тем, что такой метод безопасен, если вы вводите пароль в общественном месте — другие люди могут его увидеть, украсть телефон и воспользоваться этим. 

"Поэтому биометрические способы доступа хороши в том плане, что их нельзя подсмотреть, — говорит эксперт. — Но если мы говорим о внештатных ситуациях, когда у вас требуют разблокировать телефон, то всегда можно сказать, что пароль ты забыл. Но если установлен FaceID или TouchID, то пароль спрашивать никто не будет, а просто разблокируют телефон. Так бывает с полицией в других странах".  

По мнению эксперта, идеальный вариант — комбинировать биометрический доступ и доступ по паролю:

"Когда ты в общественных местах используешь биометрику — это круто, ведь никто не подсмотрит, а если говорить о ситуациях, когда злоумышленники вымогают пароль от вас лично, то лучше сработает код, который вы держите в голове", — подытожил он.

Есть и еще один нюанс, о котором упомянул эксперт — совпадение лиц и отпечатков пальцев. Это возможно, но в редких случаях: по статистике, на 50 тысяч человек будет один, чей отпечаток пальца может совпасть с вашим, и у этого человека получится разблокировать ваш телефон. Если это FaceID, здесь вероятность меньше — 1:1 000 000, но если у вас есть брат/сестра-близнец, если очень похожий на вас человек, то шансы разблокировать телефон увеличатся. 

"С паролями такого нет, ведь если сгенерировать хороший уникальный пароль, то вероятность его угадать будет может быть 1 к миллиарду или секстилиарду", — считает эксперт.

Есть и еще один способ защитить свой аккаунт, который советует Павел. Это двухфакторная идентификация, когда при авторизации вам на телефон приходит смс с кодом, или этот код генерируется приложением: "Если даже у вас украли пароль, то злоумышленник не сможет войти в ваш аккаунт, потому что вместе с паролем ему нужен будет код, который придет на телефон. Это усложняет его задачу, так как чтобы взломать аккаунт, понадобится украсть еще и телефон, физически. Поэтому даже если пароль плохой, двухфакторная идентификация спасает, а значит, должна быть подключена по возможности на всех аккаунтах", — объясняет он.

Если по прочтению этой статьи поняли, что ваши пароли — небезопасны, их следует заменить. Однако, сколько учетных записей и регистраций у вас есть? С чего начать в первую очередь? 

• 1-2 ключевых почтовых ящика. Это должны быть те электронные почты, которые вы используете при регистрации ресурсах в Интернете. «Восстановление пароля» на таких ресурсах происходит именно через имейлы, а это значит, что защищать в первую очередь нужно их. 
• Банковские аккаунты и другие, связанные с вашими финансовыми ресурсами. Здесь все понятно и так — это прямой доступ к вашим финансам.
• Аккаунты сайтов, где совершаются интернет-покупки. Именно там хранятся данные ваших банковских карт. Дополнительно защитить свои банковские данные на сайтах для интернет-покупок можно, привязав к ним специально выделенные дебетовые (не кредитные) карты, на которые вы будете держать только небольшие суммы денег, рассчитанные на запланированные покупки.