Как защитить свои аккаунты? Советы по созданию надежных паролей от экспертов по кибербезопасности

Киберпреступность стала одним из ключевых глобальных рисков современности. Атаки в интернете могут принимать разный формат. Но первая линия защиты от них – это надежный пароль. Речь идет не только о личных страницах в соцсетях или гаджетах. Злоумышленников не меньше интересуют и данные корпоративных аккаунтов на разных онлайн-сервисах.

Специалисты Information Security Team в NIX (которым нужно оставаться анонимными) уверены: защитить свои данные просто. Стоит серьезно отнестись к составлению пароля. И с этим эксперты готовы помочь.

Какой пароль считается надежным

Это пароль, который невозможно угадать, подобрать с помощью перечня распространенных паролей или сломать методом перебора. Если вы не уделили достаточно усилий на сочинение надежного пароля, то и киберпреступник быстро справится с ним. Современные компьютеры и специальный софт сломают простой код в считанные секунды. Поэтому к созданию цифрового ключа следует подходить ответственно. Тем более особых умений для этого не требуется.

Как создать надежный пароль

Используйте разные знаки

Безопасный пароль должен содержать строчные и прописные буквы, цифры, специальные символы. Такое разнообразие значительно повышает количество возможных комбинаций. Тем самым и усложняет их подбор.

К сожалению, некоторые учетные системы не позволяют использовать весь набор знаков. Однако основные символы, как !“#%&*/^:}|\~$;’:_?(), можно добавить почти в любом современном сервисе.

Вот несколько точных примеров:

• Z8j17$#efТ1cL-Jfw
• Pas-bRO@-@hdHogG4X

Увеличьте длину пароля

Надежный пароль состоит минимум из 12 символов. Пароли из 4-7 даже разных по типу знаков ломаются за несколько минут. Каждый дополнительный символ увеличивает устойчивость защиты.

Взглянем на расчеты компании по кибербезопасности Hive Systems: на «разносимвольный» пароль из 8 знаков уходит примерно 8 часов, а вот на взлом пароля из 11 знаков уже от 40 до 400 лет. Ощутимая разница, правда? Для того чтобы взломать пароль с более чем 12 символами понадобится (только представьте!) 34000 лет.

Придумывайте разные пароли для разных аккаунтов

После создания длинного пароля с разным набором символов часто возникает соблазн запомнить его и использовать для всех аккаунтов. Это ложный путь. Так вы наоборот станете более уязвимыми к кибератакам. Подобрав ключ к одной системе, злоумышленник получит доступ ко всем остальным: почте, Google- и Apple-аккаунтам, банкингу, соцсетям, корпоративным системам и т.д. Поэтому пароли во всех этих случаях должны быть уникальными.

Выберите удобную систему менеджмента паролей

Предположим, у вас уже есть минимум 10-15 паролей. Как их запомнить? Здесь есть несколько способов. Первый – придумайте пароль на 12 символов, но для разных аккаунтов в конце указывайте название платформы. Например, основа – nHd3#pHAuFP8. Тогда для почты добавим EMa1l (т.е. конечным паролем будет nHd3#pHAuFP8EMa1l). Для Facebook — fAceB00k (имеем nHd3#pHAuFP8fAceB00k). 

Другой вариант – воспользуйтесь менеджером паролей. Сервис генерирует, защищает от постороннего доступа и предоставляет в нужный момент уникальные ключи для различных аккаунтов. Запомнить стоит только один пароль – к этому менеджеру паролей. Заметим, что не все эти сервисы вполне безопасны. По собственному опыту рекомендуем KeePass и 1Password.

Обновляйте пароли

Периодически, скажем, раз в несколько месяцев, меняйте пароли. Также это следует делать после работы на чужом или общедоступном компьютере, а также при любом подозрении, что ваш старый пароль украли. Просто начните. И с течением времени это станет привычкой. Так вы повысите безопасность личных данных и на будущее. Злоумышленник ведь может не сразу использовать полученный пароль.

Включите двухфакторную аутентификацию

Ваш пароль может быть супернадежным, но помните о возможностях современного софта и способности хакеров. Обязательно поставьте двухфакторную аутентификацию. Тогда при каждой попытке входа в аккаунты с действительным паролем придется вводить еще одноразовый код проверки. Он поступает в SMS или другим способом. Иногда мошенники могут сделать дубликат SIM-карты и перехватить сообщение с этим кодом. Поэтому рекомендуется настроить доступ через сервисы типа Google Authenticator, FreeOTP или Microsoft Authenticator. Они считаются более надежными, чем SMS.

Когда привычка сильнее желания безопасности: bad practices в использовании паролей

Несмотря на рост осведомленности о кибербезопасности, старые привычки так просто не исчезают. Специалисты Nord Security составили список 200 самых распространенных паролей в 2022 году. Большинство пользователей до сих пор имеют слабые пароли для своих аккаунтов. Чтобы не прибегать к плохим практикам, лучше узнайте о них сейчас и не совершайте таких ошибок:

• Наличие последовательных композиций. Пароль не должен содержать буквы или цифры, идущие подряд на раскладке. Варианты типа qwerty или 987654321 даже в сочетании с другими знаками отнюдь не делают защиту надежной.
• Личная информация в пароле. Не используйте персональные данные. Дата рождения, фамилия, никнейм в чате или на форуме, прозвище домашнего любимца. Подобную информацию легко найти, просмотрев страницы пользователя в соцсетях или с помощью методик социальной инженерии. Это технические приемы манипулирования, к которым часто прибегают киберпреступники.
• Хранение паролей в незащищенном файле. Кажется, очевидным, но люди часто допускают эту ошибку. Сохраняют все пароли в Google-документе (предварительно с открытым для всех онлайн-доступом) или в заметках на компьютере, смартфоне или мессенджере. Украсть такие файлы очень просто.
• Передача пароля другому человеку. Ключи от аккаунтов лучше держать в секрете даже от близких. Пусть вы полностью доверяете этому человеку, но все равно рискованно отправлять пароль в мессенджере или на почту. Диктуя пароль по телефону или написав его на бумаге, вы также не застрахованы от его кражи. Любой заинтересованный может перехватить информацию и использовать ее по своему усмотрению.

Идеи для оригинальных паролей

Используйте смайлики

Спецсимволы могут усложнить запоминание пароля. А вот минималистичные эмодзи легко припомнить в нужный момент. Это могут быть смайлики типа (o_O) или ]:->.

Сочетайте несколько слов

Так вы увеличиваете длину пароля и делаете его более надежным. Совместить слова можно с помощью символов. Это повысит стойкость против перебора. Слова могут быть совершенно случайными, как Velosyped$selo&Sonce91.

Обратите внимание: не все авторизационные модули корректно работают с кириллицей. Так что лучше писать латинские буквы.

Формируйте фразы

Сделайте паролем полноценное предложение. Это может быть известное выражение или чья-то цитата. То, что вы всегда помните. Чтобы усложнить пароль, сократите отдельные слова и замените буквы цифрами или спецсимволами. Например, слова из песни Джона Ленона Imagine all the people living for today можно превратить в оригинальный пароль: 1M@gineAtPl4T.

Замените алфавит

Хорошо знакомую вам фразу наберите на qwerty-клавиатуре как кириллицей, но включив перед тем латинскую раскладку. Например, фраза ЭнейБувПарубокМоторный85 будет выглядеть так: Tytq,edGfhe,jrVjnjhybq85. Такой пароль просто запомнить и почти невозможно сломать.

Вместо вывода

Ваши базовые шаги для безопасной защиты аккаунтов:

• придумайте уникальные пароли длиной не менее 12 символов для разных аккаунтов;
• добавьте двухфакторную аутентификацию;
• подключите проверенный менеджер паролей.

Чтобы его использование было надежным и удобным, следуйте следующим советам:

• Проверьте надежность пароля с помощью PasswordMonster или PasswordMeter  сервиса.
• Проверьте на haveibeenpwned, не загорелась ли ваша комбинация символов в украденных базах данных паролей.
• Закрепите пароль в памяти. Потренируйтесь хотя бы 10-20 раз напечатать его на клавиатуре. Это поможет развить мышечную память, благодаря чему вам будет легче держать пароль в уме.
• Периодически меняйте все пароли – не реже одного раза в несколько месяцев.

Конечно, вы можете строго соблюдать все эти советы. И их действенность полностью иссякает, если на телефоне пинкодом так и останется ваша дата рождения или распространенный графический ключ. Имея в руках такой смартфон, злоумышленник получит доступ и к вашей двухфакторке, и ко всем мэйлам. Поэтому сложные пароли должны быть на каждом вашем девайсе, без исключения.