Пароли
Содержание:
- Угрозы безопасности паролей
- Где хранить пароли
- Как придумать пароль
- Основные правила создания паролей
- Насколько сложным должен быть пароль
- Создание пароля при помощи программы
- Как придумать сильный пароль?
- Если забыли пароль…
- Как поменять пароль?
- Какой пароль надежный: общие правила
- От регулярной смены паролей мало пользы
Угрозы безопасности паролей
Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.
Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.
Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли
Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей
Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:
Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.
Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.
При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.
Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные
Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.
Где хранить пароли
Важный вопрос: как хранить пароли. Пароли не должны быть легкой добычей, поэтому следует побеспокоиться об их сохранности.
Если пользователь самостоятельно создает пароли, то лучше их хранить дома, а не на устройствах в виде незашифрованного текстового файла. В случае утечки, все имеющиеся пароли станут скомпрометированными.
Пароль запишите на отдельном листочке или в блокнот, храните их не около компьютера, а немного подальше, например, в тумбочке или в какой-нибудь папке. Шансы, что в дом проникнет вор невелики, потому что сейчас главная опасность подстерегает пользователя в интернете.
Если пользователь использует менеджер паролей, ему стоит обратить внимание на сохранность «Базы паролей» — одного из элементов программы. База паролей зашифрована, злоумышленник не сможет получить к ней доступ без ввода мастер-пароля
Часть программ хранят базы паролей локально на ПК, например, KeePass, другие приложения, например, LastPass сохраняют эти данные на сервере в интернете. Исходя из этого, нужно позаботится о сохранности базы паролей.
Вам также может быть интересно:
- KeePass — безопасное хранение паролей
- Надежный диспетчер паролей: как он выглядит и какие функции должен иметь
Онлайн решения более удобны для пользователя в плане комфорта, а офлайн программы более надежны в плане безопасности. Онлайн менеджеры паролей синхронизированы между устройствами, а в офлайновых приложениях пароли актуальны после авторизации на конкретном устройстве. Локальные сейфы хорошо подходят для важных паролей, например, от онлайн-банкинга или платежных сервисов.
На компьютере неожиданно могут возникнуть серьезные проблемы, из-за которых приходится срочно переустанавливать операционную систему. В этом случае, можно потерять все данные пользователя, в том числе базы менеджера паролей.
В таком случае, необходимо заранее создавать копии базы паролей, хранящиеся в разных местах: на компьютере, в облаке, на USB-флешке и т. п., или дополнительно использовать функцию резервного копирования важных данных на диске компьютера.
В этом случае база паролей не будет утеряна из-за форс-мажорных обстоятельств. Не забывайте копировать оригинальную базу данных, после внесения в нее изменений: добавление новых паролей.
Как придумать пароль
Первое что нам нужно сделать, это придумать фразу-ключ. Идеальным вариантом будет уникальная бессмысленная фраза, которую легко запомнить. Например: космические тараканы. Тоже можно юзать фразы из не очень популярных песен, стихотворений.
Дальше необходимо «зашифровать» фразу ключ, чтобы она стала более надежным паролем. Несколько способов такого «шифрования»:
- Запись русской фразы в английской раскладке.
- Запись фразы наоборот.
- Замена букв на их визуальные аналоги («a» — «@», «i» — «!», «o» — «()» и т. д.).
- Использование первых нескольких символов из каждого слова.
- Удаление парных/непарных символов.
- Удаление гласных/согласных букв из фразы.
- Добавление спецсимволов и чисел.
Можно юзать несколько таких способов, чтобы превратить фразу ключ в практически бессмысленный набор символов. Но, идеальным вариантом будет создание собственного уникального метода «шифрования» фразы ключа.
К примеру, используя несколько шаблонных способов «шифрования» можно получить такой пароль:
В результате у нас получился длинный и достаточно сложный пароль, который нельзя вычислить по персональной информации его владельца, но его можно легко восстановить по памяти. Проверив надежность пароля при помощи сервиса passwordmeter.com мы получаем итог «очень надежный». Этот сервис указан для демонстрации сложности пароля, который можно получить.
В завершении хочу еще раз напомнить что, придумывая пароль нужно юзать свое воображение и возможность нестандартно думать. Используя это преимущество перед примитивными брутами вы сможете создавать пароли, которые будут им не по зубам.
Основные правила создания паролей
Итак, цели ясны, задачи определены. Начинаем формулировать практические советы по созданию паролей.
Используйте замены символов цифрами
Пароль «ireadmyfreesofteveryday» простой, как палка, вскрывается легко. Но попробуйте подобрать его, если мы заменим букву «o» на ноль, «y» на четверку? Злоумышленнику уже станет сложнее.
Используйте большие и маленькие буквы
Пароль должен содержать как большие, так и маленькие символы. Так число комбинаций, которые потребуется перебрать желающему украсть ваш аккаунт в «танках», будет много больше. «ireadmyfreesofteveryday» с учетом прежнего тезиса превращается в «iREADm4FREEs0ftever4da4». И сложный, и вместе с тем запомнить его по-прежнему можно.
Используйте первые буквы фразы, которую сможете вспомнить
Пароль, который мы получили на предыдущем этапе, все-таки выглядит сложным для его ввода в поле при авторизации. Один раз еще куда не шло, но чтобы каждый день не по разу — пальцы сломаешь. Сокращаем его до первых букв фразы «iRmFsed». Подбор по словарю нервно курит в коридоре — такого слова нет ни в одном справочнике. Вы скажете, что пароль не отвечает требованиям длины? Нет проблем! Есть способ увеличить длину, не теряя сложности. Просто добавьте комбинацию знакомых вам символов. Подойдет даже «/////». Просто поставьте ее в начале и в конце пароля: «123/////iRmFsed/////123».
Используйте адресацию к конкретному аккаунту в пароле
Использовать один и тот же пароль во всех аккаунтах крайне опасно. Взломав его, злоумышленник получит доступ ко всему на свете. Откройте новости по запросу «украдены пароли» и увидите, что события эти происходят с завидной регулярностью. И замечены в «потере» паролей пользователей очень серьезные интернет-компании.
Итак, имея один пароль для всех аккаунтов, вы увеличиваете шанс вскрыть все ваши аккаунты после того, как «засветится» пароль с одного из них. Но придумать разные пароли для разных аккаунтов не так и сложно. Просто добавьте комбинацию Fb для пароля в FaceBook, а для Yandex — Ya. Получаем «123/////iRmFsedFb/////123».
Насколько сложным должен быть пароль
Все, кто знаком с азами информационной безопасности, знают, что она обеспечивается двумя факторами:
- сложностью пароля;
- частой его сменой.
Большинство пользователей игнорируют эти требования, не зная о возможности сгенерировать надежный пароль при помощи онлайн-сервисов. Для авторизации используются простые комбинации цифр, например, 123456, даты рождения или имена владельца аккаунта или ящика электронной почты. В 90% случаев такие пароли подбираются за несколько минут или часов, используя современные графические ускорители. Именно поэтому все инструкции по безопасности требуют генерировать пароль из 8 символов, как минимум, и использовать разные типы знаков.
Усложнить задачу гипотетическому злоумышленнику помогут три типа сервисов:
Преимущества пользования сервисом генерации паролей
Что значит сгенерировать пароль на практике? Это создать такую комбинацию символов, которая не основана ни на каких логических или ассоциативных предпосылках и не может быть расшифрована методом простого подбора. Программа, основанная на рандомном подборе значений, сможет сгенерировать случайный пароль любой степени сложности. Она использует:
- числа;
- буквы латинского алфавита в обоих регистрах;
- символы.
Но возникает вопрос, насколько использование сайта-генератора паролей или программы генерации паролей безопасно. Не заложен ли в них разработчиками алгоритм, который упростит, а не усложнит работу хакера?
Большинство сервисов-генераторов паролей онлайн бесплатно используют следующие установки:
1. Сгенерировать новый сложный пароль, создать надежные комбинации они предпочитают или на основе алгоритмов создания псевдослучайных чисел или на основании атмосферного шума, второй метод надежнее, так все алгоритмы, изначально, создаются людьми и другими людьми могут быть раскрыты.
2. Передача данных от сайта-генератора случайных паролей производится по защищенным протоколам, например, SSL, при этом они не хранятся у создателей.
Кроме того, специализированные рандомные генераторы паролей предлагают задать нужное количество символов в диапазоне 6-24 (иногда максимальная длина может составлять и 1000 знаков) и не включают в один набор внешне схожие знаки, например 1 и I. Здесь можно сгенерировать сложный пароль онлайн для WI-FI или стима и забыть о риске взлома сети или аккаунта. Кроме решения задачи создать пароль длительного действия, такие сервисы могут предложить услуги:
- генератора одноразовых паролей;
- генератора легкочитаемых паролей;
- генератора пары логин пароль.Генератор паролей онлайн генерирует надежный пароль, но если пользователь беспечно относится к его хранению, задача обеспечения безопасности не решается. Генератор безопасных паролей окажется более полезен, если вместе с ним использовать программу для их хранения.
Создание пароля при помощи программы
Третий способ – это генерация с помощью специальной программы предназначенной для этих целей. Разрешите вам порекомендовать программку, которая проста в использовании и не требует никаких навыков. Программа называется Lastpass.
Ну, раз уж с паролем и его подбором для наших целей разобрались, переходим к самому важному – это его хранению. Хранить, конечно же, мы будем сразу несколько паролей
Опять же, приведу несколько способов сохранения паролей.
Первый способ – это простой блокнотик. Только не тот, который в компьютере у вас, а просто такой бумажный (помните еще, что в нашем мире существует бумага?) Туда заносим данные о ваших паролях и аккаунтах. Некоторые привыкли регистрировать свои учётные записи под разными никами. Тогда туда следует записать Сайт, на котором регистрировались, никнейм и пароль, и если есть ответ на секретный вопрос или иную информацию, относящуюся к учётке. Плюс такого способа это то, что блокнотик всегда при вас. Для того, чтобы не разбираться в своём же почерке, предлагаю вам распечатать на принтере все эти данные и аккуратно вклеить их в блокнотик.
Блокнот конечно же удобная штука, но иногда не очень то и подходит – бывает же такое, что вам срочно нужно какой – то пароль и вводить его с клавиатуры читая с блокнота не всегда удобно. Проще конечно же его скопировать. В таком случае, есть и другой способ. Для этого создаём в своём почтовом ящике папку, делаем её не доступной для почтовых программ и самое главное ставим на неё пароль. Придётся запомнить(или списать с нашего блокнота) два пароля – это от почтового ящика и самой запороленой папки. Таким образом, мы всегда сможем быстро получить доступ к нашим паролям, где бы мы не находились и за каким бы компьютером не работали.
Следующий способ достаточно изощренный но, тем не менее, интересный и тоже имеет право быть. Это записать всю информацию о своих учетных записях в файл (например блокнот) и заархивировать его и запаролить архив. Пароль опять же знаете только вы. Для того, чтобы этот архив не потерялся с вашего компьютера(например при слёте системы или действий вирусов) лучше выложить его в свободный доступ в интернете, можно в ваш блог(уж страничку свою вы точно знаете), даже если скачают этот архив, то просто не смогут получить к нему доступ. Вероятность взлома возрастает от пароля, который установлен на этот архив. Придумываете сложный пароль. Можно по алгоритму указанному во втором способе.
И, конечно же, способ, предполагающий использование специальных программ для хранения паролей.
Хотелось бы дать несколько советов напоследок. В независимости от того, как вы придумываете пароли и где их храните, запомните одно правило для каждой учётной записи (аккаунта): используйте свой индивидуальный пас, не повторяйтесь, помните – если все пароли одинаковы, то зная один, можно получить доступ ко всем вашим аккаунтам.
Как придумать сильный пароль?
Требования
Составляя пароль для входа в Ориджин, не важно, делаете ли вы восстановление доступа, просто его меняете или заполняете регистрационную форму, чтобы создать учётную запись, прежде всего, убеждайтесь в том, что он удовлетворяет всем требованиям сервиса. А именно:
- состоит из 8-16 символов;
- в нём присутствуют строчные и прописные английские буквы и цифры.
В противном случае, сервис будет выдавать ошибку.
Хитрости составления
1.Хоть минимум ключа и составляет 8 знаков, всё-таки лучше создать его с максимальной длиной — в 16 знаков. Тогда шансы на взлом минимальные.
2. Избегайте в комбинации логических последовательностей. Примеры:
- abcdefg;
- 12345;
- qwerty (рядом расположенные клавиши) и т.д.
- А также слов и словосочетаний (они легко подбираются по специальному словарю):
- my_parol
- myorigin
- akgameorig и т.д.
3. Если вам тяжело придумать сложный ключ, воспользуйтесь любым онлайн-генератором паролей (как говорится, Google и Yandex в помощь). Но не забудьте:
- в настройках включить в символьный набор строчные и прописные буквы, цифры (спецсимволы отключите);
- указать длину — 16 символов.
4. Если вы любите пароли для входа держать в голове, то есть у вас хорошая память, составьте произносимый пароль в генераторе, создающем ключи по специальному алгоритму «pwgen» (например, на сайте http://genpas.peter23.com/). Их легко разбивать на отдельные блоки и ассоциировать с какими-нибудь словами, аббревиатурами, названиями.
Например, вариант выдачи генератора — «Phingeevoocah8ie» — для быстрого запоминания можно представить для себя как совокупность следующих ассоциаций:
- «Phi» — если прочитать это слог по правилам транскрипции английского языка, получается греческая буква «Фи» (запоминаем правописание и как звучит на слух);
- «ng» — аббревиатура «Независимая газета»;
- «eevoo» — протяжные и певучие вариации на женское имя Ева (ее-в-оо!);
- «cah» — чем-то напоминает слово «кэш».
- «8ie» — восьмая версия браузера Internet Explorer, только немного задом наперёд.
Стоит отметить, что это всего лишь пример. У вас на этот же ключ или какой другой могут получиться совершенно другие ассоциации. Главное, должен быть, образно говоря, логический мостик, чтобы символьная комбинация в самый неподходящий момент «не улетучилась» из вашей головы.
Итак, после анализа, соберите все «метафоры» воедино.
Проговаривайте ассоциации и вспоминайте написание и последовательность отдельных символьных блоков:«Phi» + «ng» + «eevoo» + «cah» + «8ie»
Если забыли пароль…
1. На главной странице сайта щёлкните ссылку «Вход».
2. В дополнительном окне, под полями для ввода логина и пароля, нажмите опцию «Забыли… ».
3. Укажите адрес почтового ящика, указанного в аккаунте.
4. Кликните по окошку «Я не робот».
5. В появившейся панели выделите щелчком мыши картинки по заданному признаку. Нажмите «Подтвердить».
6. После выполнения задания (когда в блоке «Я не робот» появится «зелёная галочка») щёлкните «Отправить».
8. Кликните ссылку в сообщении от сервиса EA.
9. На открывшейся странице введите в форме два раза новый пароль.
10. Кликните «Отправить».
Комфортного пользования платформой Origin!
Как поменять пароль?
В целях безопасности символьный ключ от Origin, нужно периодически менять. Даже если вы его не забыли и никаких признаков взлома в профиле не обнаружено. Выполняется эта операция так:
1. Авторизуйтесь на origin.com.
2. В шапке сайта щёлкните раздел «Моя учётная запись».
3. В столбце слева клацните «Безопасность».
4. В верхней части соседней панели кликните опцию «Править».
5. Далее вам необходимо будет написать ответ на контрольный вопрос, указанный при регистрации.
6. В открывшейся панели наберите текущий пароль, а затем в следующих двух строках новый (не забывайте про правила его составления!).
7. Нажмите «Сохранить».
Какой пароль надежный: общие правила
Большинство пользователей знает, что надежный пароль состоит из букв, цифр и символов. Часть пользователей использует ненадежные пароли, порой совсем простые, которые очень легко взломать, например, «12345» или «qwerty».
При создании нового пароля необходимо соблюдать несколько базовых правил, обеспечивающих большую безопасность. Надежный пароль соответствует следующим требованиям:
- Пароль должен быть длинным, в идеале начиная от 16 символов.
- Пароль должен состоять из комбинации цифр, строчных и прописных букв, знаков препинания и специальных символов.
- Пароли нужно время от времени обновлять.
- Для каждой новой регистрации необходимо использовать уникальный пароль.
- Используйте, если это возможно, двухфакторную аутентификацию (пароль и SMS-сообщение).
В идеале, пароль должен быть длинным, но на некоторых сервисах есть ограничения по числу вводимых символов. Поэтому желательно использовать в создаваемом пароле не менее 8 символов, это затруднит его взлом.
Какие символы использовать в пароле? Применяйте следующие комбинации: в пароле должна быть хотя бы одна цифра, вставляйте буквы разного регистра и специальные символы, например, дефис или знак подчеркивания.
Для большей безопасности используйте двухфакторную аутентификацию, например, с помощью СМС-сообщений. Существует совсем маленькая вероятность, что злоумышленник получит доступ к паролю от аккаунта и одновременно завладеет вашим телефоном, или сможет перехватить сообщение, переданное по мобильной сети.
Не стоит указывать в создаваемом пароле следующую персональную информацию:
- Имена и псевдонимы.
- Дату рождения или другие памятные даты.
- Название сервиса.
- Номер телефона.
- Город проживания или город, в котором вы родились.
- Сведения из домашнего адреса.
- Клички домашних животных.
- Другую подобную информацию.
Дело в том, что злоумышленники могут узнать эти данные в интернете, из-за того, что они находятся в открытом доступе, например, на личной странице пользователя в социальной сети.
В «темном» Интернете (Даркнете) имеются базы паролей, привязанных к электронной почте. На сервисе Have I Been Pwned можно проверить была ли взломана конкретная электронная почта и узнать о наличии пароля в базах данных хакеров. Можно проверить надежность пароля на сервисе Касперского: Kaspersky Password Checker, который использует базу упомянутого сервиса.
Применять в составе пароля общеупотребительные слова или имена ненадежно, потому что хакеры используют программы, подбирающие пароли с помощью специальных словарей, содержащих часто встречающиеся секретные комбинации. Если ваш пароль соответствует какому-то понятию, включенному в подобный словарь, взломать его будет несложно.
Разрешено ли повторно использовать пароль? Лучше создать новый пароль, потому что, получив доступ к одному паролю на ресурсе со слабой защитой, злоумышленник сможет использовать этот пароль на других аккаунтах пользователя.
Не меняйте пароли перед поездками или отпуском, потому что в случае возникновения проблем можно не вспомнить что и как менялось. Воспользуйтесь процедурой восстановления пароля.
От регулярной смены паролей мало пользы
К паролям есть два требования, которые могут показаться не очень-то совместимыми. С одной стороны, чтобы надежно защитить учетную запись, нужно придумать пароль, который будет трудно подобрать. С другой стороны, этот пароль должно быть легко запомнить, иначе им невозможно будет пользоваться. Регулярная смена паролей действительно отчасти помогает с первым требованием, но второе делает трудновыполнимым.
Нам трудно постоянно заучивать длинные и сложные комбинации символов — мы же люди, а не роботы. Человек пытается «обмануть систему», так уж он устроен. Когда нас заставляют сменить пароль, мы не придумываем новый — мы просто немного меняем старый.
Для примера возьмем пароль batman2018. Если нужно будет его сменить, многие, скорее всего, просто сделают так: batman2019. Система воспримет этот пароль как новый, но по сути он остался тем же самым. И если старый пароль каким-то образом попадет в руки злоумышленникам, им несложно будет угадать новый.
На самом деле постоянно менять пароли не так уж эффективно
Гораздо лучше использовать надежные и, что особенно важно, уникальные комбинации символов. Об этом мы сейчас и поговорим
Почему пароль обязательно должен быть уникальным
Казалось бы, имеет смысл придумать один максимально надежный пароль и использовать его для всех аккаунтов. Тогда все они будут хорошо защищены, а уж один набор символов, пусть и сложный, запомнить можно — беспроигрышная ситуация!
Так было бы в идеальном мире, но наш мир, увы, не идеален. Утечки данных случаются регулярно, и пароли попадают в руки злоумышленников — как пользователь вы ничего не можете с этим поделать. Если вы везде используете один и тот же пароль, всего одна утечка — и все ваши аккаунты будут под угрозой. Иными словами, вы не убиваете одним выстрелом двух зайцев, а, скорее, кладете все яйца в одну корзину.
Надежный пароль — это какой?
Каким должен быть пароль, чтобы его можно было назвать «надежным»? Развернутый ответ будет длинным и сложным (математические расчеты и все такое), но принципиально важны две простых вещи. Во-первых, в нем нужно использовать как можно более разнообразные символы (так ваш пароль будет менее предсказуемым, а значит, более надежным). Во-вторых, пароль должен быть длинным — и чем длиннее, тем лучше.
К счастью, эти свойства компенсируют друг друга: если вам трудно запомнить все эти #, %, & и прочие закорючки, вы можете просто сделать комбинацию на несколько символов длиннее.
И еще: надежный пароль вовсе не должен быть случайным набором символов. Рандомные комбинации, несомненно, хороши с точки зрения безопасности, но запоминать их — настоящая пытка. Лучше придумайте легко запоминаемый пароль, но подлиннее, минимум 12 символов — а лучше больше.
Надежные и уникальные пароли, которые легко запомнить
На самом деле запоминать сложные и уникальные пароли проще, чем кажется на первый взгляд. Нужно просто знать правильный подход. Сложный на вид (и для запоминания) и сложный для взлома — это совсем не одно и то же.
К примеру, легко запоминаемый пароль 12345-vyshel-zaychik-naprimer и страшная комбинация символов ?Y]G9gWJ48zYkFBc@{nKw!’q обладают близкой надежностью — а на вид и не скажешь, верно? Фокус в том, что «зайчик» компенсирует все свои недостатки большей длиной.
Дэвид Якоби (David Jacoby), аналитик нашего Глобального центра исследования и анализа угроз (GReAT), простым и понятным языком объясняет, как правильно обращаться с паролями. В своей статье он рассказывает, как придумать свою собственную «систему запоминания паролей», с которой вы больше их не забудете.
И напоследок еще пара советов, которые помогут вам усилить защиту аккаунтов. Во-первых, включите двухфакторную аутентификацию для всех своих учетных записей. Во-вторых, попробуйте использовать менеджер паролей в качестве «Плана Б».