Принципы парольной защиты — Проект SAFE
Рекомендации
Принципы парольной защиты

Создаем и правильно храним надежные пароли

Мощная металлическая дверь с надежным замком не защитит от вора, если хозяин хранит ключ от квартиры под ковриком. К сожалению, такое часто встречается в компьютерном мире. Когда вы слышите душераздирающие истории о взломанных аккаунтах в почте и соцсетях, будьте уверены: с большой вероятностью проблема – плохая парольная защита. В двадцатку самых популярных паролей уже не первый год подряд попадают такие шедевры надежности, как "12345678", "password" и "qwerty".

Парольная защита – основа информационной безопасности. Вот ее основные принципы.

1. Делайте пароли длинными

Мы советуем выбирать пароли длиной не менее 16 символов. Некоторые системы (веб-сайты, приложения) ограничивают длину пароля; тогда ориентируйтесь на доступный максимум.

2. Не используйте в паролях личную информацию

Люди часто используют в качестве паролей нечто знакомое, близкое, запомнившееся. Это создает серьезную уязвимость. Если злоумышленнику удастся собрать информацию о вас, он может применить ее против вас, подбирая пароль или пытаясь добраться до аккаунта через "ответ на секретный вопрос". Фамилии, имена, кличка домашнего любимца, номер машины и т.п. – плохие пароли.

3. Избегайте паролей-слов и коротких паролей-фраз

Пароль, состоящий из одного слова – плохой. Такой пароль может оказаться в специальных словарях, используемых злоумышленниками. Немногим лучше и пароли, состоящие из коротких фраз (склеенных слов), например, "ladygaga", "jimbeam" или "warandpeace". О том, как эффективно применять вашу фантазию для создания и запоминания паролей, рассказано в конце этой статьи.

4. Не делитесь паролями с другими людьми

Не давайте коллегам или членам семьи пароль к своему компьютеру, создайте новую учетную запись. Уезжая в отпуск, не сообщайте никому пароль к вашему почтовому ящику; если нужно, установите переадресацию входящей почты на адрес того, кто вас "прикрывает" в этот период. Не делитесь с кем попало паролем к wi-fi в офисе – пусть его знают только сотрудники, которым он нужен по работе.

5. Не сообщайте пароли в ответ на сомнительные запросы

Если вам пришло письмо с просьбой ввести свой логин/пароль "для предотвращения блокировки", "в рамках проведения технических работ" и пр. – это может быть сетевое мошенничество, иначе "фишинг". Сегодня многие провайдеры предупреждают об этой угрозе. Не отвечайте мошенникам, не нажимайте на присланные ими гиперссылки, а если не уверены – свяжитесь с техподдержкой вашего сервиса (по другому каналу, например, позвоните по телефону, указанному на официальном сайте) и задайте вопрос.

6. Используйте пароли осторожно в "чужих" местах

Избегайте вводить пароль там, где его могут легко перехватить или подсмотреть, например, на компьютере в интернет-кафе. Если совершенно необходимо ввести пароль на чужом компьютере или будучи подключенным к публичной сети wi-fi, не забудьте сменить пароль, возвратившись в привычную, безопасную обстановку (домой, в офис).

7. Не пересылайте пароли по открытым каналам

Иногда кажется, что проще всего воспользоваться e-mail, если пароль изменен из офиса, а нужно продолжить работу дома. Но не поддавайтесь искушению. Передача пароля (если она необходима) – только в зашифрованном виде, например, в базе (файле) программы – менеджера паролей.

8. Меняйте пароль сразу после регистрации

Зарегистрировались на веб-сайте? Система сама сгенерировала для вас пароль? Зайдите в настройки аккаунта и поменяйте его на собственный, надежный.

9. Не используйте один пароль для разных ресурсов

Никогда не используйте один и тот же пароль для доступа к разным аккаунтам, сервисам, устройствам.

10. Время от времени меняйте пароли

Меняйте раз в полгода или чаще. Даже если всё выглядит так, будто угроз нет и старый пароль может "послужит еще". Бывает так, что пароль скомпрометирован, а пользователь об этом не подозревает.

11. Не используйте пароли повторно

Не нужно использовать старый пароль. Делать новый пароль путем добавления/изменения одного-двух символов в прежнем – тоже не лучшая мысль.

12. Быстро меняйте скомпрометированный пароль

Если нарушено какое-либо из данных правил, или у вас есть основания подозревать, что оно было нарушено – не откладывая, смените пароль. Например, если вы были вынуждены кому-то сообщить свой пароль; если вы по неосторожности (незнанию) его записали на бумагу и потеряли ее; если вы заметили какую-нибудь подозрительную активность в своем аккаунте (например, следы несанкционированного доступа), если вы только что успешно пролечили компьютер от вирусов. Смену пароля нужно производить с заведомо "здорового",  очищенного от вредоносного кода устройства.

13. Выходите из аккаунта по окончании работы

Закончили наполнять веб-сайт новыми материалами? Прочитали электронную почту и ответили на все письма? Социальная сеть больше не нужна? Выйдите из аккаунта. Пароль придется ввести снова, но это меньшее зло по сравнению с тем, когда посторонний человек, которому в руки попал ваш компьютер, запускает браузер и видит там все ваши персональные сервисы открытыми.

14. Не позволяйте браузеру сохранять пароли для вас

Во всех современных браузерах эта функция включена по умолчанию. Отключите ее (и удалите все сохраненные ранее пароли, предварительно перенеся актуальные в надежное место). Удобно пользоваться приватным режимом (в Mozilla Firefox называется "приватное окно", в Google Chrome – режим инкогнито). В приватном режиме браузер не запоминает пароли и другие данные, такие как историю посещенных страниц и куки-файлы. Хранить пароли лучше в надежном, защищенном менеджере паролей (например, KeePassX).

15. Включайте двухфакторную аутентификацию

Страховка: добавьте к паролю еще один, дополнительный ключ. Популярные соцсети и провайдеры услуг вроде Google позволяют это делать.

16. Осторожнее со схемами восстановления пароля

Большинство сервисов предлагает функцию восстановления пароля – по дополнительному адресу e-mail, по телефону, по ответу на секретный вопрос и др. Сама возможность восстановить пароль – потенциальная уязвимость, поэтому лучшим решением с точки зрения безопасности было бы вообще не использовать функцию восстановления паролей. Вместо того, чтобы терять пароли и восстанавливать их, вложите немного усилий в надежное хранение паролей и создание резервных копий.

17. Храните пароль в надежном месте

Не следует хранить пароли на листочках бумаги, записывать их на обороте проездного билета или использовать для паролей текстовые файлы (тем более – держать эти файлы на рабочем столе или в стандартной папке "Мои документы"). Лучше всего хранить пароли в защищенном, зашифрованном менеджере паролей (например, KeePassX). Попробуйте, вам понравится. Особенно если у вас больше трех-четырех паролей. В таком менеджере можно хранить также пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС.

18. Не забывайте делать резервные копии

Резервные копии паролей обеспечат надежный "тыл". Делайте копии регулярно и храните их отдельно от устройства, на котором вводите пароли каждый день. Например, на флешке или съемном жестком диске.


Как создать и запомнить надежный пароль

Современный пользователь может иметь десятки паролей. Если вы последуете нашему совету и станете хранить пароли под защитой менеджера паролей, вы решите проблему количества. Но вам все равно понадобится знать, как создавать надежные пароли. Придется также придумать и запомнить мастер-пароль, чтобы защитить само хранилище. Как?

Способ 1

Используйте разные символы: буквы (прописные и строчные), цифры, знаки препинания (насколько позволяет сервис, для которого вы создаете пароль).

jdkwevmfkkdfdorfqmx – менее надежный (одна категория символов)
JdkwEvmfkKdfdOrfqMx – лучше (две категории)
Jd4wEvmfkKd2dOrf9Mx – еще лучше (три категории)
Jd4wE#m!kK_2dOf9Mx – хорошо (четыре категории)

Увы, запомнить такую абракадабру очень трудно. Чтобы решить эту проблему, воспользуйтесь мнемоническим методом. Вместо того, чтобы запоминать пароль, запомните хорошо знакомую вам фразу и несколько правил. Вот как выглядит возможный результат:

3pkm,1i3ev,K4:"P,p!"

Этот надежный пароль состоит из букв в разном регистре, цифр и знаков препинания. Кажется, что запомнить его нереально. Но это и не требуется. В основе – фраза из "Макбета":

Трижды пестрый кот мяукнул,
Раз и трижды ежик всхлипнул,
Крикнул черт: "Пора, пора!"

Эту фразу очень легко запомнить, особенно если вы любите Шекспира. (Если нет, можно выбрать другое художественное произведение или, например, песню). Вдобавок нужно запомнить несколько придуманных нами же правил (у вас могут быть собственные правила):

  • Берем первые буквы каждого слова.
  • Меняем числительные на цифры.
  • Букву "ч" меняем на цифру "4".

После некоторой тренировки вы настолько привыкнете к мнемоническому способу, что будете лишь снисходительно улыбаться над попытками друзей и коллег придумать и запомнить "сложный" пароль из имени тещи, номера машины и названия любимого кафе.

Способ 2

Этот способ называется diceware (метод игральных костей). Здесь ставка делается на случайность выборки слов из большого словаря. Вы бросаете несколько "костей" (кубиков). На каждом кубике выпадает какая-либо цифра, вместе они составляют число, например:

3 6 6 1 3   (в этом примере пять кубиков, но если у вас всего один, вы можете бросить его пять раз)

Открываем словарь и ищем, какое слово соответствует числу 36613. Допустим, это слово map (карта).

Бросаем кубики еще несколько раз (пусть шесть). Пользуясь словарем, получаем набор из шести случайных слов, скажем, такой:

accurate (правильный)
map (карта)
tiny (крошечный)
spruce (ель)
kangaroo (кенгуру)

accuratemaptinysprucekangaroo — ваш новый пароль

Поскольку слова случайные, составить осмысленную фразу вряд ли получится, но можно немножко упростить задачу: accurate map under a tiny spruce for a kangaroo (аккуратная карта под маленькой елочкой для кенгуру). Так будет легче поначалу. Как бы нелепо ни звучала фраза, ее на удивление легко запомнить. Для усиления надежности можете добавить какой-нибудь символ из другого множества, например:

accuratemaptinysprucekangaroo#

Словарь английских слов можно увидеть, например, на сайте Electronic Frontier Foundation (.txt). При желании вы найдете в интернете и словарь русских слов. Конечно, вы можете попробовать придумать слова самостоятельно, не прибегая к словарю, но это рискованно: такие слова могут оказаться не случайными, а связанными между собой какими-то ассоциациями или даже фактами, о которых может знать злоумышленник.

Версия для печати