Пароли и безопасность

Компании взламывают постоянно. Когда это происходит, хакеры пробуют те же комбинации email/пароль на других сайтах. Это называется «credential stuffing».

Если вы используете один пароль везде — одна утечка даёт преступникам доступ ко всему.

Решение: Используйте разный пароль для каждого аккаунта.

Как управлять: Используйте менеджер паролей.

• Генерирует сильные случайные пароли
• Запоминает их все
• Автоматически заполняет при входе
• Вы помните только ОДИН мастер-пароль

Звучит рискованно, но менеджеры используют серьёзное шифрование. Ваши пароли там гораздо безопаснее, чем повторно используемые в интернете.

Смотрите: Менеджеры паролей

2FA добавляет второй замок к вашим аккаунтам. Пароль + что-то, что у вас есть (обычно телефон).

Типы:

• SMS-коды — Лучше, чем ничего, но могут перехватить
• Приложения-аутентификаторы — Намного лучше, коды меняются каждые 30 секунд
• Аппаратные ключи — Самое безопасное, требуется физическое устройство

Зачем возиться?

2FA останавливает большинство захватов аккаунтов, даже если кто-то знает ваш пароль. Большинство взломов поражают аккаунты БЕЗ 2FA.

Включите сначала на:

• Почте (контролирует все сбросы паролей)
• Банкинге
• Соцсетях

Смотрите: Рекомендации по 2FA

Это ЕДИНСТВЕННЫЙ пароль, который нельзя забыть. У большинства менеджеров нет опции «забыл пароль» — это функция безопасности.

Предотвратите катастрофу:

• Запишите его и храните в безопасном месте (не на стикере)
• Используйте запоминающуюся фразу: «фиолетовый-конь-танцует-вторник»
• Настройте ключи восстановления при создании аккаунта
• Назначьте экстренный контакт, если ваш менеджер поддерживает это

Уже забыли?

Проверьте, залогинены ли вы ещё где-то — экспортируйте пароли до блокировки. Поищите ключи восстановления, которые могли сохранить.

Худший случай:

Начните заново и сбросьте все пароли вручную. Болезненно, но поэтому эти системы безопасны.

Да, гораздо безопаснее альтернативы (повторное использование паролей или записывание их).

Как они защищают:

• Сильное шифрование (даже компания не видит ваши пароли)
• Одна утечка не раскрывает всё (в отличие от повторяемых паролей)
• Генерирует пароли, которые люди не угадают
• Предупреждает о скомпрометированных паролях

Ответы на опасения:

«Все яйца в одной корзине?» Да, но это очень надёжная корзина. Альтернатива — десятки слабых повторяемых паролей.

«А если их взломают?» Хорошие менеджеры шифруют всё локально. Даже при взломе серверов хакеры получают только зашифрованную бессмыслицу.

«Компания видит мои пароли?» При zero-knowledge шифровании — нет. Только у вас есть ключ.

Смотрите: Рекомендации менеджеров

Длина важнее всего. Длинная фраза побеждает короткую сложную.

Хорошо:

• «фиолетовый-конь-танцует-вторник» (длинные случайные слова)
• 20+ случайных символов из менеджера

Плохо:

• «P@r0ль!» (частые замены, легко взломать)
• Ваш день рождения, кличка питомца или что-то угадываемое
• Словарные слова сами по себе

Математика:

12-символьный случайный пароль требует миллионов лет для взлома перебором. 8-символьный? Часов.

Лучший подход:

Пусть менеджер генерирует их. Вам не нужно помнить «xK#9mP2$vL@n» — это работа менеджера.

Для тех немногих паролей, которые вы ДОЛЖНЫ запомнить (мастер-пароль, PIN телефона), используйте длинные фразы со случайными словами.