Как защитить учетные записи и пароли: пять практических советов

Парольная безопасность в настоящее время на не самом высоком уровне. Согласно исследованиям, до 86% взломанных паролей уже были ранее скомпрометированы. Повторное использование скомпрометированных паролей — причина более чем 75% кибератак на инфраструктуру компаний. Пользователи часто используют в качестве паролей расположенные рядом символы (1234567, qwerty и т. п.) — и это также упрощает жизнь атакующим.

В нашем новом материале — подборка практических советов, которые помогут вам защитить свои пароли и учетные записи.

Регулярно проверяйте свои учетные записи на факт взлома

Существуют сайты, на которых можно узнать, был ли взломан конкретный почтовый адрес. Один из них — Have I Been Pwned. В подобных базах данных собирается информация об учетных записях, скомпрометированных в ходе различных взломов. Если адрес идентифицирован как скомпрометированный — это верный признак того, что пора сменить пароль и воспользоваться дополнительными средствами безопасности, например двухфакторной аутентификацией.

Помимо этого существуют специализированные расширения для браузера, которые оповещают пользователя об использовании недостаточно сильных паролей и сообщают о факте компрометации, — например, такой инструмент есть для Chrome.

Скриншот расширения PassProtect

Поработайте над сложностью пароля

Чем сложнее пароль, тем больше ресурсов злоумышленникам понадобится на то, чтобы его скомпрометировать. Чтобы создать по-настоящему сложный пароль, следует понимать, как работают программы для их подбора. Обычно пароль состоит из корня и суффикса.

В паролях могут использоваться словарные слова (вроде password, qwerty). Не всегда это так, но чаще всего это что-то, что можно произнести, к чему добавляются разные суффиксы или префиксы. Программы для подбора паролей используют словари (английский и другие языки), заменяют буквы похожими на них символами ($ вместо S и т. п.) Для подбора паролей может также использоваться информация из адресной книги, важные даты и другие персональные данные.

Знаменитый криптограф, автор книг по информационной безопасности Брюс Шнайер убежден, что для создания сильного пароля нужно стремиться затруднить его подбор. Он предлагает использовать предложения, которые превращаются в пароль. Например, из фразы «this little piggy went to market» («маленькая хрюшка пошла на рынок») можно сделать что-то типа «tlpWENT2m». Пароль из девяти символов, которого не будет ни в каком словаре.

При этом надо следовать правилу, согласно которому пароль должен состоять из комбинации слов, чисел, спецсимволов и букв в верхнем и нижнем регистре.

Не всегда нужно гнаться за удобством

Злоумышленники пользуются стремлением интернет-пользователей к удобству. Людям проще не запоминать длинные пароли и использовать одни и те же данные для доступа на разных ресурсах. Это дает взломщикам возможность, скомпрометировав лишь одну учетную запись, атаковать пользователя сразу на нескольких сайтах.

Поскольку запоминать разные пароли сложно, многие используют для этого специальные программы. По мнению эксперта Positive Technologies Дмитрия Склярова, использование таких инструментов может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.


«Сейчас многие программы для хранения паролей имеют версии для мобильных ОС и предлагают синхронизацию через облако. Это, безусловно, удобно, но такое удобство почти противоречит безопасности».

Записывать пароли нужно с умом

Большое количество пользователей предпочитают по старинке записывать пароли на бумаге. Американский исследователь безопасности Брайан Кребс считает, что такой подход имеет право на жизнь. Однако эксперт призывает записывать в таком виде не сами пароли, а подсказки, которые помогут их вспомнить в нужный момент.

К примеру, если пароль был создан по методу, предложенному Брюсом Шнайером (из какой-либо фразы), то записать на бумагу можно эту исходную фразу или указание на нее.

По возможности используйте двухфакторную аутентификацию

Двухфакторная аутентификация — еще один способ затруднить проведение атаки. Впрочем, следует понимать, что этот способ тоже не гарантирует полной безопасности. К примеру, если одноразовые пароли отправляются через SMS: согласно исследованию Positive Technologies, существует возможность их перехвата.

Перехват SMS в 4G-сетях

Поэтому по возможности имеет смысл использовать альтернативные методы двухфакторной аутентификации, например с помощью специальных приложений вроде Google Authenticator.

Другие публикации в блоге PTnews:

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.