«12345» действительно плохо: полное руководство по защите паролей

Мы снова и снова сообщаем вам, что единственный безопасный способ хранить и использовать пароли – это полагаться на менеджер паролей, но некоторые из вас не слушают. В опросе PCMag о паролях только 24% из вас сообщили об использовании диспетчера паролей. Что делаете остальные? Используете простые пароли, такие как пароль или 12345678? Запоминать один сложный пароль и использовать его везде? Послушайте, забота о безопасности паролей – дело немалое, но с учетом огромного масштаба риска, как показано в недавнем взломе Сборника № 1, который выявил 773 миллион взломанные адреса электронной почты – вам нужно сделать все возможное, чтобы ваши пароли были в безопасности.

Даже если вы используете лучший менеджер паролей, это не гарантирует безопасность ваших учетных записей, особенно если вы используете менеджер паролей для запоминания тех же старых, утомленных паролей. Вы должны спуститься в окопы и заменить плохие пароли на новые, более надежные.

Упомянутый выше опрос показал, что 35% читателей PCMag никогда не меняют свои пароли, если только они не вынуждены это сделать из-за взлома. В общем, это не так такой плохая вещь. Национальный институт стандартов и технологий больше не рекомендует менять пароли каждые 90 дней. NIST теперь рекомендует использовать длинные парольные фразы, такие как «Correct-Horse-Battery-Staple», и изменять их только при необходимости. Но если вы используете ужасные пароли, «когда необходимо» означает прямо сейчас.

Что делает плохой пароль? Мы рассмотрим некоторые атрибуты ужасных паролей, а затем дадим вам несколько советов о том, как правильно вводить пароли.

Держитесь подальше от словаря

Каждые несколько месяцев то или иное новостное издание публикует список худших паролей. Мы видим множество вариантов, которые легко набрать, например, 123456, 12345678 и qwerty. Легко для тебя? Конечно. Но хакерам также легко взломать. Другие распространенные (и ненадежные) пароли состоят из простых словарных слов. Мы видели бейсбол, обезьяну и звездные войны в списке худших паролей. Их тоже легко взломать.

Некоторые защищенные веб-сайты блокируются после определенного количества попыток ввода неправильного пароля, но многие этого не делают. Для тех, у кого нет блокировки на ошибочное предположение, хакеры могут скрестить список адресов электронной почты со списком популярных паролей и настроить автоматический процесс, чтобы продолжать пробовать комбинации, пока они не войдут.

Правильно защищенный веб-сайт нигде не хранит ваш пароль. Вместо этого он пропускает пароль через алгоритм хеширования, своего рода одностороннее шифрование. Один и тот же ввод всегда дает один и тот же вывод, но нет возможности вернуться к исходному паролю из полученного хэша. Если пароль, который вы вводите, соответствует тому же значению, которое хранится, вы получаете доступ. Даже если хакеры перехватывают данные пользователя сайта, они не получают пароли, а только хеши.

Но умные хакеры могут взломать слабые пароли, даже если они хешированы, если они знают, какую хэш-функцию использует сайт. Они начинают с запуска огромного словаря общих паролей с помощью функции хеширования. Затем они ищут полученные хеши в захваченных данных. Каждое совпадение – это взломанный пароль. Сайты с наивысшей безопасностью улучшают хэш-функцию с помощью техники, называемой «соление», которая делает невозможным такой вид взлома на основе таблиц, но зачем рисковать? Просто держись подальше от словаря.

Думать по-другому

Однажды друг сказал мне свой идеальный пароль: 1qaz2wsx3edc4rfv. Она могла «напечатать» его, просто проведя пальцем по четырем наклонным столбцам клавиатуры. Он был настолько прекрасен, что она использовала его везде. И это было большой ошибкой.

Не проходит и недели без новостей о взломе какой-либо компании или веб-сайте, разоблачающем тысячи или миллионы имен пользователей и паролей. Умные жертвы немедленно меняют свои пароли. Те, кто игнорирует проблему, могут оказаться заблокированными в своих учетных записях после того, как хакеры сбросят пароль.

Эти хакеры знают, что слишком много людей перерабатывают свои пароли. Найдя рабочую пару имени пользователя и пароля, они пробуют использовать те же учетные данные на других сайтах. Возможно, вы не так беспокоитесь о потере доступа к своей учетной записи Club Penguin, но если вы использовали тот же логин на веб-сайте своего банка, у вас возникнут большие проблемы.

Становится хуже. Если кто-то другой получит контроль над вашей учетной записью электронной почты, он может сначала заблокировать вас, изменив пароль. Затем они могут взломать другие ваши учетные записи, отправив ссылку для сброса пароля на эту учетную запись. Еще не переживаете?

Не переходи на личности

Использование личной информации в качестве основы для ваших паролей ужасно заманчиво, но это плохая идея. Скорее всего, имя вашей собаки появляется в словарях, которые хакеры используют для атак грубой силы. Другие возможности, такие как инициалы и дата рождения члена семьи, вероятно, не поддадутся атаке методом грубой силы, но если кто-то захочет специально взломать вашу учетную запись, эти личные данные могут подпитывать атаку методом проб и ошибок.

Ни на минуту не думайте, что ваши личные данные являются конфиденциальными. Есть десятки сайтов, на которых люди могут найти подробную информацию о любом человеке: адрес, дату рождения, семейное положение и многое другое. Ваши сообщения в социальных сетях могут быть еще одним источником личной информации, особенно если вы должным образом не защитили свои учетные записи. Решительный хакер (или любопытный сосед), вероятно, сможет угадать любой пароль, созданный вами на основе ваших собственных данных.

Закройте заднюю дверь

Если вы не используете диспетчер паролей, вы наверняка забыли пароль для сайта. Это слишком часто, поэтому практически на каждой странице входа есть надпись «Забыли пароль?» связь. Некоторые сайты отправляют ссылку для сброса на ваш адрес электронной почты, в то время как другие позволяют сбросить пароль после ответа на контрольные вопросы. И это открывает черный ход для любого, кто хочет взломать ваш аккаунт.

Большинство сайтов предлагают ужасные варианты ответов на вопросы безопасности. Какая девичья фамилия вашей матери? Где ты учился в средней школе? Какой была ваша первая работа? Как уже отмечалось, ваша личная жизнь – открытая книга для всех, у кого есть навыки поиска в Интернете. По возможности игнорируйте заданные вопросы. Создайте свой собственный вопрос с уникальным ответом, который вы всегда будете помнить, но который никто не сможет угадать.

Труднее, когда сайт не позволяет вам определять свои собственные вопросы. В таком случае лучше всего использовать запоминающийся ответ, который является полной ложью. Девичья фамилия моей матери – Обама. Я ходил в школу при Коммунистической школе мучеников. На своей первой работе я был укротителем львов. Здесь присутствует элемент риска, поскольку вы можете забыть, какую ложь выбрали. Я бы посоветовал хранить эти странные ответы в качестве защищенных заметок в вашем диспетчере паролей … но если бы вы использовали диспетчер паролей, он бы запомнил пароль для вас.

Что делать, если вам не все равно

Надеюсь, я убедил вас, что использование общих паролей – плохая идея, как создание паролей из личной информации. И даже самый надежный случайный пароль становится помехой, если вы используете его повсюду. Если вы готовы действовать, вот несколько отправных точек:

• Используйте менеджер паролей.
• Переключитесь на лучший менеджер паролей.
• Запомните безумно надежный мастер-пароль для вашего менеджера паролей.
• Воспользуйтесь генератором случайных паролей, чтобы обновить свои старые плохие пароли.
• Вы даже можете создать свой собственный генератор случайных паролей в Excel.
• Включите двухфакторную аутентификацию везде, где это возможно.

Если безопасный сайт не заботится о безопасности, вы все равно можете потерять учетные данные этого сайта из-за утечки данных, но, сделав все свои пароли длинными, надежными и уникальными, вы сделали все возможное, чтобы защитить свои учетные записи в Интернете.

Эй! Теперь, когда вы в ударе с точки зрения безопасности, подумайте о добавлении виртуальной частной сети или VPN. Использование надежных паролей для безопасных сайтов означает, что посторонние не смогут взломать ваши учетные записи; добавление VPN означает, что никто не сможет перехватить ваше соединение с этими безопасными сайтами.