Принципы парольной защиты

Пароли — основная защита для аккаунтов. Но мы часто относимся к ним недостаточно ответственно: храним их в ненадёжных местах или даже вовсе забываем, в то время как они являются лакомым кусочком для всякого, кто хочет получить доступ к нашим персональным данным. Если думаете, что информация о вас никому не нужна, советуем ознакомиться с другими нашими карточками.

По статистике Bi.zone («дочки» Сбербанка), подбор паролей к аккаунту пользователей стал самым популярным методом среди успешных попыток взлома компьютера в 2020–2021 годах. На него приходится 46% случаев атак. На втором месте с 34% идут фишинговые письма.

Напоминаем, как обезопасить свои пароли, ниже.

Для надёжной защиты паролей и, соответственно, аккаунтов необходимо сделать следующее.

1. Использовать менеджер паролей.

2. Остерегаться фишинга и настроить двухфакторную аутентификацию.

Менеджер паролей — приложение для создания и хранения паролей. Помимо этого в нём можно хранить пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС. Суть ПО заключается в том, что вам не нужно держать в голове все свои пароли — достаточно записать их в менеджере и запомнить один-единственный пароль от него — мастер-пароль. 

В менеджере паролей пароли часто хранятся в зашифрованном виде и в облаке. Если вы выбрали облачный менеджер, тогда периодически следует делать бэкапы (резервное копирование) на случай потери доступа к нему.

Зависит от того, что важнее. Облачный удобнее, он позволяет синхронизировать разные устройства и имеет приложения и расширения для браузеров. Плюсы таких сервисов в том, что они самостоятельно заботятся о резервном копировании пользовательских баз, вставляют пароли и другую информацию в формы и имеют дополнительные функции, например, оповещают владельцев, когда адреса или пароли последних фигурируют в утечках данных. 

Зато при хранении базы на собственном устройстве надёжнее не надо доверяться владельцу облака. Плюс офлайн-менеджеров заключается в том, что их база паролей — просто файл на компьютере. Такие менеджеры паролей можно использовать на нескольких устройствах, но для этого нужно вручную переносить базу с одного устройства на другое.

По нашей версии, наиболее надёжны следующие сервисы.

 • KeePassXC. С точки зрения алгоритмов и безопасности он мало чем отличается от других KeePass-братьев, но обладает некоторыми «фишками» и кроссплатформенностью. Имеет плагины для браузеров: KeePassXC для Firefox и KeePassXC для Chrome. База хранится на устройстве самого пользователя.

Как работать с этим менеджером, читайте тут. 

• Pass. Он использует библиотеку функций PGP (для шифрования) и программу Git для версионирования и хранения), что позволяет держать хранилище паролей держать даже в виде публичного репозитория на GitHub. Плагин для работы с Pass для Firefox здесь, для Chrome здесь. 

•  Bitwarden. Удобный, очень простой в использовании, при этом бесплатный облачный менеджер паролей с открытым кодом. Поддерживает все популярные браузеры — Google Chrome, Mozilla Firefox, Safari, Edge — и браузеры на основе Chromium (например, Brave).

Как работать с этим менеджером, читайте тут.

По соображениям безопасности — нет. Так что постарайтесь не забывать один-единственный пароль.

Для  этого можно использовать следующие мнемонические техники.

1. Песенка.

Возьмите несколько строф любимого стиха или песни. 

• В нём запомните первые буквы каждого слова.

• Поменяйте числительные на цифры.

• Букву «ч» замените на цифру «4» (или придумайте своё какое угодно правило).

Запомните получившуюся комбинацию. 

2. Слова наугад.

Возьмите несколько случайных слов из книги (чем больше, тем лучше). Свяжите их по смыслу. Запомните получившуюся комбинацию. Помните, что надёжный пароль должен состоять из по крайней мере 12 символов, сочетать прописные, строчные буквы и цифры и в целом быть таким, чтобы вам было легко его запомнить, а другим — сложно отгадать.

Подробнее о техниках читайте здесь.

Двухфакторная аутентификация — двойной уровень защиты, при котором помимо пароля нужно предоставить системе ещё одно подтверждение, что аккаунт принадлежит вам. Например, ввести код, полученный по СМС. К слову, такую двухфакторку лучше не использовать. Вместо этого рекомендуем установить мобильное приложение Google Authenticator, которое будет генерировать специальные коды.

Да. 

• Используйте VPN в открытых или публичных сетях, например, в Wi-Fi в общественном транспорте. Конечно, у владельца сервиса VPN, который предоставляет вам доступ в свою сеть, есть возможность посмотреть ваш трафик — 100% защита невозможна в принципе. Но всё-таки есть более-менее проверенные сервисы. Как выбрать и установить VPN, мы рассказывали здесь.

• Старайтесь никому  не отправлять такую конфиденциальную информацию, как пароли, а если всё-таки пришлось, тогда уж отсылайте частями и в разных каналах.

• Остерегайтесь фишинг-атак. Не открывайте подозрительные сайты, нежданные письма и вложения в них. В случае, если, например, вам пришло экстренное письмо из  «банка», свяжитесь напрямую с банком и проверьте информацию.