Принципы парольной защиты

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Проверьте себя или выстройте защиту с нуля, если ещё не сделали этого.
e216a322-24bb-4141-a890-7eea8ced11ef

1

Почему пароли — это важно?

Пароли — основная защита для аккаунтов. Но мы часто относимся к ним недостаточно ответственно: храним их в ненадёжных местах или даже вовсе забываем, в то время как они являются лакомым кусочком для всякого, кто хочет получить доступ к нашим персональным данным. Если думаете, что информация о вас никому не нужна, советуем ознакомиться с другими нашими карточками.

По статистике Bi.zone («дочки» Сбербанка), подбор паролей к аккаунту пользователей стал самым популярным методом среди успешных попыток взлома компьютера в 2020–2021 годах. На него приходится 46% случаев атак. На втором месте с 34% идут фишинговые письма.

Напоминаем, как обезопасить свои пароли, ниже.

2

И каковы же основные принципы защиты, собственно?

Для надёжной защиты паролей и, соответственно, аккаунтов необходимо сделать следующее.

  1. Использовать менеджер паролей.

  2. Остерегаться фишинга и настроить двухфакторную аутентификацию.

3

Что такое менеджер паролей?

Менеджер паролей — приложение для создания и хранения паролей. Помимо этого в нём можно хранить пин-коды и важные персональные данные, к примеру, ИНН и СНИЛС. Суть ПО заключается в том, что вам не нужно держать в голове все свои пароли — достаточно записать их в менеджере и запомнить один-единственный пароль от него — мастер-пароль. 

В менеджере паролей пароли часто хранятся в зашифрованном виде и в облаке. Если вы выбрали облачный менеджер, тогда периодически следует делать бэкапы (резервное копирование) на случай потери доступа к нему.

4

Менеджер паролей лучше облачный или нет?

Зависит от того, что важнее. Облачный удобнее, он позволяет синхронизировать разные устройства и имеет приложения и расширения для браузеров. Плюсы таких сервисов в том, что они самостоятельно заботятся о резервном копировании пользовательских баз, вставляют пароли и другую информацию в формы и имеют дополнительные функции, например, оповещают владельцев, когда адреса или пароли последних фигурируют в утечках данных. 

Зато при хранении базы на собственном устройстве надёжнее не надо доверяться владельцу облака. Плюс офлайн-менеджеров заключается в том, что их база паролей — просто файл на компьютере. Такие менеджеры паролей можно использовать на нескольких устройствах, но для этого нужно вручную переносить базу с одного устройства на другое.

5

А какой конкретно менеджер паролей вы порекомендуете?

По нашей версии, наиболее надёжны следующие сервисы.

 • KeePassXC. С точки зрения алгоритмов и безопасности он мало чем отличается от других KeePass-братьев, но обладает некоторыми «фишками» и кроссплатформенностью. Имеет плагины для браузеров: KeePassXC для Firefox и KeePassXC для Chrome. База хранится на устройстве самого пользователя.

Как работать с этим менеджером, читайте тут

Pass. Он использует библиотеку функций PGP (для шифрования) и программу Git для версионирования и хранения), что позволяет держать хранилище паролей держать даже в виде публичного репозитория на GitHub. Плагин для работы с Pass для Firefox здесь, для Chrome здесь

•  Bitwarden. Удобный, очень простой в использовании, при этом бесплатный облачный менеджер паролей с открытым кодом. Поддерживает все популярные браузеры — Google Chrome, Mozilla Firefox, Safari, Edge — и браузеры на основе Chromium (например, Brave).

Как работать с этим менеджером, читайте тут.

6

Если я забуду мастер-пароль, я смогу его восстановить?

По соображениям безопасности — нет. Так что постарайтесь не забывать один-единственный пароль.

7

Ох. Как его запомнить? И как вообще запомнить сложный пароль, если я всё-таки не хочу пользоваться менеджером?

Для  этого можно использовать следующие мнемонические техники.

 

  1. Песенка.

Возьмите несколько строф любимого стиха или песни. 

  • В нём запомните первые буквы каждого слова.

  • Поменяйте числительные на цифры.

  • Букву «ч» замените на цифру «4» (или придумайте своё какое угодно правило).

Запомните получившуюся комбинацию. 

 

  1. Слова наугад.

Возьмите несколько случайных слов из книги (чем больше, тем лучше). Свяжите их по смыслу. Запомните получившуюся комбинацию. Помните, что надёжный пароль должен состоять из по крайней мере 12 символов, сочетать прописные, строчные буквы и цифры и в целом быть таким, чтобы вам было легко его запомнить, а другим — сложно отгадать.

 

Подробнее о техниках читайте здесь.

8

С паролями разобрались. А что такое двухфакторная аутентификация?

Двухфакторная аутентификация — двойной уровень защиты, при котором помимо пароля нужно предоставить системе ещё одно подтверждение, что аккаунт принадлежит вам. Например, ввести код, полученный по СМС. К слову, такую двухфакторку лучше не использовать. Вместо этого рекомендуем установить мобильное приложение Google Authenticator, которое будет генерировать специальные коды.

9

Хорошо. Есть ещё что-то, что стоит знать?

Да. 

  • Используйте VPN в открытых или публичных сетях, например, в Wi-Fi в общественном транспорте. Конечно, у владельца сервиса VPN, который предоставляет вам доступ в свою сеть, есть возможность посмотреть ваш трафик — 100% защита невозможна в принципе. Но всё-таки есть более-менее проверенные сервисы. Как выбрать и установить VPN, мы рассказывали здесь.

  • Старайтесь никому  не отправлять такую конфиденциальную информацию, как пароли, а если всё-таки пришлось, тогда уж отсылайте частями и в разных каналах.

  • Остерегайтесь фишинг-атак. Не открывайте подозрительные сайты, нежданные письма и вложения в них. В случае, если, например, вам пришло экстренное письмо из  «банка», свяжитесь напрямую с банком и проверьте информацию.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.