Что такое ключ безопасности или токен? Взломать ваш аккаунт в социальной сети

Естественно чувствовать себя немного переживающим в отношении онлайн-безопасности в наши дни, из-за постоянных отчётов о новых вымогательствах, кражах паролей, нарушениях Equifax и уязвимостях Wi-Fi (в частности ).

Ещё один риск для безопасности - целенаправленные атаки, когда хакеры охотятся на аккаунты бизнес-лидеров, политиков, журналистов и других публичных людей.

К счастью, Гугл только что представил новую систему, предназначенную для защиты пользователей от таких атак - Программа дополнительной защиты . Давайте взглянем на ПДЗ: как она работает, как её использовать и кому это нужно.

Что делает программа дополнительной защиты?

ПДЗ фокусируется на трёх ключевых областях. Во-первых, она использует физический ключ безопасности (токен), чтобы защитить вас от фишинговых сайтов. Во-вторых, она ограничивает доступ третьих сторон к вашим электронным письмам и файлам Гугл. В-третьих, она блокирует мошеннический доступ к аккаунтам, и идея состоит в том, чтобы не позволить хакерам претендовать на то, чтобы притворяться вами. Это делается с помощью физических токенов безопасности поверх обычного имени пользователя и пароля.

Что такое ключ безопасности или токен?

Это устройство, подключаемое к Bluetooth или USB. Всё, что вы делаете, это подключаете его и нажимаете на кнопку. Так вы доказываете Гуглу, что вошли в свою учётную запись. Это фактически обходит другие методы, такие как двухэтапная проверка на основе эсемесок.

В рамках процесса регистрации для ПДЗ вам понадобятся два ключа: один Bluetooth (для телефона, планшета и/или ПК) и один USB (только для ПК). Гугл рекомендует использовать ключ безопасности Feitian MultiPass Fido (в настоящее время они все уже распроданы на Амазоне, поэтому это странная рекомендация) и ключ безопасности USB Yubikey Fido U2F (можно купить на Амазоне). , куда есть доставка из Амазона.

Если у вас уже есть два совместимых ключа, вам не нужно ничего покупать.

Как защитный ключ предотвращает фишинг-атаки?

Хакеры могут захватывать двухэтапные коды подтверждения, настраивая фишинговые сайты, которые маскируются под сайты Google. Однако с ключом безопасности вы не сможете войти на сайт, который не является подлинным, потому что ключ работает только с известными сайтами.

Насколько сложно использовать программу дополнительной защиты?

Это не сложно, но есть определенная проблема. Самое очевидное, вам нужно иметь физический ключ безопасности, когда вы захотите войти в приложение Google или на сайт. Если вы потеряете ключ, может потребоваться несколько дней, чтобы восстановить доступ к своей учётной записи.

Более того, ограниченный доступ к аккаунту означает, что вам придется отказаться от использования некоторых сторонних приложений, особенно тех, которые требуют доступа к Гмаил и/или Google Диску. Для Айфона и Айпада, в частности, обратите внимание: Apple Mail, Контакты и Календарь не будут работать под ПДЗ, вам придется переключиться на эквивалентные приложения Google.

Более того, если вы являетесь пользователем веб-браузеров Edge, Firefox или Opera, вы больше не сможете использовать этот браузер для входа в различные сервисы Гугла; использование ПДЗ означает использование только Хром, по крайней мере для ресурсов Google.

Должен ли я использовать ПДЗ?

Ключевое слово в понятии "целенаправленные атаки", конечно, "целенаправленные". Если вы являетесь частным лицом, вы менее подвержены взлому, чем вышеупомянутые лица, находящиеся под угрозой. Поэтому для вас ПДЗ может быть излишним. Но, кроме цены двух ключей безопасности, нет никаких затрат на его использование, и поэтому нет причин не попробовать этот метод защиты.

Тем не менее, если вы не особенно технологичны, я настоятельно рекомендую нанять специалиста по безопасности, чтобы помочь вам настроить токены. Как уже отмечалось выше, вы можете столкнуться с препятствиями, связанными с некоторыми важными сторонними сайтами и службами, и если вы полностью не понимаете, что делаете, даже что-то столь же простое, как использование ПДЗ, может оказаться сложной задачей.

Программа расширенной защиты мне не подходит. Какие ещё шаги я могу предпринять для защиты моей учётной записи?

Один из ваших лучших вариантов - включить , которая полагается на приложение-аутентификатор или текстовые сообщения SMS для проверки вашей личности. (Даже это не является надёжным вариантом, но мы рекомендуем первый вариант, так как было показано, что .)

Кроме этого, применяются обычные правила - используйте разные пароли для разных сайтов. Используйте менеджер паролей для генерации паролей и управления ими. Используйте VPN при подключении к общедоступным сетям Wi-Fi. Перефразируя старую поговорку: цена онлайн-безопасности - это вечная бдительность.

Получив доступ к вашему аккаунту, взломщик может притвориться вами на любом сервисе Яндекса, например рассылать спам с вашего адреса Яндекс.Почты. А если в вашей Почте остались адреса ваших знакомых, коллег или партнеров, мошенники могут разослать от вашего имени компьютерные вирусы или просьбы одолжить денег. Защита вашего аккаунта нужна не только вам, но и тем, кто вам доверяет.

Если же вы активно используете сервисы Яндекса или привязываете к Почте ценные для вас аккаунты на других сайтах, взломщик может нанести еще больший ущерб - потратить ваши деньги или взломать учетную запись в любимой игре.

Обратите особое внимание на защиту аккаунта, если:

Даже если вам кажется, что взламывать ваш аккаунт незачем, не стоит недооценивать проблемы, к которым это может привести.

Как могут взломать ваш аккаунт

Чтобы войти в ваш аккаунт, злоумышленник может попробовать:

1. Угадать ваш пароль

Угадать ваш пароль

Простой пароль несложно угадать. Например, если вас зовут Валентина и вы родились в 1975 году, пароль valentina1975 точно проверят. А если ваш пароль - один из тех, которые часто используют (например, qwerty или password1), злоумышленнику не понадобится много времени, чтобы перебрать все простые пароли и найти ваш.

Чтобы ваш пароль трудно было угадать, сделайте его посложнее по нашим рекомендациям .

Узнать ваш пароль

Сразу после регистрации ваш пароль не знает никто, кроме вас. Но, вольно или невольно, вы можете его раскрыть:

Вы можете отправить свой пароль в ответ на поддельное письмо или SMS. Злоумышленник может подделать сообщение от Яндекса, в котором потребует прислать ваш пароль, хотя Яндекс никогда не запрашивает ваш пароль таким образом.

Подробнее о мошеннических письмах можно узнать в разделе в Помощи Яндекс.Почты.

Вы можете ввести пароль на поддельном сайте. Злоумышленники могут подделать целый сайт и разместить его по похожему адресу, например yanclex.ru .

Чтобы этого не произошло, не вводите пароль, пока не убедитесь, что сайт настоящий.

Вы можете использовать один и тот же пароль на разных сайтах. Если взломщик узнал ваш пароль на каком-то одном сайте, он точно попробует войти с ним на все популярные сервисы, в том числе в ваш аккаунт на Яндексе.

Чтобы этого не произошло, придумывайте новый пароль при каждой регистрации.

Ваш компьютер может быть заражен вирусом, который следит за вашими действиями. С помощью такого вируса злоумышленник может увидеть все, что вы вводите с клавиатуры, в том числе ваш логин и пароль на Яндексе.

Чтобы этого не произошло, установите антивирус и регулярно обновляйте его. Бесплатный антивирус можно выбрать из нашего списка .

Взломать ваш аккаунт в социальной сети

Для аккаунтов, перечисленных на вашей странице , может быть разрешена авторизация на Яндексе. Это значит, что если злоумышленник взломает ваш аккаунт в соцсети, он сразу сможет войти в ваш аккаунт на Яндексе.

Чтобы этого не произошло, постарайтесь защитить вашу учетную запись в социальной сети так же, как аккаунт Яндекса: придумайте сложный пароль для входа, по возможности подтвердите номер телефона.

Взломать ваш дополнительный электронный адрес

Никому не сообщайте свой пароль

Сразу после регистрации ваш пароль не знает никто, кроме вас. Чтобы случайно не раскрыть его злоумышленнику, никому не сообщайте свой пароль и не вводите его на подозрительных сайтах.

Для программ и приложений (например, почтовых клиентов) безопаснее создавать специальные пароли .

Не используйте ваш пароль на других сервисах

Взломщик, который узнал ваш пароль на одном сервисе, обязательно проверит, подходит ли этот пароль к другим популярным сайтам, социальным сетям и играм.

Если вы зарегистрированы на множестве сервисов, запомнить все пароли может быть сложно. В этом случае попробуйте воспользоваться , но не забудьте изучить отзывы на выбранную программу или расширение, прежде чем доверять ей ваши данные.

Защитите свои средства восстановления доступа

Постарайтесь сделать так, чтобы взломщик не смог «восстановить» доступ к вашему аккаунту:

Если вы подтвердили номер телефона, следите за тем, чтобы он оставался актуальным. Когда вы меняете номер, сразу измените его на странице .

Если вы используете дополнительные электронные адреса для восстановления, защитите каждый из ваших дополнительных адресов так же, как аккаунт Яндекса: придумайте сложный пароль для входа, по возможности подтвердите номер телефона .

Если вы используете для восстановления доступа только контрольный вопрос, ознакомьтесь с нашими рекомендациями о том, как сделать контрольный вопрос более надежным.

Что делать, если вас взломали

Если вы заметили что-то странное в работе с Яндексом (например, знакомые получают от вас письма, которые вы не отправляли, или вы увидели в незнакомые места или программы), возможно, ваш аккаунт взломан.

Чтобы вернуть контроль над аккаунтом, следуйте нашим инструкциям .

Как придумать надежный пароль

Хороший пароль - такой, который сложно угадать или подобрать.

Внимание. Никогда и никому не сообщайте пароль, с помощью которого можно войти в ваш аккаунт. Чем больше людей знают ваш пароль, тем выше вероятность того, что его узнает злоумышленник.

Чтобы составить сложный пароль, используйте:

как прописные, так и строчные латинские буквы;

• знаки пунктуации:

  • допускаются ` ` ! @ # $ % ^ & * () - _ = + { } ; : " | , . < > / ?

    ;

    не допускаются только ~ и " .

Какие пароли ненадежные?

Что не стоит использовать в качестве пароля:

Пароли, которые вы уже используете на других сайтах или приложениях. Если кто-то узнал, например, ваш пароль к социальной сети, с этим паролем попробуют войти не только в Яндекс, но и в другие соцсети, почтовые сервисы, онлайн-банки.

Обычные слова ( margarita , begemot ), а также предсказуемые сочетания букв (qwerty , 123456)

Персональные данные, которые вы могли указать где-нибудь в интернете: имя, день рождения, номер паспорта и т. п. Даже девичью фамилию матери, которую казалось бы никто не знает, использовать не стоит.

Способы восстановления доступа

Если при регистрации аккаунта вы отказались подтвердить номер телефона, ваш аккаунт защищен только контрольным вопросом. В сущности, ответ на контрольный вопрос - это еще один пароль, который можно узнать или угадать так же, как и обычный пароль. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вам приходится использовать контрольный вопрос, постарайтесь защитить его .

Двухфакторная аутентификация

Устройство на базе Android или iOS позволяет вам установить приложение Яндекс.Ключ - с ним вам не придется запоминать и защищать пароль. Для каждого входа в Яндекс приложение генерирует одноразовый пароль, который перестанет работать сразу после того, как вы его введете.

Двухфакторная аутентификация это самый надежный способ защиты аккаунта Яндекса. Для взлома такой защиты необходимо, кроме прочего, украсть ваше устройство и разблокировать его.

Номер телефона

Защищенный номер телефона позволяет вам восстановить доступ к аккаунту с помощью кода, который Яндекс отправит вам в SMS. Не забывайте изменить защищенный номер, если вы больше не можете читать сообщения, которые на него приходят.

Даже если злоумышленник сможет войти в ваш аккаунт, у вас будет как минимум 30 дней на то, чтобы вернуть себе контроль над аккаунтом и сменить пароль.

Дополнительный электронный адрес

Дополнительный адрес позволяет восстановить доступ к аккаунту с помощью кода, который Яндекс отправляет на этот адрес в электронном письме. Злоумышленник, который смог войти в ваш аккаунт, может сравнительно легко отвязать дополнительный адрес от вашего аккаунта, чтобы помешать вам вернуть контроль над аккаунтом. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вы используете дополнительный адрес, не забудьте, что взломав его злоумышленник тоже сможет получить доступ к вашему аккаунту на Яндексе. Дополнительный адрес нужно хорошо защитить: придумать сильный пароль, по возможности включить двухфакторную аутентификацию или привязать номер телефона.

Контрольный вопрос

Если вы не используете другой способ восстановления доступа, ваш аккаунт будет защищен от взлома только контрольным вопросом. Поэтому ответ на контрольный вопрос подобрать или угадать должно быть так же сложно, как и пароль.

На контрольный вопрос лучше указывать ответ, известный только вам. Девичья фамилия матери, любимое блюдо, кличка домашнего животного, номер телефона или квартиры - все эти сведения могут быть известны вашим личным знакомым или даже общедоступны (например, если вы указали их в социальной сети). Попробуйте указать собственный контрольный вопрос, ответ на который вам будет легче запомнить, а злоумышленнику - сложнее угадать.

Согласно рейтингу операционных систем на апрель 2016 года, вышедшая всего пару лет назад Windows 10 находится на втором месте в мире по используемости. Подобный успех нельзя назвать случайным: компания Microsoft делает всё возможное для удобства пользования ОС и обеспечения безопасности данных. Одной из функций, добавивших компании Microsoft ещё большее количество неравнодушных к грамотным ОС потребителей, стала возможность входа в систему по ПИН-коду.

Плюсы использования PIN-кода

Главный плюс ПИН-кода этой операционной системы состоит в том, что с его помощью можно войти в учётную запись лишь на одном устройстве, на любых других вход будет невозможен.

Соответственно, если ПИН-код каким-то образом станет известен злоумышленникам, он окажется бесполезным без доступа к завязанному на него устройству, тогда как пароль Windows 10 в этом плане менее безопасен - его знание открывает возможность пользования любыми платформами, защиту которых осуществляет этот пароль. Помимо этого, без ПИН-кода вы не воспользуетесь такими функциями ОС, как, к примеру, сканером радужной оболочки, а также Windows Hello - способом авторизации при помощи касания или взгляда. С использованием данного сервиса пароль при входе в Windows 10 вводить не требуется.

Наконец, вход по коду гораздо удобнее ввода пароля на некоторых устройствах, так как вводить требуется не хитрую комбинацию из букв и цифр разных регистров, а всего лишь число.

Как установить код?

Защита учётной записи Win10 ПИН-кодом ставится в несколько кликов.

Для начала найдите "Параметры" и откройте "Учётные записи". Далее в списке с левой стороны выберите "Параметры входа", а затем нажмите находящуюся в разделе "ПИН-код" правой части экрана кнопку "Добавить".

ОС может запросить пароль аккаунта. В этом случае просто введите его и подтвердите, нажав на "ОК".

Если вы создавали аккаунт Microsoft, наберите пароль вашей учётной записи и осуществите вход. Далее набирайте непосредственно желаемый ПИН-код. Учтите, что код обязан состоять из не менее четырёх цифр, использование иных знаков недопустимо. Количество символов ПИН-кода ограничениями не связано, так что вы сможете защитить запись, исходя из личных усмотрений. Для просмотра введённых цифр нажмите кнопку, расположенную чуть правее поля ввода, и код на непродолжительное время будет показан.

Какой PIN-код установить?

Вот несколько советов по выбору ПИН-кода:

1) Конечно, чем длиннее ПИН-код, тем труднее его подобрать злоумышленнику, однако проследите за тем, чтобы его можно было набрать точно без особых затрат времени, так как тогда одно из преимуществ кода теряется.

2) Не используйте простые коды (1234, 9999, 0123456789 и т.д.), они вводятся взломщиками в первую очередь.

3) Не стоит ставить в качестве ПИН-кода пароли от других систем (банковских карт, электронных ящиков и т.д.) и устройств с той же операционной системой.

Как изменить или удалить?

Чтобы поменять код, в том же разделе настроек ПИН-кода выберите "Изменить", затем наберите текущий и новый коды сверху и снизу соответственно и подтвердите нажатием на кнопку"ОК".

Если вы хотите убрать код, откройте всё тот же раздел настроек ПИН-кода и нажмите на надпись "Я забыл мой ПИН". При вводе пароля вашей учётной записи вам будет доступна функция создания ПИН-кода.

Не работает ПИН?

Если ПИн код не работает, то в таком случае системы выведет меню "Параметры входа", где можно будет осуществить выбор любого другого способа входа, который был уже настроен ранее, среди которых есть обычный и графический ключи, Windows Hello и сам ПИН.

Заключение

Это нововведение от Microsoft позволяет сделать работы на вашем персональном устройстве более безопасной, защитить ваши персональные данные от нежелательного доступа третьих лиц. PIN-код прост и удобен в использовании, а главное - обеспечивает безопасность вашим личным данным, так что можете смело сказать "да" очередной функции Win10.

Видео по теме

Недавно стало известно об «уязвимости» в системе для корпоративных клиентов такси-сервиса Gett. Как выяснили исследователи, всем им по умолчанию выдавались одинаковые пароли (естественно, многие из них никто потом не меняет). В итоге, зная один пароль, злоумышленники могли попасть в множество аккаунтов сразу (среди клиентов Google Россия, «Вконтакте», Ozon и другие компании).

Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно - только за прошедшие пару лет в сеть утекали пароли пользователей таких крупных компаний, как , популярных , хакеры взламывали даже сами сервисы для хранения паролей . Исследования также показали, что одними из главных проблем безопасности онлайн-банков являются авторизация и аутентификация .

Чтобы повысить уровень защищенности своих пользователей, многие компании публикуют советы о том, как можно обезопасить свои учетные записи (вот на Хабре и материал стартапа Buffer или специальные страницы Microsoft и Google). Создатели популярных комиксов XKCD посвятили один из выпусков вопросам парольной защиты:

Мы решили опросить представителей ИТ-компаний, чтобы узнать, как они работают с паролями и каким из рекомендаций по обеспечению безопасности следуют сами:

Алексей Шевелев (@Boomburum), менеджер проектов компании «Тематические Медиа »

Сейчас использую 1password - нравится, что есть клиент для смартфона, планшета и нуотбука. Удобно и красиво, вроде даже безопасно. Внутри всё аккуратно разложено и заполнено, иногда меняю пароли на всех записях - дело муторное, но того стоит. Чаще всего использую генератор паролей, который генерирует длинные сложные пароли. Собственно, давно отказался от лёгких паролей.

На айфоне до недавнего времени работал TouchID, который перестал работать после замены кнопки - пришлось перейти на обычный пароль. Там можно использовать простой 4-значный код из цифр или более сложный (с буквами). Если же включить сложный пароль и использовать в коде только цифры, например, 137900 (6 цифр), то вместо qwerty-клавиатуры будет всё равно цифровая - это и удобно и более безопасно (6 цифр сложнее подобрать чем 4). Впрочем, в новой версии iOS вроде можно использовать более длинные коды.

Аркадий Прокудин, эксперт по информационной безопасности, автор и ведущий подкаста «Открытая безопасность »

Для создания паролей я использую два метода и никаких программных продуктов.
Первый - это старая школа: malen"kaya latinica+BOL"WAYA+спецсимволы@&)+цифры135

Такой пароль сложно запомнить. Но если найти в быту какую-нибудь замысловатую комбинацию, будет проще. Например: MicrosoftSilverlightBeta3.5a, Nokia3310, и т.д.

Второй метод: использовать в качестве пароля, строку одного из стихотворений в английской раскладке. Например «В траве сидел кузнечик» - D nhfdt cbltk repytxbr/.

Григорий Матвиевич, ведущий iOS-разработчик Redmadrobot

Сколько об этом ни говорят, но большинство людей использует совсем слабые пароли: qwerty, 12345, 11111. Часть людей усложняют пароли - составляют их из двух слов, добавляют цифры. Но на самом деле это не добавляет сильной стойкости. Все они достаточно быстро перебираются на современных вычислительных мощностях. Есть программы и алгоритмы, есть словари. Сильный пароль должен быть длинным, «случайным», содержать в себе буквы разного регистра, цифры и, желательно, символы.

Для сложного пароля я обычно придумываю какую-нибудь бессмысленную фразу или стишок: «рыба трактор 33 йогурт насос», и выдираю из каждого слова по букве. Потом запоминаю на каких-либо ассоциациях, и пароль готов. Еще бы я посоветовал иметь несколько паролей, потому что если вы регистрируетесь на каком-нибудь левом сервисе с таким же паролем, как и в вашем интернет-банке, то это может плохо кончиться для вашего кошелька.

Андрей Прозоров, руководитель экспертного направления в компании Solar Security

В последние несколько лет я стал слишком ленивым для запоминания паролей. Дело в том, что различных сервисов, на которых я зарегистрировался становится все больше и больше, пароли для них лучше выбирать стойкие (длинные, с цифрами и символами) и уникальные.

При этом классические идеи типа «используете ассоциативные парольные фразы» уже не работают. Для себя я пришел к использованию специального ПО для хранения и генерации паролей. Я использую клиент 1Password для iPhone, периодически делаю резервную копию.

Мои пароли сложны и уникальны, а общая база зашифрована. Мне удобно, риски такого хранения считаю минимальными.

Дмитрий Евтеев , технический директор компании HeadLight Security

Практика показывает, что большинство пользователей не столь изобретательны в контексте выбора паролей. Как правило пароли содержат имена, даты и иную, близкую человеку информацию из его реальной жизни. В совокупности с тем, что запоминалка у среднестатистического обывателя не слишком велика, большинство пользователей используют 2-3 пароля для всех своих систем, в которых требуется проходить аутентификацию с использованием парольной фразы. В корпоративных системах, где политика безопасности требует регулярной смены пароля также распространена ситуация, при которой люди либо записывают сложные пароли на бумажке и хранят ее поближе к клавиатуре, либо используют какую-то простую логику при создании пароля. Например, добавляют к некоему корню цифры, указывающие на дату смены пароля, или вообще используют счетчик (увеличивая в пароле цифры). В подобных случаях обладая знаниями о предыдущем пароле атакующий может легко определить логику его создания, и весь смысл данного действа в таком случае теряется - злоумышленник сможет каждый раз угадывать новый пароль. Как в случае частных пользователей, так и в корпоративной среде, обычно все пароли привязаны к одному email-аккаунту, взломав который хакер может получить доступ к различным системам и сервисам - наличие подобной чувствительной системы является отдельной проблемой информационной безопасности.

В целом, пароли - это очень плохо. Я сам каждый день сталкиваюсь с необходимостью помнить множество паролей от множества систем. В этом плане одноразовые пароли, отправляемые, скажем, по SMS - это крайне удобно. Однако и тут существуют свои подводные камни (те же SMS можно перехватить), но сама концепция одноразовых паролей позволяет значительно усложнить реализацию атаки. К сожалению пока не существует возможности привязки какого-то токена к глобальной системе аутентификации (хотя большой брат двигается в этом направлении), чтобы затем уже получать одноразовые пароли и прозрачно проходить авторизацию в большинстве интернет сервисов. При этом в корпоративной среде подобная система легко реализуема, но тут можно уткнуться носом в бюджет, ведь подобная система будет стоить недешево.

Что касается программ для хранения паролей, то их вполне можно применять, и я сам использую одну бесплатную программулину (не скажу какую) - иначе запомнить все свои пароли я бы просто не смог. При этом я не доверяю облачному софту для хранения паролей - при всем его удобстве в нем могут быть допущены ошибки (что уже было доказано успешными атаками на популярные сервисы), которые в свою очередь могут позволить злоумышленнику стянуть базу паролей всех пользователей и при успешном раскладе звезд узнать мастер-пароль, в таком случае последствия атаки будут крайне интересными… для атакующего.

Макс Крайнов, CEO Aviasales

У нас все просто: Roboform / OnePass или аналогичные системы. Пароли, содержащие меньше 16 символов с кучей кракозябр, вообше не рассматривается. Когда передаем пароли в чатах, сразу после подтверждения их стираем. Что касается доступа к данным, то у нас применяется политика need to know basis (доступ к данным, необходимым для работы, и не более - прим. ред.), если человек увольняется - меняем пароли. При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.

Дмитрий Скляров, старший аналитик Positive Technologies

Чтобы пароль остался только Вашим секретом, обычно достаточно следовать трем простым правилам:

• не пытаться придумать короткие легко запоминающиеся пароли;
• не использовать одинаковые пароли на разных ресурсах;
• не вводить пароли на компьютерах, которым нельзя доверять.

Чтобы не запоминать много длинных сложных паролей, можно использовать любой приличный Password Keeper. В нем же можно генерировать случайные пароли заданной стойкости.

Для защиты базы с паролями придется запомнить один надежный пароль. Как вариант – использовать парольную фразу длиной 20-30 символов.

Если Password Keeper поддерживает двухфакторную аутентификацию с помощью смарт-карты или USB Security Token – это повышает уровень безопасности и сужает «окно возможностей» для атакующего.

Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.

Сейчас многие программы для хранения паролей имеют версии под мобильные операционные системы и предлагают синхронизацию через облако. Это, безусловно, удобно, но удобство почти противоречит безопасности…

Мой выбор – KeePass на доверенных компьютерах, база защищена длинной парольной фразой. И никаких хранилищ паролей в облаках или на мобильных устройствах.

А вот, что по теме защите паролей думают зарубежные эксперты:

Джеспер Йоханссон , главный инженер по ИБ в Amazon

В некоторых компаниях есть политика безопасности, запрещающая сотрудникам записывать пароли на бумажки. Я считаю, это абсолютно неправильно (это заявление Йоханссон сделал еще будучи сотрудником Microsoft ). Все должно быть наоборот - в политике должно быть сказано, что вы должны записывать свой пароль. У меня 68 разных паролей для разных систем. Если мне нельзя будет ничего из этого записать, угадайте, что я сделаю? Я просто буду использовать везде один и тот же пароль.

До сих пор встречаются системы, которые не дают использовать «нормальные» пароли, поэтому я выберу самый простой и плохой из всех возможных вариантов. В то же время, если записать их на бумажку (и спрятать ее в надежное место), то тут проблем нет. Таким образом можно сохранить больше паролей и сделать их более сильными.

Брюс Шнайер , эксперт и автор книг по информационной безопасности и криптографии

Обычно пароль состоит из корня и суффикса. Корень может не обязательно быть словарным словом, но чаще всего, это что-то, что можно произнести, к чему добавляются разные суффиксы (в 90% случаев) или префиксы (в 10% случаев). Программы для подбора паролей используют словари (английский и другие языки), заменяют буквы похожими на них символами ($ вместо s и т.п.). Для подбора паролей может также использоваться информация из адресной книги, важные даты и другие персональные данные.

Чтобы создать сильный пароль, нужно сделать что-то, что затруднит этот процесс подбора. Я предлагаю использовать предложения, которые превращаются в пароль. Например, «This little piggy went to market» («маленькая хрюшка пошла на рынок») можно сделать что-то типа «tlpWENT2m». Пароль из девяти символов, которого не будет ни в каком словаре. После того, как я его опубликовал, конечно, конкретно этот использовать не надо, но суть ясна.

Если вы не можете запомнить все свои пароли, то запишите их на бумажке и носите в кошельке. Но писать надо не сам пароль, а исходное предложение, а лучше - какую-то подсказку, которая поможет его вспомнить. Или можно использовать Password Keeper, в этом ничего такого нет, многие не могут запомнить все свои пароли.

Брайан Кребс , ИБ-исследователь, автор блога Krebs on Security

Есть несколько советов по созданию сильных паролей, лучше проверить свои пароли на соответствие им. Пароль должен состоять из комбинации слов, чисел, символов и букв в верхнем и нижнем регистре.

В качестве пароля нельзя использовать свое же имя пользователя или легко угадываемые слова («password»), словарные слова и очевидные комбинации символов («azdzxs»). Также не стоит выбирать пароль на основе данных, которые могут быть не такими уж и конфиденциальными (номер телефона, дата рождения, имена членов семьи).

Нельзя использовать пароль для электронной почты (если там есть что-то важное) на любом другом сайте. Если кто-то взломает интернет-магазин, где вы делали покупки, то сможет прочесть и ваши письма.

Раньше я считал, что хранить пароли в записанном где-то виде не стоит. Однако теперь я все же согласем с Брюсом Шнайером в том, что можно хранить пароли в записанном виде, главное, чтобы это был не сам пароль, а нечто, что поможет его вспомнить.

При использовании Firefox важно включить и настроить мастер-пароль для всех паролей, иначе любой, у кого есть физический доступ к компьютеру, сможет увидеть пароли в plain text, сделав пару кликов. Также есть несколько хороших облачных менеджеров паролей (LastPass, DashLane, 1Password), но если вы не хотите доверять такие данные облаку, то можно воспользоваться локальным менеджером (Roboform, PasswordSafe, Keepass). Главное выбрать сильный мастер пароль, который к тому же потом можно будет вспомнить (если вы его забудете, то тогда начнутся проблемы).