В современном мире нам приходится хранить в голове не один десяток паролей. Социальные сети, почтовые адреса, онлайн магазины и т.п., список можно продолжать очень долго.
Практически для каждого сервиса в процессе регистрации нам нужно указать пароль, при помощи которого будет выполняться авторизация. Зачастую пользователи ленятся и используют один и тот же пароль для нескольких сервисов. Сегодня поговорим об опасности и возможных негативных последствиях такого поведения, что в свете последних сообщений об утечках конфиденциальных данных весьма актуально. А также рассмотрим принципы, которыми можно руководствоваться, чтобы обезопасить себя.
Предположим, что вам не очень хочется утруждать себя запоминанием десятка 16-символьных паролей состоящих из комбинаций строчных и заглавных букв, цифр и специальных символов (будем честны, не каждому это по силам) и вы принимаете решение придумать один сильный пароль и использовать его повсеместно. В таком случае, при утечке из любого сервиса, где был использован данный пароль, вы рискуете потерять доступ ко всем вашим аккаунтам. Особую опасность представляют мелкие сервисы (форумы, онлайн-магазины), не утруждающие себя вопросом обеспечения безопасности ваших данных и не следующих стандартам хранения паролей. По общепринятым нормам пароли следует хранить в виде хэшей с солью, причем далеко не каждая хэш-функция подойдет для этих целей. Общеизвестный алгоритм md5 прекрасно распараллеливается: даже если в результате утечки злоумышленники получат доступ к вашему паролю в виде md5-хэша, для подбора 8-символьного пароля состоящего из цифр, букв верхнего и нижнего регистра, а также спецсимволов на современной видеокарте RTX 3090 потребуется 8 часов: https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext
Из всего перечисленного можно прийти к первому выводу: для каждого ресурса стоит использовать минимум 14-символьный пароль состоящий из букв верхнего и нижнего регистра, цифр и специальных символов.
Однако как известно: сколь бы строгие политики безопасности мы не вводили - все они будут бесполезны при их несоблюдении. Держать такие пароли в голове не представляется возможным, поэтому необходимо позаботиться о комфортном внедрении предложенных принципов в жизнь: тут нам пригодятся менеджеры паролей, практически все современные браузеры поддерживают возможность хранения паролей в зашифрованном виде, плюс в процессе регистрации предлагают использовать сгенерированный пароль. Не стоит отказываться от предложенных сгенерированных паролей.
В случае, если требуется хранить пароли не только для веб-сайтов, можно использовать десктопные версии менеджеров паролей, в качестве примера можно рассмотреть https://keepass.info - бесплатный менеджер паролей с открытым исходным кодом, доступен под Windows, Linux, MacOS и Android. При желании можно найти большое количество как платных и бесплатных аналогов на свой вкус, однако будьте внимательны при выборе центрального хранилища паролей.
На втором шаге стоит проверить все свои старые пароли в базе утечек:
Сделать это можно как встроенными инструментами вашего браузера так и при помощи сторонних ресурсов. Например, ресурс https://haveibeenpwned.com позволяет проверить почтовый адрес или телефон, а также идентифицировать источник утечки. Все утекшие пароли необходимо в срочном порядке заменить на сгенерированные сильные и в дальнейшем периодически проверять ваши пароли на предмет утечек.
После проделанной работы необходимо для всех ресурсов включить двухфакторную аутентификацию по номеру телефона. Данный шаг значительно усложняет для злоумышленника процесс доступа к вашему аккаунту даже в случае утечки пароля.
Для того, чтобы ваша база с паролями не разрасталась слишком быстро - при регистрации на ресурсах пользуйтесь OAuth аутентификацией с помощью третьего сервиса (Google, Github), перед этим убедитесь, что для аккаунта сервиса, через который выполняется аутентификация установлен сложны пароль и включена двухфакторная аутентификация.
Для критически важных сервисов можно настроить двухфакторную аутентификацию при помощи дополнительного приложения: Google Authentificator или Яндекс.Ключ а также их аналогов.
В конце статьи хотелось бы еще раз кратко обозначить набор рекомендации:
- Используйте сложные сгенерированные пароли длиной не менее 16 символов.
- Храните пароли в менеджере паролей (пароль от менеджера паролей запишите на листочек и спрячьте в недоступном для посторонних месте).
- Не используйте один и тот же пароль дважды.
- Периодически проверяйте пароли по базам утечек.
- Настройте двухфакторную аутентификацию везде, где это возможно,
