Выбрать хороший пароль для защиты аккаунта не так просто, как кажется на первый взгляд. Даже самые надежные уязвимы к взломам, это наглядно видно по восьмиуровневой модели зрелости паролей от Daniel Miessler. Тогда как быть? Перевели для вас полезную картинку про надежность способов авторизации в аккаунтах и собрали пост о том, к чему следует быть готовыми при выборе паролей и как они могут вас подвести.
Регулярные рейтинги самых популярных паролей показывают, что многие люди удовлетворяются самыми простыми. И это несмотря на многочисленные истории о взломах почт, угнанных страничках в соцсетях и пр.
Но и тем, кому не все равно, бывает сложно понять, насколько хорошо аккаунты защищены. Схема выше дает ориентиры. Как видно по ее «цветовой дифференциации», только пароли 3-го уровня могут считаться хоть сколько-нибудь достаточной защитой.
«Качественный» пароль – это какой?
Чтобы создать качественный пароль, нужно в первую очередь сделать его длинным и сложным. Длинный – более 8 символов. 39% всех паролей – восьмизначные и на их взлом в среднем преступнику требуется 1 день. Чтобы взломать шифр длиной 10 символов – уже 591 день. Сложные – те, которые содержат в себе и буквы, и цифры, и спецсимволы. Если сервис дает возможность использовать смайлики в паролях, рекомендую ими воспользоваться. Это уменьшит шансы преступников на успех, так как стандартных символов в наборе всего 95, а эмодзи – 1809.
Использовать только буквы или только цифры небезопасно – простые пароли взламываются очень легко. Проверить это можно на разных сервисах (пример). Если вы введете на таком ресурсе пароль «ромашка», сервис напишет, что тот всплывал в утекших базах n количество раз, в нашем случае – 3156, добавив хотя бы одну цифру к этому простому слову, вы уменьшаете шанс взлома в сотни раз. Так, «ромашка1» встречается уже 29 раз.
Почему простые пароли легко взламываются? Есть 2 причины:
1) Растут вычислительные мощности по перебору паролей.
2) У преступников накапливаются «знания» из-за большого числа утечек. Их потом используют, например, в переборах по словарям (когда программе по перебору паролей задается для поиска словарь из примитивных слов, паттернов поведения людей, ведь те часто используют «уникальные» комбинации, которые злоумышленники легко считывают).
Менять пароль раз в 1-2 месяца?
Это спорная идея. Еще лет 6 назад киберэксперты выяснили – чем чаще пользователь меняет пароль, тем слабее тот становится. Большинство стремятся свои данные для входа запоминать, pass-менеджерами пользуются далеко не все. Поэтому от раза к разу сложный пароль становится все более простым.
Пробираемся на следующий уровень: менеджеры паролей
Раз пароли сложно запоминать, большинство людей используют автосохранение в браузере, но это не лучший вариант. Во-первых, потому что как только человек нажимает кнопку «запомнить», он сам его забывает. Но самое главное, если браузер будет скомпрометирован, к злоумышленнику попадет и этот, и все остальные пароли, которые вы когда-то сохранили.
Другой вариант – хранить пароль в специальных сервисах в зашифрованном виде (менеджерах). Тогда нужно будет запомнить только один супер-пароль для авторизации в pass-менеджере. Для выбора надежного сервиса от разработчика с репутацией придется проштудировать обзоры.
Если вы разобрались с требованиями к защите аккаунтов, определили наилучший способ хранения шифров и применили знания на практике, считайте, что достигли 4го уровня парольной грамотности.
Больше, чем 1 пароль – двухфакторная аутентификация
Следующий – и это самый большой скачок в деле защиты аккаунтов — переход с уровня 4 на уровень 5 или выше, то есть переход от защиты «только пароль» к многофакторной аутентификации. Даже если хакер взломает супер-пароль, ему придется пройти второй барьер. Правда, текстовые/смс-сообщения (уровень 5) – самая слабая из других форм многофакторной аутентификации в модели. SMS с кодом может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому передаются SMS. Сообщение банально могут подсмотреть, если у вас включены пуш-уведомления или выманить у вас методами социнженерии.
Нет кода – нечего красть
Коды, которые генерируются в приложении на устройстве, – это более высокий уровень защиты, хотя и здесь злоумышленник может применить фишинг или вишинг. Технических средств защиты от этих мошеннических методов нет, поэтому они остаются действенными. Поэтому самые неуязвимые методы защиты – уровня 7 и 8. На этих двух уровнях многоуровневая аутентификация выполняется в фоновом режиме криптографически безопасным способом, который не требует участия пользователя. А поскольку пользователь никогда не видит код, этот код нельзя украсть.
На 8-м уровне существует дополнительная защита: запросы аутентификации могут быть отправлены только на определенный URL-адрес, который был зарегистрирован при настройке метода аутентификации. Другими словами, если я настроил аутентификацию уровня 8 в Gmail, то при аутентификации с помощью токена FIDO2 или операционной системы аутентификация в фоновом режиме может быть отправлена только в Gmail.
Так какой пароль выбрать?
Гнаться за лучшей защитой часто не требуется, главное реалистично представлять риски. Защищать почту, которую вы используете для регистрации в системе лояльности магазина, как банковское приложение – избыточно. Если же почта основная и пользователь привязывает ее ко всем сервисам, то риски повышаются: получив к ней доступ, преступник сможет завладеть доступом к множеству других аккаунтов: от приложения для доставки пиццы до госуслуг, просто восстановив пароль на этих сайтах под себя. Для большинства ситуаций SMS или код в почте в сочетании с качественным паролем – достаточная степень защиты. Преступникам технически сложно взломать аккаунты с двойным «замком» и проще переключиться на более легкую добычу. Но если хакеры охотятся конкретно за вашими письмами или аккаунтом в Youtube, двухфакторка с SMS – защита недостаточная.
Поэтому наша рекомендация о гигиеническом минимуме будет такой:
– создавайте качественный пароль (уровня 3, не ниже);
– используйте двухфакторку везде, где это возможно;
– умеете запоминать сложные пароли – действуйте так. Если нет – используйте зарекомендовавшие себя сервисы по их хранению, но не браузеры. Пароль на сервис должен быть супер надежным.
Надеемся вам помогут рекомендации. Делитесь своими мнениями – какой вариант защиты вы считаете наиболее надежным и на каком уровне вы находитесь сейчас?
