Общие рекомендации
Вот неплохая переводная статья по более или менее современному взгляду на парольную защиту. Со временем этот взгляд менялся и если раньше рекомендации были периодически менять пароль и использовать специальные символы, то теперь (если кратко) - придумать достаточно длинную парольную фразу для каждого сайта свою и менять только при подозрении на компрометацию. Разумеется, не приклеивать на стикер рядом с компьютером, а запомнить, пользоваться при вводе только специальным полем со звёздочками во избежание таких (и не только) проблем, по возможности не произносить даже "мысленно" пароль, ну, хотя бы какую-то его часть. Вот тут как раз специальные символы, возможно, помогут. Ещё продумать алгоритм использования заглавных букв в парольной фразе. Теперь о том, как узнать, что пароль "утёк". Есть классика (там, если подписаться, придёт письмо с предупреждением о новой утечке), есть, возможно, и более удобные варианты, в частности Сбер позволяет задать все свои адреса электронной почты и будет предупреждать об утечках. Так же работает и Касперский, правда только для почтового ящика, на который зарегистрирован. А Сбер пошёл ещё дальше - он и ваши телефонные номера на предмет утечек проверит. При обнаружении утечки должны предупредить (хотя, периодически всё-таки проверяйте). При малейшем подозрении - меняйте пароль на "слитом" ресурсе. Только запомнить большое количество различных паролей не так-то просто. Я именно запоминаю не так много паролей, а в основном использую менеджер паролей (KeePass - ещё с первой версии больше десятка лет назад). Также Яндекс.Ключ и аппаратный ключ YubiKey для 2FA. Поскольку сейчас регуляторами настоятельно не рекомендуется пользоваться кодами подтверждения из SMS, стоит по возможности их избегать. И даже кодов из Push-уведомлений в некоторых случаях.
Менеджер паролей KeePass
Использую вторую версию уже давно, причём в варианте KDBX4 (здесь и далее ссылки на англоязычную версию сайта, поскольку актуальная информация только там), причём если алгоритм шифрования можно выбрать из каких-то своих соображений, то функцию деривации ключа настоятельно рекомендую только Argon2, причём в варианте Argon2id. Здесь рекомендации по точной настройке. Правильно подобранные параметры сведут на нет преимущества оффлайн взломов пароля с применением видеокарт и предотвратят атаки по сторонним каналам. Только при подборе следует ознакомиться ещё и вот с этим и сделать выводы. Почему это важно. Я использую менеджер паролей не только на компьютере, но и на смартфоне (там, чтобы пароли не перехватили, приложением предоставляется даже своя защищённая клавиатура, интегрированная с ним), сама база с паролями у меня находится в облаке и синхронизируется между устройствами через него. Так вот, чтобы максимально усложнить жизнь злоумышленнику, получившему каким-то образом доступ к вашему облаку, как раз и следует правильно настроить параметры безопасности. Мне кажется, что лучше немного подождать при доступе к базе данных, чем допустить утечку. Дополнительно, пожалуй, упомяну, что следует включить автоматическое закрытие KeePass по истечении времени неактивности, а также запретить снятие скриншотов (вот это настраивается только ручным редактированием файла конфигурации - Options for Experts). Теперь о надёжности подобной схемы. Следует хранить копии базы данных не только в облаке, на компьютере и телефоне, но и ещё в паре мест. Если забудете Мастер-пароль, базу данных открыть уже никогда не получится. Можно напечатать на принтере памятку для Мастер-пароля и распечатать вообще все пароли на бумаге (кстати, теперь здесь невозможно перепутать похожие буквы и цифры - каждый вид символов при печати выделяется своим цветом) и хранить в надёжном месте. Что касается удобства, то KeePass позволяет автоматизировать ввод паролей и даже в некоторых случаях затруднить злоумышленнику, незаметно закрепившемуся у вас на компьютере, перехват паролей за счёт Two-Channel Auto-Type Obfuscation. Для усложнения перехвата Мастер-пароля, можно использовать дополнительно отдельный защищённый рабочий стол. Да, перевод интерфейса именно самого приложения доступен и на русском языке. Нужно только скачать и установить в нужную папку. Ещё можно скачать такой полезный плагин и периодически проверять на предмет утечек всю базу с паролями целиком или отдельные записи. Замечу, что иногда работает только через другие страны (у меня платный VPN Касперского). Вообще при настройке и использовании KeePass знание английского может оказаться весьма кстати, ну или советоваться с тем, кто поможет.
Яндекс.Ключ и KeePass, принцип работы TOTP
Но только менеджер паролей всё же не защитит достаточно. Нужна 2FA - Касперский неплохо рассказывал (тут же про принцип работы TOTP, и ещё здесь можно почитать). Причём настройки генерации TOTP может хранить у себя внутри также и KeePass. И автоматически вводить как на компьютере, так и на телефоне. Но лучше отдельную базу для этого иметь. А вот для Яндекс.Ключа следует каждый месяц (во всяком случае не реже, чем раз в полгода) выполнять резервное копирование в облако. Причём, если вы поменяете телефон, восстановить можно будет всё оттуда, кроме ключа от Яндекса. Для него отдельная процедура, описанная на сайте. TOTP работают очень много где. Но их могут перехватить. Поддельный сайт, например.
UPD: Недавно поменял телефон, так никаких прежних неудобств в связи с установкой Яндекс Ключа на новый телефон не обнаружил: всё, в том числе и ключ от Яндекса восстановилось из бэкапа.
YubiKey и отечественные аналоги
А вот аппаратный ключ U2F/FIDO2 также проверяет ещё и адрес сайта, кроме использования надёжного шифрования на эллиптической кривой (ECC p256) поэтому вероятность взлома минимальна. Другой вопрос, что сайтов, которые защищены таким образом, не так много пока, особенно в Рунете. В чём отличие Yubikey от наших аналогов - он не требует вообще никаких драйверов, насколько помню. В свой аккаунт на сайте Microsoft можно войти только с ним введя PIN-код ключа и прикоснувшись к специальной площадке, когда замигает светодиод. Ещё некоторые модели и сайты поддерживают NFC: достаточно в нужный момент поднести устройство к телефону и, когда он завибрирует, доступ открыт. Но в этом есть и определённый недостаток. Аппаратный ключ в таком виде защищает только от удалённого злоумышленника. Если же он завладел устройством, то ему для совершения взлома остаётся только узнать пароль/PIN-код. Более надёжно защищена модель с биометрией, но уж больно дорога. Вот, наверно, всё, что хотел упомянуть.
UPD: Купил относительно недорогой отечественный аппаратный ключ Рутокен MFA, написал короткую статью и пару постов в эту подборку. Драйверов тоже не требует, поскольку соответствует стандарту FIDO2. Для Яндекс ID и VK ID работает также, как и Yubikey Security Key.
UPD: если статья показалась полезной, обратите внимание ещё и на это: Немного о себе, принципах, состоянии здоровья и финансов.
UPD: Видя интерес к теме, возможно, связанный с вот этим моим комментарием, обновляю статью некоторыми подробностями по актуальным данным:
1. Новый Kaspersky Premium позволяет проверять по базам утечек не только все свои почтовые ящики, но и сотовые номера, последние, правда, только с компьютера.
2. Создать TOTP для Госуслуг (и не только, например, разумно ещё поставить для My.Kaspersky - тоже для защищенного входа, когда телефон недоступен/утерян - возможность есть и тоже без особых проблем - при регистрации выдаётся на экран ещё и в текстовом виде, хотя, наверно и из QR-кода можно вполне достать) можно по этой инструкции, там применяется TimeOtp-Secret-Base32. Рекомендую только для TOTP иметь отдельную базу. Да, не удобно, но безопасней. Вообще, сам по себе KeePass, мне кажется, можно вполне понимать как 2FA, поскольку требуется одновременно фактор знания (Мастер-пароля) и владения (базой данных).
3. По KeePass дополнил статью парой ссылок, касающихся Options for Experts.
4. VPN Касперского в России прекратил свою работу, но особой необходимости в нём не испытывал для проверки базы на утечки. Хотя, например, VPN до домашнего роутера (у меня динамический DNS на нём бесплатно подключен за пару кликов) практически постоянно пользуюсь теперь: Tele2 даёт почти безлимитный интернет, если включаешь такую защиту (там только немного подредактировать конфигурацию для использования ddns, ну и помним, что такие вещи, на телефон можно устанавливать только через USB подключение с компьютера, но никак ни через облако какое). Хотя это больше, скорее, вот к этой моей статье: Защищает ли антивирус.
5. Вход на сайт Microsoft по аппаратному ключу Yubikey, вроде бы теперь официально продолжает работу только для корпоративных пользователей, хотя меня иногда с руганью пускает ещё (а вот TOTP работает вполне).
6. Сейчас во всю продвигается Passskey, например, для GitHub.
