Пароль — это ключ от вашей цифровой жизни. За ним стоит переписка, фотографии, банковские счета, рабочие документы. Когда вы регистрируетесь на любом сайте, вы доверяете ему этот ключ. Большинство сервисов и приложений никогда не хранят ваш пароль в открытом виде, как текст. Вместо этого он пропускает его через специальную математическую программу, которая превращает пароль в длинный набор символов. Этот набор называется хешем. Хеш нельзя превратить обратно в пароль, но его можно сравнить с другим хешем. Когда вы входите на сайт, система точно так же превращает введенный вами пароль в хеш и сравнивает его с тем, что хранится в базе данных. Если они совпадают — вход разрешен.
Опасность приходит тогда, когда базу данных сайта крадут. Хакеры получают не сами пароли, а именно эти хеши. Дальше начинается подбор. Они берут предполагаемый пароль, прогоняют через ту же программу хеширования и смотрят, совпал ли результат с украденным. Если совпал — пароль угадан. Сначала они пробуют самые популярные комбинации вроде «123456» или «password», потом подставляют имена, даты, замены букв на цифры. Если ничего не выходит, запускается полный перебор всех возможных вариантов подряд: ааа, ааб, аав и так далее. Перебирать пароли можно месяцами и годами — но сперва хакеры пробуют пароль из открытых баз самых популярных паролей.
Время, которое уйдет на полный перебор, напрямую зависит от длины и сложности пароля. Короткий пароль из шести или восьми знаков, даже с цифрами и знаками вроде восклицательного, современный компьютер переберет за несколько часов или дней. Длинный пароль из пятнадцати-двадцати символов потребует на перебор многие годы или даже столетия непрерывной работы. Именно поэтому длина очень важна.
Первое правило хорошего пароля — делайте его длинным. Минимальная разумная длина сегодня составляет 12 символов, а для самого важного лучше использовать 16 и больше. Специальные символы, цифры и заглавные буквы — точно усложнят жизнь хакеру. Длинная фраза из нескольких обычных слов, разделенных пробелами, защищает гораздо лучше, чем короткая абракадабра с восклицательным знаком в конце. Такую фразу и запомнить проще, и взломать ее перебором почти невозможно.
Второе правило — пароль не должен быть связан с вашей личной жизнью. Злоумышленники проверяют не только случайные комбинации, но и осмысленные слова, которые можно найти в открытом доступе. Имена детей, даты рождения, клички животных, номера машин, любимые группы, места работы — все это злоумышленник может узнать из социальных сетей или просто найти в слитых базах. Если пароль состоит из таких данных, его подберут не перебором всех символов, а целенаправленным перебором осмысленных вариантов, что гораздо быстрее. Хороший пароль — это что-то нейтральное, не имеющее к вам личного отношения.
Третье правило — у каждого сервиса должен быть свой пароль. Представьте, что вы завели один и тот же замок на входной двери квартиры, на почтовом ящике, на сейфе в банке и на камере хранения в спортзале. Если кто-то украдет ключ от камеры хранения, он автоматически получит доступ ко всему остальному. С паролями то же самое. Если какой-нибудь небольшой интернет-магазин или форум, где вы когда-то регистрировались, плохо хранил данные и его взломали, ваш пароль оттуда станет известен. Если вы использовали его же для почты или банка, беда неизбежна. Уникальный пароль для каждого сайта решает проблему — взлом одного ресурса ничего не дает хакеру на других.
Четвертое правило — используйте программу-менеджер паролей. Запомнить пятьдесят разных длинных и бессмысленных паролей невозможно физически. Записывать их в блокнот или заметки телефона опасно. Менеджер паролей — это специальное приложение, которое хранит все ваши пароли в зашифрованном виде, как в сейфе. Вам нужно запомнить только один-единственный пароль — тот, что открывает сам этот сейф. Его, кстати, надо сделать особенно длинным и надежным. Многие менеджеры генерирует случайные сложные пароли для новых сайтов, сам подставляет их при входе и проверяет, не попали ли вы на поддельный сайт мошенников. Дополнительный совет — внутри менеджера не стоит подписывать записи прямыми названиями вроде «Банк Такой-то» или «Основная почта». Лучше использовать сокращения или условные обозначения, которые понятны вам одному. Если кто-то все же доберется до открытого хранилища, он не сразу разберется, где что лежит.
Пятое правило — обязательно подключайте двухфакторную аутентификацию везде, где это возможно. Пароль можно украсть через вирус на компьютере, с помощью фишинга или заполучить в результате утечки с сервера. Второй фактор — это дополнительная проверка, которая не зависит от пароля. Чаще всего речь идет об одноразовом коде, который генерируется в специальном приложении на телефоне и действует небольшое время. Даже если хакер узнает ваш пароль, без этого кода он войти не сможет. Включать такую защиту критически важно для почты и банка.
Всем цифрового благополучия! И не забудьте лайк!