как придумать и не забыть надежный пароль». Портал ПЛАС
Главная » Архив » Новости » Безопасность » Эксперты: как придумать и не забыть надежный пароль
Рецепт надежного пароля заключается в его длине, периодическом обновлении, а также в способе хранения — не забыть секретный код помогут специальные менеджеры паролей или обычный бумажный листок в кошельке, рассказали опрошенные РИА Новости эксперты.
«Пароль – это один из важнейших факторов цифровой безопасности. С одной стороны, сегодня люди стали более ответственно относиться к своим данным и аккаунтам, но, с другой стороны, общий уровень цифровой грамотности все еще не так высок», — уверен эксперт «Лаборатории Касперского» Дмитрий Галов. По данным исследования Kaspersky, отдельные пароли для каждого онлайн-аккаунта создают только 39% россиян.
31% респондентов связывают возвращение российских ЗВР с итогами СВО – результаты ПЛАС-Опроса
По словам главы представительства Avast в России и СНГ 
В пароле не должны указываться имена, название сервиса, дата рождения или любая другая информация, которую можно легко найти в интернете.
«К сожалению, многие пользователи небрежно относятся к этому вопросу. Часто злоумышленники, получив логин и пароль от учетной записи на слабозащищенном сервере после утечки данных, пробуют применить его ко всем остальным сервисам. В случае, если один и тот же пароль используется на разных учетных записях, у злоумышленников это получится», — отметил А. Федоров из Avast.
Основатель компании DeviceLock Ашот Оганесян сообщил, что придумать пароль можно при помощи мнемонических правил. «Например, составить длинное предложение, первые буквы слов, цифры и знаки препинания которого составят пароль. Если же пароль будет использоваться на компьютере или доверенных мобильных устройствах и храниться в связке ключей или в менеджере паролей, то лучше сделать его полностью случайным, например, при помощи генератора надежных паролей, встроенного в менеджер или новые браузеры», — предложил он.
Руководитель «Агентства кибербезопасности» Евгений Лифшиц советует не хранить пароли в устройствах. «Всего одна утечка из любого места, и все ваши аккаунты будут скомпрометированы. … Раньше рекомендовали ни в коем случае не писать пароль на листке рядом с монитором, сейчас, когда мошенник скорее всего залезет через интернет, а не через окно, логичнее рекомендовать не хранить пароли в чатах, в облаке и в текстовом файле на сервере. А вот на листочке, который у вас где-то в рабочей папке или бумажнике — как раз вполне», — считает он.
Оптимальный срок жизни для пароля — от трех до шести месяцев, добавил директор департамента корпоративных продаж ESET Russia Антон Пономарев.
«Придумайте забавное слово или фразу, добавьте пару цифр наугад и запишите в блокнот так, чтобы никто не видел, спрячьте его. Когда пароль запомнится – уничтожьте. Не меняйте пароли перед отпуском – точно не вспомните, лучше применить процедуру восстановления.
Обязательно включите двухфакторную аутентификацию (подтверждения по смс). Для ваших критичных систем (хранящих важную информацию — ред.) освойте токены и меняйте их раз в квартал, или если возникли подозрения в их компрометации», — советует директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.
Обязательно включите двухфакторную аутентификацию (подтверждения по смс). Для ваших критичных систем (хранящих важную информацию — ред.) освойте токены и меняйте их раз в квартал, или если возникли подозрения в их компрометации», — советует директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.По материалам РИА Новости
PLUSworld в соцсетях:
как придумать надежный пароль и не забыть его
Новости
Статьи
Карточки
Тесты
Black science
На спорте
Спецоперация
статьи
Новости
Статьи
Карточки
Тесты
Black science
На спорте
Спецоперация
Iurii Stepanov/Shutterstock
Если вы когда-нибудь использовали слово «пароль» в качестве пароля, этот текст для вас
5 мая отмечается Всемирный день паролей. В прошлом году самыми популярными комбинациями у россиян стали простые последовательности букв и цифр — qwerty123, qwerty1 и 123456. Это слабые пароли, которые легко подобрать и получить доступ к аккаунту.
l(Z, но согласитесь — просто так запомнить его непросто.
Лучше запоминаются комбинации, которые вызывают ассоциации. Google советует подойти к вопросу нетривиально и составить пароль из любимой цитаты или строчки песни. Something wrong, now I long for yesterday — пела группа The Beatles. К этим строчкам можно добавить несколько цифр (например, памятную дату) и разделить все служебными символами.
Получается отличный пароль — 1Something$Wrong%Now(I)long@For*Yesterday3. На его взлом потребуется примерно 10 тыс. веков — за это время «Бендер Родригез успеет стереть все сущее в этой галактике», заключил сервис проверки паролей от «Лаборатории Касперского». Убедиться в надежности своего пароля можно там или на других профильных сайтах.
Придумать и запомнить сложный пароль также можно с помощью какой-нибудь абсурдной фразы. Например: тридцать тысяч обезьян в рот засунули банан. Преобразуем ее в основу пароля, взяв число и первые буквы слов: 30tOvRzB.
Добавим в конец несколько символов и получим 30tOvRzB#$%. Теперь взломщику понадобится 33 года, чтобы его взломать.
Чтобы проще запоминать пароли к разным сайтам, советуем придумать к ним соответствующие окончания. Например для Instagram — 30tOvRzB#$%i+COM, а для «ВКонтакте» — 30tOvRzB#$%v+COM. В креативе можно упражняться долго, и строгих правил тут нет.
Где хранить пароль?
Если вам сложно запомнить много разных комбинаций, пароли можно записать в тетрадь. Но старайтесь не оставлять записи в свободном доступе, например, на столе или мониторе. Храните их в месте, известном только вам.
Еще один вариант — воспользоваться специальными сервисами. Обязательно обратите внимание на репутацию разработчика, почитайте отзывы клиентов и выберите подходящий инструмент. Например, пароли можно хранить в аккаунте Google или воспользоваться приложениями вроде 1Password, LastPass и Dashlane — они сами генерируют сложные случайные комбинации и сохраняют их.
Даже если учесть, что подобные сервисы ведут базу паролей, их число настолько велико, что связать с конкретным пользователем и сайтом в случае утечки будет очень сложно. Сгенерировать пароли, помимо вышеперечисленных сервисов, помогут PassGen.ru, RandStuff.ru, Pasw.ru, Genpas.narod.ru, Passwordist.com, Ida-freewares.ru и другие ресурсы.
Когда пароль нужно менять?
Одни эксперты советуют менять пароли раз в три месяца, другие считают, что одного раза в год вполне достаточно. В обязательном порядке менять пароль нужно в случае утечки. Иногда об этом предупреждает сам сервис. Если же произошла массовая кибератака (так, в 2021 году в общем доступе оказались почти 8,4 млрд уникальных паролей), то лучше сразу обновить данные.
Для большей надежности стоит использовать второй фактор аутентификации: одноразовые пароли из приложений-генераторов или смс. Злоумышленникам будет гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации.
Какие пароли не стоит использовать?
Который год самыми популярными паролями становятся простые последовательности на клавиатуре — qwerty123, qwerty1 и 123456. Также пользователи часто используют «йцукен» и слово «пароль» в качестве пароля. Такие очевидные комбинации выбирать категорически нельзя.
Также не стоит использовать в пароле личную информацию вроде имени партнера, номера телефона или даты рождения — это открытые данные, которые может узнать практически каждый. Воздержитесь от упоминания любимой команды или автомобильной марки. Real, Barcelona, Liverpool, а также Ferrari, Lamborghini и другие названия брендов и клубов — это прямой путь к тому, что вы потеряете пароль (особенно если на аватарке в соцсети у вас фото с шарфом любимого клуба). Это же касается названий любимых музыкальных групп, фильмов и сериалов.
Сервис DLBI проанализировал 35,5 млрд уникальных пар логинов и паролей, попавших в открытый доступ. Только 3,5% паролей оказались сложными (содержали буквы, цифры и спецсимволы) и только 16,5% были длиннее десяти знаков.
Печальная статистика говорит о том, что многие россияне пренебрегают защитой своих аккаунтов. Если вы не входите в их число, скорее вспоминайте любимую песню и придумывайте новый пароль!
━━━━━
Никита Прунков
поделитьсяЧитайте также
Права инвалидов в России. Что нужно о них знать?
В Америке могут запретить аборты. Чем это грозит? И что говорит опыт других стран?
Ликвидатор СССР: умер первый глава Белоруссии Станислав Шушкевич
Создание надежных, но удобных для пользователя паролей: советы по корпоративной политике паролей
Не мучайте людей чрезмерно сложными правилами составления паролей, а занесите в черный список часто используемые пароли, а также другие способы помочь людям помочь себе и всей вашей организации
Когда инженер Билл Бёрр из Национального института стандартов и технологий США (NIST) написал в 2003 году то, что вскоре станет золотым стандартом безопасности паролей в мире, он посоветовал людям и организациям защищать свои учетные записи, изобретая длинные и «хаотичные» строки паролей.
символы, цифры и знаки – и регулярно менять их.
Четырнадцать лет спустя Берр признался, что сожалеет о своем прошлом совете. «Это просто сводит людей с ума, и они не выбирают хорошие пароли, что бы вы ни делали», — сказал он Wall Street Journal.
Или, как выразился знаменитый комикс xkcd: «За 20 лет усилий мы успешно научили всех использовать пароли, которые трудно запомнить людям, но легко подобрать компьютерам».
В наши дни средний человек должен запомнить до 100 паролей, причем в последние годы это число стремительно растет (хотя на самом деле некоторые люди использовали около 50 паролей, включая несколько офлайн-кодов, даже годы назад и некоторые эксперты по безопасности отмечают, что такие привычки и политики в отношении паролей неустойчивы.)
Действительно, исследования показали, что люди обычно помнят до пяти паролей и используют более короткие пути, создавая легко угадываемые пароли, а затем повторно используя их в различных учетных записях в Интернете.
Некоторые могут фактически заменять буквы цифрами и специальными символами (например, «пароль» превращается в «P4??WØrd»), но это все равно делает пароль легко взломанным.
В последние годы ведущие организации, такие как The Open Web Application Security Project (OWASP) и, конечно же, сам NIST, изменили свою политику и рекомендации в сторону более удобного для пользователя подхода, одновременно повышая безопасность паролей.
В то же время технологические гиганты, такие как Microsoft и Google, призывают всех вообще отказаться от паролей и вместо этого отказаться от паролей. Однако если ваш малый или средний бизнес еще не готов расстаться с паролями, вот несколько рекомендаций, которые сослужат вам и вашим сотрудникам хорошую службу в 2023 году.
Прекратите навязывать излишне сложные правила составления паролей
Любой Чрезвычайно сложные правила композиции (например, требование, чтобы пользователи включали как прописные, так и строчные буквы, по крайней мере, одну цифру и специальный символ) больше не являются обязательными.
Это связано с тем, что такие правила редко побуждают пользователей устанавливать более надежные пароли, побуждая их вместо этого действовать предсказуемо и придумывать пароли, которые наносят двойной удар: они и слабые, и трудные для запоминания.
Переключиться на парольные фразы
Вместо более коротких, но сложных паролей используйте парольные фразы. Они длиннее и сложнее, но все же легко запоминаются. Например, это может быть целое предложение, которое почему-то засело у вас в голове, обсыпанное заглавными буквами, спецсимволами и смайликами. Хотя это и не суперсложно, автоматизированным инструментам все равно потребуется много времени, чтобы взломать его.
Несколько лет назад минимальная длина хорошего пароля составляла восемь символов, состоящих из строчных и прописных букв, знаков и цифр. Сегодня автоматизированные инструменты для взлома паролей могут угадать такой пароль за считанные минуты, особенно если он защищен функцией хеширования MD5.
Это согласно тестам, проведенным Hive Systems и опубликованным в апреле 2023 года.
Напротив, простой пароль, который содержит только символы нижнего и верхнего регистра, но состоит из 18 символов, требует гораздо больше времени для взлома.
Источник: Hive Systems
Стремитесь к минимальной длине 12 символов — чем больше, тем лучше!
Руководящие принципы NIST признают длину ключевым фактором надежности пароля и вводят минимальную требуемую длину в 12 символов, достигая максимум 64 символов после объединения нескольких пробелов. При прочих равных чем больше, тем лучше.
Включить различные символы
При установке своих паролей пользователи должны иметь возможность свободно выбирать любые печатные символы ASCII и UNICODE, включая смайлики. У них также должна быть возможность использовать пробелы, которые являются естественной частью фраз-паролей — часто рекомендуемой альтернативы традиционным паролям.
Ограничьте повторное использование паролей
В настоящее время считается общепринятым, что люди не должны повторно использовать свои пароли для разных учетных записей в Интернете, потому что взлом одной учетной записи может легко привести к компрометации других учетных записей.
Однако от многих привычек трудно избавиться, и около половины респондентов исследования Ponemon Institute 2019 года признались, что повторно используют в среднем пять паролей в своих деловых и/или личных учетных записях.
Не устанавливайте дату «использовать до» для паролей
NIST также рекомендует не требовать регулярных изменений пароля, если это не требуется пользователем или если нет доказательств компрометации. Причина в том, что у пользователей достаточно терпения только для того, чтобы постоянно думать о новых достаточно надежных паролях. В результате, заставлять их делать это через равные промежутки времени может принести больше вреда, чем пользы.
Когда три года назад Microsoft объявила об отказе от политик истечения срока действия паролей, она поставила под сомнение саму идею истечения срока действия паролей.
«Если предполагается, что пароль может быть украден, сколько дней является приемлемым периодом времени, в течение которого вор может использовать этот украденный пароль? По умолчанию Windows составляет 42 дня.
Не кажется ли это смехотворно долгим? Что ж, это так, и все же наш текущий базовый план говорит о 60 днях — а раньше говорил о 90 днях — потому что принудительное истечение срока действия создает свои проблемы», — говорится в блоге Microsoft.
Имейте в виду, что это всего лишь общий совет. Если вы защищаете приложение, которое имеет решающее значение для вашего бизнеса и привлекательно для злоумышленников, вы все равно можете заставить своих сотрудников периодически менять пароли.
Подсказки к удалению и проверка подлинности на основе знаний
Подсказки для пароля и вопросы проверки на основе знаний также устарели. Хотя на самом деле они могут помочь пользователям в поиске забытых паролей, они также могут быть очень полезны для злоумышленников. Наш коллега Джейк Мур несколько раз показывал, как хакеры могут использовать страницу «забытый пароль» для взлома чужих учетных записей, например, PayPal и Instagram.
Например, такой вопрос, как «имя вашего первого питомца», можно легко угадать с помощью небольшого исследования или социальной инженерии, и на самом деле нет бесконечного количества возможностей, которые должен пройти автоматизированный инструмент.
Черный список общих паролей
Вместо того, чтобы полагаться на ранее использовавшиеся правила составления, сверяйте новые пароли с «черным списком» наиболее часто используемых и/или ранее скомпрометированных паролей и оценивайте попытки сопоставления как неприемлемые.
В 2019 году Microsoft просканировала учетные записи своих пользователей, сравнив имена пользователей и пароли с базой данных, содержащей более трех миллиардов наборов утекших учетных данных. Он обнаружил 44 миллиона пользователей с скомпрометированными паролями и принудительно сбросил пароль.
Обеспечьте поддержку менеджеров паролей и инструментов
Убедитесь, что функции «копировать и вставить», инструменты для работы с паролями браузера и внешние менеджеры паролей разрешены для решения проблем, связанных с созданием и хранением паролей пользователей.
Пользователям также следует выбрать временный просмотр всего замаскированного пароля или последнего введенного символа пароля.
Согласно рекомендациям OWASP, идея состоит в том, чтобы повысить удобство ввода учетных данных, особенно в отношении использования более длинных паролей, кодовых фраз и менеджеров паролей.
Установите короткий срок хранения для начальных паролей
Когда ваш новый сотрудник создает учетную запись, сгенерированный системой начальный пароль или код активации должен быть сгенерирован безопасным образом случайным образом, длиной не менее шести символов и может содержать буквы и цифры.
Убедитесь, что срок действия пароля истекает через короткий промежуток времени и он не может стать истинным и долгосрочным паролем.
Уведомлять пользователей об изменении пароля
Когда пользователи меняют свои пароли, их следует сначала попросить ввести старый пароль и, в идеале, включить двухфакторную аутентификацию (2FA). После этого они должны получить уведомление.
Будьте осторожны с процессом восстановления пароля
В процессе восстановления не только не должен раскрываться текущий пароль, но и информация о том, существует ли учетная запись на самом деле или нет.
Другими словами, не сообщайте злоумышленникам никакой (ненужной) информации!
Используйте CAPTCHA и другие средства защиты от автоматизации.
Используйте средства защиты от автоматизации для смягчения последствий проверки учетных данных с нарушениями, атак методом грубой силы и блокировки учетной записи. Такие элементы управления включают блокировку наиболее распространенных взломанных паролей, программную блокировку, ограничение скорости, CAPTCHA, постоянно увеличивающиеся задержки между попытками, ограничения IP-адресов или ограничения, основанные на риске, такие как местоположение, первый вход в систему на устройстве, недавние попытки разблокировать учетную запись. , или похожие.
В соответствии с действующими стандартами OWASP для одной учетной записи должно быть не более 100 неудачных попыток в час.
Не полагайтесь
только на пароли Каким бы надежным и уникальным ни был пароль, он остается единым барьером, отделяющим злоумышленника от ваших ценных данных.
При стремлении к безопасным учетным записям дополнительный уровень аутентификации следует рассматривать как абсолютную необходимость.
Поэтому по возможности следует использовать двухфакторную (2FA) или многофакторную аутентификацию (MFA).
Однако не все варианты двухфакторной аутентификации одинаковы. SMS-сообщения, хотя и намного лучше, чем полное отсутствие 2FA, подвержены многочисленным угрозам. Более безопасные альтернативы включают использование выделенных аппаратных устройств и программных генераторов одноразовых паролей (OTP), таких как безопасные приложения, установленные на мобильных устройствах.
Примечание. Эта статья является обновленной и расширенной версией статьи, опубликованной в 2017 году: Больше никаких бессмысленных требований к паролям
Может быть, вам стоит воспользоваться генератором паролей ESET?
Информационный бюллетень
Вот как создать безопасный пароль, на взлом которого хакеру потребуется до 300 лет
Если вы беспокоитесь о безопасности, вы можете придумайте пароль типа ZXxA64RTEGHYRTZZX22!!! взломать его хакерам будет не так просто.
Но большинство людей все же предпочитают придумывать что-то простое. Недавно компания по управлению паролями NordPass (через SamMobile, Naver) сообщила, что «samsung» (строчные «s» и все такое) был одним из наиболее часто используемых паролей как минимум в 30 странах.
Поверите ли вы, что самый популярный пароль в мире — это… «пароль»
Использовать в качестве пароля название компании, которая произвела телефон, который вы держите в руках, может быть плохой идеей. Но за последние несколько лет популярность пароля «samsung» возросла. В 2019 году это был 198-й по популярности пароль, а в следующем году он поднялся на 189-е место. В 2021 году «samsung» занял 78-е место в списке самых популярных паролей. Представьте, если бы у вас был телефон Nothing (1). Если вы использовали бренд для своих паролей, вы могли бы заявить, что ничего не используете для своих паролей (Эй, не все они могут быть драгоценными камнями!).
Самые популярные пароли в мире. Изображение предоставлено Naver
Теперь самое интересное.
Самый используемый пароль в мире — это… «пароль». Почти 5 миллионов человек считают, что это защитит от злоумышленников. Вы бы использовали «пароль» в качестве (кхм) пароля для своего банковского приложения? Другие широко используемые пароли включают «123456», «123456789» и всегда популярный «гость». Любой, кто использует такие пароли, не должен иметь права жаловаться на отсутствие безопасности на своих телефонах или планшетах.
Как создать пароль, взлом которого может занять до 300 лет
Короткие или простые пароли легче взломать.
Но чтобы доказать, насколько важна длина пароля для вашей цифровой безопасности, даже если вы создаете пароль, состоящий из прописных букв, строчных букв, цифр и символов, если он состоит всего из четырех-шести символов, хакеры все равно сразу разберусь! NordPass говорит, что большинство самых популярных паролей можно узнать примерно за одну секунду, поэтому вам следует попытаться придумать пароль, состоящий из 12 символов, включая прописные буквы, строчные буквы, цифры и символы.