22.11.2021
263

Эффективный пароль — как снизить вероятность взлома

Сергей Островский
Время прочтения: ~7 мин

Кибербезопасность — один из самых актуальных аспектов современной жизни. У каждого активного пользователя есть десятки аккаунтов на разных интернет-ресурсах: электронная почта, форумы, онлайн-сервисы, новостные порталы и т.д. Практически любая учетная запись может стать объектом взлома, и нередко уязвимость аккаунта кроется в примитивном пароле. Часто пользователи выбирают комбинации цифр и символов, которые легко запоминаются. Но у таких паролей есть и обратная сторона — их легко взломать.

Содержание:
1. Простой пароль — подарок мошеннику
2. Какие пароли лучше не использовать
3. Как выбрать пароль
4. Как и где хранить пароли
5. Дополнительная защита

***

Удивительно, но простые пароли для личных и рабочих аккаунтов нередко используют даже бизнесмены, руководители, администраторы сайтов, работники банковских структур. Подобная халатность может стать причиной очень неприятных последствий. Выбрать примитивную комбинацию в качестве ключа для аккаунта, все равно что предоставить злоумышленнику вход без пароля.

Простой пароль — подарок мошеннику

Подбор паролей — один из самых популярных методов взлома аккаунтов. Как правило, недоброжелатели используют набор распространенных комбинаций, “примеряя” их к списку учетных записей. После прохождения по всей базе с одним ключом берется другая популярная последовательность. Если пара “логин-пароль” совпадает, злоумышленник получает доступ к аккаунту. Чем сложнее и неординарнее пароль, тем меньше вероятность его попадания в список “отмычек”. Даже если аккаунт и окажется в целевой базе мошенников, то взломать его подбором простых комбинаций не удастся.

Если хакеры получили доступ к учетной записи, как они могут это использовать? Все зависит от того, какие цели они преследуют и аккаунт какого сервиса был взломан. Допустим, злоумышленник получил доступ к учетной записи системы управления сайтом (CMS). Это значит, что он может изменять, копировать, удалять весь контент на портале. Если есть формы обратной связи, а данные хранятся в CMS, то эта информация также становится достоянием взломщиков.

Электронная почта — один из самых популярных каналов связи, который в том числе используется для коммерческой переписки. Большинство компаний ведут свою деятельность и обеспечивают внутреннюю коммуникацию с помощью email. По электронной почте передаются важные документы и ведутся переговоры. Если аккаунт будет взломан, то вся информация и файлы попадут в руки злоумышленников. Серьезность последствий утечки данных может быть разная. Взломанный аккаунт менеджера по продажам рыболовных снастей — это очень неприятно. Но если хакеры доберутся до важных данных банковского учреждения или силовой структуры, последствия могут быть значительно масштабней.

Простой банальный пароль — это подарок для хакера


Простой банальный пароль — это подарок для хакера. Но еще хуже, если используется одна и та же примитивная комбинация для авторизации на разных сервисах. Злоумышленникам достаточно подобрать пароль для одной учетной записи, чтобы все другие аккаунты также оказались под угрозой.

Какие пароли лучше не использовать

Когда мошенники подбирают “ключи” для большой базы учетных записей, то в первую очередь в ход идут популярные комбинации. Среди самых распространенных паролей 2021 года:

  • 123456;
  • qwerty;
  • 123456789;
  • 1234567;
  • password;
  • 111111;
  • iloveyou;
  • admin;
  • password1.

Стоит отметить, что все эти последовательности уже долгие годы находятся в списке самых уязвимых паролей. Такие “ключи” легко запоминаются, однако их использование не обеспечивает должную защиту аккаунту.

Каких паролей стоит избегать:

  • простые последовательности цифр (по порядку, четные, одинаковые и т.д);
  • популярные слова и словосочетания;
  • дублирование логина;
  • последовательности букв на клавиатуре (qwerty, asdf и т.д);
  • собственные имена (географические названия, имена людей и т.д);
  • простые слова и словосочетания на английском языке или латинскими буквами (best, mylife, rabota, pochta и т.д).

Добавление цифр в конце слова-пароля или его дублирование (maxim2, vova567, bmwbmw, bombom) также не стоит рассматривать, как хороший вариант для защиты своего аккаунта.

Нередко злоумышленники ставят за цель взлом аккаунта конкретного пользователя. С большой долей вероятности они не делают это вслепую. Мы оставляем немало информации о себе в интернете (и не только), поэтому не стоит использовать личные данные в качестве паролей:

  • имена (свое, близких, друзей);
  • даты рождения;
  • клички домашних животных;
  • телефоны;
  • название компании, марки автомобиля и т.д.

Как выбрать пароль

Кибербезопасность — головная боль не только пользователей, но и веб-сервисов. Поэтому зачастую порталы “помогают” создавать своим посетителям качественные пароли. Например, ставится необходимое условие одновременного использования цифр, специальных символов, заглавных букв. На многих сайтах эффективность пароля оценивается на этапе регистрации. Система сообщает пользователю о степени уникальности и сложности выбранной последовательности.

Использовать цифры и спецсимволы также нужно нетривиальным образом. Довольно часто их ставят в конец или начало пароля: maria7&, helloworld11$ и т.д. Такие комбинации нельзя отнести к удачному выбору. Гораздо лучше, если спецсимволы и цифры вставлены в пароль хаотичным образом.

Основные признаки эффективного пароля:

  • уникальность и нетривиальность;
  • наличие различных типов символов;
  • достаточная длина.

Чем пароль длиннее, тем его труднее взломать. Но с увеличением количества символов повышается сложность запоминания последовательности. Можно использовать цитаты из фильмов, книг или песен. Однако к выбору такого рода паролей тоже стоит отнестись ответственно. Строчка не должна быть короткой, популярной или тесно связанной с вашей личностью. Если у человека есть любимый трек и он постоянно напевает, например, песню Джеймса Брауна “I feel good”, то не исключено, что в какой-то из аккаунтов этого пользователя можно заглянуть по паролю “ifeelgood” или, к примеру, “ifeelgood777”. Поэтому к выбору ключа, опираясь на цитаты, также стоит подойти с фантазией.

Чем пароль длиннее, тем его труднее взломать


На многих ресурсах есть возможность случайной генерации пароля. Это хорошее решение, чтобы создать уникальный и сложный ключ для своего аккаунта. Генератор выдает пароль с хаотическим набором символов разного типа. Такую последовательность сложно угадать или связать с пользователем, однако ее также нелегко запомнить. Для хранения таких уникальных сложных паролей можно использовать специальные сервисы.

Как и где хранить пароли

Даже у неактивных пользователей наберется несколько важных учетных записей в сети. А зачастую мы “обрастаем” десятками аккаунтов, точное количество которых мало кто знает. Сложный пароль трудно запомнить, а десять таких последовательностей держать в памяти практически нереально.

Логины и пароли часто записывают в блокнот или файл на компьютере. Держать список ключей в текстовом документе или таблице Excel довольно опасно. Для блокнота с паролями также нужно найти надежное место, плюс присутствует вероятность его потерять или забыть. Не стоит хранить листочки с паролями в доступных местах (например, под ноутбуком или на рабочем столе). Это почти как “спрятать” ключи от квартиры под половик или в цветочный горшок рядом с дверью.

Для хранения большого количества пар “логин-ключ” удобно использовать специальные сервисы. Среди популярных менеджеров паролей можно выделить следующие:

  • Dashlane;
  • 1Password;
  • LastPass;
  • RememBear;
  • NordPass;
  • RoboForm;
  • Keeper.

Используя специальный сервис для управления паролями, необходимо запомнить всего одну пару логин-ключ. Все остальные данные про аккаунты и кодовые последовательности находятся внутри программы-”сейфа”. Менеджеры паролей могут иметь разный набор функций (автозаполнение форм, проверка сайтов, сканер даркнета и т.д). Зачастую подобные сервисы предлагают также мобильное приложение и плагины под различные браузеры.

Базовый функционал менеджеров паролей часто предоставляется бесплатно или с тестовым периодом. Чтобы получить полный набор инструментов, необходимо оформить подписку. Например, платформа 1Password предлагает различные пакеты для семьи или бизнеса. Сохранность данных является приоритетной задачей для любой солидной компании, поэтому подобные сервисы все чаще используют для защиты аккаунтов сотрудников.

Для устройств macOS и iOS есть встроенное решение для безопасного хранения паролей. Keychain (буквально "связка ключей") — зашифрованная база данных. Этот инструмент отлично подходит для хранения “ключей” и позволяет авторизоваться на разных ресурсах в один клик. Пароли хранятся в зашифрованном виде, можно настроить синхронизацию с другими устройствами. Программа отличается предельно простым интерфейсом — набор сохраненных аккаунтов представлен информативным списком. Если забыли пароль, то нужную пару “логин-ключ” можно быстро найти через строку поиска.

Дополнительная защита

Сложный уникальный пароль и правильное хранение не являются исчерпывающим условием для безопасности учетной записи. С пугающей регулярностью в СМИ появляются новости об утечке данных даже с крупных интернет-площадок. А базы небольших сайтов, которые пренебрегают средствами обеспечения кибербезопасности, могут в любую минуту стать легкой добычей для умелых хакеров.

Дополнительные меры безопасности:

  • Использование двухфакторной аутентификации;
  • Воздержание от регистрации на сомнительных сайтах;
  • Регулярная смена паролей;
  • Использование в браузере режима “инкогнито” при работе на чужих устройствах.

К защите своих аккаунтов необходимо отнестись со всей ответственностью. Важно выбрать сложный уникальный пароль и не пренебрегать дополнительными возможностями защиты.

***

Время — самый ценный ресурс в современных бизнес-реалиях. Исключив из рабочих процессов рутину, вы получите больше возможностей для реализации самых смелых планов и идей. Выбирайте – можете дальше терять время, деньги и нервы на неэффективные решения, а можете воспользоваться ApiX-Drive, автоматизировав рабочие процессы и достигая результатов с минимальными инвестициями денег, сил и кадровых ресурсов.