В современном мире мы все больше и больше используем аккаунтов социальных сетей, электронной почты, личные кабинеты интернет-магазинов, площадок объявлений, и прочих интернет ресурсов.
А задумывались ли вы о безопасности своих учётных данных?
Хуже всего, если для своих аккаунтов вы используете простые пароли, которые содержат ваши личные или общедоступные данные, а также наиболее часто используемые пароли, которые проверяются в первую очередь при жестком подборе.
Список 30 самых используемых паролей в мире:
| 123456 | abc123 | princess |
| password | 1234 | etmein |
| 123456789 | password1 | 654321 |
| 12345 | iloveyou | monkey |
| 12345678 | 1q2w3e4r | 27653 |
| qwerty | 000000 | 1qaz2wsx |
| 1234567 | qwerty123 | 123321 |
| 111111 | zaq12wsx | qwertyuiop |
| 1234567890 | dragon | superman |
| 123123 | sunshine | asdfghjkl |
Многие выбирают один, пусть и криптографически сложный пароль, но используют его во всех своих аккаунтах. В данном методе нет ничего хорошего.
Представьте ситуацию, что ваши учетные данные (логин и пароль) были скомпрометированы на одном из сайтов где вы зарегистрированы и злоумышленники зная ваши учетные данные начинают подставлять их в известные сайты, социальные сети и т.д., тем самым получают полный доступ к вашему аккаунту и начинают использовать его в мошеннических схемах.
Одна из таких схем это распространение заведомо ложной информации от вашего имени о срочном сборе средств на лечение, помощи родным при трагедии и других сложных ситуаций, причём, что бы ещё более глубоко ввести жертву в заблуждение, мошенники в подтверждение своей легенды выкладывают информацию зачастую настолько подробную, например заключение о диагнозе или справка врача, скан паспорта истинного владельца аккаунта, что не поверить очень трудно и жертва уже на крючке. Дальнейшее поведение жертвы здесь рассматривать не будем. Выскажу только своё мнение, считаю что в данной ситуации вина полностью лежит на истинном владельце аккаунта, который не обеспечил должную безопасность своих учётных данных.
Некоторые поступают более разумно и используют три, четыре пароля по категориям использования. Например, один пароль для важных аккаунтов, к ним можно отнести — личный кабинет банка, электронную почту, второй для менее значимых — то социальные сети, стриминговые сервисы, а третий для всех остальных. Недостатки этого метода аналогичны предыдущему.
Ещё один из вариантов это использование одного пароля + подстановка дополнительной фразы имени ресурса и т.п. Выглядит это следующим образом:
- Be$tPassw0rd_mail;
- Be$tPassw0rd_google;
- Be$tPassw0rd_invest;
- Be$tPassw0rd_reddit.
Несмотря на то, что фактически используются разные пароли несложно догадаться о таком подходе и в пароле вместо ресурса на котором был он скомпрометирован подставлять другие сайты и ресурсы.
Нужно так же учитывать, что цифры и регистр не делают пароль более надежным. Чтобы сделать пароль более надежным, его необходимо удлинить и добавить специальные символы.
Основные правила интернет-безопасности:
- Использовать принципиально разные пароли для разных учётных записей
- Длинный пароль лучше короткого.
- Случайные пароли лучше, чем пароли, позволяющие идентифицировать владельца.
- По возможности использовать двухфакторную аутентификацию.
Как же запомнить уникальное множество длинных паролей для огромного количества сайтов? Ответ есть — Менеджеры паролей!
Менеджер паролей
Менеджер паролей позволяет хранить в безопасном формате набор сложных паролей, генерировать криптографически сложные пароли и осуществлять их автозаполнение при входе на ресурс. При этом для пользователя задача сужается до запоминания одного сложного и стойкого мастер-пароля для входа в сам менеджер паролей (сейф). У Apple есть нативный бесплатный менеджер паролей — Связка ключей (Keychain), доступный для использования прямо из коробки. Присутствует синхронизация между устройствами Apple в пределах одного AppleID, а также пользователю не нужно каждый раз вводить мастер-пароль, достаточно использовать биометрические данные (FaceID, TouchID) для разблокировки сейфа.
Если вам наоборот необходимо уйти от использования связки ключей Apple (keychain) на сторонние приложения, сервисы или просто получить список ранее сохраненных учетных данных, можно воспользоваться скриптом GetSafariPasswords, который берет значения (имя ресурса, логин, пароль) из связки ключей и сохраняет построчно в excel файл. Стандартными средствами Apple, на момент написания данной статьи, сделать экспорт данных невозможно.
Создание мастер-пароля.
Менеджер-паролей защищен ровно настолько, насколько безопасен мастер-пароль, который используется для доступа к менеджеру паролей. Вы должны быть уверены, что его достаточная случайность и неугадываемость подтверждена фактором случайности. Да, безусловно можно сгенерировать случайный мастер-пароль для доступа к менеджеру паролей в самом менеджере, но этот пароль трудно запомнить. Как же придумать безопасный, но запоминающийся пароль? Для этого предлагаю обратить внимание на метод diceware.
В этом методе используется словарь слов, индексированных с помощью результатов подбрасывания пяти игральных кубиков. Каждый раз, когда Вы бросаете 5 кубиков (или 1 кубик 5 раз), числа, которые получаются, соответствуют слову в списке. Например, на 5 кубиках выпало 3–2–5–6–6, далее перейдите к словарю и ищите значение для 32566 — это слово «зачем». Сделайте это еще 4-5 раз, и вы получите строку из слов. Эти слова и есть ваш потенциальный пароль.
Далее попробуйте использовать мнемотехнику — совокупность специальных приёмов и способов, облегчающих запоминание нужной информации и увеличивающих объём памяти путём образования ассоциаций (связей). Можно использовать «визуализацию» или сочинить сюжет, в котором задействованы полученные слова. Например, чтобы запомнить последовательность слов: «Белый», «Девять», «Жезл», «Зачем», — придумываем визуализацию полицейского у которого на ремне не один, а целых девять, да еще и не полосатых, а белых жезлов. Согласитесь, данная фраза «Зачем девять белых жезлов» стала очень простой для запоминания.
Для повышения безопасности необходимо использовать специальный символ или цифру так же выбранную случайным образом.
Бросаете один кубик, чтобы выбрать слово в вашей фразе, бросаете второй и третий раз, чтобы выбрать добавленный символ из следующей таблицы:
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 1 | ~ | ! | # | $ | % | ^ |
| 2 | & | * | ( | ) | - | = |
| 3 | + | [ | ] | \ | { | } |
| 4 | : | : | " | ' | < | > |
| 5 | ? | / | 0 | 1 | 2 | 3 |
| 6 | 4 | 5 | 6 | 7 | 8 | 9 |
В качестве разделителей слов так же можно использовать символы, например «-» или «_».
Дополнительные идеи.
Менеджеры паролей прекрасны, но что если ваш мастер-пароль к менеджеру паролей скомпрометирован из-за нарушения безопасности? Используем двойной пароль!
Основная идея это разделить свой пароль на 2 части. Одна из которых хранится в менеджере паролей, а другая (парольная фраза) в вашей голове.
По сути, в любой момент времени вы и ваш менеджер паролей знаете только часть пароля. Это и есть двойной пароль.
Пример:
Как хранится в менеджере паролей:
- Логин: BestLogin
- Пароль: imperfect-tinsel-exclaim
Парольная фраза в голове: Super
Истинный логин и пароль:
- Логин: BestLogin
- Пароль: imperfect-tinsel-exclaimSuper
Парольная фраза добавляет дополнительный уровень безопасности. Это своего рода двухфакторная аутентификация.
Если это кажется слишком сложным, используйте парольную фразу только для наиболее важных учётных записей.
Двухфакторная аутентификация
Это метод идентификации пользователя в каком-либо сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. После включения двухфакторной аутентификации пользователь должен пройти еще один шаг для успешного входа в систему. Стандартные шаги для входа в учетную запись – это ввод логина и ввод пароля.
В настоящее время существует два широко используемых метода получения одноразового пароля:
- На основе SMS. Каждый раз, когда пользователь входит в систему, он получает на указанный в учетной записи номер мобильного телефона текстовое сообщение, которое содержит одноразовый пароль.
- На основе TOTP. При включении двухфакторной аутентификации пользователю предлагается отсканировать QR-код с помощью специального приложения для смартфона, которое в дальнейшем постоянно генерирует одноразовый пароль для пользователя.
Рекомендую использовать TOTP (сейчас доступно большое количество приложений на основе TOTP), поскольку его нельзя подделать или подсмотреть на заблокированном экране, как SMS OTP, и для него не требуется мобильная сеть или подключение к интернет.
Резюмируем
- Используйте менеджер паролей.
- Используйте TOTP вместо OTP на основе SMS.
- Используйте двойной пароль для наиболее важных аккаунтов и учётных записей.
Самое главное не стоит забывать, что стоимость средств защиты информации не должна превышать стоимости самой защищаемой информации.
Great content! Keep up the good work!