«12345» — это действительно плохо: полное руководство по безопасности паролей

Мы снова и снова советовали вам, что единственный безопасный способ хранения и использования паролей — это полагаться на диспетчер паролей, но некоторые из вас не слушают. В опросе PCMag о паролях только 24 процента из вас сообщили об использовании менеджера паролей. Что остальные из вас делают? Используете простые пароли, такие как пароль или 12345678? Запоминать один сложный пароль и использовать его везде? Послушайте, забота о безопасности паролей — это не пустяк, но, учитывая огромные масштабы риска — как показано в недавнем взломе Коллекции № 1, в результате которого были обнаружены 773 миллиона взломанных адресов электронной почты, — вам нужно сделать все возможное, чтобы сохранить свои пароли. безопасно.

Даже если вы используете лучший менеджер паролей, это не гарантирует безопасность ваших учетных записей — не в том случае, если вы используете менеджер паролей для запоминания тех же старых, затертых паролей. Вы должны спуститься в окопы и заменить плохие пароли новыми, более надежными.

Упомянутый выше опрос показал, что 35 процентов читателей PCMag никогда не меняют свои пароли, если только их не вынуждают сделать это в результате взлома. В общем, это не так уж и плохо. Национальный институт стандартов и технологий больше не рекомендует менять пароли каждые 90 дней. Теперь NIST рекомендует использовать длинные парольные фразы, такие как «Правильно-Horse-Battery-Staple», и менять их только при необходимости. Но если вы используете ужасные пароли, «при необходимости» означает прямо сейчас .

Что делает плохой пароль? Мы рассмотрим некоторые атрибуты ужасных паролей, а затем дадим вам несколько советов о том, как правильно создавать пароли.

Держитесь подальше от словаря

Каждые несколько месяцев то одно, то другое новостное издание публикует список худших паролей. Мы видим много простых для ввода вариантов, таких как 123456 и 12345678 и qwerty. Легко для вас? Конечно. Но также легко взломать хакерам. Другие распространенные (и плохие) пароли состоят из простых словарных слов. Мы видели бейсбол, обезьяну и звездные войны в списке худших паролей. Их тоже легко взломать.

Некоторые защищенные веб-сайты блокируются после определенного количества попыток ввода неправильного пароля, но многие этого не делают. Для тех, у кого нет блокировки по ошибке, хакеры могут сопоставить список адресов электронной почты со списком популярных паролей и настроить автоматический процесс, чтобы продолжать пробовать комбинации, пока они не войдут.

Надлежащим образом защищенный веб-сайт нигде не хранит ваш пароль. Вместо этого он пропускает пароль через алгоритм хеширования, своего рода одностороннее шифрование. Один и тот же ввод всегда производит один и тот же вывод, но нет возможности вернуться к исходному паролю из полученного хэша. Если пароль, который вы вводите, совпадает с сохраненным значением, вы получаете доступ. Даже если хакеры перехватывают пользовательские данные сайта, они получают не пароли, а только хэши.

Но умные хакеры могут взломать слабые пароли, даже если они хешированы, если они знают, какую функцию хеширования использовал сайт. Они начинают с того, что запускают огромный словарь общих паролей через функцию хеширования. Затем они ищут полученные хэши в захваченных данных. Каждое совпадение — это взломанный пароль. Сайты с самой лучшей безопасностью улучшают хэш-функцию с помощью метода, называемого солением, который делает такой взлом на основе таблиц невозможным, но зачем рисковать? Просто держитесь подальше от словаря.

Думать по-другому

Однажды подруга сказала мне свой идеальный пароль: 1qaz2wsx3edc4rfv. Она могла «напечатать» его, просто проведя пальцем по четырем наклонным столбцам клавиатуры. Это было настолько прекрасно, что она использовала его везде. И это было большой ошибкой.

Не проходит и недели без новостей о взломе в какой-нибудь компании или на веб-сайте, раскрывающем тысячи или миллионы имен пользователей и паролей. Умные жертвы сразу же меняют свои пароли. Те, кто проигнорирует проблему, могут оказаться заблокированными в своих учетных записях после того, как хакеры сбросят пароль.

Эти хакеры знают, что слишком много людей повторно используют свои пароли. Как только они находят рабочую пару имени пользователя и пароля, они пробуют те же учетные данные на других сайтах. Возможно, вы не так сильно беспокоитесь о потере доступа к своей учетной записи Club Penguin, но если вы использовали тот же логин на веб-сайте своего банка, у вас большие проблемы.

Становится хуже. Если кто-то получит контроль над вашей учетной записью электронной почты, он может сначала заблокировать вас, изменив пароль. Затем они могут проникнуть в другие ваши учетные записи, отправив ссылку для сброса пароля по электронной почте на эту учетную запись. Волнуетесь еще?

Не переходите на личности

Использование личной информации в качестве основы для ваших паролей ужасно заманчиво, но это плохая идея. Велика вероятность, что имя вашей собаки фигурирует в словарях, которые хакеры используют для атак грубой силы. Другие возможности, такие как инициалы и дата рождения члена семьи, вероятно, не попадут под атаку грубой силы, но если кто-то хочет специально взломать вашу учетную запись, эти личные данные могут подпитывать атаку методом проб и ошибок.

Ни на минуту не думайте, что ваши личные данные являются конфиденциальными. Есть десятки сайтов, на которых люди могут найти информацию о ком-либо: адрес, дату рождения, семейное положение и многое другое. Ваши сообщения в социальных сетях могут быть еще одним источником личной информации, особенно если вы не защитили свои учетные записи должным образом. Решительный хакер (или любопытный сосед), вероятно, сможет угадать любой пароль, который вы соберете на основе ваших собственных данных.

Закройте заднюю дверь

Если вы не используете менеджер паролей, вы наверняка забыли пароль для сайта. Это слишком распространено, поэтому практически на каждой странице входа есть надпись «Забыли пароль?». ссылка на сайт. Некоторые сайты отправляют ссылку для сброса на ваш адрес электронной почты, в то время как другие позволяют сбросить пароль после ответа на контрольные вопросы. И это открывает заднюю дверь для любого, кто хочет взломать вашу учетную запись.

Большинство сайтов предлагают ужасные варианты секретных вопросов. Какая девичья фамилия вашей матери? Где вы учились в средней школе? Какой была ваша первая работа? Как уже отмечалось, ваша личная жизнь — открытая книга для любого, кто умеет искать информацию в Интернете. По возможности игнорируйте предустановленные вопросы. Создайте свой собственный вопрос с уникальным ответом, который вы всегда будете помнить, но который никто другой не мог бы догадаться.

Сложнее, когда сайт не позволяет задавать собственные вопросы. В этом случае лучше всего использовать запоминающийся ответ, который является полной ложью. Девичья фамилия моей матери Обама. Я ходил в школу коммунистических мучеников. На моей первой работе я был укротителем львов. Существует элемент риска, так как вы можете забыть, какую ложь вы выбрали. Я бы посоветовал хранить эти странные ответы в качестве безопасных заметок в вашем менеджере паролей… но если бы вы использовали менеджер паролей, он бы запомнил пароль за вас.

Что делать теперь, когда вы заботитесь

Надеюсь, я убедил вас, что использование общих паролей — гнилая идея, как и создание паролей из личной информации. И даже самый надежный, случайный пароль становится помехой, если вы используете его повсюду. Если вы готовы действовать, вот несколько отправных точек:

• Используйте менеджер паролей.
• Переключитесь на лучший менеджер паролей.
• Запомните безумно надежный мастер-пароль для вашего менеджера паролей.
• Воспользуйтесь генератором случайных паролей, чтобы обновить старые неверные пароли.
• Вы даже можете создать свой собственный генератор случайных паролей в Excel.
• Включите двухфакторную аутентификацию везде, где это возможно.

Если безопасный сайт не заботится о безопасности, вы все равно можете потерять учетные данные этого сайта из-за утечки данных, но, сделав все свои пароли длинными, надежными и уникальными, вы сделали все возможное для защиты своих онлайн-аккаунтов.

И эй! Теперь, когда вы в безопасности, рассмотрите возможность добавления виртуальной частной сети или VPN. Использование надежных паролей для защищенных сайтов означает, что посторонние не смогут взломать ваши учетные записи; добавление VPN означает, что никто не сможет перехватить ваше соединение с этими безопасными сайтами.