Как защитить свои аккаунты и не запоминать пароли

Вы уверены, что ваши аккаунты защищены надёжными паролями?

Проверьте, соответствуют ли они критериям информационной безопасности:

  • Все пароли длиннее 12 символов.
  • В каждом пароле есть строчные и заглавные буквы, числа и небуквенные символы.
  • У каждого сайта уникальный пароль.
  • Пароли не хранятся в памяти браузера, при каждом входе вы вводите их вручную.

Даже один невыполненный пункт создает риск, что ваши аккаунты взломают. Эта статья поможет исправить ситуацию и создать безопасные пароли, удобные в использовании.

Михаил Шляпников,

начальник управления информационной безопасности Минцифры Оренбургской области,

эксперт статьи

«Порой требования информационной безопасности кажутся избыточными и невыполнимыми. Я прекрасно знаю это чувство замешательства: „Как прикажете делать такие сложные пароли и держать их все в голове?“ Чтобы решить эту проблему, я изучал методы взлома и защиты информации, исследовал поведение и привычки людей. Я пытался найти золотую середину между защищённостью и удобством для пользователей. Результатом стала методика создания простых и человечных паролей. Эти пароли соответствуют современным требованиям безопасности. При этом их легко запомнить и вводить каждый день»

Как создать надёжный и простой пароль

Какой из этих паролей надёжнее?

  • $vJn#йык
  • qwert12345
  • 1КрасныйПамидор!
Пароль $vJn#йык qwert12345 1КрасныйПамидор!
Время на подбор 39 минут 4 минуты 1 бллн. лет

Ответ: пароль «1КрасныйПамидор!» надёжнее других в этой группе.

Многие дают неправильный ответ — в этом нет ничего страшного. Это связано с тем, что устаревшая логика создания паролей продолжает активно продвигаться. Эта статья посвящена актуальной технологии.

Надёжность пароля зависит от трёх факторов:

  • длины пароля,
  • наличия заглавных и строчных букв,
  • наличия небуквенных символов.

Большинство сервисов делают акцент на последних двух факторах и заставляют пользователей вводить бессмысленные комбинации нечитаемых символов.

Требования Госуслуг. Если сложно придумать, сервис сгенерирует пароль. Выбирайте любой: 1e6=EJh~G7, HL_d8k7~!? или BBjw!7!P~2c

Яндекс доволен длиной пароля в 7 символов, но рекомендует добавить заглавные буквы и цифры

Официальный аккаунт безопасности «Вконтакте» подготовил для пользователей статьи, которые учат креативить и создавать сложные пароли, а потом сохранять их в Гугль-аккаунте, чтобы не запоминать

Такие правила создают иллюзию, что сложный нечитаемый пароль защитит от взлома. Люди придумывают непривычные для себя конструкции, силятся их запомнить и с трудом вводят, а эффекта от этого нет.

На самом деле важно наличие специальных символов, а не их количество и «сложность». Достаточно одной заглавной буквы и точки, чтобы пароль стал надёжным. Это связано с технологией взлома.

Некоторые переключаются на английский язык и вводят русские слова: так вместо фразы «этомойпароль» получается «’njvjqgfhjkm». Такой пароль невозможно ввести с телефона — приходится запоминать русскую расшифровку и набор символов английской раскладки

Пароли хранятся на сайтах в зашифрованной виде — их называют хешами. Украв хеши, мошенники не могут сразу войти в аккаунты пользователей — нужно разгадать шифр и узнать настоящие пароли.

Раньше мошенники пользовались технологией брутфорс — перебирали все возможные комбинации символов до тех пор, пока не узнавали пароль. Эта технология зависит от видов символов, которые используются в пароле. Если пароль состоит исключительно из цифр, у каждого символа есть 10 вариаций — от 0 до 9. Если помимо цифр используется хотя бы одна буква английского алфавита, количество вариаций каждого символа возрастает до 36. Если добавляется одна заглавная буква — вариаций становится 62.

Символы могут повторяться, буквы и цифры — идти по порядку. Это не влияет на скорость взлома. Каждый символ пароля — отдельная переменная, которая не зависит от других. Поэтому для каждой из них компьютер заново решает уравнение.

Чем переменных больше, тем дольше происходит расчёт. Технология брутфорса позволяет взламывать пароли до 8 символов в длину. Подбор более длинных комбинаций занимает слишком много времени.

Компания «Хайв Системс» ежегодно проводит замеры времени на подбор разных паролей. По данным на 2022 год, пароль менее 6 символов в длину взламывается мгновенно, вне зависимости от его сложности. Согласно таблице, если пароль «Памидор23» переделать на «П*мидор23», мошенники будут возиться с ним не три недели, а пять месяцев. Но от добавления новой буквы эффект сильнее, и пароль «оПамидор23» мошенники будут подбирать три года

С появлением ССД технология взлома паролей обновилась и стала быстрее. Новый метод радужных таблиц позволяет заранее рассчитать возможные вариации перевода паролей в хеши и составить из них таблицы соответствия. Каждый пользовательский хеш сравнивается с таблицей — когда находится идентичный хеш, мошенник определяет, какая комбинация символов ему соответствует, и узнает пароль.

Технология радужных таблиц ускорила массовый взлом, поэтому мошенникам стали доступны пароли длинной в 10—12 символов.

Использование спецсимволов — усложняет работу мошенников, но не обеспечивает даже минимальную безопасность пароля. При одинаковой длине простой пароль с одной заглавной буквой и небуквенным символом обеспечивает такую же защиту, как и бессмысленное сочетание символов, цифр и букв разного регистра.

Пароли 1КрасныйПамидор! и QeRtY1234!@_P456 обеспечивают одинаковую защиту, потому что имеют одинаковую длину и содержат цифры, заглавные и строчные буквы, небуквенные символы.

Надёжный пароль содержит от 12 символов. Такая норма учитывает возможность роста технологий. Ещё пару лет назад потолком для мошенников были 8 символов. Сейчас они взламывают десятизначные пароли. Пароль, в котором более 12 символов, даёт уверенность в том, что ваши аккаунты будут под защитой, даже если технологии усилятся.

Почему «помидор» через «а». Чтобы сократить время на взлом, мошенники используют перебор по словарю. «Словарная атака» работает только с паролями, состоящими из одного слова. Если в нём допущены ошибки, подбор по словарю не эффективен. «Памидор» — это пример защиты от этого метода.

12

символов
минимальная длина надёжного пароля

Правила надёжных паролей:

  • Длина от 12 символов, чтобы и через год аккаунты были в безопасности.
  • Одна буква в другом регистре. Не нужно чередовать заглавные и прописные буквы по хитрой логике — это никак не повлияет на надёжность пароля. Напишите хотя бы одно слово с заглавной буквы, и этого будет достаточно.
  • Один небуквенный символ. Нет более сильных и более слабых символов. Поставьте точку в конце пароля, и его надёжность возрастёт в разы.
  • Слова написаны с ошибками, чтобы их нельзя было найти в словаре.

Но мало придумать один хороший пароль. У каждого сайта он должен быть уникальным. Далее мы расскажем, как это сделать.

Как защитить все аккаунты

Когда один пароль подходит для нескольких сервисов, каждый из них защищён плохо. Мошенники сначала взламывают один сайт, а затем используют найденный пароль, чтобы получить доступ к другим. Так, взломав «Вконтакте», мошенники получат доступ к почте, Госуслугам и другим ресурсам.

Многие знают это правило, но соблюдают его единицы. Михаил выступает с лекциями по информационной безопасности. Когда доходит до темы паролей, спрашивает у зрителей: «Есть ли среди вас те, у кого пароли хотя бы в двух сервисах повторяются?» Руки поднимают практически все.

Мы понимаем, что придумать и запомнить разные пароли кажется невыполнимой задачей. Но есть методика, которая поможет создавать уникальные пароли, не ломая голову.

Шаг 1. Разделите все сервисы на три категории

Что будет, если мошенники взломают аккаунт в Госуслугах? Они смогут продать паспортные данные на чёрном рынке. Смогут оформить несколько компаний, а потом взять на них кредиты. Подобные ситуации — это реальные истории из практики Михаила.

А что, если взломают аккаунт в Пинтересте? Максимум — удалят пины и испортят ленту.

В зависимости от потенциального ущерба сервисы можно разделить на три группы:

Критически важные сервисы

Это сервисы, на которых хранятся:

— паспортные данные,

— доступы к рабочим аккаунтам,

— данные банковских карт.

Пример:

— Госуслуги,

— электронная почта,

— интернет-банк.

Сервисы умеренной критичности

Это сервисы, на которых хранятся:

— номер мобильного телефона,

— адрес места жительства,

— номер банковской карты.

Пример:

— социальные сети,

— hh.ru,

— «Авито».

Второстепенные сервисы

В этих сервисах может храниться ФИО, дата рождения — не больше.

С их помощью нельзя размещать публичные заявления, вести диалоги и сохранять личные данные.

Пример:

— библиотеки,

— агрегаторы,

— новостные порталы.

Шаг 2. Создайте для каждой группы тело пароля

Условно пароль можно разделить на две части: тело и изменяемую часть. Тело — это словосочетание или порядок символов, которые повторяются от пароля к паролю.

Придумайте три непохожих друг на друга тела пароля для каждой группы сервисов. Даже если мошенники получат пароль одной группы, две оставшиеся группы сервисов будут в безопасности.

Соблюдайте рекомендации, о которых мы писали выше:

  • длина от 12 символов,
  • одна буква в другом регистре,
  • один небуквенный символ,
  • ошибка в слове.

Тело — основа системы паролей. Не используйте его без изменяемой части в качестве самостоятельного пароля, никому и никогда не передавайте, не записывайте в электронном или бумажном виде

Шаг 3. Добавьте к каждому паролю изменяемую часть

Изменяемая часть добавляется к телу и делает получившийся пароль уникальным.

2-3 символа — достаточная длина для изменяемой части.

Логика изменяемой части может быть любой.

Это может быть шифр. Например, каждому сервису в группе присваивается номер, который влияет на изменяемую часть: первому паролю в группе добавляется «1А», второму — «2B».

Можно использовать приём наследования, когда к каждому паролю добавляет признак сайта, для которого предназначен этот пароль. Например, для «Вконтакте» — «VK», для Госуслуг — «GU».

Старайтесь не ставить изменяемую часть в начало или конец пароля. Лучше «разрывать» ей тело пароля, встраивая изменяемую часть в центр.

Изменяемая часть в центре пароля

Почему это работает? Алгоритмы, которые подбирают пароли, не анализируют логику, по которой они составлены. Подобрав пароль от одного сервиса, машина не станет его изучать и пытаться подобрать изменяемую часть — это слишком дорого для массового взлома.

Шаг 4. Замените пароли во всех сервисах

Зайдите на каждый сайт, начиная с самого критичного уровня, и измените пароли на те, которые составили ранее.

Петроченкова Ксения,

редактор статьи

заменила пароли по методике Михаила

«Может казаться, что это долгая утомительная работа. Я более полугода откладывала замену паролей — думала, что выделю выходной и разберусь с этой непосильной задачей. На деле же всё оказалось гораздо проще: 10 минут у меня ушло на то, чтобы придумать три тела и разработать логику изменяемой части, ещё 15 минут — на замену критически важных сервисов и сайтов средней важности. На многих второстепенных сайтах у меня стояли предложенные пароли, сохранённые в браузере — я не стала их менять, смирившись с тем, что могу потерять к ним доступ»

Не сохраняйте пароли в браузере. Это перечеркнёт все усилия по защите аккаунтов. Мошенникам понадобится взломать одну лишь почту, к которой привязан браузер, чтобы получить доступ ко всем паролям. Далее мы расскажем, как безопасно записать пароли, чтобы их не приходилось запоминать.

Алгоритм обновления паролей:

  1. 1. Разделите сервисы на три группы по степени потенциального ущерба
  2. Госуслуги и электронную почту в первую группу, соцсети — во вторую, сторонние сайты — в третью.
  3. 2. Для каждой группы придумайте пароль из 12 символов
  4. Пусть это будут простые запоминающиеся слова с одной цифрой, заглавной буквой и символом, например, точкой или запятой. Сделайте в словах глупые ошибки, которые легко запомните.
  5. 3. Для каждого сайта придумайте опознавательную метку
  6. Например, первые буквы названия сервиса. Добавьте эту метку в середину пароля этой группы сайтов.
  7. 4. Замените пароли на всех сервисах
  8. Не сохраняйте новые пароли в браузере.

Как запомнить пароли

Наверно, вам хотя бы раз говорили, что нельзя записывать пароли. На самом деле вы можете записать пароли на стикер, прикрепить его на монитор рабочего компьютера или отдать в руки недруга, и ваши аккаунты останутся в безопасности. Главное, владеть приёмом обфускации.

Запишите тело пароля.

Добавьте в начало, середину и конец по паре символов или букв. Важно, чтобы они не выделялись, казались частью пароля. Так вы получите безопасный обфусцированный пароль.

Обфусцированный пароль бесполезен для мошенника, ведь он не откроет доступ к аккаунту. Понять, какие символы лишние, а какие относятся к телу пароля, практически невозможно.

Поставьте себя на место мошенника и попробуйте выделить настоящий пароль из обфусцированного:

1234Ddobroye!0Utro5678

Исходный пароль — 23DdobroyeUtro6

Вероятность угадать — минимальная. Ни один мошенник и недоброжелатель не станет этим заниматься. К тому же в большинстве сайтов используется защита от перебора, и после двух—трёх неверных паролей доступ блокируется.

Совет

Пользуйтесь автодополнением браузера, чтобы не запоминать логины

Когда браузер предложит, выберите «Сохранить пароль». Затем перейдите в настройки и измените сохранённый пароль на любую комбинацию символов. Так браузер будет автоматически заполнять поле логина, а пароль вы будете вписывать самостоятельно.

Теперь вы знаете, как сделать пароли надёжными. Поделитесь этими знаниями с близкими.

Памятка

Как сделать пароли надёжными

  1. 1. Разделите сервисы на три группы по степени потенциального ущерба
  2. Госуслуги и электронную почту в первую группу, соцсети — во вторую, сторонние сайты — в третью.
  3. 2. Для каждой группы придумайте пароль из 12 символов
  4. Пусть это будут простые запоминающиеся слова с одной цифрой, заглавной буквой и символом, например, точкой или запятой.
  5. Сделайте в словах глупые ошибки, которые легко запомните.
  6. Пример пароля: 1КрасныйПамидор!
  7. 3. Для каждого сайта придумайте опознавательную метку
  8. Например, первые буквы названия сервиса.
  9. Добавьте эту метку в середину пароля этой группы сайтов.
  10. Пример пароля для «Вконтакте»: 1КрасныйВКПамидор!
  11. 4. Замените пароли на всех сервисах
  12. Не сохраняйте пароли в памяти браузера. Выписывайте новые пароли на листок или в заметки.
  13. 5. Добавьте к записанным паролям лишние символы, буквы и числа
  14. Важно, чтобы добавленные символы выглядели частью пароля.

На странице используются шрифты семейства Монтсерат (Montserrat).