Назад

Цифровая безопасность

Доступно

о надежных паролях

Надежный парольПризнаки надёжностиИдеи для пароляМенеджеры паролейРешение проблемРеальные угрозыКлючи доступаАльтернативыРезюме

Как создать надежный парольЕжегодно публикуется множество статей по результатам исследований, которые рассказывают о самых популярных паролях.

В 2023 году у россиян стали:

123456

qwerty

123456789

Qwerty123

1000000

12345678

12345zz

123123

Взломать такие пароли не возникает сложности. Особенно при использовании специальных программ перебора букв, цифр и символов

Признаки надёжного пароля

Чем длиннее пароль, тем он сложнее для взломаНадежный пароль содержит как минимум 12 символов

Не используйте только цифры или только буквыНадежный пароль включает буквы в разном регистре, цифры и специальные символы (~!@#$%^&*+-/.,\{}[]();:|?<>=)

В нём нет последовательных комбинаций клавиш на клавиатуреНе используйте последовательный набор клавиш, например «qwerty», — его легко взломать. Тем более, на телефонной клавиатуре вы едва ли сможете воспользоваться этим методом запоминания пароля. Для надёжного пароля применяйте случайную комбинацию букв, цифр и других символов

Не используются персональные данные
Не используйте такие личные данные, которые легко узнать, изучив ваши социальные сети

Содержит высказывание
Выбирайте за основу не слова, а фразы — их намного сложнее угадать или перебрать. Используйте для пароля смешное событие, забавную привычку, тайную мечту: «ЯнелюблСуп_встоловойза350+рублей!@», «ПоступилВсвой$Университет$в2010году»

Уникальность
Для каждого критически важного аккаунта (Госуслуги, интернет-банк, соцсети) должен быть создан собственный пароль. В таком случае, взломав один аккаунт, злоумышленник не сможет получить доступ и ко всем остальным аккаунтам в приложениях. Для тех приложений, в которых не хранятся важные данные и не совершаются покупки, можно использовать простой пароль

Идеи для создания

надёжного пароля

Используйте генераторы паролей — программы, которые формируют случайные комбинации по заданным требованиям

Но будьте внимательны!

Такие сайты не должны запрашивать никакую личную информацию

Менеджеры паролей и SSO — лучшее, что у нас есть

В опросе телеграм-канала о кибербезопасности треть людей ответила, что запоминают пароли. И это тоже метод. Интересно сколько разных паролей помнят обычно люди? И что делать, когда число паролей превосходит пределы вашей памяти?

Лучше всего себя зарекомендовали менеджеры паролей и Single Sign-On (SSO). Хотя и они не идеальны

интересный факт

80%взломов происходит из-за утечек паролей. Люди используют простые пароли или повторяют их на разных сайтах

Менеджеры паролей решают проблему

Генерируют уникальные сложные пароли для каждого сервиса

Хранят их в зашифрованном виде

Позволяют безопасно автозаполнять пароли, не вводя их вручную

SSO (например, вход через Google или Microsoft) снижает риск, потому что не требует ввода пароля вообще — один аккаунт для всего

Реальные угрозы для менеджеров паролей и SSO

ФишингЕсли злоумышленник заставит вас ввести мастер-пароль на поддельном сайте, он получит доступ ко всем вашим паролям

Вредоносные расширенияНекоторые могут считывать автозаполняемые поля в браузере и красть пароли

Вредоносное ПОStealer-вирусы вроде RedLine могут вытащить пароли из браузерного менеджера или незашифрованного хранилища

SSO (например, вход через Google или Microsoft) снижает риск, потому что не требует ввода пароля вообще — один аккаунт для всего

Вывод №1

01Менеджеры паролей и SSO – лучшее, что у нас есть!

02Но их тоже нужно защищать:

• Включите двухфакторную аутентификацию (2FA)
• Не храните пароли в браузере – только в надежном менеджере
• Следите за утечками паролей через мониторинг, например, Safe-Surf

Ключи доступа (Passkeys) — замена паролям Это технология, где паролей вообще нет. Вместо них используются криптографические ключи, привязанные к вашему устройству.

Вместо пароля сайт запрашивает биометрию (Face ID, отпечаток пальца) или аппаратный ключ. Представляете: хакеры не могут угадать то, чего не существует.

Apple Passkeys в iCloud

Яндекс Ключ

FIDO2/WebAuthn

Альтернативы паролям прямо сейчас

Аппаратные ключиYubiKey, SoloKey, Titan Key

Работают по стандарту FIDO2

Полностью исключают ввод паролей

Невозможно украсть удаленно – нужен физический доступ

Беспарольная аутентификациянапример, через Telegram, WhatsApp, email

Вход без пароля – только подтверждение через доверенный сервис

Минус: если взломают почту или Telegram, все под угрозой

Блокчейн-аутентификацияStealer-вирусы вроде RedLine могут вытащить пароли из браузерного менеджера или незашифрованного хранилища

Учетные данные распределены и недоступны для атакующих

Пока слабо развито, но перспективно

Вывод №2

01Сегодня: менеджеры паролей + 2FA – лучший вариант

02Завтра: Passkeys и FIDO2 избавят нас от паролей вообще

Хотите максимально эффективную парольную защиту?

01Используйте менеджер паролей + аппаратный ключ (YubiKey)

02Следите за трендами — мир уходит от паролей!

Резюме

Используйте сложные пароли длиной не менее 12 знаков, которые содержат цифры, заглавные и строчные буквы и специальные символы

Не используйте для паролей личные данные или другую информацию, которую публикуете вы или ваши близкие в социальных сетях

Обязательно подключите двухфакторную аутентификацию, если сервис позволяет это сделать

Используйте различные пароли для каждой критически важной учетной записи

Храните пароли в специальных программах — менеджерах паролей

Не храните пароли на бумажных носителях, в электронных блокнотах, заметках и браузерах

Используйте для паролей случайную комбинацию букв, цифр и других символов.
Также подойдут забавные фразы, которые нужно записывать буквами разного регистра и добавляя цифры и символы