Рассказываем, каким должен быть сильный пароль и как его создать.
Ваши пароли служат ключом к вашему собственному миру, поэтому вы наверняка хотели бы узнать, какие существуют передовые методы создания надежных паролей для защиты ваших учетных записей от киберпреступников. Если ваши пароли подверглись взлому, необходимо их немедленно изменить.
Каков же выход из этой ситуации? Надежные пароли. Но прежде чем перейти к этому вопросу, давайте сначала рассмотрим различные варианты взлома паролей, чтобы вы имели представление о наиболее распространенных способах, используемых в наши дни.
Как происходит взлом пароля?
Киберпреступники используют несколько тактик взлома паролей, но самая простая из них — просто купить ваши пароли в даркнете или специализированных форумах. Покупка и продажа учетных данных и паролей на черном рынке сопряжена с большими деньгами. Если вы много лет использовали один и тот же пароль, он, вероятно, уже взломан.
Но если вам удалось уберечь свои пароли от попадания в слитые базы данных, киберпреступники могут их взломать. Для этого может быть использован один из указанных ниже методов. Эти атаки могут быть направлены на ваши фактические учетные записи или, возможно, на утечку из базы зашифрованных паролей.
Атака методом подбора
Этот метод заключается в переборе комбинаций, пока не будет подобрана нужная. Существуют специальные программы для перебора как можно большего количества комбинаций за максимально короткое время, и, к сожалению, в развитии этой технологии произошли некоторые успехи. В этой таблице, составленной Университетом Южного Уэльса, видно, что атаки методом подбора считаются медленными, но они все-таки позволяют взломать буквенно-цифровые пароли из 6 символов (верхнего и нижнего регистра) за 33 минуты. Однако для взлома аналогичного буквенно-цифрового пароля из 10 символов понадобится 150 лет. Атаки методом подбора учат нас как минимум тому, что длина пароля имеет большое значение. Чем длиннее, тем лучше.
Атака перебором по словарю
Название этого метода атак говорит само за себя — хакер, по сути, взламывает вас с помощью словаря. В то время как атака методом «грубой силы» перебирает каждую комбинацию символов, цифр и букв, словарная атака перебирает заранее составленный список слов, который можно легко найти в словаре.
Если вы действительно подобрали обычное слово для пароля, то сможете отразить такую атаку, только если ваше слово чрезвычайно редкое или если вы используете фразы из нескольких слов, например. Пароли, состоящие из нескольких слов, способны противостоять атаке перебором по словарю, так как возможное число комбинаций для подбора ограничивается количеством слов, которые мы могли бы использовать, возведенным в степень, равную количеству слов в пароле. Таким образом, чем больше слов в парольной фразе, тем лучше.
Фишинг
Фишинг — одна из самых изощренных тактик. Киберпреступники пытаются обмануть, запугать или заставить с помощью методов социальной инженерии невольно сделать то, что им нужно. Фишинговое письмо может сообщить вам (ложно), будто что-то не так с вашей учетной записью онлайн-банка. Вам предложат перейти по ссылке, которая приведет вас на фальшивый сайт, похожий на сайт компании, обслуживающей вашу банковскую карту. Мошенники ждут, затаив дыхание и надеясь, что уловка сработает и что теперь вы введете свой пароль. Как только вы это сделаете, у них будет доступ ко всему. То же самое может произойти и с аккаунтами в социальных сетях или Госуслуг.
Для фишинга можно использовать и телефон. Остерегайтесь любого рода автоматического обзвона, который, как утверждает голос робота или сотрудника службы безопасности, касается вашей учетной записи банковской карты.
Составляющие надежного пароля
Теперь, когда мы знаем, как происходит взлом паролей, мы сможем создавать надежные пароли, которые устоят перед атакой (в случае фишинга, главное, не предоставить злоумышленникам пароль своими руками). Чтобы создать сложный для взлома пароль, придерживайтесь указанных ниже правил.
Будьте осторожны
Избегайте очевидных уязвимых комбинаций. Никогда не используйте последовательные цифры или буквы. И ни в коем случае не выбирайте в качестве пароля само слово пароль. Придумайте уникальные пароли, которые не содержат никакой личной информации, такой как ваше имя или дата рождения. Если ваш пароль стал объектом нацеленного взлома, хакер использует все знания о вас в попытках получить доступ к данным.
Никогда не используйте эти 10 самых слабых паролей
Можно ли взломать пароль методом подбора?
Принимая во внимание природу атак методом подбора, вы можете предпринять определенные шаги, чтобы предотвратить их.
- Придумайте длинный пароль. Это самый важный фактор. Он должен состоять не менее чем из 15 символов, а если возможно — даже более.
- Используйте сочетание разных типов символов. Чем больше вы чередуете буквы разного регистра (верхнего и нижнего), цифры и символы, тем надежнее ваш пароль и тем сложнее его взломать с помощью подбора.
- Избегайте типичных замен. Взломщики паролей учитывают их. Хакер, применяющий метод подбора, с одинаковой легкостью взломает пароли «ЗВОНОК» и «380Н0К». В наши дни набор случайных символов гораздо эффективнее, чем обычная замена символов.
- Не используйте запоминающийся набор символов на клавиатуре. Не стоит использовать не только последовательные буквы и цифры, но и последовательный набор символов на клавиатуре (например, qwerty). Такие пароли будут подобраны быстрее всех.
Можно ли взломать пароль атакой с перебором по словарю?
Главный способ предотвратить атаки такого типа — придумать пароль, не состоящий из одного слова. Пароль, состоящий из нескольких слов, усложняет использование этой тактики. Помните: возможное число подборов в ходе подобных атак ограничено количеством слов, которые мы могли бы использовать, возведенным в степень, равную количеству слов в пароле.
Лучшие способы создания паролей (и их примеры)
Описанные ниже методы послужат хорошей подсказкой для создания собственных надежных и запоминающихся паролей. Придерживайтесь одного из этих полезных советов, чтобы удвоить защиту своего цифрового мира.
Метод запутывания парольной фразы
Это метод создания пароля с уловкой, состоящего из нескольких словосочетаний. Выбирайте причудливые и необычные слова. Используйте имена собственные, названия местных предприятий, имена исторических личностей, любые слова, которые вы знаете на другом языке.
Хотя слова должны быть необычными, попробуйте составить ассоциативную фразу, которая вызывает у вас мысленный образ. Это поможет ее запомнить. Чтобы усложнить задачу еще больше, вы можете вставить случайные символы в середину ваших слов или между словами.
Метод предложения
Этот метод также называется «метод Брюса Шнайера». Идея состоит в том, чтобы придумать случайное предложение и преобразовать его в пароль, используя определенное правило. Например, можно использовать первые две буквы каждого слова в предложении «У Луиджи — мой любимый итальянский ресторан в Риме».
Получится такое сочетание: «УЛумолюитревРи».
Любому это покажется абракадаброй, но вы знаете, что стоит за этими символами. Придумайте как можно более личное и непредсказуемое предложение.
Рекомендованные способы усовершенствовать ваш арсенал паролей
Все описанные выше методы помогут усилить ваши пароли, но не всегда оказываются полезны, если учесть, что многие из них широко применяются. Рассмотрим несколько способов, которые мы рекомендуем: использовать новые сложные пароли в сочетании с менеджером паролей или установить на смартфон приложение для аутентификации. Каждый из этих способов может обеспечить более эффективную и надежную аутентификацию.
Используйте менеджер паролей и генератор случайных паролей
Менеджер паролей следит за всеми вашими паролями и берет на себя бремя запоминания каждого из них, кроме одного — главного пароля, который служит для доступа к самому менеджеру.
При создании этого самого важного пароля мы советуем придерживаться всех советов и рекомендаций, приведенных выше. К программам часто прилагаются генераторы, например Avast Random Password Generator, поэтому можно создавать сверхсложные и сверхдлинные пароли, которые немыслимо сложнее взломать, чем какой-либо из паролей, придуманных человеком.
Проверьте и свой адрес электронной почты
Зайдите на сайт Avast Hack Check, чтобы узнать, не был ли взломан ваш пароль во время предыдущих утечек данных. Если был, немедленно измените свой пароль в учетной записи электронной почты.
Доверяйте только проверенным сайтам
Заботящиеся о безопасности сайты шифруют (хэшируют) пароли своих пользователей, так что даже если произойдет утечка данных, фактические пароли останутся зашифрованными. Но многие сайты этого не делают. Прежде чем заводить учетные записи, создавать пароли и предоставлять сайту конфиденциальную информацию, уделите немного времени оценке сайта. Указан ли в адресной строке протокол https, обеспечивающий безопасное соединение? Как вы считаете, соответствует ли он новейшим стандартам безопасности? Если нет, подумайте дважды, прежде чем предоставлять доступ к своим личным данным.
Используйте многофакторную аутентификацию
Многофакторная проверка подлинности (MFA) обеспечивает дополнительный уровень защиты (который становится главным в случае взлома вашей учетной записи). Это может быть, например, подтверждение входа через SMS или через специальное приложение.
Таким образом, каким бы простым или сложным ни был ваш пароль, это только часть головоломки.
Исследователю безопасности Lucky225 совместно с автором статей в журнале Vice Джозефом Коксом удалось с разрешения последнего перехватить его SMS-переписку, поэтому мы не рекомендуем использовать SMS в качестве второго фактора аутентификации. За последние несколько лет этот способ был успешно освоен многими киберпреступниками.
Используйте приложение для аутентификации на смартфоне
Оптимальный способ многофакторной аутентификации — использование специального приложения на смартфоне. В качестве примеров можно назвать такие приложения, как Google Authenticator (доступно для Apple и Android) и Authy. Обе программы бесплатны. Приложение генерирует одноразовый PIN-код, который вводится в качестве дополнительного фактора для входа в систему. Смена PIN-кода происходит автоматически каждые 30 секунд. Для настройки многофакторной аутентификации в конкретном приложении вам понадобятся инструкции, но некоторые приложения еще не поддерживают этот способ.
Ключи контроля доступа и аналогичные ключи ассоциации FIDO Alliance
— это новый уровень безопасности. Ключ контроля доступа, например YubiKey (от ubiquitous key — единый ключ), обеспечивает самую современную на сегодня защиту. Он служит средством для многофакторной проверки подлинности, предоставляя доступ к файлам, только если у вас есть физический ключ. Ключи безопасности обычно имеют размер флеш-накопителя и доступны в версиях USB, NFC или Bluetooth. В 2017 году компания Google ввела использование ключей контроля доступа для своих сотрудников и сейчас утверждает, что с тех пор не было зафиксировано ни одной утечки данных среди всех ее 85 000 работников. Компания разработала собственный ключ под названием Titan Security Key, специально предназначенный для защиты от фишинговых атак.
Чтобы использовать многофакторную аутентификацию с ключами контроля доступа, обращайтесь в ассоциацию FIDO Alliance, которая работает над созданием стандартов надежной аутентификации для классических и мобильных приложений. Если вы, как и мы, заботитесь о защите в Интернете, необходимо использовать только службы, соответствующие стандарту FIDO, например Microsoft, Google, PayPal, Bank of America, NTTDocomo и DropBox (этот перечень можно продолжить). Если определенный ключ безопасности, сайт или мобильное приложение сертифицированы FIDO®, они соответствуют высокому стандарту сообщества для проверки подлинности и защиты.
Дополнительные советы по безопасности паролей
Усильте защиту своих учетных данных с помощью нескольких практических советов по обеспечению высокого уровня безопасности.
- Подключаясь к общедоступным сетям Wi-Fi, используйте VPN. Таким образом, когда вы заходите в свою учетную запись, никто не может перехватить ваше имя пользователя и пароль.
- Никогда не передавайте свой пароль кому-либо в сообщениях или по электронной почте.
- Выбирая секретные вопросы при создании учетной записи, устанавливайте трудно угадываемые варианты, ответ на которые знаете только вы. Ответы на многие вопросы можно легко найти в социальных сетях путем простого поиска, поэтому будьте внимательны и грамотно подходите к выбору секретных вопросов.
- Выполнив эти рекомендации, посоветуйте родным и близким также позаботиться о своей защите. Утечки данных по-прежнему случаются, поэтому, просто поделившись этой записью в блоге с друзьями и семьей, вы поможете своему кругу знакомых защитить себя.
Убедитесь, что у вас актуальная версия антивируса. (Нет антивируса? Попробуйте бесплатный Avast Free Antivirus.) Если угроза каким-то образом проникнет в вашу систему, хороший антивирус обнаружит и тут же нейтрализует ее.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.