World Password Day — ежегодный неофициальный праздник, отмечаемый каждый первый четверг мая. В рамках столь знаменательного дня не лишним будет еще раз напомнить, что хороший пароль есть залог «здоровья и долголетия»
Во Всемирный день пароля, выпадающий в этом году на 1 мая, День труда, вспомним о борьбе против забывчивости, слабых паролей и хакеров. Целевая компрометация пароля — лишь вопрос времени и средств, причем зачастую — очень короткого времени и копеечных средств. И наша задача — максимально усложнить этот процесс, напрочь отбив желание у взломщиков заниматься именно вашими данными. Ранее мы выяснили, что 59% всех паролей мира могут быть взломаны менее чем за час при помощи умных алгоритмов, требующих лишь мощной видеокарты вроде RTX 4090 или дешевой аренды облачных вычислительных мощностей. Поэтому актуальность данной темы только увеличивается.
Сейчас у нас достаточно вариантов, с помощью которых можно проходить аутентификацию в сервисах и на веб-сайтах:
- классическая связка логин-пароль;
- аутентификация с помощью стороннего сервиса (VK, Яндекс, Apple, Google и т. д.);
- двухфакторная аутентификация с подтверждением:
- через SMS с одноразовым кодом;
- через приложение-аутентификатор (например, Kaspersky Password Manager, Google Authenticator или Microsoft Authenticator);
- с применением аппаратного ключа (например, Flipper, YubiKey или USB-токена);
- использование passkey и биометрической аутентификации.
Разумеется, каждый из этих способов можно как усилить, например создать сложный пароль из 20+ случайных символов, так и ослабить, допустим, оставляя токен в USB-порту, а сам компьютер — без присмотра в публичных местах. И потому время «классических» паролей еще не прошло. Поэтому давайте разбираться, как мы можем усилить наши текущие позиции: придумать и запомнить незабываемый пароль.
Рекомендуемая длина — 12–16 символов.
В пароле нужно использовать символы различных категорий (цифры, строчные и прописные буквы, а также спецсимволы).
Пароль не должен содержать личной информации, легко связываемой с пользователем.
Пароль должен быть уникальным для каждого сервиса.
Простой уровень. Возьмите последовательность не связанных друг с другом слов, вроде той, что используется в seed-фразах при регистрации криптокошельков. И добавьте в конце пару цифр и спецсимволов, которые как-то близки вам, но не будут легко угаданы злоумышленником. Например: DryLandStandGift2015;)
Короткие слова проще запомнить, а число не должно быть годом вашего рождения или ваших близких — это может быть любая памятная для вас комбинация, например год первого визита в Disneyland, номер первого автомобиля или день вашей свадьбы.
Сложный уровень. Вспомните любимую строчку из песни или какую-нибудь знаковую фразу из фильма и замените в ней, например, каждую вторую или третью букву цифрами и спецсимволами, введенными не по порядку расположения на клавиатуре. Удобнее использовать легкодоступные спецсимволы — те, которые при вводе с телефонной клавиатуры находятся на экране ввода цифр. Так пароль получится сильным, да и вводить его можно довольно-таки быстро. Вы упростите себе жизнь и повысите скорость ввода. Например, если вы фанат поттерианы, то подойдет заклинание Wingardium Leviosa (Вингардиум левиоса). Теперь преобразуем его по нашему правилу и щедро сдобрим спецсимволами: Wi4ga/di0mL&vi@sa. На первый взгляд кажется, что такой пароль невозможно запомнить, но стоит ввести его пару-тройку раз, как ваши пальцы сами потянутся к нужным буквам и спецсимволам.
Может, стоит хранить пароли в браузере?
Нет, не стоит. Да, в ответ на проблему запоминания паролей разработчики браузеров предлагают возможности генерации и хранения паролей прямо в браузерах. Это, конечно, очень удобно — браузер сам подставляет пароль куда надо. Но увы, хранить пароли в браузере крайне небезопасно, это не парольный менеджер. Дело в том, что мошенники давно научились вытаскивать сохраненные в браузерах пароли за считаные секунды с помощью простейших скриптов, а механизм облачной синхронизации браузеров на разных устройствах, например через аккаунт Google, оказывает своему хозяину медвежью услугу: достаточно взломать или обманом выманить пароль от этого аккаунта — и все остальные пароли как на ладони.
Используйте парольный менеджер
В настоящих парольных менеджерах все пароли хранятся в зашифрованном хранилище. Например, в Kaspersky Password Manager все ваши пароли лежат в хранилище, зашифрованном с применением алгоритма симметричного шифрования AES-256, используемом АНБ США для хранения государственных тайн. Ключом шифрования выступает мастер-пароль, который знаете только вы (даже мы не знаем). При каждом обращении к Kaspersky Password Manager программа запрашивает этот пароль и расшифровывает хранилище на время текущей сессии. В этом же зашифрованном хранилище вы можете хранить и другие важные данные: номера банковских карт, сканы документов, заметки.
Подведем итог. Как же правильно обращаться с паролями в 2025 году? Придумайте безопасный мастер-пароль с использованием описанных выше правил и проверьте его криптостойкость с помощью сервиса Password Checker.
Не можете придумать стойкий мастер-пароль? Создайте его там же и запомните с помощью мнемонических правил.
Установите Password Manager на все свои устройства. С ним нужно будет запомнить только мастер-пароль, остальные пароли он запомнит за вас.
Где возможно, используйте техники passkey и разные способы двухфакторной аутентификации, лучше всего — через приложение. В синергии надежность защиты от неавторизованного доступа повышается кратно.
По материалам Касперский