1. Не ленитесь использовать сложные и длинные пароли, даже если их тяжело запомнить.
Рекомендую создавать пароли длиной как минимум 10-12 символов, а лучше даже больше: каждый дополнительный символ в пароле увеличивает число вариантов, которые придется перебрать злоумышленнику, в 95 раз. Вдобавок сильные пароли сложнее подсмотреть из-за плеча.
2. Используйте разные пароли для разных ресурсов.
Набивший оскомину совет, но не все пока ему следуют. Главное: не используйте одни и те же пароли дома и на работе. Хакеры, воспользовавшись утекшими паролями с развлекательного сервиса, легко смогут получить доступ к инфраструктуре компании, в которой вы работаете.
3. Ваш лучший друг — менеджер паролей.
Выучив один сложный мастер-пароль для приложения, вы можете генерировать и сохранять пароли, уникальные для каждого ресурса. Стикер под клавиатурой — это не менеджер паролей, увы.
4. Забудьте про функцию запоминания паролей.
5. Проверяйте свои пароли на предмет утечки.
Например, на сайтах haveibeenpwned.com и leakcheck.io есть актуальная база всех крупных утечек, по которой можно прогнать свои пароли. Это поможет вовремя сменить текущие комбинации, пока злоумышленники не успели ими воспользоваться.
6. Регулярно меняйте пароли.
В публичном доступе оказываются не все скомпрометированные учетные данные. К тому же с момента утечки и до публикации данных, к примеру на хакерских форумах, может пройти много времени. Поэтому я рекомендую менять пароли каждые полгода, а для более важных ресурсов — и того чаще.
7. Не создавайте новый пароль путем смены одного или нескольких символов предыдущего.
Сам по себе пароль SuperPuperPassword1! можно считать достаточно надежным (кстати, с этой минуты уже нет 😊. Я опубликовал его в открытом доступе, и, вероятно, его скоро добавят в словарь для проверки). Однако если для следующего сервиса вы меняете, например, единицу на двойку, а для каждого последующего — на тройку, четверку и так далее, то злоумышленник, выяснив любую комбинацию из этой цепочки, сможет с легкостью определить, какой пароль у вас сейчас и какой вы установите в будущем.
8. Включайте второй фактор аутентификации.
Пароль не должен быть единственной преградой на пути злоумышленника. Включайте двухфакторную аутентификацию (отправку push-уведомлений, кодов подтверждения в СМС-сообщениях, генерирование кодов в приложениях или используйте аппаратные токены) везде, где это возможно.