Как правильно устанавливать пароли?
Общие пароли на весь офис, учетная запись на стикерах, qwerty123… это даже не прикол, это реальность в большей половине наших с вами российских компаний!
Согласно исследованиям, 81% людей используют один и тот же пароль для всех своих учеток. Это не дело. Стыдно и стремно.
Как выглядит надёжный пароль?
- Пароль длиной 10-12 символов и больше.
- Пароль трудно угадать — не содержит банального набора цифр, букв, примитивных слов (password, parol) , нет предсказуемых замен (0 вместо буквы О) .
- Пароль содержит разные символы — заглавные и строчные буквы, цифры, символы.
- Пароль из неожиданных слов — например, уткаконьцветок. Эти слова не связаны между собой, поэтому механизмы подбора, которыми пользуются хакеры, их не обнаружат.
Можно использовать алгоритмы, которые легко запомнить: например, в каждом слове ставить заглавной последнюю буквы, использовать «! ?» между словами и т. д.
Как сохранить пароли в секрете?
Установите двухфакторную аутентификацию
Помимо пароля нужно будет подтвердить учетную запись через номер телефона, биометрию, электронную почту — в общем, пройти второй слой защиты. Даже если у злоумышленников будут ваши пароли, они не смогут пройти дальше.
Обновляйте пароли от важных сервисов
Хотя раз в полгода делайте это (и не просто меняйте пару символов, напрягитесь немного) для сервисов интернет-банкинга, оплаты счетов, менеджера паролей, соцсетей, электронной почты.
Используйте менеджер паролей
Вместо того, чтобы хранить пароли в заметках или на всеобщем обозрении, заведите менеджер, который зашифровывает информацию, которая там хранится. В том числе, такой сервис может помочь сгенерировать надежный пароль.
И, конечно, бейте по рукам сотрудников, кто нарушает правила безопасности! А тех, кто их соблюдает - хвалите и восхваляйте. Подключите к этому процессу своих айтишников, чтобы вернули заблудших на путь истинный, прочитали парочку нотаций и помогли разобраться неуклюжим.
круче всего это когда у тебя разные пароли и ты не помнишь где какой. пока пытаешься подобрать нужный пароль к ресурсу тебя блокируют за превышение попыток входа)))
Лучше хранить пароли в менеджере надежно зашифрованными, чтобы всегда иметь к ним доступ) Можно и в книжечке записывать, конечно, только ее могут прибрать к рукам
И ресурс потом знает все Ваши пароли)
Чтобы потом их забыть ))
Как-то обновил от почты, где облако было 100гб бесплатных. Так и не смог восстановить. Несколько раз обращался в поддержку, бесполезно.
Храните в менеджере паролей!
Разве dictionary attack не сможет подобрать уткаконьцветок ? Лучше когда со стороны пароль выглядит как абракадабра. И кстати, если у вас хороший и надёжный пароль, то можно раз в полгода не менять - это устаревший совет.
Уткаконьцветок - возможно, и может, хоть и сложно (нет связи между словами), поэтому его нужно разбавлять символами и разным регистром букв.
Можно в конце дописывать к основному паролю что-то связанное с сайтом , тогда будет легче запомнить и везде будут разные. Только не первую букву названия, что-то посложнее
У меня как раз так :)
Да-да, хорошая тактика
Обожаю совет хранить все пароли в чужой программе и защитить это все паролем.
Защитить это все паролем, да не простым, а золотым, запомнить его (остальное запоминать уже не нужно будет), довериться системе шифрования и двухфакторной аутентификации. И все будет ок)
Угадаешь пароль от одного аккаунта, а у человека он везде стоит, вот это бинго 😉
Их по большей части не подбирают, а находят в дампах взломанных сервисов, или собранных со взломанных ПК
Так и бывает часто, к сожалению... Давайте остановим зло :D
В идеале использовать lastpass или bitwarden, там же генерить рандомные сложные пароли на <14 символов на каждый новый сайт. А главный пароль к сервису вот уже иметь довольно сложный, но выучить наизусть. Это не сложно если всего 1 пароль на 12-14 символов, запомнить можно.
А если утечка будет из этого "бункера паролей". Вроде, такое уже бывало даже
Прекрасный совет использовать lastpass, который взломали в августе и декабре 22 года.
Да, вы правы) Спасибо за советы
qwrty1234
Вечная классика
Ни чего нового. 10 лет назад читал подобную статью.
Вот 10 лет мы все пишем такие статьи, а люди все эти 10 лет их пропускают мимо ушей и ставят пароль pupsik228.
Комментарий недоступен
Согласен. Однако, маркетологи с вами не согласятся. Юзеров, как правило, нужно идентифицировать, получить контакты, чтобы слать рекламу.
Так вот вы пишите про то, что на этом сайте использовали свой стандартный пароль = вы его юзаете на многих сайтах. Слили базу из logitec, получили доступ к другим вашим аккам, профит
За последний месяц три раза получил сообщения от друзей и родственников в ВК с просьбой одолжить деньги. Прям активизация взломов.
А у одного человека взлом был три раза за полгода. Вот как это мошенникам удаётся, не подбором же пароля занимаются?
В основном подбором, особенно если на странице засвечена почта или телефон. Скриптов для этого в даркнете как у дурака фантиков
Через взлом почты. Достаточно подобрать пароль от почты, а потом можно на всех сервисах получить доступ через восстановление пароля.
Именно подбором, у взломщиков уже давно есть программы, которые автоматически подбирают пароли, ищут совпадения, им даже возиться для этого не надо ) Поэтому очень важно, чтобы на разных аккаунтах пароли отличались + были не такие очевидные
Пароли да 2023 году, пора уходить от этих слов.
Если брать рекомендации NIST (Национальный институт стандартов и технологий амеров), то
- Пароли, генерируемые пользователями, должны содержать не менее 8 символов.
- Пароли, сгенерированные машиной, должны иметь длину не менее 6 символов.
- Пользователи должны иметь возможность создавать пароли длиной не менее 64 символов.
- Должны быть разрешены все символы ASCII/Unicode, включая смайлики и пробелы.
- Сохраненные пароли следует хэшировать и солить, а не усекать.
- Потенциальные пароли следует сравнивать с базами данных взлома паролей и отклонять, если они совпадают.
- Срок действия паролей не должен истекать.
- Пользователям следует запретить использовать последовательные символы (например, «1234») или повторяющиеся символы (например, «аааа»).
- Двухфакторная аутентификация (2FA) не должна использовать SMS для кодов.
- Аутентификацию на основе знаний (KBA), такую как «Как звали вашего первого питомца?», не следует использовать.
- Пользователям должно быть разрешено 10 неудачных попыток ввода пароля, прежде чем они будут заблокированы в системе или службе.
- Пароли не должны иметь подсказок.
- Требования сложности — например, специальные символы, цифры или прописные буквы — использовать не следует.
- Контекстно-зависимые слова, такие как название службы или имя пользователя, не должны быть разрешены.
Чётко.
Если бы все ресурсы перешли бы на одноразовые временные пароли, например как это сделано в Google Authenticator, то проблема утечек не была бы такой острой.
а как он работает сам? невозможно этот аутентификатор взломать? или сам пользователь может потерять к нему доступ?
Вполне возможно
Точно. Или хотя бы для начала использовали идентификационного провайдера типа гугла.
Ну кстати есть один нюанс, при работе с чужих устройств можно использовать режим инкогнито в браузерах, так вроде не сохраняет данные для входа
То, что не сохраняет, это верно. Вопрос тогда в том, как на чужом устройстве вводить пароль, который должен быть априори сложный (большая длина и большой алфавит символов)?
Чем нужно бить по рукам?
Кому?
Правильный совет и напоминание, благодарю! Периодически нужно обновлять пароли, но больше людей ленятся это делать, пока не случится взлом. Я не исключение)
Всегда рады!
Какой-то ненадежный "надежный" пароль описан.
Надежный должен быть от 24 символов, проще взять любимую фразу или стих, разбить каждое слово на верхний и нижний регистр, разбить каждое слово на разные символы, типа из слова "pupa" получаем "Pu9#”.
Затем запоминаем только этот пароль и используем его для входа в менеджер паролей, типа KeePassXC или Bitwarden, кому что больше по вкусу, первый оффлайн, второй облачный, проверенный сообществом, мультиплатформенный. Там уже генерируем пароли от 24 символов для каждого сервиса, очень удобно.
Желательно иметь в устройстве сканер отпечатков, либо Face ID для входа в приложения и/или автозаполнения паролей, чтобы каждый раз не вводить свой мастер-пароль.
Также Apple уже давно во всех своих устройствах использует встроенный менеджер паролей, который еще и "временные" аккаунты создавать может для сервисов "на один раз", очень удобно.
На андроиде тоже есть встроенный менеджер паролей, но проще использовать Bitwarden как автозаполнение.
Спасибо за советы, это полезно
А на счет пароля - мы не приводили конкретный пароль в пример, а описали этапы, из которых этот пароль можно составить. От 12 символов (хотя бы!), а лучше больше, неочевидные слова, разные регистры и тд
Кстати, с тактикой заменять буквы цифрами и символами в словах нужно быть осторожными, раньше все так делали (например, самовар = c@m0bap), и программы для взлома давно научились это вычислять)
ваш пароль установлен, вы хотите деинсталировать пароль?
Всегда боюсь менять пароль на почте и менеджере паролей потому что там сложный стоит (так как считаю это самые важные вещи),и боюсь новый сложный забыть. Так же у меня несколько вопросов про безопасность. 1.Насколько можно доверять хрому и сафари сохранять пароли на некоторых сайтах? 2. У меня на многих сайтах пароль это что-то связанное с сайтом и потом так сказать мое ключслово, это считается надежным учитывая что ключслово одно и тоже везде? Просто я не совсем знаю как мошенники подбирают пароли, если бы знал то может сам понял безопасный ли это способ или нет