«12345» действительно плохо: ваше полное руководство по безопасности паролей

Мы советуем вам снова и снова, что единственный безопасный способ хранить и использовать пароли - это полагаться на менеджер паролей, но некоторые из вас не слушают. В обзоре паролей PCMag только 24 процента из вас сообщили об использовании менеджера паролей. Чем занимаются остальные? Используя простые пароли, такие как пароль или 12345678? Запоминать один сложный пароль и использовать его везде? Послушайте, забота о безопасности паролей - это немаловажное дело, но, учитывая огромный масштаб риска - как показано в недавнем нарушении Коллекции № 1, которое выявило 773 миллиона взломанных адресов электронной почты, - вам нужно сделать все возможное, чтобы сохранить свои пароли. безопасный.

Даже если вы используете лучший менеджер паролей, он не гарантирует безопасность ваших учетных записей - даже если вы используете менеджер паролей для запоминания тех же самых старых, утомленных паролей. Вы должны спуститься в окопы и сменить плохие пароли на новые, более надежные.

Упомянутое выше исследование показало, что 35 процентов читателей PCMag никогда не меняют свои пароли, если только они не были вынуждены это сделать по нарушению В общем, это не так уж плохо. Национальный институт стандартов и технологий больше не рекомендует менять пароли каждые 90 дней. NIST теперь рекомендует использовать длинные парольные фразы, такие как «Correct-Horse-Battery-Staple», и менять их только при необходимости. Но если вы используете ужасные пароли, «при необходимости» означает прямо сейчас .

Что делает плохой пароль? Мы рассмотрим некоторые атрибуты ужасных паролей, а затем дадим вам несколько советов о том, как правильно делать пароли.

Оставайтесь вне словаря

Каждые несколько месяцев в той или иной новостной ленте публикуется список худших паролей. Мы видим множество простых для ввода опций, таких как 123456 и 12345678 и qwerty. Легко для тебя? Конечно. Но также легко взломать хакеров. Другие общие (и плохие) пароли состоят из простых словарных слов. Мы видели бейсбол, обезьян и звездных войн в списке худших паролей. Их тоже легко взломать.

Некоторые безопасные веб-сайты блокируются после определенного количества попыток ввода неверного пароля, но многие этого не делают. Для тех, у кого нет неправильных блокировок, хакеры могут пересечь список адресов электронной почты со списком популярных паролей и настроить автоматизированный процесс, чтобы продолжать пробовать комбинации, пока они не войдут.

Правильно защищенный сайт нигде не хранит ваш пароль. Вместо этого он запускает пароль через алгоритм хеширования, своего рода одностороннее шифрование. Один и тот же ввод всегда дает один и тот же вывод, но нет способа вернуться к исходному паролю из полученного хэша. Если введенный вами пароль хэширует с тем же значением, которое хранится, вы получаете доступ. Даже если хакеры фиксируют пользовательские данные сайта, они не получают пароли, а просто хэшируют.

Но умные хакеры могут взломать слабые пароли, даже если они хешированы, если они знают, какую функцию хеширования использует сайт. Они начинают с запуска огромного словаря общих паролей через функцию хеширования. Затем они ищут полученные хэши в захваченных данных. Каждый матч - взломанный пароль. Сайты с наилучшей защитой усиливают хэш-функцию с помощью метода, называемого «соление», что делает невозможным такой взлом на основе таблиц, но зачем рисковать? Просто держись подальше от словаря.

Думать по-другому

Подруга однажды сказала мне свой идеальный пароль: 1qaz2wsx3edc4rfv. Она могла «напечатать» это, просто проведя пальцем вниз по четырем наклонным колонкам клавиатуры. Это было так прекрасно, что она использовала его повсюду. И это было большой ошибкой.

Едва неделя проходит без новостей о взломе какой-либо компании или веб-сайта, разоблачая тысячи или миллионы имен пользователей и паролей. Умные жертвы немедленно меняют свои пароли. Те, кто игнорирует проблему, могут оказаться заблокированными из своих учетных записей после того, как хакеры сбросят пароль.

Эти хакеры знают, что слишком много людей перерабатывают свои пароли. Как только они находят рабочую пару имени пользователя и пароля, они пробуют те же учетные данные на других сайтах. Вы можете не беспокоиться о потере доступа к своей учетной записи Club Penguin, но если вы использовали тот же логин на сайте вашего банка, у вас большие проблемы.

Становится хуже. Если кто-то еще получает контроль над вашей учетной записью электронной почты, он может сначала заблокировать вас, изменив пароль. Затем они могут проникнуть в другие ваши учетные записи, отправив ссылку для сброса пароля по электронной почте на эту учетную запись. Беспокоиться еще?

Не переходите на личности

Использование личной информации в качестве основы для ваших паролей ужасно заманчиво, но это плохая идея. Скорее всего, имя вашей собаки появляется в словарях, которые хакеры используют для атак методом перебора. Другие возможности, такие как инициалы и дата рождения члена семьи, вероятно, не попадут в атаку грубой силой, но если кто-то захочет специально взломать ваш аккаунт, эти личные данные могут спровоцировать атаку методом проб и ошибок.

Не думайте ни на минуту, что ваши личные данные являются конфиденциальными. Существуют десятки сайтов, на которых люди могут найти информацию о ком-либо: адрес, дату рождения, семейное положение и многое другое. Ваши сообщения в социальных сетях могут быть еще одним источником личной информации, особенно если вы не обеспечили надлежащую защиту своих учетных записей. Определенный хакер (или любопытный сосед), вероятно, может угадать любой пароль, который вы создадите, основываясь на ваших собственных данных.

Закройте заднюю дверь

Если вы не используете менеджер паролей, вы наверняка забыли пароль для сайта. Это слишком часто, поэтому практически на каждой странице входа есть надпись «Забыли пароль?» ссылка. Некоторые сайты отправляют ссылку для сброса на ваш адрес электронной почты, в то время как другие позволяют вам сбросить пароль после ответа на ваши секретные вопросы. И это открывает заднюю дверь для всех, кто хочет взломать ваш аккаунт.

Большинство сайтов предлагают ужасные варианты для вопросов безопасности. Какая девичья фамилия вашей матери? Куда ты ходил в среднюю школу? Какой была ваша первая работа? Как уже отмечалось, ваша личная жизнь - это открытая книга для всех, кто обладает навыками поиска в Интернете. По возможности игнорируйте заданные вопросы. Создайте свой собственный вопрос с уникальным ответом, который вы всегда будете помнить, но о котором никто не мог догадаться.

Сложнее, когда сайт не позволяет вам задавать свои собственные вопросы. В этом случае вам лучше всего использовать запоминающийся ответ, который является полной ложью. Девичья фамилия моей матери - Обама. Я учился в школе при Коммунистических Мучениках. Для моей первой работы я был укротителем львов. Существует элемент риска, так как вы можете забыть, какую ложь вы выбрали. Я бы посоветовал хранить эти странные ответы в виде защищенных заметок в вашем менеджере паролей… но если бы вы использовали менеджер паролей, он бы запомнил пароль для вас.

Что делать сейчас, когда ты заботишься

Я надеюсь, что убедил вас, что использование общих паролей - это гнилая идея, как создание паролей из личной информации. И даже самый надежный, случайный пароль становится помехой, если вы используете его повсюду. Если вы готовы принять меры, вот несколько отправных точек:

• Используйте менеджер паролей.
• Переключитесь на лучший менеджер паролей.
• Запомните безумно безопасный мастер-пароль для вашего менеджера паролей.
• Воспользуйтесь генератором случайных паролей для обновления старых, плохих паролей.
• Вы даже можете создать свой собственный генератор случайных паролей в Excel.
• Включите двухфакторную аутентификацию везде, где это возможно.

Если защищенный сайт не заботится о безопасности, вы все равно можете потерять учетные данные этого сайта из-за взлома данных, но, сделав все свои пароли длинными, надежными и уникальными, вы сделали все возможное, чтобы защитить свои учетные записи в Интернете.

И эй! Теперь, когда вы в безопасности, подумайте о добавлении виртуальной частной сети или VPN. Использование надежных паролей для безопасных сайтов означает, что другие не смогут взломать ваши учетные записи; добавление VPN означает, что никто не сможет перехватить ваше соединение с этими защищенными сайтами.