Перейти к содержанию

Введение в пароли

Пароли являются неотъемлемой частью нашей повседневной цифровой жизни. Мы используем их для защиты наших аккаунтов, девайсов и секретов. Очень часто пароли, это единственное, что защищает нас от злоумышленников, которые хотят получить нашу личную информацию или деньги. Несмотря на это, паролям не уделяют должного внимания, что часто приводит к использованию простых паролей, которые легко угадать или подобрать.

Лучшие практики

Используйте уникальные пароли для каждого сервиса

Представьте: вы регистрируете учетную запись с одним и тем же электронным адресом и паролем на нескольких веб-сайтах. Если один из владельцев этих сайтов злоумышленник, или в его сервисе произошла утечка данных, в результате которой ваш пароль оказался в незашифрованном виде, все, что нужно сделать злоумышленнику, это попробовать комбинацию электронной почты и пароля в нескольких популярных сервисах, пока он не добьется успеха. Не имеет значения, насколько сложным является этот пароль, потому что он уже у них есть.

Это называется подстановка учетных данных, и это один из самых распространенных способов взлома ваших учетных записей. Чтобы избежать этого, убедитесь, что вы никогда не используете свои пароли повторно.

Используйте случайно сгенерированные пароли

Вы никогда не должны полагаться на себя, чтобы придумать хороший пароль. Мы рекомендуем использовать случайно сгенерированные пароли или парольные фразы с помощью кубика с достаточной энтропией для защиты ваших учетных записей и устройств.

Все рекомендуемые нами менеджеры паролей включают встроенный генератор паролей, который вы можете использовать.

Изменение паролей

Вам не следует слишком часто менять пароли, которые вы должны помнить (например, мастер-пароль от вашего менеджера паролей), если у вас нет оснований полагать, что он был взломан, поскольку слишком частая смена пароля подвергает вас риску его забыть.

Что касается паролей, которые вам не нужно запоминать (например, пароли, хранящиеся в менеджере паролей), если модель угроз требует этого, мы рекомендуем просматривать важные учетные записи (особенно те, которые не используют многофакторную аутентификацию) и менять их пароль каждые пару месяцев, на случай, если они были скомпрометированы в результате утечки данных, которая еще не стала известной. Большинство менеджеров паролей позволяют установить срок действия пароля, чтобы облегчить отслеживание их давности.

Проверка утечек данных

Если ваш менеджер паролей позволяет проверять скомпрометированные пароли, обязательно сделайте это и незамедлительно измените любой пароль, который мог быть раскрыт в результате утечки данных. В качестве альтернативы вы можете подписаться на ленту последних взломов от Have I Been Pwned с помощью агрегатора новостей.

Создание надежных паролей

Пароли

Многие сервисы устанавливают определенные критерии для паролей, включая минимальную или максимальную длину, а также то, какие специальные символы могут быть использованы. Вы должны использовать встроенный в менеджере паролей генератор паролей, чтобы создавать пароли настолько длинные и сложные, насколько это позволяет сервис, включая заглавные и строчные буквы, цифры и специальные символы.

Если вам нужен пароль, который можно запомнить, мы рекомендуем вам парольные фразы с помощью кубика.

Парольные фразы с помощью игрального кубика

С помощью игрального кубика можно создавать парольные фразы, которые легко запомнить, но трудно угадать.

Парольные фразы с помощью кубика - это отличный вариант, когда вам нужно запомнить или ввести вручную свои учетные данные, например, главный пароль менеджера паролей или пароль шифрования вашего устройства.

Примером такой парольной фразы является viewable fastness reluctant squishy seventeen shown pencil.

Чтобы сгенерировать парольную фразу с использованием настоящих игральных кубиков, выполните следующие действия:

Примечание

Эти инструкции предполагают, что вы используете большой список слов EFF для генерации парольной фразы, что требует пяти бросков кубика на слово. Другие списки слов могут требовать больше или меньше бросков на слово, и могут потребоваться другое количество слов для достижения той же энтропии.

  1. Бросьте шестигранный кубик пять раз, записывая число после каждого броска.

  2. В качестве примера, допустим, вы бросили 2-5-2-6-6. Найдите в Большом списке слов EFF слово, соответствующее 25266.

  3. Вы найдете слово encrypt. Запишите это слово.

  4. Повторяйте этот процесс до тех пор, пока ваша парольная фраза не будет содержать столько слов, сколько вам нужно, которые следует разделять пробелом.

Важно

Вы не должны перебрасывать кубик, в надежде получить комбинацию слов, которая вам нравится. Процесс должен быть полностью случайным.

Если у вас нет доступа к настоящим игральным костям или вы предпочитаете не использовать их, вы можете воспользоваться встроенным в менеджере паролей генератором паролей, поскольку большинство из них имеют возможность генерировать парольные фразы в дополнение к обычным паролям.

Мы рекомендуем использовать большой список слов EFF для генерации парольных фраз, поскольку он обеспечивает точно такую же безопасность, как и оригинальный список, но содержит слова, которые легче запомнить. Есть также другие списки слов на разных языках, если вы не хотите, чтобы ваша парольная фраза была на английском языке.

Объяснение энтропии и прочности парольных фраз, созданных с помощью кубика

Чтобы продемонстрировать, насколько сильны такие парольные фразы, мы воспользуемся вышеупомянутой парольной фразой из семи слов (viewable fastness reluctant squishy seventeen shown pencil) и большим списком слов EFF в качестве примера.

Одним из показателей для определения силы парольной фразы является ее энтропия. Энтропия каждого слова в парольной фразе вычисляется как \(\text{log}_2(\text{Слов-в-списке})\), а общая энтропия парольной фразы вычисляется как \(\text{log}_2(\text{Слов-в-списке}^\text{Слов-в-фразе})\).

Таким образом, каждое слово в вышеупомянутом списке дает ~12,9 бит энтропии (\(\text{log}_2(7776)\)), а парольная фраза из семи слов имеет ~90,47 бит энтропии (\(\text{log}_2(7776^7)\)).

Большой список слов EFF содержит 7776 уникальных слов. Чтобы вычислить количество возможных парольных фраз, достаточно \(\text{Слов-в-списке}^\text{Слов-в-фразе}\), или, в нашем случае, \(7776^7\).

Давайте представим все это в перспективе: парольная фраза из семи слов, использующая большой список слов EFF, является одной из ~1 719 070 799 748 422 500 000 000 000 000 возможных парольных фраз.

В среднем, чтобы угадать вашу фразу, нужно попробовать 50% всех возможных комбинаций. Учитывая это, даже если ваш противник способен на ~1 000 000 000 000 000 000 угадываний в секунду, ему все равно потребуется ~27 255 689 лет, чтобы угадать вашу кодовую фразу. Это так, даже если верны следующие вещи:

  • Ваш противник знает, что вы использовали метод с кубиком.
  • Ваш противник знает конкретный список слов, который вы использовали.
  • Ваш противник знает, сколько слов содержит ваша парольная фраза.

Подводя итог, можно сказать, что парольные фразы с помощью кубика - это лучший вариант, если вам нужно что-то такое, что легко запомнить и исключительно сильное.

Хранение паролей

Менеджеры паролей

Лучший способ хранения паролей - это использование менеджера паролей. Они позволяют хранить пароли в файле или в облаке и защищать их одним мастер-паролем. Таким образом, вам придется запомнить только один надежный пароль, который позволит вам получить доступ к остальным.

Существует множество хороших вариантов, как облачных, так и локальных. Выберите один из рекомендуемых нами менеджеров паролей и используйте его для создания надежных паролей для всех ваших учетных записей. Мы рекомендуем защитить ваш менеджер паролей парольной фразой, состоящей как минимум из семи слов.

Список рекомендуемых менеджеров паролей

Не размещайте пароли и TOTP-токены в одном менеджере паролей

При использовании TOTP-кодов в качестве многофакторной аутентификации, лучшей практикой безопасности является хранение TOTP-кодов в отдельном приложении.

Хранение TOTP-токенов в том же месте, что и паролей, хотя и удобно, но сводит защиту учетных записей к одному фактору в случае, если злоумышленник получит доступ к вашему менеджеру паролей.

Кроме того, мы не рекомендуем хранить одноразовые коды восстановления в менеджере паролей. Их следует хранить отдельно, например, в зашифрованном контейнере на автономном устройстве хранения.

Резервное копирование

Вы должны хранить зашифрованную резервную копию ваших паролей на нескольких устройствах или в облачном хранилище. Это может быть полезно, если что-то случится с вашим устройством или с сервисом, которым вы пользуетесь.

Вы просматриваете русскую копию Privacy Guides, переведённую нашей невероятной командой переводчиков на Crowdin. Если вы нашли ошибку или непереведённые разделы на этой странице, пожалуйста, помогите нам! Для получения дополнительной информации и советов см. наше руководство по переводу.

You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! For more information and tips see our translation guide.