Пароли являются неотъемлемой частью нашей повседневной цифровой жизни. Мы используем их для защиты наших аккаунтов, девайсов и секретов. Очень часто пароли, это единственное, что защищает нас от злоумышленников, которые хотят получить нашу личную информацию или деньги. Несмотря на это, паролям не уделяют должного внимания, что часто приводит к использованию простых паролей, которые легко угадать или подобрать.
Лучшие практики¶
Используйте уникальные пароли для каждого сервиса¶
Представьте: вы регистрируете учетную запись с одним и тем же электронным адресом и паролем на нескольких веб-сайтах. Если один из владельцев этих сайтов злоумышленник, или в его сервисе произошла утечка данных, в результате которой ваш пароль оказался в незашифрованном виде, все, что нужно сделать злоумышленнику, это попробовать комбинацию электронной почты и пароля в нескольких популярных сервисах, пока он не добьется успеха. Не имеет значения, насколько сложным является этот пароль, потому что он уже у них есть.
Это называется подстановка учетных данных, и это один из самых распространенных способов взлома ваших учетных записей. Чтобы избежать этого, убедитесь, что вы никогда не используете свои пароли повторно.
Используйте случайно сгенерированные пароли¶
Вы никогда не должны полагаться на себя, чтобы придумать хороший пароль. Мы рекомендуем использовать случайно сгенерированные пароли или парольные фразы с помощью кубика с достаточной энтропией для защиты ваших учетных записей и устройств.
Все рекомендуемые нами менеджеры паролей включают встроенный генератор паролей, который вы можете использовать.
Изменение паролей¶
Вам не следует слишком часто менять пароли, которые вы должны помнить (например, мастер-пароль от вашего менеджера паролей), если у вас нет оснований полагать, что он был взломан, поскольку слишком частая смена пароля подвергает вас риску его забыть.
Что касается паролей, которые вам не нужно запоминать (например, пароли, хранящиеся в менеджере паролей), если модель угроз требует этого, мы рекомендуем просматривать важные учетные записи (особенно те, которые не используют многофакторную аутентификацию) и менять их пароль каждые пару месяцев, на случай, если они были скомпрометированы в результате утечки данных, которая еще не стала известной. Большинство менеджеров паролей позволяют установить срок действия пароля, чтобы облегчить отслеживание их давности.
Checking for data breaches
Если ваш менеджер паролей позволяет проверять скомпрометированные пароли, обязательно сделайте это и незамедлительно измените любой пароль, который мог быть раскрыт в результате утечки данных. В качестве альтернативы вы можете подписаться на ленту последних взломов от Have I Been Pwned с помощью агрегатора новостей.
Создание надежных паролей¶
Пароли¶
Многие сервисы устанавливают определенные критерии для паролей, включая минимальную или максимальную длину, а также то, какие специальные символы могут быть использованы. Вы должны использовать встроенный в менеджере паролей генератор паролей, чтобы создавать пароли настолько длинные и сложные, насколько это позволяет сервис, включая заглавные и строчные буквы, цифры и специальные символы.
Если вам нужен пароль, который можно запомнить, мы рекомендуем вам парольные фразы с помощью кубика.
Парольные фразы с помощью игрального кубика¶
С помощью игрального кубика можно создавать парольные фразы, которые легко запомнить, но трудно угадать.
Парольные фразы с помощью кубика - это отличный вариант, когда вам нужно запомнить или ввести вручную свои учетные данные, например, главный пароль менеджера паролей или пароль шифрования вашего устройства.
Примером такой парольной фразы является viewable fastness reluctant squishy seventeen shown pencil
.
Чтобы сгенерировать парольную фразу с использованием настоящих игральных кубиков, выполните следующие действия:
Note
These instructions assume that you are using EFF's large wordlist to generate the passphrase, which requires five dice rolls per word. Другие списки слов могут требовать больше или меньше бросков на слово, и могут потребоваться другое количество слов для достижения той же энтропии.
-
Бросьте шестигранный кубик пять раз, записывая число после каждого броска.
-
В качестве примера, допустим, вы бросили
2-5-2-6-6
. Look through the EFF's large wordlist for the word that corresponds to25266
. -
Вы найдете слово
encrypt
. Запишите это слово. -
Повторяйте этот процесс до тех пор, пока ваша парольная фраза не будет содержать столько слов, сколько вам нужно, которые следует разделять пробелом.
Important
Вы не должны перебрасывать кубик, в надежде получить комбинацию слов, которая вам нравится. Процесс должен быть полностью случайным.
Если у вас нет доступа к настоящим игральным костям или вы предпочитаете не использовать их, вы можете воспользоваться встроенным в менеджере паролей генератором паролей, поскольку большинство из них имеют возможность генерировать парольные фразы в дополнение к обычным паролям.
We recommend using EFF's large wordlist to generate your diceware passphrases, as it offers the exact same security as the original list, while containing words that are easier to memorize. Есть также другие списки слов на разных языках, если вы не хотите, чтобы ваша парольная фраза была на английском языке.
Explanation of entropy and strength of diceware passphrases
To demonstrate how strong diceware passphrases are, we'll use the aforementioned seven word passphrase (viewable fastness reluctant squishy seventeen shown pencil
) and EFF's large wordlist as an example.
One metric to determine the strength of a diceware passphrase is how much entropy it has. The entropy per word in a diceware passphrase is calculated as and the overall entropy of the passphrase is calculated as:
Therefore, each word in the aforementioned list results in ~12.9 bits of entropy (), and a seven word passphrase derived from it has ~90.47 bits of entropy ().
The EFF's large wordlist contains 7776 unique words. To calculate the amount of possible passphrases, all we have to do is , or in our case, .
Let's put all of this in perspective: A seven word passphrase using EFF's large wordlist is one of ~1,719,070,799,748,422,500,000,000,000 possible passphrases.
В среднем, чтобы угадать вашу фразу, нужно попробовать 50% всех возможных комбинаций. Учитывая это, даже если ваш противник способен на ~1 000 000 000 000 000 000 угадываний в секунду, ему все равно потребуется ~27 255 689 лет, чтобы угадать вашу кодовую фразу. Это так, даже если верны следующие вещи:
- Ваш противник знает, что вы использовали метод с кубиком.
- Ваш противник знает конкретный список слов, который вы использовали.
- Ваш противник знает, сколько слов содержит ваша парольная фраза.
Подводя итог, можно сказать, что парольные фразы с помощью кубика - это лучший вариант, если вам нужно что-то такое, что легко запомнить и исключительно сильное.
Хранение паролей¶
Менеджеры паролей¶
Лучший способ хранения паролей - это использование менеджера паролей. Они позволяют хранить пароли в файле или в облаке и защищать их одним мастер-паролем. Таким образом, вам придется запомнить только один надежный пароль, который позволит вам получить доступ к остальным.
Существует множество хороших вариантов, как облачных, так и локальных. Выберите один из рекомендуемых нами менеджеров паролей и используйте его для создания надежных паролей для всех ваших учетных записей. Мы рекомендуем защитить ваш менеджер паролей парольной фразой, состоящей как минимум из семи слов.
Список рекомендуемых менеджеров паролей
Don't place your passwords and TOTP tokens inside the same password manager
When using TOTP codes as multi-factor authentication, the best security practice is to keep your TOTP codes in a separate app.
Хранение TOTP-токенов в том же месте, что и паролей, хотя и удобно, но сводит защиту учетных записей к одному фактору в случае, если злоумышленник получит доступ к вашему менеджеру паролей.
Кроме того, мы не рекомендуем хранить одноразовые коды восстановления в менеджере паролей. Их следует хранить отдельно, например, в зашифрованном контейнере на автономном устройстве хранения.
Резервное копирование¶
Вы должны хранить зашифрованную резервную копию ваших паролей на нескольких устройствах или в облачном хранилище. Это может быть полезно, если что-то случится с вашим устройством или с сервисом, которым вы пользуетесь.