У всех нас есть пароли. Если вы используете интернет сколько-нибудь долго, у вас наверняка наберется несколько десятков, а то и сотен паролей от разных сайтов. Мы пользуемся паролями так часто, что легко забываем, что хакеры и кибермошенники только и ждут, когда мы ослабим бдительность.
Скомпрометированный пароль может привести к неловкой, но в целом некритичной ситуации, когда в какой-нибудь соцсети от вашего имени начнут рассылать спам. Но в некоторых случаях последствия окажутся куда серьезнее, особенно если хакер получит доступ к вашим деньгам или конфиденциальной информации, которая есть в вашей почте или облачном хранилище.
Но есть хорошая новость: пары простых шагов достаточно, чтобы значительно сократить риск того, что ваши аккаунты будут скомпрометированы.
Почему пароли так важны?
Каждый раз, когда вы авторизуетесь на сайте или в приложении вы отвечаете на два вопроса: «Кто вы?» и «Как докажете, что это вы?»
На вопрос «Кто вы?» просто ответить. Обычно для этого нужно оставить адрес электронной почты, номер телефона или имя пользователя, которое вы указали при регистрации аккаунта. Но адрес электронной почты не такая уж и тайна — мы раскрываем его каждый раз, когда отправляем кому-то письмо.
Поэтому нам нужно предъявить еще и так называемый «фактор аутентификации». Это может быть что-то, что известно вам — пароль, что у вас есть — ключ или идентификатор, или какая-то часть вас — отпечаток пальца. Сегодня самый частотный фактор аутентификации — это пароль, поэтому-то я и написал этот пост.
Подразумевается, что пароль знаете только вы и сайт или приложение, где вы авторизуетесь. Но если пароль узнает кто-то еще, им ничего не стоит авторизоваться от вашего имени. Тут-то у большинства из нас и начинаются проблемы.
Хакеры против паролей
Вокруг хакеров существует ореол загадочных сил зла, но правда в том, что они такие же люди как мы с вами, и подобно нам — всегда ищут способы делать свою работу эффективнее.
Часто первое, что делает хакер, проверяет, не выбрали ли какой-то общеизвестный пароль. По данным CyberNews, самый часто используемый пароль — «123456». Если у вас сейчас где-то стоит такой пароль, у меня для вас плохие новости: именно его хакеры проверят в первую очередь, если захотят взломать ваш аккаунт. Конец игры.
Если это не сработало, хакеры скорее всего прибегнут к технике credential stuffing. На протяжении многих лет сливаются или взламываются миллиарды комбинаций «имя пользователя/пароль» на самых разных сайтах, а многие люди используют одну и ту же комбинацию сразу на нескольких сайтах. Если вы завели аккаунт на сайте А, а затем использовали те же почту и пароль для регистрации на сайте Б, то любой хакер, что взломает сайт А, получит все необходимое для доступа к вашему аккаунту на обоих сайтах. Есть бесплатные сервисы, где вы можете проверить, были ли раскрыты ваши почта и пароль во время известных утечек. Пример такого сервиса — HaveIBeenPwned.
Как выбрать надежный пароль
Чтобы избежать печальных сценариев, о которых я говорю выше, выбирать пароль стоит с учетом следующих критериев:
- Пароль должен быть уникальным. Для каждого сайта нужно выбирать новый пароль, который вы больше нигде не использовали.
- Пароль должен быть абсолютно случайным. Не включайте в пароль никакую личную информацию, вроде имен или дат рождения.
- В пароле должно быть по крайней мере 16 символов. Так хакерам будет сложнее угадать его или прибегнуть к перебору.
Если вам кажется, что это слишком сложно, вы не одиноки! Никто не может запомнить достаточное количество таких паролей, чтобы обезопасить себя в интернете. Хорошая новость в том, что существуют инструменты, которые позволяют легко управляться с вашими аккаунтами и вместе с тем освобождают место в вашей голове для более важных вещей, вроде дней рождений близких и планов на выходные.
Я рекомендую пользоваться менеджерами паролей, например, 1Password, LastPass или Dashlane. Эти инструменты созданы для того, чтобы управлять вашими паролями и сохранять их в безопасности. Кроме того, их можно использовать на разных устройствах. Если вы не хотите пользоваться менеджером паролей, можно записывать пароли в блокнот. В этом случае важно хранить блокнот в надежном месте. Не храните пароли в почте, облачных хранилищах или в онлайн-заметках.
Подводя итог
Часто нам не хочется возиться с паролями, потому что это муторное дело. И так и есть! Но очень важно, чтобы вы правильно с ними обращались. Только так вы сможете защитить свою онлайн-жизнь от хакеров. Если вы поймете, как работают хакеры, начнете пользоваться менеджером паролей или заведете отдельный блокнот для них, вы сможете значительно обезопасить себя в интернете и спать по ночам чуть спокойнее.
От редакции: Evernote серьезно относится к безопасности аккаунтов. Мы рекомендуем нашим пользователям воспользоваться советами в этой статье, а также активировать двухфакторную аутентификацию в своем аккаунте Evernote, а также на других сайтах, где она доступна. Мы благодарим автора за пост на такую важную тему.
Мэтт Мюллер (Matt Muller) — директор по безопасности в Coinbase, одной их крупнейших криптовалютных платформ в мире. Больше всего в жизни ему нравится вставлять палки в колеса мошенников, а лишь чуточку меньше чем это, ему нравятся удачные сочетания вин и сыров.
