Не потрібно постійно змінювати паролі
Паролі потрібно змінювати, коли є підозра зламу (сповіщення про вхід на сервісі, невідомі активні сесії тощо), а також коли стає відомо про витік даних з сервісів та вебсайтів, якими Ви користуєтесь.
Як дізнатися про витоки? На сайті Haveibeenpwned, який створив дослідник безпеки Трой Хант. За бажання можна підписатися на сповіщення – якщо ваша пошта та пов’язані з нею дані з’явиться у новому витоку, на пошту прийде сповіщення про це.
Також Google, Firefox та Apple створили власні системи, які попереджають, якщо пароль, який ви зберігаєте у їхніх засобах збереження паролів, фігурує у базах даних зловмисників.
Порада періодично змінювати паролі з’явилась кілька десятків років тому, коли Національний інститут стандартів і технології США (NIST) встановив, що аби зламати хеш паролів (зашифрований вигляд паролів) методом перебирання паролів, у середньому потрібно 90 днів. Якийсь час це було певним стандартом, але з’являються нові методи зламів (фішинг, зараження вірусом, який зчитує клавіатуру, злам сервісів), за допомогою яких можна отримати пароль. Популярні сервіси ‒ наприклад, Gmail або Facebook ‒ вже давно мають способи захисту від перебирання паролів і просто блокують такі автоматизовані спроби входу.
Тобто періодичність зміни паролю вже не така актуальна. Є ще сторона користувачів – якщо вони вимушені постійно змінювати пароль, то з більшою ймовірністю, вони будуть щоразу використовувати майже однакові паролі або, наприклад, змінювати їх за певним алгоритмом, який можна розгадати і на основі старого пароля підібрати новий.
Наразі доволі багато порад змінювати паролі. Це доволі правильно, але перед тим як змінювати паролі, радимо насамперед подумати – як саме ви їх зберігатимете. Наприклад, якщо до цього у вас був один пароль і ви його запам’ятовували, то придумати 8 різних паролів та запам’ятовувати їх – не дуже робочий варіант. Особливо у стресі, адже їх можна легко забути.
Зберігайте паролі там, де зручно
“Записувати паролі не можна”, “зберігати у браузері не можна”, і т.д.
Зберігання паролів – це доволі складне питання, де простими порадами не обійтися, бо все залежить від ризиків людини. Наприклад, якщо ви займаєтесь ризикованою діяльністю, зберігаєте багато конфіденційної інформації і у вас є ризик, що у ваш дім увірвуться з обшуком – записувати пароль у блокноті, який тримаєте вдома – ну, так собі ідея. Але якщо таких ризиків у вас немає і ви довіряєте людям, з якими живете – це цілком нормально.
Якщо якийсь метод зберігання паролів для вас працює – окей, продовжуйте. Але переконайтесь, що він захищений. Наприклад, якщо ви використовуєте паролі у браузері чи комп’ютері – ним користуєтесь лише ви, а не рідні чи колеги, сам браузер регулярно оновлюється і не має зайвих додатків. Якщо це записник – що він у надійному місці.
Не менш важливо, подбати про захист пристроїв. Адже якщо пристрій, де ви зберігаєте паролі скомпрометований (наприклад, на ньому стоїть шпигунська програма, яка дає зловмисникам доступ до файлів, робить скріншоти й записує все, що ви вводите з клавіатури) – зловмисники вже можуть мати доступ до ваших паролів.
Базові поради – оновлювати все програмне забезпечення, зокрема операційну систему, не використовувати піратське програмне забезпечення, яке невідомо хто і як ламав, уважно дивитись, які додатки ви ставите на телефон та розширення у браузері.
Щодо використання парольних менеджерів – це один із найбезпечніших способів зберігання паролів, але у них немає жодного сенсу, якщо ви зберігатимете у ньому ті ж самі слабкі, неунікальні, пов’язані з вашими персональними даними або звичками паролі, які легко вгадати. Більше про парольні менеджери тут.
Втім, радимо подбати про резервні способи зберігання на випадок втрати основного, адже через війну ми переїжджаємо, можемо втратити свої пристрої і т.д. А також подбати про способи відновлення акаунтів.
Унікальність ‒ це головне
Найгірше, що ви можете зробити з паролем ‒ використовувати його десь іще. Останні кілька років бази даних з паролями (які отримують з витоків даних) стають все популярнішими. Оскільки все більше сервісів зацікавлені, щоб ви створювали облікові записи, а запам’ятати усі паролі складно (ще й поради в інтернетах кажуть, що записувати їх не можна), то є спокуса використати той самий пароль. І ось злили дані інтернет-магазину, про який ви вже забули, а там такий же пароль, як у фейсбуці та на пошті. Таким чином будь-хто, хто має доступ до цієї бази, отримає доступ не лише до інтернет-магазину, а й до ваших акаунтів.
І ще одне “не варто”: брати одну й ту ж основу, але змінювати регістри чи символи місцями ‒ це все ще той самий пароль. Тобто, 2020_still_the_same_password i 20_password_still_the_same_21 ‒ це неунікальні паролі, і зловмисники добре знають про усі ці та подібні трюки.
Але знову ж таки, нагадуємо, що перед зміною пароля – подумайте про його зберігання.
Не паролем єдиним
Використовувати лише парол для захисту акаунта ‒ недостатньо. Важливо встановлювати двофакторну автентифікацію. Тобто, для входу потрібен пароль і ще щось ‒ зазвичай, це коди. Таким чином, навіть якщо зловмисники мають ваш пароль, вони не зможуть зайти у ваш акаунт без коду. Найважливіше, що потрібно знати про 2ФА:
- важливо зберегти коди відновлення і про них не забути.
- це не панацея, але вона значно зменшить ймовірність зламу.
- на месенджери вона теж потрібна (другий фактор в месенджерах ‒ це пароль).
Як налаштувати двофакторну на різних сервісах тут.