10 поганих звичок при використанні паролів, яких варто терміново позбутися

Поки що доступ до ваших даних не отримали зловмисники.

1. Використовувати «блукаючі» паролі

Багато користувачів створюють паролі методом «блукання по клавіатурі» — коли ви запам’ятовуєте не кодову фразу, а патерн, яким ваші пальці рухаються при її наборі. Результатом стають комбінації на кшталт qwerty, asdfgh, 1qazxsw2, qazxswedc тощо.

На перший погляд здається, що ця абракадабра цілком надійна. Ось тільки хакери про таку «хитрість» теж знають, і всі можливі комбінації давно занесені до словників, за якими шкідливі програми підбирають паролі та розшифровують хеші.

Так що водити пальцем по клавіатурі по близько розташованим кнопкам не найкраща витівка, якщо вам потрібен стійкий до злому пароль.

2. Використовувати однакові паролі для різних сервісів

Повторне застосування тих самих паролів у різних місцях теж є вкрай небажаною практикою. Здавалося б, достатньо скласти і запам’ятати один надійний код — і всі ваші облікові записи будуть у безпеці, але це дуже погана ідея.

Якщо хоча б один сервіс буде зламаний, наступним логічним кроком для зловмисника стане спроба використання розшифрованого пароля в інших місцях. І всі ваші облікові записи будуть під загрозою.

3. Ніколи не оновлювати старі паролі

Вигадувати ненадійні паролі – це вже погано, але ще гірше використовувати їх протягом багатьох років. Витоки персональних даних користувачів різних сервісів відбуваються досить часто, і навіть найнадійніша кодова фраза стає марною після таких зломів.

Регулярна зміна паролів допоможе уникнути негативних наслідків. Щоб дізнатися, на яких сервісах варто оновити фразу, можна скористатися сайтом Have I Been Pwned? . Введіть свій імейл та побачите, які сайти з тих, де ви реєструвалися, були зламані. І поміняйте там свої паролі.

4. Вмикати особисту інформацію у паролі

Паролі нам доводиться постійно вводити, тому цілком природно бажання придумати код, який було б легко запам’ятати. Саме тому багато хто додає у свій пароль дату народження , ім’я родича, прізвисько улюбленого вихованця або місто, в якому вони познайомилися з чоловіком.

Особливо забудькі товариші ще й прописують цю інформацію в підказці, яку деякі сервіси досі пропонують створити.

Звичайно, це не найкраща ідея. Той, хто захоче зламати ваш обліковий запис, запросто зможе дізнатися вашу дату народження, ім’я дитини або назви міст, якими ви подорожували, лише переглянувши ваші соціальні мережі . Будь-який пароль, що складається з реального слова, імені або чогось подібного, простіше піддається злому за своєю природою.

5. Нехтувати багатофакторною автентифікацією

Дедалі більше сервісів зараз впроваджують різні форми багатофакторної аутентифікації . Введення імені користувача та пароля – це перший рівень захисту. Після нього знадобиться додаткове підтвердження вашої особистості. Безглуздо нехтувати такою функцією, якщо вона доступна.

Наприклад, сервіс може змусити вас ввести код, надісланий у СМС, або підтвердити вхід через програму на мобільному пристрої. Якщо хакер і зламає пароль, йому ще знадобиться отримати доступ до телефону, що ускладнює завдання.

Майте на увазі, що СМС-коди не такі надійні, як комбінації, згенеровані додатками двофакторної аутентифікації. Зловмисник може обдурити або підкупити співробітників оператора мобільного зв’язку , яким ви користуєтеся. А ось з такими програмами, як Google Authenticator або Authy, впоратися набагато складніше.

6. Зберігати паролі у відкритому вигляді

Отже, ви відмовилися від попередніх шкідливих звичок і тепер створюєте надійні та різноманітні паролі для кожного веб-сайту. Однак постає нова проблема: як зберігати складні кодові фрази.

У жодному разі не записуйте їх в електронну таблицю Excel і особливо в хмарну Google Sheet. Не надсилайте паролі самому собі електронною поштою і не заносите їх у текстовий файл, документ Word або нотатку у сервісі на кшталт Evernote.

І боже вас боронь записувати їх на клейкі стікери і причіпляти до екрану монітора.

Всі ці методи збереження даних надто ненадійні, і ваші паролі можуть отримати доступ сторонні.

7. Не використовувати випадкову генерацію паролів

Існує простий, але дієвий інструмент, який може суттєво покращити безпеку ваших облікових записів – генератор паролів. Він дозволяє створювати комбінації, які важко запам’ятати та неможливо підібрати. Це набори букв, цифр та спеціальних символів, зібрані випадковим чином. 

8. Використовувати онлайн-сервіси для зберігання паролів

Запам’ятовувати випадково згенеровані стійкі до злому паролі просто нездійсненне завдання. У вас може виникнути спокуса зберегти їх в електронну таблицю або текстовий файл, але це, як ми вже сказали, зовсім ненадійний спосіб. Набагато краще скористатися спеціалізованими парольними менеджерами. Щоправда, і з ними не все так просто.

У Мережі можна знайти чимало сервісів, призначених для зберігання облікових даних. Але всі вони мають великий недолік: вони зберігають ваші паролі на своїх серверах, і, якщо ті будуть скомпрометовані, інформація втече в руки грабіжників. Той самий LastPass зламували неодноразово.

Тому слід відмовитися від сервісів з власною хмарою для паролів і віддати перевагу програмам, що зберігають дані локально.

Найкращий варіант – менеджер з відкритим вихідним кодом KeePass . Це програма, яка працює локально на комп’ютері. Його парольні бази не можуть втекти до мережі. Щоправда, клієнт у KeePass зовні не дуже симпатичний, але він має більш сучасний аналог KeePassXC . Клієнти для Android та iOS, плагіни для всіх популярних браузерів – цей менеджер має все. І платити за це не доведеться.

Крім KeePass, локальне зберігання баз паролів підтримують платний 1Password та безкоштовний Enpass . Крім того, ви можете спробувати Bitwarden , якщо у вас є власний домашній сервер, і ви хочете розгорнути сховище паролів на ньому. А от рішень, які не передбачають автономного зберігання, варто триматися подалі.

9. Зберігати паролі у браузері

Можливо, ви вважаєте, що менеджер це зовсім зайвий інструмент. І набагато простіше користуватися вбудованою у всі браузери функцією збереження паролів. Це дійсно зручно, але цей метод має кілька недоліків.

Перш за все, будь-хто, кому ви дасте скористатися вашим комп’ютером – колега, друг або навіть члени сім’ї – може підглянути збережені у вашому браузері облікові записи за допомогою нехитрої послідовності дій .

З тими ж KeePass чи Enpass таке не прокотить: там базу не відкрити без майстер-пароля чи ключа.

Крім того, в браузері можна зберігати тільки коди від веб-сервісів, а менеджер паролів можна перенести і банківські дані, і код від Wi-Fi, і облікові записи операційних систем і різних програм на вашому комп’ютері. І все це зберігатиметься у повній безпеці — зрозуміло, якщо у вас стійкий майстер-пароль.

10. Використовувати паролі замість ключів доступу

Навіть найнадійніші паролі не такі безпечні, як ключі доступу — так звані Passkeys. Для того, щоб комбінації функціонували, сервери облікових записів повинні зберігати їх – ну або принаймні хеш паролів. Це необхідно для порівняння збережених даних із введеними користувачем.

А технологія Passkeys не потребує збереження закритих даних користувачів на серверах облікових записів. І навіть у разі злому такого сервера зловмисники не зможуть дізнатися ключі доступу, тому що вони містяться у закритому вигляді на пристрої користувача.

Ключ доступу також не може бути скомпрометований у фішингових схемах , тому що неможливо обманом змусити людину ввести її на підробленому сайті-двійнику – він просто не знає потрібного коду.

Щоб зайти в обліковий запис, захищений Passkeys, користувачеві не потрібен пароль – тільки біометрична автентифікація за допомогою відбитка пальця або обличчя, введення пін-коду або сканування QR-коду. Ключ доступу, створений вашим браузером, комп’ютером або смартфоном, зберігатиметься у зашифрованому вигляді на вашому пристрої, і навіть сервіс, у якому ви авторизуєтеся, не матиме доступу до нього.

Так що якщо сервіс, яким ви користуєтеся, підтримує технологію входу за допомогою ключів доступу (вона може називатися Passkeys або «безпарольний вхід»), краще користуватися нею, а не банальними паролями.