Вместо QWERTY: как придумать надежный пароль (и не забыть его)

Эти пароли легко взломать

Проще всего подобрать пароль, если он составлен с использованием даты рождения, имени, улицы или города — такую информацию можно узнать в слитых базах данных. Хакер обязательно сначала использует данные из сливов и потом начнет подбирать рандомные комбинации с помощью «брута».

Кроме того, такие виды паролей для учетной записи лучше не использовать:

• цепочки цифр и букв — 1234, qwerty, 6789 и т. д.;
• имена, названия и словарные слова (или сделайте в них пару ошибок, чтобы не получилось с ходу подобрать пароль);
• короткие комбинации (менее 6 символов).

Иными словами, ответ на вопрос, какой можно придумать пароль для ВК или пароль для почты, будет следующим: чтобы избежать взлома, пароль нужно придумать длинный, нелогичный и уникальный.

Надежные комбинации

Безопасный пароль должен быть таким:

• более 12 символов — чем длиннее, тем лучше;
• прописные и строчные буквы, цифры, специальные символы (@, $, % и др.) — смешанные комбинации подобрать сложно;
• без личной информации и предсказуемых последовательностей символов;
• уникальность — пароль не должен использоваться в других аккаунтах.

Большое число ресурсов, включая соцсети, на этапе создания пароля помогают с тем, как придумать пароль для регистрации, — они определяют безопасность пароля и предлагают несколько вариантов, как улучшить комбинации символов. Более того, на некоторых сайтах не получится даже зарегистрироваться, если пароль для входа не соответствует минимальным требованиям безопасности.

Есть и сторонние сервисы проверки силы пароля:

• Kaspersky Password Checker,
• How Secure is My Password.

Они работают одинаково: сервис изучает состав пароля и делает предположение о том, сколько времени понадобится на взлом.

Как правильно хранить пароли

После создания комбинации необходимо запомнить ее, но уж точно не стоит хранить пароль в документе на рабочем столе. Записывать на бумаге — только если вы работаете из дома и никто не прочтет вашу запись. Но лучший вариант хранения паролей — голова: из нее хакер точно не сможет добыть данные для авторизации.

Как киберпреступник может выяснить комбинацию без брута:

• программа-шпион на ПК открывает мошенникам доступ к файлам и передает то, что вводится с клавиатуры, а также незаметно для пользователя делает и отправляет скриншоты;
• утечки — частое явление в соцсетях; к примеру, взломав Reddit, хакеры завладели 80 ГБ пользовательских данных, этот случай как раз поясняет, почему важно использовать пароль только один раз: если у вас взломали один аккаунт, это не приведет к взлому иных.

Также важно убедиться, что антивирус на компьютере работает правильно — сигнатуры регулярно обновляются, а на устройстве стоит последняя версия ПО. Некоторые вирусы способны на сбор данных пользователя, отслеживание нажатий клавиш и т. д. В результате хакер получит готовый пароль. Наличие мощного антивируса — практически обязательное условие для безопасной работы в интернете. Если пользователь узнал, что ВК, Telegram или другую соцсеть взломали, стоит проверить, есть ли пароль в слитых базах. Это можно узнать на сайте Have I Been Pwned.

Есть несколько мест хранения данных:

• Облако. Можно создать файл на Google Drive или «Яндекс Диске» и иметь доступ к паролям с любого устройства. Однако есть риск, и немалый, что к этому файлу получат доступ посторонние без вашего разрешения, скажем, в результате взлома облачного диска. А еще все аккаунты могут быть скомпрометированы одним махом. Чтобы этого избежать, стоит как минимум настроить двухфакторную аутентификацию (2FA) — вход в аккаунт по (1) логину и паролю и (2) коду из SMS или электронного письма.
• Браузер. Он хранит данные для входа и предлагает пользователям автоматическую авторизацию в одно нажатие. Это удобно, но рискованно: все можно взломать. А еще после переустановки браузера или при необходимости зайти с другого устройства пользователю придется долго перебирать пароли, а если они синхронизируются через облако между устройствами, то опасность та же, что в пункте выше. Также лучше убедиться, что к вашему ПК нет доступа у других людей.
• USB-флешка. Не подключена к сети, поэтому хакер не получит к ней доступ. Главное — не потерять саму флешку. Для большей надежности информацию можно зашифровать в приложениях MS Office и сохранить файл с паролями в запароленный архив.
• Специальные сервисы-хранилища — хранят пароли и помогают с автоматической авторизацией. С ними пользователю не придется запоминать данные — достаточно выучить пароль для входа в личный кабинет LastPass, iCloud Keychain или аналогичного сервиса.

Лучшие способы хранения данных — специальные сервисы и USB-флешка. Первый вариант удобнее, потому что можно получить доступ к комбинациям на любом устройстве, а второй — безопаснее. Флешка может быть обычной, а может иметь встроенный сканер отпечатка пальца, при использовании которого открывается доступ к зашифрованным папкам — эта альтернатива паролю несколько удобнее.

Как мошенники могут узнать ваш пароль

Перед тем, как составить надежный пароль, используя специальные программы для генерации надежных комбинаций, стоит узнать, как именно мошенники получают доступ к данным.

Поддельные сайты

Пока вы размышляете о том, какой пароль можно придумать, мошенники методично подделывают сайты. Заманивают через рекламу, объявляя распродажу в фейковом интернет-магазине или розыгрыш от известных блогеров. Еще могут попросить проголосовать за друга/родственника, а могут «прислать» кэшбэк от банка. Вы авторизуетесь через почту или соцсети, и вуаля — вашу личную информацию украли.

Подбор паролей

Это вы думаете, что дата рождения сына — суперсложная комбинация символов, а мошенники могут взломать такой пароль за минуту. Не вручную, конечно. Есть программы, которые сами вводят комбинации символов, пока не подберут нужную. И еще, какой бы надежный пароль вы ни придумали, если он стоит на всех сервисах, при утечке данных из-за брутфорс-атаки вы потеряете доступ ко всему: от электронной почты до «Госуслуг».

Фальшивые приложения

Мошенникам нетрудно подделать самые популярные приложения, вплоть до антивирусных программ или сервисов для записи к врачу. При авторизации вы передаете доступ к данным на смартфоне в руки аферистов (даже к SMS, записанным в заметках кодовым фразам и менеджеру паролей).

Free Wi-Fi

Даже если вы настроили двухфакторную аутентификацию, выбрали разные символы для паролей из букв и цифр и используете только надежные проверенные приложения — все насмарку, если вы подключитесь к созданной аферистом Wi-Fi точке в кафе, на улице или в общественном транспорте. Злоумышленник увидит посещенные вами сайты и введенные на них личные пароли.

Подглядеть

Многие продолжают хранить пароли на стикерах, банковских картах, в заметках на смартфоне и в текстовых документах на ПК. Мошенник может просто подсмотреть ваши данные.

Топ онлайн-сервисов по генерации паролей

Если своими силами у вас получаются только пароли легкие, запустите генератор — он сам соберет комбинацию из рандомных символов, которые озадачат брутфорса. Обычно такие генераторы — это модуль сервисов и приложений для хранения паролей.

LastPass

Этот сервис специализируется не только на хранении, но и на создании паролей для учетной записи. Разработчики создали настраиваемый генератор, который предлагает пользователям создать комбинацию максимум из 50 символов с буквами верхнего и нижнего регистра, цифрами и спецсимволами.

Sticky Password

Это аналог LastPass для мобильных устройств и ПК, который подходит для хранения и генерации придуманных паролей. Sticky Password предлагает создать комбинацию длиной до 99 знаков и сохранить ее в базе. Преимущество инструмента — наличие опции автоматической проверки паролей: Sticky Password сам предлагает изменить устаревшие и слабые варианты.

Random.org

Инструмент используют для создания рандомных комбинаций символов, включая пароли. За один раз сервис может создать до 100 паролей длиной от 6 до 32 символов — благодаря этому программа отлично подходит тем, кто хочет повыбирать. Здесь нельзя задать алфавит, поэтому рекомендуется сразу генерировать не менее 50 паролей, чтобы найти подходящий вариант.