Пароли, пароли и еще раз про пароли...

Взлом - вещь неприятная, но большинство аккаунтов так или иначе ему подвержены. Весь процесс хакинга в конце концов сводится к одному - получению пароля. Команда DIS.works не хочет, чтобы все мы увеличивали процент пострадавших, а потому расскажет, что и как нужно делать со своими паролями.

На первый взгляд все просто и понятно: 81% всех взломов связан либо с украденным, либо со слабым паролем. Важно понимать, что кража последнего становится для злоумышленника бесполезной, когда подключен второй фактор: подтверждение по SMS, push в Duo, одноразовый пароль google authenticator или yubikey.

 

Странно, что в наше время многие до сих пор считают очень удобным использование одного, но сложного пароля для всех сервисов. Большинство подозревают, что это небезопасно, но мало кто понимает почему. Оказывается, хакер может вбить ваш e-mail в сервис, агрегирующий все базы данных паролей, когда-либо утекших в интернет, и с большой долей вероятности он сможет его найти. Ну а если у вас пароль один на все сервисы, вы понимаете, чем это закончится…

 Так что прямо сейчас проверяйте не сбежал ли ваш “сложный единый пароль”, а если это все-таки случилось, срочно меняйте его на другой и не единый.
Не так давно британские, наверное, ученые выяснили, что для нормальных людей является противоестественным запоминать рандомные пароли, да и зачем? Ведь парольная фраза чуть большей, чем рандомный пароль, длины обеспечивает тот же уровень безопасности. 


Автор же, порекомендовавший много лет назад использовать рандомные пароли, теперь извиняется. Сейчас мистеру Бёрру 72 года и он пенсионер. В комментарии The Wall Street Journal он сказал, что сожалеет о большей части содеянного. Возможно, ему не нужно быть таким строгим к себе.

Кто мог подумать, что рекомендации NIST разойдутся настолько широко и станут «золотыми правилами» для системных администраторов? К тому же, в то время не было достаточно академических исследований о безопасности паролей, и трудно было написать действительно грамотные рекомендации, а на Бёрра давило начальство с требованием быстро закончить работу.
И вот теперь тот самый NIST рекомендует использовать парольные фразы вместо обычных паролей.

Не знаете, как генерить и хранить разные пароли? Для этого есть удобные и представленные в свободном доступе программы, например KeepassXC. Правда, один пароль, от самого “менеджера паролей”, запомнить-таки придется.
И последнее, требование постоянно менять пароли тоже устарело. Теперь рекомендуется генерить новый только тогда, когда есть подозрение, что старый пароль утек.