В этой статье, мы подробно рассмотрим правильное управление паролями и то, как сохранить ваши пароли в безопасности. Мы рассмотрим все, начиная с того, что делает пароль безопасным, как хакеры подходят к нарушению безопасности паролей и как правильно создавать, хранить и синхронизировать пароли, чтобы ваша организация и проект могли обеспечить гораздо большую безопасность хранящейся у вас информации.
Хотя концепции пароля сотни лет, современный пароль, каким мы его знаем сегодня, был впервые введен Фернандо Корбато, выдающейся фигурой в области компьютерных наук. С тех пор, пароль стал основополагающим элементом кибербезопасности, и часто он является первой линией защиты учетных записей пользователей и конфиденциальных данных от несанкционированного доступа.
При этом 77% организаций, с которыми были проведены консультации в рамках Глобального опроса EY по информационной безопасности, заявили, что они наблюдают рост числа разрушительных атак на систему безопасности. И в отчете Verizon о расследованиях нарушений данных за 2020 год (DBIR), также, сообщалось, что более 80% нарушений, связанных со взломом, связаны с использованием утерянных или украденных паролей. Добавьте это к хорошо известной статистике о том, что менее четверти американцев используют инструменты управления паролями, и вы начнете понимать насущную необходимость надлежащего управления паролями.
Итак, в этой статье, мы подробно рассмотрим правильное управление паролями и то, как сохранить ваши пароли в безопасности. Мы рассмотрим все, начиная с того, что делает пароль безопасным, как хакеры подходят к нарушению безопасности паролей и как правильно создавать, хранить и синхронизировать пароли, чтобы ваша организация и проект могли обеспечить гораздо большую безопасность хранящейся у вас информации.
Почему управление паролями является неотъемлемой частью информационной безопасности?
Когда дело доходит до кибербезопасности, и, в частности, информационной безопасности, управление паролями имеет решающее значение для защиты вашей информации и организации от киберпреступников. Помимо брандмауэров, защиты от вредоносных программ, VPN и других инструментов кибербезопасности, пароли часто являются единственным средством защиты конфиденциальной информации, такой как данные компании, интеллектуальная собственность, исходные фразы и закрытые ключи криптовалютных кошельков.
Конечно, существуют такие технологии, как SSO (Единый вход) и биометрия, однако такого рода инструменты все еще обычно соединяются с паролем на каком-то этапе процесса аутентификации, чтобы обеспечить более высокий уровень безопасности. В конечном счете, это означает, что информационная безопасность сильно зависит от паролей, а также от безопасного создания и управления этими паролями.
Как взламываются пароли?
Учитывая все обстоятельства, безопасное управление паролями и обеспечение безопасности ваших паролей начинается с того, что у вас есть сверхзащищенный пароль сам по себе. Существует ряд факторов, которые делают пароль надежным, и вы всегда должны руководствоваться здравым смыслом и избегать типичных паролей, таких как ваш день рождения, последовательность цифр или букв, а также отдельных слов и коротких паролей.
Но, для того, чтобы действительно понять, как создать надежный пароль, важно понять, как пароли взламываются в первую очередь.
Вот несколько типичных способов, которыми киберпреступники получают учетные данные с паролем:
Атака методом перебора (Brute Force Attack)
При такого рода атаках, хакер использует программное обеспечение, чтобы попытаться угадать каждую возможную комбинацию, пока не угадает вашу.
Атака по словарю (Dictionary Attack)
Злоумышленник использует заранее определенный словарь слов и пытается сопоставить их с вашим паролем. Вот почему иметь пароль типа “лошадь” или “футбол” – всегда плохая идея, так как они легко угадываются при атаках по словарю.
Фишинг паролей
В фишинговых атаках участвуют киберпреступники, пытающиеся обмануть, оказать давление и заставить жертв социальных сетей отказаться от информации о пароле.
Особенно, когда дело доходит до атак методом перебора и атак по словарю, гораздо менее вероятно, что информация о вашем пароле будет скомпрометирована, если у вас есть надежный пароль, который соответствует определенным рекомендациям. Ниже мы рассмотрим, как убедиться, что вы создали надежный пароль.
Как создать надежный пароль?
Хорошее управление паролями начинается с наличия сверхнадежного пароля. Чем надежнее пароль, тем сложнее хакеру взломать его, и вот элементы, которые на самом деле делают менее поддающийся взлому надежный пароль:
Длина
Привычно надежным, считается пароль, состоящий из минимум 12 символов, но оптимально – 25 или более. Мы рекомендуем использовать менеджер паролей для создания паролей с количеством символов свыше 60, если это позволяет используемая вами служба.
Сочетание символов
Используйте в своем пароле заглавные и строчные буквы, цифры и символы, чтобы злоумышленникам, применяющим грубую силу, было сложнее добиться успеха.
Случайный пароль
Всегда лучше использовать случайную строку букв и цифр, а не обычную комбинацию слов. Однако, если вы абсолютно настаиваете на использовании слов, по крайней мере, убедитесь, что вы используете разделители, такие как точки и тире между словами (например, orange.apple.grape), и избегайте очевидных замен, таких как @ для буквы a.
Изолированного использования любой из приведенных выше рекомендаций недостаточно, поэтому вам нужно убедиться, что вы используете их все (или, по крайней мере, комбинацию нескольких из них). Например, взлом пароля длиной 12 символов может занять либо миллисекунды, либо миллиарды лет, в зависимости от того, как он сформирован.
У Express VPN, поставщика услуг VPN, есть интересный онлайн-инструмент защиты паролей, который покажет вам, сколько времени требуется, чтобы взломать определенный пароль. И, хотя мы не рекомендуем вам создавать пароли с помощью этого онлайн-инструмента и использовать их для защиты вашей информации, очень полезно посмотреть, насколько сильно специальный символ, разделитель или дополнительное число могут повлиять на безопасность вашего пароля.
В редких случаях, когда ваш пароль скомпрометирован после выполнения приведенных выше рекомендаций, средства управления паролями 1Password, а также такие функции, как встроенные функции безопасности Google, могут предупредить вас, когда ваш адрес электронной почты или пароль связаны с утечкой данных.
Инструменты управления паролями
Существует довольно много факторов, влияющих на хорошее управление паролями и надлежащую защиту информации, которую в конечном итоге защищают ваши пароли. И в результате всех сложностей, связанных с кибербезопасностью и информационной безопасностью, одной из основных областей, которые хакеры пытаются использовать в организациях, является кибер-усталость. Люди, как правило, испытывают кибер-усталость, когда они перегружены управлением несколькими паролями, PIN-кодами и учетными записями. То есть, будучи заваленным подсказками, запросами учетных данных и ложными срабатываниями, все эти действия по обеспечению безопасности, могут начать казаться бессмысленными, хотя они имеют решающее значение для информационной безопасности.
Одним из самых мощных инструментов, которые организации могут использовать в рамках своей стратегии информационной безопасности и для предотвращения кибератак, являются менеджеры паролей. Менеджеры паролей устраняют сложности, связанные с подбором безопасного пароля, хранением, синхронизацией и мониторингом, среди прочего. Ниже вы найдете список опций для менеджеров паролей, которые вы можете рассмотреть в рамках своей стратегии защиты паролей.
Встроенные инструменты для создания паролей в вашей операционной системе
В зависимости от используемых вами устройств они могут поставляться со своим собственным генератором паролей и менеджером. Например, пользователи Apple OS будут знакомы с iCould Keychain и менеджером паролей браузера Safari. В Firefox есть Lockwise, а в Google Chrome также есть встроенный менеджер паролей, который может генерировать пароли, а также предупреждать вас, если пароль был связан с утечкой данных. Преимущество этих инструментов в том, что они бесплатны и удобны, однако, очевидным недостатком этих встроенных инструментов, помимо Firefox Lockwise, является то, что пароли в них привязаны к экосистеме и не могут использоваться на разных платформах.
Онлайн-менеджеры паролей с возможностью синхронизации
Если синхронизация между несколькими платформами, включая мобильные, важна для вашей работы, то вам следует рассмотреть такие инструменты, как 1Password, Keeper и Dashlane, среди прочих. Эти инструменты включают в себя такие полезные функции, как история смены пароля, уведомления об утечке данных, 2FA для повышения безопасности при создании новых экземпляров учетных записей, 256-битное шифрование AES и многое другое.
Автономные инструменты управления паролями
Если ваш проект или организация предпочитают управлять паролями исключительно в автономном режиме, один из вариантов включает менеджер паролей KeePass с открытым исходным кодом. Многие другие опции, позволяющие синхронизировать онлайн, также можно использовать в автономном режиме, поэтому, если важно сохранить ваши данные полностью в автономном режиме или вне общедоступных сетей, вам следует рассмотреть именно эти варианты.
Что делать и чего не делать с паролем
Хакеры стали более умными и продолжают развивать свои стратегии кражи информации о паролях. Таким образом, помимо самих инструментов управления паролями, мы рекомендуем вооружиться правильными знаниями о том, что вам следует делать, и о других вещах, которых вам следует избегать, когда дело доходит до обеспечения безопасности ваших паролей. Вот список того, что нужно и чего нельзя делать с паролями, о котором стоит помнить.
Действия с паролем
- Используйте менеджер паролей и выходите за рамки минимальных требований конкретной службы. Если служба, которую вы используете, допускает длинные пароли длиной более 60, 100 или намного больше символов, воспользуйтесь преимуществами этой дополнительной безопасности.
- Создавайте уникальные пароли для каждой отдельной службы, которую вы используете. Никогда не используйте пароли повторно в какой-либо службе и убедитесь, что каждый из них действительно уникален (т.е. избегайте добавления “!” или номера, чтобы сделать их уникальными, поскольку хакеры могут легко взломать подобные варианты).
- Используйте VPN при использовании общедоступного Wi-Fi и входе в учетные записи, чтобы избежать перехвата вашего пароля.
- Хотя в вашем менеджере паролей будет храниться большинство ваших паролей, существует пара паролей, которые вам следует избегать хранить где-либо в Интернете, – это
1) пароль для вашего реального менеджера паролей
2) пароль для вашего персонального компьютера и мобильного устройства.
Что касается паролей, которые вы не можете хранить в Интернете, рассмотрите возможность их разделения и хранения в отдельных местах. Например, половина пароля может храниться в одном месте в сейфе, а другая половина – в отдельном месте – как с использованием огнестойкого, так и водостойкого материала. Также убедитесь, что копии хранятся в надежном месте.
Обучите всех пользователей конфиденциальной информации в вашей организации правильному управлению паролями.
Пароль не требуется! НЕ делайте этого с вашим паролем
- Не делитесь своим паролем. Даже если вас попросит об этом служба технической поддержки сервиса, который вы используете. Ни одна служба обычно не запрашивает эту информацию, и это может быть реальной попыткой фишинга.
- Не делитесь своей информацией на веб-сайтах, которые не используют HTTPS.
- Не отправляйте свой пароль по смс или электронной почте.
- Не используйте электронные таблицы и незащищенные рукописные заметки для хранения паролей.
- Не используйте что-нибудь слишком очевидное, например дни рождения, имена членов семьи, ваш адрес электронной почты, отдельные слова или очевидную последовательность цифр.
- Не делитесь своей стратегией управления паролями с людьми, которым эта информация не нужна, и это может включать людей из вашей организации.
Постарайтесь запомнить слишком много паролей и сделайте безопасную резервную копию всех важных паролей.
Сделайте управление паролями еще безопаснее
Безопасный пароль, который надежно хранится и синхронизируется, является важным шагом в вашей общей стратегии информационной безопасности. Но, можно повысить свою безопасность еще на шаг, используя приложения для многофакторной аутентификации, такие как Google Authenticator и Authy, аппаратные средства OTP, такие как Yubikey, и расширение Google password alert для Chrome.
Правильное управление паролями и обеспечение безопасности ваших паролей является ключевым элементом информационной безопасности и защиты ваших данных от несанкционированных пользователей.