В этой статье, мы подробно рассмотрим правильное управление паролями и то, как сохранить ваши пароли в безопасности. Мы рассмотрим все, начиная с того, что делает пароль безопасным, как хакеры подходят к нарушению безопасности паролей и как правильно создавать, хранить и синхронизировать пароли, чтобы ваша организация и проект могли обеспечить гораздо большую безопасность хранящейся у вас информации.
Хотя концепции пароля сотни лет, современный пароль, каким мы его знаем сегодня, был впервые введен Фернандо Корбато, выдающейся фигурой в области компьютерных наук. С тех пор, пароль стал основополагающим элементом кибербезопасности, и часто он является первой линией защиты учетных записей пользователей и конфиденциальных данных от несанкционированного доступа.
При этом 77% организаций, с которыми были проведены консультации в рамках Глобального опроса EY по информационной безопасности, заявили, что они наблюдают рост числа разрушительных атак на систему безопасности. И в отчете Verizon о расследованиях нарушений данных за 2020 год (DBIR), также, сообщалось, что более 80% нарушений, связанных со взломом, связаны с использованием утерянных или украденных паролей. Добавьте это к хорошо известной статистике о том, что менее четверти американцев используют инструменты управления паролями, и вы начнете понимать насущную необходимость надлежащего управления паролями.
Итак, в этой статье, мы подробно рассмотрим правильное управление паролями и то, как сохранить ваши пароли в безопасности. Мы рассмотрим все, начиная с того, что делает пароль безопасным, как хакеры подходят к нарушению безопасности паролей и как правильно создавать, хранить и синхронизировать пароли, чтобы ваша организация и проект могли обеспечить гораздо большую безопасность хранящейся у вас информации.
Почему управление паролями является неотъемлемой частью информационной безопасности?
Когда дело доходит до кибербезопасности, и, в частности, информационной безопасности, управление паролями имеет решающее значение для защиты вашей информации и организации от киберпреступников. Помимо брандмауэров, защиты от вредоносных программ, VPN и других инструментов кибербезопасности, пароли часто являются единственным средством защиты конфиденциальной информации, такой как данные компании, интеллектуальная собственность, исходные фразы и закрытые ключи криптовалютных кошельков.
Конечно, существуют такие технологии, как SSO (Единый вход) и биометрия, однако такого рода инструменты все еще обычно соединяются с паролем на каком-то этапе процесса аутентификации, чтобы обеспечить более высокий уровень безопасности. В конечном счете, это означает, что информационная безопасность сильно зависит от паролей, а также от безопасного создания и управления этими паролями.
Как взламываются пароли?
Учитывая все обстоятельства, безопасное управление паролями и обеспечение безопасности ваших паролей начинается с того, что у вас есть сверхзащищенный пароль сам по себе. Существует ряд факторов, которые делают пароль надежным, и вы всегда должны руководствоваться здравым смыслом и избегать типичных паролей, таких как ваш день рождения, последовательность цифр или букв, а также отдельных слов и коротких паролей.
Но, для того, чтобы действительно понять, как создать надежный пароль, важно понять, как пароли взламываются в первую очередь.
Вот несколько типичных способов, которыми киберпреступники получают учетные данные с паролем:
Атака методом перебора (Brute Force Attack)
При такого рода атаках,
Атака по словарю (Dictionary Attack)
Злоумышленник использует заранее определенный словарь слов и пытается сопоставить их с вашим паролем. Вот почему иметь пароль типа “лошадь” или “футбол” – всегда плохая идея, так как они легко угадываются при атаках по словарю.
Фишинг паролей
В фишинговых атаках участвуют киберпреступники, пытающиеся обмануть, оказать давление и заставить жертв социальных сетей отказаться от информации о пароле.
Особенно, когда дело доходит до атак методом перебора и атак по словарю, гораздо менее вероятно, что информация о вашем пароле будет скомпрометирована, если у вас есть надежный пароль, который соответствует определенным рекомендациям. Ниже мы рассмотрим, как убедиться, что вы создали надежный пароль.
Как создать надежный пароль?
Хорошее управление паролями начинается с наличия сверхнадежного пароля. Чем надежнее пароль, тем сложнее хакеру взломать его, и вот элементы, которые на самом деле делают менее поддающийся взлому надежный пароль:
Длина
Привычно надежным, считается пароль, состоящий из минимум 12 символов, но оптимально – 25 или более. Мы рекомендуем использовать менеджер паролей для создания паролей с количеством символов свыше 60, если это позволяет используемая вами служба.
Сочетание символов
Используйте в своем пароле заглавные и строчные буквы, цифры и символы, чтобы злоумышленникам, применяющим грубую силу, было сложнее добиться успеха.
Случайный пароль
Всегда лучше использовать случайную строку букв и цифр, а не обычную комбинацию слов. Однако, если вы абсолютно настаиваете на использовании слов, по крайней мере, убедитесь, что вы используете разделители, такие как точки и тире между словами (например, orange.apple.grape), и избегайте очевидных замен, таких как @ для буквы a.
Изолированного использования любой из приведенных выше рекомендаций недостаточно, поэтому вам нужно убедиться, что вы используете их все (или, по крайней мере, комбинацию нескольких из них). Например,
У Express VPN, поставщика услуг VPN, есть интересный онлайн-инструмент защиты паролей, который покажет вам, сколько времени требуется, чтобы взломать определенный пароль. И, хотя мы не рекомендуем вам создавать пароли с помощью этого онлайн-инструмента и использовать их для защиты вашей информации, очень полезно посмотреть, насколько сильно специальный символ, разделитель или дополнительное число могут повлиять на безопасность вашего пароля.
В редких случаях, когда ваш пароль скомпрометирован после выполнения приведенных выше рекомендаций, средства управления паролями 1Password, а также такие функции, как встроенные функции безопасности Google, могут предупредить вас, когда ваш адрес электронной почты или пароль связаны с утечкой данных.
Инструменты управления паролями
Существует довольно много факторов, влияющих на хорошее управление паролями и надлежащую защиту информации, которую в конечном итоге защищают ваши пароли. И в результате всех сложностей, связанных с кибербезопасностью и информационной безопасностью, одной из основных областей, которые хакеры пытаются использовать в организациях, является кибер-усталость. Люди, как правило, испытывают кибер-усталость, когда они перегружены управлением несколькими паролями, PIN-кодами и учетными записями. То есть, будучи заваленным подсказками, запросами учетных данных и ложными срабатываниями, все эти действия по обеспечению безопасности, могут начать казаться бессмысленными, хотя они имеют решающее значение для информационной безопасности.
Одним из самых мощных инструментов, которые организации могут использовать в рамках своей стратегии информационной безопасности и для предотвращения кибератак, являются менеджеры паролей. Менеджеры паролей устраняют сложности, связанные с подбором безопасного пароля, хранением, синхронизацией и мониторингом, среди прочего. Ниже вы найдете список опций для менеджеров паролей, которые вы можете рассмотреть в рамках своей стратегии защиты паролей.
Встроенные инструменты для создания паролей в вашей операционной системе
В зависимости от используемых вами устройств они могут поставляться со своим собственным генератором паролей и менеджером. Например, пользователи Apple OS будут знакомы с iCould Keychain и менеджером паролей браузера Safari. В Firefox есть Lockwise, а в Google Chrome также есть встроенный менеджер паролей, который может генерировать пароли, а также предупреждать вас, если пароль был связан с утечкой данных. Преимущество этих инструментов в том, что они бесплатны и удобны, однако, очевидным недостатком этих встроенных инструментов, помимо Firefox Lockwise, является то, что пароли в них привязаны к экосистеме и не могут использоваться на разных платформах.
Онлайн-менеджеры паролей с возможностью синхронизации
Если синхронизация между несколькими платформами, включая мобильные, важна для вашей работы, то вам следует рассмотреть такие инструменты, как 1Password, Keeper и Dashlane, среди прочих. Эти инструменты включают в себя такие полезные функции, как история смены пароля, уведомления об утечке данных, 2FA для повышения безопасности при создании новых экземпляров учетных записей, 256-битное шифрование AES и многое другое.
Автономные инструменты управления паролями
Если ваш проект или организация предпочитают управлять паролями исключительно в автономном режиме, один из вариантов включает менеджер паролей KeePass с открытым исходным кодом. Многие другие опции, позволяющие синхронизировать онлайн, также можно использовать в автономном режиме, поэтому, если важно сохранить ваши данные полностью в автономном режиме или вне общедоступных сетей, вам следует рассмотреть именно эти варианты.
Что делать и чего не делать с паролем
Хакеры стали более умными и продолжают развивать свои стратегии кражи информации о паролях. Таким образом, помимо самих инструментов управления паролями, мы рекомендуем вооружиться правильными знаниями о том, что вам следует делать, и о других вещах, которых вам следует избегать, когда дело доходит до обеспечения безопасности ваших паролей. Вот список того, что нужно и чего нельзя делать с паролями, о котором стоит помнить.
Действия с паролем
- Используйте менеджер паролей и выходите за рамки минимальных требований конкретной службы. Если служба, которую вы используете, допускает длинные пароли длиной более 60, 100 или намного больше символов, воспользуйтесь преимуществами этой дополнительной безопасности.
- Создавайте уникальные пароли для каждой отдельной службы, которую вы используете. Никогда не используйте пароли повторно в какой-либо службе и убедитесь, что каждый из них действительно уникален (т.е. избегайте добавления “!” или номера, чтобы сделать их уникальными, поскольку хакеры могут легко взломать подобные варианты).
- Используйте VPN при использовании общедоступного Wi-Fi и входе в учетные записи, чтобы избежать перехвата вашего пароля.
- Хотя в вашем менеджере паролей будет храниться большинство ваших паролей, существует пара паролей, которые вам следует избегать хранить где-либо в Интернете, – это
1) пароль для вашего реального менеджера паролей
2) пароль для вашего персонального компьютера и мобильного устройства.
Что касается паролей, которые вы не можете хранить в Интернете, рассмотрите возможность их разделения и хранения в отдельных местах. Например, половина пароля может храниться в одном месте в сейфе, а другая половина – в отдельном месте – как с использованием огнестойкого, так и водостойкого материала. Также убедитесь, что копии хранятся в надежном месте.
Обучите всех пользователей конфиденциальной информации в вашей организации правильному управлению паролями.
Пароль не требуется! НЕ делайте этого с вашим паролем
- Не делитесь своим паролем. Даже если вас попросит об этом служба технической поддержки сервиса, который вы используете. Ни одна служба обычно не запрашивает эту информацию, и это может быть реальной попыткой фишинга.
- Не делитесь своей информацией на веб-сайтах, которые не используют HTTPS.
- Не отправляйте свой пароль по смс или электронной почте.
- Не используйте электронные таблицы и незащищенные рукописные заметки для хранения паролей.
- Не используйте что-нибудь слишком очевидное, например дни рождения, имена членов семьи, ваш адрес электронной почты, отдельные слова или очевидную последовательность цифр.
- Не делитесь своей стратегией управления паролями с людьми, которым эта информация не нужна, и это может включать людей из вашей организации.
Постарайтесь запомнить слишком много паролей и сделайте безопасную резервную копию всех важных паролей.
Сделайте управление паролями еще безопаснее
Безопасный пароль, который надежно хранится и синхронизируется, является важным шагом в вашей общей стратегии информационной безопасности. Но, можно повысить свою безопасность еще на шаг, используя приложения для многофакторной аутентификации, такие как Google Authenticator и Authy, аппаратные средства OTP, такие как Yubikey, и расширение Google password alert для Chrome.
Правильное управление паролями и обеспечение безопасности ваших паролей является ключевым элементом информационной безопасности и защиты ваших данных от несанкционированных пользователей.