Пароли

Мы начнем с того, как люди сегодня хранят пароли (и это массово и не однократно наблюдаемо) и автор сам не исключение и опробывал большинство из ниже приведенного и закончим тем, как же стоит хранить их.

И так, что делают люди для хранения паролей:

• Используют и запоминают один-два-три пароля для всего возможного (иногда даже сверх сложный пароль)
• Придумывают алгоритм запоминания (для примера: имя сайта + логин + комбинация символов)
• Записывают на стикер или в блокнот
• В блокноте на рабочем столе
• Запароленный Excel файл
• Запоминают все пароли (вы человек дождя)

Все эти способы несут за собой ряд угроз, и вы, как человек думаете «ну, я отвечаю за себя, и готов нести все риски» и предположим, что вы действительно готовы помнить пароль безопасно, но под угрозу можете попасть не вы, а скажем сервис который предоставляет вам угрозу (он может хранить в открытом тексте в своей базе пароли, база утекает).

Если у вас один пароль для всего — то один уязвимый сервис и все пропало.

Когда у вас есть алгоритм, то обычно его зрительно видно, когда пароль уйдет с 2-3 сайтов. Иногда алгоритмы дают сбой (изменился на пример логин на номер телефона).

Запись на стикер — хорошо, когда у вас всего один ресурс которым вы пользуетесь, но при условии что ваш стикер никто не увидит.

С блокнотом возникает проблема в том, что у вас всегда он должен быть с собой, в него не должно быть возможности подсмотреть и вы его не должны терять.

Запоминать все пароли — возможно будет лучшим способом (при условии что вы не передаете пароли) и при смене пароля вы всегда помните каждый новый пароль, но таких людей на свете не очень много.

Простой файлик с паролями — в случае уязвимости компьютера отправит открытым текстом все ваши пароли злоумышленнику. В дополнение к этому, вам будет нужен генератор случайных паролей (человек не способен генерировать действительно случайные последовательности).

Запароленный архив с паролями или Word/Excel-файл уже чуть лучше, но при открытии файла, пароль может быть увиден третьими лицами, осложняется возможность использовать на нескольких устройствах и есть вероятность взлома пароля к вашему файлу.

А сколько должно быть паролей?

По возможности: один ресурс — один пароль. Пароль существует в единственном виде среди всех остальных паролей в мире.

При компрометации конкретного сервиса (сайта), вы получаете проблемы только на данном ресурсе.

Но мы не человек дождя, и пароль нужно запоминать, поэтому используется специально программное обеспечение именуемое менеджером паролей.

Менеджер паролей

Менеджер паролей, это программа которая хранит все ваши пароли, вам в свою очередь необходимо помнить только один мастер пароль, который даст доступ ко всем остальным. Его мы запоминаем и нигде не записываем. Менеджер паролей в свою очередь хранит в зашифрованном состоянии все ваши пароли.

В случае с менеджером паролей стоит позаботится о резервной копии ваших паролей (даже если они хранятся в облаках или у того, кто предоставляем вам данный сервис).

Каким менеджером паролей пользоваться — выбор за вами, это может быть и стандартный от Apple в iCloud (уже лучше, чем один пароль на все) или скажем встроенный в браузер.

Но вопрос выбора – это вопрос ваших личных предпочтений и удобства в использовании и не более того. Если не знаете, что выбрать, то ищем сравнения тех или иных программ, ставим и смотрим зашло оно вам или нет (многие платные продукты предлагают тестовый период). Поставили, вносим туда пароль условно от своей почты, и чего-то ещё и наблюдаем на сколько удобно понятно и готовы вы на него тратить финансы или воспользоваться иным бесплатным.

На что стоит обратить внимание при выборе программы:

• Возможность делать резервные копии. Не важно храните вы пароли локально, в дропбоксе, айклауде или в облаке менеджера паролей. Резервное копирование должно происходить автоматически (в какой-то момент вы забудете их делать). Не стоит полагаться, на облако которое дает автор программы. У всех может случится поломка и будет обидно потерять свои пароли. Стоит попробовать сделать копию и вынуть из неё пароли.
• Пароли должны хранится в зашифрованном виде и не быть доступны без ввода мастер пароля и не доступны

Типы паролей

Можно выделить несколько видов паролей и их использование:

• пин-коды, пароль который вводится на пример с клавиатуры телефона. При выборе пин-кода, всегда полагаемся на предлагаемый менеджером (никакие даты, номера документов использовать не стоит). Число символов выбираем максимальное возможное предлагаемое сервисом. Тут вы влиять мало на что можете.
• Если для ввода пин-кода используется телефонная панель, то можно использовать мнемоническую фразу или слово по цифрам на панели. Данный вариант имеет некоторые минусы, но позволяет проще запомнить код (подробнее что это в википедии)
• случайный пароль — в целом вы получаете скажем набор случайных букв/цифр и символов. Пароль из 16 символов сегодня устойчив к взлому. Вариант становится не очень, когда вам нужно ввести его с джойстика или пульта ТВ (правильные сервисы предлагают на сайте ввести код с экрана в личном кабинете и автоматом авторизуют, но так делают далеко не все).
• парольные фразы — по сути это генерируются слова и записываются через некий разделитель. Разделителем может быть и определенный символ (скажем тире или точка, или любой другой), так и случайный символ (даже цифра), сами слова могут быть как полными, так и скажем случайно обрезанными. Слова могут быть написанны, как строчными буквами, так и заглавными в случайном порядке. В результате получается достаточно большой словарь и взломать такой пароль не менее реально, чем сложный пароль. Но при этом набирать его руками значительно проще, чем пароль из случайных символов (держите в голове одно слово и печатаете его).
• Биометрические пароли — отпечаток пальца / FaceID / радужка глаза и т. п. Как правило мы этими сервисами не пользуемся, но остается не большая, но вероятность ложного срабатывания и срабатывание против вашей воли (ребенок прикладывает палец спящего родителя к телефону, сотрудник гос служб настоятельно просит посмотреть в телефон). Данный вид пароля не хранится в вашем менеджере паролей, но может использоваться для доступу к нему (вместо пароля).

Второй фактор (2FA)

Не менее важной опцией сегодня является наличие двух факторной авторизации. Суть которой заключается в том, что когда введя пароль, сервис вас попросит подтвердить, что вы это действительно вы, дополнительным способом:

• отправив вам SMS/push уведомление/сообщение в месседжер или на почту
• сообщение с просьбой подтвердить вход в уже установленном приложении
• сообщением непосредственно на самом устройстве
• через одноразовый пароль (пароль генерируется каждые 30 секунд и обычно принимается приложением от 1 до 5 минут), часто бывает встроен в менеджер паролей или является отдельным приложением.
• физический токен — обычно требуется необходимостью установки дополнительного ПО.

У каждого из способов есть свои плюсы и минусы, сейчас не будем об этом, но любой из способов не даст гарантированной защиты, и иногда может наоборот оказать помощь во взломе (скажем вы утратили телефон, а сервис предлагает восстановить пароль через СМС).

Одноразовые пароли могут автоматически копироваться в буфер обмена если вы используете автозаполнение на сайте.

Кому я нужен?

Наверное это самая часто слышимая фраза при нежелании использовать менеджер паролей. Да, нужно принять некое усилие чтоб начать им пользоваться.

Но не стоит забывать, что современные менеджеры паролей, могут знать, что ваш пароль содержится в базе утечек, сайт которым вы пользовались был взломан, после смены на нем вами пароля, а другой сайт, позволяет включить 2FA.

Не нужно думать, что я никому не нужен, и меня никто ломать не будет. Сам взлом зачастую идет без целинаправленной атаки. Просто идет атака на всех подряд, и кто попадет под неё — тот попадет. Думать, про то, что вы никому не нужны и кто вам будет ломать за ваши 100 руб на карте? взломают и без намерения взламывать вас.

Предположим, что вы не пользуетесь онлайн банками. Вам не жалко будет когда у вас утянут ваш инстаграмм/фейсбук аккаунт. И вообще живем, как живем.

Но давайте вспомним, когда вы последний раз получали сообщение:

и следом «аккаунт был заблокирован». Но следующий раз сообщение «друг, помоги» может внезапно отправится от вашего имени, и денег даже переведут (но не вам), и что дальше? вы будете возвращать «одолженные» (не вами), не будете отдавать или говорить «сам дурак, что повелся»?