Работа с паролями: как защитить свои учетные записи (мнения специалистов)

    Недавно стало известно об «уязвимости» в системе для корпоративных клиентов такси-сервиса Gett. Как выяснили исследователи, всем им по умолчанию выдавались одинаковые пароли (естественно, многие из них никто потом не меняет). В итоге, зная один пароль, злоумышленники могли попасть в множество аккаунтов сразу (среди клиентов Google Россия, «Вконтакте», Ozon и другие компании).



    Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно — только за прошедшие пару лет в сеть утекали пароли пользователей таких крупных компаний, как Adobe, популярных почтовых сервисов, хакеры взламывали даже сами сервисы для хранения паролей. Исследования также показали, что одними из главных проблем безопасности онлайн-банков являются авторизация и аутентификация.

    Чтобы повысить уровень защищенности своих пользователей, многие компании публикуют советы о том, как можно обезопасить свои учетные записи (вот пост «Яндекса» на Хабре и материал стартапа Buffer или специальные страницы Microsoft и Google). Создатели популярных комиксов XKCD посвятили один из выпусков вопросам парольной защиты:



    Мы решили опросить представителей ИТ-компаний, чтобы узнать, как они работают с паролями и каким из рекомендаций по обеспечению безопасности следуют сами:

    Алексей Шевелев (@Boomburum), менеджер проектов компании «Тематические Медиа»

    Сейчас использую 1password — нравится, что есть клиент для смартфона, планшета и нуотбука. Удобно и красиво, вроде даже безопасно. Внутри всё аккуратно разложено и заполнено, иногда меняю пароли на всех записях — дело муторное, но того стоит. Чаще всего использую генератор паролей, который генерирует длинные сложные пароли. Собственно, давно отказался от лёгких паролей.

    На айфоне до недавнего времени работал TouchID, который перестал работать после замены кнопки — пришлось перейти на обычный пароль. Там можно использовать простой 4-значный код из цифр или более сложный (с буквами). Если же включить сложный пароль и использовать в коде только цифры, например, 137900 (6 цифр), то вместо qwerty-клавиатуры будет всё равно цифровая — это и удобно и более безопасно (6 цифр сложнее подобрать чем 4). Впрочем, в новой версии iOS вроде можно использовать более длинные коды.


    Аркадий Прокудин, эксперт по информационной безопасности, автор и ведущий подкаста «Открытая безопасность»

    Для создания паролей я использую два метода и никаких программных продуктов.
    Первый — это старая школа: malen'kaya latinica+BOL'WAYA+спецсимволы@&)+цифры135

    Такой пароль сложно запомнить. Но если найти в быту какую-нибудь замысловатую комбинацию, будет проще. Например: MicrosoftSilverlightBeta3.5a, Nokia3310, и т.д.

    Второй метод: использовать в качестве пароля, строку одного из стихотворений в английской раскладке. Например «В траве сидел кузнечик» — D nhfdt cbltk repytxbr/.


    Григорий Матвиевич, ведущий iOS-разработчик Redmadrobot

    Сколько об этом ни говорят, но большинство людей использует совсем слабые пароли: qwerty, 12345, 11111. Часть людей усложняют пароли — составляют их из двух слов, добавляют цифры. Но на самом деле это не добавляет сильной стойкости. Все они достаточно быстро перебираются на современных вычислительных мощностях. Есть программы и алгоритмы, есть словари. Сильный пароль должен быть длинным, «случайным», содержать в себе буквы разного регистра, цифры и, желательно, символы.

    Для сложного пароля я обычно придумываю какую-нибудь бессмысленную фразу или стишок: «рыба трактор 33 йогурт насос», и выдираю из каждого слова по букве. Потом запоминаю на каких-либо ассоциациях, и пароль готов. Еще бы я посоветовал иметь несколько паролей, потому что если вы регистрируетесь на каком-нибудь левом сервисе с таким же паролем, как и в вашем интернет-банке, то это может плохо кончиться для вашего кошелька.


    Андрей Прозоров, руководитель экспертного направления в компании Solar Security

    В последние несколько лет я стал слишком ленивым для запоминания паролей. Дело в том, что различных сервисов, на которых я зарегистрировался становится все больше и больше, пароли для них лучше выбирать стойкие (длинные, с цифрами и символами) и уникальные.

    При этом классические идеи типа «используете ассоциативные парольные фразы» уже не работают. Для себя я пришел к использованию специального ПО для хранения и генерации паролей. Я использую клиент 1Password для iPhone, периодически делаю резервную копию.

    Мои пароли сложны и уникальны, а общая база зашифрована. Мне удобно, риски такого хранения считаю минимальными.


    Дмитрий Евтеев, технический директор компании HeadLight Security

    Практика показывает, что большинство пользователей не столь изобретательны в контексте выбора паролей. Как правило пароли содержат имена, даты и иную, близкую человеку информацию из его реальной жизни. В совокупности с тем, что запоминалка у среднестатистического обывателя не слишком велика, большинство пользователей используют 2-3 пароля для всех своих систем, в которых требуется проходить аутентификацию с использованием парольной фразы. В корпоративных системах, где политика безопасности требует регулярной смены пароля также распространена ситуация, при которой люди либо записывают сложные пароли на бумажке и хранят ее поближе к клавиатуре, либо используют какую-то простую логику при создании пароля. Например, добавляют к некоему корню цифры, указывающие на дату смены пароля, или вообще используют счетчик (увеличивая в пароле цифры). В подобных случаях обладая знаниями о предыдущем пароле атакующий может легко определить логику его создания, и весь смысл данного действа в таком случае теряется — злоумышленник сможет каждый раз угадывать новый пароль. Как в случае частных пользователей, так и в корпоративной среде, обычно все пароли привязаны к одному email-аккаунту, взломав который хакер может получить доступ к различным системам и сервисам — наличие подобной чувствительной системы является отдельной проблемой информационной безопасности.

    В целом, пароли — это очень плохо. Я сам каждый день сталкиваюсь с необходимостью помнить множество паролей от множества систем. В этом плане одноразовые пароли, отправляемые, скажем, по SMS — это крайне удобно. Однако и тут существуют свои подводные камни (те же SMS можно перехватить), но сама концепция одноразовых паролей позволяет значительно усложнить реализацию атаки. К сожалению пока не существует возможности привязки какого-то токена к глобальной системе аутентификации (хотя большой брат двигается в этом направлении), чтобы затем уже получать одноразовые пароли и прозрачно проходить авторизацию в большинстве интернет сервисов. При этом в корпоративной среде подобная система легко реализуема, но тут можно уткнуться носом в бюджет, ведь подобная система будет стоить недешево.

    Что касается программ для хранения паролей, то их вполне можно применять, и я сам использую одну бесплатную программулину (не скажу какую) — иначе запомнить все свои пароли я бы просто не смог. При этом я не доверяю облачному софту для хранения паролей — при всем его удобстве в нем могут быть допущены ошибки (что уже было доказано успешными атаками на популярные сервисы), которые в свою очередь могут позволить злоумышленнику стянуть базу паролей всех пользователей и при успешном раскладе звезд узнать мастер-пароль, в таком случае последствия атаки будут крайне интересными… для атакующего.


    Макс Крайнов, CEO Aviasales

    У нас все просто: Roboform / OnePass или аналогичные системы. Пароли, содержащие меньше 16 символов с кучей кракозябр, вообше не рассматривается. Когда передаем пароли в чатах, сразу после подтверждения их стираем. Что касается доступа к данным, то у нас применяется политика need to know basis (доступ к данным, необходимым для работы, и не более — прим. ред.), если человек увольняется — меняем пароли. При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.


    Дмитрий Скляров, старший аналитик Positive Technologies

    Чтобы пароль остался только Вашим секретом, обычно достаточно следовать трем простым правилам:

    • не пытаться придумать короткие легко запоминающиеся пароли;
    • не использовать одинаковые пароли на разных ресурсах;
    • не вводить пароли на компьютерах, которым нельзя доверять.

    Чтобы не запоминать много длинных сложных паролей, можно использовать любой приличный Password Keeper. В нем же можно генерировать случайные пароли заданной стойкости.

    Для защиты базы с паролями придется запомнить один надежный пароль. Как вариант – использовать парольную фразу длиной 20-30 символов.

    Если Password Keeper поддерживает двухфакторную аутентификацию с помощью смарт-карты или USB Security Token – это повышает уровень безопасности и сужает «окно возможностей» для атакующего.

    Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.

    Сейчас многие программы для хранения паролей имеют версии под мобильные операционные системы и предлагают синхронизацию через облако. Это, безусловно, удобно, но удобство почти противоречит безопасности…

    Мой выбор – KeePass на доверенных компьютерах, база защищена длинной парольной фразой. И никаких хранилищ паролей в облаках или на мобильных устройствах.


    А вот, что по теме защите паролей думают зарубежные эксперты:

    Джеспер Йоханссон, главный инженер по ИБ в Amazon

    В некоторых компаниях есть политика безопасности, запрещающая сотрудникам записывать пароли на бумажки. Я считаю, это абсолютно неправильно (это заявление Йоханссон сделал еще будучи сотрудником Microsoft). Все должно быть наоборот — в политике должно быть сказано, что вы должны записывать свой пароль. У меня 68 разных паролей для разных систем. Если мне нельзя будет ничего из этого записать, угадайте, что я сделаю? Я просто буду использовать везде один и тот же пароль.

    До сих пор встречаются системы, которые не дают использовать «нормальные» пароли, поэтому я выберу самый простой и плохой из всех возможных вариантов. В то же время, если записать их на бумажку (и спрятать ее в надежное место), то тут проблем нет. Таким образом можно сохранить больше паролей и сделать их более сильными.


    Брюс Шнайер, эксперт и автор книг по информационной безопасности и криптографии

    Обычно пароль состоит из корня и суффикса. Корень может не обязательно быть словарным словом, но чаще всего, это что-то, что можно произнести, к чему добавляются разные суффиксы (в 90% случаев) или префиксы (в 10% случаев). Программы для подбора паролей используют словари (английский и другие языки), заменяют буквы похожими на них символами ($ вместо s и т.п.). Для подбора паролей может также использоваться информация из адресной книги, важные даты и другие персональные данные.

    Чтобы создать сильный пароль, нужно сделать что-то, что затруднит этот процесс подбора. Я предлагаю использовать предложения, которые превращаются в пароль. Например, «This little piggy went to market» («маленькая хрюшка пошла на рынок») можно сделать что-то типа «tlpWENT2m». Пароль из девяти символов, которого не будет ни в каком словаре. После того, как я его опубликовал, конечно, конкретно этот использовать не надо, но суть ясна.

    Если вы не можете запомнить все свои пароли, то запишите их на бумажке и носите в кошельке. Но писать надо не сам пароль, а исходное предложение, а лучше — какую-то подсказку, которая поможет его вспомнить. Или можно использовать Password Keeper, в этом ничего такого нет, многие не могут запомнить все свои пароли.


    Брайан Кребс, ИБ-исследователь, автор блога Krebs on Security

    Есть несколько советов по созданию сильных паролей, лучше проверить свои пароли на соответствие им. Пароль должен состоять из комбинации слов, чисел, символов и букв в верхнем и нижнем регистре.

    В качестве пароля нельзя использовать свое же имя пользователя или легко угадываемые слова («password»), словарные слова и очевидные комбинации символов («azdzxs»). Также не стоит выбирать пароль на основе данных, которые могут быть не такими уж и конфиденциальными (номер телефона, дата рождения, имена членов семьи).

    Нельзя использовать пароль для электронной почты (если там есть что-то важное) на любом другом сайте. Если кто-то взломает интернет-магазин, где вы делали покупки, то сможет прочесть и ваши письма.

    Раньше я считал, что хранить пароли в записанном где-то виде не стоит. Однако теперь я все же согласем с Брюсом Шнайером в том, что можно хранить пароли в записанном виде, главное, чтобы это был не сам пароль, а нечто, что поможет его вспомнить.

    При использовании Firefox важно включить и настроить мастер-пароль для всех паролей, иначе любой, у кого есть физический доступ к компьютеру, сможет увидеть пароли в plain text, сделав пару кликов. Также есть несколько хороших облачных менеджеров паролей (LastPass, DashLane, 1Password), но если вы не хотите доверять такие данные облаку, то можно воспользоваться локальным менеджером (Roboform, PasswordSafe, Keepass). Главное выбрать сильный мастер пароль, который к тому же потом можно будет вспомнить (если вы его забудете, то тогда начнутся проблемы).

    Only registered users can participate in poll. Log in, please.

    Как вы обеспечиваете безопасность своих учетных записей?

    Positive Technologies
    291.95
    Компания
    Share post

    Comments 35

      +2
      Пользуюсь давно LastPass. Прикрутил к нему двойную аутентификацию по СМС и особо не забиваю голову. Тоже самое (добавочная аутентификация через СМС) прикручена к критичным сервисам почты (что на мэил, что на яндекс, что на гугл). От подбора-похищения пароля никто не застрахован. Так давайте усложним жизнь похитителям. Кстати, стоит проверять сервисы на то как они хранят пароли. Недавно с удивлением узнал, что тот же Озон хранит пароли в открытом виде (и в открытом виде присылает их по почте). И тот же iXBT, например. Для таких лучше пользоваться чем-то сгенеренным, как мне кажется.
        0
        А как прикрутить SMS к Lastpass?
          0
          есть сервисы, с которыми дружит LastPass. Я пользую (и для других вещей, в том числе и RDP публичных серверов) этот www.duosecurity.com. Бесплатного доступа вполне хватает для бытовых нужд.
        +1
        Использую такой подход — sha1(«осмысленная для меня фраза»), первые 12 — 16 символов (для почты, банка и т.д. — больше). Ресурсы делю на группы, для левых каких-нибудь — одна и та же фраза, для более важных — разные для каждого.

        Плюсы:
        — пароль достаточно криптостойкий, причём его можно ввести, наверное, на любом устройстве;
        — даже если пароль узнают, можно легко сделать новый путём добавление к фразе номера (1, 2, etc), причём хэш получится абсолютно другим;
        — если забыл пароль, но помнишь фразу, достаточно любого ЯП с нужной хэш-функцией чтоб его восстановить, причём не нужен доступ к интернету.

        Минусы:
        — сложно запомнить (хотя через некоторое время начинаешь привыкать).
          0
          А как вы поступаете с сервисами, которые требуют спецсимволы, заглавные буквы и т.д.?
            +1
            Делаю первую встретившуюся букву заглавной, в конец добавляю спецсимвол.
          0
          Как верно подметил Д.Скляров, «удобство почти противоречит безопасности», поэтому надо искать разумный компромисс. Подтверждать вход в почту через СМС — лично для меня слишком неудобно. Для входа в онлайн-банкинг — приемлемо. А для всяких не особо важных ресурсов типа регистрации в онлайн-магазине (нужной только для того чтобы не вводить адрес доставки при каждой покупке) — можно пожертвовать безопасностью лишь бы не создавать неудобства. Много лет пользуюсь практически бесплатным менеджером паролей Sticky Password, время от времени рассматриваю альтернативы, но ничего лучше не попадается. Все пароли — длинные (20 знаков и более) сгенерированные, уникальные.
            0
            Использую генератор паролей от Norton через веб-интерфейс. Просто отмечаю все галки, указываю длину в 16 символов. Для каждого сервиса свой пароль. При регистрации на сервисе ввожу сгенерированный пароль, а после вхожу и сохраняю его в хранилище firefox. В итоге я храню в голове только 1 замысловатый пароль от хранилища.
              +4
              Keepass + база в своём инстансе Owncloud. Большинство своих паролей даже не знаю.
                +1
                Эксперт по информационной безопасности рассказал алгоритм создания своих паролей тем самым на несколько порядков уменьшив их безопасность.
                  0
                  Вы предпочитаете Security through obscurity?
                    +2
                    Я предпочитаю здравый смысл. Говорить, что в качестве пароля у тебя строчки из популярных стихов = снизить число комбинаций до перебираемых. Не удивлюсь если это стишок он еще и напевает по пути в буфет.
                    0
                    А вы не рассматриваете версию, что эксперт целенаправленно ввёл вас в заблуждение?
                    0
                    Roboform.
                      +10
                      «Когда передаем пароли в чатах, сразу после подтверждения их стираем.»

                      ОНИ ПЕРЕДАЮТ ПАРОЛИ В ЧАТАХ. В ЧАТАХ, КАРЛ!!!
                      АААААААА!!!
                        +2
                        И они же дальше:

                        «При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.»

                        ИБ разрабатывают топ-менеджеры. Всё, мой день всё…
                          0
                          Я наверное глупый вопрос задам, но всё же.

                          Какой на ваш взгляд самый лучший способ передавать логины-пароли?
                            0
                            Вопрос не ко мне, но ответ, вообще-то, очевиден: либо по почте используя GnuPG (PGP) или SMIME, либо в чатах используя OTR.
                              0
                              передавать постоянные пароли — некоторое безрассудство. Но если такая необходимость есть, то высылаешь зашифрованный архив, а пароль на него высылаешь СМС.
                                +1
                                1. Передавать надо только одноразовый пароль, который меняется при первом входе на ресурс.
                                2. Пароли зло, для всех важных вещей надо второй фактор аутентификации.
                                3. Если передавать, то с явным шифрованием (почты, чата, смс?? и т.д.)
                                0
                                Пароли в чатах? Легко! Use OTR, Luke!
                                А вот без OTR, да ещё и со «стиранием» — это да, бомба.
                                +3
                                А мне сразу вспомнилось

                                Заголовок спойлера
                                XXX: Мишаня, дай мне свой логин/пароль, мне там кое-что сделать надо.
                                YYY: Si6gPw89YJBoh1ap9Gq2
                                XXX: Ты шизанутый параноик. Зачем такие пароли?
                                YYY: Это логин.
                                YYY: Пароль я тебе картинкой ММС-ку пришлю

                                via
                                  0
                                  Супер. У меня подобное.
                                  0
                                  Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.


                                  Вот это всегда смущало в использовании менеджеров паролей. Компрометация всего одного пароля лишает тебя всех паролей сразу.
                                  Кроме того, что вы будете делать, если вам во что бы то ни стало надо проверить почту (зайти в соцсеть и т.п.) в недоверенном окружении? Если бы вы помнили пароль от почты, то рисковали бы только им, потом его можно было бы сменить с доверенного компьютера. В случае Keepass вы рискуете всей базой паролей.
                                    0
                                    С телефона можно ввести пароль в недоверенном окружении, зачем открывать всю базу?
                                      0
                                      Это если вы помните пароль от сайта. Смысл использования менеджеров паролей как раз в том, чтобы не запоминать индивидуальные пароли, а полагаться на один мастер-пароль.
                                        0
                                        Имел в виду, что на телефоне — хранилка паролей, из которой вы и вводите пароль в недоверенном окружении, помня мастер-пароль. То есть, телефон — как внешняя память для мозга. Я вот все пароли запомнить сам не в силах…
                                          0
                                          А, ну свой телефон в кармане не относится к недоверенному окружению. Я имел в виду вариант, когда ничего нет, кроме ссылки на базу паролей в облаке.
                                    0
                                    SuperGenPass для не очень важных сайтов (инет-магазины, соцсети, форумы и т.д.) и индивидуальные ассоциативные фразы для важных (почта, банкинг) типа ,fyrbyuCjCnhfiysvUI (банкингСоСтрашнымUI).

                                    Первый неудобен для мобильных. Русские фразы при английской раскладке еще хуже.
                                      0
                                      Как же надоели сервисы, которые за меня знают каким должен быть мой пароль.

                                      Твой пароль устарел! Смени! Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль, который ты точно вспомнишь нельзя и нет этот же пароль в другой раскладке тоже нельзя… и цифру добавь, нет мне все равно что ты забудешь её когда будешь вводить пароль через неделю… да и символ… и повтори его раза 3 по тому что минимальная длинна на 3 символа больше! <...> А-а-а, привет это ты? давно не виделись, тока пароль свой введи… нет стандартныйпароль не подходит… нет стандартныйпароль в другой раскладке тоже не подходит, нет же стандартныйпароль1, стандартныйпароль2, стандартныйпароль3 и стандартныйпароль123 тоже не катят! И вАще, ты сдня какой-то подозрительный введи-ка капчу. тандартныйпароль8*** не то… нет мне плевать что ты опечатался, вводиещё раз! стандартныйпароль8*** правильно… тока ты в капче ошибся, введи-ка ещё разок! Ура! я рад снова приветсвовать тебе о %username%! Тут эта, подохрительная активность замечена, смени пароль. Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль нельзя…
                                        +3
                                        KeePass в truecrypt контейнере на dropbox :)
                                          +2
                                          Зачем в TrueCrypt? База KeePass уже зашифрована.
                                            0
                                            избыточная паранойя. плюс я в TC контейнере ещё иногда документы довольно важные держу, вроде сканов билетов паспорта, договоры разные и всё такое.
                                              0
                                              В TrueCrypt — hidden part c «ложной» базой паролей, например.
                                            0
                                            Отличная штука, которая устраивает меня полностью. Полная синхронизация устройств и браузеров.
                                            Есть ограничение, которое снимается если вы пригласили 5 друзей, которые тоже установили этот плагин, и у вас включается PasswordBox Premium Plan — бесплатно, и никаких ограничений.

                                            https://www.passwordbox.com/ru/

                                            Only users with full accounts can post comments. Log in, please.