Как выбрать пароль? Эксперты по кибербезопасности дали 7 рекомендаций

Что делает пароль надежным с точки зрения современных требований кибербезопасности? Сколько символов в нем должно быть и как часто нужно менять пароль? Специалисты по кибербезопасности Национального института стандартов и технологий США (NIST) дали 7 рекомендаций, которые следует соблюдать, если вы не хотите, чтобы однажды ваши аккаунты кто-то взломал.

Согласно руководству NIST «Основы кибербезопасности», существует четкий набор инструкций для безопасного использования паролей. Среди них следует выделить 7 основных советов и правил.

1. Убедитесь, что все ваши пароли достаточно надежны

Что делает пароль надежным? То, что он достаточно длинный – не менее 15 символов. При желании вы можете увеличить его до 64 символов, поскольку это общепринятая максимальная длина пароля.

Пароль должен быть произвольным, содержать в себе прописные и строчные буквы, цифры и символы. В нем не должно быть ни одной части вашего имени или названия компании, где вы работаете.

Все эксперты согласны в одном: длина пароля является важнейшим фактором безопасности. Анализы баз данных сломанных паролей показывают, что более длинный пароль намного важнее, чем пытаться сделать его сложным.

Парольные фразы, состоящие из трех или более не связанных слов, разделенных символами и цифрами, также могут быть эффективными.

2. Используйте менеджер паролей

Обычный человек имеет десятки паролей. Если вы ведете активную онлайн-жизнь, у вас могут быть сотни аккаунтов. Ни один человек не может запомнить даже несколько длинных, случайных, уникальных паролей. И вам это не нужно делать! Просто установите менеджер паролей на каждое устройство и разрешите ему создавать длинные уникальные пароли, которые невозможно угадать. Храните эти пароли в безопасном зашифрованном месте.

Технически бумажный блокнот с ручкой отвечает всем этим требованиям, хотя и здесь могут возникнуть проблемы, если вы его потеряете. Но программный менеджер паролей выполняет задачу намного лучше: он мгновенно создает действительно случайные пароли, сохраняет ваши учетные данные в зашифрованной базе данных и синхронизирует все на нескольких устройствах.

3. Никогда не используйте пароль повторно

У многих из нас есть любимый набор учетных данных (имя пользователя и пароль), который можно повторно использовать на нескольких сайтах. Да, это облегчает запоминание, но это также гарантирует, что взлом данных на одном сайте предоставит злоумышленникам доступ ко всем вашим аккаунтам, которые они, в свою очередь, попытаются использовать на других сайтах.

Менеджер паролей должен помечать повторно использованные пароли и предлагать надежные уникальные замены.

Обратите внимание: простое добавление восклицательного знака или цифры в конце вашего старого пароля не считается созданием нового пароля. Равно как и создание нового варианта одного из ваших часто используемых паролей.

4. Избегайте подсказок пароля

Идея подсказки к паролю состоит в том, что она состоит из какого-то слова, имени или даты, имеющих для вас значение. По определению такой пароль легко угадать, а добавление подсказки к паролю лишь упрощает работу хакеров.

Эксперты из NIST советуют: ни в коем случае не используйте подсказки проверки подлинности на основе знаний (например, «Как звали ваше первое животное?») или контрольные вопросы.

Лучшая подсказка по паролю состоит из четырех слов: «Проверьте свой менеджер паролей».

5. Измените пароли по умолчанию

Один из самых коварных способов злоумышленников проникнуть в домашнюю или рабочую сеть – это пройти через устройство в этой сети, используя уязвимые места в его интерфейсе управления. Это может быть, например, ваш маршрутизатор Wi-Fi с паролем по умолчанию, которым часто бывает обычное слово Password. Если у вас есть подобные проблемы, замените эти пароли по умолчанию более надежными учетными данными.

6. Используйте многофакторную аутентификацию, если это возможно

Независимо от того, как надежно вы создадите свои пароли и как старательно будете пытаться защитить их от взлома, всякое может случиться. Самая эффективная защита, безусловно, заключается в том, чтобы никто не мог войти в ваши аккаунты на новом устройстве, если они не могут пройти вторую форму идентификации. В идеале это должна быть программа проверки подлинности на вашем устройстве. (Коды, отправленные на ваш телефон с помощью SMS, являются приемлемым вариантом, но есть риск, что их могут перехватить хакеры).

Вам не обязательно использовать 2FA для всех сайтов, но вы должны настаивать на втором факторе для важных сервисов, таких как электронная почта, мессенджеры, социальные сети, банковские счета и биржи для трейдинга.

7. Не меняйте свои пароли, если это не нужно

Эксперты сходятся во мнении, что регулярно менять пароли нет необходимости. На самом деле организации, требующие от пользователей изменять пароль без причины, фактически делают свои сети менее безопасными.

Почему? Потому что люди, которые вынуждены регулярно менять пароли, скорее всего, выберут слабые пароли. Если вы хорошо поработали над выбором надежного и уникального пароля, при обычных обстоятельствах его не нужно менять.

Итак, когда вам следует изменять пароль? Очевидно, это нужно делать, если он неприемлемо слаб или является дубликатом другого пароля — того, который вы уже используете в другом месте.

Тем не менее, если ваш IT-отдел или онлайн-сервис настаивает на принудительном изменении пароля, вы должны делать, как они говорят. Просто позвольте своему менеджеру паролей создать самый длинный и надежный пароль, отвечающий их требованиям.