Як правильно обрати пароль? Експерти з кібербезпеки дають 7 рекомендацій

Що робить пароль надійним з точки зору сучасних вимог кібербезпеки? Скільки символів у ньому має бути і як часто треба міняти пароль? Спеціалісти з кібербезпеки Національного інституту стандартів і технологій США (NIST) дають експертні поради.

Згідно рекомендацій, викладених у посібнику NIST «Основи кібербезпеки», існує чіткий набір інструкцій для безпечного використання паролів. Серед них варто виділити 7 основних порад та правил.

1. Переконайтеся, що всі ваші паролі достатньо надійні

Що робить пароль надійним? Те, що він достатньо довгий – щонайменше 15 символів. При бажанні ви можете подовжити його до 64 символів, оскільки це загальноприйнятна максимальною довжиною пароля.

Пароль має бути довільним, зістити великі і малі літери, цифри і символи, яких немає в словнику. У ньому не повинно бути жодної частини вашого імені чи назви компанії, де ви працюєте.

З усіх рекомендацій експерти погоджуються в одному: довжина пароля є найважливішим фактором безпеки. Нещодавні аналізи баз даних зламаних паролів показують, що мати довший пароль набагато важливіше, ніж намагатися зробити його складним.

Парольні фрази, що складаються з трьох або більше не пов’язаних слів, розділених символами та цифрами, також можуть бути ефективними.

2. Використовуйте менеджер паролів

Звичайна людина має десятки паролів. Якщо ви ведете активне онлайн-життя, у вас можуть бути сотні акаунтів. Жодна людина не може запам’ятати навіть кілька довгих, випадкових, унікальних паролів. І вам цього не треба робити! Просто встановіть менеджер паролів на кожен пристрій і дозвольте йому створювати довгі унікальні паролі, які неможливо вгадати. Зберігайте ці паролі в безпечному зашифрованому місці.

Технічно паперовий блокнот з ручкою цілком відповідає таким вимогам, хоча й тут можуть виникнути проблеми. Програмний менеджер паролів виконує цю задачу набагато більше: він миттєво створює справді випадкові паролі, зберігає ваші облікові дані в зашифрованій базі даних і синхронізує все на кількох пристроях.

3. Ніколи не використовуйте пароль повторно

Багато хто з нас має улюблений набір облікових даних (ім’я користувача та пароль), який можна повторно використовувати на кількох сайтах. Так, це полегшує запам’ятовування, але це також гарантує, що порушення даних на одному сайті надасть зловмисникам доступ до всіх ваших облікових даних, які вони, у свою чергу, спробують використати на інших сайтах.

Менеджер паролів повинен позначати повторно використані паролі та пропонувати створити надійні унікальні заміни.

Зверніть увагу: просте додавання знака оклику або цифри в кінці вашого старого пароля не вважається створенням нового пароля. Так само як і створення нового варіанту одного з ваших часто використовуваних паролів.

4. Уникайте підказок пароля

Ідея підказки до пароля полягає в тому, що вона складається з якогось слова, імені чи дати, які мають для вас значення. За визначенням, такий пароль легко вгадати, а додавання підказки до пароля спрощує роботу хакерів. 

Експерти з NIST радять: у жодному разі не використовуйте підказки автентифікації на основі знань (наприклад, «Як звали вашу першу тварину?») або контрольні запитання.

Найкраща підказка щодо пароля складається з чотирьох слів: «Перевірте свій менеджер паролів».

5. Змініть паролі за замовчуванням

Один із найпідступніших способів зловмисників проникнути в домашню чи робочу мережу – це пройти через пристрій у цій мережі, використовуючи вразливі місця в його інтерфейсі керування. Це може бути, наприклад, ваш маршрутизатор Wi-Fi з паролем за замовчуванням, який часто виявляється словом Password. Якщо у вас є подібні проблеми, замініть ці паролі за умовчанням на більш надійні облікові дані.

6. Використовуйте багатофакторну автентифікацію, коли це можливо

Незалежно від того, наскільки надійними ви створите свої паролі та як старанно будете намагатись захистити їх від злому, все може трапитись. Найефективніший захист, безумовно, полягає в тому, щоб ніхто не міг увійти у ваші облікові записи на новому пристрої, якщо вони не можуть пройти другу форму ідентифікації. В ідеалі це має бути програма автентифікації на вашому пристрої. (Коди, надіслані на ваш телефон за допомогою SMS, є прийнятним варіантом, але є ризик, що їх можуть перехопити хакери).

Вам не обов’язково використовувати 2FA для всіх речей, але ви повинні наполягати на другому факторі для важливих сервісів, таких як електронна пошта, месенджери, соціальні мережі, банківські рахунки та інші фінансові сервіси.

7. Не змінюйте свої паролі, якщо це не потрібно

Експерти сходяться на думці, що регулярно змінювати паролі немає необхідності. Насправді організації, які вимагають від користувачів змінювати пароль без причини, фактично роблять свої мережі менш безпечними.

Чому? Тому що люди, які змушені регулярно змінювати паролі, швидше за все, виберуть слабкі паролі, які легко вгадати. Якщо ви добре попрацювали над вибором надійного й унікального пароля, за звичайних обставин його не потрібно змінювати.

Отже, коли вам слід змінювати пароль? Очевидно, це треба робити, якщо він неприйнятно слабкий або якщо є дублікатом іншого пароля — того, який ви використовуєте в іншому місці. 

Тим не менш, якщо ваш ІТ-відділ або онлайн-сервіс наполягає на примусовій зміні пароля, ви повинні робити, як вони кажуть. Просто дозвольте своєму менеджеру паролів створити найдовший і найнадійніший пароль, який відповідає їхнім вимогам.