Пожалуйста, прекратите использовать плохие пароли

Вы больше, чем точка данных. Функция отказа здесь, чтобы помочь вам вернуть вашу конфиденциальность.

ВАШИ ПАРОЛИ вероятно, ужасны, и вам нужно сделать их сильнее. Да, мы знаем, что нет ничего более раздражающего, чем мозговой штурм новых учетных данных каждый раз, когда вам нужно выполнить малейшую задачу, но это один из наиболее практичных способов не допустить хакеров и других злоумышленников в ваш бизнес.

Технологические компании, журналисты и организации, занимающиеся вопросами кибербезопасности, потратили годы, подчеркивая важность надежных паролей. К сожалению, похоже, что отдача была небольшой. Отчет менеджера по учетным данным NordPass за 2022 год действительно смущает: в качестве трех значений указаны «пароль», «123456» и «123456789». самые распространенные пароли. Дальше ситуация не становится лучше: «Пароль1» занимает 192-е место.

Стоит отметить, что технологическая индустрия потратила десятилетия на то, чтобы представить мир без паролейа некоторые компании уже предлагают варианты обхода или полного отказа от этого типа аутентификации. Но пока пароли остаются основным способом доступа к нашим данным, нам необходимо улучшить нашу игру, чтобы должным образом защитить нашу информацию и деньги.

Что такое надежный пароль и почему его так сложно создать?

В своих попытках получить доступ к вашим учетным записям злоумышленники могут попытаться использовать такие методы, как угадывающие атаки. Существует несколько вариантов этого подхода, но все они работают одинаково: взять ключ (известный общий пароль или личные учетные данные, утекшие в сеть) и посмотреть, сколько дверей он откроет.

(По теме: Почему правительственные учреждения продолжают подвергаться взломам)

Конечно, злоумышленники стремятся к эффективности, поэтому они не печатают где-то вручную на ноутбуке. Например, они используют программное обеспечение для автоматической проверки каждой записи в общем словаре паролей или используют информацию об известных утечках данных для проверки утечек паролей и/или их потенциальных итераций. Это связано с тем, что люди не обновляют свои пароли так часто, как следовало бы (они делают это один или два раза в год вместо рекомендуется каждые три месяца), и когда они это делают, они имеют тенденцию вносить лишь незначительные изменения тем, которые у них уже есть.

Вот почему надежные пароли уникальны, длинны и дополнены специальными символами, такими как знаки препинания, цифры и заглавные буквы. Когда мы говорим «уникальный», мы имеем в виду слова, которых вы не найдете в словаре. Распространенные или известные имена также исключены — чем оригинальнее пароль, тем лучше. Длина пароля и использование специальных символов увеличивают вероятность того, что он действительно уникален. Это просто математика: чем больше количество и разнообразие символов вы используете в своих учетных данных, тем больше возможных комбинаций и тем труднее их будет угадать.

Многие люди придумывают собственный секретный код для создания паролей, используя легко запоминающиеся фразы из песен, стихов и фильмов. Классический подход — заменить буквы цифрами (например, 4 вместо А и 0 вместо О) и чередовать прописные и строчные буквы. Если вы это делаете, то вы на правильном пути, но на самом деле вам нужно еще больше усложнить личную криптографию, чтобы по-настоящему повысить безопасность ваших паролей. Мы не будем рассказывать вам, как мы шифруем наши учетные данные, но вы можете создать свою собственную письменность или алфавит, заменяя буквы другими символами. Просто имейте в виду, что Клингонский был построен из полной тарабарщинытак что нет предела.

Естественно, цена дополнительной сложности — это более высокая когнитивная нагрузка. Это означает, что чем дальше пароль от слова или фразы, которые вы обычно используете, тем сложнее вам его запомнить. Это как бы сложно, но если учесть, что средний человек имеет около 100 онлайн-аккаунтоввозможность запомнить все эти закодированные уникальные пароли резко исчезает.

Помогите нам помочь вам

Менеджеры паролей. Вот и все, думаете вы, вот и решение. Теоретически это так. Эти автономные приложения, загружаемые расширения и встроенные утилиты браузера обладают тремя основными функциями: предлагать надежные пароли, надежно их хранить и запоминать их всякий раз, когда вы посещаете веб-сайт, на котором у вас есть учетная запись.

По сути, эти инструменты позволяют нам исключить всю проблему с учетными данными из нашей жизни на аутсорсинг при условии, что мы помним один хороший мастер-пароль или имеем другой тип ключа аутентификации, например отпечаток пальца. И это работает. В зависимости от полученного вами менеджера паролей вы найдете такие функции, как хороший дизайн, синхронизация между устройствами и возможность выбирать время автозаполнения полей.

Но менеджеры паролей не идеальны, и то, что делает их удобными, также делает их невероятно привлекательной целью для хакеров. В конце концов, пресловутая корзина, в которой хранятся все ваши яйца кибербезопасности, — это очень много: крипы могут взломать одну учетную запись и бесплатно забрать все ваши учетные данные. Такие компании, как NordPass, KeyPass, 1Password и другие, приняли дополнительные меры предосторожности для защиты своих приложений, включив такие функции, как постоянный выход из системы и уникальные одноразовые коды на случай, если вы потеряете доступ к своей учетной записи.

(Связано: Как начать использовать менеджер паролей)

Однако иногда этих мер оказывается недостаточно. В декабре 2022 года LastPass, еще один популярный менеджер паролей, сообщил о нарушение безопасности включая имена пользователей, номера телефонов, адреса электронной почты и платежную информацию. Как будто этого было недостаточно, антикризисное управление компании на тот момент отсутствовалои он раскрыл только подробную информацию о взломе и о том, какие шаги следует предпринять клиентам в сообщение в блоге опубликовано более двух месяцев спустя.

Помимо нарушений, некоторые функции менеджеров паролей, как правило, небезопасны. В обзоре 2020 года исследователи из Лаборатории пользователей Университета Теннесси, Ноксвилл, упомянул автозаполнение как один из тон больше всего беспокоит. Это особенно актуально, когда менеджеры паролей автоматически вводят учетные данные без участия пользователя. В атаки с использованием межсайтового скриптинга (XSS)хакеры внедряют вредоносные сценарии в код веб-сайта, чтобы украсть пароль, как только будут заполнены нужные поля. «Если менеджер паролей автоматически заполняет пароли без предварительного запроса пользователя, то пароль пользователя будет тайно украден просто при посещении взломанного веб-сайта», — объясняют авторы исследования Шон Оеш и Скотт Руоти.

Вероятность успешной XSS-атаки варьируется в зависимости от таких факторов, как использование сайтом безопасного соединения (например, HTTPS). Но всегда лучше выбрать менеджер паролей, который либо требует взаимодействия с пользователем для автозаполнения, либо позволяет вручную отключить эту функцию. Большинство менеджеров паролей на основе браузера не требуют взаимодействия с пользователем перед вводом учетных данных, но есть некоторые исключения. Mozilla Firefox автоматически заполняет поля по умолчанию, но вы можете отключить эту функцию, нажав кнопку меню воспроизведения (три строки), иду к Настройки, Конфиденциальность и безопасностьи прокрутив вниз до Логины и пароли. Как только вы окажетесь там, снимите флажок рядом с Автозаполнение логинов и паролей. Еще более простое решение — использовать Safari от Apple, который всегда требует ввода данных пользователем для автозаполнения. Если вы используете ПК или не хотите переключать браузеры, исследование показало, что браузерное расширение популярного Приложение 1Пароль также потребуется щелчок, прежде чем он раскроет вашу информацию.

Пейте воду, наносите солнцезащитный крем и включите многофакторную аутентификацию.

Здоровые привычки ведут к улучшению жизни, а когда дело касается вашей жизни в Интернете, использование многофакторной аутентификации — это настоящая забота о себе.

Эта теперь практически повсеместная функция представляет собой дополнительный уровень безопасности, который предотвращает доступ виртуальных хакеров к вашим учетным записям, даже если у них есть правильные учетные данные. Это означает, что даже если ваши пароли утекут в Интернет, люди не смогут их использовать, если у них нет дополнительной формы проверки, такой как текстовое сообщение, отправленное непосредственно на ваш телефон, код, сгенерированный приложением, подсказка. на другом устройстве или биометрическом элементе, таком как отпечаток пальца или лицо.

Какие и сколько из них вы будете использовать, будет зависеть от уровня безопасности, который вы хотите обеспечить для своей учетной записи, и от того, что для вас наиболее практично. Имейте в виду, что чем больше методов вы включите, тем больше будет способов получить доступ к вашей учетной записи. Это не очень безопасно, но может иметь смысл, если вы, скажем, регулярно теряете свой телефон или блокируете свои учетные записи.

(Связано: Как продолжать бесплатно использовать двухфакторную аутентификацию в Твиттере)

Просто знайте, что хотя большинство современных платформ предлагают тот или иной вид многофакторной аутентификации, вы не всегда найдете каждый тип. Наиболее распространенным вариантом является аутентификация с помощью кода, отправленного в текстовом SMS-сообщении, за которым следует аутентификация с помощью приложений, генерирующих код. По сути, это одно и то же, но последний метод использует для доставки кода Интернет, а не телефонные сети. Стоит обратить внимание на этот текст сообщения, проходящие через электромагнитный спектр, могут быть перехваченыПо словам Руоти, низкие стандарты, которые используют телекоммуникационные компании США при аутентификации пользователей, позволяют перенести чей-то номер телефона на SIM-карту и получить коды аутентификации на ваше устройство. Если вас это беспокоит, вы можете выбрать более сложные альтернативы, такие как ключи безопасности. Они работают точно так же, как ваши домашние ключи — просто подключите их к USB-порту вашего гаджета, когда появится соответствующий запрос, и все готово. У нас есть целое руководство, посвященное исключительно тому, чтобы помочь вам выбрать лучший для вас метод многофакторной аутентификации, если вы хотите глубоко изучить свои варианты.

Но даже если некоторые подходы лучше других, всегда будет верно одно: любая многофакторная аутентификация лучше, чем ее отсутствие. Поэтому, если у вас есть телефон, было бы неплохо настроить коды SMS на случай, если новое устройство попытается получить доступ к вашей учетной записи. Просто обязательно отключите возможность предварительного просмотра содержимого сообщения на экране блокировки или кто-то может использовать ваши коды, просто украв ваш телефон. На Android это можно сделать, перейдя в Настройки, Уведомленияи выключив Деликатные уведомления под Конфиденциальность. На iOS откройте Настройкииди в Уведомлениякран Показать превьюи выберите Никогда. Если вы хотите видеть предварительный просмотр менее конфиденциальных уведомлений на своем iPhone, вместо этого вы можете отключить предварительный просмотр для отдельных приложений. Если вы получаете коды, например, через приложение «Сообщения», откройте Настройкииди в Уведомлениякран Сообщениянаходить Показать превьюи выберите Никогда.

Пусть это станет тем знаком, которого вы ждали, чтобы собраться с силами, когда дело доходит до онлайн-безопасности. Не ждите генеральной уборки; не ждите, пока придет время принимать новогодние обещания — сделайте это сейчас. Не включайте свои учетные данные в список худших паролей 2023 года. Это список, который вы не хотите составлять.

Теперь приступайте к смене этих паролей. Мы рады, что у нас состоялся этот разговор.