1. Главное – длина, а не сложность пароля
«Более длинный пароль обычно надежнее пароля со случайной комбинацией символов, если его длина не меньше 12-15 знаков», — утверждает Марк Бернетт, автор книги «Идеальные пароли».
На самом деле, более длинный пароль, состоящий только из строчных букв, может быть безопаснее, чем замысловатый набор из букв и цифр. «Чаще всего все это разнообразие символов, в том числе использование заглавных букв, цифр и специальных знаков, можно заменить, просто сделав пароль на два символа длиннее», — говорит Бернетт.
Иными словами, время, которое вы бы потратили на придание своему паролю сходства с ругательствами моряка Попая, гораздо лучше потратить на то, чтобы ввести еще пару старых добрых букв (запомнить которые будет легче).
2. Сохраняйте необычность пароля
Предыдущий совет не значит, что пароль «111111111111111» решит ваши проблемы. Чем длиннее пароль, тем лучше, но если он будет слишком очевидным, его надежность все равно будет низкой.
«Мы наблюдаем, что многие люди добавляют новые символы в попытках сделать пароли надежнее. Однако если эти длинные пароли основаны на простых комбинациях, то они будут столь же уязвимы к атакам хакеров», — рассказывает Морган Слейн, генеральный директор компании SplashData, которая занимается менеджментом паролей и каждый год публикует список худших из них.
Слейн также рекомендует избегать популярных клише из спорта и поп-культуры независимо от их длины. К примеру, в прошлом году особенно популярны были фразы из «Звездных войн». Чем более популярен пароль, тем он менее безопасен, так что лучше выбрать пароль, который больше никому не пришел бы в голову (в идеале это должна быть строка из случайных символов).
3. Не сваливайте в кучу спецсимволы
Сейчас многие поля для ввода паролей требуют от вас использования комбинации заглавных и строчных букв, цифр и специальных символов. Это нормально. Просто нужно распределить эти символы по всему паролю.
«Расположите цифры, символы и заглавные буквы в разных местах в середине пароля, а не в начале или конце», — советует Лорри Ф. Крейнор, главный инженер Федеральной торговой комиссии США и профессор информатики в Университете Карнеги Мэллон. «Большинство людей ставит буквы в начало пароля, а цифры и знаки в конце, но в этом случае пользы от использования этих дополнительных символов мало».
Вся проблема как раз в том, что таких людей большинство. «Предсказуемость того или иного решения зависит от того, как много людей его использует», — отмечает Крейнор. Если начало и конец пароля будут свободны от нагромождения символов, у вас будет больший простор для фантазии, а, значит, такой пароль будет сложнее взломать.
4. Не повторяйтесь
Вы учли все рекомендации вплоть до последнего знака. У хакеров уйдут годы на подбор такого пароля. Он оказался так хорош и так сложен для запоминания, что вы решили использовать тот же пароль и для других аккаунтов.
Так делать не нужно.
«Даже если у вас есть разные пароли для “важных” сервисов и для «не очень важных», это очень рискованно», — говорит Джо Сигрист, вице-президент и главный управляющий популярного менеджера паролей LastPass. «Такой подход сильно облегчает работу хакерам, потому что они могут взломать один сайт и получить доступ ко всем остальным сразу».
Главная мысль заключается в том, что ваш пароль надежён настолько, насколько надёжен сайт, на котором вы его вводите. Если вы не хотите расплачиваться за чужие ошибки, минимизируйте возможные последствия взлома, придумав для каждой учётной записи уникальный пароль. Или можно поступить проще и начать использовать менеджер паролей.
5. Не меняйте пароли слишком часто
Мы уже затрагивали эту тему, но этот совет в чем-то противоречит привычной логике, так что лучше повторить: не нужно менять пароли каждый месяц. И если вы системный администратор, не заставляйте своих сотрудников это делать.
«Специалистам, устанавливающим правила защиты паролями лучше требовать от коллег придумывать более длинные пароли и сохранять их дольше, а не заставлять их менять каждый месяц или два, — советует Бернетт. — Благодаря этому пользователи будут более охотно придумывать надежные пароли и избегать простых схем вроде прибавления цифры в конце пароля каждый раз, когда им нужно будет его сменить».
Придумывать пароли непросто. Но так и должно быть! Лучше потрудиться один раз и создать действительно хороший пароль, а не менять эти комбинации символов чаще, чем вы переворачиваете месяцы на своем настенном календаре.
«Частая смена паролей – это, по сути, пустая трата времени, — считает эксперт по безопасности Microsoft Research Кормак Херли. — Нет никаких доказательств, что это увеличивает надёжность».
6. Не становитесь параноиком
Каждому человеку следует сделать свои пароли как можно более надёжными. Большинству людей не нужно возводить вокруг себя цифровую крепость. Должно хватить одного кода.
«Не бойтесь всех этих историй про хакеров, которые могут подобрать пароль после нескольких миллиардов попыток, и про то, что обычный пароль можно подобрать быстрее, чем за секунду. Ваш банк попросту не позволит никому сделать 100 миллиардов попыток, — успокаивает Херли. — Пароли, которые вы используете на веб-сайтах, должны выдерживать несколько тысяч попыток».
Да, это тоже немало. Но, скорее всего, если плохие парни поймут, что вы не так просты, как кажется, они попробуют взломать кого-нибудь другого.
7. Добавляйте другие способы защиты
Правильно составленные пароли достаточно надежны. Однако намного лучше они работают в комплексе с другими средствами защиты. Вдвойне полезен этот совет для специалистов по безопасности в компаниях.
«Не стоит полагаться только на пароли! — советует Нил Винн, главный аналитик по безопасности бизнеса компании Gartner. — Защиты паролем достаточно только для сервисов с низким уровнем риска».
Вместо этого Винн рекомендует добавить уровень более надёжной защиты вроде криптографической проверки или биометрического датчика (к примеру, сканер отпечатков пальцев).
Добавление ещё одного уровня безопасности имеет и другие, не столь очевидные, преимущества.
«С ещё одним слоем защиты компания может позволить себе более щадящую политику в плане паролей, то есть требовать менять их реже или разрешать более короткие комбинации», — отмечает Джексон Шоу, старший директор по управлению продуктом компании Dell Security.
Поэтому, как бы ни были хороши надёжные пароли, мы всегда рады вещам, которые позволяют сделать их проще.