Руководство по password

Продолжение. С первой частью можно ознакомиться здесь.

5. Рекомендации

В этом разделе каждая из предыдущих рекомендаций будет рассмотрена более подробно.

5.1. Ключевые рекомендации

Эти рекомендации следует считать обязательными для всех систем, если они технически выполнимы.

5.1.1. Длина пароля или парольной фразы

Разрешите использование длинных парольных фраз, но не применяйте их принудительно.

В соответствии с общей целью заставить пользователей создавать не слишком слабые пароли, рекомендуемая минимальная длина пароля составляет 8 символов для учетной записи с МФА, и 14 символов — для учетной записи, использующей только пароль. При выборе максимальной длины пароля стоит отталкиваться от наибольшего значения, позволяемого возможностями системы/программного обеспечения, а не ограничиваться политикой.

В целом верно, что длинные пароли лучше коротких (их труднее взломать). Но также верно и то, что категоричные требования к длине используемых паролей предсказуемо вызывают нежелательное поведение пользователей. Например, требование иметь минимум 16-символьный пароль может заставить их выбирать повторяющиеся шаблоны типа «PasswordPassword» или «1234123412341234», которые соответствуют правилу, но легко угадываются злоумышленниками. К тому же, предписание иметь длинные пароли увеличивает вероятность того, что пользователи будут применять и другие небезопасные методы для упрощения работы с ними. Например, записывать их, использовать повторно или хранить в незашифрованном виде в своих документах.

Установление разумной минимальной длины без ограничения максимального количества символов увеличивает среднюю длину используемого пароля (и, следовательно, его надежность).

5.1.1.1. Парольные фразы

Обучите пользователей применению парольных фраз. Это приведет к созданию более длинных и надежных паролей.

В парольной фразе используется ряд слов, которые могут включать или не включать пробелы: correcthorsebatterystaple – пример парольной фразы из известного комикса XKCD на эту тему. Несмотря на то, что парольные фразы часто содержат больше символов, чем пароли, они всегда содержат меньше «компонентов» (четыре слова вместо, скажем, 12 случайных символов).

В конечном счете, все дело — в соотношении длины и легкости запоминания. Именно поэтому обучение пользователей таким приемам, как применение парольных фраз, позволяющих создавать более длинные и легко запоминающиеся пароли — весьма эффективная практика.

Примечание. Для получения более подробной информации об использовании парольных фраз, см. Приложение: что делает пароль хорошим?

Итоговая рекомендация:

5.1.2. Состав/сложность пароля

Разрешите использование символов любого типа, но не принуждайте использовать символы определенных типов.

Требования к составу или сложности пароля часто используются для повышения надежности создаваемого пользователем пароля заданной длины. Например, сложный пароль должен содержать некоторое количество символов из всех трех следующих категорий:

• заглавные символы;

• строчные символы;

• неалфавитные символы, такие как цифры или специальные символы, например <*&(^%$>!):.

В настоящее время не существует стандарта для состава пароля, поэтому очень часто эти требования варьируются от системы к системе (например, одна система разрешает специальные символы, а другая – нет).

Требования к составу пароля являются слабой защитой от атаки Password Guessing. Принуждение пользователей к выбору некоторой комбинации символов верхнего и нижнего регистра, цифр и специальных символов нередко влечет негативные последствия. Это создает дополнительную нагрузку на пользователей, и многие из них будут обращаться к предсказуемым шаблонам (например, заглавная буква в первой позиции, затем строчные буквы, затем одна или две цифры и «специальный символ» в конце). Злоумышленники знают об этом, и в ходе словарных атак часто используют эти популярные шаблоны, а также наиболее распространенные замены, например, $ на s, @ на a, 1 на l, 0 на o.

Слишком сложные по своей природе пароли затрудняют запоминание пользователям, что приводит к негативным последствиям. Кроме того, требования к составу не обеспечивают защиту от распространенных типов атак, таких как социальная инженерия, или ненадежного хранения паролей.

Итоговая рекомендация:

5.1.3. Срок действия пароля

Меняйте пароли в зависимости от событий, с ежегодной «подстраховкой».

Чрезмерные требования к сроку действия паролей приносят больше вреда, чем пользы, поскольку заставляют пользователей выбирать предсказуемые пароли, состоящие из последовательных слов и цифр, тесно связанных друг с другом. В таких случаях следующий пароль можно предсказать на основе предыдущего (например, увеличивая используемое в пароле число).

Требование обязательной смены пароля по истечении определенного срока действия не дает никаких преимуществ в плане сопротивления злоумышленникам, поскольку те часто используют учетные данные сразу после их получения. Вместо расписания, немедленная смена пароля должна основываться на ключевых событиях, таких, как (перечень не является исчерпывающим):

• появление признаков компрометации;

• смена ролей пользователя;

• увольнение пользователя.

Смена паролей каждые несколько недель или месяцев не только усложняет жизнь пользователя, но и для системы приносит больше вреда, чем пользы, поскольку может привести к неправильным действиям пользователя вроде добавления символа в конец существующего пароля.

Дополнительно мы рекомендуем проводить ежегодную смену паролей. Это связано в первую очередь с тем, что, при всех своих благих намерениях, пользователи будут использовать одни и те же учетные данные в разных системах. Впоследствии, даже если утечка данных из какой-либо системы получит публичную огласку, человек может просто не увидеть сообщение об этом факте, или вообще забыть, что у него был аккаунт, например, на скомпрометированном сайте. Подобная ситуация может сделать общие учетные данные уязвимыми на неопределенный срок. Парольная политика организации, предусматривающая ежегодную смену однолетних паролей, является разумным компромиссом для смягчения описанной проблемы при минимальной нагрузке на пользователя.

Примечание. Существуют организации, использующие автоматически генерируемые одноразовые пароли для каждого доступа к учетной записи (такой тип парольной политики выходит за рамки данного документа). В этих случаях пароль для каждой учетной записи может меняться по многу раз в день. Системы подобного типа отличают беспрецедентный уровень безопасности и почти такая же редкость.

Итоговая рекомендация:

5.1.4. Запрет использования словарных паролей

Проверяйте пароли по списку плохих паролей.

Организациям следует запретить использование распространенных словарных паролей. Это снижает восприимчивость к атакам Brute Force и Password Spraying. Несколько примеров часто используемых паролей: abdcefg, password, qwerty, iloveyou и 12345678 (более полный список распространенных паролей можно найти здесь).

При обработке запросов на создание или изменение пароля, новый пароль должен быть проверен по списку, который содержит часто используемые, словарные или скомпрометированные пароли. Например, список должен включать (но не ограничиваться):

• пароли, скомпрометированные в результате предыдущих взломов;

• словарные слова;

• повторяющиеся или последовательные символы (например, aaaaaa, 1234abcd);

• контекстно-специфические слова, такие как название службы, имя пользователя и производные от них;

• ранее использовавшиеся пароли для этой учетной записи с задержкой их изменения;

• личные идентификационные данные пользователя, если это возможно (дата рождения, фамилия и т.д.).

Проверка должна происходить непосредственно при создании пароля. Если пароль пользователя не прошел проверку по списку запрещенных слов, пользователь должен быть уведомлен о том, что пароль не может быть применен с кратким объяснением причины. Затем пользователю должно быть предложено ввести новый пароль.

Списки запрета паролей — относительно новый инструмент, но он становится все более распространенным, так как утечки учетных данных пользователей становятся все более частыми. Дополнительная информация по использованию списков запретов и примеры плохих паролей доступны  по URL-адресам:

• Azure Active Directory Password Protection

• Have I Been Pwned?

Примечание. Необходимо подходить к созданию списка запретов с осторожностью и соблюдать меру. В противном случае существует вероятность сделать перечень настолько всеобъемлющим, что пользователю будет очень сложно подобрать правильный пароль.

Итоговая рекомендация:

5.1.5. Блокировка сеанса при бездействии

Блокировка сеанса при бездействии является разумной мерой предосторожности.

Нет никакой пользы в том, чтобы система или сеанс оставались активными, когда пользователь не работает. Узнать, когда пользователь активен, можно с помощью обнаружения пользовательского ввода (ввод с клавиатуры, движение мыши и т.д.).

Примечание. Вход в систему после такой блокировки должен соответствовать всем рекомендациям, применяемым для обычной аутентификации. Неудачные попытки входа должны также отслеживаться и ограничиваться (см. раздел 5.1.6 Ограничение неудачных попыток входа (блокировка)). Способ авторизации для учетной записи, заблокированной во время бездействия пользователя, должен быть того же типа, что и при обычной процедуре входа, без какого-либо упрощения. То есть учетная запись, для которой настроена МФА, в случае блокировки также должная быть авторизована с МФА, а не с применением сокращенного метода аутентификации, вроде пароля.

Итоговая рекомендация:

5.1.6. Ограничение неудачных попыток входа (блокировка)

Чтобы ограничить возможность угадывания пароля, временно блокируйте учетную запись после заранее определенного количества неудачных попыток входа.

Условимся не рассматривать ситуации, когда злоумышленник получает пароль пользователя в открытом виде с помощью социальной инженерии, ненадежного хранения паролей и т.д., (здесь надежность пароля, по сути, не имеет значения). В таком случае цель создания надежных паролей — не дать злоумышленнику получить доступ к целевой учетной записи или системе в результате недолгого подбора легко угадываемого пароля. «Подбор» означает, что атакующий, прежде чем обнаружить настоящий пароль, должен сделать несколько неудачных попыток авторизации в целевой системе. Именно поэтому принудительное ограничение количества попыток входа для атакующего — наиболее важная из всех мер, принимаемых для повышения надежности пароля. Временная (15-минутная) блокировка учетной записи после 5 последовательных неудачных попыток входа в систему доказала свою эффективность в борьбе с попытками перебора и угадывания пароля.

Необходимо помнить, что временная блокировка предназначена для предотвращения несанкционированного доступа, а не для создания дополнительных проблем честным пользователям и администраторам систем каждый раз, когда первые неправильно вводят пароли. Например, длительная блокировка рабочих аккаунтов (снятие которой возможно только при участии администратора) в крупной компании, действующей в нескольких часовых поясах, скорее всего, создаст больше лишних сложностей, чем принесёт пользы. В отдельных случаях разумной альтернативой может стать установка определенного количества временных блокировок, при превышении которого будет производиться уже постоянная блокировка аккаунта, требующая участия администратора для отмены (рекомендуемое значение — 10 неудачных попыток подряд).

Другая техника, набирающая популярность, – это замедление входа (login throttling), при котором каждая неудача постепенно увеличивает задержку перед следующей попыткой входа в систему. Схемы замедления могут быть разными, но обычно они выглядят так:

• первая неудача, немедленная повторная попытка разрешена;

• вторая последовательная неудача, одна минута ожидания;

• двукратное увеличение времени ожидания при каждой следующей неудачной попытке;

• при достижении предельного значения попыток — постоянная блокировка учетной записи (требуется участие ИТ-специалистов).

Замедление входа ограничивает количество попыток угадывания, которые может предпринять злоумышленник, одновременно предоставляя пользователям несколько возможностей вспомнить свой пароль. Этот метод не так распространен в современных системах, как блокировка учетной записи по количеству неудачных попыток, но он набирает популярность в системах, работающих через Интернет. Оба метода обеспечивают хороший баланс между безопасностью, удобством использования и снижением нагрузки на работников ИТ-служб.

Примечание. Независимо от метода, используемого для ограничения неудачных попыток входа в систему, параллельно в целях безопасности должны быть настроены функции мониторинга и оповещения (см п 5.1.7 «Мониторинг неудачных попыток входа в систему»).

Примечание. Ограничение неудачных попыток входа не предотвращает компрометацию пароля с помощью методов Password Spraying (т.е. использование одного и того же пароля для многих различных учетных записей пользователей). Напротив, оно стимулирует злоумышленников использовать эту технику, чтобы избежать блокировки, что является очевидной аномалией и может быть обнаружено с помощью систем мониторинга.

Итоговая рекомендация:

5.1.7. Мониторинг неудачных попыток входа в систему

Контроль входа в систему – обязательное условие (ключевая рекомендация).

Цель создания надежных паролей – предотвратить получение неавторизованными пользователями (в частности, злоумышленниками) доступа к системам или учетным записям. В свою очередь, ведение журнала авторизации является ключевым компонентом анализа попыток получения доступа к учетной записи, будь то аккаунт обычного пользователя или администратора.  Необходимо как минимум отслеживать в журнале неудачные попытки входа в систему и оповещать о них ответственный персонал.

Для обеспечения контроля неудачных попыток входа в систему предлагается следующее:

• регистрировать все неудачные попытки входа в систему;

• оповещать ответственный персонал о фактах временной или постоянной блокировки учетных записей;

• регистрировать попытки входа в систему из неожиданных географических зон и оповещать о них ответственный персонал;

• регистрировать попытки входа в систему в необычное время и оповещать о них ответственный персонал;

• регистрировать попытки авторизации от имени специальных сигнальных учетных записей (записи-приманки для злоумышленников, “Honeypot”) и оповещать о них ответственный персонал.

Примечание. Мониторинг может принимать различные формы в зависимости от типа системы. Системы, подключенные к одному домену/корпоративной сети, могут контролироваться централизованно с помощью системы управления событиями безопасности (SIEM), которая объединяет и контролирует журналы событий из различных систем. Автономные системы (например, устройства Интернета вещей) могут использовать что-то элементарное, например, электронное письмо или SMS-сообщение, чтобы сообщить пользователю о превышении лимита попыток авторизации. Конечная цель состоит в том, чтобы при неудачных попытках входа в систему связаться с нужным человеком.

Итоговая рекомендация:

5.1.8. Блокирование учетной записи при неиспользовании

Неиспользуемые учетные записи должны автоматически отключаться.

Было бы идеально, если бы администраторы немедленно отключали неактивные учетные записи людей, потерявших право доступа в систему (ушедших из компании, сменивших отдел и т.д.). К сожалению, так бывает не всегда, поэтому разумно иметь техническое решение на случай, если ручной блокировки не произойдет: резервным планом может стать автоматическая приостановка учетной записи после X дней неиспользования (мы рекомендуем 45 дней).

 Если пользователь не авторизовался в учетной записи в течение 45 дней с последнего успешного входа, система автоматически отключит ее. Пользователь может ее разблокировать, но для этого ему необходимо связаться с ИТ-отделом для восстановления учетной записи и обосновать, почему она по-прежнему необходима.

Итоговая рекомендация:

5.1.9. Парольные подсказки

Не разрешайте парольные подсказки.

В случае, если пользователь забыл свой пароль, подсказка позволяет вспомнить его, решив проблему самостоятельно, без привлечения ИТ-отдела. Но создаваемые риски в данном решении перевешивают всю пользу. Не существует надежного способа убедиться, что подсказка, предоставленная пользователем, не является слишком очевидной и не позволит злоумышленнику легко получить доступ к системе. Более эффективный подход – позволить пользователям создавать легко запоминающиеся пароли (парольные фразы).

Итоговая рекомендация:

5.2. Опциональные рекомендации

Эти рекомендации необязательны, и их можно применять после выполнения основных, приведенных в разделе 5.1. Опциональные рекомендации являются более специфичными и подходят не для всех случаев.
Например, если пользователь использует только один пароль, то необходимость в менеджере паролей отсутствует.

5.2.1. Индикатор надежности пароля при создании

Показатели надежности полезны, поскольку большинство людей действительно хотят создать надежный пароль.

При создании нового пароля система должна помочь пользователю и предложить ему руководство, например, индикатор надежности пароля. Особенно полезно включать в индикатор «черные» списки – тогда пользователь сможет создать надежный пароль, не попадающий в список запретных слов.

Итоговая рекомендация:

5.2.2. Отображение пароля

Существует два основных случая отображения паролей.

5.2.2.1. При создании пароля

Возможность отображения пароля при его создании предпочтительнее, чем требование повторного слепого ввода

Чтобы помочь пользователю в создании пароля, система должна предложить возможность его полного отображения (без скрытия с использованием точек или звездочек). Это позволит пользователю проверить свой ввод, если обстановка позволяет безопасно отобразить его на экране. Данная возможность работает гораздо лучше, чем дублирование ввода пароля вслепую для исключения ошибок.

5.2.2.2. При введении пароля

Предоставление пользователю возможности на краткое время увидеть то, что он вводит в поле пароля, снижает количество ошибок при вводе.

Система должна опционально позволять устройству пользователя отображать отдельные введенные символы в течение короткого времени после ввода каждого символа для проверки правильности ввода (затем заменяя их звездочкой или точкой). Это может быть особенно полезным на мобильных устройствах, где текстовые поля небольшого размера, а текст в них трудноразличим.

Итоговая рекомендация:

5.2.3. Менеджеры паролей

Поощрение использования утвержденного менеджера паролей позволяет пользователям создавать надежные и уникальные для разных систем пароли.

Менеджер паролей похож на записную книжку для паролей пользователя, запертую главным ключом, о котором не знает никто, кроме владельца. На первый взгляд это может показаться неудачной идеей. Что, если кто-то узнает главный пароль пользователя? Это обоснованное опасение. Однако, при условии, что пользователь выбрал надежный, уникальный и запоминающийся основной пароль, который он больше нигде не использует, или, что еще лучше, МФА, менеджеры паролей достаточно эффективны. Как и все остальные инструменты в сфере информационной безопасности, менеджеры паролей не обеспечивают 100% безопасности, но они представляют собой отличную альтернативу для пользователей, которым необходимо управлять несколькими надежными паролями для разных учетных записей. Они позволяют избежать повторного использования одного и того же пароля для нескольких учетных записей, хранения паролей открытым текстом в системе или их записи и хранения в незащищенном месте.

Каждый раз, когда пользователь заходит на сайт или в приложение, он может вызвать менеджер паролей, скопировать свой пароль и вставить его в поле для авторизации. Часто менеджеры паролей предлагают также расширение для браузера, которое может автоматически безопасно заполнить поле сохраненным паролем пользователя.

В организациях желательно использовать один менеджер паролей, так как это облегчит его обслуживание (обновление), отслеживание любых опубликованных уязвимостей и их устранение.

Примечание. Пароли, генерируемые системой и создаваемые менеджером паролей, намного надежнее, чем пароли, создаваемые человеком, поскольку в них используется последовательность символов с большими требованиями к минимальной длине и составу (сложности). Пользователю не нужно запоминать пароль. Вместо этого менеджер паролей хранит их для пользователя.

Примечание. Вход в менеджер паролей должен соответствовать всем рекомендациям обычного входа в систему и правилам, принятым для неудачных попыток входа и мониторинга (см. раздел 5.1.6 Ограничение неудачных попыток входа (блокировка)).

Примечание. Менеджеры паролей предназначены для запоминания всех учетных данных пользователя: и имени пользователя и пароля. Следовательно, помимо сложного пароля пользователь может также создать и сложное уникальное имя пользователя для любой учетной записи. Это делает любые утекшие учетные данные еще менее полезными для злоумышленника, поскольку кроме модификации самого пароля к другой учетной записи ему нужно подобрать еще и имя пользователя. Конечно, это предполагает, что целевая система допускает определенную гибкость в выборе имени пользователя.

Итоговая рекомендация:

5.2.4. Разрешение вставки пароля

Разрешите вставку в поле пароля при использовании менеджера паролей.

Системам рекомендуется разрешать пользователям функцию вставки при вводе пароля, поскольку это облегчает применение менеджеров паролей (см. раздел 5.2.3 Менеджеры паролей).

Основное опасение компаний по поводу разрешения данной функции заключается в том, что пароли хранятся в буфере обмена. Действительно, когда пользователь обращается к функции копирования/вставки, скопированное содержимое сохраняется в буфере обмена, откуда его можно вставлять сколько угодно раз. Любое программное обеспечение, установленное на компьютере (или человек, управляющий им), имеет доступ к буферу обмена и может видеть, что было скопировано. Однако большинство менеджеров паролей стирают буфер обмена сразу после вставки пароля, а некоторые вообще обходятся без буфера обмена, вводя пароль с помощью виртуальной клавиатуры. Эти возможности могут быть частью критериев выбора менеджера паролей.

Итоговая рекомендация:

Примечание. Основной смысл заключается в том, что использование менеджера паролей гораздо более безопасно, даже учитывая временное незащищенное хранение копируемых паролей в буфере обмена компьютера.

6. Многофакторная аутентификация (МФА)

Этот раздел посвящен обсуждению того факта, что одного пароля недостаточно для надежной защиты учетных записей. А также обоснованию утверждения о необходимости внедрения многофакторной аутентификации.

6.1. Что такое МФА и почему она важна?

Авторизация только по паролю не является лучшим решением для обеспечения безопасности.

МФА, иногда называемая двухфакторной аутентификацией (2ФА), является улучшенной версией аутентификации по паролю, позволяющей пользователю предъявлять два или более доказательств (называемых факторами) при входе в систему. МФА доказала свою эффективность в борьбе с компрометацией учетных записей. Злоумышленнику в этом случае необходимо получить от пользователя не один фактор, а несколько, что создает много проблем, и, как правило, скомпрометировать такие учетные
записи не удается. Факторы могут относиться к одной из трех категорий:

• «То, что вы знаете» (фактор знания): пароль или персональный идентификационный номер (PIN).

• «То, что у вас есть» (фактор владения): смарт-карта, токен безопасности, приложение для аутентификации или текст SMS-сообщения на мобильный телефон пользователя.

• «То, кем вы являетесь» (фактор неотъемлемости): отпечаток пальца или рисунок сетчатки глаза.

Для повышения уровня безопасности факторы пользователя должны быть из разных категорий, поэтому ввод двух разных паролей не будет считаться многофакторной аутентификацией.

МФА – самый надежный метод аутентификации пользователей из доступных на сегодняшний момент, и оказывающий минимальное влияние на удобство использования систем.

Примечание. «Двухэтапная» или «многоэтапная» аутентификация – это не то же самое, что 2ФА или МФА. «Двухэтапная» или «многоэтапная» аутентификация предполагает последовательное прохождение в целевой системе одного или нескольких дополнительных шагов аутентификации после успешного выполнения первого шага. Каждый из этих шагов может включать или не включать различные факторы аутентификации. По сути, каждый шаг является независимым рубежом, и успех на нем приближает пользователя к цели – доступу к системе. 2ФА или МФА –более надежный подход, предполагающий одновременное предоставление всех факторов для учетной записи, которые целевая система проверяет на валидность. Система принимает или не принимает учетные данные в целом, не указывая, какой фактор был признан неверным. Можно использовать 2ФА или МФА в качестве одного из этапов «двухэтапного» или «многоэтапного» процесса аутентификации.

6.2. Проблемы, связанные с МФА

Основная проблема – сложность внедрения.

МФА – отличный инструмент, который находит все большее применение в самых разных системах. Например, большинство банковских веб-приложений сегодня поддерживает 2ФА через приложение аутентификации или SMS-сообщение на мобильный телефон пользователя. Однако эта технология еще не так широко распространена и не так стандартизирована, как использование паролей. Некоторые особенности МФА:

1. МФА часто включает пароль в качестве одного из факторов, поэтому хорошая парольная политика по-прежнему необходима.

2. В подавляющем большинстве случаев МФА не является компонентом самой информационной системы, а представляет из себя дополнение, реализованное сторонним разработчиком. Организациям рекомендуется ограничить количество применяемых решений по МФА, в идеальном варианте использовать только одно. Это облегчит поддержку такого программного обеспечения (обновление, отслеживание опубликованных уязвимостей и их исправление).

3. «То, что вы знаете» считается самым слабым фактором, а «То, кем вы являетесь» – самым сильным.

4. «То, что вы знаете» считается наиболее эффективным по затратам и простым в реализации, а «То, кем вы являетесь» — наиболее дорогим и сложным в реализации (нужен физический считыватель).

5. «То, что у вас есть» – наиболее распространенный фактор в 2ФА, используемый в сочетании с паролем. Самыми популярными формами этого фактора являются:

• Телефонный звонок, электронное письмо или SMS-сообщение: пользователь входит в систему с именем пользователя и паролем, затем ему предлагается ввести уникальный код в качестве второго фактора. Система отправит этот уникальный код на заранее определенный телефонный номер пользователя (голосовой звонок), электронную почту или номер мобильного телефона (SMS). Иногда пользователь может выбрать, какое средство будет использоваться, но во всех случаях срок действия кода истекает через заданный период времени или после ввода.

• Приложение для аутентификации на мобильном устройстве пользователя: с точки зрения пользователя этот метод очень похож на метод SMS, за исключением того, что уникальный код генерируется приложением на его мобильном устройстве. Число таких приложений растет, и не все они совместимы друг с другом (Google Authenticator, LastPass, Microsoft Authenticator, Authy, RSA SecureID).

• Токен физической безопасности: существует два распространенных типа токенов:

         ➣ уникальный идентификатор: с точки зрения пользователя это то же самое, что и использование приложения аутентификации за исключением того, что уникальный код генерируется и отображается на отдельном физическом устройстве (RSA SecureID Token, Fortinet FortiToken);

     ➣ физический предмет: эти устройства предназначены для установки или прикладывания к считывателю (через USB или NFC) и указывают на присутствие человека. Некоторые из них также включают авторизацию по уникальному идентификатору через соответствующее приложение (Yubico Yubikey, Google Titan).

Двухфакторные методы аутентификации более безопасны, чем одни пароли, но у каждого из них есть свои недостатки, которые следует учитывать:

1. Фактор «То, что вы знаете» – это, по сути, пароли, и они должны соответствовать рекомендациям парольной политики, приведенным в Разделе 5.

2. Из факторов «То, что у вас есть», приложения для аутентификации и физические маркеры считаются очень надежными, а вот с SMS-сообщениями есть проблемы:

• SMS-тексты проходят по телефонной сети общего пользования (ТСОП), которая находится вне контроля пользователя или администраторов сети;

• ТСОП фактически представляют собой совокупность объединенных в сеть компьютеров, посылающих друг другу голосовые вызовы и SMS-сообщения по протоколу, известному как Signaling System 7 (SS7). Этот протокол имеет известные уязвимости, позволяющие перенаправлять текстовые SMS-сообщения на телефон злоумышленника;

• С помощью методов социальной инженерии злоумышленники могут без особого труда убедить службы поддержки поставщика услуг мобильной связи в том, что телефон пользователя был утерян или поврежден, и его номер необходимо присвоить его новому телефону (принадлежащему злоумышленнику).

Примечание. В связи с этими проблемами мы рассматривали возможность исключения из рекомендаций использование SMS в качестве второго фактора. Но из-за его повсеместной распространенности и того, что он, возможно, лучше, чем ничего, убирать его не стали. Мы настоятельно рекомендуем всем, кто использует SMS для 2ФА, разработать план по отказу от этого метода как можно скорее.

1. Факторы «То, чем вы являетесь» многие считают самыми безопасными, поскольку они основаны на физических характеристиках пользователя, которые невозможно изменить (отпечаток пальца, рисунок сетчатки глаза и т.д.). Такой подход кажется идеальным, но существует довольно много проблем с использованием этих факторов в качестве основного средства аутентификации. Они должны использоваться в паре с секретным небиометрическим атрибутом (например, паролем)¹¹. В качестве примера возьмем отпечаток пальца:

• отпечаток пальца пользователя, как и все биометрические данные, не является секретным, как пароль или закрытый ключ шифрования, и может быть снят любым человеком, следящим за пользователем. Самая большая проблема с несекретными факторами аутентификации заключается в том, что их легко скопировать для злонамеренного повторного использования. Например, в июне 2015 года китайская APT-группа украла более 5,6 миллионов записей отпечатков пальцев граждан США, содержащихся в базе соискателей на получение допуска к секретности;

• при сканировании отпечатка пальца пользователя он должен быть сопоставлен с сохраненным отпечатком пальца. Сохраненные данные отпечатков пальцев представляют из себя отображение реального отпечатка пальца и не являются действительно уникальными. Отпечаток пальца пользователя превращается в серию особых точек, где отмечаются концы папиллярных линий и их ветвления. Изображение, которое хранится в базе данных, и соответствие которому оценивается при аутентификации, на самом деле больше похоже на рисунок небесного созвездия, чем на реальный отпечаток пальца;

• отпечаток пальца – не пароль, который можно легко поменять, и не уникальный идентификатор, который действителен в течение 5 минут. Если отпечаток пальца был скомпрометирован, то это навсегда.

В данном разделе описаны плюсы и минусы от реализации различных форм МФА. В конечном итоге, решение о внедрении МФА во многом зависит от уровня требуемой безопасности, бюджета, а также политик и процедур, установленных лицами, принимающими решения.

7. Выводы

Общая цель данного руководства – свести большую часть современных рекомендаций по паролям в единый краткий документ и изложить реальные причины, по которым эти рекомендации были сделаны.

Безусловно, на сегодняшний день не в каждой системе имеется возможность реализации всех этих рекомендаций (по разным причинам), но со временем их будут поддерживать большинство систем, если не все. Ни одна из приведенных здесь рекомендаций не является технически сложной для выполнения, и каждая из них имеет свои примеры реализации.

Для проектировщиков систем и интеграторов этот документ должен стать руководством по формированию парольной политики. Разработчики систем могут использовать это руководство для определения набора функций, которые могут потребоваться.

Надеемся, это руководство станет основой для других стандартов безопасности и спецификаций и со временем позволит достичь единообразия парольных политик, в котором нуждаются пользователи.

8. Приложение: что делает пароль хорошим?

В приложении рассматриваются общие принципы создания паролей. Оно представляет из себя не готовый справочник, а скорее руководство, основанное на лучших практиках.

Пароли всегда будут несовершенным средством защиты, но при правильном использовании они играют важную роль в обеспечении безопасности информационных систем. Руководство по парольной политике в сочетании с обучением пользователей может сделать пароли надежным и безопасным инструментом. Чтобы облегчить обучение, рассмотрим ключевые моменты в создании надежных паролей.

8.1. Как создать хороший пароль

Вот несколько простых концепций для создания хороших паролей. Помните, что мы пытаемся сделать их не гарантированно стойкими, но надежными.

1. Длина – самая важная характеристика хорошего пароля: в общем случае, чем длиннее пароль, тем лучше.

2. Используйте парольную фразу, а не пароль: используя одно «слово», трудно придумать что-то длинное и запоминающееся, но, если использовать «фразу», состоящую из 4 или более слов, сделать это будет гораздо проще.

Слова из 14 и более символов: Антидепрессант, Фундаментализм, Привлекательность и т.д. Такие пароли сложно запоминать, не говоря уже об их правильном написании.

Фразы из 14 и более символов (с пробелами и без пробелов для удобочитаемости):

• с пробелами — Мой Дядя Живет в Грузии, без пробелов — МойДядяЖиветвГрузии;

• с пробелами -Лучшая Машина Ваз Жигули, без -ЛучшаяМашинаВазЖигули;

• с пробелами -Дальний Восток Моя Родина, без -ДальнийВостокМояРодина.

1. Избегайте шаблонов: не используйте последовательности цифр-букв или клавиатурные шаблоны типа 12345671234567, abcdefgabcdefg, passwordpassword, abc123abc123ab, qwertyuqwertyu и т.д.

2. Не используйте пароль повторно и не используйте похожие пароли в нескольких системах: особенно в домашней и рабочей учетных записях. Основная причина запрета в том, что, если кто-то узнает один из ваших паролей, то он получит доступ к нескольким вашим учетным записям.

Это, пожалуй, самая сложная из четырех основных идей, но вы можете использовать приемы, например, название группы/песни/фильма/актера для создания релевантной и запоминающейся фразы:

• финансовый аккаунт: с пробелами — АББА Мани Мани Мани, без — АББАМаниМаниМани;

• аккаунт в магазине: с пробелами — Гарцующий Пони Фродо Бэггинс, без — ГарцующийПониФродоБэггинс;

• медицинский аккаунт: с пробелами — Доктор Хаус Хью Лори, без — ДокторХаусХьюЛори.

 8.2. Более продвинутые приемы

Теперь вы хотите выйти за рамки основ и создать действительно впечатляющие пароли!

1. Избегайте слов, связанных с вашей личной информацией или общими интересами: избегайте фактов, которые люди могут найти о вас в Интернете. Если вы являетесь президентом местного автомобильного клуба любителей Жигулей, вам, вероятно, не следует использовать слово «Жигули» в качестве пароля.

С учетом сказанного, можно ли использовать предыдущий пример ЛучшаяМашинаВазЖигули? Конечно, есть варианты и получше, но слово «Жигули» составляет только 6 из 21 символов парольной фразы (15 символов еще неизвестны), так что это все равно неплохо!

1. Ограничьте использование словарных слов: как правило, злоумышленники подбирают пароли, пробуя сначала различные словарные комбинации. Это много слов, но вариантов все равно гораздо меньше, чем если пробовать все возможные комбинации букв.

Например, возьмем пароль из 3 латинских символов. Если использовать только строчные буквы, то существует 26³ = 17 576 комбинаций букв (включая такие, как zxy, rhb, qqt и т.д.), но допустимых трехбуквенных слов гораздо меньше (1 355 по одному онлайн-словарю). Это меньше, чем одна десятая часть.

Ситуация становится намного хуже по мере добавления символов:

• все комбинации из 8 символов: 208,827,064,576;

• все комбинации из 12 символов: 95,428,956,661,682,176;

• все комбинации из 16 символов: 43,608,742,899,428,874,059,776.

К сожалению, настоящих слов из них не так много: существует всего 88,342 английских слова длиной от 3 до 15 символов. Теперь понятно, что перебор словарных слов закончится намного быстрее, чем перебор всех возможных комбинаций букв для пароля заданной длины.

Использование нескольких словарных слов в парольной фразе также усложнит работу противника, но, если вы действительно хотите доставить ему неприятности, добавьте что-нибудь, чего нет в словаре. Например:

• вместо ЛучшаяМашинаВазЖигули, попробуйте ЛучшаяМашинаВазЖигули№1!

• вместо ДальнийВостокМояРодина попробуйте Дальний;Восток;Моя;Родина.

• вместо МойДядяЖиветвГрузии, попробуйте МойДядяЖивет-вГрузии!

Можно также заменить некоторые буквы на числовые и символьные представления. Например:

• ЛучшаяМашинаВазЖигули№1! – Лу4ш@яМ@шин@8@3Жигули№1!

• Дальний;Восток;Моя;Родина – Д@льний;80(т0к;М0я;Родина@

• МойДядяЖивет-вГрузии! – М0йДядяЖи83т-8Гру3ии!

Выполнение каждого из этих действий сделает ваш пароль чуть более надежным и устойчивым к взлому злоумышленником, но отдача от этого будет снижаться. Почему? Потому что злоумышленники знают про эти трюки и учитывают это при взломе паролей.

Если вы хотите получить действительно хороший пароль, вам нужен длинный пароль, сгенерированный случайным образом и сохраненный в менеджере паролей, потому что вы, скорее всего, не запомните результат, который будет выглядеть примерно так:

• GHj*65%789JnF4$#$68IJHr54^78

В итоге мы настоятельно рекомендуем использовать многофакторную аутентификацию везде, где это возможно, поскольку она устраняет полную зависимость от паролей для обеспечения безопасности учетной записи.

Перевод: Аделина Любимова, Origin Security

Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИС Компании, а также процесса контроля действий пользователей и обслуживающего персонала системы при работе с паролями.

§14 — Новости безопасности

§15 –Узнаки для запоминания (рекомендации)

1. Введение

Мы все перегружены паролями. У каждого есть учетная запись для Google, Facebook, Twitter, LinkedIn, Outlook / Hotmail, Dropbox … список можно продолжить. К сожалению, большинство из нас используют один или несколько паролей для всех основных учетных записей.

Это опасно

Неважно, является ли индивидуальный пароль уникальным или это длинная комбинация цифр и букв; если вы используете только один пароль, это не имеет значения. Когда одна из учетных записей будет взломана, все ваши учетные записи, вероятно, последуют.

Основная причина, по которой люди повторно используют пароли, заключается в том, что отследить множество разных имен входа (имя пользователя и пароль, так как оба они называются именами входа) сложно, фактически это потенциально невозможно. Именно здесь приложения управления паролями становятся критически важными, особенно в бизнес-среде.

Вы не хотите использовать один и тот же пароль со всеми своими учетными записями в Интернете, но вы также не сможете запомнить сотни паролей. Итак, что нужно делать?

В этом руководстве я перечисляю все шаги, которые могут помочь улучшить общую безопасность ваших учетных записей. Вы будете ознакомлены с набором правил о том, как создать надежный пароль [1.1] для предотвращения взломов безопасности, и вы прочтете кучу советов и ресурсов, разработанных для повышения вашей информационной безопасности.

НЕ ПАНИКА : Это руководство предназначено не только для опытных пользователей. Каждый, кто обеспокоен своей информационной безопасностью, должен легко следить за этим. Чего же ты ждешь? Прочтите это руководство и начните улучшать безопасность своего пароля.

1.1 Что такое управление паролями?

Вы знаете, что такое пароль: это набор или строка символов, которые дают вам доступ к компьютеру или учетной записи в Интернете. А управление — это просто процесс взаимодействия или контроля над вещами. Следовательно, управление паролями легко понять: это набор принципов и рекомендаций, которые помогают пользователю создавать, изменять, организовывать и контролировать пароли, чтобы быть максимально безопасными.

1.1.1 Формы паролей:

Вы можете услышать разные термины, такие как пароль, PIN-код и пароль. Многие люди используют их взаимозаменяемо, но они отличаются друг от друга. Для ясности, пароль и PIN-код — это две разные формы паролей. Фраза-пароль — это специальная форма пароля, которая является относительно длинной и состоит из последовательности слов, таких как фраза или полное предложение. «ILuv2readMUO» является примером ключевой фразы. PIN-код обозначает личный идентификационный номер. В отличие от ключевой фразы, он относительно короткий (обычно от 4 до 6 символов) и состоит только из цифр. Примером PIN-кода является «1234».

Раньше пароль обычно составлял всего одно слово, обычно длиной не менее 8 символов. Люди использовали свое второе имя, имя своего питомца, название своего любимого фильма или почти все остальное в качестве паролей. Эта концепция была полностью изменена. Когда мы говорим пароль, мы часто имеем в виду как обычные пароли, так и парольные фразы.

В оставшейся части этого руководства PIN-коды будут выходить за рамки, и я в основном буду обсуждать пароль, который представляет собой строку символов, которую мы в основном используем везде.

1.2 Ваш сценарий

Сколько у вас паролей?

Предположим, что вы создали свой первый пароль при открытии банковского счета: 4-значный PIN-код. Вскоре после этого вы создали еще один пароль для своей электронной почты (большинство почтовых клиентов онлайн не позволяют вам создать пароль из 4 символов, поэтому вы не можете повторно использовать свой ПИН-код). Вы придумали что-то вроде «12345678», фразу-пароль, например «John1234», или короткое предложение из вашей любимой песни. После этого вам потребовалось иметь пароль для кредитных карт, SIM-карт, социальных сетей, форумов … снова, список можно продолжать, и для каждой новой услуги может потребоваться пароль.

Итак, что ты собираешься делать? Для большинства людей решение состоит в том, чтобы использовать один и тот же пароль несколько раз и что-то легко запоминающееся, например «12345678.». Это обе (распространенные) ошибки. Так в чем же решение?

1.3 Почему?

Пароли — это ключи для доступа к вашему компьютеру, банковскому счету и практически ко всему, что вы делаете онлайн [1.3]. Другими словами, пароли являются основным средством аутентификации пользователя (аутентификация — это процесс проверки того, кем кто-то является). Они обеспечивают первую линию защиты от несанкционированного доступа к вашим конфиденциальным данным. Человеческая память действует как самая безопасная база данных — или менеджер паролей — для хранения всех ваших паролей.

У тебя может быть хорошая память. Тем не менее, с десятками различных веб-сайтов, для безопасности которых требуется собственный пароль, справляется ли ваша память с этой задачей? Для большинства людей память не является масштабируемым решением, поэтому, если вы хотите быть в безопасности, вам необходимо внедрить систему безопасного хранения ваших паролей. Цель этого руководства — предоставить вам различные методы создания надежных и легко запоминающихся паролей для каждой из ваших учетных записей.

1.4 Взлом паролей / Взлом истории

Нарушение пароля — это инцидент, когда кто-то не уполномоченный на это взламывает пароль или взламывает базу данных, в которой хранятся пароли, и они встречаются чаще, чем вы думаете. Twitter объявил в феврале 2013 года, что он был взломан, и что данные для 250 000 пользователей Twitter были уязвимы. Ряд громких нарушений произошли в 2012 году; Вот несколько примеров:

Zappos.com, известный онлайн-магазин обуви и одежды, объявил в январе 2012 года, что его база данных с информацией о клиентах была взломана, а учетные данные миллионов пользователей были взломаны.

Yahoo объявила, что хакерами было похищено и раскрыто (или размещено в сети) более 450 000 адресов электронной почты и паролей пользователей Yahoo Voices.

LinkedIn подтвердил, что миллионы паролей LinkedIn были взломаны . А вот ссылка, которую обязательно нужно посмотреть, которая показывает понятную инфографику, которая выделяет 30 самых популярных паролей, украденных из LinkedIn.

EHarmony, известный онлайн-сервис знакомств, объявил, что некоторые из его паролей были затронуты .

Список хаков постоянно растет, и должен побуждать вас задавать вопросы. Например: если я использую один и тот же пароль для всех сайтов (и один из них утек), смогут ли хакеры повторно использовать мой пароль для всех служб? (Да.)

Есть ли предстоящие хаки? (Да). Если да, какие сервисы будут взломаны? (Невозможно сказать). Когда? (Опять невозможно сказать). Будет ли мой пароль участвовать в следующем нарушении? (Может быть). Достаточно ли надежны мои пароли? (Возможно нет). Должен ли я их изменить? (Да. Часто.)

Эти недавние взломы служат предупреждением — и призывом к действию. Пришло время пересмотреть и оценить все ваши пароли и изменить те, которые кажутся слабыми или которые вы использовали для более чем одного сайта. Следующие части этого руководства ответят и обсудят большинство ваших проблем. Просмотрите их и поделитесь своим мнением после прочтения.

2. Угрозы против ваших паролей

Подобно тому, что объясняется в «Простейшей безопасности: руководство по лучшей практике паролей», взлом паролей — это процесс взлома паролей с целью получения несанкционированного доступа к системе или учетной записи. А нарушение пароля, как определено ранее, обычно является результатом взлома пароля. Пароли могут быть определены, взломаны, определены или захвачены с помощью различных методов, таких как методы угадывания и социальной инженерии.

Гадание: метод получения несанкционированного доступа к системе или учетной записи путем неоднократных попыток аутентификации — с использованием компьютеров, словарей или больших списков слов. Грубая сила является одной из наиболее распространенных форм этой атаки. Это способ угадать пароль, буквально пробуя каждую возможную комбинацию пароля. Атака по словарю — это похожая техника, но основанная на вводе каждого слова в словаре общих слов для идентификации пароля пользователя. Оба они очень похожи, но в следующей таблице разъясняются основные различия между ними:

Грубая сила	Атака по словарю
использовать любую возможную комбинацию символов пароля для восстановления пароля	использовать каждое слово в словаре общих слов для определения пароля
большое количество паролей	определенное количество общих ключей
время взлома зависит от надежности пароля (длина и сложность)	Время взлома зависит от количества распространенных паролей, поэтому оно немного быстрее, чем атака методом перебора.

Социальная инженерия: искусство получения конфиденциальной информации или несанкционированного доступа к системе или учетной записи, используя преимущества человеческой (пользовательской) психологии. Это также известно как искусство обмана. На самом деле компании являются типичными объектами социальной инженерии, и ИТ-организациям сложнее управлять ими. Почему? Потому что это зависит от того, что пользователи:

• естественно полезно, особенно для тех, кто хорош или они уже знают

• не осознает ценность информации, которой они обладают

• небрежно защищать свою информацию

Например: сотрудник предприятия может быть обманут в раскрытии своего имени пользователя и пароля тому, кто притворяется агентом службы поддержки ИТ. Вы можете себе представить, почему социальная инженерия является очень успешным способом проникновения преступника внутрь организации: часто легче кого-то обмануть, чем получить несанкционированный доступ с помощью технического взлома.

Попытки фишинга являются типичным примером атак социальной инженерии. Например: электронное письмо или текстовое сообщение, которое, кажется, пришло от известной или законной организации, такой как банк, чтобы уведомить вас о том, что вы выиграли, и им нужны некоторые личные данные (например, ваш номер телефона и адрес), чтобы они могут отправить вам приз. Социальная инженерия опирается на слабости людей. Поэтому, пожалуйста, помните: НЕ сообщайте свои пароли, конфиденциальные данные и конфиденциальные банковские реквизиты на сайтах, доступ к которым осуществляется по ссылкам в электронных письмах.

Для получения более подробной информации об угрозах паролям, пожалуйста, прочитайте следующие ресурсы:

• Руководство по управлению паролями предприятия (черновик)

• РИСК СОЦИАЛЬНОЙ ТЕХНИКИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: ОБЗОР ИТ-ПРОФЕССИОНАЛОВ

• Что такое социальная инженерия?

• Как защитить себя от атак социальной инженерии

3. Распространенные ошибки

В предыдущей главе освещались способы уязвимости нашей информации. Какие ошибки делают эту уязвимость хуже? В следующей таблице приведены наиболее распространенные ошибки, которые вы можете совершать:

ошибка	пример	Оценка риска
Использование общего пароля.	123456 12345 123456789 пароль Я люблю тебя шесть букв на любом ряду клавиатуры. Например, первые шесть букв в верхнем ряду клавиатуры «qwerty.	Слишком рискованно. Это первые догадки большинства преступников, поэтому не используйте их.
Использование пароля, основанного на личных данных (часто называемого легко угадываемым паролем). Использование пароля на вашем номере социального страхования, псевдонимах, именах членов семьи, названиях ваших любимых книг или фильмов или футбольной команды — все это плохие идеи. Не.	гладиатор «Бобби» «Дженни» «Грязный» Настоящий Madraid или RealMadraid	Слишком рискованно: любой, кто знает, может легко угадать эту информацию.
Использование короткого пароля	John12 Jim2345	Чем короче пароль, тем больше возможностей его увидеть, угадать и взломать.
Использование одного и того же пароля везде.	Использование одного пароля на каждом сайте или онлайн-сервисе.	Слишком рискованно: это единственная точка отказа. Если этот пароль взломан или кто-то его обнаружит, остальные ваши учетные записи, включая вашу конфиденциальную информацию, находятся под угрозой.
Запишите ваш пароль (и).	Запишите свой пароль на заметке, прикрепленной к монитору, клавиатуре или где-либо еще.	Очень высокий риск, особенно в корпоративной среде. Любой, кто физически получит листок бумаги или заметку с вашим паролем, может войти в вашу учетную запись.

Google «Общие ошибки пароля», и вы найдете сотни результатов и ресурсов, описывающих различные виды ошибок — почти все из которых попадают в ошибки, упомянутые в таблице выше.

Что нам теперь делать, чтобы избежать угроз паролям? И есть ли какие-либо инструкции или процедуры безопасности, которые необходимо соблюдать, чтобы создать надежный пароль, не совершая ни одной из этих распространенных ошибок?

4. Полезные советы

Прежде чем обсуждать методологии создания надежного и легко запоминающегося пароля, давайте взглянем на общие полезные советы, которые являются краеугольными камнями любой методологии создания надежного пароля. Здесь я пытаюсь просмотреть наиболее распространенные предложения.

ВАЖНО: ваш пароль должен быть не менее 8 символов, и настоятельно рекомендуется, чтобы он был 12 или более символов.

Выберите пароль, который содержит буквы (как прописные, так и строчные), цифры и символы.

категория	пример
Заглавные буквы	A, B, C, D
Строчные буквы	а, б, в, д
чисел	0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Символы	@ # $ & *:; , ? /

Не используйте имена или слова, найденные в словаре.

Для бизнес-учетных записей используйте отдельный уникальный пароль для каждой основной службы и убедитесь, что ни один из этих паролей не совпадает с теми, которые связаны с личными учетными записями. Например: пароль для доступа к вашей рабочей станции должен отличаться от пароля для вашей личной учетной записи Google.

Всегда включайте настройки «HTTPS» (также называемые безопасным HTTP) во всех онлайн-сервисах, которые его поддерживают, включая Twitter, Google, Facebook и другие.

Не используйте простые вопросы безопасности пароля. На самом деле, вопросы безопасности являются одним из основных недостатков безопасности электронной почты. Любой близкий вам человек, любой, кто вас знает, может легко ответить на следующие распространенные вопросы безопасности:

• Как девичья фамилия вашей матери?

• Как зовут вашу кошку?

• Какой у вас родной город?

Эти советы все помогают, но вы можете придумать пароль, который соответствует нескольким пунктам выше и все еще слаб. Например, как Microsoft упомянула на своем сайте, Welcome2U !, Hello2U !, и Hi2U? все они довольно слабые, несмотря на наличие прописных букв, строчных букв, цифр и символов. Каждый из них содержит полное слово. С другой стороны, W3l4come! 2? U — более сильная альтернатива, поскольку она заменяет некоторые буквы в целом слове числами, а также содержит специальные символы. Это не надежно, но лучше, чем раньше.

5. Как сделать надежный пароль

«Обращайтесь с паролем как с зубной щеткой Не позволяйте никому использовать его, и получайте новый каждые шесть месяцев ». ~ Клиффорд Столл

Прежде чем идти дальше, имейте в виду следующее: чем надежнее ваш пароль, тем более защищен ваш аккаунт или компьютер от взлома или взлома. Вы должны убедиться, что у вас есть уникальный и надежный пароль для каждой из ваших учетных записей.

Действительно, есть много статей и предложений о том, как выбрать надежные и легко запоминающиеся пароли для различных учетных записей в Интернете. Большинство из этих предложений или методов, если не все, согласны с правилом создания паролей на основе мнемоники , такой как легко запоминающаяся фраза. Однако у них есть небольшие отличия в том, как они сочетают полезные советы, упомянутые выше, добавляя несколько уровней безопасности для повышения надежности пароля. Давайте суммируем эти методы, для удобства.

5.1 Методология Mozilla

Mozilla опубликовала очень полезную статью, в том числе анимационное видео под названием « Создание безопасных паролей для обеспечения безопасности вашей личности ». Вкратце, идеи заключаются в следующем:

Возьмите знакомую фразу или цитату, например: «Да пребудет с вами сила», а затем сократите ее, взяв первую букву каждого слова, чтобы оно стало «mtfbwy»

Добавьте несколько специальных символов с обеих сторон слова, чтобы сделать его более сильным (например, #mtfbwy!)

А затем свяжите его с веб-сайтом, добавив несколько символов из имени веб-сайта в исходный пароль в виде суффикса или префикса. Таким образом, новый пароль для Amazon может стать #mtfbwy! AmZ, #mtfbwy! FbK для Facebook и так далее.

5.2 Советы Microsoft

Microsoft предлагает много информации о безопасности , которая заставляет вас серьезно задуматься о надежности ваших паролей. Советы Microsoft по созданию надежных паролей очень похожи на советы Mozilla, но также выделяют четыре области, которые следует учитывать; Длина, сложность, вариация и разнообразие.

Мы уже исследовали первые два. Для разнообразия Microsoft подчеркнула важность регулярной смены пароля (примерно каждые три месяца). Разнообразие в основном заключается в том, чтобы избежать повторного использования пароля, что делает все учетные записи уязвимыми, если одна из них взломана. Исследование, проведенное исследователями из группы безопасности в компьютерной лаборатории Кембриджского университета, показало, что уровень сравнения украденных учетных данных (хешированных паролей) для двух разных сайтов достигал 50 процентов. Поэтому никогда не используйте один и тот же пароль дважды — старайтесь всегда иметь разные пароли для разных учетных записей для веб-сайтов или компьютеров.

5.3 Методология безопасного пароля Google

Часть недавней рекламной кампании Google по безопасности в Интернете «Полезно знать» — это инструкции по выбору безопасного пароля для каждой из ваших учетных записей. Идея вкратце, как упоминала Сара Адамс в этом коротком видео , состоит в том, чтобы выбрать предложение или строку (которую вы легко можете запомнить) из своей любимой песни, фильма и т. Д. Затем возьмите первую букву каждого слова и затем попытайтесь смешать его. с цифрами и специальными символами (символами) и смешанными буквами, чтобы составить надежный, но легко запоминающийся пароль. Чем необычнее фраза, которую вы выбираете, тем лучше. «Полезно знать» — это отличная образовательная кампания и ресурс, который в основном направлен на распространение информации о безопасности и конфиденциальности в Интернете. Обеспечьте безопасность своих учетных записей в Интернете — еще одно удивительное видео, показывающее, как повысить безопасность.

5.4 Собираем все вместе

При создании пароля вы должны следовать двум правилам; Длина и сложность. Давайте начнем с использования следующего предложения: . Давайте превратим эту фразу в пароль.

Возьмите первую букву от каждого слова: IltrMUObe . Я возьму букву «д», рассматривая каждый день как два слова и чтобы удлинить пароль. Так и станет как IltrMUObed .

Теперь увеличьте его силу, добавив символы и цифры:

20I! Ltr.MUO_bed? 13

О, МОЙ БОГ! Что это за сложный пароль? !! Невозможно запомнить, а кто будет добавлять цифры и символы, подобные этому? Подожди минутку … Я не добавил никаких чисел и не поставил символы случайным образом. Давайте проанализируем этот пароль более подробно:

20 I! Ltr.MUO_bed? 13

Во-первых, 20 и 13 относятся к 2013 году. Во-вторых, я ставлю символ после каждых трех мест или символов. Что ты заметил? Да, это закономерность. Создайте свой собственный особый шаблон. Возможно, вы захотите использовать мой точный шаблон в качестве базового пароля для большинства ваших учетных записей в Интернете — не делайте этого. Думай о своем. Но если вы хотите использовать эту опцию в качестве базового пароля, сделайте себе одолжение, повернув части своих паролей, изменив порядок или, по крайней мере, используя имя своей сетевой учетной записи в пароле.

20I! Ltr.MUO_bed? 13 Gmail

fb 20I! ltr.MUO_bed? 13 (для Facebook)

20I! Ltr.MUO_bed? 13 Tw (для Твиттера)

2013I! Ltr.MUO_bed? Ли (для LinkedIn)

Это одна стратегия разработки паролей. Давайте продолжим добавлять сложность, в то же время пытаясь сохранить вещи, которые можно запомнить.

6. Стог сена Ваш пароль

Этот метод был разработан гуру безопасности Стивом Гибсоном, президентом Gibson Research Corporation (GRC) . Password Haystack — методология, делающая ваш пароль чрезвычайно трудным для подбора, добавляя пароль с помощью шаблона (//////) до или / и после вашего пароля. Кроме того, Гибсон разработал умный интерактивный калькулятор, Brute Force Search Space Calculator , который вы можете использовать для проверки возможности вашего пароля. Он покажет, сколько времени потребуется разным сущностям, чтобы взломать ваш пароль, и покажет вам, почему ваш пароль является слабым или надежным, основываясь на некоторых математических вычислениях. Так как же использовать эту технику?

Вот как это работает:

• Придумайте пароль, но попробуйте сделать его как сочетание прописных и строчных букв, цифр и символов.

• Придумайте шаблон / схему, которую вы можете запомнить, например первую букву каждого слова из отрывка вашей любимой песни или набор символов, таких как (… ../////)

• Используйте этот шаблон и повторите его несколько раз (набирая пароль)

Давайте рассмотрим пример этого:

Пароль:

I.lto! MUO2012

Применяя этот подход, пароль становится Haystacked Password:

… ..///// I.lto! MUO2012 … ../////

Так что для вашей учетной записи Facebook пароль может быть:

fb… ..///// I.lto! MUO2012 … ../////

Дополнительные примеры этой техники:

818818818JaNe !!

JaNe9999999999 //

Вы поняли идею.

Очень легко вставить ваш пароль в контейнер (или стог сена). Теперь давайте проверим надежность пароля учетной записи Facebook с помощью калькулятора пространства поиска brute force:

Этот метод решает две вышеупомянутые проблемы, которые:

• Чем сложнее ваш пароль, тем труднее его запомнить пользователю, и тем более вероятно, что он будет записан и утерян
• Самое неприятное для пользователей — это необходимость регулярной смены пароля по соображениям безопасности, особенно в организации.

7. Математика за паролем Длина и сложность

В Интернете есть много статей о том, является ли длина или сложность наиболее важной частью пароля. Вам может быть интересно: почему всегда рекомендуется (или даже требуется), чтобы пароли были длиной не менее 8 символов и представляли собой комбинацию букв, цифр и символов? И почему другие настаивают на том, что важна только длина? Правда заключается в том, что при создании любого пароля вы должны учитывать как длину, так и сложность. Причина этого объясняется следующей формулой:

X ^ L (X в степень L)

где X — количество возможных символов в пароле, а L — длина пароля.

Роджер А. Граймс написал увлекательную статью ( размер пароля имеет значение ) по анализу этой формулы. Я постараюсь сделать это простым и не утомлять вас чисто математическими вычислениями. Вспомните наиболее широко используемый метод взлома паролей, перебор, где все возможные комбинации символов пробуются один за другим в бесконечной серии догадок, пока ваш пароль не будет обнаружен. Следующий анализ показывает, как длина и сложность влияют на надежность пароля, иллюстрируя множество возможных комбинаций в каждом количестве букв.

Давайте сосредоточимся на паролях из 2 символов. Если пароль состоит только из двух букв, то мы имеем следующий анализ:

• Длина пароля = 2 символа

• Первый символ = строчные буквы (26 вариантов) + прописные буквы (26 вариантов) = 52

• Второй символ = 52 (такой же, как первый символ)

• Всего = 52 ^ 2 = 52 * 52 = 2704 комбинаций

Теперь давайте повторим процесс, но допустим, что нам разрешено добавлять цифры к паролю, но одинаковой длины (только 2 символа):

• Длина пароля = 2 символа

• Первый символ = строчные буквы (26 вариантов) + прописные буквы (26 вариантов) + цифры (10 вариантов) = 62

• Второй символ = 62 (аналогично первому символу)

• Всего = 62 ^ 2 = 62 * 62 = 3844 комбинаций

Теперь давайте повторим два последних процесса, но с паролем, увеличенным с 2 до 3 символов:

• Длина пароля = 3 символа

• Первый символ = строчные буквы (26 вариантов) + прописные буквы (26 вариантов) = 52

• Второй символ = 52 (такой же, как первый символ)

• Третий символ = 52 (так же, как первый и второй символы)

• Всего = 52 ^ 3 = 52 * 52 * 52 = 140608 комбинаций

Теперь давайте повторим процесс, но допустим, что нам разрешено добавлять цифры к паролю, но одинаковой длины (только 3 символа):

• Длина пароля = 3 символа

• Первый символ = строчные буквы (26 вариантов) + прописные буквы (26 вариантов) + цифры (10 вариантов) = 62

• Второй символ = 62 (аналогично первому символу)

• Второй символ = 62 (так же, как первый и второй символы)

• Всего = 62 ^ 3 = 62 * 62 * 62 = 238328 комбинаций

Что ты заметил? Если вы посмотрите на количество возможных комбинаций в обеих частях, вы получите ответы на вопросы, которые мы поднимали в начале. Как сложность, так и длина могут усложнить взлом пароля, но окончательная стратегия состоит в том, чтобы объединить их.

Подводя итог, время, необходимое для взлома пароля зависит от двух факторов, соответственно, в зависимости от их важности:

Длина (L): какова длина пароля (Примечание: каждый дополнительный символ занимает экспоненциально больше времени для грубой силы)

Сложность (X): сколько символов разрешено в каждой позиции (прописные, строчные, цифры и специальные символы)

8. Проверьте надежность вашего пароля

Вы можете рассматривать создание надежного пароля как раздражающую или трудную работу для вас. И хотя вы, возможно, придумали пароль, вы не уверены в его надежности. Не волнуйся! К счастью, есть много полезных веб-приложений, называемых проверками надежности паролей (или просто проверками паролей), которые могут помочь вам проверить надежность вашего пароля. И предоставить вам рекомендации по созданию более сильного.

Насколько безопасен мой пароль — очевидный пример. Это простое специализированное веб-приложение с удобным интерфейсом; в основном одно текстовое поле. Просто введите свой пароль в текстовое поле, и оно позволит вам узнать надежность пароля (показывая время, которое потребуется любому настольному ПК для его взлома) при вводе пароля. Но как это сделать? На самом деле, все эти инструменты рассчитывают надежность, используя простые математические вычисления или свои собственные алгоритмы взвешивания, и придумывают число или измерение, которое соответствует потенциальной надежности вашего пароля. Например, давайте попробуем наш пароль Haystacked: fb… ..///// I.lto! MUO2012… ../////

Это очень полезный инструмент для определения надежности вашего пароля, но в качестве меры предосторожности вам, вероятно, не следует использовать этот сервис с вашим реальным паролем. Вместо этого используйте его, чтобы узнать, что работает, а что нет.

Для получения дополнительной информации об этом инструменте и других подобных инструментах, пожалуйста, смотрите следующие ссылки:

• Пройдите ваши пароли через тест на взлом с помощью этих пяти инструментов

• HowSecureIsMyPassword: проверка надежности пароля

• Насколько безопасен ваш пароль?

• Password Meter: проверьте пароли на прочность

• Проверка на прочность: проверка надежности вашего пароля

Кроме того, в ранее упомянутой службе безопасности Microsoft есть бесплатный инструмент Microsoft Password Checker для проверки надежности вашего пароля. Просто зайдите туда, введите свой пароль и получите мгновенный рейтинг прочности: слабый, средний, сильный или лучший, который отображается на цветной полосе под текстовым полем, как показано на следующем снимке:

Подробнее: проверьте надежность своих паролей в Microsoft Password Checker

ПРИМЕЧАНИЕ. Безопасность — ваша первая ответственность. Поэтому в целях безопасности мы настоятельно рекомендуем вам быть осторожными с использованием этих инструментов. Следовательно, в качестве передового опыта используйте веб-приложения такого типа (независимо от знания того, что веб-приложение / служба использует скрипт на стороне клиента для проверки пароля, без отправки чего-либо на сервер или нет) в качестве упражнения для чтобы вы знали, как придумать надежный пароль, используя разные символы, символы и цифры. Просто поиграйте с этим, создав поддельные пароли и протестировав их.

Вы ДОЛЖНЫ быть единственным человеком, который знает ваш действительный пароль.

9. Методы управления паролями

Вы можете подумать, что создание надежных, безопасных и уникальных паролей для каждой из ваших учетных записей в Интернете невозможно, поскольку будет сложно запомнить их все. К счастью, существует множество методов, включая инструменты и сервисы, которые делают ваши пароли безопасными и доступными с нескольких компьютеров и устройств.

9.1 Алгоритмы

9.1.1 Многоуровневая система паролей

Говоря простым языком, многоуровневые парольные системы подразумевают наличие разных уровней паролей для разных типов веб-сайтов, где сложность пароля зависит от последствий, если этот пароль будет скомпрометирован / получен. У вас может быть два или три уровня веб-сайта или безопасности или пароли. Очевидным распространенным примером системы многоуровневых паролей является Трехуровневая система паролей или подход, который в основном разделяет типы веб-сайтов или безопасности на три уровня:

• Низкая безопасность: для подписки на форум, рассылку новостей или загрузки пробной версии для определенной программы.

• Средний уровень безопасности: для сайтов социальных сетей, веб-почты и служб мгновенных сообщений.

• Высокий уровень безопасности: для всего, что связано с вашими личными финансами, например для банковских и кредитных карт. Если они скомпрометированы, это может резко и негативно повлиять на вашу жизнь.

Имейте в виду, что эта классификация должна основываться на том, насколько важен каждый тип веб-сайта для вас. Что идет в какой категории будет варьироваться от человека к человеку.

Дело в том, что вам не нужно запоминать сотни паролей, чтобы гарантировать, что ваши учетные записи не будут скомпрометированы. Используйте действительно надежные пароли только для своих учетных записей с высоким и средним уровнем безопасности.

9.1.2 Дерево паролей

Это ручной способ создания дерева на листе бумаги для категоризации веб-сайтов с указанием паролей под каждым из них. Амит Агарвал, автор «Наиболее полезных сайтов» , предлагает хороший подробный пример в своем блоге .

9.2 Что такое Менеджер паролей?

Большинство людей согласны с тем, что количество паролей, которое вам нужно в Интернете, растет. Поэтому наличие надежного и безопасного пароля для каждой учетной записи важнее, чем когда-либо. Это приводит к проблеме: трудно отслеживать все ваши разные пароли.

Менеджер паролей — это программа, которая позволяет безопасно хранить все ваши пароли и хранить их в безопасности, как правило, используя один мастер-пароль. Этот вид программного обеспечения сохраняет зашифрованную базу паролей, которая надежно хранит ваши пароли на вашем компьютере или в Интернете.

9.3 Типы Менеджеров Паролей

Существует множество бесплатных и платных услуг, поэтому внимательно изучите свои исследования, прежде чем решить, какой из них вы хотите использовать.

9.3.1 Автономный:

Они хранят ваши пароли локально на вашем компьютере, и есть три различных вида:

Desktop-Based

Это тип менеджера паролей, который хранит вашу личную информацию — имена пользователей и пароли — в зашифрованном локальном файле (или базе данных) на жестком диске компьютера.

портативный

Пароли будут храниться на мобильных / переносных устройствах, таких как смартфон, или в виде переносного приложения на карте памяти USB или на внешнем жестком диске.

На основе браузера

Аналогичен настольным и переносным менеджерам паролей, но встроен в веб-браузер. Примеры включают инструменты управления паролями, предлагаемые Firefox и Chrome.

9.3.2 Веб-интерфейс

Веб-решение для управления паролями позволяет получать доступ к паролям из любого места через браузер, поскольку они хранят ваши пароли в облаке.

9.3.3. На основе токенов

Им требуется дополнительный уровень аутентификации (часто называемый многофакторной или двухфакторной аутентификацией), например, требующий от пользователя разблокировать свои пароли, вставив прилагаемое портативное физическое устройство (например, смарт-карту), чтобы получить доступ к вашим паролям.

Таким образом, в следующей таблице приведены основные функции и недостатки между этими типами:

	Standalone	Веб-	На основе маркеров
	рабочий стол	портативный	браузер
преимущества (Характеристики)	Локальная центральная зашифрованная база данных ПРИМЕЧАНИЕ. Некоторые менеджеры паролей этого типа не обеспечивают никакой защиты хранимых паролей. Избежать их.	Портативность (поскольку копия центральной зашифрованной базы данных будет находиться на вашей флэш-памяти USB) Более доступный, чем другие автономные приложения, так как USB-накопитель будет носить с собой	Простота использования, так как он является частью браузера	портативность доступность	Гораздо безопаснее Устранить единственную точку потенциального отказа
Недостатки	Отсутствие доступа вдали от вашего компьютера	Забудьте или потеряете флешку, и вы потеряли свои пароли.	Отсутствие доступа (если вы не используете инструмент синхронизации) Не безопасно, даже с мастер-паролем	Вы не можете контролировать, где хранятся данные. На него влияет безопасность сервера или системы, на которой они находятся, или безопасность самой компании.	Более дорогой Менее портативный
Как написал Майк Вебер в своей статье « Управление паролями: сколько вам нужно запомнить? ”, Автономные и веб-менеджеры паролей являются программными решениями, на которые влияет безопасность системы, в которой они находятся.

Как видите, таблица выше демонстрирует много вещей, которые вы должны принять во внимание:

• Существует обратная связь между удобством использования и безопасностью (удобство использования и безопасность)

• Вы не должны полностью полагаться на любой тип менеджера паролей

• Ваш единственный мастер-пароль должен быть уникальным и сложным

• Будьте осторожны при использовании функции генератора паролей, включенной в некоторые менеджеры паролей. Если менеджер паролей использует слабый генератор случайных чисел, пароли могут быть легко угаданы.

Так какой из них лучший? Или что нам делать? Будьте терпеливы с нами и продолжайте читать, чтобы узнать, но пока учтите, что вы должны использовать различные меры безопасности, и вам следует чередовать способы обращения с паролями.

Инструменты управления паролями — действительно хорошие решения для уменьшения вероятности того, что пароли будут скомпрометированы, но не полагайтесь на один источник. Почему? Потому что любой компьютер или система уязвимы для атаки. Опора на инструмент управления паролями создает единую точку потенциального сбоя.

9.4 Примеры менеджеров паролей

9.4.1 KeePass

KeePass — это популярный кроссплатформенный менеджер паролей с открытым исходным кодом. Он доступен для Windows, Linux и Mac OS X, а также для мобильных операционных систем, таких как iOS и Android. Он хранит все ваши пароли в одной базе данных (или в одном файле), которая защищена и заблокирована одним главным ключом. База данных KeePass — это в основном один файл, который можно легко перенести (или сохранить) на любой компьютер. Перейдите на страницу загрузки, чтобы получить свою копию.

Вот как это сделать в Windows:

После открытия KeePass создайте базу данных, нажав кнопку «Новая база»

Появится новое окно, в котором вас попросят ввести мастер-пароль и / или диск с ключами, как показано на рисунке. [9.4.3]

Введите свой пароль в поле мастер-пароля и нажмите «ОК»

Когда вы вводите свой пароль, он сообщит вам, сколько битов шифрования он предоставит, а также под строкой ввода пароля есть индикатор надежности пароля, чтобы сообщить вам, насколько надежен ваш пароль. Быстрое напоминание: используйте один, уникальный и надежный мастер-пароль для блокировки и разблокировки вашей базы паролей. Затем вы должны сохранить эту базу паролей.


Затем введите его еще раз в окне «Повторите мастер-пароль» и нажмите «ОК».

После того, как вы создали базу паролей, вам необходимо настроить базу данных и сохранить ее. Поэтому нажмите кнопку «Файл», затем перейдите к «Сохранить как».

Введите имя для нового файла базы паролей в окне «Сохранить как» и нажмите «ОК».

Настало время добавить запись в вашу базу паролей. Для этого нажмите кнопку «Добавить запись» (значок в форме клавиши).

Откроется окно «Добавить запись». В окне есть ряд полей и инструментов, таких как:

• Группа: готовые папки, в которые можно упорядочивать и сортировать пароли. Например, интернет-группа была бы хорошим местом для хранения пароля для вашей учетной записи Facebook или других учетных записей веб-сайта.

• Название: имя, которое вы можете использовать для описания конкретной записи пароля, например, пароль Facebook и так далее.

• Имя пользователя: имя, связанное с вводом пароля, например @ . ком

• Пароль: это одна из замечательных функций KeePass; генерация безопасного зашифрованного пароля. Эта функция автоматически генерирует случайный безопасный зашифрованный пароль при открытии / активации окна «Добавить запись» .

Чтобы увидеть свой пароль, нажмите кнопку «Показать пароль» (кнопка с тремя точками) справа от пароля.

Чтобы сгенерировать случайный безопасный зашифрованный пароль либо для новой учетной записи, либо для изменения существующего пароля, нажмите кнопку справа от повторного ввода и непосредственно под кнопкой «Показать пароль».

• Повторить: введите пароль еще раз, чтобы подтвердить его.

• Качество. Показывает, насколько надежен ваш пароль, с помощью индикатора качества по мере ввода (или надежности пароля).

• URL: ссылка (или веб-адрес) на веб-сайт, связанный с вводом пароля, например mail.yahoo.com.

• Примечание. Общая информация об учетной записи или веб-сайте, которая может быть полезна в ситуациях, когда вы ищете определенную запись или у вас есть определенные настройки для вашей учетной записи.

• Истекает. Это дата истечения срока действия, которую вы можете использовать, если хотите ввести пароль в течение ограниченного периода времени. Вы также можете добавить напоминание для себя, чтобы изменить пароль в указанное время. И вы увидите красный крестик рядом с именем пароля, когда он истек.

• Вложение: это файл-вложение для ввода пароля. Еще одна замечательная особенность KeePass — наличие встроенной программы просмотра текстовых файлов, изображений и документов. Таким образом, вам не нужно экспортировать вложенный файл, чтобы просмотреть его.

Нажмите «ОК», как только вы введете свою информацию, чтобы сохранить изменения. Экран «Добавить запись» будет закрыт, и вы попадете в главное окно, где ваш пароль будет отображаться в разделе «Группа электронной почты».

Затем, если вы хотите использовать любую из ваших записей, просто щелкните по ней правой кнопкой мыши и выберите «Копировать имя пользователя» или «Копировать пароль» и вставьте ее на веб-сайт.

Недостаток: если вы забудете мастер-пароль, все остальные ваши пароли в базе данных будут потеряны навсегда, и восстановить их невозможно. Не забудьте этот пароль!

KeePass — это локальная программа, но вы можете сделать ее облачной, синхронизировав файл базы данных с помощью Dropbox или другой подобной службы. Ознакомьтесь с статьей Джастина Пота: получите шифрованную кроссплатформенную синхронизацию паролей с KeePass и Dropbox

Дополнительные полезные ссылки об этом инструменте:

• KeePassX — Безопасное управление паролями для Linux и OS X

• Использование Keepass для защиты ваших учетных записей в Интернете

9.4.2 Менеджер паролей Mozilla Firefox

Менеджер паролей Mozilla Firefox — это менеджер паролей, встроенный в браузер. Это может сохранить информацию для входа в систему (имена пользователей и пароли), которые вы используете во время веб-серфинга, чтобы вам не приходилось вводить их снова при следующем посещении веб-сайта или службы. Вы можете заметить, когда вводите свою регистрационную информацию в первый раз на Facebook или другом сайте; окно появляется в верхней части веб-страницы.

Это окно содержит вопрос и выпадающее меню. Вопрос говорит: «Вы хотите, чтобы Firefox запомнил этот пароль?», И в раскрывающемся меню есть три параметра;

«Запомнить пароль»: если вы выберете его, Firefox сохранит данные для входа и автоматически введет их для вас при следующем посещении веб-сайта.

«Никогда для этого сайта»: Firefox не будет сохранять информацию для входа и никогда не будет запрашивать вас снова, пока вы не очистите исключения в диспетчере паролей.

«Не сейчас»: браузер пропустит сохранение вашего имени пользователя и пароля на этот раз, но попросит снова в следующий раз.

Обратите внимание, что при щелчке вне приглашения «Запомнить пароль» оно исчезнет. Чтобы вернуть его обратно, просто нажмите значок ключа в левой части адресной (или адресной) панели.

Мастер-пароль — одна из невероятных функций, которыми обладает защищенный браузер Firefox. Это функция для защиты сохраненных паролей и других личных данных. Настоятельно рекомендуется использовать функцию мастер-пароля, если ваш компьютер используется другими пользователями, чтобы они не видели список сохраненных паролей. Параметр мастер-пароль не выбран по умолчанию. Однако вы можете легко установить его, выполнив следующие действия:

Нажмите кнопку «Firefox» в верхнем левом углу.

Перейдите в меню «Опции» и выберите «Опции».

Там вы найдете 8 различных панелей настроек: Общие, Вкладки, Контент, Приложения, Конфиденциальность, Безопасность, Синхронизация и Дополнительно.


Выберите вкладку «Безопасность».

Установите флажок «Использовать мастер-пароль».

Появится новое окно, в котором вас попросят ввести мастер-пароль, как показано на рисунке.

Введите свой пароль в поле «Введите новый пароль».

Затем введите его еще раз в поле «Re-enter password» и нажмите «OK».


Еще одна вещь, которую необходимо знать, — как указано на официальном сайте Mozilla, — для каждой сессии Firefox вам потребуется вводить этот мастер-пароль только в первый раз, когда вы попросите Firefox запомнить новый пароль или удалить пароли, а затем каждый раз, когда вы хотите увидеть список сохраненных паролей.

10. Двухфакторная аутентификация

Иногда пароля недостаточно. Двухфакторная аутентификация идет дальше, требуя как что-то, что вы знаете (ваш пароль), так и что-то, что у вас есть (ваш телефон), чтобы войти в систему.

Проще говоря: это метод аутентификации, который использует две независимые части информации для проверки того, кто кто-то является. Зачем использовать это? Потому что паролей недостаточно для защиты важных логинов. Двухфакторная проверка подлинности более эффективна, поскольку снижает вероятность кражи или взлома вашей учетной записи кем-либо еще. Утилита Google «Google Authenticator» является отличным примером применения такого подхода к аутентификации.

Если вы не включили двухфакторную аутентификацию для Google, я настоятельно рекомендую вам сделать это. Google Authenticator — это сервис, который предоставляет вам двухфакторную аутентификацию (также известную как «двухэтапная проверка»). Оно доступно в виде приложения для мобильных телефонов iPhone, Android, Windows Phone и BlackBerry. Это простое приложение было разработано специально для того, чтобы предоставить пользователям Gmail дополнительный уровень безопасности для их учетных записей, предоставляя дополнительный шестизначный код в дополнение к их имени пользователя и паролю для входа в приложения Google. Это означает, что помимо знания имени пользователя и пароля, пользователю необходимо иметь одноразовый пароль (OTP), отправленный на телефон или сгенерированный приложением, чтобы войти в учетную запись. Вы можете получить коды аутентификации с помощью следующих трех опций:

• Смартфон, такой как Android или iPhone, с помощью приложения Google Authenticator.

• SMS текстовое сообщение.

• печатный список; когда твой телефон не работает.

Каждый, кто использует Gmail (или Google Apps), Facebook или другие службы, предлагающие 2FA, должен начать использовать эту функцию как можно скорее. Вот отличная статья Тины Зибер охватывает все, что связано с этим методом безопасности.

11. HTTPS: дополнительная безопасность

Как писал Мэтт Смит в своей статье « Как бороться с рисками безопасности WiFi при подключении к публичной сети» :

«Как теперь знают многие, подключение к общественной незащищенной беспроводной сети может иметь серьезные риски. Известно, что это может открыть путь к любой краже данных, особенно к паролям и личной информации ».

Публичная сеть Wi-Fi открыта, а беспроводные сети работают так же, как и радио. Это означает, что информация будет передаваться по радиоволнам (например, радиопередачи) во всех направлениях, и любой, кто находится в пределах досягаемости, может легко все это прочитать — если только она не зашифрована. Вот почему HTTPS имеет решающее значение, если вы используете незащищенную сеть. Когда вы используете HTTPS, ваша личная информация, такая как имена пользователей и пароли, шифруется по сети. Это означает, что даже если сеть общедоступна или открыта, ваши логины в любой из ваших учетных записей не видны людям, которые хотят получить ваши данные для входа в систему с помощью каких-либо сторонних инструментов (или инструментов сниффинга).

Так что же такое HTTPS? Как объясняется в Википедии , HTTPS означает «Безопасное превращение протокола передачи гипертекста» — вы можете сказать, что сайт использует его, когда вы видите «https» в адресной строке, где обычно «http». В настоящее время это опция входа по умолчанию для веб-сервисов, включая Gmail, Facebook и другие.

Если вы хотите безопасно просматривать веб-страницы, я настоятельно рекомендую использовать Mozilla Firefox в качестве браузера по умолчанию и использовать HTTPS, когда он доступен. Также я рекомендую вам использовать расширение Firefox под названием HTTPS Everywhere , которое будет включать HTTPS, когда это возможно. Для получения дополнительной информации о том, почему вы должны использовать Firefox в качестве браузера по умолчанию или как использовать его расширение HTTPS Everywhere, перейдите по следующим ссылкам:

• Работа с Firefox: неофициальное руководство

• Шифрование веб-браузера с помощью HTTPS Everywhere [Firefox]

12. Примеры управления паролями

Короче, не кладите все яйца в одну корзину. Реально, если все яйца (ваши пароли) поместить в одну корзину (например, в зашифрованную базу данных с помощью диспетчера паролей), у вас будет много проблем после компрометации. Вместо этого попытайтесь использовать все методы управления паролями, упомянутые в этом руководстве, если можете. Вот метод, который я использовал в прошлом.

Многоуровневые пароли. Сначала я классифицировал свои пароли в зависимости от того, насколько важна данная учетная запись:

• Низкая безопасность: форумы или информационные бюллетени — места, где я не использую конфиденциальную личную информацию или данные.

• Средний уровень безопасности : Facebook, Google+ и электронная почта.

• Высокий уровень безопасности: для всего, что связано с моими личными финансами, например для банковских и кредитных карт.

Теперь, основываясь на этой многоуровневой системе паролей, я использовал различные шаблоны паролей, менеджеры паролей которых приведены в следующей таблице:

	Низкий	средний	Высоко
Генерация пароля	Сначала я использовал один и тот же пароль для большинства из них, а затем использовал случайные пароли.	Я использовал один базовый пароль и изменил последние или первые две буквы, указав что-то на сайте.	Используются разные надежные сложные уникальные пароли для каждой учетной записи. Настоятельно рекомендуется не использовать один базовый пароль здесь
Ручное управление паролями (лист бумаги)	да	нет	нет (Мы настоятельно рекомендуем вам не использовать его)
Инструмент управления паролями	Да. Менеджер паролей на основе браузера (менеджер паролей Firefox)	Да. KeePass инструмент для управления паролями.	Нет. Я использую свой мозг, чтобы запомнить любой пароль, связанный с любой учетной записью, имеющей какую-либо личную финансовую информацию.
Дополнительный уровень безопасности	Нет.	Нет. Я только начал использовать 2FA с моей Gmail, и я собираюсь использовать его с моими учетными записями Facebook и Dropbox.	Да. Я использовал 2FA, потому что мой банк требует от всех своих клиентов.
Частая смена пароля	Нет.	Нет.	Да. ПРИМЕЧАНИЕ. Настоятельно рекомендуется оценить надежность ваших паролей и изменить их на основе этого обзора.

Примечание. Вы можете использовать эту таблицу в качестве шаблона для запуска собственного дерева управления паролями или системы. Однако не стоит слишком на это полагаться. Попытайтесь придумать систему, которая соответствует тому, что важно для вас, и с учетом последних стандартов безопасности.

Разумеется, ключом к этому является то, что вы никогда не должны повторно использовать пароль между сайтами.

13. Как защитить ваши пароли?

Понятно, что пароли являются защитной линией защиты ваших учетных записей. Вот несколько советов, которые помогут вам защитить ваши пароли — будь вы на работе, дома или в кафе:

Вы никогда не должны записывать или записывать свой пароль на заметку.

Никогда и никому не сообщайте свой пароль, даже своим коллегам.

Вы должны быть очень осторожны при использовании ваших паролей на общедоступных ПК, таких как школы, университеты, библиотеки и т. Д. Почему? Потому что есть вероятность, что эти машины заражены кейлоггерами (или методами регистрации нажатий клавиш ) или троянскими конями с кражей паролей.

Не используйте функции сохранения пароля, такие как функция автозаполнения Google Chrome или функция автозаполнения Microsoft, особенно на общедоступных ПК.

Не заполняйте какую-либо форму в Интернете своей личной информацией, если только вы не уверены, что можете ей доверять. В настоящее время в Интернете полно мошеннических веб-сайтов, поэтому вы должны знать о попытках фишинга.

Используйте надежный и безопасный браузер, такой как Mozilla Firefox. Firefox исправляет сотни обновлений безопасности и вносит существенные улучшения, просто чтобы защитить вас от вредоносных программ, попыток фишинга, других угроз безопасности и обеспечить безопасность во время работы в Интернете.

Следите за базой данных PwnedList, чтобы проверить, есть ли ваше имя пользователя или адрес электронной почты в списке утечек данных учетной записи в Интернете.

Следите за последними новостями и обзорами программного обеспечения для управления паролями и инструментов для взлома паролей. Исходя из этого, вы сможете решить, когда вам нужно изменить свои пароли.

14. Новости безопасности

Как упоминалось в последнем совете выше, вы должны быть в курсе последних новостей о безопасности; нарушения безопасности происходят постоянно. Если вы быстро выполните поиск в Google последних новостей о безопасности, вы будете поражены количеством ресурсов, посвященных безопасности. Я не буду говорить обо всех из них, но я выделю наиболее важные ресурсы, предназначенные для широкой аудитории:

14.1 Безопасность сейчас

У исследователя безопасности Стива Гибсона есть интересный подкаст под названием Security Now . Я слушаю этот подкаст уже несколько недель и могу вам сказать, что сам этот подкаст не является сверхтехническим и не предназначен для гуру / программистов безопасности. В каждом эпизоде ​​Гибсон объясняет и отвечает на вопросы слушателей, касающиеся всего: от онлайн-аутентификации, безопасности Wi-Fi, криптографии до шпионских программ, вредоносных программ, вирусов и многих других вещей. Удивительно, но вы можете прослушать этот подкаст на своем iPhone или iPad.

Кстати, не беспокойтесь, что вы пропустили какие-либо эпизоды, потому что каждый подкаст заархивирован как с высокой и низкой пропускной способностью звука, так и с полной расшифровкой. Просто зайдите на сайт Security Now, чтобы начать получать больше информации о безопасности.

14.2 PwnedList

Этот инструмент помогает пользователям выяснить, были ли взломаны их учетные данные. Если вы зайдете на сайт сервиса, вы увидите актуальную статистику количества утечек учетных данных, паролей и адресов электронной почты.

PwnedList постоянно отслеживает (или сканирует) сеть, чтобы находить украденные данные, размещенные хакерами на общедоступных сайтах, а затем индексирует всю найденную им информацию для входа. Кроме того, недавно был запущен новый сервис, который предупреждает вас, когда ваши учетные данные публикуются хакерами. Этот инструмент мониторинга доступен как бесплатный сервис для отдельных лиц. Так чего же вы ждете? Перейдите на страницу регистрации и начните получать уведомления и обновления о ваших учетных данных.

15. Что нужно запомнить (рекомендации)

Давайте рассмотрим основные идеи и моменты, просто для обзора.

ВСЕГДА используйте сочетание прописных и строчных букв, а также цифр и специальных символов.

У вас должен быть свой надежный пароль для каждого сайта, учетной записи, компьютера и т. Д., И НЕ используйте в своем пароле личную информацию, такую ​​как ваше имя или данные о рождении.

НЕ разглашайте ваши пароли и конфиденциальные данные кому-либо, даже вашим коллегам или агенту службы поддержки в вашей компании. Кроме того, используйте свои пароли осторожно, особенно на публичных ПК. Не будьте жертвой серфинга на плечах .

Как мы уже упоминали в разделе «Методы управления паролями», это отличный шаг для использования приложений диспетчера паролей, таких как LastPass и 1Password, которые помогут вам в создании, хранении и запоминании уникальных паролей. Однако для большей безопасности вы не должны полагаться исключительно на них. Грант Бруннер написал в ExtremeTech увлекательную статью о безопасности в сети: использования менеджера паролей просто недостаточно . В нем он писал: «Использование менеджера паролей для всех ваших учетных записей — очень разумная идея, но не поддавайтесь ложному чувству безопасности. Вы не застрахованы от взлома или простоев». Вообще говоря, менеджеры паролей такие как LastPass похожи на любое программное обеспечение: уязвимы для нарушений безопасности. Например, LastPass столкнулся с нарушением безопасности в 2011 году, но пользователи с надежными мастер-паролями не пострадали.

И наша последняя рекомендация, которую мы настоятельно рекомендуем вам, — начать оценивать свои пароли, строить свою многоуровневую систему паролей, чередовать способы создания паролей и их хранения с помощью менеджеров паролей или дерева паролей, быть в курсе последних новостей безопасности и регулярно меняйте свои пароли.

Больше подробностей:

• Руководство по безопасности паролей (и почему вы должны заботиться)

• Как овладеть искусством паролей

• Как создать надежный пароль, который вы не забудете

• Как создать надежные пароли, которые вы можете легко запомнить

Кроме того, у нас есть растущее хранилище полезных и полезных советов по безопасности, которые необходимо просмотреть, чтобы быть в курсе в этой абсолютно важной области.

Те из вас, кто является новичком в области информационной безопасности и хотят узнать больше о безопасности, должны, вероятно, прочитать « HackerProof: ваше руководство по безопасности на ПК », которая предоставит вам обзор информации, необходимой для безопасности вашего ПК.

Вывод

В современном информационном веке пароли являются жизненно важным аспектом вашей безопасности. Они являются защитной линией фронта и наиболее широко используемым методом аутентификации, который обеспечивает защиту учетных записей пользователей вашего компьютера или сетевых учетных записей. Однако благодаря новым методам, используемым взломщиками паролей и более быстрому оборудованию, то, что год назад считалось надежным паролем, теперь можно считать открытым окном для вашего компьютера или учетной записи в Интернете. Это не означает, что вам следует бояться, но это означает, что вы должны всегда быть в курсе последних новостей о безопасности, когда это возможно. Вы не застрахованы от взлома или простоев. Чтобы быть по-настоящему надежным и безопасным, вам необходимо локально хранить зашифрованную копию базы данных паролей, по возможности использовать многофакторную аутентификацию, просматривать последние новости о безопасности, оценивать свои пароли и часто их менять.

Это оно! Я надеюсь, что вы получили хорошее представление о безопасности и изучили новые методы, прочитав это. Настройка надежной системы управления паролями требует времени, практики и терпения, но это стоит делать, если вы беспокоитесь о своей безопасности. Это делает вашу жизнь более безопасной, чем раньше. Наслаждайтесь!

«СОБЛЮДАЙТЕ СВОЙ ПАРОЛЬ»

ВАША ЗУБНАЯ ЩЕТКА »