Все пароли должны быть:
🎲 Случайно сгенерированы
🔢 Больше 12 символов
При обоих этих условиях пароли могут быть даже только из строчных букв! Перебор всех вариантов займет миллионы лет.
Сервисы зря требуют использовать прописные, строчные буквы, символы пунктуации и цифры. Это неуклюжая попытка запретить использование плохих паролей. Разработчики могут генерировать пароль за пользователя — как это уже делается с API-токенами.
При взломе крупных сервисов пароли утекают к хакерам. Поэтому сами пароли, частоту их использования и логику создания очень хорошо изучили.
Современная программа для взлома сначала попробует самые частые варианты паролей и предсказуемые шаблоны. Неслучайный пароль подберут за считанные минуты. Если не сработает — только тогда начнётся полный перебор всех комбинаций.
Поэтому пароли должны быть уникальными для каждого аккаунта — пароль утекает в одном сервисе и его пробуют применить для входа во все остальные.
Также нужно помнить про социальный инжениринг. Если вы представляете интерес и хакер решит вас изучить, то он узнает многие слова и цифры из ваших постов, выписок из баз данных или даже во время переписки под видом случайного собеседника.
Контрольные вопросы для восстановления пароля тоже сильно снижают безопасность. Какой смысл держать сложнейший пароль, если легко выяснить девичью фамилию вашей матери и улицу, на которой вы выросли? Если сервис требует создать контрольный вопрос — ответом на него должен быть ещё один сгенерированный пароль, а не реальная информация.
🤷♂️ И что теперь?
– Всегда генерируй случайный пароль!
– Контрольные вопросы — зло, их следует прекратить использовать совсем.
– Используй альтернативы паролям: passkey, одноразовые sms-коды, ключи или биометрию.
– Нет 100% защиты от взлома, поэтому включай 2-х факторную аутентификацию — взломать два средства гораздо сложнее.
В следующем посте я расскажу как и где хранить пароли дома и на работе.
📩 Перешли это сообщение своим близким, пока их пароль не подобрал хакер!