Каждый первый четверг мая в IT-мире отмечается Всемирный день пароля. Этот день был впервые предложен в 2005 году Марком Бернеттом, известным специалистом по безопасности и автором книги «Perfect Passwords: Selection, Protection, Authentication». В своей книге Бернетт подчеркивал важность создания надежных паролей и регулярной их смены для защиты цифровых данных и учетных записей. В 2013 году компания Intel Security официально объявила первый четверг мая Всемирным днем пароля, чтобы привлечь внимание общественности к вопросам кибербезопасности и напомнить пользователям о необходимости защиты своих аккаунтов.
Тем не менее, несмотря на растущую цифровую грамотность населения и понимание необходимости использования сложных паролей, статистика показывает, что многие пользователи по-прежнему пренебрегают правилами безопасности и используют слабые, легко угадываемые комбинации.
Подтверждением служит отчет, подготовленный специалистами компании NordPass. Они изучили данные объемом более трех терабайтов из 35 стран и составили список из 200 наиболее часто встречающихся паролей.
Результаты неутешительны: 140 паролей из списка 200 самых популярных могут быть взломаны менее чем за одну секунду. Среди них комбинации цифр и «креативные» пароли, такие как «password», «qwerty» и «admin». Злоумышленникам потребуется всего секунда, чтобы подобрать пароль «user», и 11 секунд для взлома пароля «admin1234».
Сервис разведки уязвимостей и утечек данных DLBI проанализировал российские утечки данных, произошедшие в 2023 г. Согласно результатам анализа, в топ кириллических паролей вошли такие комбинации, как «йцукен», «подружка», «пароль», «12345Е», «ЙЦУКЕН123», «привет», «123йцу», «марина», «йцукен12345» и «йцукенгшщз».
Более того, пользователи часто применяют одинаковые пароли на разных ресурсах, хранят их незащищенными и даже делятся ими в мессенджерах.
Как создать сильный пароль?
Чем длиннее пароль, тем лучше. Многие сайты требуют создавать пароли из 8 символов, но сервис NordPass рекомендует использовать не менее 15 знаков. Длинные пароли гораздо сложнее взломать методом подбора.
Избегайте использования личной информации, такой как ваше имя, фамилия, адрес или дата рождения. Эти данные могут быть легко найдены злоумышленниками и использованы для взлома вашего аккаунта.
Используйте комбинацию цифр, символов, заглавных и строчных букв в случайном порядке. Чем более разнообразным и непредсказуемым будет ваш пароль, тем выше уровень его защиты.
Не используйте последовательные буквы и цифры, например «123456» или «qwerty»/ «йцукен». Такие комбинации очень легко угадать и взломать.
Избегайте простых замен символов, например, замены буквы «о» на ноль или буквы «а» на символ «@». Пароли вида «привет» и «пр!в3т» одинаково слабы и могут быть быстро подобраны при помощи атаки методом перебора.
Не используйте один и тот же пароль для нескольких аккаунтов. Если злоумышленники получат доступ к одному из ваших паролей, они смогут взломать и другие учетные записи, защищенные той же комбинацией. Однако есть удобный и безопасный способ управлять множеством уникальных паролей — менеджеры паролей.
Менеджер паролей — ваш надежный помощник
Менеджеры паролей — это специальные программы, которые помогают генерировать, хранить и автоматически подставлять сложные пароли для всех ваших аккаунтов. Вам больше не нужно запоминать десятки комбинаций символов — достаточно помнить один мастер-пароль от менеджера.
Среди популярных менеджеров паролей можно отметить LastPass, 1Password, Dashlane и Keeper. Также нельзя не упомянуть встроенный менеджер паролей в браузере Google Chrome. Он автоматически предлагает сохранять и синхронизировать ваши пароли между устройствами через аккаунт Google. Это удобное решение для тех, кто уже пользуется сервисами Google и хочет простой способ управления паролями без установки отдельных программ. Однако, в отличие от специализированных менеджеров, он имеет меньше функций и настроек безопасности.
Стоит отметить, что даже с уникальными сложными паролями в менеджере всегда есть риск взлома аккаунта, например, через фишинг или утечку данных. Поэтому эксперты рекомендуют дополнительно защищать важные учетные записи при помощи многофакторной аутентификации.
MFA — промежуточный этап на пути к беспарольному будущему
Многофакторная аутентификация (MFA) — это метод идентификации пользователя, требующий предоставления двух и более доказательств для получения доступа к ресурсу. Помимо пароля, MFA может запрашивать код из SMS, push-уведомление в приложении, биометрические данные или аппаратный ключ безопасности.
Например, Telegram предлагает включить двухфакторную аутентификацию в настройках конфиденциальности. После этого при каждом входе в аккаунт с нового устройства, помимо ввода пароля, нужно будет ввести код из SMS или из специального приложения для генерации кодов. Это значительно усложнит злоумышленникам доступ к вашей переписке, даже если они узнают пароль.
Однако MFA все еще зависит от пароля как одного из факторов. Поэтому она рассматривается как промежуточное решение на пути к полностью беспарольным методам, использующим только аппаратные ключи и биометрию. Но даже с паролем MFA намного надежнее обычной парольной защиты и должна применяться везде, где это возможно.
Беспарольная аутентификация: новый уровень безопасности и удобства
Беспарольная аутентификация готовится прийти на смену не только обычной (парольной), но и продвинутой — двухфакторной и мультифакторной. Сейчас техника дошла до того, что мы можем войти на сайт, банально разблокировав экран смартфона с помощью графического ключа или Face ID. Такой способ аутентификации называется Passkeys, и именно над ним сейчас работают Apple, Google, Microsoft и другие компании — участники альянса FIDO (организации, выступающей за отмену паролей).
Принцип работы Passkeys прост и удобен для пользователя:
- Пользователь создаёт на своём смартфоне ключи, которые нужны для подтверждения входа на новых устройствах. По сути, превращает свой смартфон в USB-ключ или криптографический токен.
- Заходит на сайт или в приложение с нового компьютера и нажимает кнопку «Войти в аккаунт».
- Ему предлагают ввести логин: адрес электронной почты, никнейм или номер телефона.
- На телефон, на котором созданы ключи, приходит уведомление — с просьбой разблокировать телефон и разрешить доступ.
- Пользователь разблокирует телефон и жмёт кнопку «Подтвердить».
- Готово — аутентификация пройдена успешно.
Помимо Passkeys, существуют и другие методы беспарольной аутентификации, такие как:
- Биометрическая идентификация по отпечатку пальца, лицу, голосу
- Аппаратные USB-ключи и токены
- Одноразовые коды из SMS или специальных приложений
- Push-уведомления для подтверждения входа
- QR-коды для сканирования в мобильном приложении
Все эти способы призваны повысить безопасность и удобство пользователей по сравнению с традиционными паролями. Ведь украсть биометрические данные или физический ключ намного сложнее, чем подобрать пароль. А пользователям больше не нужно запоминать множество сложных комбинаций символов.
Крупные IT-компании, такие как Google, Apple, Microsoft активно продвигают новые стандарты беспарольного входа. В российских сервисах беспарольная авторизация тоже доступна, например, через «Яндекс ID» и VK Connect.
Подводя итог, можно сказать, что будущее однозначно за беспарольной аутентификацией. Она обеспечивает более высокий уровень защиты от взлома учетных записей и фишинга, избавляет пользователей от необходимости придумывать и запоминать сложные пароли. При этом выбор конкретного метода — биометрия, аппаратные ключи, одноразовые коды — зависит от потребностей и возможностей конкретного сервиса и его аудитории. Но общий тренд очевиден — пароли постепенно уходят в прошлое, уступая место более современным и надежным способам подтверждения личности в цифровом мире.