Кому он нужен? 5 мифов о паролях и как подобрать по-настоящему эффективный
Безопасность аккаунта во многом определяется надежностью пароля. Во многом – но не полностью? Зачем тогда придумывать что-то сложное, если есть двухфакторная аутентификация, менеджеры паролей и специализированные средства защиты?
Пароли – этот метод аутентификации окружает множество мифов. Какие из них оправданы, а какие нет – разберемся вместе с “Лабораторией Касперского”.
Миф 1. Сложный пароль не нужен — всё равно взломают
Несмотря на то, что комбинации вроде «123456» или «password» давно стали мемом, люди продолжают их использовать. Некоторые могут ошибочно полагать, что нет смысла тратить время на создание сложных паролей — всё равно могут взломать. Но это не так: по-настоящему надёжный пароль значительно усложняет жизнь злоумышленникам. Особенно, если его правильно хранить и не использовать одну и ту же комбинацию для всех учётных записей подряд.
Запомните: стойкий к взлому пароль содержит не менее 12 знаков, заглавные и строчные буквы, специальные символы и цифры. А вот осмысленные слова, выражения или числовые комбинации — например, имя и фамилия, день рождения и другие памятные даты, клички питомцев — использовать не стоит. Запомнить их действительно может быть проще, но и подобрать — тоже.
Миф 2. Надёжный пароль нет смысла регулярно менять
«Пароль сложный — значит менять его не нужно». Так может подумать обычный пользователь. Но регулярное обновление паролей снизит риски в случае утечки (а тут злоумышленники очевидно не сбавляют обороты). Если в руках недоброжелателей окажется неактуальная комбинация, они не смогут получить доступ к аккаунту.
Миф 3. Пользоваться менеджерами паролей нет смысла — придумать надёжный пароль можно и самому
Придумать (и даже запомнить) пару-тройку сложных паролей можно. Но что делать, если у человека 10, 15 или больше учётных записей? Менеджеры паролей помогают создавать сложные и уникальные комбинации, но это не единственное их преимущество. Можно сказать, что такие программы, по сути, уменьшают нагрузку на пользователя по обеспечению собственной кибербезопасности. Они сгенерируют сложные пароли, будут хранить их в зашифрованном виде, напомнят, когда придёт время обновить, предложат опцию автозаполнения полей входа и форм авторизации, чтобы сэкономить время.
Перечисленный функционал есть, например, в Kaspersky Password Manager. К тому же в приложении можно хранить в зашифрованном виде важные файлы, например скриншоты или сканы документов — паспорта или водительского удостоверения, чтобы они всегда были под рукой. Почему не стоит оставлять их без защиты на смартфоне, рассказывали тут.
Миф 4. Надёжного пароля достаточно
Пароль — важный элемент защиты данных пользователя, но не единственный. Можно сказать, что сегодня наиболее эффективный способ обезопасить аккаунт — настроить двухфакторную аутентификацию. В большинстве популярных приложений — банков, соцсетей и онлайн-магазинов — такая функция уже реализована. Это способ аутентификации, при котором для входа в аккаунт нужно ввести сначала пароль, а потом ещё один фактор, например:
• код из СМС или push-уведомления;
• одноразовый код из специального приложения (ТОТР);
• отпечаток пальца (и не только).
С push-уведомлением и СМС или отпечатком пальца всё более-менее понятно. Но зачем нужны такие сложности с ТОТР-кодом? Это ещё один дополнительный шаг, который может помочь повысить уровень безопасности аккаунта. Всё дело в том, что для входа в приложение-аутентификатор, где генерируются одноразовые коды, можно установить свой отдельный пароль.
В Kaspersky Password Manager также есть встроенный кросс-платформенный генератор кодов двухфакторной аутентификации. Каждые 30 секунд приложение генерирует уникальные одноразовые коды и хранит их в зашифрованном виде. Чтобы получить к ним доступ, нужно ввести мастер-пароль от аккаунта в приложении или использовать отпечаток пальца / Face ID.
Миф 5. Пароли — пережиток прошлого, сейчас есть другие способы авторизации
Отказ от паролей в пользу альтернативных методов аутентификации — действительно интересный концепт, который уже предлагают некоторые сервисы. Но пока неизвестно, как он проявит себя на практике и какие проблемы могут возникнуть в будущем. Здесь остаётся только наблюдать и анализировать.
При этом нельзя сказать, что использование паролей неэффективно. Здесь опять же большую роль играет то, как пользователи соблюдают основные правила безопасности: создают ли достаточно надёжные и уникальные пароли, как их хранят, как часто меняют. Очевидно, что аутентификация с помощью приложений или биометрии с этой точки зрения эффективнее. Однако в любом случае всё сильно зависит от конкретного случая и сферы применения: идёт ли речь об аутентификации для пользователей, компаний или сфер с повышенными требованиями к безопасности.