Як створити складний пароль та де його зберігати?

    Нещодавно я писав про “Как узнать чужой пароль и кто знает Ваш?”, а в цій заметке як і обіцяв напишу про те як створювати, зберігати та оновлювати паролі.

    Звертаю вашу увагу, на те що ця інформація та описані мною рекомендації можуть відрізнятись від правил щодо паролів на підприємствах.

    За фахом я спеціаліст з інформаційної безпеки та вже багато років займаюсь цим напрямком, але починав я як більшість моїх колег, а саме молодшим спеціалістом в задачах якого було проводити інструктажі з питань інформаційної безпеки, де пояснював як створювати пароль, де його зберігати та що не варто робити. Інструктажі я проводив індивідуально як для всіх нових співробітників, так і для груп людей, наприклад, контакт центрів.

    18 років тому обчислювальні потужності комп'ютерів, якщо я не помиляюсь, перебирали складний пароль (великі та маленькі літери, цифри, спеціальні символи та 8 знаків) більше за 60 днів, тому змінюючи пароль кожні 60 днів мінімізувався ризик підбору та використання пароля.

До чого я це розповідаю?
Бо при сьогоднішніх технічних можливостях підібрати пароль такої складності можна за 2 - 3 дні. Ще декілька років тому, один з експертів інформаційної безпеки навіть демонстрував як з використанням декілька тисяч віртуалізованих серверів, на тому ж Amazon, дуже швидко підібрати пароль.
Що значить підібрати пароль?
Вже давно перебір пароля не здійснюється безпосередньо в системі в яку недоброзичливець бажає отримати доступ, бо такі дії помічають системи безпеки.
У більшості випадків використовується витік інформації користувачів де пароль не у відкритому вигляді, а у вигляді хешу, тому вони генерують різні послідовності паролів отримують з них хеш та порівнюють з тими які вони десь дістали.

    Хакери регулярно використовують словники, списки паролів, які просівають часто використовувані паролі, і хеш-таблиці, щоб знайти закономірності в даних користувача.

Що робити?
Колись би я сказав, що, на мій погляд, краще за все збільшити складність пароля, його довжину та використовувати додатковий фактор, наприклад, одноразові паролі, пуши в застосунках, або спеціалізовані ключі/носії та парольні фрази.
Так зараз я так саме і скажу :), щоб зменшити ризик підбору або компрометації вашого пароля - використовуйте складний і довгий пароль. Як? :)
Я сам не вірю що таке кажу - у парольних менеджерах.

    Якщо ви подумали, що далі читати не цікаво, бо буде дуже складно або вам складно буде налаштувати застосунок прочитайте про парольні фрази ниже - майже у кінці замітки.

Ви знаєте що таке парольний менеджер?
Це застосунок/програма яка допоможе вам створити надійний пароль для кожного вашого сервісу та надійно його зберегти (визначення на Wikipedia).

Особисто я користуюсь бесплатним застосунком “KeePass” (докладніше що це таке можно почитати на Wikipedia), де файл шифрованого сховища зберігається локально на робочій станції, та в якому я зберігаю паролі не від онлайн сервісів, хоча, ні, зберігаю пароль від онлайн парольного менеджера Bitwarden який в свою чергу використовую в браузерах замість вбудованих зберігачів (якщо цікаво чому так - спитайте в коментарях).

Який менеджер паролів я пораджу?
Я не буду радити вам жодного, ви маєте обрати такий застосунок самостійно, бо навіть самі популярні можуть вам не підійти - як, наприклад мені. Пропоную скористатись безплатним періодом у кожному варіанті, та обрати той який вам найзручніший або відповідний за ціною у випадку купівлі підписки, хоча в більшості випадків і безплатного достатньо.

Парольні фрази - що це таке?
Якщо вам не вдається налаштувати менеджер паролів або складно в ньому розібратись, але у вас є бажання збільшити надійність ваших паролів - використовуйте парольні фрази.

Парольна фраза - це чотири або більше довільно вибраних слова (мама мила раму вдень) -> (mama myla ramu vden) - що ми отримуємо:

Та для кожного сайту/сервісу рекомендую використовувати свій пароль, для прикладу, та щоб у вас сформувалися розуміння парольних фраз:

Для банківского сайту:
грощі в банці Монобанку -> hroshi u banci Monobanku

Для робочої електронної пошти:
цей пароль від робочої пошти -> tsey parolʹ vid robochoyi poshty

Для сайту ОСББ
ОСББ Іванів кв 71 Київ Хрещатик -> OSBB Ivaniv kv 71 Kyyiv Khreshchatyk

або простіший
ОСББ Іванів кв 71 Київ -> OSBB Ivaniv kv 71 Kyyiv

Сподіваюсь ви зрозуміли, та не забувайте хоча б інколи перевіряти чи не було витоку інформації з сайтів/сервісів якими ви користуєтесь, про це я писав тут.
Навіть якщо ви користуєтесь надійним паролем або парольною фразою у випадку витоку - обов'язково змініть ваш пароль та рекомендую по можливості змінювати його мінімум раз на рік.

Як перевірити чи немає витоку вашого пароля з сервісів якими ви користуєтесь?
Про це я писав у цій замітці тут.

Увага!
В даній замітці ми розглядали як захистити себе від підбору вашого пароля у разі витоку з одного або декількох сервісів якими ви користуєтесь. Ця замітка не захистить вас від компрометації/фішінгу - це коли ви самі комусь розповіли свій пароль або ввели його на підробному сайті.

Якщо ви скористались якимось онлайн-сервісом перевірки пароля на надійність - не використовуйте цей пароль :) створить та використовуйте інший.

Цікаво як налаштувати використання менеджеру паролів у мобільному телефоні, на прикладі iPhone?