Как выбирать пароли и пин-коды

Итак, мы разобрались с длиной и содержанием надежного пароля. Так почему бы не придумать пароль а-ля Password1234567890 и не поставить его на все сайты?

Наверняка вы слышали истории о мошенниках, которые звонят и просят назвать код из смс от госуслуг: мол, это нужно, чтобы продлить договор на сим-карту, пройти флюорографию или получить надбавку к пенсии. В комментариях к таким историям люди часто спрашивают: код от госуслуг ведь присылают, только если ввести правильный пароль.

Но чтобы получить пароль от госуслуг, мошенникам даже не приходится атаковать хорошо защищенные государственные серверы. Достаточно взломать базу данных какой-нибудь плохо защищенной компании: салона красоты, частной клиники, службы доставки. Украденный таким образом пароль хакеры как раз используют для входа в госуслуги.

Справедливости ради, крупные утечки допускают и крупные компании. Так, в 2019 году выяснилось, что пароли от 600 млн учетных записей Facebook* хранились в открытом виде в простом текстовом документе — даже без шифрования. Такие косяки встречаются и в 2024 году: например, не шифровало данные и приложение ChatGPT на macOS.

Все это позволяет хакерам собирать внушительные базы данных с паролями. Такую базу может скачать любой желающий. Например, в самой крупной известной базе содержится 10 миллиардов уникальных паролей.

Поэтому если от госуслуг, онлайн-банка, мессенджеров и интернет-магазина «Все для бани» у вас один и тот же пароль, то обязательно поменяйте его после того, как пройдете этот урок. Но чтобы понять, каким должен быть надежный пароль, сначала придется разобраться, каким он быть не должен.

Самый популярный пароль в мире — 123456. Миллионы человек продолжают использовать простейшие комбинации, которые хакеры проверяют в первую очередь.

В популярных соцсетях, почтовых службах и мессенджерах есть защита от перебора: если хакер несколько десятков раз подряд введет неправильный пароль, то сработают системы защиты. IP-адрес хакера заблокируют, а вам пришлют уведомление, что кто-то пытается вас взломать.

Однако до сих пор существуют сайты, на которых нет никакой защиты от брутфорса. Если у хакера достаточно времени, он может перебрать список из самых популярных паролей — и будет не круто, если в нем окажется ваш.

Давайте разберемся, что не стоит использовать в качестве пароля.

❌ Последовательность цифр. Минимальная длина пароля от вайфая — восемь символов. Велик соблазн облегчить себе жизнь и поставить в качестве пароля восемь цифр. Но на перебор всех сочетаний восьми цифр компьютеру хакера понадобится всего секунда. Пара дополнительных цифр задержит его всего лишь на несколько дополнительных минут.

❌ Простое слово. Второй по популярности пароль в мире — это password, то есть буквально «пароль» на английском. Большинство других слов, которые могут прийти в голову, уже наверняка есть в базах для перебора.

❌ Очевидные или повторяющиеся паттерны. Пароли в духе aaaaa, qwerty, abc123, p@ssw0rd максимально банальны. Подобные кодовые слова давно есть в базах любого хакера.

❌ Имя, дата рождения и другие общедоступные данные. Если атака направлена лично на вас, злоумышленнику ничего не стоит узнать основную информацию о вас или ваших близких. Люди часто используют в качестве паролей номера телефонов, имена и даты рождения — собственные или родственников. И хакеры об этом знают.

❌ Название сервиса или сайта. Очень удобно использовать в качестве пароля название сервиса, где вы регистрируетесь. Например, mailru123456 при создании аккаунта в почтовом сервисе. Удобно не только вам, но и хакерам.

❌ Стандартный пароль. Бывает так, что сервис или устройство задает пароль по умолчанию. Например, для входа в панель управления роутером часто предлагается использовать слово admin и как логин, и как пароль одновременно. Такую защиту стоит сменить сразу же. Подробнее о том, как защитить роутер, мы рассказали во втором уроке этого курса.

❌ Слишком короткий пароль. Если пароль восемь символов в длину или даже меньше, то вас взломают быстрее, чем успеете дочитать это предложение.

В этом поможет простое мнемоническое правило. Разделим его на два этапа: сначала придумаем основу для паролей, а потом — алгоритм, который позволит сделать пароли уникальными для каждого сайта.

Для начала представьте свою любимую еду, место, музыку или книгу. Опишите это в нескольких словах, добавьте эпитет, напишите латиницей — и основа для пароля готова!

После того как придумаете пароль, представьте его в голове. Не сам набор символов, а то, что он описывает: вкус холодной окрошки, любимый момент из «Гарри Поттера», огни ночной Москвы. Такие образы мозг запомнит лучше, чем буквы. Когда придет время вводить пароль, вы легко его вспомните, прокрутив образ в голове.

Некоторые советуют набирать фразу на русском языке при включенной английской раскладке. Так, «СчастьеВсемДаром» превратится в CxfcnmtDctvLfhjv. Но у этого метода есть свои минусы. Например, пароль может быть неудобно набирать со смартфона: зачастую виртуальные клавиатуры не показывают одновременно русскую и английскую раскладки.

Теперь пора добавить к основе пароля несколько переменных. Вот как выглядит самый простой вариант:

1. Посчитайте количество символов в домене верхнего уровня. Для сайта с доменом .ru это 2, для .com — 3, для .avia — 4 и так далее.
2. Добавьте эту цифру перед основной пароля.
3. Возьмите две первые буквы в адресе сайта и добавьте их после основы.

Разберем на примере.

Можно усложнить и менять алгоритм как угодно: писать цифры буквами, ставить их еще раз в конец, брать больше букв из имени сайта в определенном порядке и тому подобное. Все это сделает пароль еще сложнее и крепче.

Конечно, у такого простого метода есть и минус. Если хакер украдет ваш пароль, он может легко вычислить алгоритм и попытается с его помощью подобрать ваши пароли от других сайтов.

Но обычно хакеры подбирают не руками, а с помощью специальных программ: берут базы данных утекших паролей и пытаются с ними зайти, например, на госуслуги. Если пароль сработал, то программа отправляет сигнал хакерам, чтобы они дополнительно проверили аккаунт. Не сработало — вычеркивает из базы. Так что даже простого алгоритма хватит, чтобы избежать внимания мошенников.

Если хотите исключить хоть какую-то вероятность, что хакеры подберут ваш пароль, придется все-таки делать уникальную комбинацию для каждого сайта.

Окей, но что делать, если вообще не хочется запоминать пароли и пин-коды? На выручку приходят менеджеры паролей — это программы, которые запоминают и защищают пароли. А в нужный момент предложат подставить данные на сайте или даже предупредят, если ваш пароль оказался в украденных базах.

Представьте: вы купили новый компьютер, но теперь на нем придется заново заходить на все сайты. Или вы давно не пользовались каким-то сервисом и он требует от вас заново авторизоваться. В этих и многих других случаях менеджеры паролей помогут вспомнить данные для входа.

Важная фишка менеджеров паролей — они позволяют сгенерировать случайный уникальный пароль для каждого сайта. Выглядеть он будет так, словно по клавиатуре прошлась пьяная кошка: sog1FQE#tdkws14 или !aZ@ag#$%12^&*()_MN+|~<>?.

Вспомнить и ввести такой пароль без помощи программы нереально. Но зато можно самостоятельно генерировать читаемые пароли и записывать их в базу менеджера. Например, попросить нейросеть назвать четыре случайных слова на английском и четыре цифры: в итоге для каждого сайта у вас будет пароль в стиле BookTreeWolfShip5738.

Еще одна полезная функция менеджеров паролей в том, что они проверяют адрес сайта за вас. Если вы сохранили пароль для yandex.ru, то программа не предложит его заполнить на сайте yandex.com или yanbex.ru.

К сожалению, сейчас россиянам приходится выбирать программы не только по надежности и удобству. Большинство менеджеров паролей предоставляют лишь базовые функции. Например, хранилище работает только на одном устройстве, а для синхронизации нужно оплатить подписку с карты иностранного банка. Если вас не смущают такие трудности, то загляните в нашу подборку из 9 лучших программ.

Если вы все же хотите надежное приложение с поддержкой на русском языке, которое при этом можно оплачивать рублями, обратите внимание на решения от российских разработчиков: Kaspersky Password Manager, «Пассворк» или TeamDo.

Отдельно стоит выделить менеджеры паролей с открытым исходным кодом, например KeePassXC или Buttercup. Подобные программы бесплатны, однако их разрабатывают энтузиасты, для которых поддержка менеджера не основная работа. Менеджеры с открытым исходным кодом — надежное решение, но в них зачастую устаревший дизайн, новые функции появляются редко, а синхронизация между устройствами либо не поддерживается, либо предполагает настройку собственного сервера.

Альтернативный вариант — хранить пароли прямо в браузере. Это не такой надежный способ, как использование специализированного менеджера паролей. При определенных обстоятельствах хакер может похитить пароли из хранилища браузера, если получит доступ к вашему устройству. Но эту проблему можно исправить — об этом расскажем в следующем разделе.

А вот похищать хранилище менеджера бессмысленно: все пароли хранятся в зашифрованном виде, а для их расшифровки нужно ввести мастер-пароль, который знаете только вы. Да, мы немного слукавили: один пароль все-таки придется запомнить. Но это проще, чем запоминать сотни паролей, не правда ли?

В ваш браузер уже наверняка встроен собственный менеджер паролей: он есть в «Сафари», «Яндекс Браузере», «Гугл-хроме», «Опере», Firefox и во многих других популярных браузерах. Например, если вы вошли в свой аккаунт Гугл в «Хроме» на компьютере, то подсказка с паролем появится и на смартфоне. Если, конечно, на смартфоне вы тоже войдете в свой аккаунт.

В интернете можно найти статьи и видео, что хранить пароли в браузере якобы небезопасно. Проблема в том, что хоть пароли в браузерах действительно хранятся в зашифрованном виде, ключ для расшифровки по умолчанию хранится на том же компьютере. Опытный хакер может найти этот ключ и получить доступ к хранилищу.

Однако эту проблему легко исправить с помощью мастер-пароля, который будет хранится не на компьютере, а у вас в голове. Но если вы не хотите запоминать даже такой пароль, то зашифровать данные можно с помощью биометрических датчиков: сканеров отпечатка пальца или Face ID. Теперь, даже если хакер украдет базу данных с паролями, он точно не сможет ее расшифровать.

В браузере «Сафари» такая защита включена по умолчанию, в Mozilla Firefox нужно настроить «основной пароль», в «Яндекс Браузере» активировать «мастер-пароль», в «Гугл-хроме» — включить метод защиты от операционной системы.

❌ На стикерах или бумажках. В 2021 году конгрессмен США и член комитета по кибербезопасности Пентагона Мо Брукс опубликовал фото в социальных сетях. В кадр попал и ноутбук Брукса. А внимательные пользователи разглядели на ноутбуке наклейку с паролем от электронной почты. Пост провисел сутки, прежде чем Брукс осознал свою оплошность.

Конечно, если вы храните пароли в записной книжке у себя дома, а книжку держите в сейфе, код от которого знаете только вы, то ничего страшного не случится. А если кроме вас никто дома не живет и в гости никто не заходит, то можно хоть увешать монитор стикерами — и никто вас не взломает из-за этого.

Но вот стикер с паролем от электронной почты, приклеенный прямо на монитор офисного компьютера, — это очень неразумное решение. Шутки шутками, но если из-за вашей халатности компанию атакуют хакеры, работодатель вас уволит, а может, даже и подаст в суд, чтобы компенсировать убытки.

❌ На бумажке в кошельке. Пин-код нужен, чтобы защитить ваши банковские карты от воров и злоумышленников. Но если в украденном кошельке вор найдет бумажку с пин-кодами от всех карт, то защита окажется просто бесполезна.

❌ В заметках на телефоне. Тут все аналогично предыдущему пункту: если злоумышленник сможет разблокировать ваш телефон, то легко получит доступ ко всем вашим соцсетям, мессенджерам и онлайн-банкам. Компромиссный вариант — это защитить заметки в смартфоне отдельным паролем. Об этом поговорим в конце урока.

❌ В переписке в мессенджерах. Избранное в «Телеграме» — удобный способ хранить смешные картинки, но крайне ненадежный для хранения паролей. Если хакеры получат доступ к вашей переписке, сохраненные пароли станут для них приятным бонусом.

❌ В файле «Пароли.txt» на компьютере. Бывает и такое — без комментариев.

Один из самых популярных советов по кибербезопасности в интернете — регулярно меняйте пароли! Вдруг хакеры украли чью-то базу данных, целый год ее расшифровывали, наконец-то расшифровали — а пароль из базы не подошел, потому что вы уже поставили новый.

Хоть на первый взгляд совет и выглядит логично, на практике он лишен смысла.

Во-первых, если компания обнаружит утечку, взлом или потенциальную угрозу, она предупредит пользователей. Например, в 2018 году соцсеть «Твиттер» сообщила, что из-за ошибки какое-то время пароли хранились без шифрования, и призвала пользователей срочно их поменять. А современные браузеры регулярно сканируют базы утекших паролей и предупредят вас, если обнаружат один из ваших.

Во-вторых, если на всех сайтах у вас разные пароли, то пароль из взломанной базы никак не поможет хакерам получить доступ к другим вашим ресурсам.

В-третьих, многие специалисты по безопасности отмечают, что регулярная смена паролей нервирует пользователей — об этом пишет даже компания «Майкрософт». В итоге люди начинают лениться, делают менее надежные пароли и пренебрегают правилами безопасности — и возникают те самые стикеры на мониторе.

В общем, если вы следуете советам из этого курса, то пароли вам придется менять только после крупных утечек — и то лишь на конкретном сайте.

Двухфакторная аутентификация, подтверждение входа, двухэтапная верификация, двухшаговая проверка, 2FA — все эти термины обозначают одно и то же. Это дополнительная защита аккаунта, помимо пароля от него, в операционной системе, мессенджере, браузере, социальной сети или игре.

Это может быть, например, тот самый легендарный код из смс, который никому нельзя говорить. Или одноразовый пароль, который запрашивается в дополнение к обычному паролю или вместо него. Как в банковском приложении: не подтвердил операцию паролем — не перевел деньги.

Такая защита нужна, чтобы никто не мог воспользоваться вашими аккаунтами вместо вас, даже если получится украсть устройство или подобрать пароль. Нужны ли вашим данным дополнительные меры защиты — решать вам. Но включить 2FA, как правило, несложно, а безопасность с ней усиливается в разы, так что настоятельно рекомендуем это сделать.

Обычно двухфакторная аутентификация используется для первого входа с нового устройства, а еще — при любой нетипичной попытке входа в аккаунт. Например, сразу после того как вы из него вышли или поменяли пароль. Зато во многих сервисах можно добавить компьютер и смартфон в список надежных — или доверенных — устройств, чтобы у вас не просили подтверждение при входе.

2FA не отменяет необходимость придумывать сложные пароли, которые нельзя подсмотреть или подобрать. Если мошенники легко подберут пароль, то попытаются заполучить второй фактор с помощью социальной инженерии — и есть риск, что у них может получиться.

Подробнее о том, как настроить второй фактор во всех популярных соцсетях, мессенджерах и сервисах, мы по шагам и со скриншотами рассказали в специальной инструкции.

Не говорите никому код от двухфакторной защиты. Чтобы получить доступ к вашему аккаунту, мошенникам необязательно спрашивать ваш пароль. Они могут нажать кнопку «Забыл пароль» на сайте, ввести вашу почту, а потом выманить у вас код или ссылку на восстановление пароля под различными предлогами. После этого они поставят свой пароль, сменят почту и лишат вас доступа к аккаунту.

Некоторые мошенники поступают особо цинично. Например, представляются сотрудником службы безопасности и говорят, что от вас нужен код из смс или письма. Но так как сказать код просят только мошенники, сообщать его не надо: для этого вас якобы переключат на голосового помощника. Бездушной машине сказать код уже можно, она же не мошенник.

На самом деле ни на какого робота вас не переключат: мошенники могут включить какие-то звуки для имитации голосового помощника, но останутся на линии и услышат, как вы диктуете код.

Могут ли хакеры обойти проверку? Зависит от обстоятельств. Например, если у вас украли телефон, а вы не настроили скрытие уведомлений на заблокированном экране, двухфакторная аутентификация через смс вам ничем не поможет — злоумышленник увидит код на экране. О том, как защищать свой смартфон, мы рассказали в третьем уроке курса.

Если код подтверждения приходит на электронную почту, хакеру придется сначала взломать ее. Если вы не воспользовались советами из этого урока и хакеру удалось подобрать пароль, то он прочитает письмо с кодом и пройдет двухфакторную проверку. А если вы следуете всем базовым правилам безопасности, никому не говорите коды из смс, защитили смартфон и поставили надежный пароль на электронную почту, то хакер сможет лишь попробовать угадать код. Учитывая, что код меняется после нескольких попыток ввода, это практически нереально: проще выиграть джекпот в лотерею.

Совсем обойтись без паролей в современной жизни не получится. Однако можно серьезно упростить себе жизнь, даже повысив при этом безопасность. Ведь лучший пароль — это тот, который вообще не нужно вводить и который есть только у вас.

Рассмотрим, какие у нас есть варианты.

В наших смартфонах уже есть механизмы, которые проводят надежную аутентификацию: это сканеры отпечатков пальцев или лица. И разработчики задумались: если они позволяют убедиться, что мы — это мы, то зачем тогда нужны пароли?

Так и появились технологии беспарольной аутентификации. Самая популярная из них — это международный стандарт WebAuthn  , который еще часто называют Passkey. Этот стандарт, например, продвигает компания «Гугл». Но существуют и другие стандарты, работающие схожим образом: например, VK предлагает авторизовываться в своих сервисах через OnePass.

У этого метода действительно есть преимущества перед паролями. Например, Passkey делает фишинг бессмысленным: пользователю больше не надо вводить логин и пароль, а значит, попасть на сайт-фальшивку уже не так страшно: коды и биометрические данные в итоге все равно останутся на устройстве.

Но есть и свои минусы: например, ключи шифрования хранятся внутри операционной системы. То есть если у вас компьютер на Windows, а смартфон на Андроиде, то для каждого сайта придется создавать несколько ключей.

В Т⁠—⁠Ж есть отдельная инструкция о том, как работает беспарольная аутентификация и как ее настроить.

Чем-то похожи на предыдущий вариант, только вместо биометрических датчиков смартфона за вас поручаются разработчики самых защищенных приложений: банковских. То есть все эти T-ID, Сбер ID, Газпром ID, Alfa ID — как раз сервисы упрощенной авторизации. Вы наверняка с ними встречались, если пытались войти на госуслуги или оплатить покупки на крупных маркетплейсах.

Плюс этого метода в том, что не нужно ставить лишние приложения: ведь приложение банка у вас уже наверняка установлено. А на компьютере достаточно войти в личный кабинет на сайте банка.

Дополнительное преимущество по сравнению с Passkey в том, что банк уже наверняка знает про вас все: как вас зовут, какая у вас электронная почта и номер телефона. А значит, на сайте даже не придется регистрироваться: сервис упрощенной авторизации все сделает за вас.

Подобные сервисы хорошо защищены от хакеров. Если вы в первый раз войдете в сервис на устройстве, то он отнесется к вам с полным недоверием: заставит ввести пароль от онлайн-банка, номер телефона и код из смс. Зато после проверки ваш смартфон или браузер внесут в список доверенных, и в последующие разы вам достаточно будет просто набрать пин-код или приложить палец к сканеру отпечатков.

Проблемы могут возникнуть, если злоумышленник получит доступ к вашему устройству и каким-то образом угадает пин-код для входа. Еще один повод не использовать в качестве пин-кода год рождения или 1234.

Эта технология еще называется TOTP  . Суть ее очень грубо можно представить так: приложение на смартфоне и сервер выбирают какое-то число и договариваются об алгоритме шифрования, который зависит от времени. Например, они будут складывать все цифры на часах и умножать на них изначальное число.

Теперь каждую минуту пароль будет меняться. А вы можете даже отключить интернет: зная текущее время и алгоритм, смартфон сам вычислит актуальный пароль. А вот хакеру этой минуты не хватит, чтобы его подобрать.

Приложений для TOTP много, но важно, чтобы его поддерживал нужный вам сервис. Иностранные сайты чаще всего полагаются на Google Authenticator или Microsoft Authenticator, а вот российские сайты, в том числе госуслуги, предпочитают «Яндекс Ключ». Хотя иностранные TOTP зачастую тоже поддерживаются, просто сайты это не афишируют.

В любом случае все приложения работают по одному принципу: сначала нужно отсканировать QR-код на сайте или ввести секретный ключ, а затем в приложении будут появляться одноразовые пароли.

Урок почти закончен. Предлагаем сохранить памятку, которая поможет создавать надежные пароли и правильно их хранить. Скачайте ее в формате PDF или отправьте себе в телеграм-сообщении.

1. Любой пароль можно взломать методом перебора. Но надежным считается тот, который хакер будет подбирать хотя бы несколько тысяч лет.
2. Оптимальный пароль — минимум 13 знаков в длину с цифрами, буквами и символами. Если хочется обойтись без символов, то стоит увеличить длину пароля до 15 знаков.
3. Для каждого сайта должен быть свой уникальный пароль. Придумывать их поможет мнемоническое правило: основа пароля + алгоритм уникализации. Либо можно довериться менеджерам паролей.
4. Не стоит хранить пароли и пин-коды там, где их кто-то может увидеть: на стикере на мониторе, на бумажке на столе, в заметках на телефоне или в текстовом файле на рабочем столе компьютера.
5. Обязательно используйте двухфакторную аутентификацию везде, где только можно. И никому никогда не говорите код от второго фактора: даже роботам и «службе поддержки».
6. Если хотите облегчить себе жизнь, используйте сервисы упрощенной авторизации или одноразовые пароли. Это просто и надежно.

Следующий урок посвятим тому, как настроить свои компьютеры и ноутбуки, чтобы безопасно ими пользоваться. Вы узнаете, надо ли пользоваться антивирусом, какие программы можно качать, а какие лучше не стоит. Сможете защитить свои данные от хакеров, сбоев и случайного удаления.