Как создавать сильные пароли и где их хранить

Первый четверг мая — особенный день. Уже больше десяти лет в этот день отмечают Всемирный день пароля. Для нас в «Лаборатории Касперского» это особенный праздник — мы не устраиваем торжества и гулянки, но лишь в очередной раз напоминаем о важном. Поговорим о паролях: как их придумывать, где надежно хранить и почему «qwerty12345» — плохой пароль.

Говорить об этом точно нужно: многие люди по-прежнему используют слабые и повторяющиеся пароли (их слишком легко угадать), которые неоднократно попадали в руки хакеров. Почему так и что с этим делать — обсудим в сегодняшнем материале.

Как мы узнаем об утечках

Мы используем созданную нами глобальную сеть обмена сведениями об угрозах — Kaspersky Security Network (KSN), которая получает и обрабатывает данные о киберугрозах со всего мира. Основная масса данных поступает в деперсонализированном виде от наших клиентов на добровольной основе. Эти данные анализируются силами наших экспертов и с помощью машинного обучения, что позволяет реагировать на появление новых угроз практически в режиме реального времени, — среднее время между появлением новой угрозы и информированием о ней участников KSN составляет всего 40 секунд!

Благодаря Kaspersky Security Network мы знаем, что в 2023 году было проведено более 32 миллионов попыток атак на пользовательские пароли. В 2022 году их число было еще выше — аж 40 миллионов. То есть попытки взломать пароли пользователей во всем мире происходят чаще, чем раз в секунду! А проведенное нами в конце 2023 года исследование показало, что атаки на пароли затрагивают вовсе не только домашних пользователей. В малом бизнесе 76% опрошенных предпринимателей хотя бы раз сталкивались с киберинцидентами за последние два года, и почти четверть атак — 24% — произошли из-за использования слабых, повторяющихся или не обновленных паролей.

Как мы проверяем ваши данные

Мы проверяем, скомпрометированы ли ваши данные и пароли, тремя способами:

1. По адресу электронной почты для пользователей Kaspersky Standard, Kaspersky Plus и Kaspersky Premium. Работает все просто: вы указываете в приложении адреса электронной почты, используемые вами и вашими близкими для регистрации на разных сайтах. Мы показываем, какие из ваших персональных данных, включая пароли, утекли в Интернет или в даркнет. При этом сами скомпрометированные данные наше приложение не получает и не хранит, а предоставляет только информацию об их категориях — мы предупредим, что при взломе того или иного сайта могли «засветиться» ваш пароль или домашний адрес либо паспортные данные или номер банковской карты, или все сразу. И не просто предупредим, а дадим грамотные советы, разработанные нашими экспертами по кибербезопасности, о том, что теперь делать, — ведь в случае утечек разных типов и необходимые действия будут отличаться.
2. По телефону для пользователей Kaspersky Premium. Этот способ работает так же, как и первый, но проверяет утечки из аккаунтов, привязанных не к адресам электронной почты, а к номерам телефонов: обычно такую авторизацию используют сервисы вроде банков, государственных организаций, крупных маркетплейсов, утечка данных из которых чревата серьезными потерями. Вам нужно лишь указать в приложении свой номер телефона, чтоб мы проверили, есть ли утечки данных с этим номером. Более того: можно проверить не только свой телефон, но и телефоны всех своих близких. А главное — достаточно указать проверяемые адреса электронной почты и номера телефонов один раз, и мы будем мониторить связанные с ними утечки в фоновом режиме. И если ваши данные где-то «засветятся», вы сразу получите предупреждение и рекомендации о том, что нужно делать.
3. По специальному алгоритму в Kaspersky Password Manager. В отличие от двух предыдущих способов, которые проверяют все возможные варианты утечек, наш менеджер паролей специализируется на анализе паролей, которые вы в нем храните. Даже без доступа к Сети мы сможем рассказать, какие из ваших паролей слишком слабые или повторяющиеся, а какие достаточно защищены. Кроме того, Kaspersky Password Manager регулярно проверяет все ваши пароли по базам скомпрометированных паролей и уведомляет при нахождении совпадений.

Узнать, встречался ли пароль в утечках данных, можно также с помощью онлайн-сервиса Password Checker. Достаточно ввести пароль, чтобы система вынесла вердикт: сколько раз он засветился в слитых базах данных и можно ли считать его надежным.

Упс! Плохая новость: пароль «qwerty12345» был слит как минимум 285 тысяч раз

Но у этого способа есть один минус по сравнению с тремя предыдущими: проверки нужно проводить вручную, а Kaspersky Password Manager, Kaspersky Plus и Kaspersky Premium проверяют ваши пароли и утечки автоматически в фоновом режиме.

Так неужели «Лаборатория Касперского» хранит пароли всех своих пользователей? Ну, конечно же, нет. Ни один сотрудник компании, будь то разработчик, аналитик, редактор, дизайнер или даже сам Евгений Касперский, не имеет доступа к вашим данным. Подробно о нашей политике нулевого разглашения мы уже рассказывали, а ниже объясним, почему мы никак не можем узнать ваши пароли, хранящиеся в Kaspersky Password Manager.

Почему хранить пароли в Kaspersky Password Manager проще и безопаснее

Запоминать все пароли или держать их, например, в приложениях для заметок — небезопасно. Для этих задач специально создан Kaspersky Password Manager. Он создает, хранит и автоматически подставляет надежные и уникальные пароли на веб-сайтах и в приложениях, проверяет, не скомпрометированы ли они, генерирует коды двухфакторной аутентификации.

Если рассмотреть алгоритм работы Kaspersky Password Manager в очень упрощенном виде, то он будет выглядеть так: все ваши пароли находятся в хранилище, зашифрованном с использованием алгоритма симметричного шифрования AES-256. Этот стандарт шифрования признан АНБ США достаточно надежным, чтобы использовать его для хранения государственных тайн. Ключом шифрования выступает ваш мастер-пароль, который мы не знаем, — он хранится только в вашей голове. Всякий раз, когда вы открываете Kaspersky Password Manager, он запрашивает у вас этот пароль и с его помощью расшифровывает хранилище на время текущей сессии. В этом же зашифрованном хранилище вы можете хранить и другие важные данные — номера банковских карт, сканы документов, заметки. Таким образом, ваши конфиденциальные данные хранятся и синхронизируются между всеми вашими устройствами исключительно в зашифрованном на уровне «Top Secret» виде.

Это тот уровень безопасности, с которым и близко не может сравниться хранение паролей в браузерах, поэтому мы и не рекомендуем соглашаться на их навязчивые предложения хранить ваши пароли: из браузера сохраненные пароли можно вытащить буквально за несколько секунд.

Поскольку доступ к зашифрованному хранилищу Kaspersky Password Manager можно получить исключительно с помощью известного только вам мастер-пароля, важно понимать: если вы его забудете, расшифровать содержимое хранилища паролей будет невозможно — все данные будут утрачены, а вам придется создавать новое хранилище. Такой подход позволяет обеспечить максимальный уровень безопасности: хакер не сможет узнать пароли, данные кредитных карт и других документов, хранящихся в зашифрованном хранилище Kaspersky Password Manager, даже если он каким-либо образом получит доступ к хранилищу.

Как мы проверяем пароли, если не знаем их?

Но как же тогда мы проверяем ваши пароли и «пробиваем» их по базам утечек? Здесь на помощь приходит алгоритм хеширования Secure Hash Algorithm 1 (SHA-1). Он берет любые данные и на их основе создает хеш — уникальную последовательность символов. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8.

Из каждого пароля всегда получается один и тот же хеш, и если два хеша совпали, значит, совпадают и исходные пароли. В KSN хранятся рассчитанные хеши для всех известных взломанных и утекших паролей. Чтобы проверить ваш пароль, мы вычисляем его хеш локально на вашем устройстве, потом отправляем часть этого хеша — условно первую половину — на серверы Kaspersky и находим все хеши утекших паролей с совпадающим началом. Они отправляются обратно на ваше устройство, где уже сравниваются с целым хешем вашего пароля, и если обнаружено точное совпадение, значит, ваш пароль скомпрометирован.

При этом мы не знаем ваши пароли — они никогда не покидают вашего устройства. По хешу, в принципе, можно восстановить исходный пароль, но… хеши ваших паролей тоже никуда не отправляются с вашего устройства! Для сравнения на серверы KSN посылаются лишь их фрагменты, из которых невозможно восстановить исходные данные. Таким образом, проверка ваших паролей на утечки полностью безопасна.

Как придумать мастер-пароль

К созданию главного пароля для Kaspersky Password Manager мы рекомендуем отнестись максимально серьезно: использовать в этом качестве «qwerty12345» — все равно что сложить все свои ценности в сейф и оставить ключ в замке. А чтобы не мучаться с созданием этого пароля и наверняка его запомнить, предлагаем лайфхак, как придумать сложный для взлома, но легкий для запоминания пароль.

Вспомните любимую фразу, цитату или строчку из песни. Возьмите одну букву (необязательно первую!) или их комбинацию от каждого из слов в цитате и добавьте между ними специальные символы, а буквы, похожие на цифры или спецсимволы, замените ими.

Например:

«Лучше поздно, чем никогда» — L*P*C4em*N!k0

Хороший пароль — не тот, в котором много трудно запоминаемых спецсимволов, а тот, который устойчив к взлому. Поэтому проверьте созданный пароль с помощью нашего онлайн-сервиса Password Checker: если он подтвердит, что ваш пароль надежен, можете использовать его как главный для Kaspersky Password Manager — а все остальные пароли наш парольный менеджер сгенерирует, сохранит и подставит на нужных сайтах и в приложениях автоматически.

Если же вы хотите хранить пароли по старинке, в голове, то используйте полученную комбинацию как основу, а для каждого сервиса и сайта прибавляйте к нему мнемоническую «добавку», чтобы все ваши пароли были уникальными. Мы уже писали об этом подробную инструкцию. А еще, представьте себе, на многих сервисах — в том числе и в Kaspersky Password Manager — можно использовать в паролях… смайлы и эмодзи!

Итого

• Пользуйтесь надежной защитой. Так вы можете быть уверены, что пароли и другие чувствительные данные в безопасности.
• Придумывайте мнемонические пароли. Эта техника хороша тем, что позволяет создать одновременно криптостойкий и легкий для запоминания пароль.
• Храните пароли в менеджере паролей. С вас — придумать криптостойкий мастер-пароль, с нас — защищать с его помощью все ваши ценные данные.
• Не используйте одни и те же пароли для разных сервисов и сайтов. При утечке данных хотя бы из одного из них ваш пароль попадет в базы данных хакеров, и им будет легко взломать другие ваши аккаунты. Хороший пароль — уникальный пароль, и вот почему.
• Везде, где возможно, включайте двухфакторную аутентификацию (2FA). Она добавит «второй эшелон» защиты ваших аккаунтов, и, даже если ваш пароль будет скомпрометирован, уникальный код двухфакторной аутентификации защитит ваш аккаунт от взлома. Кстати, сохранить 2FA-токены и генерировать одноразовые коды тоже можно в Kaspersky Password Manager.