Как придумать надежный пароль

От почты, соцсетей и интернет-банка
45

Допустим, хакер узнал пароль от вашей основной почты. Вот что он может сделать:

  1. Сменить ваши пароли от всех соцсетей. Попросить от вашего имени денег у всех ваших друзей.
  2. Изменить ваш пароль от Айклауда или Гугл-плея. Далее украсть у вас деньги или заблокировать ваш смартфон.
  3. Изучить вашу переписку, из которой хакер наверняка вытащит ваши паспортные данные и номер карты. Из соцсетей он легко достанет девичью фамилию вашей матери.
  4. Зная ваши паспортные данные и номер карты, хакер поменяет пароль от интернет-банка, сменит контактный номер телефона и сможет свободно распоряжаться всеми вашими деньгами.
  5. Если хакер достанет в почте скан вашего паспорта, он сможет взять на ваше имя кредит в недобросовестной кредитной организации и к вам придут коллекторы.

И всё это — из-за одного ненадежного пароля от почты. В этой статье расскажем, какие пароли ненадежные и как их сделать надежными.

Аватар автора

Илья Аноним

сотрудник Тинькофф-банка

Ненадежно: слова и последовательности цифр

Для почты, банка и соцсетей нельзя использовать в любых комбинациях:

  • простые словарные слова: sexy, love, hello, password;
  • последовательность цифр подряд: 1234, 123456789, 9876543210;
  • дату рождения: 21041988, 2104;
  • какой-либо год: 2015, 2010, 1988;
  • свое имя: ilya;
  • имена своих родственников и домашних животных: mama, papa, murka, stepka;
  • название сервиса, на котором вы регистрируетесь: mailru.

Комбинации этих слов будут давать ненадежные пароли, которые на обычном компьютере подбираются за минуты и часы:

  • sex — 5 секунд;
  • love1980 — 3 минуты;
  • password1234567890 — 3 минуты;
  • sex2010 — 10 минут;
  • murzik12345 — 2 часа;
  • mailru987654321 — 2 часа;
  • iriska12 — 2 часа;
  • petya1 — 3 часа.

Надежно: цифры, буквы, знаки препинания

Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:

  • xJ462&b-vr01.8^5h;
  • hs#lzkAc~6oifL0xwT;
  • {|%SJbB7AN~T.

Хорошие пароли сочиняют коты, когда ходят по клавиатуре:

  • s7777,.LW/g000---5255;
  • GBz.vURHDG>923ub4grz.34;
  • #$:*(Tg;9729htgbz1114.

Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:

  • p${ghPHg5g79;
  • 4ghu;DSsl@vnQwi4;
  • vd.Kjbk.j4uies$.

Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль,ящик и гражданство.

Как сочинить и запомнить надежный пароль

У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:

  1. Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami.
  2. Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi.
  3. Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi.
  4. Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshk@.s.gr1b@mm1.

Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».

Сильный пароль: альтернативный метод

Пару месяцев назад я уже рассказывал о методе, чтобы придумать надежный пароль.

  1. Берете слова любимой песни. Например, «Это не шутки, мы встретились в маршрутке под номером один, едем и молчим».
  2. Берем первые буквы: эншмввмпн1еим.
  3. Переводим в английскую раскладку: enshmvvmpn1eim.
  4. Делаем заглавными первые буквы ударных слов: EnSHmvvMpn1eiM.
  5. Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29.
  6. Получилось 19 символов — легко влезет в пароль для Т⁠-⁠Банка.

Как записывать пароли

Специалисты по безопасности не советуют записывать пароли в открытом виде, даже если вы будете держать их в сейфе. Если вам необходимо записать пароль, сделайте это так, чтобы только вы знали, как его прочитать.

Возьмите старый ежедневник, откройте его где-нибудь посередине или ближе к концу и запишите на полях карандашом «Картошка с грибами. По-итальянски, по почте, 1 порция». Эта записка поможет вам вспомнить, как вы меняли исходную фразу, а посторонним будет непонятно, как из нее получить ваш пароль.

Ни в коем случае не держите пароли на стикерах на мониторе. Не носите их в бумажнике. Не записывайте в заметки в телефоне.

Как не рассекретить пароль

Даже с надежным паролем вас могут взломать: например, если кто-то подсмотрел, как вы вводите пароль; если на компьютере, с которого вы заходите в почту, стоит программа-шпион. Как обезопасить себя от таких случаев:

  1. Не используйте один и тот же пароль в почте, банке, соцсетях и мессенджерах. Меняйте хотя бы треть пароля, чтобы его было сложно подобрать.
  2. Включите двухфакторную авторизацию везде, где можно. Тогда, даже если ваш пароль попадет в руки мошенников, для входа в почту или банк им потребуется еще и ваш телефон.
  3. Старайтесь не вводить пароли на чужих компьютерах, особенно если компьютер общий: в интернет-кафе или библиотеке. Вы не знаете, какие на них могут стоять программы-шпионы.
  4. Защитите паролем домашнюю беспроводную сеть.
  5. Если у вас есть подозрение, что ваш пароль мог утечь к злоумышленникам, меняйте его в безопасной среде и с безопасного устройства. Например, дома с планшета.
  6. Держите при себе телефон, и, если вдруг ваша симка перестала работать, срочно звоните оператору и меняйте симку в салоне связи. Неработающая симка может означать, что кто-то изготовил дубликат.
РедакцияКогда вы в последний раз меняли пароли от почты, соцсетей и интернет-банка?
  • svipermСегодня существует много сервисов, для генерации и схранения паролей с шифрованием. 1Password, Dashline, например1
  • Александр НикитинЯ могу оценить ваш пароль. Просто киньте сюда имейл и пароль, что бы я посмотрел насколько они похожи8
  • Максим Котанов"Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29." Илья, 29? 29?! :-/2
  • Максим КотановНа что ты вообще тратил свои лучшие годы?!1
  • Сергей НирванаМаксим, сарказм? Не, не слышал)0
  • Evgeny KenВот вы чудаки... Используйте менеджер поролей типа кипас и будет вам счастье0
  • Andrey RyadovoyСерьёзно? Менеджер паролей наше всё, особенно если база хранится локально или где-то на вашем сервере (не путать с облачным хранилищем), а доступ к базе осуществляется посредством ключа и мастер-пароля от 12 символов, в котором также имеются спец-символы.0
  • Дмитрий ЮсуповРеально прошлый век господа. Используйте защищённый менеджер паролей. Например тот же Enpass. Или аналоги. Как правило такие менеджеры хранят пароль в зашифрованном файле. И вам только надо помнить только один пароль от этого файла. Даже если его украдут то дешифровать такой файл невероятно сложно.1
  • Неприятная привычка хмуритьсяsviperm, после истории с LastPass параноидально отношусь к сторонним сервисам хранения паролей (https://habr.com/ru/company/defconru/blog/260383/). Пользуюсь локальным KeePass вместо них. Синхронизирую через Dropbox.0
  • Dmitry SmirnovБыло бы интересно узнать мнение редакции о менеджерах паролей и рисках их использования.3
  • Роман АнтохивКстати, незнаю надежно ли это, но можно пользоваться техникой ввода паролей, похожий на создание ников в видеоиграх: ту же самую "картошку с грибами" можно латиницей, имитируя кириллицу, записать как KaPToLLIKa_C_rPuBaMu Как то так; единственная проблема что не все буквы можно латиницей записать1
  • Сергей НирванаTinkoff, пытался в вашем банковском приложении поменять пароль, придуманный по вашему же сценарию. Приложение не даёт, говорит: двоеточие использовать нельзя. Во всех сервисах главное можно, а у вас нельзя) Предлагаю ещё вариант ошибки: "Ваш пароль слишком сложный, придумайте пароль с более простыми символами"6
  • Илья ХудяковЗапомнить пароль? У меня их десятки, если не сотни. Я не киборг же.3
  • Илья БалезинЗапомнить те сотни паролей которые у меня есть (пользуюсь правилом: один сервис - один пароль). не реально. Поэтому использую Ластпас с 2х факторной авторизацией и сложным (20+ символов, в том числе и спец) мастер-паролем. Хотелось бы мигрировать на что-то более безопасное (keepass, 1password), но пока не определился куда податься.2
  • Nikita ZuborevКак специалист ежедневно касающийся в своей работе информационной безопасности, могу заявить ,что статью писал новичок, который не знает сути энтропии и как её увеличивать простыми способами. Складывается стойкое ощущение, что идеальный пароль должен содержать весь возможный набор символов (цифры, строчные и заглавные буквы латинского алфавита и спецсимволы). Но на практике, пароль «@Vy[o8!B» может быть легко забыт, хотя он и достаточно надежен от взлома простым перебором. Здесь более компромиссным вариантом будет пароль, состоящий из бессвязных на первый взгляд слов, примерно такого вида: «Match-Spoon-Balalaika-Freedom», который куда более стойкий для взлома и гораздо проще для запоминания (если вы хоть немного знакомы с английским). Достаточно представить в голове сценку, в которой связаны эти 4 вещи и вы уже никогда их не забудете - это простая психология, принципы запоминания нашего мозга связаны с образами. P.S. И еще, интересно посмотреть на автора, как он запомнит хотя бы 10 различных паролей, где какой символ и на что он изменил в своей фразе.23
  • Nikita ZuborevРоман, достаточно добавить пару цифр в ваш пример: KaPT0LLIKa_C_rPu6aMu Но и это не панацея, нужно еще уметь записывать таким образом, а потом уехать в отпуск на 2 недели вернуться и вспоминать было там "a" или "A" :(2
  • Михаил Игоревичя ожидал что статья про менеджеры паролей, а тут ерунда какая-то0
  • Антон Колядинмесяц назад... но в течении месяца я просматриваю и меняю пробел на символ или же под настроение которое у меня на момент замены пароля...0
  • Сергей СергеевичЯ часто это делаю, так как теряю прежние) А ещё люблю несмешно пошутить))0
  • Екатерина БоброваВ мобильно приложении или в декстопе?0
  • Сергей СусловДавно0
  • Людмила Сухановаменяю периодически1
  • Елизавета Зотованеделю назад0
  • Елизавета Зотованедавно0
  • Галина Близнецова2020 году0
  • Галина Близнецовав 2020 году0
  • Алексейсегодня0
  • Карина Петроваменьше полугода назад0
  • Даниил Просянкингод назад0
  • Даниил Просянкингод назад0
  • Bakhodir RakhimbaevОт почты пять дней назад, от соцсетей месяц назад.0
  • Анатолий Ионниковмесяц назад0
  • Ольга БронниковаВчера0
  • Алла Остроухованедавно0
  • Алла Остроуховане так давно0
  • Seremzhid Intogarovaне меняла0
  • Едита БалогНедавно0
  • ЕленаМеняю часто, потому что я их забываю0
  • Титяйкина СантаНедавно0
  • Алексдавно0
  • Михейкин ВладимирТолько что0
  • Александр Богун3 года назад0
  • dwlПисал статью про пароли, и сослался на вашу статью. https://dewil.notion.site/e89c98cf12574fd68064c94bc34193f70
  • Светлана Умнова6 месяцев назад1
  • Марк Руслановя по данному вопросу обращался к специалистам с сайта hackotroon0