Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться
Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.
Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален
В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0
Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).
Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты
Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».
Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».
Какой тип менеджера паролей самый безопасный?
Те, кто знаком с менеджерами паролей, вероятно, знают о трех типах.
У каждого есть свои плюсы и минусы, включая нюансы безопасности.
Давайте обсудим все типы один за другим и выясним, какой из них наиболее безопасный.
Браузерные менеджеры паролей
- Безопасность: безопасный;
- Плюсы: очень простой в использовании, бесплатный;
- Минусы: нет межбраузерной синхронизации, не все генерируют пароли, немногие измеряют надежность пароля;
- Примеры: встроенные менеджеры паролей браузера (Chrome, Firefox, Safari).
Если мы сведем безопасность к шифрованию и двухфакторной аутентификации, браузерные менеджеры паролей довольно безопасны.
Однако чем внимательнее вы смотрите, тем менее безопасными оказываются менеджеры паролей браузера.
Во-первых, браузерные менеджеры паролей работают в одном конкретном браузере.
Если вы решите перейти с Safari на Chrome или Firefox, у вас могут возникнуть проблемы с экспортом и импортом.
Кроме того, вы не можете синхронизировать свое хранилище в разных браузерах.
Все это часто приводит к хранению ваших паролей в небезопасном месте.
Во-вторых, не все браузерные менеджеры паролей имеют генератор паролей.
Без него вам придется создавать их вручную.
Наконец, менеджеры паролей браузера не могут обнаружить слабые или повторно используемые пароли.
Хотите знать, недоступны ли ваши логины в даркнете?
Вам придется проверить это вручную на отдельном инструменте.
Облачные менеджеры паролей
- Безопасность: высокая;
- Плюсы: очень удобный, легкий доступ из любого места, облачное резервное копирование, интернет-зависимость;
- Минусы: нет контроля над безопасностью вашего хранилища, сторонние серверы хранят ваши данные;
- Примеры: Zoho Vault, LastPass.
По сравнению с браузерными менеджерами паролей облачные менеджеры паролей более безопасны, так как они имеют больше функций, повышающих безопасность.
Начнем с того, что большинство облачных менеджеров паролей предоставляют резервную копию вашего хранилища.
Если что-то случится с сервером, вы сможете восстановить последнюю версию своей базы данных.
Кроме того, облачные менеджеры паролей позволяют хранить не только пароли, но и защищенные заметки и данные кредитных карт.
Таким образом, вы можете защитить всю конфиденциальную информацию.
Кроме того, облачные менеджеры паролей обнаруживают повторно используемые и слабые пароли, генерируют надежные и проверяют, не произошла ли утечка ваших учетных записей.
Они также позволяют легко делиться своими записями в хранилище даже с теми, кто не пользуется той же службой.
Наконец, облачные менеджеры паролей будут работать в нескольких браузерах и операционных системах.
Это означает, что вам не придется думать о том, как безопасно скопировать и вставить что-то из вашей базы данных.
Настольные менеджеры паролей
- Безопасность: самая высокая*;
- Плюсы: самый безопасный вариант, не требует подключения к интернету;
- Минусы: нет доступа с других устройств, сложный обмен паролями, ручное резервное копирование;
- Примеры: Bitwarden, KeePass, 1Password, Dashlane.
Возможно, вы заметили звездочку рядом с оценкой безопасности.
Это потому, что менеджеры паролей на рабочем столе могут быть самыми безопасными, но это зависит исключительно от пользователя.
Эти менеджеры паролей хранят ваши данные локально, на одном из ваших устройств.
Это устройство не обязательно должно быть подключено к интернету, поэтому вероятность взлома может быть практически нулевой.
Наиболее вероятным (и все же крайне маловероятным) сценарием является непреднамеренная установка кейлоггера и ввод мастер-пароля.
Однако этого можно избежать, используя биометрическую аутентификацию.
Очевидно, что у такой настройки есть свои минусы, которые вытекают из самой природы менеджера паролей на рабочем столе.
Для начала вам придется позаботиться о регулярном резервном копировании.
Если ваше устройство выйдет из строя непоправимо, вы можете попрощаться со своим хранилищем.
Более того, вы не сможете получить доступ к своим паролям с других устройств, и поделиться ими тоже будет непросто.
Какие менеджеры паролей самые безопасные?
Самые безопасные менеджеры паролей — это в основном те, которые занимают первые места.
В конце концов, как может быть иначе, когда продукт получает самые высокие оценки на множестве обзорных сайтов?
Вот почему мы приглашаем вас ознакомиться с нашим руководством по лучшим менеджерам паролей в 2022 году.
Keeper
- Облачное хранилище: нет;
- 2FA: да;
- Платформы: Windows, macOS, Linux, Android, iOS;
- Плагины для браузера: Chrome, Firefox, Safari, Opera, Internet Explorer.
Keeper, пожалуй, самый безопасный менеджер паролей.
Все это благодаря инфраструктуре с нулевым разглашением, мощному 256-битному шифрованию AES и множеству других функций безопасности.
Что касается аутентификации, здесь у вас будет большой выбор — будь то биометрия, сторонние аутентификаторы или подпись KeeperDNA, у вас будет множество вариантов на выбор.
Функции Keeper также не оставляют сомнений в его приверженности защите ваших паролей и других данных.
Есть самоуничтожающийся «KeeperChat» для обмена файлами и «Breach Watch», который рыщет в даркнете в поисках украденных паролей.
А чтобы вы не поставили под угрозу собственную безопасность, аудит безопасности проверяет надежность всех ваших паролей и предлагает соответствующие изменения.
NordPass
- Облачное хранилище: 3 ГБ (с приложением NordLocker);
- 2FA: да;
- Плагины для платформ и браузеров: Windows, macOS, Linux, Android, iOS, Chrome, Firefox, Safari, Opera, Brave, Vivaldi и Edge.
Как один из менеджеров учетных данных на рынке, NordPass является бесценным инструментом для тех, кто хочет легко отслеживать все свои пароли.
Помимо использования шифрования нового поколения «XChaCha20», NordPass также использует преимущества облачного хранилища, сохраняя все ваши пароли в облаке, чтобы вы не потеряли их.
Он также предлагает двухфакторную аутентификацию, биометрическую аутентификацию (которая позволяет вам использовать свое лицо или отпечатки пальцев вместо вашего основного пароля), генератор паролей, сканер взлома данных и множество других функций, которые помогут вам с вашей онлайн-безопасностью.
RoboForm
- Облачное хранилище: нет;
- 2FA: да;
- Платформы: Windows, macOS, Linux, Android, iOS;
- Плагины для браузера: Chrome, Firefox, Edge, Opera.
Как один из старейших менеджеров паролей, RoboForm в первую очередь ориентирован на предоставление услуг предприятиям, что, в свою очередь, требует высочайшего уровня безопасности.
Промышленное стандартное 256-битное шифрование AES и двухфакторная аутентификация — это только поверхность.
RoboForm выделяет ресурсы, чтобы ваши пароли всегда были здоровыми и безопасными — отчеты о надежности ваших учетных данных и генератор паролей с изменяемыми переменными.
Существует также вариант самостоятельного размещения, что означает, что данные хранятся только на вашем устройстве, а не на внешних серверах.
Но если вы хотите синхронизировать несколько устройств, это тоже возможно.
Стоит ли использовать менеджер паролей?
Да, вы должны использовать менеджер паролей.
Это позволит вам отслеживать свои пароли без необходимости запоминать их.
Некоторые хранилища паролей также могут генерировать и изменять пароли одним щелчком мыши, а также безопасно хранить другие типы данных, например информацию о кредитной карте.
Менеджер паролей также делает обмен вашими данными с семьей и друзьями более безопасным.
Это намного лучше, чем записывать свои данные для входа в электронную почту или какой-либо незашифрованный мессенджер.
Конечно, вы должны доверять компании, стоящей за вашим менеджером паролей.
Однако у большинства из них безупречная репутация.
Кроме того, они гораздо менее рискованны, чем некоторые сомнительные приложения или надстройки для браузера, которые люди устанавливают, не задумываясь.
Да, у них есть свои недостатки и уязвимые места.
Но, в конце концов, не только менеджер паролей защищает вашу самую ценную информацию.
Вы также должны использовать надежный антивирус, чтобы предотвратить заражение вашего устройства вредоносными программами.
Обновление программного обеспечения не менее важно, чем перепроверка приложений и расширений, которые вы собираетесь установить. До скорых встреч! Заходите!
До скорых встреч! Заходите!
Игра, которая заранее проиграна
Сохраняя пароли в памяти обозревателя, вы должны учитывать: любой, кто сможет хоть ненадолго получить доступ к вашему устройству от вашего имени, будет способен ими воспользоваться.
Чтобы не быть голословными, дадим слово эксперту. На тему хранения реквизитов в браузере отлично высказался Джастин Шух (Justin Schuh) — руководитель группы разработчиков, отвечающих за техническую безопасность браузера Google Chrome.
В одной из дискуссий на интернет-ресурсе Hacker News он подробно разъяснил политику Chrome относительно хранения паролей.
«Представьте, что злоумышленник получил доступ к вашей учетной записи на компьютере. Он может скопировать все сохраненные сессии и весь журнал вашего браузера, установить любые плагины и расширения для перехвата всего вашего интернет-трафика и даже напичкать вашу операционную систему троянами и скрытыми программами мониторинга. Я считаю, что игра проиграна уже в тот момент, когда злоумышленник получил доступ к вашему компьютеру под вашей учетной записью. Дальнейшее сопротивление просто бессмысленно — он получил все козырные карты».
Поэтому Google Chrome использует для защиты конфиденциальных данных только средства операционной системы — то есть, средства защиты всей учетной записи пользователя, пояснил он. По мнению разработчиков Google, встраивать дополнительную защиту в браузер — значит, давать пользователю «ложное чувство безопасности».
Потому что любой человек, получивший доступ к компьютеру (то есть, к вашей «учетке» в операционной системе), сможет сделать абсолютно все то, что можете и вы — в том числе и войти от вашего имени на разные сайты. Причем это может быть не только абстрактный хакер из Интернета, но и, к примеру, ваш близкий друг или коллега.
Защита информации
Сайты, приложения, социальные сети и поисковые системы постоянно занимаются тем, что собирают информацию о пользователях. Полученные данные используются для анализа интересов посетителей страниц, их покупательной активности и спроса, для изучения целевой аудитории и настроек рекламы.
На первый взгляд, это выглядит удобным — браузеры запоминают пароли, хранят данные о поисковых запросах и страницах, которые вы посетили. С другой стороны, этими данными легко могут воспользоваться злоумышленники. Ваш аккаунт могут взломать, а личные данные — передать третьим лицам, которые используют их в мошеннических или других преступных целях. Чтобы этого не произошло, соблюдайте несколько простых правил.
Пароли
Это основной способ защиты ваших личных данных в интернете, поэтому к нему нужно отнестись с особым вниманием
- Не храните информацию о паролях на компьютере, который используется для выхода в интернет. Конечно, лучше всего держать пароли в голове. Если же пароль слишком сложный, лучше запишите его отдельно на лист бумаги или в блокнот, и храните в надёжном месте.
- Пользуйтесь двухэтапной аутентификацией — так ваши аккаунты будут надёжно защищены. Регулярно проверяйте почту и SMS-сообщения — если вам приходят подозрительные уведомления, вы всегда сможете пресечь попытки злоумышленников.
- Не используйте для паролей информацию, которую злоумышленники могут найти самостоятельно: дату рождения, номера документов, телефонов, имена ваших друзей и родственников, адрес и так далее.
- Придумывайте сложные пароли длиной не менее 8 символов с использованием заглавных и строчных букв, цифр, специальных значков %$#.
- Не используйте одинаковые пароли на разных сайтах.
- Регулярно меняйте пароли.
Изучение политики конфиденциальности
Прежде чем установить приложение или браузерное расширение, воспользоваться онлайн-сервисом или зарегистрироваться в социальной сети, обязательно изучите политику конфиденциальности. Убедитесь, что приложение или сайт не получает права распоряжаться вашими личными данными — фотографиями, электронным адресом или номером телефона.
Разрешения для приложений
Многие приложения запрашивают данные об электронной почте или доступ к камере, фотогалерее и микрофону. Не выдавайте разрешений автоматически, следите за тем, какую информацию запрашивает приложение. В некоторых случаях разумнее вообще отказаться от его использования, чтобы не передавать личные данные о себе неизвестным лицам.
Настройки браузера
Не разрешайте браузеру автоматически запоминать пароли к личным сайтам и страницам, а лучше отключите эту опцию в настройках. Особенно это касается сайтов, где необходимо вводить номера документов или банковской карты. Автосохранение паролей увеличивает риск взлома личных страниц: если злоумышленник получит доступ к вашему компьютеру, ему не составит никакого труда извлечь эти данные из памяти браузера.
Отключите синхронизацию браузера на компьютере и в смартфоне. Если этого не сделать, при утере телефона все личные страницы и аккаунты станут доступны для посторонних.
Блокировка рекламы
Специальные программы, блокирующие рекламу, одновременно отслеживают попытки посторонних программ получить информацию с вашего компьютера, поэтому для защиты личных данных полезно скачать и установить такой блокировщик.
Пройти бесплатный курс по кибербезопасности
Защищённое соединение
Сайты, содержащие конфиденциальную информацию пользователей (сайты банков, государственных учреждений, онлайн-магазинов), обычно используют специальные протоколы передачи данных. При защищённом соединении данные шифруются с помощью технологии SSL, после чего информация становится недоступна для третьих лиц. Если в адресной строке браузера перед адресом сайта https:// вы видите зелёный замочек, значит, сайт использует защищённое соединение
Обращайте на это внимание, когда вводите на сайте логин, пароль, номер банковской карты или другие личные данные
Домашний Wi-Fi
Пользоваться открытыми сетями Wi-Fi в кафе или торговом центре небезопасно, злоумышленники могут использовать их для взлома компьютера или смартфона и кражи паролей. В общественном месте не заходите на сайты, которые требуют ввода паролей и личных данных, делайте это по мобильной сети или через домашний Wi-Fi.
Пароли нового поколения
Как же защитить информацию на компьютере и в интернет-аккаунтах? Большинство экспертов считают, что для этого придется отказаться от системы паролей в привычном для нас понимании. Более надежными являются такие методы идентификации, как биометрия или двухкомпонентная система авторизации, требующая введения уникальных для каждого пользователя текстовых кодов.
Суть новой технологии под названием FaceLock состоит в том, что при регистрации в системе пользователь будет определять набор хорошо знакомых ему лиц, желательно малоизвестных другим людям.
Дело в том, что мы по-разному воспринимаем знакомые и незнакомые нам лица. Если человек нам хорошо знаком, то мы без труда сможем опознать его лицо среди многих других, причем даже на нечетком снимке… А вот различные фото незнакомого человека зачастую воспринимаются как принадлежащие разным людям.
Когда юзер захочет зайти в свой аккаунт, ему будет предложено несколько наборов снимков, каждый из которых содержит лишь одно изображение знакомого лица. Для владельца аккаунта это окажется достаточно простой задачей, в отличие от мошенника…
Не так давно Блэйр Армстронг и его коллеги из Баскского центра познания, мозга и языка (Испания) предложили для электронной аутентификации метод сканирования мозга. Они выяснили, что мозг разных людей по-разному реагирует на одни и те же слова, и в каждом случае эта реакция совершенно уникальна.
Ученые предложили 45 добровольцам прочитать перечень из 75 аббревиатур, таких, как FBI или DVD, и записали сигналы, которые «издавал» их мозг в процессе чтения…
Как усилить пароль мультифакторной аутентификацей
Простой способ улучшить защиту ваших устройств и аккаунтов — использовать не только пароль, а еще и другие данные для аутентификации.
Все знакомы с тем, как проходят онлайновые банковские платежи. После ввода данных карты, CVV-кода, банк присылает одноразовый код. Этот код — дополнительным фактор проверки, который помогает завершить платеж. Иными словами, банк использует два параметра: данные карты и одноразовый код. Эта аутентификация называется двухфакторной.
По такому же принципу строится двухфакторная аутентификация в электронной почте и популярных онлайн-сервисах. Чтобы попасть на сайт, пользователь вводит пароль и одноразовый код, полученный через SMS. Иногда сервис может требовать пароль и биометрические данные, например, отпечаток пальца.
Недостатки:
Одноразовый код в SMS могут перехватить. Отсутствие телефона для получения одноразового кода может стать проблемой.
Как выбрать и правильно применять:
- Не стоит использовать для всех сайтов и приложений. Двухфакторная аутентификация нужна только для критически важных сервисов. Например, для основной электронной почты, хостинга, банковского приложения.
- Есть смысл при настройке сгенерировать и распечатать резервные коды. Это поможет войти в аккаунт, когда вы окажетесь без телефона и не будет возможности получить одноразовый код
Угрозы взлома паролей
Многие пользователи имеют навыки создания паролей, которые сложно подобрать вручную. Но необходимо помнить, что сегодня уже никто не занимается подбором паролей вручную, для этого используются алгоритмы и специальные программы, которые намного эффективнее ручного перебора. И пароли, которые некоторое время назад считались сложными для взлома, могут оказаться простыми для электронных алгоритмов.
Основные методы, которыми пользуются злоумышленники можно отсортировать в следующем виде:
Перебор по словарю: программы используют часто встречающиеся комбинации. Как правило, пользователи используют пароли, которые могут легко запомнить. Такие пароли часто пересекаются со словарными шаблонами.
Брутфорс-атаки: происходит автоматический перебор всех возможных комбинаций букв, цифр и знаков. Короткие пароли таким способом подбираются за несколько часов, а длинные подобрать уже непросто.
Фишинг: мошенники присылают своим жертвам ссылки на поддельные сайты или сервисы, полностью похожие на настоящие сайты и сервисы. Не подозревающий об этом пользователь вводит свои учетные данные и они становятся известны злоумышленникам.
Утечка данных: довольно часто взламываются базы данных компаний, и хранящаяся у них пользовательская информация становится доступной хакерам.
Что делать, если ваш менеджер паролей взломан?
В большинстве случаев взлом не приведет к тому, что все ваши пароли попадут в чужие руки.
Однако даже самый безопасный менеджер паролей может иметь серьезную уязвимость, которую все упускают из виду.
Начнем с того, что ваши пароли шифруются локально.
Менеджеры паролей не могут расшифровать ваши данные, потому что они реализуют политику нулевого разглашения.
Так что если хакер проникнет в ваше хранилище, он увидит только зашифрованную информацию.
Существует небольшая вероятность того, что злоумышленник сможет проникнуть в ваше физическое устройство, украв его, используя вредоносное ПО или регистрируя нажатия клавиш.
Даже в этом случае ему или ей понадобится ваш мастер-пароль.
Если вы используете биометрические данные, такие как отпечаток пальца или идентификатор лица, вероятность успешной атаки становится ничтожно малой.
Если злоумышленник устанавливает вредоносное ПО на ваше устройство, лучше всего переустановить ОС и изменить все пароли в вашем хранилище.
Не забудьте также включить 2FA везде, где это возможно.
Таким образом, вы заметите, когда в приложение-аутентификатор придет необычный запрос.
Взлом менеджера паролей
Список известных взломов менеджера паролей довольно короткий.
В противном случае у них не было бы той репутации, которую они имеют сегодня.
Вот почему я также буду добавлять сообщения об уязвимостях, которые могли не привести к какому-либо ущербу.
- В 2015 году LastPass обнаружил вторжение на свои серверы. Среди прочего хакеры забрали адреса электронной почты пользователей и напоминания о паролях. Это не привело к известному ущербу, потому что даже если вы использовали слабый мастер-пароль и злоумышленники взломали его, им все равно нужно было подтвердить доступ по электронной почте.
- В 2016 году белые хакеры и эксперты по безопасности сообщили о множестве уязвимостей в системе безопасности. Среди затронутых менеджеров паролей были LastPass, Dashlane, 1Password и Keeper. В большинстве случаев злоумышленнику все же придется использовать фишинг, чтобы обманом заставить пользователя раскрыть некоторые данные.
- В 2017 году LastPass сообщил о серьезной уязвимости в надстройках для своего браузера и попросил подписчиков воздержаться от ее использования. Это было исправлено менее чем за 24 часа. У Keeper и OneLogin также были проблемы, которые не привели к жертвам.
- В 2019 году в коде Dashlane, LastPass, 1Password и KeePass были обнаружены серьезные уязвимости. Это относилось к пользователям Windows 10 и только в том случае, если было установлено правильное вредоносное ПО. И снова пользователи не пострадали.
Как видите, ни один из этих взломов менеджера паролей не был настолько серьезным.
Конечно, уязвимости были обнаружены, но и они были своевременно устранены.
И в большинстве случаев злоумышленнику придется либо получить еще какие-то данные от пользователя, либо полностью захватить его устройство, прежде чем получить доступ к хранилищу.
В результате ни одна из упомянутых выше проблем не повредила репутации менеджеров паролей.
Коды доступа необходимо изменить
Если вы не периодически менять пароли, можно сказать, что они теряют защиту. Могут быть утечки, проблемы в сервисах, где мы их используем, таких как социальные сети или форумы в Интернете, и время от времени удобно ставить другой для повышения безопасности.
Известная ошибка
Одна из причин смены паролей — когда известная ошибка появляется. Например, утечка на странице, где мы зарегистрированы, и подверглась атаке. Это может раскрыть все пароли и оказаться в руках злоумышленника, который сможет их использовать.
Следовательно, если, например, мы используем и мы видим, что в этой социальной сети произошла утечка данных, мы должны немедленно изменить учетные данные для доступа. Это предотвратит доступ к нашей учетной записи и кражу личной информации.
Прошло много времени
Одна очевидная причина — время. Если вы использовали пароль долгое время , вам следует подумать о его замене. Это обновит защиту и позволит защитному барьеру этой страницы или записи оставаться в рабочем состоянии, чтобы предотвратить проникновение злоумышленников.
Как часто? Ничего не установлено, кроме здравого смысла. Если вы видите, что используете один и тот же пароль в течение месяцев или даже лет, всегда полезно его изменить
Важно, чтобы этот новый пароль был безопасным и при условии, что он лучше предыдущего
Они не сложные
Следуя тому, что мы упомянули, важно, чтобы они сложный и полностью безопасный. Недостаточно поставить что-либо, кроме пароля, в котором есть буквы (как прописные, так и строчные), цифры и другие специальные символы
К тому же все это всегда случайным образом.
Если вы используете пароль, в котором указаны ваше имя, фамилия или дата рождения, что делают многие пользователи, вам следует немедленно его изменить. То же самое, если вы используете пароль типа 123456 и тому подобное, конечно.
Мы заметили что-то странное
Если вы заметили что-то странное , например, попытка неправомерного доступа к учетной записи или то, что кто-то даже смог получить к ней доступ, вы должны изменить ее как можно скорее. Это также относится к случаям, когда вы вошли в систему на чужом компьютере или даже оставили учетную запись открытой. Всегда удобно использовать другой.
Таким образом мы избежим возможных нежелательных обращений и проблем, которые могут повлиять на наши учетные записи. Нам всегда нужна максимальная защита, независимо от типа услуги, которую мы используем или для чего мы ее используем.
Есть ли вирус
Конечно, если в нашем компьютере Вирус , мы должны принять меры после того, как очистим его. Одна из таких мер — немедленно изменить имеющиеся у нас пароли. Эта вредоносная программа могла зарегистрировать все наши ключи и находиться на сервере, контролируемом злоумышленниками.
Хотя мы не знаем наверняка, был ли у нас вирус или нет, всякий раз, когда есть какие-либо подозрения, рекомендуется принимать меры этого типа, даже если это только в качестве меры предосторожности. Мы можем избежать серьезных проблем
В конечном итоге, по этим причинам вам следует изменить свои пароли
Важно не допускать попадания ключей в Dark Web и для этого удобно их периодически менять
Ответ 4
Трудноугадываемые пароли – это хорошая практика. Обеспечение таких уровней сложности, при которых пользователи забывают свои пароли или вынуждены их записывать, – это плохо, поскольку при этом полностью теряется вся безопасность, достигнутая за счет сложности. В идеальном мире (в котором мы, к сожалению, не живем) должен существовать баланс между сложностью и удобством использования. Конечно, разные люди будут видеть эту точку равновесия в разных местах.
Логика регулярной смены паролей через х дней мне немного непонятна. Обычно я слышу, что это делается для того, чтобы ограничить полезность украденного пароля, на что я отвечаю, что любой реальный ущерб почти наверняка будет нанесен в течение первых нескольких часов. Например, Фред «знакомится» с паролем Мэри. Если это не происходит почти в то же время, когда Мэри меняет пароль, то какая разница, будет ли он изменен завтра или в следующем месяце? Действительно ли вероятно, что Фред подождет еще неделю или две, прежде чем воспользоваться паролем (если предположить, что так и было задумано с самого начала)? Очевидно, что смена паролей при наличии каких-либо причин или подозрений, что это может быть необходимо, – это совсем другое дело.
Что в итоге
Сложный и длинный пароль — уже недостаточно. Даже лучшие из них взламывают, сведения об утечках попадают в хакерские базы данных. Чтобы повысить безопасность, требуется либо альтернатива паролю, либо дополнительный фактор аутентификации. У каждого из способов свои плюсы и минусы.
Если пользуетесь онлайн-сервисами:
- двухфакторная авторизация усилит защиту — не пренебрегайте ей;
- аппаратный токен — лучший на сегодня второй фактор авторизации;
- настраивая двухфакторную авторизацию, не забудьте подготовить одноразовые коды. Это нужно, если телефон или аппаратный токен будут недоступны.
«Главная ошибка собеса — подгонять ответы». Рекрутеры рассказали о найме в IT
Откуда берутся IT-рекрутеры, с какими трудностями они сталкиваются в попытках закрыть позиции и какие ошибки сами совершают на интервью — полезно знать перед тем, как искать работу.
