Журнал про паролі

Ентропія показує, наскільки важко передбачити пароль. Її створюють не декоративні символи, а довжина і справжня випадковість.

І пароль, і парольна фраза можуть бути дуже надійними. Різниця зазвичай у довжині, випадковості та зручності в повсякденному користуванні.

Довжина пароля — один із найсильніших важелів безпеки. Для важливих облікових записів хорошим орієнтиром є 16 символів і більше.

Генератор паролів створює випадкові рядки або парольні фрази, які набагато важче вгадати, ніж паролі, придумані вручну.

Хороші правила для паролів посилюють захист, не змушуючи користувачів шукати небезпечні обхідні рішення.

Слабкі паролі зазвичай видають передбачувані шаблони, повторне використання і спроба пройти мінімальні вимоги з мінімальними зусиллями.

Хороші приклади потрібні не для копіювання, а щоб побачити різницю між слабким шаблоном і справді надійним підходом.

Найтиповіші помилки з паролями — передбачувані шаблони, повторне використання і занадто короткі варіанти.

Спеціальні символи можуть бути корисними, але саме вони не є основою безпеки пароля. Найчастіше вирішують довжина й випадковість.

Надійний пароль має бути довгим, унікальним і достатньо випадковим, щоб його було важко вгадати або використати після витоку.

Менеджери паролів мають свої ризики, але для більшості людей все одно означають більш безпечну й упорядковану модель роботи з доступами.

Головний пароль захищає весь сейф, тому має бути довшим, унікальнішим і продуманішим за звичайний пароль входу.

Збереження в браузері зручне, але не завжди дорівнює окремому менеджеру паролів із зрозумілішою моделлю безпеки.

Менеджер паролів зберігає, організовує та генерує облікові дані, щоб для кожного облікового запису можна було мати окремий сильний пароль.

Паролі не повинні жити в нотатках, відкритих файлах чи повторюваних шаблонах; ними краще керувати структуровано й безпечно.

Brute force і password spraying — це атаки на вхід, але одна перевіряє багато паролів для одного акаунта, а інша — кілька типових паролів для багатьох.

Credential stuffing — це автоматичне використання злитих даних входу на багатьох інших сервісах.

Повторне використання паролів дозволяє одному інциденту швидко перекинутися на інші облікові записи.

Безпечна перевірка на витік допомагає зрозуміти масштаб проблеми та правильно визначити наступні кроки.

Після витоку вирішальними стають швидкість дій, правильний пріоритет і очищення повторно використаних паролів.

Пошта, банкінг і соцмережі мають різний рівень критичності, тому пріоритети захисту для них теж відрізняються.

Хороша корпоративна політика паролів — це не зайві формальності, а робочі звички, MFA та зрозумілі процеси.

Passkeys зменшують залежність від класичних паролів, але перехід до них буде поступовим.

MFA дуже корисна, але не усуває проблеми слабких або повторно використаних паролів.

Постійно змінювати паролі за календарем менш корисно, ніж змінювати їх тоді, коли є реальна причина.

Якщо сервіс може розшифрувати пароль, це серйозний тривожний сигнал для всієї архітектури зберігання.

Argon2, bcrypt і scrypt мають різні сильні сторони; у сучасних системах Argon2 часто є першим вибором, якщо середовище його добре підтримує.

Сіль і pepper роблять хеші паролів стійкішими до масових атак і підсилюють захист після витоку.

Хешування і шифрування часто плутають. Для паролів правильний підхід — хешування, бо сервер не повинен уміти відновити секрет.

Хороші системи не зберігають паролі у відкритому вигляді, а покладаються на сучасні методи хешування та додатковий захист.