AmnesicNode
New member
Признаюсь честно: я долго был тем самым человеком, у которого все пароли одинаковые, а самый сложный — это qwerty123. И я искренне считал, что хакерам до меня нет дела. Ну кто будет взламывать мой аккаунт в «ВК» и почту, где хранятся счета за коммуналку и переписка с мамой?
Потом у меня угнали аккаунт в Steam. Не в «Сбере», не криптокошелек, а просто в стиме, с двадцатью играми и старой перепиской. Я потратил две недели на восстановление и потерял три любимые учёбы скины в CS:GO. С тех пор я задумался.
А через год коллега по работе лишился доступа к своему Google-аккаунту — там были фото детей за пять лет, документы и всё рабочее облако. Он просто сохранил пароль в заметках на телефоне, телефон украли, а заметки синхронизировались в облако. Пароль от того же облака лежал там же.
Сейчас я не эксперт по кибербезопасности, но набил достаточно шишек, чтобы чётко знать: как можно хранить пароли, а как — категорически нельзя. Делюсь.
И если ваш пароль от «Одноклассников» совпадает с паролем от онлайн-банка — считайте, что вы сами подарили мошеннику ключи от квартиры.
Поэтому речь идёт не о паранойе. Речь о том, чтобы ваши данные не стали самой лёгкой мишенью.
Вывод: стикеры — только для котиков на холодильнике. Не для паролей.
Особенно «мило», когда этот файл синхронизируется с облаком (Яндекс.Диск, Google Drive). Тогда злоумышленнику даже не нужно трогать ваш компьютер — достаточно получить доступ к вашему облаку.
Всё. Вы в игре, причём вы — игрушка.
Что важно: главный пароль от менеджера должен быть очень длинным (хотя бы 15–20 знаков), но при этом запоминаемым. И нигде его не хранить, кроме как в голове.
Важно: храню ли я бумажку с паролями в ящике стола? Да, если в квартире нет чужих людей. Не храню ли я её в кошельке? Нет, никогда.
Все остальные сервисы (форумы, магазины, доставка) можно пускать по одному паролю? Лучше нет, но если очень хочется — хотя бы не повторяйте тот, что от почты и банка.
Это защищает от кражи пароля. Даже если ваш пароль украли, без кода из телефона (или без физического ключа) войти не получится.
Где включать обязательно: почта Google и Яндекс, Госуслуги, любые сервисы с деньгами, соцсети (если жалко профиль).
Главное: не берите цитаты из песен и книг — они часто встречаются в словарях для взлома.
Храните пароли с умом и спите спокойно.
Потом у меня угнали аккаунт в Steam. Не в «Сбере», не криптокошелек, а просто в стиме, с двадцатью играми и старой перепиской. Я потратил две недели на восстановление и потерял три любимые учёбы скины в CS:GO. С тех пор я задумался.
А через год коллега по работе лишился доступа к своему Google-аккаунту — там были фото детей за пять лет, документы и всё рабочее облако. Он просто сохранил пароль в заметках на телефоне, телефон украли, а заметки синхронизировались в облако. Пароль от того же облака лежал там же.
Сейчас я не эксперт по кибербезопасности, но набил достаточно шишек, чтобы чётко знать: как можно хранить пароли, а как — категорически нельзя. Делюсь.
Что самое страшное вам сделают с вашими паролями
Перед тем как говорить о хранении, важно понять: злоумышленнику не нужно лично взламывать вас. Он берёт список из миллиона слитых паролей (такие продаются на форумах за копейки) и запускает бота. Бот тупо перебирает эту базу на тысячи сайтов — почта, соцсети, доставка, банки, такси.И если ваш пароль от «Одноклассников» совпадает с паролем от онлайн-банка — считайте, что вы сами подарили мошеннику ключи от квартиры.
Поэтому речь идёт не о паранойе. Речь о том, чтобы ваши данные не стали самой лёгкой мишенью.
Как НЕ надо хранить пароли. Жесткий список ошибок
1. Писать пароль на стикере и клеить на монитор
Я видел это даже в офисах вполне серьёзных компаний. Стикер с надписью admin123 прямо на рамке монитора. Такой пароль может не взломать, а просто подсмотреть — например, курьер или уборщица. Или гость, который попросит у вас стакан воды.Вывод: стикеры — только для котиков на холодильнике. Не для паролей.
2. Хранить пароли в текстовом файле на рабочем столе
Неважно, как он называется: пароли.txt, 111.txt или котэ.jpg. Зловредная программа, которую вы случайно скачали с торрента, легко просканирует все файлы на компьютере и найдёт всё, что выглядит как логин и пароль.Особенно «мило», когда этот файл синхронизируется с облаком (Яндекс.Диск, Google Drive). Тогда злоумышленнику даже не нужно трогать ваш компьютер — достаточно получить доступ к вашему облаку.
3. Использовать один пароль везде
Классика. Один могучий пароль — и на почту, и на «Госуслуги», и на форум по выращиванию кактусов. Хакер сливает базу с того кактусного форума (а там защита — как у картонного гаража), получает ваш пароль в открытом виде и пробует его на почте, на Госуслугах и в банке.Всё. Вы в игре, причём вы — игрушка.
4. Использовать очевидные пароли
123456, qwerty, password, admin, user, дата рождения, имя кота, q1w2e3r4. Такие пароли даже бабушка-хакер переберёт за минуту. Словарные атаки взламывают подобные комбинации мгновенно.5. Хранить пароли в браузере (без главного пароля)
Браузер предлагает запомнить пароль — удобно. Но все эти пароли хранятся в его настройках, и любая программа-вредитель может их оттуда вытащить одной командой. Если только вы не установили главный пароль в браузере (это отдельная опция, и её надо искать). Но даже тогда — доверять все свои секреты браузеру сомнительно.6. Сохранять пароли в заметках телефона без шифрования
Заметки — это просто текст. Если телефон украдут и разблокируют (а приставленный палец или код подсмотреть легко) — всё ваше будет у чужих. Некоторые заметки, как в Telegram, поддерживают локальное шифрование — это лучше, но не панацея.7. Пересылать пароли в мессенджере
«Скинь пароль от wi-fi в ватсап» — классика. Потом этот чат может быть скомпрометирован, скриншот утечёт, или просто ваша подруга покажет экран кому-то в кафе. Пароль, пересланный в мессенджере, — уже не тайна.Как хранить пароли ПРАВИЛЬНО. Без фанатизма, но надёжно
1. Использовать менеджеры паролей — это лучший вариант
Менеджер паролей — это программа, которая:- генерирует за вас очень сложные пароли (например: 7&kR!9pL$2mQ@vF);
- хранит их в зашифрованной базе;
- запоминает за вас;
- может синхронизировать базу между компьютером, телефоном и планшетом (с шифрованием, конечно);
- подставляет пароли автоматически — вы запоминаете только один главный пароль.
Что важно: главный пароль от менеджера должен быть очень длинным (хотя бы 15–20 знаков), но при этом запоминаемым. И нигде его не хранить, кроме как в голове.
2. Если менеджер паролей вам не подходит — делайте офлайн-запись
Совет уровня «дедушка на завалинке», но работающий:- берёте обычный блокнот (бумажный) и ручку;
- записываете туда пароли, но не полные, а с «секретным правилом».
Важно: храню ли я бумажку с паролями в ящике стола? Да, если в квартире нет чужих людей. Не храню ли я её в кошельке? Нет, никогда.
3. Делайте уникальный пароль для критически важных сервисов
Для почты, для Госуслуг, для онлайн-банка, для основного аккаунта Apple или Google — абсолютно уникальный сложный пароль, не похожий ни на какой другой.Все остальные сервисы (форумы, магазины, доставка) можно пускать по одному паролю? Лучше нет, но если очень хочется — хотя бы не повторяйте тот, что от почты и банка.
4. Включайте двухфакторную аутентификацию везде, где можно
2FA — это когда после ввода пароля требуется ещё код из SMS, приложения-аутентификатора (Google Authenticator, Яндекс.Ключ) или нажатие кнопки в телефоне.Это защищает от кражи пароля. Даже если ваш пароль украли, без кода из телефона (или без физического ключа) войти не получится.
Где включать обязательно: почта Google и Яндекс, Госуслуги, любые сервисы с деньгами, соцсети (если жалко профиль).
5. Регулярно проверяйте, не утек ли ваш пароль
Сервис «Яндекс.Ключ», сайт haveibeenpwned.com, проверки в Bitwarden — они сверяют ваши пароли со слитыми базами. Увидели, что пароль утёк — срочно меняйте. Особенно если он использовался где-то ещё.6. Используйте «парольную фразу» вместо короткого пароля
Случай: фраза Мой кот любит кушать вискас в 5 утра — это надёжнее, чем k&3@nQ9!. Потому что она длинная (более 20 знаков), а перебирать такую переборщикам сложно. И её легко запомнить.Главное: не берите цитаты из песен и книг — они часто встречаются в словарях для взлома.
Пример: как храню пароли я
Каждый выбирает по своему удобству. Покажу свой вариант (без фанатизма, но жить можно):- Основной инструмент: Bitwarden (бесплатная версия). Там лежат все пароли, сгенерированные случайно.
- Главный пароль от Bitwarden — длинная фраза, которую я придумал сам и нигде больше не использую.
- 2FA: Везде, где можно. Самый важный аккаунт (почта) защищён Яндекс.Ключом.
- Для критичных паролей (почта, банк): они в Bitwarden, но дополнительно записаны на листе бумаги в сейфе. На случай, если я потеряю доступ к менеджеру.
- Телефон: Bitwarden тоже установлен, но вход по биометрии (отпечаток) + главный пароль запоминаю.
- Браузер: запоминать пароли запретил. Только Bitwarden.
- Периодичность: раз в полгода прогоняю свои адреса через haveibeenpwned. Если что-то всплывает — меняю пароль на всех связанных сервисах.
Что в итоге
Простая инструкция, как не потерять всё:- Установите менеджер паролей (Bitwarden — бесплатно и надёжно).
- Придумайте длинный главный пароль (фразой) и запомните его.
- Включите двухфакторную аутентификацию на почте, в банке и Госуслугах.
- Не повторяйте пароли для разных сайтов.
- Прекратите писать пароли в текстовых файлах, заметках, на стикерах и в мессенджерах.
- Если очень хочется бумажку — записывайте с «секретным правилом».
Храните пароли с умом и спите спокойно.
