Безпека паролів: як створити та зберігати надійні паролі

У лютому 2023 року на одному з хакерських форумів було опубліковано гігантський текстовий файл rockyou2021.txt з 8,4 мільярдами унікальних паролів користувачів інтернету зі всього світу. На той момент це стало найбільшою компіляцією викрадених та отриманих унаслідок різних витоків паролів. Тож з дуже великою вірогідністю нам з вами не пощастило, і якийсь із наших паролів давно потрапив до липких рук кібернегідників різного штибу. Добре, якщо це один пароль до одного сервісу. Дуже погано, якщо це один пароль до різних сервісів.

Згідно з дослідженням Google/Harris Poll 2019 року в США, 52 % користувачів використовували один пароль для кількох сервісів, а 13 % — взагалі один пароль для всього. І всього 24 % користувалися менеджерами паролів.

Як створювати й де зберігати паролі

Ви як кмітливий читач зрозуміли до чого ми ведемо: якнайменше паролі мають бути різні для різних сервісів, жодним чином не повторюватися; унікальні і складні для підбору; надійно зберігатися в абсолютній безпеці від чужих рук і очей. Щоб цього досягти, паролі потрібно не придумувати, а створювати; не записувати на липкі листочки чи в блокнот, а надійно зберігати в зашифрованому вигляді й водночас мати до них швидкі й безпечні доступ та спосіб їхнього введення. А ще краще мати не один, а два паролі для кожного окремого випадку.

2FA: Двофакторна автентифікація як гарантія безпеки навіть якщо пароль зламано

Звичайний пароль — це перший і часом єдиний фактор аутентифікації. Як ключ до замка у «дверях» потрібного сервісу. Але два замки краще ніж один: другий фактор аутентифікації зробить майже неможливим злам, навіть якщо ваш основний пароль потрапить до рук зловмисників.

Двофакторна автентифікація (2FA) — це використання окрім постійного ще й  одноразового пароля, який генерується із допомогою застосунку на комп’ютері чи смартфоні користувача, або створюється на сервері сервісу й надсилається у СМС. Найвідоміші застосунки для 2FA — Authy, Google Authenticator, Microsoft Authenticator. Вони постійно генерують нові «ключі» до того самого другого замка.

Звісно, для створення, керування, зберігання і пошуку логінів, паролів та іншої чутливої інформації давно розроблено чимало застосунків та сервісів.

Чому користуватися менеджерами паролів найбезпечніше й найзручніше

Менеджер паролів дозволяє нам, користувачам, сміливо й безпечно… користуватися лиш одним паролем. Такий пароль ще називається «майстер-паролем». Усе інше бере на себе застосунок.

Усе — без перебільшення. У менеджері паролів можна згенерувати надійний унікальний пароль, за потреби додати другий фактор аутентифікації, зберегти інформацію про застосунок чи вебсторінку, для якої створено зв’язку логін-пароль-2FA і будь-яка інша потрібна вам інформація. Але це пів справи (власне, те, що ви робитимете для кожного окремого випадку лише один раз).1Password service

Важливо, що хороший менеджер паролів сам вводитиме за вас логіни, паролі, коди двофакторної аутентифікації на потрібних сайтах. Не тільки зручно, а й безпечно. Наприклад, це чудовий спосіб захисту від фішингу — поширеного способу красти дані користувачів для аутентифікації. Бо на відміну від людини, спеціальний застосунок не обдуриш схожим зовнішнім виглядом сайту чи подібним до справжнього URL.Safari 1Password

Деякі менеджери паролів вміють слідкувати за відомими «витоками» і зламами, і за потреби одразу повідомлять вам, що такий-от пароль краще змінити.1Password Watchtower

Краще ніж «нічого»: вбудовані менеджери паролів в операційні системи та браузери

Майже всі сучасні операційки та браузери мають «вбудовані» менеджери паролів. Пам’ятаєте, Chrome люб’язно пропонував вам зберегти логін і пароль після авторизації в соцмережі? Чи Safari рекомендував складний безпечний пароль під час реєстрації в інтернет-магазині? Це воно.

Такі менеджери паролів мають низку беззаперечних переваг, але й серйозних недоліків перед окремішніми аналогами. Вони добре інтегровані в браузер або ОС, доступні одразу й безплатно — лиш користуйтесь. Вони точно працюватимуть не один рік і підтримуватимуться розробниками ОС чи браузера. Водночас такі менеджери паролів не завжди мають зручний інтерфейс користувача, можливості синхронізації між різними браузерами чи ОС, збереження іншої інформації окрім логінів і паролів, можливості двофакторної аутентифікації обмежені або відсутні.

  • iCloud Keychain — безпечний хмарний менеджер паролів із глибокою інтеграцією в ОС (iOS, iPadOS, tvOS, watchOS, macOS) і з підтриманням 2FA. Виключно для «екосистеми» Apple.
  • Google Password Manager — хмарний менеджер паролів для браузера Chrome, ChromeOS та Android. Без підтримання двофакторної аутентифікації, але пам’ятаєте, Google має для цього у своєму арсеналі окремий застосунок — Google Authenticator.
  • Microsoft Edge має вбудований менеджер паролів, який може зберігати та автоматично заповнювати облікові дані користувача. У поєднанні з Edge можна використовувати окремий застосунок Microsoft Authenticator (2FA), який можна використовувати й окремо як менеджер паролів.

Бразуери Firefox, Vivaldi, Opera та інші також мають вбудовані менеджери паролів, які слід комбінувати із застосунками для 2AF. Вони забезпечують базовий захист і це непоганий старт для підвищення рівня цифрової безпеки.

Найпотужніше в цьому переліку виглядає iCloud Keychain — але це тому, що досі не йшлося про спеціальні застосунки та сервіси для менеджменту паролів.

Як вибрати сторонній менеджер паролів: надійні і зручні застосунки та сервіси

Ви вже знаєте про менеджери паролів усе — принаймні як користувач. Тож час обирати. Ми склали список із кількох хороших менеджерів паролів замість суб’єктивних порад і вражень. Створюючи цей перелік, ми керувалися низкою критеріїв:

  • довговічність на ринку, репутація/відсутність безпекових інцидентів («що люди кажуть»)
  • кросплатформенність (це коли macOS вдома, Windows на роботі, й Android у кишені)
  • наявність 2FA (you shall not pass!)
  • вартість (хочеться безплатно, але за гарний сервіс можна й заплатити)
  • юрисдикція і країна походження (щоб ваша інформація належала вам, а не «товаріщу майору»)
  • відповідність GDPR (закон ЄС, який гарантує користувачу окрім іншого «право на забуття» та інформування у випадку навіть потенційного витоку даних)
Менеджер паролівБезпекові інцидентиРепутаціяКросплатформенність2FAВартістьПоходження та юрисдикціяЗручністьВідповідність GDPRПосилання на сайт
1PasswordНемаєВисокаТакТакПідпискаКанадаВисокаТакhttps://1password.com/
BitwardenНемаєВисокаТакТакБезкоштовний / ПідпискаСШАВисокаТакhttps://bitwarden.com/
KeeperНемаєВисокаТакТакПідпискаСШАВисокаТакhttps://www.keepersecurity.com/
DashlaneНемаєВисокаТакТакПідпискаСШАВисокаТакhttps://www.dashlane.com/
EnpassНемаєВисокаТакТакПідписка / Покупка назавждиІндія/СШАВисокаТакhttps://www.enpass.io/
KeePassНемаєВисокаТакТакБезкоштовнийНімеччинаСередняТак (неофіційно)https://keepass.info/
SecretsНемаєВисокаТакТакВключено в SetappПортугаліяВисокаТакhttps://outercorner.com/secrets-ios/

Зрештою це добрий старт для пошуків — навіть якщо вам нічого із цього списку не сподобається. Обирайте мудро.

Що робити, якщо ваш пароль зламали

Гарною звичкою стане перевіряти час від часу свій email на спеціальних сервісах на кшталт haveibeenpwned.com, monitor.firefox.com чи cybernews.com Ви в списку? Не панікуйте:

  • спокійно змініть паролі до всіх акаунтів на вказаних сервісах
  • увімкніть двофакторну автентифікацію (2FA) де тільки можливо
  • уважно слідкуйте за електронкою та СМС, уважно відкривайте посилання — це можуть бути спроби фішингуPersonal Data Leak Checker

Навіщо «хакерам» бази паролів та як це пов’язано з менеджерами паролів

Два основні типи атак, які можуть здійснюватися завдяки таким масивам даних як rockyou2021.txt — з допомогою «словника паролів» та «розпилювання паролів».

Атаки зі словником паролів: тут використовується «словник» неунікальних паролів. Зловмисник перебирає ці паролі один за одним — раптом якийсь підійде. Додаєте до вашого імені, скажімо, «решітку» й рік народження? Ці «добродії» теж — вони використовують варіації відомих паролів із числами та спецсимволами.

Атаки з розпилюванням паролів: а цей тип атаки вже використовує невелику кількість «популярних» паролів на великій кількості облікових записів. Тобто, зловмисник не пробує багато паролів на одній обліковці, а один пароль на багатьох. А це може бути ефективним, оскільки (ви вже знаєте) люди часто використовують одні й ті ж прості паролі.


Формула безпечного інтернету — захищене підключення до мережі як от з ClearVPN 2, надійні унікальні паролі в комбінації з двофакторною аутентифікацією (2FA), базова технічна обізнанність і здоровий глузд. Бачте, нічого складного — користуйтеся на здоров’я.

Будь на звʼязку Підпишись на наш дайджест, щоб читати корисні поради з кібербезпеки, отримувати найкращі пропозиції та новини від ClearVPN на свою поштову скриньку.

IP-адреса — що це таке та як її змінити

Щодня ми користуємося IP-адресою, але не всі знають, що це таке й де її можна знайти. Нещодавнє опитування показало: лише 29 % американців знають, що таке IP-адреса. Із цієї статті ви дізнаєтеся, що таке IP-адреса, де її знайти, як змінити й чому вам знадобиться застосунок ClearVPN2. Завантажити ClearVPN Насолоджуйся вільним та безпечним доступом до будь-якого закутка...

Безпека віддаленої роботи: як захистити себе під час роботи з дому

Для багатьох віддалена робота стає невід’ємним аспектом їхнього професійного життя, але багато людей все ще знаходиться в процесі адаптації до нового робочого середовища та вчаться сприймати зміни.  Згідно з останніми дослідженнями, можливість роботи вдома приваблює значну кількість людей: 46 відсотків працівників висловлюють готовність погодитися на скорочення зарплати до 5 відсотків, щоб продовжити дистанційну роботу, яку...

Як захистити свої соціальні мережі

Завдяки соціальним мережам ми спілкуємося, знаходимо щось цікаве, а у часи повномасштабного вторгнення – робимо чимало корисних справ на кшталт зборів грошей для ЗСУ. Водночас соцмережі в останнє десятиліття стали ціллю для різних зловмисників: від дрібних інтернет-шахраїв до хакерів, що нишпорять у пошуках секретів.  Зокрема в Україні спроби зламати сторінки, викрасти персональні дані чи виманювати...