Длина против спецсимволов: киберэксперт раскрыл главный секрет хорошего пароля

Слабый пароль — одна из главных проблем в цифровой безопасности. «Вечерняя Москва» вместе с экспертом по кибербезопасности компании Angara Security Николаем Долговым разобрались, какие комбинации несут риск.

По словам специалиста, пользователи устают от требований к сложности и выбирают то, что проще запомнить. Поэтому в ежегодных утечках фигурируют одни и те же варианты: 123456, password, qwerty, даты рождения и клички животных. Встречаются и «смешные» пароли вроде neznayu или zabylparol. Но, подчеркивает эксперт, смешным это выглядит только до первой компрометации аккаунта.

Главная ошибка — повторное использование одной связки на разных сайтах. Человек регистрируется на малоизвестном ресурсе с тем же паролем, что и от почты, а через год база этого сайта утекает. Злоумышленники автоматически проверяют пару «логин-пароль» в банках, маркетплейсах и соцсетях. Такой метод называется credential stuffing.

Хороший пароль должен быть длинным, уникальным и непредсказуемым. Старый подход с заменой буквы «а» на @, а «о» на 0 уже не работает. P@ssw0rd123 остается шаблонным для современных инструментов подбора. Надежнее использовать фразы из нескольких случайных слов, не связанных с личной информацией. Минимальная длина для важных сервисов — от 12 символов.

Держать десятки паролей в голове невозможно, поэтому эксперт советует менеджеры паролей. Пользователю нужно запомнить один мастер-пароль и защитить его двухфакторной аутентификацией.

Пять простых правил: один сервис — один пароль; длинная комбинация; никакой личной информации; двухфакторка везде, где можно; менеджер паролей. Идеального пароля не существует — надежная защита строится на системе, а не на одном секретном слове.