«За безопасность необходимо платить, а за её отсутствие — расплачиваться» — Уинстон Черчилль.
В этой статье я поделюсь своим опытом в создании паролей для разных сайтов, а также некоторыми методиками, которые я использую, для повышения безопасности и снижения рисков подбора/кражи пароля. Сразу говорю, что я не претендую на абсолютную истину и не гарантирую, что мои методы будут оптимальны. Это лишь то, что делаю я сам. Возможно, какой-нибудь эксперт в области инфобезопасности раскритикует мою статью – и в таком случае в самом конце статьи я добавлю раздел "Upd.", куда помещу выявленные проблемы или интересные замечания.
Приятного чтения!

Придумываем базовый пароль
Начнём с того, что попытаемся придумать пароль для одного‑единственного сайта — habr.com. В таком случае сделать это довольно просто — достаточно сгенерировать любой относительно сложный пароль, используя любой онлайн-генератор паролей, например этот.

Немного отредактируем этот пароль, например, убрав знаки ß и § — так как не на каждой клавиатуре их можно набрать ‑, и в итоге получим готовый пароль:
Y%.&_h/jqBAK$aZ´_boM?<-a?
Если же мы не хотим генерировать пароль, а хотим придумать его сами, то я рекомендую использовать для этого следующий сервис. Он на каждом этапе указывает какие проблемы есть у нашего пароля, а также предлагает способы их исправления.






Хотя, на мой взгляд, нет сильной разницы между тем, чтобы придумывать пароль самому или генерировать его с помощью сторонних инструментов. Тут уже дело вкуса, кто какой способ предпочитает.
Фух, кажется на этом всё. Пароль создан. Однако внимательный читатель сразу же задаст вопрос: «А как же мне его запомнить?» Спокойно. Предположим, что хабр — единственный сайт, который мы используем, и значит, мы готовы потратить немного усилий на запоминание — кто‑то возможно просто запомнит, кто‑то — создаст с ним документ или же запишет на бумажке и приклеит к компьютеру, а самые отчаянные даже набьют татуировку с этим паролем у себя на руке — настолько они любят хабр (хотя, конечно, вопрос насколько это надёжно, но опустим). Короче, пароль мы не забудем. Для одного сайта проблем с запоминанием всё‑таки не возникает.
Примечание: Прямо сейчас я не буду затрагивать проблему утечки базы данных и предположу, что, если вы сохранили где‑то пароли, то у злоумышленника не будет к ним доступа — только возможность их подобрать.
Итак, мы создали пароль. Такой сгенерированный пароль действительно тяжело подобрать, и он кажется надежным. Но что делать, если мы захотим зарегистрироваться на ещё одном сайте? И ладно бы мы ограничились двумя-тремя сайтами, но лично я за последние полгода зарегистрировался на примерно 50 сайтах и запоминать каждый пароль (так ещё и вспомнить через время) уже не так просто.
Расширяем базу паролей
Ладно, я готов запомнить пароли для действительно важных для меня сервисов, вроде github, gmail, vk, youtube и прочих. Но есть и такие сайты, куда я больше никогда в жизни не зайду. Или же сайты вроде chess.com — с одной стороны там у меня личной информации особо нет, но с другой я бы всё равно не очень хотел, чтобы кто‑то получал к ним доступ. Идея использовать везде одинаковый пароль крайне опасна, ведь даже крупные компании регулярно испытывают утечки и кражи данных, а некоторые сайты компаний, с куда более простыми системами защиты, прямо кричат, что пароль оттуда скоро сбежит. Тогда, использовав одинаковый пароль для нескольких сайтов, если он утечёт, его могут использовать, чтобы получить доступ к уже куда более важным нашим аккаунтам. Это проблема.
Возможно, на ум придёт использовать для важных данных индивидуальные сложные пароли, а для маловажных — один единственный. Такой подход действительно возможен, но готовы ли вы к возможным утечкам даже таких маловажных данных? Не указана ли нигде на таких сайтах, например, ваша платежная информация или же персональные данные? Тут каждому решать самому. Всё очень сильно зависит от целей, осторожности и профессии человека. Простому человеку возможно, но вот людям на важных должностях, от которых зависят другие люди, раскрывать даже небольшую информацию о себе может быть небезопасно. Для решения таких проблем я в своё время использовал следующие методики:
Псевдо уникальный пароль (или же алгоритм)
Зачастую люди используют один и тот же пароль практически для всех сервисов. Или же какое-то ограниченное количество паролей, похожих друг на друга.
Допустим, Пользователь 1 использует пароль October233
почти для всех своих сервисов. Однако на некоторых сайтах ему сказали добавить в пароль какой‑нибудь специальный символ, вроде или #
. И часто, вместо того чтобы придумывать новый пароль, человек сделает что‑то вроде такого: October#233
. А ещё хуже просто — October233*#
. Очевидно, что такой пароль легко подобрать. Более того, такой подход обычно вытекает в то, что человек спустя время забывает, какие символы он добавил в привычный пароль, а поэтому ему приходится его сбрасывать. А затем, спустя пару таких сбросов, в которых он, скорее всего, попытается использовать уже существующий пароль, ему скажут, что такой пароль вы уже использовали и, мол, пожалуйста, придумайте другой. Но что хуже, так это если один наш пароль был украден, то можно использовать атаку с подстановкой учётных данных (credential stuffing), и, значит, злоумышленники могут легко войти и во все остальные сервисы, где мы используем тот же пароль и те же почту / никнейм / телефонный номер и т. д.
В итоге получаем, что среднестатистический человек имеет какое‑то множество паролей вроде {October233, October234, Octo*ber#233, October233*#}
, которые он по кругу использует практически во всех своих сервисах. Мы уже обговорили, почему это плохо и что, очевидно, лучшим решением будет использовать всегда новый уникальный сложный пароль. Однако я хочу предложить методику, когда нам достаточно запомнить один пароль, а потом просто его модифицировать.
Допустим, имеем базовый пароль: October233
. Чтобы снизить риск потери доступа к остальным своим аккаунтам, можем модифицировать его для каждого сайта, например, так:
Сайт: habr.com
Пароль: Ohcatborb.ecro2m33
Сайт: github.com
Пароль: Ogcittohbuebr.2c3o3m
(Обратите внимание на то, как составлен пароль: в изначальный October233
через букву было вставлено название сайта:Ohcatborb.ecro2m33
)
То есть просто вшиваем в наш пароль название сайта. Обратите внимание, что такие пароли часто проходят тест надёжности, так как содержат точку и разрушают структуру пароля.

Это может показаться сложным, но мы просто сначала пишем наш пароль, а потом его модифицируем. Нам не нужно ничего запоминать — только знать базовый пароль и алгоритм. Как это выглядит наглядно:

Можно пойти ещё дальше и брать, например, длину сайта и по этому индексу добавлять специальный символ: Ohcatborb.ecro2m33
, длина названия habr — 4, поэтому вставим на 4-ю позицию #
: Ohca#tborb.ecro2m33
. Или можно вставлять каждые 4 символа специальный символ, а чтобы всегда получать одинаковый результат и не путаться, берём их из множества на клавиатуре слева направо:

Пароль превращается в: Ohca!tbor@b.ec#ro2m$33
Теперь давайте ещё сместим шифром Цезаря на 4 (длина названия сайта habr) и получим: Slge!xfsv@f.ig#vs2q$33
(Примечание: я сдвигал только буквы, специальные символы и цифры оставил как есть)
В общем, способов тьма. То есть суть этого пункта — это просто придумать алгоритм, по которому мы будем для каждого нового сайта модифицировать существующий базовый пароль. Главное, чтобы алгоритм всегда для одинаковых паролей выдавал одинаковый результат — то есть был детерминированным. Иначе мы просто не сможем войти позже.
Из минусов такого подхода — то, что если на пароль посмотрит злоумышленник или же продвинутая нейросеть / алгоритм, то с достаточной базой наших паролей не так сложно определить изначальный базовый пароль. Зная его и зная алгоритм (знание алгоритма можно получить в ходе реверсии паролей), можно без труда входить в любые сервисы, где мы такое используем.
Я предпочитаю всё‑таки запомнить несколько сложных паролей для важных сервисов, а для неважных использовать именно такой подход. Кроме того, рекомендую выучить несколько разных алгоритмов и использовать их по настроению. Тогда, если не сможете войти, то просто попробуете другой алгоритм, зная, что хотя бы один подойдёт. (Но не слишком много алгоритмов, иначе велик шанс просто не войти на сайт из‑за блока попыток.) Это ещё больше усложнит подбор паролей, ведь теперь база для реверсивной инженерии должна быть сильно больше.
Также можно сохранять названия всех сервисов, где мы регистрировались (именно названия сервисов, а не сами пароли) и раз в год или раз в пару лет менять все пароли, используя новый алгоритм. Так сказать, сделать рехешинг, используя другую хеш‑функцию. В общем, идея есть, а как её развивать — это уже ваше дело. Исходите из своих задач и возможностей.
Более простые пароли
Тут ничего нового. Попробуйте вместо почти криптографически стойких паролей, которые трудно запоминать, придумывать что‑то более простое. Возможно, используя идею предыдущего пункта, делайте ассоциацию или зависимость от названия сайта. Так пароли потом будет легче вспомнить. Тогда мы можем для каждого сервиса использовать свой уникальный пароль.
Из плюсов — нельзя подобрать закономерность при подборе пароля. Разве что, хорошо зная ваш психологический портрет, и, если вы будете придумывать уж очень слабые пароли с чрезмерно очевидными и повторяющимися ассоциациями.
Из минусов — очевидно, такие пароли легче подобрать (поэтому рекомендую всё‑таки для важных сервисов их не использовать), также вы будете тратить больше времени на запоминание, и есть риск забыть некоторые пароли.
В сочетании с предыдущим пунктом получим довольно неплохой инструмент.
Двухфакторная аутентификация
Суть этого пункта — использовать дополнительный этап для проверки вашей личности, например, код из СМС или стороннее приложение. Лично я использую Microsoft Authenticator — вход в само приложение осуществляется по Face ID, а затем у нас будет 30 секунд, чтобы ввести сгенерированный код, после чего он изменится и придётся вводить следующий.

Вещь удобная, и к ней довольно быстро привыкаешь. Я, в целом, раньше с сомнением относился к двухфакторной аутентификации, думая, что это какая‑то ерунда. Считал, что это излишне. Но на самом деле довольно быстро привыкаешь и, спустя время, уже используешь это везде, так как теперь это кажется само собой разумеющимся.
Тут опять‑таки — это просто способ дополнительно себя обезопасить. Рекомендую им воспользоваться, так как это довольно просто и в сочетании с предыдущими пунктами даёт довольно высокую гарантию защиты. Можно использовать разные приложения и разные генераторы — всё зависит от вас. Я лишь даю идею.
Трехфакторная аутентификация с физическим генератором
Когда моя сестра в первый раз устраивалась на работу в ВК, то ей выдали примерно такой генератор одноразового пароля:

В целом, это довольно распространённая практика в крупных компаниях. Мы также можем дополнительно настроить его для работы с чем‑то вроде Microsoft Authenticator — теперь приложению для генерации одноразовых паролей самому понадобиться одноразовый код.
Теперь мы уже зависим от чего‑то физического, и для обычного злоумышленника получить доступ к нашему аккаунту становится практически невозможно. Если только лично мы не станем целью целенаправленного взлома, то с точки зрения массового взлома мы просто не будем стоить тех усилий, которые имеет смысл на нас тратить. Мы просто один из миллионов аккаунтов, который попытались взломать, но не взломали. Разумеется, думать, что и это — 100-процентная гарантия, не стоит, но для рядового человека такой метод избыточен, а те, для кого жизненно необходимо — будь то по сильному желанию или роду деятельности — чтобы их не взломали, явно будут использовать куда более продвинутые и надёжные способы. Но это материал для отдельной статьи (всё‑таки цифровой след — вещь довольно опасная, и даже из мизерного количества информации порой можно сделать большие выводы. Никогда нельзя быть уверенным в абсолютной безопасности от взлома в интернете. Да и в конце концов, человеческий фактор и физическое участие никто не отменял).
Из минусов — теперь мы начинаем заботиться уже не о безопасности данных, а о безопасности физического генератора. Не дай бог, мы его потеряем или забудем перед уездом — будет неприятно. Можно завести запасной или же создать резервные одноразовые коды для входа — это поможет в крайнем случае получить доступ.
Однако, как сохранить физический генератор — невероятно сложная тема, выходящая далеко за рамки текущей статьи, и останавливаться на ней мы сейчас не будем. Хм. Нужно ли для неё писать отдельную статью на Хабре?
(Хотя п‑с-с, даю подсказку, только тихо! Повесьте брелок на ключи.
И будьте внимательней, всё таки вещь важная. Ну, и вот ещё одна подсказка, на случай, если потеряете ключи, но это прям совсем секрет)
Ну и в завершении текущего пункта: можно, конечно, пойти дальше и сделать четырёхфакторную аутентификацию, можно и пятифакторную, и так далее. А‑ка, соберите 4 ключа, слетайте на Марс, станцуйте танец Солнца и помолитесь Шиве — вопрос лишь в ваших целях и необходимостях. Лично мне хватает для 90 процентов вещей двухфакторной аутентификации. Опять‑таки я лишь предлагаю идеи, но не готовое решение. Это всё оптимизируется и подстраивается индивидуально под каждого. Вам стоит самим выработать свою систему, заточенную конкретно под вас.
Мнемотехники и картинки для запоминания пароля
В этом пункте я лишь вкратце объясню, что такое мнемотехники. Так что если вы уже знаете, что это, то, прочитав пункт по диагонали или же полностью пропустив его, мало что потеряете.
Наш мозг очень любит ассоциации. Более того, наш мозг буквально работает на основе ассоциациями. К тому же мы любим картинки и визуальную информацию. Сравните:
«Чтобы дойти от станции метро Чернышевская до доходного дома Тернова, поверните от метро налево, затем идите по Кировской улице в сторону Таврического сада, пока не дойдёте до музея Суворова. После этого поверните налево и идите по Таврической улице вдоль парка — он будет слева от вашей руки — пока не дойдёте до перекрёстка. Ориентир — здание с зелёным купоросным куполом. Вы пришли»
И

Наверное, это не самый наглядный пример, но всё равно. Мы куда лучше запоминаем визуальную информацию, чем голый текст. Даже небольшая поясняющая картинка существенно помогает улучшить процесс запоминания и разобраться в материале. Не менее сильно мы любим шутки, стишки и ассоциации — и неважно, глупые они или некультурные: важнее, что мы запомним материал.
Например, как запомнить «договоры» или «договора»?
«Ответ: мы не жулики, не воры — подписали договОры.»
Ну и так далее. Одна из идей мнемотехник — это заставить различными способами, а зачастую невероятно абсурдными и пошлыми ассоциациями, запомнить информацию. Так сказать, работать на контрасте. Конечно, есть и другие ответвления данной «науки», о которых многие не знают. Но обычно именно с этим ассоциируются мнемотехники у большинства людей при начальном изучении.
Я не буду углубляться в какие‑то техники, ведь на эту тему написано огромное количество литературы — от «Риторики для Геренния» ещё времён Древнего Рима до современного «Эйнштейн гуляет по Луне», в которых вдоль и поперёк эта тема описана. Однако рекомендую, для ознакомления, посмотреть: Как запомнить число Пи за 2,5 минуты? (до 20го знака). А для тех, у кого нет VPN и кто живёт в России — то же видео, но в Рутубе;) Клик.
В общем, если достаточно развиться в этой стезе, то довольно скоро можно научиться запоминать сложные пароли. Да и в целом, навык безусловно полезный. Если достичь определённого мастерства, то не будет стоять ребром вопрос о том, как запомнить и не забыть сложный пароль. Можно будет просто использовать уникальные сложные пароли и двухфакторную (или более) аутентификацию.
Лично я мнемотехниками для запоминания паролей практически не пользуюсь, однако у меня есть как минимум одни очень важные данные, которые я в силу их важности нигде никогда не писал, не сохранял и не произносил вслух. Они есть только в моей голове. И запомнил я их пару лет назад именно благодаря мнемотехникам. Благодаря им же эти данные я и расширяю.
Кроме того, я до сих пор помню некоторые ассоциации и вещи, которые учил ещё лет 5 назад при помощи мнемотехник. Так что способ, на мой взгляд, работает. Но, опять‑таки, исходите из ваших потребностей и оценивайте, подойдёт он вам или нет. Ну или просто попробуйте — и если не подойдёт, то выберите другой способ.
Просто запомнить
Классическое «зазубрить пароль». Наш мозг всё‑таки не самая бесполезная вещь поэтому можно просто заучивать все наши пароли — даже сложные. Это существенно повысит временные затраты и сложность, однако результат будет вполне неплохой.
Я скептически отношусь к запоминанию вообще всех паролей, тем более — тьфу‑тьфу‑тьфу — что будет, если мы ударимся головой… и всё. Да и вообще, нельзя хранить все яйца в одной корзине. К тому же, из минусов — наш, в таком контексте, мозг — это как база данных, в которой данные со временем мутируют и исчезают, если их не повторять. И чем больше база данных, тем больше времени нам нужно на просмотр её целиком. Да и ответственность с ростом размера таблицы увеличивается.
Из рекомендаций — советую прочитать про так называемую кривую забывания Эббингауза.

Лично я существование этой кривой держу в голове постоянно и все какие‑то материалы разучиваю только так. (Конечно, правильное изучение самого материала — дело куда более сложное.)
Менеджер паролей
Чтобы не забыть пароли, используйте так называемые менеджеры паролей. Сейчас они есть практически на любом устройстве и в любом браузере. Это приложение, которое за вас будет хранить все ваши пароли, а чтобы войти в само приложение, нужно знать лишь один так называемый мастер‑пароль. То есть вы просто запомнили один сложный и надёжный пароль, а затем при помощи него получаете доступ ко всем остальным — это как пароль на телефоне: чтобы получить доступ к функциям, нужно знать пароль.
Я, например, использую Yandex Browser на компьютере и храню почти все пароли во встроенном менеджере. При переходе на какой‑то сайт мне достаточно ввести один мастер‑пароль, после чего Яндекс сам за меня подставит мои данные. На мой взгляд, это очень удобно, и я активно этим пользуюсь. Больше не нужно запоминать и держать в уме десятки паролей — достаточно помнить лишь один. Теперь можно генерировать уникальные пароли любой сложности для каждого сайта и не волноваться о том, что забудем их.
Хотя лично из моих предпочтений: я не люблю автоматически сгенерированные пароли, которые генерировал не я. Я предпочитаю свои, так мне их легче запоминать. Привожу пример: у меня iPhone, и когда я регистрируюсь на сайте, мне предлагают «Использовать надёжный пароль». Эта, по моему мнению назойливая функция автоматически, без спроса, подставляет в форму пароль вида YHSmd-NEWIO-oWasm
— просто какой‑то сложный для подбора набор символов. Причём, чтобы ввести вместо него свой пароль, нужно выполнить какой‑то, на мой взгляд, бесполезный мини‑квест. Такая система рассчитана исключительно на использование менеджера паролей, потому что пользователю почти не дают посмотреть пароль. Возможно, если вы полностью живёте в экосистеме Apple, это оправдано: вы переходите от iPhone к MacBook или iMac, или iPad в рамках одной учётной записи, и пароли синхронизируются. Однако когда техника от разных компаний, синхронизации добиться не так просто.
Можно дублировать пароли в нескольких менеджерах (например, в Яндекс.Браузере и в Keychain Apple), но это, по‑моему, не всегда неудобно.
Лично мне нравится хотя бы примерно понимать, что у меня за пароль, чтобы в случае чего можно было положиться на память, а не на сервер. Но, опять‑таки, это лишь мои предпочтения. Если вам такой подход удобен, это ваше право.
Существует огромное множество менеджеров паролей: некоторые поддерживают двухфакторную аутентификацию или физические токены, другие генерируют пароли по заданным алгоритмам. Я не буду останавливаться на конкретных решениях — при симпатии к такому подходу всё легко найти в интернете.
В общем, способ хороший, и его используют многие люди, но и у него есть минусы:
Теперь уже вместо проблемы запоминания пароля ключевым становится вопрос доверия к используемому сервису. В новостях постоянно говорят о взломах и утечках баз данных Facebook, Яндекса, Apple и других — это снижает доверие к сторонним сервисам. Готовы ли вы полностью довериться менеджеру и скинуть на него свою ответственность?
Не храните все яйца в одной корзине. Развивая предыдущий пункт, я рекомендую не хранить все пароли в одном месте. Можно использовать несколько менеджеров или внутри одного создавать разделы (например «Развлечения», «Работа», «Финансы»), каждый из которых защищён отдельным мастер‑паролем. Ещё я рекомендую важные пароли держать отдельно и периодически менять. Так, при утечки базы паролей мы потеряем хотя бы не всё, а только часть. Тут можно провести аналогию с consistent hashing, когда мы хешируем данные на несколько серверов
Риск потери или кражи мастер‑пароля. К примеру, злоумышленник заглянул вам через плечо, когда вы его вводили и запомнил его (к слову некоторые люди, при помощи мнемотехник или других методов могут на ходу так сделать). И всё, теперь у него есть доступ ко всем вашим паролям. Чтобы такого избежать я рекомендую использовать двухфакторную аутентификацию, а также периодически обновлять мастер‑пароль. Если вы используете одинаковый пароль больше года, то это явно плохой знак. Что уж говорить о двух и более годах.
Из прочих советов к этому пункту, в некоторых менеджерах можно добавить к обычному мастер‑паролю ещё и бланк персональных вопросов, которые будут выдаваться произвольно. Например, мы создали в менеджере паролей форму из 50 вопросов вида «Какой ваш любимый баскетбольный клуб?», «Какой вам любимый писатель?», «Какой ваш любимый фрукт?», «Как звали вашего первого кота?», и так далее. Ответы на такие вопросы будем знать только мы или близкие нам люди, но не злоумышленник (Только если он, к сожалению, не близкий нам человек). Тогда помимо того, что нужно будет ввести пароль, надо будет всегда отвечать на 2–3 персональных вопроса, причём поскольку они будут случайными образом выбраны из большого списка, то даже узнав мастер‑пароль, злоумышленник не сможет войти без ответа на персональные вопросы.
А вообще я рекомендую всегда указывать либо резервную почту, либо создавать одноразовые коды для входа или сброса пароля, а сами такие коды либо записывать в блокнот, либо хранить в настолько случайном и неочевидном месте на компьютере, чтобы никто кроме нас этого не узнал. Ведь по такому коду мы сразу напрямую сможем получить доступ к сервису. Хотя ещё лучше создать коды двух степеней важности: одни будут позволять войти, но потребуется двухфакторная аутентификация, а вторые будут позволять войти вообще напрямую. Но вторые точно лучше либо только запоминать (хотя бы один), либо записывать только на физический носитель.
Ещё можно создать коды, при вводе которых совершенно у всех теряется доступ к вашему аккаунта и никак кроме, например, ввода резервного кода, войти больше мы не сможем. Это нужно, чтобы, если мы обнаружили фактор взлома и злоумышленники изменили пароли, то мы могли выгнать их и восстановить доступ. Но тут опять‑таки вопрос безопасности самих кодов.
В общем, мне менеджеры паролей нравятся и я их использую. Мне также они нравятся и тем, что мы снимаем нагрузку с нашей памяти и можем, в случае чего, не волноваться о том, как нам войти в аккаунт.
Примечание 1: Менеджеры паролей часто занимаются шифрованием «на стороне клиента», но их безопасность зависит от алгоритма, реализации и надёжности мастер‑пароля. Взламывать облачный сервис не обязательно — можно атаковать вашу машину или браузерное расширение.
Примечание 2: Дублирование паролей в нескольких менеджерах усложняет администрирование и повышает риск рассинхронизации. Лучше выбрать один надёжный сервис с 2FA и резервными кодами.
Физический носитель
Здесь нет сложных рекомендаций — сохраняйте пароли на физический носитель: в личный дневник, в записную книжку, в тетради или куда‑угодно. Важно не потерять и не дать украсть эти записи — например, хранить их в сейфе. Ещё как вариант — сохранять зашифрованный файл с паролями на флеш‑накопителе, храня его отдельно от компьютера.
Вариантов масса. Главное — не храните всё в одном месте.
Можно поручить хранение копии паролей надёжному человеку — другу, члену семьи или секретарю: при необходимости вы звоните ему и просите подсказать нужную запись.
В более экзотическом варианте можно нанять доверенное лицо где‑то в сибири — оно знает лишь, что у него есть тетрадь, и по вашей команде вписывает или называет пароль, не зная ни вас, ни контекста.
Но подобные меры актуальны, если вы — потенциальная цель целенаправленной атаки.
Также напоминаю не хранить все пароли у одного человека — и он может их потерять или передать кому‑то ещё.
В общем, способов хранения на физическом носителе множество — выбирайте то, что подходит именно вам. Простора для творчества здесь много
Псевдоспрятанные пароли
Под «Псевдоспрятанными паролями» я имею в виду создать документ, в котором вы будете хранить ваши пароли, а затем поместить его в случайное место на вашем компьютере. Например: создать картинку с паролями и поместить его в папку с изображениями, и при необходимости заходить туда и смотреть пароли.


Или же:
Или создать текстовый файл с названием
My_program_02.cpp
и поместить его в папку с кодом.Или назвать файл
essay.fb2
и положить в папку с учёбой.Или
Безымянный документ (2).txt
оставить в папке «Загрузки».
Опять‑таки, способов много, и не нужно хранить все пароли в одном файле. Это просто идея, как можно организовать быстрый доступ к нужным паролям. Я, например, именно так храню некоторые пароли — это удобно, когда нужно просто скопировать или подглядеть пароль без лишних сложностей.
Как точно НЕ стоит выбирать пароли

Не используйте один пароль везде
Не берите за основу для пароля персональные данные (дата рождения, имя, фамилия)
Не храните все пароли в одном месте
Не используйте простые пароли
Не используйте простые пароли
Не используйте простые пароли
Не храните все пароли в одном месте
Не используйте один пароль везде
Используйте двухфакторную аутентификацию
Не берите за основу для пароля персональные данные (дата рождения, имя, фамилия)
Нет, я серьезно, не используйте один пароль везде
Эти 5 11 пунктов помогут вас существенно повысить свою безопасность и возвыситься над простыми пользователями интернета. Знаете, я более‑менее связан с айти сферой и до сих пор многие мои знакомые айтишники не соблюдают ни одного из этих пунктов. От слова совсем — один пароль для всего, ну и иногда добавим туда звездочку или восклицательный знак, как в госуслугах. Что уж говорить о простых смертных...
Заключение

В заключении хочется сказать, что не нужно слепо следовать приведённым советам и пытаться применить всё и сразу. Перечисленное выше — это лишь инструменты, а у каждого инструмента есть свои границы применения. Всегда нужно исходить из своих задач и обязанностей. Одно дело, если мы будем тратить 10 минут в начале рабочего дня на то, чтобы получить доступ ко всем своим сервисам, а вечером точно также тратить время на то, чтобы из всех аккаунтов выйти, и совершенно другое тратить по 10 минут вообще на каждый вход. Вот стоит ли, например, вход в онлайн кинотеатр потраченных усилий? Наверное нет. А вход на госуслуги? Наверное да.
Я специально не перечислял какие‑то конкретные инструменты вроде менеджеров паролей, которые я использую или алгоритмов, потому что, на мой взгляд, идея важнее реализации. Я также практически не затрагивал темы вроде радужных таблиц, соления хеша и прочего, чтобы статья оставалась доступной менее подготовленному читателю.
Существует бесчисленное множество различных сервисов под любые задачи — просто поэкспериментируйте и выберите удобные вам. Представьте, что вы работаете в мастерской. У любого хорошего мастера будут десятки, а то сотни различных хороших инструментов, но активно он будет использовать всего несколько. Однако раз‑на‑раз пригодиться любой из этих сотен. И в нужный момент нужно знать, что такой инструмент у вас есть и уметь им пользоваться.
Например, я в основном использую менеджеры паролей, а также двухфакторную аутентификацию. Но для хабра, я создал пароль, использовав именно что алгоритм псевдо уникальных паролей, а для, например, госуслуг запомнил сложный. На GitHub вхожу через GitHub mobile, а в ВК через Microsoft Authenticator. А пароль от аккаунта для майнкрафта я храню у себя на компьютере в какой‑то — не скажу в какой — папке. В общем простору для творчества — быть! (Ну а некоторые методики из своей же статьи я либо не использую, либо использую, но не в тех масштабах, в которых хотелось бы, просто потому что руки никак не доходят этим всем заняться ахах)
От себя повторю: я ни на что не претендую, и представленные методики — не догма. Я просто предложил несколько идей в надежде, что какой‑нибудь человек найдёт для себя что‑то полезное
Пишите свои замечания, предложения и критику в комментариях, а также делитесь тем, что используете вы. Данная статья всегда открыта к редактированию и я буду рад указаниям на мои недочёты.
На этом всё, спасибо за прочтение!
Комментарии (15)
ALifeIsAMoment
08.07.2025 12:47Из полезного только то, что упомянут менеджер паролей, да и тот — браузерный — это худшее возможное решение для безопасности. Вы не только не можете его использовать для других приложений на пк, а только в этом браузере, так и теперь вы все пароли храните в интернете. Поверхность атаки гораздо выше, чем при использовании локальной программы.
После первого же взлома все пароли будут в сети. Плюс доступны по запросам.
А также расширения, которые ставите в браузер часто имеют доступ к буферу обмена, а если оно злонамеренное, оно также получает доступ к менеджеру паролей, вы сами его даёте, когда разблокируете менеджер (если ввобще додумались поставить на него мастер пароль).
И если брать тот же Яндекс Браузер, то уже были случаи, когда из-за сбоев пользователи не могли несколько часов получить доступ к своим паролям.
Менеджер паролей должен быть локальным, без выхода к сети, с надежной защитой оперативной памяти, очисткой буфера обмена и желательно своим драйвером, чтобы не позволять кейлоггерам и спец программам (например Elcomsoft Forensic Disk Decryptor, AccesData FTK Imager, Dumplit) для чтения оперативной памяти считывать данные.
Microsoft Authenticator — серьёзно? Куча локальных, опенсорсных решений для OTP, тот же FreeOTP+, также многие менежеры паролей их поддерживают. Майкрософт эта не та компания, что беспокоится о конфиденциальности, она наоборот хочет у пользователя украсть максимум данных. Доверять ей 2FA не стоит.
Псевдоспрятанные пароли — поиск по содержимому прекрасно работает, так что найти эти пароли не составит труда, плюс если вы их копируете, они хранятся прямо в оперативной памяти, откуда их кто угодно может прочесть. Даже без таких сложностей — доступ к буферу обмена имеют многие приложения, а все пароли там останутся. Зачем эта стеганография, если можно использовать либо менеджеры паролей либо keyfiles.
ALifeIsAMoment
08.07.2025 12:47возможно в излишне резкой форме ответил, но пользователь, следующий этим рекомендациям, создает для себя лишь иллюзию безопасности.
SquareRootOfZero
08.07.2025 12:47очисткой буфера обмена и желательно своим драйвером, чтобы не позволять кейлоггерам и спец программам
Драйвером чего? Как выглядит "не позволение кейлоггерам"? Ну, допустим, оперативную память свою ты не дашь читать сторонним программам, если ты типа драйвер, установленный в "нулевое кольцо" или куда там, а они - нет. Но пароль же надо вводить. Это значит, либо копипаст через системный буфер обмена, либо симуляция нажатий клавиатуры, или как? Как "драйвер" запретит доступ к буферу обмена всем программам, кроме той, куда в данный момент копипастится пароль? Как он "как бы введёт с клавиатуры" этот пароль, но так, что кейлоггеры не заметят?
Rubiorif
08.07.2025 12:47Понравился подход с псевдо уникальными паролями удобно и не слишком сложно запомнить
inkelyad
08.07.2025 12:47не слишком сложно запомнить
Это же означает, что их легко перебирать. Потому что злодей не будет делать это в алфавитно-цифровом порядке. Нет, он тоже вот такими алгоритмами (а так же разными проверками на благозвучность, читаемость итд) будет пользоваться.
KonstantinTokar
08.07.2025 12:47Первые 10 процентов текста я честно прочитал, не понял зачем я это сделал, потом читал по диагонали, потом фрагментарно. Текст ни о чём. У меня, например, несколько тысяч паролей, никакая мнемотехника не поможет, странные добавки к паролям не пропустит половина сайтов, у какого то процента сайтов сверхдлинные пароли вызовут глюки и т.д. Проблема паролей неразрешима, это вообще технология времён когда в мире был десяток серверов. Либо появится устройство запоминания однозначно связанное с человеком, либо биометрия. До тех пор только менеджеры паролей и пара-тройка мастер-паролей с призрачной надеждой на безопасность, так как подсматривание никто не отменял.
ALifeIsAMoment
08.07.2025 12:47а биометрия — это менее нажежный пароль, который ещё и сменить трудно, если во многих случаях невозможно.
KonstantinTokar
08.07.2025 12:47Биометрии пока не существует на практике. И зачем менять пароль, если надо идентифицировать себя. Вообще все сводится, даже сейчас, к компьютеру, который может выполнить уникальные вычисления и принадлежит монопольно пользователю. Например, технология одноразовых паролей/токенов OTP
SquareRootOfZero
08.07.2025 12:47Биометрии пока не существует на практике
В смысле? Разблокировка мобилы отпечатком пальца - не биометрия? Вход в Windows показом лица в камеру - не биометрия?
KonstantinTokar
08.07.2025 12:47Ну называется биометрия. А две мои непохожие дочери были довольно долго одинаковыми с точки зрения телефона У кого ещё нет личика в сберовском сервисе может попробовать поторговать лицом - вероятность вполне ненулевая, особенно с типовыми лицами. С отпечатками ещё хуже. Он у меня после рабочего дня с напильником почему то не работает. И это то что сейчас называется биометрией.
Petr_axeman
08.07.2025 12:47На самом деле статья чистейшая профанация, и происходит это из непонимания целей и причин. Да технически основная идея верна - мы пытаемся просто сделать пароль достаточно сложным что бы его невозможно или очень трудно было "Взломать"
А как взломать? Очивидно перебором. От технических способов взлома пароля его сложность не поможет, от психологических способов тоже.
Как происходит перебор? Злоумышленник перебирает слова, символы или фразы пока не поймет что подобранный пароль - верный. Как он их перебирает? Мы не знаем. Может от А до Я, может от Я до А, может откуда то с центру в разные стороны. Значит разницы насколько наш пароль "перемешан" роли не играет.
Что может помешать злоумышленнику подобрать пароль? В чём основная сложность? Основная сложность подбора пароля - его длинна. Так относительно простой пароль длинной 64 символа технически невозможно подобрать никому.
Суммируя, нам нельзя использовать только простые слова и фразы, а так же нам стоит избегать большого количества одинаковых символов в народе. 10%+
Основная проблема паролей для пользователя какая? То что они забываются и используются зачастую одинаковые пароли.
Суммируя все выше сказанное идеальным вариантом пароля будет длинная, необычная для нас фраза, не содержащая большого количества количества одинаковых букв подряд и с некоторым колличеством шума.
Пример: Hel10_M&M#WhatAre//Y0u\\want
Колличество символов - 28, запомнить легко, с пользователем связи не имеет никакой, подобрать почти нереально.
Я молчу про то что в жизни спокойно можно использовать половину от этого пароля, и ещё упростить себе жизнь.
KonstantinTokar
08.07.2025 12:47И таких фраз-паролей надо помнить тысячи... И вспоминать через годы. И материться при наборе на клавиатуре телефона.
edyatl
08.07.2025 12:47Весь неимоверно длинный текст можно свести к единственному полезному утверждению: пользуйтесь менеджером паролей (рекомендую KeePassXC) и не пользуйтесь никакими онлайн сервисами для проверки и генерации.
Если надо проверить пароль в утечках (https://github.com/edyatl/passchek) - маленький скрипт, лёгкий для аудита, который проверяет пароль в базе Троя Ханта передавая по сети только первые 5 символов 40 символьного хэша.
mitzury
Я не сказал бы что добавлять "соль" на пароль в виде October2025 => October_2025 плохо.
С одной стороны добавление одного символа увеличивает число комбинаций для брутфорса.
С другой стороны вручную пароли, мне кажется, сейчас никто не подбирает, стараются скомпроментировать уже готовый пароль. И у потенциального хакера нет желания узнав October2025 подбирать вручную October_2025 _October2025 и пр. Тем более что от перебора стоят защиты на большинстве сайтов.
Мастер пароль и менеджер в браузере, или кастомное ПО для этого. А Вы уверены что оно не может утечь? Вполне вероятно.
Самое надежное это все таки держать пароль в голове.