Что делать, если ваш пароль украли

Алексей Дрозд

Директор учебного центра компании «СёрчИнформ», разрабатывающей средства информационной безопасности.

В интернете часто встречаются рекомендации на тему того, как придумать сложный пароль и защитить его от кражи. Но что делать, если он уже попал в Сеть?

Как проверить, безопасен ли ваш пароль

Через день СМИ сообщают об очередной порции скомпрометированных паролей. Часто взломать пароль совсем несложно, ведь топ самых распространённых по-прежнему возглавляют те, которые проще всего набрать одной рукой (qwerty, 123456 или «сложный» 1q2w3e4r).

Даже если вы на 100% уверены в том, что используете надёжные пароли, не теряйте бдительности. Ведь часто утечка происходит не по вине пользователя.

Например, когда злоумышленники перехватывают и расшифровывают данные или из-за халатности компаний, которые хранят данные в свободном доступе, как это было с Facebook*.

Факт утечки логинов/паролей можно проверить на специальных сервисах: через Have I’ve Been Powned (HIBP) или с помощью плагина Password Checkup от Google.

У HIBP даже есть специальная рассылка: она позволяет получить автоматическое уведомление, если имейл окажется в базах данных, которые утекли совсем недавно.

Что делать, если пароль украли

Нашли свои данные или подозреваете, что пара логин/пароль гуляет по Сети? Срочно читайте рекомендации. Применять их можно практически ко всем популярным сервисам.

1. Прервите все активные сеансы

Такая функция есть в настройках большинства популярных сайтов и приложений: Google, Telegram, «ВКонтакте» и других. Она позволит мгновенно выйти из аккаунта на всех устройствах, исключая тот, с которого вы нажимаете кнопку. Это действие спасёт вас, если злоумышленник уже залогинился, но ещё не успел поменять пароль или привязанную к аккаунту почту.

2. Подключите двухфакторную аутентификацию

При входе сервис будет запрашивать не только пароль, но и код подтверждения, который, например, высылается в виде СМС на личный номер. «Двухфакторка» — это что-то вроде велосипедного замка: она увеличивает время, необходимое на взлом, и его стоимость. На мой взгляд, это нужно сделать прежде, чем менять пароль, но тут кому как нравится.

3. Измените пароль на тот, который не взломают

Это значит, что он должен быть уникальным и криптостойким. Это пароль, которого нет в словарях и на подбор которого злоумышленник потратит много времени. Самыми надёжными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие цифр, символов и прописных букв, конечно, только усилит пароль.

Как удержать в голове очередной длинный и сложный пароль? Выберите для себя компромиссный путь. Например, храните эту информацию в текстовом файле «Блокнота», который будет заархивирован, а архив положите под сложный мастер-пароль. Второй вариант — храните информацию в специальных менеджерах паролей. Суть та же: вы помните один мастер-пароль от хранилища, в котором лежат все остальные.

4. Проверьте настройки безопасности

Данные в них могли устареть. Как давно вы проверяли ответ на секретный вопрос от вашего почтового ящика, который придумали 10 лет назад? А список доверенных устройств? Вполне возможно, что девичья фамилия вашей матери стала известна всему миру, а старый мобильный телефон, который вы отдали брату друга, всё ещё имеет доступ к аккаунту.

Как обезопасить себя в будущем

После того как вы предприняли все экстренные действия, займитесь профилактикой.

1. Заведите хотя бы два почтовых ящика

Один — для регистрации на важных сервисах: на госпорталах, банковских ресурсах, в соцсетях (что считать важным, решаете, конечно, вы). Этот имейл лучше беречь как паспорт и нигде не светить.

Второй — для незначительных ресурсов, где аккаунт нужен, чтобы оставить комментарий или скачать книгу. Для этих целей можно использовать так называемые временные Mail-сервисы, где вам выдадут почтовый ящик, который будет действителен в течение 5–20 минут:

• CrazyMailing;
• 10 Minute Mail;
• 20minutemail!.

2. Храните данные в Сети только в зашифрованном виде

Простейший способ: если вам очень нужно залить важные данные (чего, конечно, лучше не делать в принципе) на облако или отправить их по почте, шифруйте их на своём компьютере и только после этого загружайте в Сеть. Простейший способ: данные — в архив, архив — под пароль.

3. Изучите возможности настроек безопасности.

• Создайте список доверенных устройств. В настройках сервиса подключите и перечислите все гаджеты, на которых открываете личный кабинет. Новые устройства подтверждаются дополнительно — например, через привязанный к аккаунту номер телефона.
• Укажите резервные контакты для восстановления доступа. Дополнительно указанный имейл или номер телефона поможет восстановить доступ к странице, если злоумышленник вдруг сменил пароль к аккаунту и вы не можете войти.

По сути, единственный способ, который гарантирует безопасность данных в интернете на 100%, — это отказ от передачи информации через интернет. Но это утопия, и уж если приходится пользоваться благами Глобальной паутины, лучше быть подкованным в вопросах безопасности.

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.