Посібник з безпеки
Пароль проти парольної фрази
Порівняння випадкових символьних паролів і випадкових словесних парольних фраз, включаючи запам'ятовуваність, ентропію, зберігання та безпечні сценарії використання.
Підсумок
Пароль — це зазвичай рядок випадкових символів. Парольна фраза — це зазвичай послідовність слів. Обидва можуть бути надійними, якщо вони згенеровані випадково, унікальні та безпечно зберігаються або запам’ятовуються. Правильний вибір залежить від того, чи потрібна вам максимальна компактність, легкість введення чи запам’ятовуваність.
Використовуйте генератор парольних фраз, коли хочете отримати випадкові слова, або генератор паролів, коли сайт очікує компактний символьний пароль.
Випадкові символьні паролі
Випадкові символьні паролі ефективні: кожен символ може збільшувати простір пошуку. Вони ідеально підходять для менеджерів паролів, панелей адміністрування, Wi-Fi, банкінгу, електронної пошти та секретів розробників. Недолік — їх важко запам’ятати та неприємно вводити на маленьких клавіатурах.
Випадкові словесні парольні фрази
Парольні фрази легше читати та вводити. Ключове слово — «випадкові». Речення, яке ви вигадали, цитата, рядок пісні або знайома фраза можуть бути вгадані інструментами на основі шаблонів. Парольна фраза має складатися з незалежно вибраних слів із достатньо великого списку.
Практичні рекомендації
- Використовуйте випадкові символьні паролі для більшості облікових записів, що зберігаються в менеджері.
- Використовуйте парольні фрази для облікових даних, які вам може знадобитися запам’ятати.
- Не використовуйте повторно жоден із форматів.
- Уникайте особистих фраз, цитат, імен і дат.
- Перевірте, чи приймає цільовий сайт пробіли або роздільники.
Детальні рекомендації
Цей посібник зосереджується на виборі між випадковими символьними паролями та випадковими парольними фразами. Він написаний для людей, яким потрібні як безпечні збережені паролі, так і секрети для входу, які можна запам’ятати, тому практична мета — не створити драматичну заяву про безпеку. Мета — вибрати звичку використання паролів, яка витримає повсякденне використання: форми входу, менеджери паролів, мобільні клавіатури, відновлення облікового запису, спільні пристрої та іноді сервіси з дивними правилами валідації. Безпечна рекомендація корисна лише тоді, коли реальна людина може послідовно її дотримуватися.
Найбезпечніша відправна точка — випадковість плюс унікальність. Випадковість означає, що значення вибрано з великого простору за допомогою криптографічно придатного джерела випадковості, а не вигадано з дня народження, імені домашнього улюбленця, шаблону клавіатури або улюбленої цитати. Унікальність означає, що той самий пароль не використовується більше ніде. Пароль, який є довгим, але повторно використовується, може бути скомпрометований швидко після одного не пов’язаного витоку, тоді як унікальний випадковий пароль обмежує шкоду лише одним обліковим записом, де він використовувався.
Для цієї теми практичним пресетом є чотири-шість випадкових слів для запам’ятовуваності або випадкові символи для зберігання в менеджері паролів. Ви можете застосувати цей пресет за допомогою генератора парольних фраз, а потім зберегти кінцеве значення в надійному менеджері паролів. PwdGen генерує значення локально в браузері за допомогою Web Crypto; згенерований пароль не надсилається на сервер PwdGen. Така локальна конструкція зменшує вплив на сервер, але не захищає від усіх загроз. Шкідливе розширення браузера, скомпрометований пристрій, фішингова сторінка або небезпечне поводження з буфером обміну все ще можуть розкрити секрет після його генерації.
Найпоширеніші проблеми, яких слід уникати, — це рукописні фрази, відомі цитати, рядки пісень, особисті гасла та словникові фрази, вибрані людиною. Ці проблеми важливі, оскільки зловмисникам рідко потрібно перебирати всі можливі паролі, коли людські звички дають їм скорочення. Атаки з використанням облікових даних, фішинг, витоки списків паролів і зловживання відновленням облікового запису часто більш реалістичні, ніж чистий математичний пошук. Ось чому найкраща порада поєднує якість пароля з контролем на рівні облікового запису, таким як MFA, ключі доступу, зберігання кодів відновлення та регулярний перегляд налаштувань електронної пошти або телефону для відновлення.
Використовуйте цей контрольний список, застосовуючи рекомендацію:
- Використовуйте випадково вибрані слова, а не речення, яке ви вигадали.
- Зберігайте роздільники відповідно до форми призначення.
- Не використовуйте парольну фразу повторно для різних облікових записів.
- Використовуйте менеджер для довгих випадкових паролів.
Якщо веб-сайт відхиляє ідеальне налаштування, не примушуйте пароль до слабшого шаблону вручну. Змінюйте одну змінну за раз. Якщо символи відхилено, залиште великі літери, малі літери та цифри ввімкненими та збільште довжину. Якщо максимальна довжина мала, використовуйте найбільшу прийнятну довжину та переконайтеся, що значення унікальне. Якщо пароль потрібно читати вголос, друкувати або вводити на екрані телевізора чи маршрутизатора, розгляньте можливість виключення заплутаних символів і збільшення довжини, щоб компенсувати менший алфавіт.
Нарешті, пам’ятайте про межі порад щодо паролів. Надійний пароль — це один рівень захисту, а не гарантія. Він не може зробити фішингову сторінку безпечною, виправити шкідливе програмне забезпечення або компенсувати сервіс, який погано зберігає облікові дані. Корисна звичка нудна, але довговічна: генеруйте унікальне значення, зберігайте його безпечно, захищайте шлях відновлення та швидко замінюйте його, якщо підозрюєте витік.
Часті запитання
Чи завжди парольна фраза надійніша за пароль?
Ні. Випадкова парольна фраза може бути надійною, але знайома цитата або речення не еквівалентні випадково вибраним словам.
Коли слід вибрати парольну фразу?
Вибирайте парольну фразу, коли вам може знадобитися запам’ятати або ввести її вручну, особливо для головного облікового даних менеджера паролів.
Скільки слів має містити парольна фраза?
Чотири випадкові слова — це практична відправна точка; додайте більше слів для використання з вищою цінністю або менших словників.