Використовуйте менеджер паролів

Отже, ви знаєте, що для кожного в організації важливо використовувати довгий, випадковий, унікальний пароль для кожного з особистих і організаційних облікових записів, але як це зробити? Запам'ятати надійні паролі для десятків (якщо не сотень) облікових записів неможливо, тому всім доводиться хитрувати. Неправильний спосіб робити це — повторно використовувати паролі. На щастя, ми можемо звернутися до менеджерів цифрових паролів, щоб зробити наше життя набагато простішим (а нашу методи зберігання паролів набагато безпечнішими). Ці програми, доступні через комп’ютер або мобільний пристрій, можуть створювати, зберігати та керувати паролями для вас і всієї вашої організації. Застосування безпечного менеджера паролів означає, що вам доведеться запам’ятовувати лише один дуже надійний, довгий пароль, який називається основним паролем (або «головним паролем»). Завдяки цьому менеджеру ви скористаєтеся перевагами безпеки від використання надійних унікальних паролів для всіх ваших облікових записів. Ви використовуватимете цей основний пароль (і в ідеалі другий фактор автентифікації (2FA), що буде розглядатися в наступному розділі), щоб відкрити менеджер паролів і розблокувати доступ до всіх ваших інших паролів. Менеджери паролів також можна спільно використовувати для кількох облікових записів, щоб полегшити безпечний обмін паролями в усій організації.

Чому нам потрібно використовувати щось нове? Чи можна просто записати їх на папері або в електронній таблиці на комп’ютері?

На жаль, існує багато поширених методів управління паролями, які не є безпечними. Зберігання паролів на аркушах паперу (якщо ви не зберігаєте їх під замком у сейфі) означає ризик фізичного викрадення, потрапляння на сторонні очі, легкої втрати чи пошкодження. Якщо ви зберігаєте паролі в документі на комп’ютері, хакерам буде набагато легше отримати доступ до них. А ті, хто викраде ваш комп’ютер, отримають не лише ваш пристрій, але й доступ до всіх ваших облікових записів. Користуватися хорошим менеджером паролів так само легко, як і цим документом, але набагато безпечніше.

Чому слід довіряти менеджеру паролів?

Якісні менеджери паролів докладають надзвичайних зусиль (і залучають чудові команди фахівців із питання безпеки) для забезпечення безпеки своїх систем. Надійні додатки для керування паролями (декілька з яких рекомендовані нижче) також налаштовані так, що вони не мають можливості «розблокувати» ваші облікові записи. Це означає, що в більшості випадків, навіть якщо їх зламали або законно примусили передати інформацію, вони не зможуть втратити або видати ваші паролі. Пам’ятайте, що набагато більш імовірним є те, що зловмисник вгадає один із ваших слабких або повторюваних паролів, або знайде його у публічному витоку даних, ніж те, що системи безпеки надійного менеджеру паролів буде зламано. Здоровий скепсис є важливим: не слід сліпо довіряти всьому програмному забезпеченню та всім програмам, але визнані менеджери паролів мають усе необхідне для ефективної дії.

Як щодо збереження паролів у вебоглядачі?

Зберігання паролів у вебоглядачі – це не те саме, що використання безпечного менеджера паролів. Коротше кажучи, не слід використовувати Chrome, Firefox, Safari чи будь-який інший вебоглядачі як менеджер паролів. Незважаючи на те, що це, безумовно, краще, ніж записувати їх на папері чи зберігати в електронній таблиці, основні функції збереження паролів вашого вебоглядачі недосконалі з точки зору безпеки. Ці недоліки також позбавляють вас зручності, яку надає надійний менеджер паролів. Втрата цієї зручності підвищує ймовірність того, що люди у вашій організації продовжуватимуть неправильно створювати паролі та обмінюватися даними.

Наприклад, на відміну від спеціалізованих менеджерів паролів, вбудовані в браузери функції «зберегти цей пароль» або «запам’ятати цей пароль» не забезпечують простої сумісності з мобільними пристроями, використання в інших вебоглядачах та не надають інструментів для створення і перевірки надійних паролів. Ці функції є у значній мірі тим, що робить спеціалізований менеджер паролів таким корисним і корисним для безпеки вашої організації. Менеджери паролів також включають специфічні для організації функції (наприклад, спільний доступ до паролів), які забезпечують не лише індивідуальну безпеку, але й приносять користь для організації в цілому.

Якщо ви зберігали паролі у своєму вебоглядачі (навмисно чи ненавмисно), видаліть їх.

Який менеджер паролів слід використовувати?

Існує багато надійних інструментів керування паролями, які можна налаштувати менш ніж за 30 хвилин. Якщо ви шукаєте надійний онлайн-варіант для своєї організації, до якого люди можуть отримати доступ із кількох пристроїв у будь-який час, 1Password (від 2,99 дол. США за користувача на місяць) або безкоштовний із відкритим кодом Bitwarden мають належну підтримку та добрі відгуки. 

Варіант онлайн, як-от Bitwarden, може бути чудовим вибором з огляду як на безпеку, так і на зручність. Bitwarden, наприклад, допоможе вам створити надійні унікальні паролі й отримати доступ до паролів із кількох пристроїв за допомогою розширень браузера та мобільного додатку. У платній версії (10 дол. США на рік) Bitwarden також надає звіти про повторно використані, слабкі та, можливо, зламані паролі, щоб тримати вас у курсі. Після встановлення основного пароля (який називають головним паролем) також слід увімкнути двофакторну автентифікацію, щоб зробити сховище менеджера паролів якомога безпечнішим.

Важливо дотримуватися надійних методів безпеки під час використання менеджера паролів. Наприклад, якщо ви використовуєте розширення вебоглядача менеджера паролів або заходите до Bitwarden (або будь-якого іншого менеджеру паролів) на пристрої, не забудьте вийти з системи після закінчення роботи, якщо користуєтеся цим пристроєм спільно з кимось або вважаєте, що може бути підвищений ризик фізичного викрадення пристрою. Не забудьте також вийти з менеджера паролів, якщо залишаєте комп’ютер або мобільний пристрій без нагляду. Якщо ваша організація надає спільний доступ до паролів, обов’язково скасуйте доступ до них (і змініть самі паролі) після звільнення співробітників. Наприклад, у колишніх співробітників не має бути доступу до пароля вашої організації у Facebook.

Що робити, якщо хтось забув основний пароль?

Важливо пам'ятати основний пароль. Надійні системи керування паролями, подібні до рекомендованих вище, не зберігають основний пароль і не дозволяють скинути його безпосередньо електронною поштою, як це можливо для вебсайтів. Це надійна функція безпеки, але важливо запам’ятати основний пароль під час першого налаштування менеджера паролів. Щоб допомогти з цим, налаштуйте щоденне нагадування про відновлення основного пароля під час першого створення облікового запису менеджера паролів.

Що таке двофакторна автентифікація?

Якою би надійним не був захист паролів, хакери надто часто обходять паролі. Щоб захистити ваші облікові записи від деяких типових існуючих загроз, потрібен інший рівень захисту. Ось тут і вступає в гру багатофакторна або двофакторна автентифікація, що називається MFA або 2FA.

Існує багато чудових посібників і ресурсів, в яких пояснюється двофакторна автентифікація, зокрема стаття Martin Shelton Двофакторна автентифікація для початківців і Польовий посібник із виборчої кібербезпеки 101 від Center for Democracy &Technology. У цьому розділі наведено багато інформації з цих обох ресурсів, щоб пояснити, чому так важливо запровадити 2FA у вашій організації.

Коротко кажучи, 2FA зміцнює безпеку облікового запису, вимагаючи другу частину інформації – щось більше, ніж просто пароль, – для отримання доступу. Друга частина інформації – це зазвичай щось, що у вас є, як-от код із програми на вашому телефоні, фізичний токен або ключ. Ця друга частина інформації діє як другий рівень захисту. Якщо хакер викраде пароль або отримає доступ до нього через перелік паролів у результаті великого витоку даних, ефективний метод 2FA може запобігти йому доступ до вашого облікового запису (і, отже, захистить приватну та конфіденційну інформацію). Вкрай важливо переконатися, що всі співробітники організації використовують 2FA у своїх облікових записах.

Як налаштувати двофакторну автентифікацію?

Є три поширені методи 2FA: ключі безпеки, програми автентифікації та одноразові SMS-коди.

Ключі безпеки

Ключі безпеки – найкращий варіант, частково тому, що вони майже повністю захищені від фішингу. Ці «ключі» є апаратними токенами (наприклад, міні-USB-накопичувачі), які можна приєднати до брелоку (або залишити у вашому комп’ютері) для легкого доступу та безпечного зберігання. Коли прийде час використати ключ для розблокування даного облікового запису, ви просто вставите його у пристрій і торкнетеся його, коли з’явиться запит під час входу. Існує широкий асортимент моделей, які можна придбати в інтернеті (20–50 дол. США), у тому числі вельми рекомендовані YubiKeys. Wirecutter від The New York Times має корисний посібник із деякими рекомендаціями, які ключі слід купувати. Майте на увазі, що один і той самий ключ безпеки можна використовувати для будь-якої кількості облікових записів. Хоча ключі безпеки є дорогими для багатьох організацій, такі ініціативи, як Програма додаткового захисту Google або AccountGuard від Microsoft надають ці ключі безкоштовно деяким групам ризику. Зв’яжіться з людьми, які надали вам Довідник, щоб дізнатися, чи можуть вони зв’язати вас із цими програмами або напишіть на адресу [email protected].

Програми автентифікації

Другим найкращим варіантом 2FA є програми автентифікації. Ці служби дозволяють отримати тимчасовий двофакторний код входу через мобільний додаток або push-повідомлення на смартфоні. Деякі популярні та надійні варіанти включають Google Authenticator, Authy та Duo Mobile. Додатки Authenticator також чудові, тому що вони працюють, коли у вас немає доступу до стільникової мережі, і безкоштовні для використання фізичними особами. Однак програми автентифікації більш уразливі для фішингу, ніж ключі безпеки, оскільки користувачів можна обманом змусити ввести коди безпеки з програми автентифікації на підробленому вебсайті. Вводіть коди входу лише на дійсних вебсайтах. Не «приймайте» push-сповіщення про вхід, якщо не впевнені, що це ви зробили запит про вхід. У разі використання програми автентифікації також важливо підготувати резервні коди (розглянуті нижче) на випадок втрати або викрадення телефону.

Коди через SMS

Найменш безпечною, але, на жаль, все ще найпоширенішою формою 2FA є коди, надіслані через SMS. Оскільки SMS можна перехопити, а номери телефонів можна підробити або зламати через оператора мобільного зв’язку, SMS є ненадійним методом запиту кодів 2FA. Це краще, ніж використовувати лише пароль, але за можливості, рекомендується використовувати програми автентифікації або фізичний ключ безпеки. Рішучий супротивник може отримати доступ до SMS-кодів 2FA, зазвичай просто зателефонувавши в телефонну компанію і замінивши вашу SIM-картку.

Коли ви будете готові почати вмикати 2FA для облікових записів вашої організації, скористайтеся цим веб-сайтом (https://2fa.directory/), щоб швидко знайти інформацію та інструкції для певних служб (наприклад, Gmail, Office 365, Facebook, Twitter тощо), а також побачити, які служби підтримують які типи 2FA.

Що робити в разі втрати пристрою 2FA?

Якщо ви використовуєте ключ безпеки, поводьтеся з ним так само, як і з ключем від будинку чи квартири, якщо він у вас є. Одним словом, не губіть його. Так само, як і для ключа від будинку, завжди варто мати резервний ключ, зареєстрований у вашому обліковому записі, що зберігається у надійному місці під замком (наприклад, у домашньому сейфіі) на випадок втрати чи крадіжки.

Крім того, ви повинні створити резервні коди для облікових записів, які це дозволяють. Зберігайте ці коди в надійному місці, наприклад у менеджері паролів або фізичному сейфі. Такі резервні коди можна згенерувати в налаштуваннях 2FA більшості вебсайтів (там, де ви спочатку вмикаєте 2FA), і вони можуть діяти як резервний ключ у разі надзвичайної ситуації.

Найпоширеніша помилка 2FA виникає, коли люди замінюють або втрачають телефони, які вони використовують для програм автентифікації. Якщо ви використовуєте Google Authenticator, вам не пощастить у разі крадіжки телефону, якщо тільки ви не збережете резервні коди, що генеруються під час підключення облікового запису до Google Authenticator. Тому, якщо ви використовуєте Google Authenticator як програму 2FA, обов’язково зберігайте резервні коди для всіх облікових записів, які ви підключаєте, у безпечному місці.

Якщо ви використовуєте Authy або Duo, обидві програми мають вбудовані функції резервного копіювання з надійними налаштуваннями безпеки, які ви можете ввімкнути. Якщо ви виберете одну з цих програм, ви зможете налаштувати параметри резервного копіювання на випадок поломки, втрати або крадіжки пристрою. Перегляньте інструкції Authy тут і Duo тут.

Переконайтеся, що всі співробітники вашої організації знають про ці кроки, коли вони починають вмикати 2FA для всіх своїх облікових записів.