Во-первых, не стоит упрощать жизнь атакующему. Если это таргетированная атака (атака на инфраструктуры компаний, управляемая киберпреступником в режиме реального времени — прим. авт), то первым делом будут перебираться комбинации слов и цифр, которые связаны с атакуемым. Дата рождения, любимый спортивный клуб, что-то связанное с хобби в пароле — все это упрощает взлом.

Составляйте пароли из букв верхнего и нижнего регистра, цифр и специальных символов. Не используйте одинаковые пароли везде. Храните все свои пароли не в голове или блокноте, а в защищенных хранилищах или придумайте алгоритм создания защищенных паролей. Например, такой: социальная сеть – S_n (social network), далее – название этой соцсети, например, vk.com, потом — год регистрации аккаунта или другая памятная дата, наконец, третья и шестая буквы логина и спецсимвол. Получился пароль S_nvk2014gh! — такой пароль не является словарным и его прямой перебор займет длительное время.

Где лучше хранить свои пароли

Сейчас общепринятой практикой считается хранить не пароли, а хеш-суммы паролей, так что наличие доступа к базе данных не означает прямой доступ к паролям. Получение пароля из хеш-суммы требует больших вычислительных мощностей, а сложность взлома растет экспоненциально в зависимости от длины пароля. Случайный пароль длиной 8 символов будет перебираться примерно пять часов, а пароль из 16 символов не переберется в обозримом будущем.

Но все упирается в удобство использование: никто не хочет использовать случайный набор из 16 символов, причем разный для каждого сервиса. Решением проблемы выступают менеджеры паролей — приложения, которые хранят все ваши длинные случайные пароли. С одной стороны, это решает проблему хранения, с другой, создает единую точку отказа: компрометация менеджера паролей означает компрометацию всего. Поэтому и к выбору, и к защите самого менеджера паролей стоит подходить чрезвычайно ответственно.