Во-первых, не стоит упрощать жизнь атакующему. Если это таргетированная
атака (атака на инфраструктуры компаний, управляемая киберпреступником в режиме
реального времени — прим. авт), то первым делом будут перебираться комбинации
слов и цифр, которые связаны с атакуемым. Дата рождения, любимый спортивный
клуб, что-то связанное с хобби в пароле — все это упрощает взлом.
Составляйте пароли из букв верхнего и нижнего регистра, цифр и специальных
символов. Не используйте одинаковые пароли везде. Храните все свои пароли не в
голове или блокноте, а в защищенных хранилищах или придумайте алгоритм создания
защищенных паролей. Например, такой: социальная сеть – S_n (social network),
далее – название этой соцсети, например, vk.com, потом — год регистрации
аккаунта или другая памятная дата, наконец, третья и шестая буквы логина и
спецсимвол. Получился пароль S_nvk2014gh! — такой пароль не является словарным
и его прямой перебор займет длительное время.
Где лучше хранить свои
пароли
Сейчас общепринятой практикой считается хранить не пароли, а хеш-суммы
паролей, так что наличие доступа к базе данных не означает прямой доступ к
паролям. Получение пароля из хеш-суммы требует больших вычислительных
мощностей, а сложность взлома растет экспоненциально в зависимости от длины
пароля. Случайный пароль длиной 8 символов будет перебираться примерно пять
часов, а пароль из 16 символов не переберется в обозримом будущем.
Но все упирается в удобство использование: никто не хочет использовать
случайный набор из 16 символов, причем разный для каждого сервиса. Решением
проблемы выступают менеджеры паролей — приложения, которые хранят все ваши
длинные случайные пароли. С одной стороны, это решает проблему хранения, с
другой, создает единую точку отказа: компрометация менеджера паролей означает
компрометацию всего. Поэтому и к выбору, и к защите самого менеджера паролей
стоит подходить чрезвычайно ответственно.