Руководства по безопасности
Как люди хранят пароли? Что показывают данные — и безопасный способ
Как люди на самом деле хранят пароли? Реальные доли для памяти, бумаги, браузера и менеджеров паролей — по авторитетным опросам (Security.org, Bitwarden, Verizon DBIR) — плюс безопасный метод, на который указывают данные.
«А как вообще все хранят свои пароли?» Ответим на это авторитетными данными опросов, а затем выведем из них безопасный метод. Если коротко: самые распространённые привычки хранения — это ровно те, что эксплуатируют атакующие.
Что говорят данные о том, «как все их хранят»
Цифры разнятся по странам и опросам, но несколько авторитетных исследований рисуют одну и ту же картину.
Ежегодный отчёт Security.org показывает, что более половины взрослых в США полагаются на методы без менеджера (память, браузер, бумага). Хранение в браузере тоже растёт — но многие, кто хранит пароли в браузере, не осознают разницы в безопасности по сравнению со специализированным менеджером.
Почему быть «как все» рискованно
Распространённые привычки ведут прямиком к переиспользованию, слабым паролям и потере — ровно туда, где атакующие сильнее всего.
Когда вы «управляете по памяти», вы ограничиваете пароли тем, что способны запомнить — и потому переиспользуете одни и те же или похожие. Тогда один утёкший сервис позволяет атакующему попробовать эту пару везде ещё (credential stuffing). Тот факт, что большинство паролей в утечках переиспользованы, показывает, как приоритет «легко запомнить» напрямую превращается в цепочку компрометации.
Что на самом деле означает каждый метод
Распространённое, но шаткое
- Память: ограничена тем, что вы можете вспомнить → ведёт к переиспользованию и слабым строкам
- Бумага / стикеры: уязвимы к потере, подглядыванию через плечо, исчезновению; не масштабируется
- Хранение в браузере: лучше, чем ничего, но слабо против захвата устройства и бедно на мониторинг/обмен
- Открытый текст в таблице / приложении заметок: утечка одного файла раскрывает всё
Безопасный фундамент
- Менеджер паролей: сам генерирует и хранит сильный, уникальный пароль на каждый сайт; не заполнит на поддельных сайтах = устойчив к фишингу
- Passkey: вход вообще без крадущегося общего секрета
- MFA: останавливает злоупотребление, даже если пароль утёк
- Бумага только как «последний ключ»: ограничьте её кодами восстановления и т. п.
Суть не в том, чтобы «перестать пользоваться памятью или бумагой» — а в том, чтобы вообще убрать необходимость запоминать. Менеджер делает каждый вход уникальным и помнит их за вас, так что вам нужно защитить лишь один сильный мастер-пароль (и его резервную копию).
Взгляд этого сайта: данные отражают большинство, а не беспечное меньшинство
Что бросается в глаза — рискованное хранение это не кучка беспечных людей, а массовый статус-кво. Именно поэтому системное исправление побеждает силу воли. Сначала сделайте каждый аккаунт уникальным с помощью менеджера паролей, затем укрепите «ключевые» аккаунты — почту, облако — с помощью passkey и устойчивой к фишингу MFA. Уже одно это убирает большинство «распространённых слабостей», на которые указывают данные выше.
Читать дальше
- На практике: как выбрать менеджер паролей (фундамент «убрать необходимость запоминать»)
- Частый вопрос: безопасно ли хранить пароли в Google Drive?
- Следующий шаг: что такое passkey / как выбрать MFA
- Со стороны разработчика: как безопасно хранить пароли (хеширование и соль)
Источники
- Security.org, «Password Manager Annual Report (2024)»: security.org
- Bitwarden, «World Password Day Global Survey (2024)»: bitwarden.com
- Verizon, «2024 Data Breach Investigations Report (DBIR)»: verizon.com
FAQ
QТак какой же самый распространённый способ хранения паролей?
В репрезентативных опросах «память» — самый частый: около 54% по миру полагаются на запоминание паролей (Bitwarden, 2024). Далее идут бумага или заметки (~33%), и хранение в браузере растёт. При этом использование специализированного менеджера паролей держится на уровне около 36% среди взрослых в США (Security.org, 2024). То есть больше половины запоминают, записывают или доверяют браузеру — методы, которые плохо сочетаются с переиспользованием и потерей.
QВсегда ли неправильно записывать пароли на бумаге?
Не «всегда неправильно», но и не рекомендуется. Бумага дома недоступна удалённому атакующему, но уязвима к потере, подглядыванию через плечо и исчезновению при переезде или катастрофе — и она перестаёт работать, когда паролей становится много. На рабочих местах часто теряют стикеры. Если без бумаги никак, никогда не держите список открытым текстом в облаке и ограничьте её ролью «последнего ключа» вроде кодов восстановления вашего менеджера.
QРазве встроенного в браузер хранилища паролей недостаточно?
Это большой шаг вперёд по сравнению с ничем, но более ограниченный, чем специализированный менеджер. Любой, кто может войти на устройство — или кто его захватит, — легче добирается до содержимого, а мониторинг утечек, устойчивость к фишингу и безопасный обмен обычно слабее. Опросы показывают, что многие, кто хранит пароли в браузере, не осознают разницы в безопасности. Перенесите важные аккаунты в специализированный менеджер плюс passkey/MFA.