В современном мире очень много сервисов. Чаще всего каждый требует отдельной авторизации (логина и пароля). И всегда есть соблазн задать либо очень простой пароль, либо сложный, но который уже где-то используется.

Почему так делать нельзя, и какие последствия это может за собой повлечь?

Кража баз данных

Огромное количеств сайтов ежедневно ломаются, а их пользовательские базы выкладываются в свободный доступ, либо продаются в даркнете. В пользовательских базах имеются пароли зарегистрированных на сайте юзеров. Довольно часто владельцы сайтов хранят пароли своих пользователей в открытом виде, и слитая база открывает огромные возможности без каких-либо дополнительных телодвижений.

Во-первых все эти пароли пополняют базу словарей, которые используются (в том числе спецслужбами) для брутфорса. Во-вторых почти каждая слитая база обладает своим уникальным отпечатком о пользователе. Чаще всего это никнейм, либо адрес email на который пользователь регистрировался в сервисе угнанной базы. Эти данные можно сопоставить с вами.

Кстати, существует огромное кол-во онлайн-сервисов (в том числе телеграм-ботов), которые собирают все эти базы и позволяют по email проверить не утекли ли данные о ваших аккаунтах в публичный доступ. Самое печальное, что угнанные email и пароли очень часто подходят ко всем другим сервисам в которых зарегистрирован человек, т.к. он пользуется одним и тем же паролем везде.

Ну, а теперь представьте, что у вас стоит (или когда-либо стоял) один и тот же пароль на twitter и в криптоконтейнере. У вас изымают ноутбук, пробивают по публичным базам все ваши электронные почты и получают список паролей, которые когда-то утекли в сеть. И тут вылазит пароль на twitter. Всё, криптоконтейнер взломан!

Тут даже не обязательно знать почту, все взломанные базы уже давно есть в словарях для брутфорса и перебор займёт на современном оборудовании всего несколько часов/дней.

Несколько полезных советов

  1. Пользуйтесь менеджером паролем! Например, KeePassXC. Вам придётся держать в уме лишь один мастер-пароль от контейнера, все остальные пароли будут храниться в контейнере.

  2. Используйте один пароль одноразово. Все пароли должны быть уникальными.

  3. Никогда не придумывайте пароль самостоятельно, наш мозг не умеет генерировать случайности. Для создания паролей используйте специальные программы (но не онлайн-сервисы!). Как правило, такой функционал встроен в любой современный контейнер паролей (в том числе вышеупомянутый KeePassXC). Под *nix существует отличная программка pwgen.

  4. По возможности используйте в дополнение к паролю электронный ключ (например, Yubikey, SoloKeys, Nitrokey), либо хотя бы файл с ключом.

  5. Регулярно делайте бэкапы контейнера.

  6. Не пользуйтесь контейнером на чужих компьютерах и системах, в которых не уверены.

  7. Периодически меняйте пароли.