Конец эпохи паролей, но не конец безопасности данных

Почему пароли рушатся

Люди жаждут простоты. Запоминать длинную смесь букв, цифр и символов неудобно, поэтому большинство выбирает что-то быстрое и простое. Но даже если вы проявили дисциплину и создали сложный пароль, он всё равно хранится в базе данных компании.

А базы данных взламывают.

Регулярно.

Утечки паролей: несколько показательных историй

• McDonald’s, 2025: чат-бот для найма на базе ИИ работал с логином Admin и паролем 123456. Что в результате? Утекло более 64 миллионов заявок на работу, включая номера телефонов, адреса электронной почты, образование и историю работы. [1]
• Yahoo, 2013: крупнейшая утечка в истории — было скомпрометировано более 3 миллиардов аккаунтов, включая пароли и контрольные вопросы. [2]

Все эти истории объединяет одно: даже корпорации с многомиллионными бюджетами на кибербезопасность не застрахованы от сбоев.

Лучшие практики хранения паролей

Хотя мы постепенно уходим от паролей, они всё ещё широко используются. Поэтому стоит понимать, как правильно их хранить — особенно если вы управляете платформой или приложением.

Никогда не храните пароли в открытом виде

Пароли всегда должны хэшироваться с помощью надёжных алгоритмов, таких как bcrypt или argon2. Это делает их обратное восстановление вычислительно затратным.

Используйте дополнительный уникальный параметр (salt)

Добавление уникальной случайной строки к каждому паролю гарантирует, что даже одинаковые пароли будут иметь разные хэши. Это ключевая защита от атак с радужными таблицами (rainbow tables).

Применяйте растяжение ключа (key stretching)

Эта техника значительно замедляет попытки перебора, выигрывая вам время и снижая риск в случае утечки.

И всё же, даже при соблюдении этих практик сам факт хранения учётных данных на серверах делает их потенциальной целью. Вот почему цель должна заключаться в полном отказе от хранения паролей.

Лучшие практики создания и повторного использования паролей

Если вам всё же приходится использовать пароли, вот как делать это безопасно:

Используйте длинные, случайные пароли

Длина > сложность. Случайный пароль длиной 20 символов гораздо надёжнее короткого даже с символами. Например: qH7T#sY9!GmK3*vBxZlP

Избегайте повторного использования паролей

Один повторно использованный пароль = доступ ко всем вашим аккаунтам. Утечки данных позволяют злоумышленникам легко проверять одни и те же учётные данные на разных сайтах (это называется credential stuffing — атака перебора учётных данных).

Используйте менеджер паролей

Это помогает вам создавать и хранить уникальные, надёжные пароли для каждого сайта, снижая нагрузку на память и повышая безопасность.

Но даже самый надёжный пароль остаётся всего лишь… паролем. Его можно угадать, выманить через фишинг, слить в утечке или взломать перебором.

Что такое многофакторная аутентификация (Multi-Factor Authentication) и почему она важна?

Многофакторная аутентификация (MFA) добавляет второй (или третий) уровень защиты, сочетая то, что вы знаете (пароль), то, что у вас есть (устройство), или то, чем вы являетесь (биометрия). Например:

• Пароль + SMS-код
• Пароль + мобильное приложение для аутентификации (TOTP)
• Пароль + скан отпечатка пальца

MFA значительно уменьшает риск захвата аккаунта, особенно если пароли оказались в утечке или были украдены. Но у неё есть недостатки:

• SMS-коды могут быть перехвачены через атаки с подменой SIM-карты
• Приложения-аутентификаторы безопасны ровно настолько, насколько безопасно устройство, на котором они установлены Тем не менее, многофакторная аутентификация должна быть обязательной при использовании систем с паролями. Это равноценно тому, чтобы поставить засов на дверь вместо того, чтобы полагаться на простой защёлку.

Основной недостаток старой модели паролей

Пароль - это один ключ. Вы передаёте это кому-то другому и надеетесь, что они сохранят это в безопасности. Но если они потерпят неудачу, посторонний получит доступ к вашему «дому». Так что вот вопрос: действительно ли стоит доверять кому-то еще свой единственный ключ?

Когда аккаунты исчезают: подход NymVPN

Представьте себе сервис, в котором:

• Нет логинов
• Нет паролей
• Нет массивных баз учетных данных для взлома

Вместо традиционных учетных записей, NymVPN использует секретную фразу — уникальную комбинацию слов, служащую вашим приватным ключом. Это означает, что вы не регистрируетесь, вы не создаете имя пользователя или пароль, и вы не будете зависеть от каких-либо централизованных полномочий для управления вашей личностью.

Что такое секретная фраза?

Сид-фраза (также называемая восстановительной фразой или секретной фразой) — это последовательность обычно из 12 или 24 случайно сгенерированных слов. Она представляет собой вашу криптографическую идентификацию и используется для надежной генерации приватных ключей.

Пример (не используйте его):

acoustic banana fluid melt virus black turtle flavor cement famous onion swim

Эта фраза показывается вам только во время настройки. Никогда не хранится на сервере NymVPN или не передается через интернет. Вы единственный владелец и хранитель этой фразы.

Почему это более безопасно

Поскольку на сервере не хранится никаких данных, даже если NymVPN будет взломан, атакующим нечего будет украсть:

• Нет базы учетных данных пользователей
• Нет журналов сеансов, привязанных к идентификаторам
• Нет писем для восстановления почты, которые могут быть подделаны

Секретная фраза существует только на вашем устройстве, и в идеале вы храните её офлайн — записанной на бумаге или сохранённой в надёжном менеджере паролей или аппаратном кошельке.

Что такое доказательства с нулевым разглашением — и почему они имеют значение?

Доказательства с нулевым разглашением (ZKPs) — это мощный инструмент для обеспечения конфиденциальности, который позволяет доказать истинность чего-либо, не раскрывая саму информацию.

Представьте, что вы можете доказать, что вам больше 18 лет, не показывая дату рождения, или подтвердить оплату услуги, не раскрывая свою личность или детали транзакции. В этом и заключается магия ZKPs: они разделяют проверку и раскрытие данных.

В контексте Nym доказательства с нулевым разглашением в форме zk-nyms помогают пользователям подтверждать доступ или участие в NymVPN без привязки к конкретному аккаунту или раскрытия персональных данных. Они являются частью того, что делает возможной инфраструктуру для сохранения конфиденциальности, такую как Nym: систему, где можно взаимодействовать безопасно, не оставляя идентифицируемых следов.

ZKPs переводят веб с модели «покажи всё, чтобы доказать что-то» к более умному стандарту «только по необходимости» — такому, который по умолчанию уважает ваше право на приватность.

Как сид-фраза предоставляет доступ

Каждый раз, открывая NymVPN, вы можете:

• Ввести вашу секретную фразу для "как бы" повторного создания ваших учетных данных
• Или сохраните её локально (в зашифрованном виде), чтобы не вводить каждый раз

Сид-фраза используется для создания криптографической идентичности, которая подтверждает, кто вы, — без необходимости «входить в систему» или доказывать кому-либо свой адрес электронной почты.

Этот метод гарантирует, что:

• Только вы можете получить доступ к своей VPN-идентичности
• Вы можете восстановить доступ на любом устройстве, используя свою сид-фразу
• Ваша цифровая идентичность переносима, децентрализована и устойчива к цензуре

Этот подход — не просто хитрый способ входа, а настоящая смена парадигмы в том, как работают идентичность и приватность в интернете.

Что дальше

Пароли уходят в прошлое. Сегодня они являются основной целью для атак. А завтра, скорее всего, они останутся лишь на страницах учебников по кибербезопасности.

Будущее — за моделью, где ваш ключ доступа принадлежит только вам, и вы больше не зависите от чужих серверов для его защиты.

Ссылки

[1] Wired

[2] Reuters