📚 Пароли и аутентификация в вебе

1960-1990е: Эра простых паролей
├─ Пароли из 4-6 символов
├─ Хранение в открытом виде
├─ Один пароль для всех систем
└─ Проблема: легко взломать и украсть

1990-2000е: Усложнение паролей
├─ Требования к сложности (символы, цифры, регистр)
├─ Регулярная смена паролей
├─ Первые парольные политики
└─ Проблема: пользователи начали записывать пароли

2000-2010е: Многофакторная аутентификация
├─ SMS-коды как второй фактор
├─ Аппаратные токены (RSA SecurID)
├─ Первые биометрические системы
└─ Проблема: неудобство использования

2010-2020е: Мобильная революция
├─ Приложения-аутентификаторы (Google Authenticator)
├─ Биометрия в смартфонах (Touch ID, Face ID)
├─ Push-уведомления для подтверждения
└─ Социальная аутентификация (вход через Google/Facebook)

2020-настоящее время: Будущее без паролей
├─ WebAuthn и FIDO2 стандарты
├─ Пассключи (Passkeys)
├─ Поведенческая биометрия
└─ Децентрализованная идентификация на блокчейне

Этап 1: Проверка утечек паролей (5 минут)
Сервисы для проверки:
- HaveIBeenPwned.com - проверка email на утечки
- DeHashed.com - поиск утечек по различным параметрам
- Лаборатория Касперского - проверка российских утечек

Инструкция:
1. Зайти на haveibeenpwned.com
2. Ввести свой основной email
3. Изучить результаты утечек
4. Проверить дополнительные email-адреса
5. Записать сервисы, где произошли утечки

Этап 2: Тестирование силы паролей (10 минут)
Инструменты тестирования:
- Security.org Password Strength Test
- My1Login Password Strength Test  
- Kaspersky Secure Password Check

Практическое задание:
├─ Протестировать 3-5 своих реальных паролей (БЕЗ ввода настоящих!)
├─ Создать тестовые пароли разной сложности
├─ Сравнить время взлома простых и сложных паролей
├─ Проанализировать рекомендации сервисов
└─ Сделать выводы о качестве собственных паролей

Шаблон анализа:
Пароль (замаскированный): ****8символов****
Время взлома: ________
Слабые места: ________
Рекомендации: ________
План улучшения: ________

Демонстрация предсказуемости:

Задание классу:
"Представьте, что вы регистрируетесь в новом сервисе. 
Какой пароль вы бы выбрали для аккаунта с именем Алексей Петров, 
родившийся в 1995 году, живущий в Москве?"

Типичные варианты учеников:
├─ aleksey1995
├─ petrov95
├─ moskva1995  
├─ alex123456
└─ 12345678

Статистика реальных паролей (топ-20 в России 2024):
1. 123456         11. admin
2. 123456789      12. 1234567890
3. qwerty         13. password1
4. password       14. 123123
5. 12345          15. 1q2w3e4r
6. 12345678       16. qwertyuiop
7. 111111         17. 654321
8. 1234567        18. 7777777
9. 123321         19. superman
10. 1234          20. 1qaz2wsx

Психологические причины плохих паролей:
├─ Желание запомнить → используют личную информацию
├─ Лень → выбирают простые комбинации
├─ Ложная экономия времени → один пароль везде
├─ Недооценка рисков → "кому нужен мой аккаунт?"
└─ Отсутствие знаний → не понимают принципы безопасности

Метод 1: Социальная инженерия
Сценарий: звонок "из службы поддержки"
├─ "Здравствуйте! Мы обнаружили подозрительную активность..."
├─ "Для защиты аккаунта подтвердите ваш пароль"
├─ Создание срочности и авторитета
└─ Результат: добровольная передача пароля

Метод 2: Фишинг (повторение с урока 25)
├─ Поддельные сайты, копирующие оригинал
├─ Перехват данных через поддельные формы
├─ Использование похожих доменов
└─ Массовая рассылка поддельных ссылок

Метод 3: Подглядывание (Shoulder Surfing)
├─ Наблюдение при вводе пароля
├─ Использование камер в общественных местах
├─ Анализ отпечатков на экране
└─ Подслушивание голосового ввода

Метод 4: Технические атаки
Брутфорс (перебор):
├─ Автоматический перебор паролей
├─ Использование словарей популярных паролей
├─ Учет персональной информации жертвы
└─ Время взлома зависит от сложности пароля

Кейлоггеры (перехват ввода):
├─ Программы-шпионы на компьютере
├─ Аппаратные устройства на клавиатуре
├─ Мобильные приложения-шпионы
└─ Запись всех нажатий клавиш

Утечки данных:
├─ Взлом баз данных сервисов
├─ Продажа паролей в даркнете
├─ Использование одинаковых паролей на разных сайтах
└─ Восстановление паролей из хешей

Три фактора аутентификации:
1. Что ты ЗНАЕШЬ (Knowledge)
   ├─ Пароли
   ├─ PIN-коды  
   ├─ Секретные вопросы
   └─ Кодовые фразы

2. Что ты ИМЕЕШЬ (Possession)
   ├─ Смартфон (SMS, приложения)
   ├─ Аппаратные токены
   ├─ Смарт-карты
   └─ USB-ключи безопасности

3. Кто ты ЕСТЬ (Inherence)
   ├─ Отпечатки пальцев
   ├─ Сетчатка глаза
   ├─ Голос
   └─ Почерк

Многофакторная аутентификация = комбинация факторов
├─ 2FA = два любых фактора
├─ 3FA = все три фактора
├─ Каждый дополнительный фактор усложняет взлом
└─ Баланс между безопасностью и удобством

Сервис 1: ВКонтакте
Путь: Настройки → Безопасность → Подтверждение входа
├─ Включить подтверждение по SMS
├─ Настроить резервные коды
├─ Добавить приложение-аутентификатор
└─ Протестировать работу при входе

Сервис 2: Google (Gmail, YouTube)
Путь: myaccount.google.com → Безопасность → Двухэтапная аутентификация
├─ Добавить номер телефона
├─ Настроить Google Authenticator
├─ Создать резервные коды
├─ Добавить доверенные устройства
└─ Настроить ключи безопасности (если есть)

Сервис 3: Сбербанк Онлайн
├─ SMS-подтверждение (стандарт)
├─ Push-уведомления в мобильном приложении
├─ Одноразовые пароли из устройства
└─ Биометрия (отпечаток пальца, Face ID)

Сравнительная таблица методов 2FA:
┌─────────────────┬──────────────┬─────────────┬──────────────┐
│ Метод           │ Безопасность │ Удобство    │ Стоимость    │
├─────────────────┼──────────────┼─────────────┼──────────────┤
│ SMS-коды        │ Средняя      │ Высокое     │ Бесплатно    │
│ Authenticator   │ Высокая      │ Среднее     │ Бесплатно    │
│ Push-уведомления│ Высокая      │ Очень высокое│ Бесплатно   │
│ Аппаратные ключи│ Очень высокая│ Среднее     │ 2000-5000₽   │
│ Биометрия       │ Высокая      │ Очень высокое│ Встроена    │
└─────────────────┴──────────────┴─────────────┴──────────────┘

Встроенные в браузер:
Chrome Password Manager:
├─ Плюсы: бесплатный, автоматическая синхронизация
├─ Минусы: только для браузера, базовый функционал
├─ Подходит для: начинающих пользователей
└─ Настройка: chrome://settings/passwords

Firefox Lockwise:
├─ Плюсы: открытый код, хорошая приватность
├─ Минусы: менее удобный интерфейс
├─ Подходит для: пользователей Firefox
└─ Настройка: about:logins

Отдельные приложения:
Bitwarden (рекомендуется для семей):
├─ Плюсы: бесплатный план, открытый код, семейные аккаунты
├─ Минусы: менее известный бренд
├─ Цена: бесплатно, семейный план 3$/месяц
└─ Платформы: все устройства

1Password:
├─ Плюсы: отличный дизайн, много функций
├─ Минусы: только платный
├─ Цена: от 8$/месяц за семью
└─ Подходит для: продвинутых пользователей

LastPass:
├─ Плюсы: популярный, много функций
├─ Минусы: были утечки данных, ограниченный бесплатный план
├─ Цена: 3$/месяц
└─ Статус: с осторожностью

Российские решения:
Kaspersky Password Manager:
├─ Плюсы: от российской компании, интеграция с антивирусом
├─ Минусы: платный, меньше функций
├─ Цена: 1200₽/год
└─ Подходит для: пользователей Kaspersky

Шаги настройки:
1. Регистрация основного аккаунта на bitwarden.com
2. Установка расширения в браузер
3. Импорт существующих паролей из браузера
4. Создание организации для семьи
5. Приглашение членов семьи
6. Настройка общих коллекций паролей
7. Установка мобильного приложения

Структура семейного хранилища:
├─ Личные пароли (каждого члена семьи)
├─ Общие аккаунты (Netflix, семейная почта)
├─ Финансовые аккаунты (доступ для родителей)
├─ Детские аккаунты (контроль родителей)
└─ Экстренные пароли (на случай необходимости)

Правила семейного использования:
☐ Каждый отвечает за свои личные пароли
☐ Общие пароли обновляются совместно
☐ Детям доступ только к разрешенным аккаунтам
☐ Регулярные проверки безопасности
☐ Обучение всех членов семьи работе с менеджером

Этап 1: Аудит семейных паролей (30 минут)
Задачи исследователя:
- Провести анонимный опрос семьи о парольных привычках
- Проверить основные email-адреса семьи на утечки
- Оценить количество повторяющихся паролей (без раскрытия)
- Определить уровень использования 2FA
- Выявить самые критичные уязвимости

Анкета для семьи (анонимная):
1. Сколько у вас разных паролей? (1-5, 6-10, 11-20, 20+)
2. Записываете ли пароли? (да/нет/иногда)
3. Используете ли одинаковые пароли? (да/нет/частично)
4. Включена ли двухфакторная аутентификация? (везде/частично/нигде)
5. Меняете ли пароли после утечек? (да/нет/не знаю об утечках)

Этап 2: Создание семейной стратегии (45 минут)
Разработка парольной политики семьи:

Документ "Парольная политика семьи [Фамилия]":
├─ Принципы создания паролей
├─ Обязательные требования безопасности
├─ Список критических аккаунтов (банки, госуслуги)
├─ Правила использования менеджера паролей
├─ Регламент проверки и обновления паролей
├─ Алгоритм действий при компрометации
└─ План обучения всех членов семьи

Выбор семейного менеджера паролей:
- Провести презентацию 3-х вариантов для семьи
- Учесть бюджет и технические возможности
- Протестировать выбранное решение
- Настроить семейную организацию
- Обучить каждого члена семьи

Этап 3: Внедрение и обучение (60 минут)
Практическая реализация:

Неделя 1 - Установка инструментов:
├─ Установить менеджер паролей всем
├─ Импортировать существующие пароли
├─ Настроить синхронизацию между устройствами
└─ Создать первые резервные копии

Неделя 2 - Улучшение паролей:
├─ Заменить все слабые пароли
├─ Убрать дублирование паролей
├─ Включить 2FA на критических сервисах
└─ Создать экстренные коды доступа

Неделя 3 - Обучение семьи:
├─ Провести индивидуальные уроки для каждого
├─ Создать простые инструкции с картинками
├─ Организовать практические тренировки
└─ Настроить систему взаимопомощи

Неделя 4 - Тестирование и закрепление:
├─ Провести "пожарные учения" (имитация взлома)
├─ Проверить, как семья справляется самостоятельно
├─ Собрать обратную связь и улучшить процессы
└─ Запланировать регулярные проверки безопасности

Отчет о проекте:
├─ Статистика улучшений (до/после)
├─ Фотодоказательства настройки 2FA
├─ Отзывы членов семьи о новой системе
├─ Документированные кейсы решения проблем
├─ План поддержания парольной гигиены
└─ Рекомендации для других семей

Тема: "Будущее аутентификации"
Исследовать и подготовить презентацию:

- Технология WebAuthn и пассключи
- Биометрическая аутентификация на мобильных устройствах
- Поведенческая биометрия (анализ стиля печати)
- Блокчейн-идентификация
- Квантовое шифрование

Практическое задание:
├─ Протестировать пассключи в Chrome/Safari
├─ Настроить биометрию на всех возможных устройствах
├─ Изучить новые методы на примере банковских приложений
└─ Предсказать развитие технологий на 5 лет вперед

Отлично (5):
- Самостоятельно настраивает все виды 2FA
- Грамотно выбирает и настраивает менеджер паролей
- Создает комплексную стратегию для семьи
- Эффективно обучает семью новым инструментам

Хорошо (4):
- Настраивает 2FA с минимальной помощью
- Правильно использует менеджер паролей
- Создает базовую парольную политику
- Помогает семье в освоении инструментов

Удовлетворительно (3):
- Понимает принципы работы 2FA
- Использует простейшие менеджеры паролей
- Улучшает собственную парольную безопасность
- Участвует в семейных проектах безопасности

Оценивается через:
- Качество аудита парольной безопасности
- Обоснованность выбора инструментов
- Способность адаптировать решения под семью
- Понимание баланса безопасности и удобства

Проверяется через:
- Терпение при обучении старшего поколения
- Ясность инструкций и объяснений  
- Мотивация семьи к изменению привычек
- Поддержка при возникновении проблем

🔐 "Мастер паролей" - создание 10+ уникальных сложных паролей
🛡️ "Защитник 2FA" - настройка двухфакторной аутентификации везде
👨‍👩‍👧‍👦 "Семейный IT-директор" - внедрение парольной политики в семье
🕵️ "Детектив утечек" - обнаружение компрометации аккаунтов
⚡ "Мастер менеджеров" - освоение 3+ разных менеджеров паролей
🎓 "Преподаватель безопасности" - обучение 5+ человек парольной гигиене

"Парольная олимпиада":
├─ Создание самого сложного пароля (конкурс креативности)
├─ Скоростная настройка 2FA (соревнование на время)
├─ Лучшая семейная парольная политика (экспертная оценка)
└─ Самое понятное объяснение для "бабушки" (ролевая игра)

"Хакатон безопасности":
├─ Команды создают комплексные решения парольной безопасности
├─ Презентация решений перед "советом директоров" (учителя + приглашенные эксперты)
├─ Критерии: безопасность, удобство, стоимость, масштабируемость
└─ Победители получают призы и возможность реализовать проект в школе