Сегодня даже начинающей пользователь активно пользуется несколькими электронными счетами, почтовыми ящиками, облачными сервисами и локальными хранилищами. И согласно «непонятным» правилам, на каждое такое добро надо придумывать и запоминать пароли. Однако мы по-прежнему разгильдяйски относимся к тому, чтобы делать их уникальными и сложными, что неизбежно приводит к потерям информации и личных данных, обилию спама, запрету доступа. Именно поэтому такое явление, как менеджеры паролей становятся обязательным инструментом современного человека.
А вот как получить от них максимальную отдачу.
Когда вы устанавливаете на очередной аккаунт свой любимый пароль, в лучшем случае, допуская лишь незначительные изменения, вопрос его взлома злоумышленниками сводится к «когда», а не «если». При этом вряд ли вам сильно хочется зубрить десятки паролей, а потом ещё и вспоминать где какой. Именно поэтому лучше прибегнуть к менеджеру, который сам всё запомнит и спрячет от злодеев. Меньше головной боли, с какой стороны не посмотри.
Большинство популярных менеджеров паролей способны генерировать для вас сложные пароли, что действительно важно. Веб-сайты же способны хранить криптографические представления паролей с помощью хэширования . Однако зная его алгоритм, хэш в конечном счёте может быть взломан. Чем сложнее будет ваш пароль, тем больше времени и сил потребуется злоумышленнику, чтобы восстановить его из хэша. Именно поэтому считается, что вы обеспечите ваш аккаунт хорошей защитой только в том случае, если ваш пароль будет состоять минимум из 12 символов, сочетая буквы верхнего и нижнего регистров, цифры и спецсимволы.
Тем не менее, несмотря на всё удобство использования менеджера паролей, важным фактором безопасности является и ваша собственная голова. Использовать её будет не лишним, чтобы создать мастер-пароля для доступа к менеджеру. В этом случае вам совсем необязательно выдумать что-то действительно сложное, можно просто создать пароль, объединив фразу. Например, GeekBrains_4_GeeksAndBrains . Или ещё сложнее, вроде того, что рекомендуют разработчики Windows : Мн€НрА8№tся№грАt"вБадDм№нт()н .
Как и любые популярные приложения, разные менеджеры паролей используют разные модели безопасности. Одни, такие как KeePass , Password Safe или Enpass , работают в автономном режиме. Это означает, что при введении нового пароля на одном устройстве, вам приходится либо самостоятельно вводить его на другом, либо хранить общую базу на облачном сервисе.
Другая модель, используемая LastPass , Dashlane и 1Password , предполагает постоянную синхронизацию между различными устройствами. С точки зрения рядового пользователя это немного удобнее, но не забудьте удостовериться, что приложение при этом не отсылает ваш мастер-пароль разработчикам. Тем не менее, обе модели обладают явными преимуществами и недостатками, поэтому перед началом использования, убедитесь, что выбранный менеджер поддерживает ту, что удобна именно для вас.
Есть ещё две предосторожности, которые касаются мастер-паролей. Во-первых, если вы используете на каждом устройстве отдельный менеджер, позаботьтесь о создании нескольких уникальных мастер-паролей. Во-вторых, сам по себе мастер-пароль можно взломать, как следствие, получив доступ ко всем данным сразу. Идеальным решением является использование двойной аутентификации, то есть дополнительного подтверждения через SMS, электронную почту или дополнительный генератор паролей. Дополнительные меры предосторожности никогда не помешают.
Обычная практика в работе менеджеров паролей - предложение закрыть сеанс после некоторого периода бездействия. Несмотря на то, что эта функция немного усложнит вам жизнь, пренебрегать ей ни в коем случае не стоит. Это поможет предотвратить или хотя бы минимизировать ущерб от вредоносных программ.
Кроме того, как можно меньше ресурсов должно быть включено в список «доверенных», предполагающих автоматический вход. Применяйте этот флажок только к тем ресурсам, которые посещаете несколько раз в день и которые не содержат важной информации.
Стартовый импульс: профессия « ».
3 июня компания SatoshiLabs анонсировала менеджер паролей TREZOR — приложение для безопасного хранения паролей и управления ими. Оно реализовано как расширение для браузера Chrome и уже доступно всем владельцам аппаратных в рамках программы открытого бета-тестирования.
Менеджер паролей TREZOR способен обеспечить надежную криптографическую защиту независимо от уровня пользователя. Одним нажатием кнопки вы можете зашифровать свой пароль, а менеджер паролей автоматически загрузит его в ваше частное облачное хранилище, откуда вы всегда сможете скачать его в случае надобности. Отсутствие мастер-пароля в TREZOR решает главную проблему безопасности типичных менеджеров паролей — возможность доступа ко всей базе данных с помощью скомпрометированного мастер-пароля. Примеры таких атак, в том числе на хранилища RoboForm и LastPass , много раз описывались в СМИ.
Двухфакторная аутентификация с помощью приложения или по электронной почте обеспечивает дополнительную защиту, но использовать ее неудобно. Биометрическая аутентификация сама по себе может быть опасной: например, получив отпечаток пальца жертвы, злоумышленник может использовать его снова и снова, и изменить его никак не получится. Поэтому кошелек TREZOR сам выполняет функции второго фактора аутентификации, разблокируя пароли без сторонних приложений, мобильного телефона и электронной почты. Вместо того чтобы вводить мастер-пароль для разблокирования всей БД с паролями, пользователю достаточно «разблокировать» кошелек с помощью ПИН-кода, защищенного от клавиатурных шпионов. Кроме того, ПИН-код предотвращает несанкционированный доступ к самому устройству.
Даже если ваша учетная запись Dropbox будет взломана, злоумышленнику почти наверняка не удастся прочитать сохраненные пароли. TREZOR обеспечивает дополнительный уровень безопасности, шифруя каждый пароль по отдельности с помощью уникального ключа, генерируемого самим устройством. Менеджер паролей TREZOR — это пример того, каким должен быть подход к технологиям защиты облачных хранилищ для индивидуальных пользователей.
Менеджер паролей TREZOR автоматически синхронизирует каждый пароль с частным хранилищем Dropbox пользователя, благодаря чему получить доступ к паролям можно в любой момент с любого компьютера, подключенного к Интернету. Со временем мы реализуем поддержку и других облачных хранилищ.
В TREZOR реализован легкий и безопасный способ создания резервных копий. Во время первоначальной настройки кошелек просит пользователя записать и сохранить в надежном месте фразу из 24 слов. Лист бумаги в сейфе — это все, что нужно для восстановления всех ключей на новом устройстве. В связи с этим хотелось бы напомнить, что TREZOR — это не только устройство для шифрования конфиденциальных данных, но еще и токен для безопасного входа в компьютерные системы с визуальной и физической верификацией.
После тестирования бета-версии в менеджер будет добавлена функция импорта/экспорта. Возможно, мы также предоставим пользователям приложение для Android — это будет зависеть от их отзывов..
Чешская компания SatoshiLabs — производитель кошельков TREZOR и разработчик ряда других передовых биткойн-проектов, таких как Coinmap и Slush Pool , первый в мире пул для майнинга биткойнов.
Записывать пароли в файл txt — уже не то. Правильные пользователи хранят секретную информацию в правильных программах. Мы подготовили обзор пяти менеджеров паролей — удобных и функциональных. Их оценка основана исключительно на личном мнении.
Мультиязычная бесплатная программа для хранения и генерации паролей с открытым кодом и рядом готовых плагинов — шифрованием, синхронизацией, генерацией произносимых и легко запоминающихся паролей.
KeePass хранится в файле, который можно синхронизировать с помощью Dropbox.
Приложение, поддерживающее 30 языков. Но нас это не особо волнует.
Есть портативный клиент для Windows — загружаете базу, после чего можете использовать ее офлайн.
Суровая правда жизни: излишне параноить смысла нет — если уж вас захотят взломать, то взломают. Поэтому лучше использовать хотя бы удобные менеджеры — так не будет мучительно больно, если что-то случится.
Оставляйте очень важные для нас мнения в комментариях.
"Windows IT Pro/re", № 7, июль, 2016
Статья с упоминанием eToken от компании "Аладдин Р.Д."
О проблеме паролей написаны тысячи статей. Но пользователи все равно выбирают самые простые. Год тому назад в сеть попали базы паролей Yandex и Mail.ru. Как показал анализ этих данных, наиболее популярными оказались самые простые для угадывания пароли (см. рисунки 1 и 2).
Как видно из приведённых диаграмм, пользователи не слишком затрудняют себя при выборе паролей, что значительно облегчает злоумышленнику взлом учётных записей. При этом все продолжают жаловаться на то, что пароли сложно запоминать.
На помощь пользователям пришли менеджеры паролей. Однако программы-менеджеры паролей подвержены все тому же недостатку. Вероятность взлома менеджера паролей зависит как от устойчивости мастер-пароля (основного пароля, с помощью которого осуществляется доступ к содержимому базы менеджера паролей), так и от наличия ошибок в программной реализации менеджера паролей. Да и от троянца-кейлоггера, с помощью которого можно перехватить пароль в момент его ввода в менеджер паролей, тоже никто не застрахован.
Именно поэтому были изобретены аппаратные менеджеры паролей. Нельзя сказать, что появились они только сегодня. Об использовании eToken от компании "Аладдин Р.Д." я писал ещё, наверное, лет 10 назад. Однако использовать его можно было только после установки соответствующего программного обеспечения, к тому же требовалось физическое подключение к конкретному компьютеру, что значительно ограничивало применение. Да и о подключении к смартфону речь тогда, безусловно, не шла. Прошло немало времени, появились новые устройства, и одно из них мы и рассмотрим в данной статье.
Беспроводной ключ Hideez Key (см. рисунок 3) предназначен для работы как с компьютером под управлением Windows, так и со смартфонами и планшетами под Android. На этот раз речь пойдет о работе под Windows.
.jpg) |
| Рисунок 3. Hideez Key |
Для начала перечислим технические характеристики:
Hideez Key предназначен для совместной работы с устройствами, отвечающими следующим требованиям:
Microsoft Windows 8.1;
Microsoft Windows 10;
Android 4.3 и выше;
Для подключения устройства к компьютеру используется процедура стандартного подключения устройства Bluetooth. Для подключения достаточно включить устройство однократным нажатием кнопки и перейти в меню "Параметры", Bluetooth. При этом ваш компьютер перейдёт в режим обнаружения устройств (см. экран 1).
После подключения устройства вы должны установить необходимое программное обеспечение Hideez Safe. В дальнейшем вам будет предложено создать учётную запись на сайте www.hideez.com (см. экран 2).
.jpg) |
| Экран 2. Регистрация с учётной записью Hideez |
После этого вы сможете настроить менеджер паролей и аутентификацию в Windows.
Стандартной схемой аутентификации пользователя на компьютере под управлением Windows является применение пары из имени пользователя и пароля. Вместе с тем можно привязать электронный ключ Hideez Key к пользовательской учётной записи. Ввод пароля в окне блокировки Windows осуществляется автоматически при достижении заданного уровня сигнала. После установки приложение работает постоянно. При этом в окне приложения можно увидеть уровень приёма сигнала для ключа Hideez Key.
Для включения функции блокировки вы можете открыть в настройках закладку Locker (см. экран 3) и установить флажок Use this device to Lock/Unlock the PC, а затем задать минимальный уровень сигнала, по достижении которого компьютер будет заблокирован (по умолчанию 40%).
.jpg) |
| Экран 3. Настройка Locker |
Кроме того, необходимо задать максимальный уровень сигнала, по достижении которого компьютер будет разблокирован (по умолчанию 80%), и указать имя пользователя (Get current name). После этого потребуется ввести пароль к учётной записи, который в свою очередь не будет храниться нигде, кроме Hideez Key. Учтите, что на компьютере данный пароль не хранится!
При уменьшении уровня сигнала ниже указанного компьютер будет заблокирован (что аналогично нажатию комбинации клавиш "Win + L"). При усилении сигнала компьютер будет разблокирован автоматически. Пользователь может разблокировать его и вручную, введя пароль с клавиатуры.
При использовании менеджера паролей устройство Hideez Key позволяет хранить до 1000 паролей длиной до 16 символов. Пароли в этом случае хранятся не на компьютере, а в самом устройстве и вводятся непосредственно в поле ввода. Естественно, вы сможете вводить пароли и вручную. Программа Hideez Safe ведет список приложений, а соответствующие им пароли хранятся в зашифрованном виде в устройстве Hideez Key. Соотнесение строки из списка программ с реальным запущенным приложением выполняется по названию активного окна Windows.
Для записи пароля откройте программу Hideez Safe, войдите в настройки выбранного устройства и перейдите на закладку менеджера паролей Password manager. Запустите программу или окно браузера, пароль к которому нужно записать. Вернитесь к настройкам паролей. Нажмите кнопку "Добавить пароль" (Add password) и после появления диалогового окна укажите мышкой на окно программы, ожидающей ввода пароля. Название программы будет сохранено. Введите пароль и нажмите кнопку "Записать пароль на устройство". После получения подтверждения пароль будет успешно сохранен (см. экран 4).
.jpg) |
| Экран 4. Password Manager |
Редактирование, удаление и проверка списка паролей выполняются аналогично добавлению с помощью кнопок Edit и Delete. В некоторых случаях список паролей в программе Hideez Safe и в Hideez Key может различаться, например после замены или сброса настроек устройства. Для проверки соответствия списков в программе и в устройстве необходимо нажать кнопку "Проверка списка паролей". После этого можно редактировать или удалить нужные пароли в списке.
Ввод пароля из Hideez Key исключительно прост. Достаточно поместить курсор в поле ввода пароля и дважды нажать кнопку на Hideez Key. Hideez Safe проверит наличие активной программы в списке паролей, считает пароль из устройства и введёт его туда, где установлен курсор.
Использование устройства как приложения для аутентификации в двухфакторной аутентификации также возможно, например в ходе двухэтапной аутентификации Google, когда в ответ на введённый пароль служба Google присылает вам SMS с шестизначным цифровым кодом. Если у вас в руках смартфон от Apple или Google, то вы сможете использовать приложение-генератор таких кодов. Но как быть, если это смартфон с другой операционной системой, например Windows Phone? В таком случае вы сможете использовать Hideez Key, поддерживающий создание одноразовых паролей (One-time password) согласно стандарту RFC 6238. В одном устройстве Hideez Key на сегодня предусмотрена одна учётная запись для генерации пароля типа OTP.
Для использования Hideez Key в качестве такого генератора паролей необходимо создать и записать в устройство ключ (Private OTP-key). Для этого нужно сделать следующее:
.jpg) |
| Экран 11. Ввод шестизначного кода подтверждения |
Если вы хотите использовать Hideez Key и Google Authenticator одновременно на двух устройствах, то вам нужно устанавливать ключ на всех устройствах.
Аппаратный менеджер паролей - это, конечно, замечательно. Но проблема в том, что он привязан к одному компьютеру и одному телефону. А если вы работаете не только дома (или на работе), то пароли вам в любом случае придётся хранить, как минимум, в двух местах. Ещё более неудобно использовать данное устройство как генератор ОТР. Почему? Да потому что ОТР предполагает именно переносимость. А что мы имеем на самом деле? Фактически генератор работает только для одного устройства. А ведь Google применяет концепцию доверенных устройств. То есть если я доверяю этому устройству, то вводить второй фактор (SMS, OTP) я буду однократно. И больше спрашивать меня никто не будет. А если не доверяю? Тогда проще использовать SMS, потому что Hideez Key я привязываю к конкретному устройству. И ни на чем другом использовать его не могу.
Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.
Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.
Кроме того, с точки зрения безопасности пароли должны быть длинными и состоящими вперемешку из цифр и символов в различных регистрах. Ах, да, еще ведь желательно менять пароли раз в 3-6 месяцев. Догадались к чему я клоню?
Все верно. Пора начать использовать менеджер паролей (если вы еще этого не сделали). Для тех, кто уже пользуется подобным софтом, также будет не лишним ознакомиться с этим обзором. Ниже представлены менеджеры паролей для пользователей с любым уровнем требований и толщиной кошелька (есть и бесплатные, но менее удобные варианты).
Плюс к этому, лидеры рынка предлагают удобные решения для бизнеса. Если сотрудники вашей компании для хранения паролей (которые, как правило, легко подобрать) все еще используют свою память, то, возможно, вы также сможете выбрать подходящий вариант.
Dashlane
Наилучший менеджер паролей, представленный на рынке. Программа позволяет изменить сразу несколько паролей в один клик и поддерживает двухфакторную аутентификацию. Кроме того, есть возможность использования общих паролей внутри одной команды.
«Dashlane появился на рынке недавно, но за свой дружелюбный интерфейс уже завоевал симпатии представителей малых и средних бизнесов», - рассказывает Дэниел Хамфриз (Daniel Humphries), исследователь компании Software Advice.
«Я предпочитаю KeepPass, поскольку этот менеджер паролей бесплатен, с открытым исходным кодом, интегрирован с Windows User Account Control и не является плагином к браузеру», - говорит Джейсон Фоссен (Jason Fossen), инструктор подразделения SANS Institute (город Вифезда, штат Мэриленд). «С точки зрения безопасно не совсем хорошо, когда наиболее важная информация – пароли и номера кредитных кар – хранится в браузере, который легко может стать жертвой вредоносной программы».
Джэйсон говорит, что KeePass – отдельное приложение и не является плагином браузера.
«KeePass поддерживает скрипты для PowerShell, что позволяет создавать решения под специальные нужды», - добавляет Джейсон.
KeePass – бесплатная альтернатива для «аскетов», не особо придирчивых к удобству и функциональности, но желающих серьезно повысить свою защищенность.
1Password
Еще один менеджер паролей, позволяющий использовать совместные учетные записи, - 1Password .
«Я настоятельно рекомендую менеджер паролей с защищенным хранилищем», - говорит Стив Хултквист (Steve Hultquist), главный евангелист компании RedSeal (город Саннивейл, штат Калифорния). «Подобные приложения позволяют вам автоматически генерировать полностью уникальные пароли для каждого сайта и автоматически заполнять формы во время работы на стационарных компьютерах, мобильных устройствах и в других приложениях».
Как Dashlane и LastPass, 1Password поддерживает большинство браузеров, автоматически заполняет формы и имеет версии как для iOS, так и для Android платформ.
Особенность Blur в том, что, помимо генерации длинного уникального пароля, этот менеджер создает одноразовый адрес для маскировки вашей реальной электронной почты.
Как и в других платных менеджерах, в Blur предусмотрена бесплатная версия. Расширенная версия (за счет которой компания получает доходы) стоимостью 40$ позволяет генерировать одноразовые номера кредитных карт с расходными лимитами, защищающими пользователя от скрытых комиссий и кражи информации. Кроме того, можно замаскировать номера телефонов.
«Всем пользователям интернета следует завести менеджер паролей», - говорит Роб Шейвелл (Rob Shavell), глава компании Abine. «Менеджеры паролей становятся все более удобными, экономят время, но в то же время хорошо защищают конфиденциальную информацию. Вне зависимости от размера вашего бизнеса, следует обратить внимание на эти приложения».
Помимо своего собственного детища (Blur), Шейвелл также рекомендует LastPass, 1Password, Dashlane и PasswordBox (см. ниже).
PasswordBox
PasswordBox недавно был приобретен компанией Intel. На данный момент полная версия бесплатна для всех пользователей.
Кроме того, в будущем планируется реализация функции «True Key», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).
Большинство менеджеров паролей используют мастер-пароль, то есть пароль для разблокировки доступа ко всему хранилищу. Основная идея заключается в том, что намного проще запомнить один очень длинный пароль, чем десятки и сотни паролей для каждого сайта.
Однако мастер-пароль также не совсем удобен, особенно если менеджер блокируется из-за неактивности компьютера или мобильного устройства (хотя, с точки зрения безопасно, блокировка желательна).
«Всесторонняя поддержка крайне важна», - говорит Андре Бойсен (Andre Boysen), главный специалист по идентификации в компании SecureKey Technologies (город Норт-Йорк, провинция Онтарио). «Доступ к хранилищу паролей всегда будет одной из первостепенных целей злоумышленников».
Утверждается, что PasswordBox наиболее надежный менеджер паролей. На данный момент количество загрузок превышает 14 миллионов. Для сравнения: утверждается, что LastPass используют около 6 миллионов пользователей.
Кроме того, в PasswordBox есть функция назначения достоверного пользователя, который сможет получить доступ к хранилищу, если с вами что-нибудь случится. Также можно совместно использовать учетные записи среди сотрудников или членов семьи.
RoboForm
RoboForm – самый старый среди менеджеров паролей, упомянутых в этом обзоре. Первая версия RoboForm была выпущена в конце 1999 года.
У RoboForm есть одна уникальная функция, позволяющая пользователю одновременно авторизоваться на нескольких сайтах. Очень удобно, если вы ежедневно пользуетесь несколькими сервисами. Также есть портативная версия RoboForm2Go, которую можно установить на флешку.
Как и другие менеджеры паролей, RoboForm поддерживает все основные браузеры и устройства. Можно выбрать облачный сервис для синхронизации на всех устройствах или хранить данные локально. Однако в последнем случае вы не сможете получить доступ к хранилищу с других компьютеров и мобильных устройств.
В корпоративной версии RoboForm можно настраивать групповые политики, интеграцию с Active Directory, восстановление мастер-пароля и совместное использование учетных записей. Поддерживается автоматическое создание аккаунтов для групп пользователей и учетных записей, ограниченных по времени.
StickyPassword
В StickyPassword есть уникальная функция для синхронизации при помощи Wi-Fi сети (если вы по каким-то причинам не хотите использовать облачный сервис).
Поддерживается работа с USB-устройств, биометрия и автоматическое заполнение форм. StickyPassword адаптирован для всех наиболее популярных платформ, браузеров и устройств.
Стоимость полной версии с поддержкой синхронизации через Wi-Fi всего лишь 20$ в год (самый дешевый вариант среди всех остальных менеджеров из этого обзора).
В компании утверждают, что StickyPassword используют 2 миллиона пользователей. Кроме того, на основе StickyPassword была разработана технология VIPRE Password Vault (компанией ThreatTrack Security) и менеджер паролей Kaspersky Password Manager.
К сожалению, в StickyPassword не предусмотрена корпоративная версия, что делает этот менеджер паролей не особо пригодным для бизнеса.
«Если компания собирается использовать менеджер паролей, следует убедиться в том, что приложение поддерживает уровень дистанционной управляемости, соответствующий нуждам бизнеса», - говорит Рэнди Абрамс (Randy Abrams), директор NSS Labs (город Остин, штат Техас).
