Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (161)
  • добавить в избранное
    Добавить в закладки

Как выбрать менеджер паролей

Прочитали: 5989 Комментариев: 5 Рейтинг: 17

8 декабря 2023

Пароли используются для аутентификации пользователей фактически с самого начала компьютерной эры. С развитием интернета и постепенным повышением требований к цифровой безопасности наряду с паролями стали применяться и другие методы контроля доступа, такие как двухфакторная и СМС-аутентификации, токены, биометрическое распознавание и прочие технологии. При этом пароли никуда не исчезли и сегодня по-прежнему остаются одним из базовых средств обеспечения защиты информации от несанкционированного доступа.

Сама концепция использования пароля подразумевает наличие фундаментальной уязвимости — пароль может быть нестойким к взлому. В дополнение к этому пользователи часто используют однотипные или даже идентичные пароли для авторизации в различных системах и сервисах. Киберпреступники знают об этом, а потому воровство, фишинг и подбор паролей для взлома различных систем и кражи данных — к сожалению, весьма распространенные явления. В свою очередь длинный, уникальный и периодически обновляемый пароль в большинстве случаев будет очень сложным препятствием на пути злоумышленника. Однако держать в голове целый список таких паролей довольно трудно, не говоря уже о его периодическом обновлении. Поэтому многие зачастую пренебрегают безопасностью ради мнимого удобства.

Существует ли решение для организации и хранения сложных паролей? В сегодняшнем выпуске «Антивирусный правды» поговорим о специальных программах — менеджерах паролей. Стоит ли начать ими пользоваться? Как выбрать помощника, который действительно обеспечит надежную защиту ваших паролей?

Зачем нужны сложные пароли?

Давайте вспомним одно из золотых правил безопасности: хороший пароль должен быть длинным, произвольным и уникальным, а еще его следует периодически обновлять. С длиной все просто: чем больше знаков в кодовом слове, тем сложнее его взломать путем перебора. Причем сложность подбора в зависимости от количества знаков и растет нелинейно. Не менее важную роль играет и набор символов, из которых может состоять пароль. Чем он шире, тем короче может быть сам пароль при сохранении уровня стойкости. К примеру, современные компьютерные мощности позволяют подобрать комбинацию из 5-6 знаков практически мгновенно. В то время как на вычисление пароля, состоящего из 12-15 буквенно-числовых символов, в теории могут уйти тысячи лет, если кодовое слово произвольно. Такой пароль сложно угадать, так как он содержит абсолютно случайные слова или последовательность символов. Тогда потенциальному злоумышленнику проще получить пароль другим способом — например, украсть или обманом заставить пользователя ввести его самостоятельно. Важно понимать, что если везде использовать одинаковый пароль, то его компрометация в одной системе автоматически ставит под серьезную угрозу и остальные учетные записи, защищенные этим же паролем. Поэтому следует использовать уникальные комбинации везде, где это возможно. Наконец, даже стойкий и уникальный пароль может быть скомпрометирован вследствие утечки, действий вредоносного ПО, сетевой атаки или фишинга. Таким образом, даже хороший и безопасный пароль следует периодически менять на сопоставимый по сложности.

Возникает справедливый вопрос: как запомнить сложный пароль — и не один, а целое множество? А ведь весь этот список по-хорошему нужно еще и обновлять. Увы, безопасные пароли для человека крайней неудобны в использовании. Поэтому различные аналитики по информационной безопасности из года в год публикуют одну и ту же статистику по взломанным паролям, где вы всегда найдете «qwerty123», «Password1, «admin321» и т. п.

Что если хранить надежные пароли локально, например в txt-файле? Такой подход имеет существенные недостатки. Во-первых, в этом случае все пароли хранятся в одном месте в открытом виде — а значит, получив доступ к текстовому файлу, потенциальный злоумышленник получит сразу все ваши секреты. Так, файл может быть украден трояном-стилером или другой вредоносной программой. Кроме того, в этом случае существует вероятность физического доступа: любой, кто каким-либо образом получит доступ к вашему устройству, сможет открыть и просмотреть файл с паролями.

Тогда, может быть, заархивировать файл, дополнительно защитив еще одним паролем? Теперь, чтобы посмотреть все пароли, нужно ввести так называемый мастер-пароль — единственный, который придется запомнить. Мы с вами только что-то придумали самый простой и примитивный, при этом весьма неудобный менеджер паролей. Однако именно по такому базовому принципу работает большинство подобных программ. Разумеется, пользоваться ими гораздо проще, чем зашифрованным архивом.

Прежде чем перейти непосредственно к менеджерам паролей, забежим немного вперед и вспомним о бриллиантовом правиле безопасности: не стоит полагаться исключительно на пароли. Пара логин-пароль используется для однофакторной аутентификации, которая в современных реалиях подчас не обеспечивает должного уровня безопасности. Мы рекомендуем включать двухфакторную аутентификацию везде, где это возможно, и уделять внимание защите устройства, которое используется в качестве второго фактора для входа в ту или иную систему.

Что такое менеджер паролей и как его выбрать?

Менеджер паролей – это специальная программа для хранения, организации, удобного использования и защиты ваших паролей и других секретных комбинаций. Безусловно, каждый может определить риски, выработать персональную парольную политику и собственный алгоритм для запоминания сложных и безопасных паролей и обойтись без менеджера. Менеджер паролей — не панацея, однако он может помочь пользователям, которые решили осознанно подойти к работе с паролями, не перегружать голову и сохранить удобство и скорость ввода учетных данных для авторизации на сайтах и в различных системах.

Существует множество самых разных продуктов, как коммерческих, так и полностью бесплатных. Как же выбрать подходящее решение? В этой статье мы не будем рекомендовать конкретные продукты, однако поможем определить некоторые критерии, чтобы лучше сориентироваться при выборе.

Перечислим общие моменты, которые стоит учитывать:

  1. Тип реализации: облачный сервис, локальная программа или клиент-серверное решение.
  2. Репутация компании-разработчика.
  3. Открытость исходного кода.
  4. Техническая реализация.
  5. Возможности интеграции с браузерами.
  6. Кроссплатформенность.
  7. Возможность импорта и экспорта паролей, а также синхронизации между устройствами.
  8. Возможность разграничения прав и уровней доступа.
  9. Поддержка двухфакторной аутентификации и одноразовых кодов.
  10. Удобный пользовательский интерфейс.

Остановимся подробнее на каждом пункте. Менеджеры паролей для домашних пользователей делятся на две большие группы — облачные сервисы и локальные изолированные программы. Облачные решения предоставляют вам клиентское приложение или браузерное расширение для управления, при этом все ваши пароли хранятся на сервере компании-разработчика в зашифрованном виде. На первый взгляд облачное хранение кажется удобным, но из такой реализации следует самый главный недостаток такого подхода с точки зрения безопасности. Вы никак не можете проверить, насколько защищены ваши пароли в процессе хранения и передачи через интернет, а также не передаются ли они третьим лицам или самим сотрудникам компании-разработчика. Например, злоумышленник может взломать вашу учетную запись в таком сервисе и получить доступ ко всем паролям сразу. Киберпреступники также могут атаковать компанию и скомпрометировать исходный код, данные клиентов или даже базу данных с паролями. Увы, история знает подобные прецеденты. И здесь мы снова возвращаемся к вопросу доверия к оператору облачного сервиса. Вот только одно дело — какой-нибудь архив с фотографиями, и совсем другое — ваши пароли. Поэтому, выбирая онлайн-решение, вы должны оценивать риски.

Локальные менеджеры паролей работают иначе. Программа устанавливается на локальный компьютер (хотя бывают и портативные версии), и все пароли хранятся в самом устройстве в зашифрованном виде. Такой подход работает в угоду безопасности: ведь пароли не передаются на сторонние серверы. Для шифрования и доступа к информации используется мастер-пароль или ключевой файл, которые должны быть достаточно стойкими, поскольку именно от их сохранности будет зависеть безопасность всех остальных паролей.

Еще один критерий выбора — открытость исходного кода. Закрытое ПО не позволяет самостоятельно проверить код на наличие ошибок, уязвимостей и бэкдоров. Детали реализации также неизвестны — а значит, приходится верить разработчику продукта на слово. С другой стороны, для обычного пользователя не столь важно, открыт или закрыт исходный код программы. ПО с открытым исходным кодом доступно для проверки энтузиастами, при желании можно поискать соответствующие исследования выбранной программы. Если таким образом вы удостоверитесь в ее надежности, то можно выбрать менеджер паролей с открытым исходным кодом. Также в пользу открытых исходников говорит техническая возможность доработки того или иного решения. Это может быть важным критерием, если вы выбираете менеджер паролей для организации.

Клиент-серверные решения предназначены в основном для корпоративного использования. В этом случае сервер настраивается в корпоративной сети компании, а клиентские приложения — на устройствах сотрудников. Открытость исходного кода в этом случае более важна, в особенности что касается клиентского ПО. Отличительными чертами таких менеджеров паролей, помимо самой архитектуры, являются возможности гибкой настройки уровней доступа и интеграция со стандартными протоколами доступа к каталогам.

Уровень технической реализации отвечает за надежность, безопасность и в целом за качество программы. Существует некоторое количество уязвимостей, которые злоумышленники могут использовать для перехвата паролей. Например, к таковым можно отнести возможность получить пароль из оперативной памяти. Также в менеджере может применяться некачественно реализованный генератор паролей или уязвимый алгоритм их шифрования. Неподготовленному пользователю этого никак не проверить, однако открытый исходный код и внимание исследователей позволяют придать огласке подобные проблемы, а также выпустить необходимые доработки. Поэтому перед выбором менеджера паролей следует изучить имеющиеся материалы и публикации в интернете.

Репутация компании-разработчика также играет не последнюю роль. Стоит ли доверять свои секреты неизвестной программе или сервису? Вместе с тем редкий коммерческий менеджер паролей обходится без рекламных заявлений о самом стойком «военном» шифровании и абсолютной приватности пользовательских данных. Однако полностью убедиться в надежной реализации позволит только открытый исходный код и независимая проверка.

Генератор паролей — еще одна функция, которая есть в каждом уважающем себя менеджере. С его помощью вы можете создать случайный пароль. Это удобно, однако алгоритм генерации должен быть надежным, чтобы специальное вредоносное ПО не воспользовалось уязвимостью конкретного менеджера паролей и не расшифровало сгенерированную комбинацию. Проверенные и поддерживаемые разработчиком программы с регулярными обновлениями — лучшее решение для тех, кто действительно заботится о безопасности своих данных.

Что касается других перечисленных выше критериев, то все они делают менеджер паролей функциональнее и удобнее, однако лишены смысла без должного уровня технической реализации и безопасности. Облачные менеджеры «заточены» под работу с веб-страницами, поэтому каждый из них должен исправно работать в любых браузерах. Что касается локальных решений, то большинство из них поддерживает работу с браузерами с помощью подключаемых расширений. Отметим, что любое стороннее расширение — это потенциальная брешь в безопасности, поэтому оптимальным решением будет использование только официальных или проверенных разработчиком плагинов. Как правило, их можно найти на официальном сайте самой программы.

Некоторые менеджеры паролей вполне способны защитить и от фишинга. Так, при попадании пользователя на поддельную веб-страницу с формой для авторизации они не будут подставлять учетные данные, так как технически такая страница не будет соответствовать подлинной. Это полезная функция, однако мы не рекомендуем полагаться только на нее.

Кроссплатформенность позволяет программе работать на разных устройствах. Если вам необходимо иметь доступ к базе менеджера паролей как с компьютера, так и со смартфона, выбирайте программу с соответствующей функциональностью. Возможность синхронизации паролей между устройствами также может быть полезна, хотя любая синхронизация подразумевает передачу зашифрованный базы данных по сети. Синхронизацию в локальном менеджере можно настроить вручную — путем размещения зашифрованной базы в облаке для последующего доступа к ней с различных устройств. Напомним, что без мастер-пароля или ключевого файла достать пароли из зашифрованной базы данных не получится, поэтому, с некоторой оговоркой, такое решение можно назвать безопасным.

Некоторые менеджеры паролей для дополнительной защиты поддерживают двухфакторную аутентификацию . Например, программу можно настроить таким образом, чтобы при попытке доступа к зашифрованным записям запрашивался не только мастер-пароль, но и ключевой файл, который можно хранить на съемном носителе. Такой подход позволит обезопасить кодовые слова даже при компрометации мастер-пароля. Облачные решения в большинстве своем также поддерживают двухфакторную аутентификацию для доступа к учетной записи. Кроме того, существуют менеджеры паролей, которые могут генерировать одноразовые коды для авторизации в системах с настроенной двухфакторной аутентификацией. Такая функциональность может либо присутствовать изначально, либо добавляться с помощью установки плагинов.

Наконец, что касается интерфейса, то это уже дело привычки и вкуса. Главное, чтобы он был функциональным, удобным и отвечал возможностям продукта. Мы лишь отметим, что богатая функциональность и высокая надежность не всегда соседствуют с красивым графическим интерфейсом — и наоборот. Бесплатные решения с открытым исходным кодом также могут отпугнуть новичков неброским внешним видом или архаичным дизайном. Однако когда дело касается безопасности практически всех цифровых данных, следует ориентироваться на более значимые критерии, о которых мы рассказали выше.

О сохранении паролей в браузерах

Возможность сохранения паролей в браузерах иногда рассматривается как встроенный менеджер паролей. Однако эта функция — скорее способ повысить скорость и удобство работы, нежели полноценное решение, призванное обезопасить данные. Во-первых, сохраненные таким способом пароли особенно уязвимы перед вредоносным ПО, которое специализируется на воровстве учетных данных из браузеров. Во-вторых, возникает потенциальный риск физического доступа. По умолчанию пароли защищены только учетной записью пользователя. В этом случае при утере устройства и его последующей разблокировке все пароли окажутся как на ладони. Кроме того, злоумышленники могут увести и сам аккаунт в браузере.

Все ли так плохо? При халатном отношении и сохранении паролей от всего подряд — скорее, да. Но и этот вариант имеет право на жизнь, если подходить к его использованию с умом —например, сохранять только пароли от сайтов, на которых вы не указывали личные или другие важные данные.

Недостатки менеджеров паролей

«Брелок — это такая маленькая штучка, которая нужна для того, чтобы потерять все ключи сразу». Такой фразой можно охарактеризовать главный недостаток менеджеров паролей. Брелок в данном случае — это ваш мастер-пароль. При утере или компрометации мастер-пароля, ключевого файла или учетной записи от облачного сервиса все хранящиеся пароли с большей долей вероятности также окажутся утеряны или украдены. Чтобы этого не произошло, мастер-пароль должен быть длинным, произвольным, уникальным и при этом запоминающимся лично для вас.

Как и любое программное обеспечение, менеджеры паролей могут быть атакованы злоумышленниками или вредоносным ПО. Возможные программные уязвимости, атаки на инфраструктуру разработчиков, подмена обновлений, использование кейлоггеров — все это представляет прямую угрозу безопасности для конечных пользователей.

Наконец, использование менеджера паролей может породить ложное чувство безопасности. Это тоже недопустимо: как уже говорилось выше, эти программы – не панацея, а всего лишь удобный инструмент, который позволяет организовать правильную работу с паролями и усложнить жизнь потенциальным взломщикам. Для эффективного использования такого ПО требуется осознанно подходить к безопасности и следовать правилам цифровой гигиены.

Антивирусная правДА! рекомендует

  1. Использовать ли менеджер паролей — решать только вам. Мы рекомендуем начать с анализа своих паролей с учетом информации из этой статьи. Применяете ли вы одинаковые или похожие пароли на множестве сайтов? Какое количество паролей вам нужно будет держать в голове, если представить, что все они разные? Если вы понимаете, что менеджер паролей действительно сможет повысить безопасность и удобство в вашем случае, попробуйте с ним подружиться.
  2. В качестве старта можно выбрать локальный менеджер с открытым исходным кодом — тем более такие решения бесплатны. Коммерческие облачные сервисы могут выигрывать в функциональности, но в этом случае приходится всецело доверять оператору. В любом случае в процессе выбора того или иного продукта мы рекомендуем поискать о нем информацию в интернете.
  3. Помните, что один лишь пароль — не самая надежная защита. Включайте двухфакторную аутентификацию для защиты данных на важных сайтах и в сервисах. При этом не забывайте про защиту второго устройства, на которое приходит одноразовый код.
  4. Всегда загружайте программу только с официального сайта разработчика. Эта рекомендация актуальна для любого ПО, но для менеджера паролей она имеет первостепенную важность.
  5. Если вы установили менеджер паролей, задайте крайне надежный мастер-пароль. Настройте в программе напоминание мастер-пароля, если такая функция есть. Так вы лучше запомните его, после чего напоминание можно будет отключить. Помните, что утеря главного пароля делает бесполезной всю базу данных.
  6. Приступая к использованию менеджера, смените все пароли. Это может оказаться трудоемким процессом, зато вы точно будете знать, что ваши новые пароли не скомпрометированы.
  7. Не забывайте про резервное копирование базы данных с паролями.
  8. Если вам не хватает базовой функциональности менеджера, поищите расширения на официальном сайте программы. При этом не забывайте, что расширения также могут быть уязвимы.
  9. Следите за защитой самого компьютера и обязательно используйте надежный антивирус. Ни один менеджер паролей не будет безопасно работать в зараженной системе.

#браузер #взлом #двухфакторная_аутентификация #защита_от_потери_данных #облачные технологии #пароль #персональные_данные #подмена_страниц #уязвимость

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии