Безопасность менеджеров паролей: насколько они надежны
Насколько безопасны современные менеджеры паролей? В этой статье мы анализируем уровень безопасности менеджеров паролей, обсуждаем их плюсы и минусы, а также даем советы по выбору надежного решения для защиты ваших учетных данных. Следите за нашим обзором, чтобы оставаться в безопасности в онлайн-мире!
- Введение
- Менеджеры паролей безопаснее многих доступных альтернатив
- Как менеджеры паролей защищают пользовательские кодовые фразы?
- Можете ли вы доверять компаниям - собственникам менеджеров паролей?
- Мы используем менеджеры паролей и рекомендуем их
- Заключение
- Вопросы и ответы
- Комментарии
Введение
Общие рекомендации по безопасному пользованию сети «Интернет» предписывают для каждого сетевого ресурса иметь новый, не повторяющийся, уникальный и не используемый ранее, пароль. А так как количество сайтов, на которых необходимо каждый раз использовать данные учетной записи для подтверждения свой личности, постоянно увеличивается, то запомнить разные варианты парольных фраз пользователям становится довольно сложно, и остро встает вопрос безопасного хранения данных доступа к сетевым ресурсам.
Одним из популярных вариантов удаленного хранения паролей, стремительно развивающиеся в последнее время, безусловно являются менеджеры паролей. Они предлагаются в виде сетевых расширений, программных дополнений или встраиваемых в веб-браузеры приложений.
Независимо от формы представления, менеджер паролей часто хранит все пользовательские кодовые фразы и автоматически заполняет соответствующие поля для их ввода в веб-браузере и мобильных приложениях. Но стоит ли полноценно и безоговорочно доверять приложению свои пароли и хранить их все в одном месте? Насколько такая идея разумна и оправдана?
Основываясь на собственных исследованиях и публикациях доверенных специалистов, мы рекомендуем всем использовать менеджеры паролей. Они намного превосходят многие способы отслеживания паролей, поэтому и являются для пользователей, стремящихся уберечь свои учетные данные, безопасным выбором.
Менеджеры паролей безопаснее многих доступных альтернатив
Менеджер паролей хранит кодовые фразы в безопасном защищенном хранилище, которое пользователи могут разблокировать с помощью одного мастер-пароля и, при необходимости, дополнительного метода двухфакторной аутентификации, чтобы помочь сохранить расположенные там данные в большей безопасности.
Менеджеры паролей позволяют использовать надежные уникальные сложные пароли в неограниченном количестве для любых сетевых ресурсов. Как мы уже обращали внимание ранее, для большинства пользователей постоянно помнить множество разнообразных паролей практически невозможно. И помощь менеджеров пароля в данной ситуации оказывается неоценима. Приложения способны генерировать и запоминать парольные фразы любой степени сложности, даже такие варианты как «Yg5.JHh0_TmdlsmdpLxS.4_u-eK».
Если пользователи не используют менеджер паролей для хранения своих учетных данных для входа на веб-сайты, то в большинстве случаев, стремясь упростить последующий доступ, повторно используют один и тот же вариант ключевой парольной фразы на нескольких сетевых ресурсах. Однако такой подход очень опасен, поскольку утечка базы данных паролей сразу означает, что ваши учетные записи на других сайтах открыты и уязвимы. Злоумышленник сможет воспользоваться известными адресом электронной почты и паролем для взлома остальных сайтов, и своими действиями нанести непоправимый вред, особенно если учетные записи содержат конфиденциальную банковскую информацию.
Конечно, пользователи могут попробовать создать собственные «уникальные» пароли самостоятельно на основе определенного шаблона. Например, основой базового пароля может служить фраза: «_p@ssw0rd_». В зависимости от домена – например, при входе в социальную сеть «Facebook» – можно менять ее конфигурацию, дополнив отсутствующие места двумя первыми буквами «f» и «a», получив готовый результат парольной фразы вида: «fp@ssw0rda». Повторяя подобный алгоритм для каждой новой учетной записи на других сетевых доменах, пользователи всегда получат на выходе уникальный пароль, порядок формирования которого позволит всегда вспомнить его самостоятельно без дополнительных подсказок. Однако, используя подобную схему, пользователи создают предсказуемые пароли. К тому же, часто веб-сайты не поддерживает использование специальных символов, ограничивают парольную фразу определенным количеством цифр или вводят другие ограничения. И получается, что создать новый пароль в соответствии со своим алгоритмом не получится, вся схема построения рушится и метод больше не работает.
С менеджером паролей никаких сложных схем придумывать не нужно. Пользователям потребуется просто создать один надежный уникальный пароль и запомнить его.
Несмотря на тот факт, что при пользовании менеджера паролей пользователям приходится доверять свои данные и хранить их удаленно на серверах сторонних разработчиков, данный способ более безопасен, чем возможные альтернативы. Менеджеры паролей, которые мы рекомендуем, никогда себя не компрометировали, в то время как многие пользователи столкнулись с проблемами удаленного взлома своих учетных записей из-за повторного использования одинаковых паролей. В наши дни злоумышленники часто «взламывают» учетные записи, применяя способ повторно задействованных на разных ресурсах паролей.
Как менеджеры паролей защищают пользовательские кодовые фразы?
Большинство доверенных специалистов сходятся во мнении, что лучшими представителями менеджеров паролей являются продукты 1Password и LastPass. Оба защищают пользовательское хранилище паролей с помощью надежных методов шифрования (в частности, «AES-256»), даже когда оно хранится на удаленном облачном сервисе. Все пароли, сохраненные пользователями для использования на своих устройствах, защищены «главным паролем», который блокирует к ним доступ и делает их нечитаемыми без данного, верно набранного, основного пароля. На современных устройствах пользователи также могут разблокировать свое хранилище с помощью биометрической аутентификации – например, используя «Face ID» или «Touch ID» на «iPhone».
Обе службы утверждают, что мастер-пароль никогда не покидает пользовательское устройство, и они не могут получить доступ к сохраненным паролям, и даже при большом желании, ознакомиться с паролями пользователей им не удастся. В подтверждение, означенные службы прошли сторонние аудиты и проверки используемого кода. Ни один из рассматриваемых представителей никогда не сталкивался с серьезными нарушениями, и оба полноценно, доступно и прозрачно описывают применяемые способы защиты пользовательских данных. Для получения более подробной информации посетите веб-сайты служб «1Password» и «LastPass».
Если возникли опасения или пользователи предпочитают осуществлять хранение собственных паролей самостоятельно, то существуют менеджеры паролей с открытым исходным кодом, такие как Bitwarden и KeePass. Можно использовать данные приложения для хранения пароля на своих личных устройствах или серверах. Например, пользователи могут настроить свой индивидуальный сервер синхронизации для «Bitwarden» или вручную синхронизировать базу данных «KeePass» между своими устройствами. Вероятно, это более сложным и трудоемкий путь – и приложения не так удобны для пользователя – но, если отдается предпочтение программному обеспечению с открытым исходным кодом, данные варианты более чем достойны.
Можете ли вы доверять компаниям – собственникам менеджеров паролей?
В конечном счете, используя продукцию компаний, управляющих паролями, пользователи автоматически доверяют им. Безусловно, компании обещают хранить пароли в безопасности. Но ситуации бывают разные и как быть в случае, если они обновят свое программное обеспечение, добавив возможность перехватывать пользовательские пароли, или возникнет огромная дыра в системе безопасности, способная открыть пароли для вирусной атаки? Компании несомненно проверяются на предмет безопасности, но что, если их политика в отношении неприкосновенности пользовательских паролей измениться в худшую сторону?
Конечно, риск существует. Пользователи доверяют своему менеджеру паролей также, как и любому другому используемому приложению, установленному на персональном компьютере, или большинству задействованных расширений веб-браузера, которые тайно могут следить за пользователями и сообщать пароли, номера кредитных карт или удаленно общаться с третьими лицами.
Но такого еще не произошло, компании дорожат своим авторитетом и не были замечены в подобных операциях. Это доверенные компании в сфере безопасности. Вероятно, более опасно устанавливать произвольные расширения браузера, многие из которых получают привилегированный доступ к большинству процессов, происходящих в обозревателе, и способны удаленно по телефону сообщать различные подробности, чем хранить ваши пароли в диспетчере паролей.
Мы используем менеджеры паролей и рекомендуем их
Мы следуем нашим собственным советам и используем менеджеры паролей, такие как «1Password» и «LastPass», на своих личных и рабочих устройствах. Менеджеры паролей, встроенные в такие браузеры, как «Google Chrome» и «Safari» от «Apple», становятся лучше, но они еще не настолько мощные или многофункциональные.
Помимо основного решения, связанного с обеспечением безопасности учетных данных пользователей, менеджеры паролей предлагают множество удобных дополнительных преимуществ. Пользователи могут легко поделиться своими паролями с другом, членом семьи или коллегой по работе. Приложение может автоматически заполнять поля для ввода имени пользователя и пароля на любых компьютерных устройствах и мобильных телефонах, не требуя их непосредственного ручного набора, даже на «iPhone» или «iPad». Менеджеры паролей, такие как «1Password» и «LastPass», выдают предупреждения, если какой-либо из используемых паролей был взломан во время атаки, и рекомендуют пароли, которые необходимо изменить. Это намного лучше и удобнее, чем пытаться отслеживать все свои пароли без посторонней помощи.
Заключение
Использование современных персональных компьютерных устройств для доступа и разнообразного взаимодействия с глобальной информационной сетью «Интернет» существенно облегчает пользователям все процессы, непосредственно связанные с получением, обменом, обработкой и хранением различных данных.
Однако особенности многих сетевых ресурсов, для обеспечения безопасности и способности формирования индивидуальных предложений на основе персональных предпочтений, вынуждены использовать особую форму доступа на веб-сайты с обязательной регистрацией пользователей, включая создание уникальной парольной фразы.
Не многие пользователи способны запомнить множество различных паролей для входа на разные веб-сайты, особенно сложные и уникальные варианты, и применяют для хранения регистрационных данных сторонние менеджеры паролей.
Естественно пользователи обеспокоены надежностью защищенного хранилища. Но использование приложений для хранения паролей от доверенных разработчиков гораздо более безопаснее, чем ежедневное задействование других сторонних программ, на регулярной основе применяемыми пользователями для исполнения своих повседневных задач.