19-09-2018 13:01

Как хранить пароли?

Количество паролей, которые нужно помнить, исчисляется десятками: два-три адреса электронной почты, несколько социальных сетей, портал «Госуслуги», операционная система Windows, облачные хранилища данных – это лишь минимальный набор сервисов, который использует сегодня практически каждый из нас. Простые пароли, которые легко запомнить, так же легко могут быть взломаны, а сложные трудно запомнить. Тут-то и пригодится так называемый менеджер паролей.

Все современные браузеры предлагают хранилище паролей, но их использование не совсем удобно. Во-первых, в них можно хранить только пароли от веб-страниц, а от приложений придется держать где-то в другом месте. Во-вторых, хранилище паролей браузера трудно синхронизировать между различными устройствами и другими браузерами, поэтому при активном использовании нескольких устройств с разными браузерами и приложениями данный способ отпадает.

10 принципов, которые нужно учитывать при разработке мобильного приложенияВам будет интересно:10 принципов, которые нужно учитывать при разработке мобильного приложения

Удачного корпоративного шоппинга!Вам будет интересно:Удачного корпоративного шоппинга!

Есть еще один вариант замены менеджера паролей – создать текстовый файл и записывать туда пароли от всех аккаунтов. А чтобы этот файл был доступен с разных устройств, его можно поместить в какое-либо облачное хранилище. Но здесь неудобство в том, что вводить пароли от аккаунтов каждый раз придется вручную, копируя таковые из текстового файла. Кроме того, злоумышленнику достаточно будет получить пароль только от облачного хранилища, чтобы пароли от всех других аккаунтов оказались в его руках.

Менеджер паролей лишен указанных недостатков. Но все же следует помнить, что и он не дает стопроцентной гарантии от утечки конфиденциальной информации. Например, если на устройстве включена автоматическая авторизация в веб-сервисах, то не в меру любопытный приятель легко прочитает письма в почте, получив доступ к устройству. Кроме того, вся информация в менеджере паролей защищена мастер-паролем, узнав который, легко прочитать абсолютно все, что в нем хранится. И хотя немало подобных приложений предлагают двухфакторную аутентификацию, далеко не всегда ее удобно использовать. Так что менеджер паролей – это всего лишь хранилище, он не способен сделать за вас все, что полагается для защиты конфиденциальной информации.

BYOD или корпоративные закупки: зачем выбирать что-то одно?Вам будет интересно:BYOD или корпоративные закупки: зачем выбирать что-то одно?

Что умеют делать менеджеры паролей

Современный менеджер паролей – не просто защищенное хранилище аккаунтов и паролей к ним, у таких программ масса и других полезных функций. Перечислим некоторые из них.

Синхронизация данных

Практически все популярные менеджеры паролей поддерживают синхронизацию данных через Интернет, что позволяет использовать один и тот же менеджер на разных устройствах – компьютерах, смартфонах, планшетах. Пароль, добавленный в менеджер на компьютере, будет доступен и на смартфоне.

В основном менеджеры хранят пароли и другую информацию в зашифрованном виде на собственном сервере, но некоторые позволяют делать это локально, на одном устройстве пользователя. Кое-кто считает, что данный подход безопаснее, ведь даже самый защищенный сервер может быть взломан и пароли утекут к злоумышленникам. Но вероятность подобного ничтожно мала, так что вряд ли стоит отказываться от удобства в пользу довольно сомнительного повышения безопасности.

Здесь же следует отметить, что по-настоящему удобный менеджер паролей должен быть кроссплатформенным, то есть устанавливаться на устройства с операционной системой Windows, MacOS, Linux, Android, iOS. В противном случае синхронизация данных между всеми устройствами пользователя будет невозможна.

Генерация и анализ паролей

Придумать безопасный пароль может не каждый пользователь, поэтому лучше всего, если это сделает сама программа. Запоминать ничего не нужно, так что пользователь не испытает никаких неудобств.

Кроме генерации паролей, некоторые программы способны анализировать существующие пароли и выдавать рекомендации по их изменению. Эта полезная функция поможет вам навести порядок в паролях и поддерживать его в дальнейшем.

Как организовать корпоративное обучение персоналаВам будет интересно:Как организовать корпоративное обучение персонала

Интеграция с браузерами

Практически все менеджеры паролей устанавливают в браузеры расширение, позволяющее работать с паролями прямо в браузере – запоминать их и вводить при входе в тот или иной сервис. В этом отношении работа менеджеров паролей похожа на работу браузерных хранилищ паролей. Правда, многие программы могут и больше: запоминать данные пользователя, чтобы автоматически заполнять формы при регистрации на сайтах, запоминать данные карт, счетов для быстрой оплаты в онлайн-магазинах.

Двухфакторная аутентификация

Для входа во все менеджеры паролей используется так называемый мастер-пароль, который пользователь должен сам придумать и запомнить. Разработчики программ везде заявляют, что не хранят мастер-пароли, так что восстановить их практически невозможно.

Но мастер-пароль можно подобрать, особенно если он несложный. Поэтому менеджеры паролей предлагают двухфакторную аутентификацию: кроме ввода мастер-пароля, для входа в программу потребуется, например, отсканировать отпечаток пальца, вставить специальный ключ в порт USB и, наконец, самое распространенное – ввести одноразовый пароль из SMS.

Предоставление паролей другим пользователям

Некоторыми аккаунтами пользуются одновременно несколько человек, а иногда приходится открыть доступ к своему аккаунту другу, родственнику, коллеге и т. д. Но менеджеры позволяют сделать это, не сообщая пароля: пользователь просто не увидит его, зато получит доступ к аккаунту. Эта удобная функция будет очень кстати многим пользователям.

Поиск информации в менеджере паролей

Если у пользователя несколько десятков аккаунтов, то их не всегда просто найти, в таких случаях пригодится функция поиска. Полезна она и когда пользователь хранит в менеджере паролей другую информацию – секретные заметки, файлы, что позволяют делать практически все менеджеры паролей. Кроме функции поиска, они помогают удобно организовать хранящуюся информацию для быстрого перехода к нужной записи.

Выбираем и сравниваем

LastPass

Этот продукт не случайно занимает первое место среди конкурентов по популярности – здесь представлен полный набор вышеописанных функций: двухфакторная аутентификация (с получением одноразового пароля в SMS или сканированием отпечатка пальца на смартфоне), интеграция с современными браузерами (устанавливается расширение или плагин), генерация паролей (есть даже онлайн-генерация на сайте разработчика), кроссплатформенность (программы для Windows, Mac, Linux, Android, iOS, Windows Phone).

LastPass позволяет хранить не только пароли от аккаунтов, но и данные кредитных карт, счетов, секретные заметки и т. д. Пользователю предлагается 1 Гбайт места в облачном хранилище. Все данные шифруются на устройстве пользователя (программа применяет надежный алгоритм шифрования AES-256) и в облаке хранятся уже в зашифрованном виде, так что, согласно заявлениям разработчиков, даже они не смогут их прочитать. В семейной версии можно на одном аккаунте зарегистрировать до пяти человек и легко обмениваться с ними конфиденциальными данными. А версии для бизнеса позволяют администрировать всех пользователей программы, следить за вводом паролей, применять федеративный доступ и т. д.

Предлагается как бесплатный, так и несколько платных пакетов (для личного, семейного, корпоративного использования). В первом случае есть ряд ограничений: невозможны многофакторная аутентификация, передача паролей и данных другим пользователям, предоставление экстренного доступа к данным своим близким в случае форс-мажорных обстоятельств.

RoboForm

Этот менеджер, как и предыдущий, хранит данные пользователей на онлайн-сервере, поддерживает приложения двухфакторной аутентификации на основе TOTP, включая Google Authenticator, Authy и Microsoft Authenticator. Приложение доступно в операционных системах Windows, Mac, iOS, Android, Linux и даже Chrome OS. Помимо паролей, здесь предлагается хранить данные кредитных карт, заметки, пароли для приложений Windows (Skype, Outlook), закладки браузера, контакты.

Информацию, отправленную в RoboForm, можно хранить не только на сервере, но и локально, на своем устройстве, запретив отправку данных на сервер. Но данная функция недоступна в версиях для бизнеса.

Шифрование данных, как и во многих других менеджерах паролей, осуществляется по алгоритму AES-256.

Программа позволяет делиться паролями или данными с другими пользователями, а также предоставлять доступ к своей информации в случае смерти, ограничения право- или дееспособности.

Как и в LastPass, есть версии для семейного использования и для бизнеса, а также платные и бесплатные. В бесплатной отсутствуют синхронизация паролей между устройствами, двухфакторная аутентификация, резервное копирование в облаке, поддержка разработчиков и ряд других функций.

Sticky Password

Еще один известный менеджер паролей, мало в чем уступающий собратьям. Те же многофакторная аутентификация и заполнение форм, импорт данных с других менеджеров паролей и браузеров, поддержка популярных операционных систем (Windows, Mac, iOS, Android), синхронизация данных между устройствами, хранение номеров кредитных карт и т. д. Шифрование тоже происходит по алгоритму AES-256.

А отличает программу поддержка синхронизации данных между устройствами по сети Wi-F, без использования онлайн-сервера. То есть данные не будут передаваться через Интернет. Для особо обеспокоенных темой ИБ данная функция придется очень кстати.

Разработчик не предлагает версий для семейного или корпоративного использования – только для личного.

В бесплатном варианте, в отличие от LastPass и RoboForm, поддерживается двухфакторная аутентификация, хотя синхронизации данных между устройствами тоже нет. А платная версия предлагается как по подписке, так и с постоянной лицензией.

И последнее. На основе Sticky Password разработан еще один менеджер паролей – Kaspersky Password Manager. Столь высокое доверие со стороны ведущей антивирусной компании красноречиво говорит об уровне защищенности и качестве продукта.

Журнал IT-Expert № 07/2018

Об авторах

Дмитрий Разумовский