Статьи

IT-World: Як зберігати паролі?

IT Expert Як це зробити Сам собі адмін Дмитро Розумовський

| 26.07.2018

Кількість паролів, які потрібно пам'ятати, обчислюється десятками: два-три адреси електронної пошти, кілька соціальних мереж, портал «держпослуги», операційна система Windows, хмарні сховища даних - це лише мінімальний набір сервісів, який використовує сьогодні практично кожен з нас. Прості паролі, які легко запам'ятати, так само легко можуть бути зламані, а складні важко запам'ятати. Тут-то і стане в нагоді так званий менеджер паролів.

Всі сучасні браузери пропонують сховище паролів, але їх використання не зовсім зручно. По-перше, в них можна зберігати тільки паролі від веб-сторінок, а від додатків доведеться тримати десь в іншому місці. По-друге, сховище паролів браузера важко синхронізувати між різними пристроями і іншими браузерами, тому при активному використанні декількох пристроїв з різними браузерами і додатками даний спосіб відпадає.

Є ще один варіант заміни менеджера паролів - створити текстовий файл і записувати туди паролі від усіх акаунтів. А щоб цей файл був доступний з різних пристроїв, його можна помістити в будь-яке хмарне сховище. Але тут незручність в тому, що вводити паролі від акаунтів кожен раз доведеться вручну, копіюючи такі з текстового файлу. Крім того, зловмиснику досить буде отримати пароль тільки від хмарного сховища, щоб паролі від усіх інших акаунтів виявилися в його руках.


Менеджер паролів позбавлений зазначених недоліків. Але все ж слід пам'ятати, що і він не дає стовідсоткової гарантії від витоку конфіденційної інформації. Наприклад, якщо на пристрої автоматичну авторизацію в веб-сервісах, то не в міру цікавий приятель легко прочитає листа в пошті, отримавши доступ до пристрою. Крім того, вся інформація в менеджері паролів захищена майстер-паролем, дізнавшись який, легко прочитати абсолютно все, що в ньому зберігається. І хоча чимало подібних додатків пропонують двухфакторную аутентифікацію, далеко не завжди її зручно використовувати. Так що менеджер паролів - це всього лише сховище, він не здатний зробити за вас все, що належить для захисту конфіденційної інформації.

Що вміють робити менеджери паролів

Сучасний менеджер паролів - не просто захищене сховище акаунтів і паролів до них, у таких програм маса і інших корисних функцій. Перерахуємо деякі з них.

Синхронізація даних

Практично всі популярні менеджери паролів підтримують синхронізацію даних через Інтернет, що дозволяє використовувати один і той же менеджер на різних пристроях - комп'ютерах, смартфонах, планшетах. Пароль, для якого створено менеджер на комп'ютері, буде доступний і на смартфоні.

В основному менеджери зберігають паролі та іншу інформацію в зашифрованому вигляді на власному сервері, але деякі дозволяють робити це локально, на одному пристрої користувача. Дехто вважає, що даний підхід безпечніше, адже навіть самий захищений сервер може бути зламаний і паролі витечуть до зловмисників. Але ймовірність подібного мізерно мала, так що навряд чи варто відмовлятися від зручності на користь досить сумнівного підвищення безпеки.

Тут же слід зазначити, що по-справжньому зручний менеджер паролів повинен бути кросплатформним, тобто встановлюватися на пристрої з операційною системою Windows, MacOS, Linux, Android, iOS. В іншому випадку синхронізація даних між усіма пристроями користувача буде неможлива.

Генерація і аналіз паролів

Придумати безпечний пароль може не кожен користувач, тому найкраще, якщо це зробить сама програма. Запам'ятовувати нічого не потрібно, так що користувач не зазнає ніяких незручностей.

Крім генерації паролів, деякі програми здатні аналізувати існуючі паролі і видавати рекомендації щодо їх зміни. Ця корисна функція допоможе вам навести порядок в паролі і підтримувати його в подальшому.

Інтеграція з браузерами

Практично всі менеджери паролів встановлюють в браузери розширення, що дозволяє працювати з паролями прямо в браузері - запам'ятовувати їх і вводити при вході в той чи інший сервіс. В цьому відношенні робота менеджерів паролів схожа на роботу браузерних сховищ паролів. Правда, багато програм можуть і більше: запам'ятовувати дані користувача, щоб автоматично заповнювати форми при реєстрації на сайтах, запам'ятовувати дані карт, рахунків для швидкої оплати в онлайн-магазинах.

двухфакторная аутентифікація

Для входу в усі менеджери паролів використовується так званий майстер-пароль, який користувач повинен сам придумати і запам'ятати. Розробники програм всюди заявляють, що не зберігають майстер-паролі, так що відновити їх практично неможливо.

Але майстер-пароль можна підібрати, особливо якщо він нескладний. Тому менеджери паролів пропонують двухфакторную аутентифікацію: крім введення майстер-пароля, для входу в програму потрібно, наприклад, відсканувати відбиток пальця, вставити спеціальний ключ в порт USB і, нарешті, найпоширеніше - ввести одноразовий пароль з SMS.

Надання паролів іншим користувачам

Деякими акаунтами користуються одночасно кілька людей, а іноді доводиться відкрити доступ до свого облікового запису одного, родичу, колезі і т. Д. Але менеджери дозволяють зробити це, не повідомляючи пароля: користувач просто не побачить його, зате отримає доступ до аккаунту. Ця зручна функція буде дуже до речі багатьом користувачам.

Пошук інформації в менеджері паролів

Якщо у користувача кілька десятків аккаунтів, то їх не завжди просто знайти, в таких випадках знадобиться функція пошуку. Корисна вона і коли користувач зберігає в менеджері паролів іншу інформацію - секретні замітки, файли, що дозволяють робити практично все менеджери паролів. Крім функції пошуку, вони допомагають зручно організувати зберігається інформацію для швидкого переходу до потрібного запису.

Вибираємо і порівнюємо


LastPass

Цей продукт не випадково посідає перше місце серед конкурентів за популярністю - тут представлений повний набір вищеописаних функцій: двофакторна аутентифікація (з отриманням одноразового пароля в SMS або скануванням відбитка пальця на смартфоні), інтеграція з сучасними браузерами (встановлюється розширення або плагін), генерація паролів ( є навіть онлайн-генерація на сайті розробника), кроссплатформенность (програми для Windows, Mac, Linux, Android, iOS, Windows Phone).

LastPass дозволяє зберігати не тільки паролі від акаунтів, а й дані кредитних карт, рахунків, секретні замітки і т. Д. Користувачеві пропонується 1 Гбайт місця в хмарному сховищі. Всі дані шифруються на пристрої користувача (програма застосовує надійний алгоритм шифрування AES-256) і в хмарі зберігаються вже в зашифрованому вигляді, так що, згідно із заявами розробників, навіть вони не зможуть їх прочитати. В сімейної версії можна на одному акаунті зареєструвати до п'яти чоловік і легко обмінюватися з ними конфіденційними даними. А версії для бізнесу дозволяють адмініструвати всіх користувачів програми, стежити за введенням паролів, застосовувати федеративний доступ і т. Д.

Пропонується як безкоштовний, так і кілька платних пакетів (для особистого, сімейного, корпоративного використання). У першому випадку є ряд обмежень: неможливі багатофакторна аутентифікація, передача паролів і даних іншим користувачам, надання екстреного доступу до даних своїх близьких у разі форс-мажорних обставин.

У першому випадку є ряд обмежень: неможливі багатофакторна аутентифікація, передача паролів і даних іншим користувачам, надання екстреного доступу до даних своїх близьких у разі форс-мажорних обставин

RoboForm

Цей менеджер, як і попередній, зберігає дані користувачів на онлайн-сервері, підтримує програми двофакторної аутентифікації на основі TOTP, включаючи Google Authenticator, Authy і Microsoft Authenticator. Додаток доступний в операційних системах Windows, Mac, iOS, Android, Linux і навіть Chrome OS. Крім паролів, тут пропонується зберігати дані кредитних карт, замітки, паролі для додатків Windows (Skype, Outlook), закладки браузера, контакти.

Інформацію, відправлену в RoboForm, можна зберігати не тільки на сервері, а й локально, на своєму пристрої, заборонивши відправку даних на сервер. Але дана функція недоступна у версіях для бізнесу.

Шифрування даних, як і в багатьох інших менеджерах паролів, здійснюється за алгоритмом AES-256.

Програма дозволяє ділитися паролями або даними з іншими користувачами, а також надавати доступ до своєї інформації в разі смерті, обмеження право- чи дієздатності.

Як і в LastPass, є версії для сімейного використання і для бізнесу, а також платні і безкоштовні. У безкоштовної відсутні синхронізація паролів між пристроями, двофакторна аутентифікація, резервне копіювання в хмарі, підтримка розробників і ряд інших функцій.

Sticky Password

Ще один відомий менеджер паролів, мало в чому поступається побратимам. Ті ж багатофакторна аутентифікація і заповнення форм, імпорт даних з інших менеджерів паролів і браузерів, підтримка популярних операційних систем (Windows, Mac, iOS, Android), синхронізація даних між пристроями, зберігання номерів кредитних карт і т. Д. Шифрування теж відбувається за алгоритмом AES-256.

А відрізняє програму підтримка синхронізації даних між пристроями по мережі Wi-F, без використання онлайн-сервера. Тобто дані не будуть передаватися через Інтернет. Для особливо стурбованих темою ІБ дана функція буде дуже до речі.

Розробник не пропонує версій для сімейного або корпоративного використання - тільки для особистого.

В безкоштовному варіанті, на відміну від LastPass і RoboForm, підтримується двухфакторная аутентифікація, хоча синхронізації даних між пристроями теж немає. А платна версія пропонується як за передплатою, так і з постійною ліцензією.

І останнє. На основі Sticky Password розроблений ще один менеджер паролів - Kaspersky Password Manager. Настільки високу довіру з боку провідної антивірусної компанії красномовно говорить про рівень захищеності і якості продукту.

Журнал IT-Expert № 07/2018 [ PDF ] [ Підписка на журнал ]

Новости