Павел Иевлев

Текст

Чем проще пароль, тем легче его подобрать, а чем сложнее – тем легче забыть. На помощь приходят менеджеры паролей!

Проблема одноуровневой (логин/пароль) авторизации в том, что пароль должен иметь высокую устойчивость к брутфорсу (взлому подбором), а значит, такую форму, которую практически невозможно запомнить. Мнемонические схемы – использование дат рождения (своих и родственников), номеров телефонов или автомобилей – это открытая дверь для хакера, потому что при подборе все возможные комбинации доступных личных данных проверяются в первую очередь (компьютер делает это за долю секунды). Необходимость что-то запоминать приводит к тому, что самым популярным паролем в мире до сих пор остается 12345qwerty.

Еще одна дорогостоящая ошибка – пароль криптостойкий, но один на все. Один-то сложный пароль каждому запомнить по силам. В результате при дискредитации одного ресурса (например, при перехвате пароля методом фишинга) пользователь теряет доступ ко всем своим аккаунтам везде.

Для решения этой проблемы давно уже придуманы менеджеры паролей, однако ими пользуются всего 35% пользователей. Чтобы вы вошли в эту статистику разумных предусмотрительных людей, мы расскажем о том, что это такое, как работает и как выбрать.

Внешняя память

Менеджер паролей – это программа для создания, надежного хранения и удобного ввода аутентификационной информации. Ключевой для них параметр – это удобство, потому что средний пользователь ленив и неорганизован, и любое затруднение в работе приводит к тому, что он вернется к любимому 12345qwerty.

Пароли в менеджерах хранятся в зашифрованной базе, которая в свою очередь закрывается паролем. Это единственный пароль, который надо помнить пользователю, и он должен быть достаточно сложным. Все остальное менеджер возьмет на себя.

Что нужно от хорошего пароль-менеджера?

1. Надежность. Информация должна храниться в зашифрованном встроенном хранилище, как минимум, по стандарту шифрования AES. Опционально, но очень удобно, если есть поддержка аппаратных ключей и биометрии – особенно для мобильных устройств.

2. Мультиплатформенность и наличие мобильного приложения. Мы часто пользуемся одними и теми же ресурсами на компьютере и телефоне/планшете, и возможность задействовать один и тот же менеджер очень важна.

3. Встроенный генератор паролей, чтобы не выдумывать их самому.

4. Облачная синхронизация базы между устройствами. Не обязательно, можно просто хранить базу в каком-нибудь облаке общего назначения, вроде Дропбокса, благо она шифрованная, но собственный сервис повышает удобство.

5. Очень удобно, если менеджер встраивается в браузер.

6. Быть бесплатным или хотя бы иметь бесплатную версию.

7. Не быть заблокированным в России из-за санкций, как Dashlane и 1Password.

Далее будут перечислены несколько популярных менеджеров, позволяющих вам освоиться с этим видом ПО.

LastPass

LastPass – приложение для управления паролями, созданное компанией LogMeIn. Есть бесплатная версия для личного пользования и платная – для корпоративного (€2.90 в месяц). Существует в виде плагинов для Internet Explorer, Google Chrome, Mozilla Firefox, Opera, Maxthon, Apple Safari и Microsoft Edge.

Фишка менеджера – он мониторит дарквеб и предупреждает, если ваши личные данные попали в массовые базы сливов.

Поддерживает двухфакторную аутентификацию и биометрию, имеет мобильное приложение, правда, пользователи бесплатных учетных записей могут получать доступ к LastPass только с одного типа устройств – либо со стационарных, либо с мобильных.

Еще один минус – отсутствие десктопного приложения, ведь пароли мы вводим не только в браузерах. Кроме того, все браузеры имеют собственное хранилище паролей.

KeePass

KeePass – бесплатный менеджер с давней историей и открытым кодом, простой, но надежный. Как пишет создатель программы Брюс Шнайдер: «В мире криптографии мы считаем, что открытый исходный код необходим для обеспечения надежной безопасности. Для нас открытый исходный код – это не просто бизнес-модель; это разумная инженерная практика».

KeePass поддерживает расширенный стандарт шифрования (AES, Rijndael) и алгоритм Twofish для шифрования своих баз данных, причем, зашифрована вся база данных, а не только поля пароля. Кроме мастер-пароля, можно использовать файл-пароль (токен). KeePass является портативным: его можно переносить на USB-накопитель, и он работает в системах Windows без установки, но не является мультиплатформенным. Зато его формат базы поддерживают аналоги для мобильных и десктопных платформ. Имеет встроенную поддержку синхронизации локальных файлов по стандартным протоколам (FTP, HTTP, HTTPS, WebDAV).

KeePass имеет множество плагинов. Например, через них реализована поддержка поставщиков онлайн-хранилищ.

Очень легкий олдскульный менеджер с суровым простым интерфейсом, автор статьи использует именно его.

Bitwarden

Bitwarden – бесплатный, как KeePass, и тоже обладает полностью открытым исходным кодом, но менее гиковский и более юзерфрендли. Имеет онлайн-хранилище и клиенты для всех платформ, в том числе, веб-клиент и плагины для браузеров.

Поддерживает двухфакторную аутентификацию, позволяет подключить к учетной записи приложение-аутентификатор.

Читать на ЦО.РФ
  • 20.12.2023

5 приложений для работы с одноразовым кодом и двухфакторной аутентификации Зачем нужна двухфакторка обычному пользователю, и как обойтись без Google Authenticator?

Двухфакторная аутентификация – технология, которую мы используем куда чаще, чем нам кажется, и куда реже, чем следует. Разбираемся, как повысить свою безопасность, не снижая удобства. Какие приложения для работы с одноразовым кодом существуют и какие есть альтернативы Google Authenticator.

Мобильный Bitwarden можно легко разблокировать с помощью датчика отпечатков пальцев. Автозаполнение хорошо работает в связке с мобильными браузерами.

Предусмотрена и премиум-подписка. Она стоит 10 долларов в год и предоставляет 1 гигабайт файлового хранилища, расширенные возможности двухфакторной аутентификации и приоритетную техподдержку.

Очень мощное и удобное приложение.

SafeInCloud

SafeInCloud – менеджер паролей с шифрованием, локальным хранением и синхронизацией данных в облаке. Бесплатное приложение для Windows и Mac, расширения для браузеров Chrome/Firefox, а вот приложения для Android и iPhone/iPad – от $4.99 за бессрочную лицензию.

Использует надежное шифрование 256-bit Advanced Encryption Standard (AES) для локального хранения данных (пароли аккаунтов, информация о банковских картах и документах, заметки и т. д.) на устройстве и облачной синхронизации с популярными онлайн-сервисами Google Диск, Dropbox, OneDrive (SkyDrive) и Яндекс.Диск.

Может автоматически импортировать данные из другого менеджера паролей.

Всем хорош, кроме платных мобильных приложений.

Пассворк

Пассворк – отечественный менеджер паролей для корпоративного использования. Единственный зарегистрированный в реестре отечественного программного обеспечения и рекомендованный для приобретения государственными и коммерческими структурами, что является его преимуществом. Но отсутствие бесплатной версии является его недостатком. Правда, стоит он всего 25 рублей в месяц, для компаний это не сумма.

Главная фишка «Пассворка» – он устанавливается на сервер компании, и пароли хранятся в зашифрованном хранилище. Доступ к ним имеют только сотрудники организации. Программа имеет собственный API для настройки обмена данными с используемыми в организации системами, поддерживает работу с Active Directory/LDAP и авторизацию с помощью SAML SSO, а также гибкий импорт и экспорт данных в форматах JSON и CSV.

С одной стороны, на его работоспособность не влияет отключение облачных сервисов, уход иностранных разработчиков и проблемы с оплатой в валюте, он подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения. С другой – для частника это слишком хлопотно.

Выводы

1. Пользоваться парольными менеджерами удобно и безопасно. Гораздо удобнее и безопаснее, чем клеить на монитор стикеры с паролями.

2. Использовать простые пароли или один пароль на все – верный путь к большим неприятностям.

3. Выбор программного обеспечения, в том числе бесплатного, достаточно велик.

4. Если вы еще не пользуетесь менеджером паролей, хотя бы попробуйте.