- 1Password
- Dashlane
- KeePass
- PasswordBox
- LastPass
- Як створити складний, але при цьому добре запам'ятовується пароль?
Практично всі популярні веб-браузери пропонують зберігати паролі і надалі використовувати автозаповнення для різних сервісів, таких як електронна пошта, соціальні мережі, портали самообслуговування та ін. Наскільки безпечно використання таких функцій? Чи не призведе це до того, що зловмисники викрадуть пароль, інфікувавши ПК вірусом?
Середньостатистичний користувач має мінімум дві поштові скриньки, обліковий запис в Facebook і / або іншої соціальної мережі (а нерідко - в декількох мережах), також він користується службами бронювання авіаквитків, банківськими порталами і багатьма іншими веб-сервісами. Для всіх акаунтів потрібні паролі, причому вони повинні бути довгими і складаються з цифр і символів в різних регістрах. Крім того, дуже рекомендується раз в декілька місяців паролі міняти. Всі сучасні веб-браузери після першого набору пароля пропонують його «запам'ятати» з метою подальшого автоматичного введення. Звичайно ж, це дуже зручно, але наскільки безпечно?
Зазвичай браузери зберігають паролі в зашифрованому вигляді, тому витягти їх не так просто. Тим не менш, це все-таки можливо, - зазначає Олег Сич, голова антивірусної лабораторії Zillya! . Наприклад, в інтернеті є вихідні коди утиліт по вилученню паролів з Firefox, Safari і інших браузерів. Тому троянська програма, якщо вона розроблена для розкрадання паролів, з високою часткою ймовірності зможе знайти їх в базі паролів в браузері.
На думку експерта, спеціалізовані додатки для зберігання паролів, так звані менеджери паролів (МП) набагато краще захищені від злому в порівнянні з веб-браузерами, які легко стають жертвами шкідливої атаки. Багато антивірусні системи включають такіеменеджери паролів: Kaspersky Total Security, Norto Identity Safe, Symantec Endpoint Manager Admin Password і інші.
Принцип дії МП наступний: користувач заносить в базу програми паролі для всіх потрібних онлайн-сервісів (додаток може навіть допомогти в їх генерації), після чого потрібно лише запам'ятати майстер-пароль входу в сам Менеджер паролів. Переваги очевидні: для кожного веб-сервісу можна використовувати складний і унікальний пароль, але пам'ятати при цьому треба всього один майстер-пароль.
Якщо користувач не хоче або не може зберігати в пам'яті десятки «секретних слів», йому слід завести МП. Ці програми стають все більш зручними, економлять час, і в той же час добре захищають конфіденційну інформацію.
1Password
утиліта 1Password - найбільш популярний менеджер паролів серед користувачів Mac-систем. Програма генерує складні і унікальні паролі для кожного веб-сервісу, запам'ятовує їх і вводить при відкритті потрібного сайту - всього в одне натискання. Є версії для PC, Android, Mac, iPhone або iPad, які синхронізуються між собою. Навіть якщо ви «запам'ятали» в 1Password пароль, користуючись Android-смартфоном, то при відкритті аналогічного сайту на iPad цей пароль буде введений автоматично.
Розробники приділили особливу увагу безпеці. Master-пароль, необхідний для входу в додаток, зберігається в окремому зашифрованому файлі, а не в сховище ключів iOS. Захист від атак перебором забезпечується за рахунок алгоритму SHA512 і PBKDF2, а кожен елемент бази даних шифрується 256-бітовим ключем (AES). Це набагато надійніше, ніж захист в iOS, адже там все дані лежать у відкритому вигляді в налаштуваннях Safari.
Утиліта 1Password - найбільш популярний МП серед користувачів Mac-систем
Додаток числиться як тимчасово безкоштовне на App Store і Google Play, в даний час його можна завантажити безкоштовно. Версія для MacOS або Windows коштує $ 50.
Dashlane
Служба управління паролями Dashlane автоматично вводить логін-пароль на сайтах. Коли користувач заходить на сторінку з формою логіна і пароля, то відбувається автоматичне введення цих даних і відправка форми, звичайно якщо Dashlane активний. Але якщо внести дані у відповідні поля в додатку, Dashlane може заповнювати і інші форми, наприклад, контактний телефон, адреса доставки і т.п. Корисна функція - генератор складних паролів. Під час реєстрації на якому-небудь ресурсі Dashlane генерує і запам'ятовує сильні паролі. Потім їх можна подивитися через сам додаток.
Важлива перевага Dashlane - функція зміни всіх паролів «одним клацанням»
Нещодавно в сервісі з'явилася нова функція, яка цілком ймовірно стане стандартом де-факто для всіх подібних програм. Мова йде про зміну всіх паролів «одним клацанням», навіть для облікових записів, які використовують двухфакторную аутентифікацію. Зараз нова функціональність доступна для акаунтів на 75 великих платформах, в тому числі Amazon, Facebook, PayPal, Apple, Google, LinkedIn і Twitter.
KeePass
додаток KeePass - безкоштовний менеджер паролів з відкритим вихідним кодом. На відміну від багатьох подібних утиліт KeePass не є плагіном до браузеру, це окремий інструмент, інтегрований з Windows User Account Control і підтримує скрипти для PowerShell, що дозволяє створювати рішення під спеціальні потреби. Програма перекладена більш ніж на 40 мов, включаючи українську.
Основа управління KeePass - деревоподібна структура груп, кожна з яких містить свої списки елементів. Користувач задає групи (електронна пошта, соціальні мережі, банківські реквізити тощо) і створює в них елементи з усіма необхідними значеннями. До речі, крім класичного логіна і пароля можна задавати будь-які інші поля. Вся ця інформація зберігається в єдиному файлі, зашифрованому за допомогою алгоритмів Advanced Encryption Standard (AES (256-біт), Rijndael) і Twofish. Доступ до бази може здійснюватися за паролем, по ключовому файлу, чи за їх сукупністю. Безпека системи дуже висока, адже подібні алгоритми шифрування часто використовують банки.
Основа управління KeePass - деревоподібна структура груп, кожна з яких містить свої списки елементів
Взагалі, KeePass - інструмент з дуже аскетичним і не особливо зручним у роботі інтерфейсом, але зате програма має архітектуру, расширяемую додатковими плагін-модулями. Існуючі плагіни доступні на домашній сторінці KeePass, тут є імпорт / експорт в різні формати даних, резервне копіювання баз даних, інтеграція і автоматизація і т.д. Однак слід врахувати, що плагіни можуть являти собою загрозу, тому що вони написані незалежними авторами і при цьому мають повний доступ до бази даних KeePass.
PasswordBox
додаток PasswordBox в даний час належить підрозділу Intel Security і є одним з найбільш надійних і популярних менеджерів паролів. Кількість завантажень перевищує 14 мільйонів. Повна версія утиліти повністю безкоштовна, інтерфейс доступний на різних мовах, включаючи російську. Продукт інсталюється як plugin-модуль для браузера (підтримуються Chrome, Firefox, IE, Safari, Opera), дуже простий і зручний в роботі. Перед першим застосуванням користувач повинен зареєструватися в програмі і задати своє майстер-пароль. Далі досить просто ходити по веб-сайтам, які вимагають вводити паролі, і PasswordBox буде запам'ятовувати пару логін + пароль для кожного сайту. При наступному відкритті даного веб-ресурсу автозаповнення відбудеться автоматично.
Простий і зручний інтерфейс PasswordBox припаде до смаку як користувачам Windows, так і Mac-систем
PasswordBox містить досить широкий набір інструментів. Тут є функція Гаманець - це щось на зразок сховища вашої конфіденційної персональної інформації в зашифрованому вигляді. Каталог такого сховища поділений на 6 категорій, куди можна вносити дані документів, платіжних карток, адресну книгу та інше. Функція «Нотатки» призначена для зберігання будь-яких секретних записів. Є також функція «Доступ», яка дозволяє передавати доступ до паролів іншим користувачам комп'ютера. PasswordBox підтримує кілька облікових записів, тобто, цю утиліту для своїх потреб можуть використовувати кілька осіб на одному ПК. Головне - не забувати вийти зі свого аккаунта в PasswordBox.
У PasswordBox є функція призначення довіреної користувача, який зможе отримати доступ до сховища у спадок, якщо що-небудь трапиться з власником паролів. Правда, для передачі паролів потрібне підтвердження смерті майстер-користувача. В майбутньому планується реалізація функції «TrueKey», яка замінить майстер-пароль на біометричну ідентифікацію (наприклад, по обличчю).
Функція «Гаманець» - сховище конфіденційної персональної інформації користувача в зашифрованому вигляді
На сайті розробника можна завантажити версії для Windows, Mac, Android і iOS. В цілому, PasswordBox - одне з найбільш багатофункціональних і зручних додатків для зберігання паролів.
LastPass
Назва LastPass розробники програми трактують як The Last Password You Have To Remember, тобто: «Останній пароль, який вам доведеться запам'ятати». Дійсно, безкоштовна утиліта LastPass здатна генерувати і зберігати сильні паролі, тому запам'ятати потрібно тільки майстер-пароль. Утиліта існує у вигляді плагінів для Internet Explorer, Google Chrome, Mozilla Firefox, Opera і Apple Safari. Паролі в LastPass зберігаються локально і можуть бути синхронізовані з будь-яким іншим браузером. У LastPass є також функція заповнення форм, що дозволяє автоматизувати цей процес. Крім того, є функція імпорту та експорту паролів.
У Lastpass можна переглянути історію згенерованих паролів
Як створити складний, але при цьому добре запам'ятовується пароль?
Отже, підіб'ємо підсумки: браузери є не найкращим місцем щоб зберігати паролі, краще використовувати для цього спеціальні програми. Однак, і тут не все однозначно, адже теоретично майстер-пароль може бути вкрадений, хоч це і складніше. Крім того, якщо МП буде пошкоджений з якоїсь причини - ви ризикуєте втратити все паролі. Якщо доводиться часто працювати на гостьових пристроях, припустимо, в готелях, аеропортах або офісах, то найоптимальніше - зберігати всі паролі в пам'яті . В цьому випадку пароль вкрасти дуже складно, але все ж можливо. Наприклад, за допомогою трояна-кейлоггера, або якщо зловмисник підгляне введення пароля через камеру спостереження в громадському місці.
Для надійного захисту експерти радять призначати паролі не менше 10-12 символів, максимально складні і безглузді, що містять як великі, так і малі літери, а також спецсимволи. Природно, пароль типу Xf47UoBN @ y & 2 - дуже навіть надійний, тільки більше одного такого пароля користувач не запам'ятає, а застосовувати для всіх облікових записів один, хоч і дуже складний пароль - недозволена дурість .
Записати всі використовувані паролі на аркуш паперу і приклеїти з зворотної сторони клавіатури - теж не кращий варіант. І не тільки тому, що їх може побачити хтось із сторонніх, але і з тієї причини, що якщо ви втратите цей листок, то вже навряд чи зможете згадати паролі.
Для створення легко запам'ятовуються і при цьому надійних паролів експерти радять використовувати наступний метод. Для кожного профільного онлайн-сервісу підбираємо розхожу фразу або прислів'я, потім від кожного слова в це фразі беремо перші 2 або 3 літери, складаємо в одне слово, додаємо кілька цифр і спецсимволов - і пароль готовий. Припустимо, ви генеруєте пароль для сервісу онлайн-банкінгу. Підбираємо фразу, яка асоціюється з фінансами - «Гроші рахунок люблять», беремо перші дві букви від кожного слова - «ДеСчЛю», набираємо їх в латинській розкладці - LeCxK>. Далі між складами ми можемо вставити знак підкреслення: Le_Cx_K>, а в кінці - спецсимвол: Le_Cx_K> # 2. Цифра 2 в кінці пароля означає - другий квартал, якщо ми маємо намір міняти паролі кожен квартал.
Можна застосувати трохи інший підхід, припустимо, ми хочемо створити надійний пароль для Facebook. Як характерною фрази годиться «Знайомі все обличчя», хоча зрозуміло у кожного користувача будуть свої переваги. На цей раз ускладнити завдання: візьмемо перші три букви від кожного слова, в результаті отримуємо PyfDctKbw. Тепер покращимо пароль за рахунок вставки між складами останніх двох пар свого телефонного номера, в підсумку маємо приблизну наступне: Pyf12Dct32Kbw. Додамо після першого складу спецсимвол: Pyf ^ 12Dct32Kbw. В результаті ми отримали абсолютно безглуздий (для стороннього користувача), дуже надійний і при цьому легко запам'ятовується вами пароль. Щоб ще ускладнити, можна писати слова навпаки, тобто замість «Все» - пишемо «Есв», причому в латинській розкладці, а також робити великої не перший букву складу, а другу або третю.
Таку методику можна використовувати для генерування будь-яких паролів. Щоб не забути секретне слово рекомендуємо взяти за правило ставити спецсимвол завжди після певного складу, а в кінці пароля додавати номер поточного кварталу або поточного місяця, дивлячись що більш актуально. І зрозуміло, замість номера телефону можна використовувати рік народження, розбитий на дві цифрові пари, рік закінчення школи, дату весілля і т.д.
Наскільки безпечно використання таких функцій?Чи не призведе це до того, що зловмисники викрадуть пароль, інфікувавши ПК вірусом?
Звичайно ж, це дуже зручно, але наскільки безпечно?