LastPass и другие – лучшие менеджеры паролей
Менеджер паролей – это естественное решение проблем, связанных с использованием паролей для различных сервисов и приложений. Хороший менеджер паролей плавно интегрируется с веб-браузером, облегчая создание новых учетных записей в веб-приложениях, вход на веб-страницах, а также покупки в интернете. Какое приложение выбрать?
На протяжении многих лет заметно изменилась функция программ для сбора и хранения паролей на компьютере. Классические менеджеры паролей были заменены инструментами, которые синхронизируют информацию об учетных данных между всеми устройствами пользователя. Эти программы постоянно развиваются, а новые функции могут значительно повысить комфорт при использовании.
Хранение конфиденциальных данных в облаке по-прежнему вызывает в пользователях ряд опасений, касающихся безопасности. Разработчики менеджеров паролей пытаются нас убедить, что базы данных шифруется и расшифровываются только на уровне устройства, а пароль и ключи шифрования никогда не передаются на серверы. Шифрование данных осуществляется по алгоритму AES-256, который сегодня считается самым безопасным. В результате ни один поставщик, компания или агентство правительства США не имеют доступа к данным, а также не будут его иметь в будущем. По крайней мере, в теории. С другой стороны, если сам забудешь главный пароль, сохраненные данные будут безвозвратно потеряны.
В некоторых программах доступ в хранилище паролей может быть защищен путём дополнительной аутентификации. В ходе регистрации учетной записи, пользователь вводит стандартные имя и пароль, а также представляет дополнительное свидетельство личности. Это так называемая двухфакторная аутентификация.
Эксперты сходятся во мнении, что хорошая защита состоит из двух частей: того, что Вы знаете сами, то есть пароль, и того, что можно проверить через приложения в смартфоне.
Популярные программы также поддерживают механизмы биометрии в области доступа к приложениям. Неплохо работает поддержка считывателей отпечатков пальцев в Android-устройствах, нередко поддерживаются также функции Touch ID и Face ID в устройствах Apple.
Подавляющее большинство менеджеров паролей – это коммерческие проекты. Некоторые, правда, могут быть использованы бесплатно, но главным ограничением таких версий программы является поддержка только одного устройства пользователя. Другими словами, без оформления платной подписки, вы не сможете синхронизировать свои пароли на других устройствах.
Несмотря на это, если количество сервисов и онлайн услуг, которыми Вы пользуетесь исчисляется десятками, использование менеджера паролей полностью себя оправдывает.
Какой менеджер паролей выбрать
1Password
1Password позволяет создать учетную запись и хранить данные на серверах, расположенных в Канаде или на территории Европейского Союза. Программа хранит данные для входа в систему, номера кредитных карт и данные банковского счета. Также интегрируется с популярными приложениями для iOS, что позволяет получить удобный доступ к программам и веб-сайтам.
Приложение не поддерживает механизма двухфакторной аутентификации в его классическом понимании, но реализует эту идею немного другим способом. Программа создает безопасный ключ (Secret Key), который играет важную роль в шифровании данных на устройстве. Этот ключ используется в сочетании с основным паролем для защиты базы данных пользователя. С технической стороны это уникальный 128-битный идентификатор, генерируемый локально, который никогда не покидает устройства пользователя.
1Password оснащен ещё одной интересной функцией – Travel Mode. Каждый раз, когда Вы пересекаете границы государств, все важные данные из хранилища будут удалены, кроме тех, что явно обозначены как safe for travel.
1Password является первым менеджером, который использует новый стандарт, обеспечивающий прямой доступ к системному генератору случайных чисел. Этот генератор используется в операциях шифрования. Кроме повышенной безопасности, в 10 раз ускоряется процесс шифрования.
Dashlane
Dashlane систематизирует пароли для веб-сайтов, заметки и данные на отдельных вкладках. Сохраненные объекты могут быть отнесены к категории, а встроенная поисковая система позволяет легко их находить.
Встроенный в программу модуль Secure Digital Wallet собирает информацию о дебетовых и кредитных картах, учетные данные для входа в систему банков, пароль к PayPal и другим финансовым сервисам. В процессе оплаты покупки Dashlane автоматически заполняет поля, необходимые для завершения сделки.
Dashlane поддерживает FIDO U2F YubiKey – аппаратный ключ в виде USB-ключа, который в момент подтверждения личности просто достаточно вставить в соответствующий порт компьютера. К сожалению, эта поддержка доступна только в платной версии приложения.
Уникальной функцией программы является Password Changer, которая одним нажатием кнопки позволяет изменить от одного до тысячи паролей к популярным приложениям и веб-страниц. Password Changer автоматически заменяет старые пароли новыми, гораздо более сильными, и запоминает их в базе данных. Функция работает с тысячами страниц, хотя в списке поддерживаемых сервисов преобладают представители из Соединенных Штатов. Среди популярных также в России мы нашли Netfliks, Spotify, Evernote, Vimeo, Runkeeper, а также сервис по планированию путешествий Kayak.com.
Дополнительная функция Instant Security Alerts автоматически уведомит вас о необходимости смены пароля на указанном сервисе. Так как мы постоянно слышим о взломах популярных веб-сайтов и краже миллионов паролей к аккаунтам пользователей, функция Instant Security Alerts поможет вам поддерживать высокий уровень защиты.
Dashlane имеет встроенный тест безопасности, который шаг за шагом анализирует ваши пароли и подскажет, что следует изменить, чтобы иметь возможность чувствовать себя безопасно.
KeePass
KeePass Password Safe для Windows – это один из последних менеджеров «старой школы», записи паролей хранятся в локальной базе данных. Этот тезис подтверждает аскетичный интерфейс. В KeePass пользователь просто создает базу данных со своей структурой и заполняет её данными для входа.
Благодаря этому, программа отлично подходит для хранения паролей от компьютеров, сетевых служб, учетных записей электронной почты и FTP-серверов. В базе будут сохранены также номера кредитных карт, PIN-код к входной двери или короткие заметки, которые должны оставаться конфиденциальными. KeePass по-разному справляется с запоминанием учетных данных веб-сайтов и веб-приложений. Эти функции реализуются в виде плагинов для популярных браузеров. Родная интеграция не всегда работает, как должно.
В одном KeePass имеет огромное преимущество над конкурентами. Программа разработана на основе лицензии с открытым исходным кодом, имеет большой круг преданных пользователей, и каждый может проверить, что используемый алгоритм шифрования был написан правильно и не содержит уязвимостей безопасности.
В KeePass авторы реализовали два алгоритма шифрования для базы данных: AES/Rijndalel и ChaCha20, оба с 256-битной длиной ключа, а также функцию преобразования ключа AES-KDF и Argon2. Доступ к базе данных может быть защищен паролем, ключом шифрования, учетной записью Windows или каждым из этих методов, одновременно.
Самый важный конкурент – Password Safe – кажется бедным родственником на фоне KeePass, но имеет одну важную функцию. Программа изначально поддерживает аппаратные токены YubiKey, хотя упомянутый в статье FIDO U2F не поддерживается.
LastPass
LastPass работает со всеми основными браузерами: Chrome, Firefox, Opera, Internet Explorer, Edge и Maxthon. Программа устанавливается как плагин и отображается в браузере в виде иконки на панели инструментов. Управление учетными данными происходит в облаке через специальную веб-страницу. Доступно также приложение для мобильных устройств Android, Apple и Windows Phone.
LastPass серьезно подходит к вопросу входа в систему с помощью двухфакторной аутентификации. Вторым компонентом авторизации здесь может быть код из приложения на мобильном устройстве, код программы LastPass Grid и LastPass Sesame, а также отпечаток пальца пользователя, сертификат на криптографическом устройстве или одноразовый пароль, сгенерированный на аппаратных токенах YubiKey или RSA SecureID. В числе поддерживаемых приложений для 2FA вошли Google Authenticator, Duo Security и Authy.
Программа сохраняет учетные данные, вводимые на веб-страницах, может перехватывать учетные данные, сообщения электронной почты, а также импортировать данные из других менеджеров паролей.
LastPass хорошо подходит для семейного использования. План на шесть человек стоит 4 доллара в месяц, и при этом позволяет в полной мере использовать функцию совместного доступа к паролям и аварийного восстановления.
В LastPass вы можете дать надежному другу или члену своей семьи доступ в хранилище. Вы сами решаете, кто может иметь доступ к сохраненным паролей и как долго. Аналогичные возможности предлагают все конкуренты программы.
RoboForm
RoboForm предоставляет свое программное обеспечение в версии Free (бесплатная) и Everywhere (от 19,95 долларов в год). Между бесплатной и платной версией очень много различий.
Первая предлагает основные возможности программы для одного устройства: зашифрованную базу данных, механизм запоминания учетных данных для приложений и веб-сайтов, а также модуль автоматического заполнения веб-форм.
RoboForm имеет удобную систему организации сохраненных учетных данных вместе с функциональной поисковой системой, которая помогает находить их, когда они необходимы. Поддержка программы осуществляется с помощью браузера, но при запуске модуля Центр защитывы получите доступ к классическому окну Windows, с уровня которого можно управлять своими логинами, закладками, учетными данными в приложение, удостоверениями, а также секретными заметками.
По сравнению с конкурентами, RoboForm предлагает десятки вариантов меню и настроек. Правда, они «хорошо спрятаны», так что не нужно их использовать, однако, если вы хотите настроить программу для удовлетворения ваших потребностей, здесь есть такая возможность. RoboForm также доступен для пользователей Linux и устройств с Chrome OS.
Обзор кросс-платформенных менеджеров паролей — «Хакер»
Содержание статьи
Если ты читаешь этот журнал, ты наверняка в курсе базовых правил безопасности в Сети и следуешь им. Ты придумываешь для каждой учетной записи отдельный пароль и стараешься использовать максимально сложные комбинации. Уверен, ты уже давно работаешь с каким-нибудь менеджером паролей. Но и этого становится мало — ведь у тебя, скорее всего, куча компьютеров, браузеров и мобильных устройств. И после каждого громкого взлома ты бросаешься менять все что только можно. Как сделать свою жизнь чуточку проще?
Современный менеджер паролей — это уже не просто программа для хранения паролей в зашифрованном виде. От такой программы требуется поддержка мобильных платформ, браузерные плагины, методы безопасной синхронизации пользовательских данных и многое другое. Самые продвинутые программы умеют, например, предупреждать пользователя о том, что где-то что-то взломали и нужно поменять свой пароль. В общем, пространство для фантазии разработчиков огромно, и неудивительно, что некоторые из представленных в обзоре менеджеров успешно продаются за десятки долларов.
KeePass
KeePass — Linux среди менеджеров паролей, опенсорсный и буквально напичканный функциями. Официальная реализация есть только под Windows, но исходники открыты под GPLv2, поэтому есть огромное количество реализаций, в том числе под Linux и под OS X, например KeePassX. Также есть приложения и для мобильных ОС. Полный список неофициальных реализаций есть на странице проекта.
База данных паролей шифруется с помощь симметричного AES-256, а мастер-пароль хешируется с SHA-256. В качестве синхронизации обычно используют либо старую добрую флешку, либо один из облачных сервисов, например Dropbox. Некоторые мобильные клиенты, кстати, умеют с хранилищем в Dropbox работать автоматически.
Для KeePass есть куча плагинов и дополнительных инструментов: утилиты для импорта/экспорта паролей из БД, браузерные плагины, позволяющие автоматом заполнять формы логина, и дополнительные средства бекапа и синхронизации. Все это собрано на отдельнойстранице.
К сожалению, у такого зоопарка клиентов есть и минусы. Сейчас используется две версии (1 и 2) базы данных, несовместимых друг с другом. При этом есть клиенты, поддерживающие только одну из версий. Несмотря на то что основное приложение бесплатно, существуют и платные клиенты, например под iOS. Как это часто бывает с подобными проектами, интерфейс у некоторых клиентов оставляет желать лучшего.
1Password
Этот клиент от AgileBits уже заслужил популярность у многих пользователей. Первое, с чем сталкиваешься при работе с ним, — невероятно продуманный до мелочей и удобный интерфейс. При добавлении нового веб-сервиса программа автоматически скачивает его иконку и делает скриншот главной страницы.
В комплекте с приложением также есть возможность установки браузерных клиентов. Они позволяют автоматически добавлять новые пароли в базу (подобно встроенным в браузер функциям запоминания паролей), а также автозаполнения форм с логином.
База данных, начиная с этого года, теперь зашифрована с AES-256. В качестве синхронизации доступны два варианта: Dropbox и iCloud. Как в приложении, так и в плагинах есть также удобный генератор безопасных паролей.
Дополнительно можно отметить portable-версию, написанную на JS и HTML, которая работает в браузере. Подробней о ней написано на официальной странице.
Поскольку разработчик пришел из мира Apple, есть свои нюансы. Например, высокая цена: десктопное приложение стоит около 50 долларов.
Под Linux клиента нет вообще, а в Android 1Password умеет только просматривать пароли, а не редактировать их или добавлять новые.
Strip
Strip — еще один интересный менеджер паролей от компании Zetetic. Простой и легковесный, при этом умеет все что нужно от менеджера паролей, но не более. Поддерживает платформы Windows и OS X. В списке мобильных платформ: Android и iOS.
База данных паролей хранится в SQLite и шифруется AES-256 с помощью дополненияSQLCipher. Cинхронизация между клиентами происходит либо через облачное хранилище (на выбор: Google Drive или Dropbox), либо через Wi-Fi. Клиенты приложения платные, но цена (в отличие от 1Password, например) вполне приземленная: мобильные клиенты стоят по 5 долларов, десктопные — по 10.
Из явных минусов можно отметить, что на данный момент нет возможности интеграции Strip’а с браузерами для автоматического ввода пароля — весьма полезного функционала и защиты от кейлоггеров. Правда, авторы сообщают, что работа над дополнениями идет полным ходом, так что через некоторое время можно ожидать полнофункционального менеджера паролей.
Также на форуме разработчиков упоминалось про планы запустить Linux-приложение.
Dashlane
Dashlane — довольно молодой менеджер паролей с активным желанием быть лучшим и самым безопасным среди себе подобных. И действительно, у него очень приятный интерфейс, поддержка различных операционок (к сожалению, Linux тут тоже в пролете) и адекватная цена.
Пароли в базе данных хранятся шифрованными AES-256. Есть возможность синхронизации через собственное дашлэйновское облако. Одна из самых классных фич — возможность использовать двухфакторную аутентификацию через Google Authenticator, что позволяет повысить защищенность данных. Также есть всякие приятные мелочи, типа дашборда безопасности, в котором выводится сводная информация по паролям, или довольно строгие требования к мастер-паролю (разный регистр, цифры, минимум восемь символов). Есть также возможность веб-доступа к паролям.
В стандартной поставке также присутствуют браузерные плагины, работающие привычным способом — позволяющие автоматически заполнять известные формы и сохранять результаты введенных паролей.
Интересна также и ценовая политика компании. Во-первых, все устанавливаемые приложения бесплатны, а оплачиваются услуги пользования сервисом. Во-вторых, есть бесплатный тарифный план (без синхронизации, бэкапов и веб-доступа), а есть премиум, стоящий вполне адекватные 20 долларов в год.
Из минусов можно отметить отсутствие полноценного клиента под Linux и слегка раздражающий логотип в каждом поле ввода, которые добавляет браузерный плагин.
LastPass
LastPass — довольно старый менеджер паролей. Примечательно, что у него, по сути, нет клиентского приложения. Весь функционал по управлению паролями реализован через веб-приложение и через браузерные плагины. Но, несмотря на это, сервис в плане функционала довольно мощный. Доступна возможность обмена паролями с друзьями.
База данных с паролями шифруется с помощью AES-256 и синхронизируется между хранилищем плагина и сервером LastPass. Есть также portable-версии, причем как браузерных плагинов, так и самостоятельного приложения под Windows.
Также стоит отметить, что родные приложения есть для любой мобильной платформы (в том числе webOS или Symbian). Более того, например, для Android есть как отдельное приложение, так и плагин для браузера Dolphin.
В плане стоимости все просто, есть возможность бесплатного использования, есть дополнительные платные функции. Премиум-аккаунт стоит доллар в месяц или 12 долларов в год.
Вообще, от сервиса остаются спорные ощущения. С одной стороны, он довольно широко распространен и есть возможность использовать его на всех мыслимых и немыслимых платформах. С другой стороны, сервис разрабатывался достаточно давно и на сегодняшний день нет ощущения лоска, присущего более молодым менеджерам паролей.
My1login
My1login — это стартап, чем-то похожий на Lastpass, но с прицелом на шаринг паролей. В основе лежит веб-приложение, с возможностью редактировать пароли, а для сохранения их из форм и автоматического ввода существует яваскриптовый букмарклет. Основной киллер-фичей менеджера паролей является групповая работа с паролями: есть возможность создавать несколько аккаунтов внутри организации, есть возможность управлять доступом различных лиц к определенным паролям. Такой юзкейс подойдет в первую очередь небольшим группам, которые имеют внутри себя определенную базу реквизитов. В данном случае, например, после плановой смены пароля к определенному сервису отпадет необходимость в сообщении новых данных каждому пользователю. Это все-таки немного безопасней, чем хранить список где-нибудь в вики. Также стоит отметить интересную двухступенчатую авторизацию.
К сожалению, у данного проекта нет обширной инфраструктуры, присущей «взрослым» менеджерам паролей. Нет мобильных приложений, нет возможности работать с базой паролей офлайн. Браузерные плагины также удобней букмарклета: они сами могут обновляться и реализовывать более удобный интерфейс.
Поэтому будем надеяться, что My1login найдет своего пользователя и сможет восполнить пробелы в сервисе.
Bluepass
Автор программы Bluepass решил создать еще один менеджер паролей, скомбинировав при этом плюсы уже существующих решений и учтя их минусы:
- открытые под GPLv3 исходники повысят доверие к менеджеру и помогут сформировать комьюнити разработчиков;
- реализация на питоне, которая позволит сделать кросс-плат фор менное приложение длaя десктопных клиентов;
- мобильные приложения позволят работать с базой паролей без компьютера под рукой;
- синхронизация через P2P позволит избежать затрат на содержание «облака» и снизит вероятность массовой утечки реквизитов.
Все это выглядит очень многообещающе, если бы не одно «но»: пока большая часть функционала находится исключительно в планах. На данный момент есть неплохая реализация, работающая и синхронизирующаяся под Linux и OS X. Автор предлагает в лучших традициях краудфаундинга заинтересованным пользователям скинуться деньгами, позволив ему посвятить проекту 100% рабочего времени. В качестве конечной цели установлена планка в 60 000 долларов (что, надо заметить, весьма немало). Весь проект выложен на гитхаб, поэтому за ходом разработки можно следить. Справедливости ради надо заметить, что темпы разработки на данный момент вряд ли можно назвать вдохновляющими.
В любом случае заявленный функционал выглядит достаточно «вкусно», поэтому имеет смысл к данному менеджеру паролей присмотреться повнимательней.
Обзор менеджеров паролей
Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.
Автор: Maria Korolov
Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.
Кроме того, с точки зрения безопасности пароли должны быть длинными и состоящими вперемешку из цифр и символов в различных регистрах. Ах, да, еще ведь желательно менять пароли раз в 3-6 месяцев. Догадались к чему я клоню?
Все верно. Пора начать использовать менеджер паролей (если вы еще этого не сделали). Для тех, кто уже пользуется подобным софтом, также будет не лишним ознакомиться с этим обзором. Ниже представлены менеджеры паролей для пользователей с любым уровнем требований и толщиной кошелька (есть и бесплатные, но менее удобные варианты).
Плюс к этому, лидеры рынка предлагают удобные решения для бизнеса. Если сотрудники вашей компании для хранения паролей (которые, как правило, легко подобрать) все еще используют свою память, то, возможно, вы также сможете выбрать подходящий вариант.
Dashlane
Наилучший менеджер паролей, представленный на рынке. Программа позволяет изменить сразу несколько паролей в один клик и поддерживает двухфакторную аутентификацию. Кроме того, есть возможность использования общих паролей внутри одной команды.
«Dashlane появился на рынке недавно, но за свой дружелюбный интерфейс уже завоевал симпатии представителей малых и средних бизнесов», — рассказывает Дэниел Хамфриз (Daniel Humphries), исследователь компании Software Advice.
Стоимость Dashlane – 40$ долларов в год на одного пользователя, но есть бесплатная версия для одного устройства.
«Существует множество случаев, когда дело доходит до менеджеров паролей, и владельцы бизнесов всегда могут решить, следует ли купить полную версию или использовать бесплатную в зависимости от нужд и приоритетов», — говорит Хамфриз. Хорошая новость в том, что даже в бесплатных версиях есть множество функций.
В бесплатной версии Dashlane вы сможете «пощупать» интерфейс, включая менеджер паролей и автоматический заполнитель форм, и совместно использовать до 5 учетных записей.
В Dashlane можно назначить доступ к хранилищу аккаунтов (и к заполнителю форм) достоверному лицу, если вдруг с вами что-то случится. Так что вам не придется каждый раз вводить свой адрес.
Функция смены пачки паролей в один клик на данный момент присутствует только в Dashlane. Сюда входят более чем 160 наиболее популярных сайта, включая Facebook, Twitter, LinkedIn, Pinterest, Amazon, Dropbox и Evernote. Данная возможность очень пригодится в том случае, если вдруг вы заподозрите, что ваши учетные записи скомпрометированы.
При совместном использовании паролей вы полностью контролируете, кто пользуется общими аккаунтами (при необходимости можно изменить уровень доступа). Данная функция очень полезна, если несколько сотрудников вашей компании совместно работают под одним аккаунтом в социальной сети.
Автоматическая авторизация работает даже с многостраничными сайтами (например, банковскими сайтами). Пароли, информация в формах и заметки шифруются и сохраняются в любом месте на ваш выбор (локально или в облаке).
Кстати, компания Apple только недавно разрешила доступ к мобильному приложению Safari для сторонних менеджеров пролей. Ранее пользователи в iOS должны были копировать и вставлять информацию в формах вручную.
LastPass
Ранее LastPass был моим фаворитом, хотя я и сейчас продолжаю пользоваться этим менеджером паролей.
Существует корпоративная версия LastPass с синхронизацией через службу Active Directory, настраиваемыми политиками (подключение, отключение и добавление новых пользователей) и единой авторизацией в популярных облачных сервисах, включая Office 365, Google Apps, Salesforce, WordPress и других.
Поддерживая как программная, так и аппаратная многофакторная аутентификация, включая YubiKey USB keyfob, toopher и Duo Security.
Кроме того, в LastPass есть бесплатная функция мониторинга кредитной истории. При работе в сомнительных системах и сетях генерируются одноразовые пароли.
Согласно заявлениям Сида Феррара (Cid Ferrara), вице президента по продажам в LastPass, на данный момент в компании более 10 тысяч корпоративных клиентов, компании некоторые из которых входят в список Fortune 500.
Цена колеблется от 18$ до 24$ в год за одного пользователя в зависимости от объема заказа.
Как и Dashlane, LastPass позволяет сохранять пароли во время авторизации на новых сайтах. Однако могут возникнуть проблемы, если сотрудник пользуется сервисами, не имеющими отношение к деятельности компании.
«Следует позаботиться о пользователях, которые на рабочем месте пользуются личными учетными записями, например, для доступа к банковским счетам, чтобы потом не столкнуться с исками в суд», — говорит Рэнди Абрамс (Randy Abrams), руководитель отдела исследований компании NSS Labs (город Остин, штата Техас).
В LastPass есть решение этой проблемы.
Сотрудники могут использовать корпоративное и личное хранилище паролей, однако руководство компании имеет доступ только корпоративному хранилищу.
Когда сотрудник уходит из компании, все корпоративные учетные записи могут быть удалены – а персональные пароли остаются нетронутыми.
Лично я пользуюсь персональной версией LastPass, но интерфейс этого менеджера довольно громоздкий и неудобный. Возможно в будущем, когда закончится подписка, я перейду на Dashlane.
К примеру, чтобы в LastPass поменять пачку паролей нужно создавать и менять пароль поочередно для каждого сайта. Весь процесс довольно хорошо автоматизирован, но все равно не так удобен, как в DashLane, где можно поменять несколько паролей одним кликом мыши.
Хотя корпоративная версия LastPass наиболее сильный конкурент для DashLane.
KeePass
Многие из наших читателей для персонального использования, возможно, предпочтут KeePass.
«Я предпочитаю KeepPass, поскольку этот менеджер паролей бесплатен, с открытым исходным кодом, интегрирован с Windows User Account Control и не является плагином к браузеру», — говорит Джейсон Фоссен (Jason Fossen), инструктор подразделения SANS Institute (город Вифезда, штат Мэриленд). «С точки зрения безопасно не совсем хорошо, когда наиболее важная информация – пароли и номера кредитных кар – хранится в браузере, который легко может стать жертвой вредоносной программы».
Джэйсон говорит, что KeePass – отдельное приложение и не является плагином браузера.
«KeePass поддерживает скрипты для PowerShell, что позволяет создавать решения под специальные нужды», — добавляет Джейсон.
KeePass – бесплатная альтернатива для «аскетов», не особо придирчивых к удобству и функциональности, но желающих серьезно повысить свою защищенность.
1Password
Еще один менеджер паролей, позволяющий использовать совместные учетные записи, — 1Password.
«Я настоятельно рекомендую менеджер паролей с защищенным хранилищем», — говорит Стив Хултквист (Steve Hultquist), главный евангелист компании RedSeal (город Саннивейл, штат Калифорния). «Подобные приложения позволяют вам автоматически генерировать полностью уникальные пароли для каждого сайта и автоматически заполнять формы во время работы на стационарных компьютерах, мобильных устройствах и в других приложениях».
Как Dashlane и LastPass, 1Password поддерживает большинство браузеров, автоматически заполняет формы и имеет версии как для iOS, так и для Android платформ.
Blur
Особенность Blur в том, что, помимо генерации длинного уникального пароля, этот менеджер создает одноразовый адрес для маскировки вашей реальной электронной почты.
Как и в других платных менеджерах, в Blur предусмотрена бесплатная версия. Расширенная версия (за счет которой компания получает доходы) стоимостью 40$ позволяет генерировать одноразовые номера кредитных карт с расходными лимитами, защищающими пользователя от скрытых комиссий и кражи информации. Кроме того, можно замаскировать номера телефонов.
«Всем пользователям интернета следует завести менеджер паролей», — говорит Роб Шейвелл (Rob Shavell), глава компании Abine. «Менеджеры паролей становятся все более удобными, экономят время, но в то же время хорошо защищают конфиденциальную информацию. Вне зависимости от размера вашего бизнеса, следует обратить внимание на эти приложения».
Помимо своего собственного детища (Blur), Шейвелл также рекомендует LastPass, 1Password, Dashlane и PasswordBox (см. ниже).
PasswordBox
PasswordBox недавно был приобретен компанией Intel. На данный момент полная версия бесплатна для всех пользователей.
Кроме того, в будущем планируется реализация функции «True Key», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).
Большинство менеджеров паролей используют мастер-пароль, то есть пароль для разблокировки доступа ко всему хранилищу. Основная идея заключается в том, что намного проще запомнить один очень длинный пароль, чем десятки и сотни паролей для каждого сайта.
Однако мастер-пароль также не совсем удобен, особенно если менеджер блокируется из-за неактивности компьютера или мобильного устройства (хотя, с точки зрения безопасно, блокировка желательна).
«Всесторонняя поддержка крайне важна», — говорит Андре Бойсен (Andre Boysen), главный специалист по идентификации в компании SecureKey Technologies (город Норт-Йорк, провинция Онтарио). «Доступ к хранилищу паролей всегда будет одной из первостепенных целей злоумышленников».
Утверждается, что PasswordBox наиболее надежный менеджер паролей. На данный момент количество загрузок превышает 14 миллионов. Для сравнения: утверждается, что LastPass используют около 6 миллионов пользователей.
Кроме того, в PasswordBox есть функция назначения достоверного пользователя, который сможет получить доступ к хранилищу, если с вами что-нибудь случится. Также можно совместно использовать учетные записи среди сотрудников или членов семьи.
RoboForm
RoboForm – самый старый среди менеджеров паролей, упомянутых в этом обзоре. Первая версия RoboForm была выпущена в конце 1999 года.
У RoboForm есть одна уникальная функция, позволяющая пользователю одновременно авторизоваться на нескольких сайтах. Очень удобно, если вы ежедневно пользуетесь несколькими сервисами. Также есть портативная версия RoboForm2Go, которую можно установить на флешку.
Как и другие менеджеры паролей, RoboForm поддерживает все основные браузеры и устройства. Можно выбрать облачный сервис для синхронизации на всех устройствах или хранить данные локально. Однако в последнем случае вы не сможете получить доступ к хранилищу с других компьютеров и мобильных устройств.
В корпоративной версии RoboForm можно настраивать групповые политики, интеграцию с Active Directory, восстановление мастер-пароля и совместное использование учетных записей. Поддерживается автоматическое создание аккаунтов для групп пользователей и учетных записей, ограниченных по времени.
StickyPassword
В StickyPassword есть уникальная функция для синхронизации при помощи Wi-Fi сети (если вы по каким-то причинам не хотите использовать облачный сервис).
Поддерживается работа с USB-устройств, биометрия и автоматическое заполнение форм. StickyPassword адаптирован для всех наиболее популярных платформ, браузеров и устройств.
Стоимость полной версии с поддержкой синхронизации через Wi-Fi всего лишь 20$ в год (самый дешевый вариант среди всех остальных менеджеров из этого обзора).
В компании утверждают, что StickyPassword используют 2 миллиона пользователей. Кроме того, на основе StickyPassword была разработана технология VIPRE Password Vault (компанией ThreatTrack Security) и менеджер паролей Kaspersky Password Manager.
К сожалению, в StickyPassword не предусмотрена корпоративная версия, что делает этот менеджер паролей не особо пригодным для бизнеса.
«Если компания собирается использовать менеджер паролей, следует убедиться в том, что приложение поддерживает уровень дистанционной управляемости, соответствующий нуждам бизнеса», — говорит Рэнди Абрамс (Randy Abrams), директор NSS Labs (город Остин, штат Техас).
Аппаратный менеджер паролей или как перестать вводить пароли и начать жить / Habr
Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым годом. В итоге наши пароли, хранимые как получится, становятся достоянием общественности.Безопасность не мертва, но инкапсулирована и агонизирует. И с каждым годом стук по крышке черного ящика все тише, а сдавленные вопли и вовсе больше не слышны. Уж больно много абстракций поверх.
Мы не знаем как хранит наши пароли очередной сервис, поэтому мы сами должны заботиться о своей безопасности, но и это становится все сложнее с каждым годом. А количество необходимых для комфортной жизни сервисов только растет. И для каждого надо иметь свой стойкий и уникальный пароль. Не на это я свою личную жизнь променивал.
Поэтому мы придумали свой хакерский подход к хранению и вводу паролей.
Кратко: телефон связан через Bluetooth со специальным девайсом, который эмулирует клавиатуру. Утеря девайса и телефона не позволяют получить паролей. Утеря девайса и мастер-пароля тоже не страшны. Как так? Добро пожаловать под кат (там 7 картинок, но они красивенькие).
PSD НЕ является заменой криптографическим токенам. Это совершенно разные области. Здесь идет речь только о символьных паролях, которые будут вводиться автоматически через эмуляцию клавиатуры.
Какую проблему я решаю
Символьные пароли являются наследием, которое будет использоваться большим количеством сервисов достаточно продолжительное время. Я не буду сейчас даже начинать про то, что далеко не все люди_которые_программируют используют правильные техники хранения паролей на сервере. Пример более безопасного способа хранения пароля
hash(hash(pass)+user_id+salt)
По большей части я решаю проблему удобства ввода пароля. И это важнее, чем кажется.
Когда вы придумываете пароль, вы всегда держите в голове, что потом его может быть нужно ввести руками. Например, если это пароль для шифрованного диска с ОС. Или для авторизации в вашу любимую операционную систему. Даже тот же ввод пароля с телефона будет болью в пальцах для 16-символьного пароля с символами и буквами в разных регистрах. И все это может вынудить использовать какое-то упрощение, которое снизит стойкость пароля.
Пример упрощенияПользователей ICloud легко вычислить по их паролям, так как они часто имеют заглавной первую или последнюю букву. Часто используются имя и дата рождения/возраст
Как проблему решали до меня
Некоторые менеджеры паролей позволяют заполнять некоторые поля автоматически. Но ни один программный менеджер не будет работать без загруженной, позволяющий выполнять чужие бинари, операционной системы. Мало того, невозможно собрать код менеджера под все существующие ОС. Что приводит к проблеме невозможности автоматизированного ввода паролей в большом количестве юзкейсов.
Вот некоторые из них:
- ОС еще не загружена
• диск с ОС зашифрован
• разделы с ОС зашифрованы - Требуется авторизация в ОС
- ОС не разрешает использовать запоминающие устройства(корпоративная политика)
- ОС запрещает выполнение любого пользовательского кода(корпоративная политика)
- ОС не поддерживается менеджером паролей
• малораспространенная ОС
• устаревшая ОС
PSD с точки зрения пользователя
Собственно, был придуман аппаратный менеджер паролей с возможностью хранить и вводить пароли до 128 символов. Если не рассматривать принципов работы системы(которые обеспечивают безопасность в случае утери устройств), то аппаратный менеджер эмулирует клавиатуру и вводит пароль, выбранный с телефона. Связь между устройствами через Bluetooth.
Чуть подробнее
Система состоит из трех устройств.
Домашнего компьютера(MAIN_PC) с программой на нем:
Телефона с Bluetooth(PHONE) и программой:
Специального девайса (PSD):
PSD расшифровывается как Paranoia Satisfaction Device
Как внести пароли в систему:
- Подключить PSD и телефон к главному компьютеру
- С помощью специальной программы записать свои пароли в базу
- Перенести одну из полученных баз на телефон
База дублируется. После записи паролей в программу будет создано 2 файла базы и еще одна база записана в PSD. Первая база остается на компьютере для предотвращения утери паролей. Вторую надо перенести на телефон.
Как этим всем пользоваться:
- Подключить PSD к usb любого компьютера, на который надо внести пароль(FOREIGN_PC)
- В приложении на телефоне выбрать пароль, который хотим ввести
После этого, PSD введет пароль. Компьютер будет думать, что пароль вводится с подключенной хардварной клавиатуры.
PSD с точки зрения безопасности
А теперь действительно интересная часть. Надо сделать это все безопасным. Конечно, нельзя сделать невзламываемую систему, но можно максимально сократить количество векторов атак, чем мы и займемся.
Цели, которые я ставлю для системы:
- Утеря PSD, телефона или обоих девайсов не раскроет паролей пользователя и не позволит дешифровать перехваченный bluetooth трафик
- Незаметно для пользователя достать базу с PSD невозможно
- Если утек мастер-пароль, то утеря одного из девайсов не раскроет пароли
Если перефразировать, то придем к концепции: надо иметь все данные и устройства, что имеет пользователь, чтобы получить пароли. Менеджер никогда не должен понижать безопасность.
Хранение
Начнем с базы на компьютере. Это первое что создает пользователь и в ней все банально. Это всего-лишь шифрованный JSON. Шифрование — AES256/CBC/PKCS7Padding. В скором времени планируем перейти на формат KeePass.
Не стоит забывать, что с любого устройства можно считать память. Поэтому хранить пароли в открытом виде на PSD нельзя ни в коем случае. Но и шифрование слабо поможет, так как тогда пароль будет храниться в той же памяти. Поэтому было выбрано решение не хранить полноценные пароли вообще(кроме запасной базы на MAIN_PC).
Алгоритм хранения паролей очень прост:
- Записываем в password_part_1 128 рандомных байт
- Делаем XOR пользовательского пароля с password_part_1 и получаем password_part_2
В итоге получим для каждого пароля по 2 части(password_part_1, password_part_2), XOR которых даст нам исходный пароль (с паддингом из \0 в конце). Так как паролей у нас много, то password это массив. Соответственно, мы будем иметь по массиву частей паролей на каждом устройстве.
password_part_1[i] ⊕ password_part_2[i] == password[i]
Мы будем хранить первые части(password_part_1) на телефоне и password_part_2 на PSD. Для ввода пароля будем слать password_part_1[PassId] через Bluetooth и XOR-ить их с password_part_2[PassId] на PSD. Таким образом мы получим пароль по индексу PassId, который введем на компьютер(FOREIGN_PC), эмулируя хардварную клавиатуру.
Шифрование трафика
Но что если хакер решит перехватить трафик и украсть PSD. Он все еще сможет прочитать память с EEPROM и получить пароли, части которых он достал из трафика. Значит трафик надо шифровать (не особо оригинально, да).
Трафик надо зашифровать так, чтобы при утере PSD нельзя было расшифровать пакеты. Проблема в том, что хакер знает все, что знает PSD. Если PSD умеет расшифровывать трафик за счет информации на нем, то и хакер сможет расшифровать трафик. Мы будем использовать одноразовые ключи, обновляющиеся с каждым новым пакетом. PSD будет иметь ключ только для следующего пакета, но не для полученного ранее. Изначально одинаковые ключи задаются компьютером(MAIN_PC) при записи баз.
BtKey и HBtKey — ключи для шифрования и проверки целостности пакета. Они оба меняются с каждым сообщением. Для проверки целостности применяется HMAC на основе SHA256. Ключом для него является HBtKey[i]. Для шифрование самого пакета применяется AES256/CBC/PKCS7Padding. В пакете передается password_part_1 и PassId. Так же в пакете есть и ключи для дешифрования следующего пакета(HBtKey[i+1], BtKey[i+1]).
Как только пакет попадает на PSD и дешифруется, сразу же генерируется ответ телефону. Это sha256(HBtKey[i]). HBtKey[i] — предыдущий ключ для HMAC. Далее пароли в памяти PSD заменяются на новые(i+1). И происходит ввод пароля на FOREIGN_PC.
После этого телефону отправляется ответ, что все введено корректно(sha256(HBtKey[i])) и телефон удаляет старые ключи, заменяя их новыми.
Больше списков богу списков:
- Телефон генерирует BtKey[i+1] и HBtKey[i+1]
- EncryptedPayload = AES256(key: BtKey[i], input: PassId || password_part_1|| BtKey[i+1] || HBtKey[i+1])
- EncryptedMessage = IV || EncryptedPayload || HMACsha256(key: HBtKey[i], input: EncryptedPayload)
- телефон отправляет пакет EncryptedMessage на PSD
- PSD расшифровывает EncryptedMessage, используя BtKey[i] и проверяет целостность с помощью HBtKey[i]
- PSD генерирует ответ телефону(но не отправляет). Response = sha256(HBtKey[i])
- PSD меняет свои HBtKey[i] и BtKey[i] на новые, полученные из пакета(i+1). Старые удаляются
- PSD собирает пароль (password_part_1 ⊕ password_part_2[PassId]) и вводит его на компьютер(FOREIGN_PC), притворяясь клавиатурой
- PSD отправляет Response телефону
- Телефон проверяет респонс и меняет ключи на новые
- i++
В итоге получается, что паролей для дешифрования уже посланных пакетов больше не существует. Существуют только пароли для дешифрования следующего пакета.
Заключение
Получилась достаточно удобная, интересная и безопасная штука.
К сожалению, я не могу описать всю систему в рамках одной статьи. Я уже вышел за 13к символов, а рассказал только основную концепцию общей системы. Если эта статья была кому-то интересна, то я могу написать еще одну, которая покроет остальные аспекты безопасности. Там есть достаточно интересные подходы.
Приложение на телефоне тоже имеет несколько интересных особенностей, помогающих держать баланс между безопасностью и удобством (доступ к шифрованной базе имеет только сервис, что позволяет вводить пароль один раз и применять разные политики его сброса. Например, через 30 минут после ввода).
А девайс будет иметь возможность запуска кастомных прошивок, чтобы реализовывать любой функционал, который потребуется (например, bluetooth usb-клавиатура). И там есть тоже несколько интересных вещей в подходах к соблюдению безопасности.
Сейчас у нас есть рабочий прототип устройства, прошивки на устройство, программа на Android и две программы(gui и консольная) на компьютер.
Программы для компьютера написаны на .net и хорошо работает под mono. Но под Linux системами библиотека, которую я использую для связи с PSD, не видит девайсов, но я планирую это исправить.
Весь код для телефона и для компьютера открыт. Его можно найти на гитхабе.
В планах у нас следующее:
- По результатам вашей реакции оценить нужность девайса и какие компоненты мы сможем позволить там использовать
- Поддержка установки паролей со всего, что имеет mono(Linux, Mac OS)
- Перейти на формат KeePass для базы на MAIN_PC
- Bluetooth 4.0
- Возможность собирать базу, имея только телефон и PSD
- Возможность добавлять пароли с телефона
- Возможность синхронизировать пароли без MAIN_PC
Мы собираемся продолжить заниматься проектом, но было бы очень интересно узнать мнение хабрасообщества о перспективах. Среди моих знакомых достаточно много людей, которые хотели бы подобное устройство себе в пользование, поэтому у меня есть предпосылки, чтобы провести небольшой опрос.
Поиск уязвимостей
Кстати, в описанном протоколе есть таки логическая уязвимость. Ее невозможно эксплуатировать удаленно(проще поставить кейлоггер) и она исправляется без костылей. Вы можете попробовать свои силы в поиске этой уязвимости(уязвимость логическая, а не на уровне кода) и первому человеку, который ее найдет, мы обещаем подарить готовый девайс(в случае если мы начнем массовое производство).
Естественно, в случае релиза, эта уязвимость будет закрыта.
Хэш ответа: 28dbc42aa86100dc5e325c4bea80c67c980cfd26
Насколько безопасны современные менеджеры паролей?
Менеджер паролей хранит все ваши пароли и автоматически заполняет их в вашем веб-браузере и мобильных приложениях. Но стоит ли доверять приложению свои пароли и хранить их все в одном месте?
Содержание:Введение
Общие рекомендации по безопасному пользованию сети «Интернет» предписывают для каждого сетевого ресурса иметь новый, не повторяющийся, уникальный и не используемый ранее, пароль. А так как количество сайтов, на которых необходимо каждый раз использовать данные учетной записи для подтверждения свой личности, постоянно увеличивается, то запомнить разные варианты парольных фраз пользователям становится довольно сложно, и остро встает вопрос безопасного хранения данных доступа к сетевым ресурсам.
Одним из популярных вариантов удаленного хранения паролей, стремительно развивающиеся в последнее время, безусловно являются менеджеры паролей. Они предлагаются в виде сетевых расширений, программных дополнений или встраиваемых в веб-браузеры приложений.
Независимо от формы представления, менеджер паролей часто хранит все пользовательские кодовые фразы и автоматически заполняет соответствующие поля для их ввода в веб-браузере и мобильных приложениях. Но стоит ли полноценно и безоговорочно доверять приложению свои пароли и хранить их все в одном месте? Насколько такая идея разумна и оправдана?
Основываясь на собственных исследованиях и публикациях доверенных специалистов, мы рекомендуем всем использовать менеджеры паролей. Они намного превосходят многие способы отслеживания паролей, поэтому и являются для пользователей, стремящихся уберечь свои учетные данные, безопасным выбором.
Менеджеры паролей безопаснее многих доступных альтернатив
Менеджер паролей хранит кодовые фразы в безопасном защищенном хранилище, которое пользователи могут разблокировать с помощью одного мастер-пароля и, при необходимости, дополнительного метода двухфакторной аутентификации, чтобы помочь сохранить расположенные там данные в большей безопасности.
Менеджеры паролей позволяют использовать надежные уникальные сложные пароли в неограниченном количестве для любых сетевых ресурсов. Как мы уже обращали внимание ранее, для большинства пользователей постоянно помнить множество разнообразных паролей практически невозможно. И помощь менеджеров пароля в данной ситуации оказывается неоценима. Приложения способны генерировать и запоминать парольные фразы любой степени сложности, даже такие варианты как «Yg5.JHh0_TmdlsmdpLxS.4_u-eK».
Если пользователи не используют менеджер паролей для хранения своих учетных данных для входа на веб-сайты, то в большинстве случаев, стремясь упростить последующий доступ, повторно используют один и тот же вариант ключевой парольной фразы на нескольких сетевых ресурсах. Однако такой подход очень опасен, поскольку утечка базы данных паролей сразу означает, что ваши учетные записи на других сайтах открыты и уязвимы. Злоумышленник сможет воспользоваться известными адресом электронной почты и паролем для взлома остальных сайтов, и своими действиями нанести непоправимый вред, особенно если учетные записи содержат конфиденциальную банковскую информацию.
Конечно, пользователи могут попробовать создать собственные «уникальные» пароли самостоятельно на основе определенного шаблона. Например, основой базового пароля может служить фраза: «_p@ssw0rd_». В зависимости от домена – например, при входе в социальную сеть «Facebook» – можно менять ее конфигурацию, дополнив отсутствующие места двумя первыми буквами «f» и «a», получив готовый результат парольной фразы вида: «fp@ssw0rda». Повторяя подобный алгоритм для каждой новой учетной записи на других сетевых доменах, пользователи всегда получат на выходе уникальный пароль, порядок формирования которого позволит всегда вспомнить его самостоятельно без дополнительных подсказок. Однако, используя подобную схему, пользователи создают предсказуемые пароли. К тому же, часто веб-сайты не поддерживает использование специальных символов, ограничивают парольную фразу определенным количеством цифр или вводят другие ограничения. И получается, что создать новый пароль в соответствии со своим алгоритмом не получится, вся схема построения рушится и метод больше не работает.
С менеджером паролей никаких сложных схем придумывать не нужно. Пользователям потребуется просто создать один надежный уникальный пароль и запомнить его.
Несмотря на тот факт, что при пользовании менеджера паролей пользователям приходится доверять свои данные и хранить их удаленно на серверах сторонних разработчиков, данный способ более безопасен, чем возможные альтернативы. Менеджеры паролей, которые мы рекомендуем, никогда себя не компрометировали, в то время как многие пользователи столкнулись с проблемами удаленного взлома своих учетных записей из-за повторного использования одинаковых паролей. В наши дни злоумышленники часто «взламывают» учетные записи, применяя способ повторно задействованных на разных ресурсах паролей.
Как менеджеры паролей защищают пользовательские кодовые фразы?
Большинство доверенных специалистов сходятся во мнении, что лучшими представителями менеджеров паролей являются продукты «1Password» и «LastPass». Оба защищают пользовательское хранилище паролей с помощью надежных методов шифрования (в частности, «AES-256»), даже когда оно хранится на удаленном облачном сервисе. Все пароли, сохраненные пользователями для использования на своих устройствах, защищены «главным паролем», который блокирует к ним доступ и делает их нечитаемыми без данного, верно набранного, основного пароля. На современных устройствах пользователи также могут разблокировать свое хранилище с помощью биометрической аутентификации – например, используя «Face ID» или «Touch ID» на «iPhone».
Обе службы утверждают, что мастер-пароль никогда не покидает пользовательское устройство, и они не могут получить доступ к сохраненным паролям, и даже при большом желании, ознакомиться с паролями пользователей им не удастся. В подтверждение, означенные службы прошли сторонние аудиты и проверки используемого кода. Ни один из рассматриваемых представителей никогда не сталкивался с серьезными нарушениями, и оба полноценно, доступно и прозрачно описывают применяемые способы защиты пользовательских данных. Для получения более подробной информации посетите веб-сайты служб «1Password» и «LastPass».
Если возникли опасения или пользователи предпочитают осуществлять хранение собственных паролей самостоятельно, то существуют менеджеры паролей с открытым исходным кодом, такие как «Bitwarden» и «KeePass». Можно использовать данные приложения для хранения пароля на своих личных устройствах или серверах. Например, пользователи могут настроить свой индивидуальный сервер синхронизации для «Bitwarden» или вручную синхронизировать базу данных «KeePass» между своими устройствами. Вероятно, это более сложным и трудоемкий путь – и приложения не так удобны для пользователя – но, если отдается предпочтение программному обеспечению с открытым исходным кодом, данные варианты более чем достойны.
Можете ли вы доверять компаниям – собственникам менеджеров паролей?
В конечном счете, используя продукцию компаний, управляющих паролями, пользователи автоматически доверяют им. Безусловно, компании обещают хранить пароли в безопасности. Но ситуации бывают разные и как быть в случае, если они обновят свое программное обеспечение, добавив возможность перехватывать пользовательские пароли, или возникнет огромная дыра в системе безопасности, способная открыть пароли для вирусной атаки? Компании несомненно проверяются на предмет безопасности, но что, если их политика в отношении неприкосновенности пользовательских паролей измениться в худшую сторону?
Конечно, риск существует. Пользователи доверяют своему менеджеру паролей также, как и любому другому используемому приложению, установленному на персональном компьютере, или большинству задействованных расширений веб-браузера, которые тайно могут следить за пользователями и сообщать пароли, номера кредитных карт или удаленно общаться с третьими лицами.
Но такого еще не произошло, компании дорожат своим авторитетом и не были замечены в подобных операциях. Это доверенные компании в сфере безопасности. Вероятно, более опасно устанавливать произвольные расширения браузера, многие из которых получают привилегированный доступ к большинству процессов, происходящих в обозревателе, и способны удаленно по телефону сообщать различные подробности, чем хранить ваши пароли в диспетчере паролей.
Мы используем менеджеры паролей и рекомендуем их
Мы следуем нашим собственным советам и используем менеджеры паролей, такие как «1Password» и «LastPass», на своих личных и рабочих устройствах. Менеджеры паролей, встроенные в такие браузеры, как «Google Chrome» и «Safari» от «Apple», становятся лучше, но они еще не настолько мощные или многофункциональные.
Помимо основного решения, связанного с обеспечением безопасности учетных данных пользователей, менеджеры паролей предлагают множество удобных дополнительных преимуществ. Пользователи могут легко поделиться своими паролями с другом, членом семьи или коллегой по работе. Приложение может автоматически заполнять поля для ввода имени пользователя и пароля на любых компьютерных устройствах и мобильных телефонах, не требуя их непосредственного ручного набора, даже на «iPhone» или «iPad». Менеджеры паролей, такие как «1Password» и «LastPass», выдают предупреждения, если какой-либо из используемых паролей был взломан во время атаки, и рекомендуют пароли, которые необходимо изменить. Это намного лучше и удобнее, чем пытаться отслеживать все свои пароли без посторонней помощи.
Заключение
Использование современных персональных компьютерных устройств для доступа и разнообразного взаимодействия с глобальной информационной сетью «Интернет» существенно облегчает пользователям все процессы, непосредственно связанные с получением, обменом, обработкой и хранением различных данных.
Однако особенности многих сетевых ресурсов, для обеспечения безопасности и способности формирования индивидуальных предложений на основе персональных предпочтений, вынуждены использовать особую форму доступа на веб-сайты с обязательной регистрацией пользователей, включая создание уникальной парольной фразы.
Не многие пользователи способны запомнить множество различных паролей для входа на разные веб-сайты, особенно сложные и уникальные варианты, и применяют для хранения регистрационных данных сторонние менеджеры паролей.
Естественно пользователи обеспокоены надежностью защищенного хранилища. Но использование приложений для хранения паролей от доверенных разработчиков гораздо более безопаснее, чем ежедневное задействование других сторонних программ, на регулярной основе применяемыми пользователями для исполнения своих повседневных задач.
Какие менеджеры паролей обеспечат максимальную надёжность
Менеджеры паролей программы применяют шифрование высокого уровня, двухфакторную аутентификацию и другие возможности обеспечения безопасности аккаунтов пользователей, от бесплатных до доступных по цене.
Используя знакомые пароли и пин-коды во всех аккаунтах, вы повышаете своё удобство, но вредите безопасности. 76% взломов данных приводят к кражам логинов и паролей, говорится в докладе американского оператора сотовой связи Verizon. Нужно создавать уникальный сложный пароль для каждого аккаунта, сочетая буквы, цифры и символы, чтобы не стать жертвой цифровой кражи.
Естественно, запомнить все эти пароли невозможно. Тогда как сбалансировать удобство и безопасность? Установка простого менеджера паролей на смартфон поможет хранить все логины и пароли в одном месте. Лучшие варианты предлагают продвинутые функции безопасности, умея генерировать пароли, автоматически входить в сервисы и фиксировать незаконное проникновение.
Многие современные менеджеры паролей бесплатные, другие устанавливают цену в зависимости от своей функциональности. Ниже представлены шесть вариантов.
LastPass
(Бесплатный — $1/месяц)
Ключевые особенности: проверка отпечатка пальцев; гибкая генерация паролей; шифрование на уровне устройства; аудит паролей; совместимость с YubiKey.
Хороший менеджер паролей не просто делает за пользователя всю работу, но ставит пользователя во главе управления паролями. LastPass является хорошим выбором для тех, кому нужен гибкий подход. Доступно генерирование случайных паролей, создание определённых паролей, автоматическое создание паролей. Функциональность аудита паролей находит старые и слабые, предлагая поменять их для усиления безопасности аккаунтов.
Доступна двухуровневая аутентификация, авторизация через устройство YubiKey посредством порта USB.
Пароли можно группировать по самостоятельно создаваемым категориям, таким как финансы, социальные сети, спорт, игры, почта и т.д., данные можно синхронизировать на разных платформах. LastPass доступен бесплатно, а за $1 в месяц можно купить неограниченную синхронизацию, семейный доступ и ряд дополнительных возможностей премиального аккаунта.
1Password
($3-$5/месяц)
Ключевые особенности: сложное шифрование паролей; мультиплатформенная поддержка.
1Password управляет не только паролями, но и данными банковских счетов, номерами кредитных карт, кодами домофонов и т.д. — любой секретной информацией. Вся она зашифрована алгоритмом AES-256 с одним мастер-паролем (почему и называется 1Password), который нельзя разблокировать отпечатком пальцев при помощи Touch ID, так что посторонние не смогут взломать код доступа.
1Password работает на macOS, Windows, iOS и Android. С подпиской предлагается установка на неограниченное число устройств и проприетарный генератор Strong Password для усиления слабых паролей.
Dashlane
(Бесплатный — $40/год)
Ключевые особенности: мультиязычное управление паролями; сохранение и импорт функций; мониторинг безопасности; мобильное и веб-автозаполнение.
Dashlane создаёт пароли стратегически, а не из случайных цифр и букв. Настраиваемая панель инструментов наверху позволяет выбрать длину пароля, порядок цифр и символов.
Что касается безопасности, Dashlane защищает пользователей не хуже лучших антивирусов. Постоянно обновляются данные об уровне безопасности паролей, можно установить автоматическую смену паролей на более надёжные.
Программа поддерживает семь языков и умеет обновлять пароли более чем на 500 сайтах. Обмен и синхронизация, автозаполнение форм, удобный пользовательский интерфейс делают Dashlane одним из лучших менеджеров паролей, несмотря на высокую цену. Премиальная версия предлагает синхронизацию между неограниченным числом устройств на всех операционных системах.
Keeper
(Бесплатный — $60/годy)
Ключевые особенности: управление паролями и безопасное хранение файлов; Touch ID и двухфакторное подтверждение пароля; облачное хранилище; режим самоуничтожения.
Кроссплатформенное цифровое хранилище Keeper имеет простой пользовательский интерфейс для управления не только паролями, но и множеством учётных записей, файлами, фотографиями и видео. Поддерживается алгоритм шифрования AES-256 плюс PBKDF2, так что информация должна быть в безопасности.
Предлагается проприетарная система Keeper DNA для двухфакторной аутентификации. При входе в банковский аккаунт или социальную сеть нужно подтвердить свою личность, что не всегда есть у конкурирующих приложений.
Режим самоуничтожения (Self-Destruct) будет удалять все записи с устройства, если мастер-пароль неправильно введён пять раз подряд. Тогда считается, что доступ пытаются получить посторонние, но пароли не пропадут, а будут храниться в облаке.
Базовый план Keeper бесплатный, доступно два обновления: $29,99 в год для индивидуальных лиц и $59,99 для семей до пяти человек.
LogMeOnce
(Бесплатный — $3,25/месяц)
Ключевые особенности: свободный вход по фото; управление паролями на множестве устройств; калькулятор паролей; создание карты устройств; фотографирование при попытке взлома; уничтожение данных.
LogMeOnce нельзя назвать простым менеджером паролей; скорее это комплексный пакет, работа с паролями является одним из его применений. На базовом уровне пароли пользователей защищаются на всех платформах, от Mac и Windows до Android и iOS.
Пользователи могут ввести главный пароль для входа в учётную запись или вместо букв и цифр задействовать фотографию. Панель приложения настраивается и предоставляет полную информацию, свайпом можно генерировать новые пароли на калькуляторе.
Одной из главных особенностей LogMeOnce является возможность фотографировать. Если смартфон украдут, приложение зафиксирует взлом, сфотографирует вора и будет вести слежение при помощи GPS, можно даже записать голос преступника. Можно дистанционно стереть данные, но пользователь потом получит доступ к ним обратно. Всё это в подписке Ultimate стоит $39 в год.
Password Boss
(Бесплатный — $70/год)
Ключевые особенности: интуитивный генератор паролей; продвинутый цифровой кошелёк; безопасная система обмена и синхронизации; защита от кражи и транзакций; выбор места хранения данных.
Password Boss говорит о защите пользовательских данных на уровне банковской, локальном шифровании и дешифровании во избежание перехвата данных. Можно выбрать хранение данных на территории США, Европы, Азии или Австралии.
Система аудита Password Boss применяет баллы для оценки надёжности паролей и предлагает варианты их улучшения на всех устройствах, аккаунтах и сайтах. Базовый вариант приложения бесплатный, версия Premium даёт неограниченный обмен данными и автоматическое резервное копирование. Некоммерческие и благотворительные организации могут получить Premium даром.
Вконтакте
Google+
- 5
- 4
- 3
- 2
- 1