В честь Всемирного дня пароля недавно была опубликована статья, посвященная пяти распространенным ошибкам, которых следует избегать при выборе паролей. И хотя без парольной защиты невозможно представить себе нашу цифровую жизнь, мы редко о ней задумываемся. Нагляднее всего ситуацию описывают ежегодно составляемые списки наиболее часто используемых паролей, в которых из года в год одними из самых распространенных вариантов являются пароли «12345» и «пароль».
Такой необдуманный выбор паролей может быть отчасти связан с использованием множества различных сервисов, что – без привязки к учетной записи Google или Facebook – часто подразумевает необходимость создания новой учетной записи. Кроме того, если вы создали несколько сложных паролей, их не всегда легко запомнить. Допустим, вы решили использовать один и тот же простой пароль, не обращая особого внимания на риски. Если хакеру удастся взломать многократно используемый пароль, то он будет иметь беспрепятственный доступ ко всем вашим учетным записям.
Такой взлом можно предотвратить с помощью диспетчера паролей – приложения, специально разработанного для хранения учетных данных пользователя в зашифрованном хранилище и для создания сложных паролей. Этот «цифровой сейф», обеспечивающий чрезвычайно простое хранение, создание и автоматический ввод уникального и надежного пароля от каждой из ваших учетных записей в Интернете, избавит вас от этой головной боли. Все, что вам нужно запомнить, – это один мастер-пароль.
Типы диспетчеров паролей
Большинство популярных хранилищ паролей работают как облачные приложения, в которые можно войти через браузер. Независимо от выбранного диспетчера паролей, вам придется создать один надежный мастер-пароль, который будет защищать все ваши сохраненные учетные данные, используемые для доступа к различным сервисам. Поэтому будьте очень осторожны, создавая такой пароль. В случае облачного диспетчера пароль задается при создании учетной записи.
Дальнейшую защиту диспетчер возьмет на себя. Вы можете добавить в него все свои существующие учетные записи, а при регистрации в новых сервисах вы можете использовать собственные парольные фразы, либо с помощью встроенного генератора будут создаваться случайные, длинные и безопасные паролей. Как только вы захотите войти в какой-либо из используемых вами сервисов, диспетчер паролей автоматически введет ваши учетные данные – и вход будет выполнен.
Если вы не хотите доверять свои пароли облачным приложениям, вы можете выбрать локальное хранилище, которое будет сохранять все данные на вашем устройстве. По сути, вы можете выбрать один из множества вариантов с открытым исходным кодом, которые по функциональности очень сходны с их облачными аналогами, хотя зачастую представлены в более скромном дизайне. Но то, чего этим приложениям не хватает в части эстетики, компенсируется за счет их функций.
Кроме облачных решений и решений с открытым исходным кодом, вы также можете обратить внимание на диспетчеры, включенные в надежные пакеты обеспечения безопасности конечных точек. Они помогут вам управлять своими учетными данными и обеспечивать их защиту.
Плюсы и минусы использования диспетчера паролей
Существует несколько типов диспетчеров паролей, среди которых наиболее популярны облачные. Дополнительным преимуществом облачных вариантов является возможность доступа к паролям, где бы вы ни находились. Большинство популярных сервисов (1Password, Dashlane, LastPass и т.д.) работают через приложения, устанавливаемые на смартфоне, поэтому, если вы используете несколько устройств (как и большинство пользователей), облачные сервисы будут синхронизировать все ваши пароли на всех устройствах. Некоторые сервисы, с расширенными возможностями, могут быть установлены на настольном компьютере и содержат плагины для браузеров.
Что касается подписок, базовый набор опций предоставляется бесплатно. Если базового набора вам недостаточно, вы всегда можете приобрести одну из более премиальных версий, которые, как правило, содержат дополнительные настройки и средства обеспечения дополнительной безопасности.
Как бы прекрасно все это ни звучало, есть одно «но». В некотором смысле вы ставите все на одну карту, и ранее при работе с некоторыми онлайн-диспетчерами паролей возникали определенные проблемы. Например, несколько месяцев назад исследователи обнаружили бреши в системе безопасности ряда популярных диспетчеров паролей: одни версии приложений для Android были подвержены фишинговым атакам, другие допускали бесконечные попытки ввода мастер-пароля.
Важно помнить о том, что, поскольку ваши данные хранятся на сервере, в случае взлома или успешной хакерской атаки киберпреступники могут осуществлять массовую загрузку данных, и ваша учетная запись может оказаться в этом потоке информации. Если это произойдет, ваша защита будет зависеть от того, обеспечили ли операторы используемого вами сервиса надежное шифрование, и от надежности вашего мастер-пароля; не забывайте о том, что это стражник у врат большей части вашей цифровой жизни.
Как и при использовании любых других сервисов, проведите комплексный анализ и почитайте блоги и обзоры по кибербезопасности, опубликованные авторитетными независимыми тестирующими организациями, чтобы узнать, обнаруживались ли в последнее время у вашего диспетчера паролей какие-либо уязвимости. Также необходимо изучить, понять и принять все меры по обеспечению безопасности, предусмотренные сервисом в целях защиты ваших паролей и учетных записей.
Что касается локально установленных приложений с открытым исходным кодом, некоторые из них способны генерировать пароли, удовлетворяющие конкретным требованиям сайта к их созданию. Например, KeePass также предусматривает прекрасную возможность запуска прямо с USB-накопителя. С помощью приложений с открытым исходным кодом, таких как KeePass, вы также можете запрашивать процедуры профессионального аудита безопасности основного кода шифрования и функции обеспечения безопасности.
Некоторые аспекты, которые на первый взгляд могут показаться недостатками диспетчеров паролей, локально хранящих данные, в действительности могут обеспечить дополнительную безопасность. Поскольку коды хранятся на определенном устройстве, у вас может не быть возможности синхронизировать их на всех других ваших устройствах, но киберпреступнику, чтобы получить к ним доступ, потребуется осуществить в отношении вас целевую атаку, что создает на их пути значительные преграды.
Один из способов получения доступа к вашим паролям – это компрометация вашего устройства путем установки кейлоггера, что обосновывает необходимость использования диспетчеров паролей, включенных в решения по обеспечению безопасности конечных точек, которые специально разработаны для защиты пользователей от угроз подобного рода.
С другой стороны, необходимо помнить, что в случае утери или поломки устройства вы можете потерять доступ ко всем вашим паролям, которые на нем хранились. Всегда создавайте резервную копию, поскольку никогда не знаете, когда она вам может понадобиться. То же самое относится и к локально установленным решениям с открытым исходным кодом; при использовании облачного решения утеря устройства не должна вызывать особых проблем, поскольку вы по-прежнему сможете получить доступ к своим паролям с другого устройства.
В заключение
Несмотря на то, что в части управления цифровой жизнью большинство пользователей имеют сходные потребности, их предпочтения могут в незначительной степени различаться. Поэтому вам необходимо понять, какой вариант подойдет вам лучше всего. При выборе диспетчера паролей подумайте и ответьте хотя бы на несколько вопросов:
- Каким образом выбранный вами сервис хранит ваши данные?
- Если с вашим устройством что-что случится, можно ли будет восстановить данные?
- Предусмотрены ли какие-либо дополнительные параметры безопасности, позволяющие усилить защиту?
Проявите должную осмотрительность при выборе диспетчера паролей и не допускайте распространенные ошибки при создании мастер-пароля, о которых упоминается в начале статьи. Для дополнительной безопасности вы также можете включить дополнительный фактор аутентификации для всех ваших значимых учетных записей в Интернете или даже для самого диспетчера паролей.
