Что такое менеджер паролей?
Когда-то, в первые годы Интернета, у вас было может пять паролей для нескольких важных веб-приложений, которые вы использовали для покупок, учёбы, общения и работы. Сегодня всё гораздо сложнее. В среднем люди должны помнить около 100 паролей.
Технологии обещают упростить нашу жизнь, и обычно так и происходит, но каждый новый сайт и приложение – это ещё один пароль, который нужно помнить. Большинству это уже не по силам. Подумайте о себе – повторяете ли вы свои пароли на разных учетных записях, как это делает две трети пользователей Интернета? Это большая ошибка.
Используя гигантские списки украденных паролей (так называемые "дампы"), купленные на темной въеб, киберпреступники могут взломать доступ к другим сайтам или использовать старые пароли для вымогательства пользователей в аферах. Это эффект домино при утечке данных. Один взлом ведет к другому и следующему, и так далее.
По имеющимся данным, большинство утечек данных происходит из-за взломанных, слабых и повторно используемых паролей. 1234567, кто-нибудь?
Так как же мы до этого дошли и что мы можем сделать?
Знаменитый веб-комикс xkcd "Когда пароль сложен" объяснил это лучше всего: "Через 20 лет усилий мы успешно обучили всех использовать пароли, которые сложно запомнить людям, но легко угадать компьютерам."
Это правда. 20 лет назад специалисты по кибербезопасности отчитывали пользователей за то, что они не меняли стандартные пароли на устройствах IoT (например, ваш интернет-роутер) или использовали пароли, которые легко угадать, такие как «12345» или «пароль». Из этого вышла длинная и сложная комбинация, над которой шутит xkcd: обычное слово с чередованием заглавных и строчных букв, хотя бы одной цифрой и одним символом.
При создании новой учетной записи сайты требуют, чтобы мы создавали длинные и сложные пароли. Если не удастся, даже аккаунт нельзя создать. Предположим, вы прошли стадию создания учётной записи, но тут же забыли шифр уровня машины Энигма, который только что сделали, и сдались, использовав ссылку "Забыли пароль?" в качестве ежедневного способа входа.
К счастью, вам не нужно помнить все эти пароли. Менеджер паролей запомнит их за вас.
Labs Malwarebytes определяет менеджер паролей как «программное приложение, разработанное для хранения и управления онлайн-учётными данными. Он также генерирует пароли. Обычно эти пароли хранятся в зашифрованной базе данных и блокируются за главным паролем».
Когда все ваши имена пользователей и пароли будут введены в хранилище, ваш мастер-пароль — единственный, который вам нужно запомнить. Ввод вашего мастер-пароля разблокирует ваше хранилище паролей, откуда вы сможете взять нужный пароль.
Каковы преимущества использования менеджера паролей?
Вам больше не нужно запоминать все ваши пароли. Вам нужно помнить только мастер-пароль, который разблокирует ваше хранилище паролей. А если вы выберете облачный менеджер паролей, вы сможете получить доступ к вашему хранилищу паролей из любого места, с любого устройства.
Они могут автоматически генерировать для вас очень надежные пароли. Менеджеры паролей обычно предлагают вам использовать автоматически сгенерированный пароль при создании нового аккаунта на сайте или в приложении. Эти случайные пароли длинные, алфавитно-цифровые и в сущности невозможно угадать.
Они могут предупредить вас о фишинговом сайте. Вот краткое описание фишинговых афер. Спам по электронной почте подделывается так, что кажется, будто он исходит от законного отправителя, например от друга, члена семьи, коллеги или организации, с которой вы сотрудничаете. Ссылки, содержащиеся в письме, ведут на аналогичные поддельные вредоносные веб-сайты, предназначенные для сбора учетных данных. Если вы используете браузерный менеджер паролей, он не будет автоматически заполнять поля имени пользователя и пароля, поскольку не распознает веб-сайт, к которому привязан пароль.
Они могут помочь вашим наследникам, когда вы уйдете из жизни. Это называется цифровым наследством. В случае вашей смерти, ваша семья или тот, кого вы назначите управлять вашим имуществом, получит доступ к вашему хранилищу паролей.
Менеджеры паролей экономят время. Помимо просто сохранения паролей для вас, многие менеджеры паролей также автоматически заполняют учетные данные для быстрого доступа к онлайн-аккаунтам. Кроме того, некоторые могут хранить и автоматически заполнять ваше имя, адрес, email, номер телефона и номер кредитной карты. Это может существенно сократить время при покупках онлайн, например.
Многие менеджеры паролей синхронизируются между различными операционными системами (ОС). Если на работе вы пользуетесь Windows , а дома - Mac , перейдите на свой Android с понедельника по пятницу, а по выходным переходите на iOS , вы сможете быстро получить доступ к своим паролям независимо от того, на какой платформе вы находитесь. То же самое касается всех наиболее популярных веб-браузеров: Chrome, Firefox, Edge, Internet Explorer и Safari.
Они помогают защищать вашу личность. В какой-то мере, менеджеры паролей помогают защититься от кражи персональных данных, и вот почему. Используя уникальный пароль для каждого сайта, вы сегментируете свои данные среди всех веб-сайтов и приложений, которые используете. Если преступнику удастся взломать одну из ваших учетных записей, он не сможет получить доступ к другим. Это, конечно, не защищает на 100%, но добавляет дополнительный уровень безопасности, который вы точно оцените в случае взлома данных.
Безопасны ли менеджеры паролей?
Менеджеры паролей взламывались, но их общий послужной список по обеспечению безопасности данных пользователей очень хорош. Менеджер паролей LastPass столкнулся с несколькими утечками данных, как и некоторые другие инструменты менеджеров паролей. Есть множество авторитетных менеджеров паролей, которые используют шифрование и безопасны в использовании в 2023 году. Один из примеров — NordPass Password Manager, который также был в списке самых безопасных менеджеров паролей от Cyber News.
Важно помнить, что если ваш телефон заражен вредоносным ПО, менеджер паролей также может быть взломан. Поэтому обязательно обновляйте антивирусные программы и программы защиты от вредоносного ПО.
Какие бывают типы менеджеров паролей?
Менеджеры паролей, установленные на настольные компьютеры, сохраняют ваши пароли локально на вашем устройстве, например, на ноутбуке, в зашифрованном хранилище. Доступ к этим паролям с другого устройства невозможен; если вы потеряете устройство, то и все хранимые на нем пароли тоже будут утеряны. Такие локально установленные менеджеры паролей являются отличным вариантом для людей, не желающих хранить свои данные в сети кого-либо другого. Некоторые локально установленные менеджеры паролей находят баланс между конфиденциальностью и удобством, позволяя создавать несколько хранилищ паролей на разных устройствах и синхронизировать их при подключении к Интернету.
Облачные менеджеры паролей хранят ваши зашифрованные пароли на сетях поставщика услуг. Поставщик услуг непосредственно отвечает за безопасность ваших паролей. Основным преимуществом облачных менеджеров паролей, таких как 1Password и NordPass, является возможность доступа к вашему хранилищу паролей с любого устройства при наличии интернет-соединения. Веб-менеджеры паролей могут иметь разные формы — чаще всего в виде расширения для браузера, приложения для настольного компьютера или мобильного приложения.
Единый вход (SSO). В отличие от менеджера паролей, который хранит уникальные пароли для каждого используемого приложения, SSO позволяет использовать один пароль для всех приложений. Подумайте об SSO как о вашем цифровом паспорте. Когда вы въезжаете в другую страну, паспорт сообщает офицерам на таможнице и иммиграции, что ваша страна гражданства поручается за вас, и вас нужно пропустить с минимальными затруднениями. Аналогично, при использовании SSO для входа в приложение вас не просят проверять свою личность. Вместо этого провайдер SSO поручается за вашу личность. Компании предпочитают SSO перед менеджерами паролей по нескольким причинам. Во-первых, SSO — это безопасный и удобный способ для сотрудников получить доступ к приложениям, необходимым для работы. SSOs также сокращают время, затрачиваемое IT на устранение проблем и сброс забытых паролей.
Лучшие практики для паролей
Не используйте пароли повторно. Даже с менеджером паролей. Вместо этого создайте уникальные пароли для каждого сайта и позвольте менеджеру паролей делать то, для чего он предназначен. Используйте надежный генератор сильных паролей, чтобы создавать уникальные пароли для всех ваших учётных записей.
Создавайте сложные пароли. Многие менеджеры паролей удобно предлагают создать сильные пароли всякий раз, когда вы создаёте учётную запись для нового сайта. Если нет, старайтесь использовать случайные комбинации букв и цифр, переключаясь между заглавными и строчными. Чем сложнее и более бессмысленный пароль, тем лучше — особенно потому, что вам не нужно будет его запоминать. Это сделает менеджер паролей. Единственное различие заключается в создании вашего мастер-пароля (того, который открывает все остальные). Этот вам действительно нужно будет запомнить, поэтому, если у вас не фотографическая память, попробуйте придумать что-то запоминающееся, но не легко отслеживаемое до вашей личности. Затем добавьте некоторые заглавные, некоторые буквы и фантазийные символы, и у вас будет хорошо защищенное хранилище паролей.
Используйте ключевую фразу. Когда дело доходит до создания мастер-пароля (того, который отпирает другие пароли), попробуйте использовать ключевую фразу, то есть ряд слов, которые легко запомнить, но трудно угадать. Что-нибудь знакомое с необычной изюминкой, например: "мороженое буррито с бобами". Или просто набор случайных вещей, которые человек может легко представить, а компьютер - нет: "модный крысиный неоновый автомобиль с авокадо". Используйте свое воображение! Имена домашних животных, детей или других членов семьи, а также фразы типа "Впусти меня!" слишком распространены, а значит, легко расшифровываются злоумышленниками.
Включите двухфакторную (2FA) или многофакторную аутентификацию (MFA). Один из лучших способов защитить любую учетную запись, будь то менеджер паролей или нет, - это включить MFA. В менеджере паролей с поддержкой MFA от вас потребуется подтвердить свою личность с помощью двух или более факторов аутентификации, которые включают в себя то, что вы знаете, то, чем вы обладаете, и то, кем вы являетесь. То, что вы знаете, - это, как правило, ваш пароль, но это может быть и PIN-код. То, чем вы владеете, может быть вашим мобильным телефоном, банковской картой или маркером безопасности на USB-накопителе. Наконец, то, кем вы являетесь, может быть проверено с помощью биометрических данных, таких как распознавание лица, голоса или радужной оболочки глаза, а также идентификация по отпечаткам пальцев. Также могут применяться поведенческие биометрические данные, например нажатие клавиш.
Этот дополнительный уровень безопасности означает, что любой, пытающийся войти в вашу учётную запись (включая вас), должен будет подтвердить дополнительные факторы аутентификации помимо имени пользователя и пароля. Примером этого может быть: после ввода мастер-пароля для доступа к менеджеру паролей код будет отправлен на ваш мобильный телефон, который нужно будет ввести, прежде чем вы получите доступ к хранилищу. Причем стоит помнить, что номера телефонов могут быть похищены.
Это называется SIMjacking (или подмена SIM-карты), и это происходит, когда киберпреступник, выдавая себя за вас, убеждает вашего оператора телефона переназначить ваш номер телефона на их телефон, правильно отвечая на ваши контрольные вопросы. Часто поверхностный поиск в соцсетях — это всё, что нужно мошенникам для получения нужных ответов. И как только преступники получают контроль над вашим телефоном, у них есть всё необходимое для кражи вашей личности. Поэтому, возможно, стоит обратить внимание на программные аутентификаторы, такие как Authy или Google Authenticator для критически важных учетных записей.
Подумайте дважды о бесплатных менеджерах паролей. Многие из самых популярных бесплатных менеджеров паролей фактически работают по бизнес-модели freemium, что означает, что вам нужно заплатить, если вы хотите получить лучшие — иногда необходимые — функции. Нужно ли вам, чтобы ваши пароли синхронизировались в браузерах и на устройствах? Нужна ли вам цифровая наследственность? Нужно ли делиться учетными данными с семьей? Нужна ли многофакторная аутентификация? Бесплатные менеджеры паролей обычно не включают эти функции. MFA, в частности, является обязательным. В споре между бесплатным и платным вариантом, выбирайте платный менеджер паролей.
Создайте политику использования менеджера паролей. Вот совет для малых и средних предприятий: создайте политику использования менеджера паролей и сообщите сотрудникам, что использовать менеджеры паролей для защиты их рабочих учётных записей – нормально. Ваши сотрудники уже используют набор потенциально небезопасных методов для управления своими многочисленными паролями, а большинство утечек данных начинается со слабого или повторно используемого пароля. Официальная политика менеджера паролей — это ваша первая линия обороны против кибератаки на вашу сеть.
Смотрите также: Ключ доступа