МЕНЕДЖЕР ПАРОЛЕЙ

Что такое менеджер паролей?

Когда-то, в первые годы Интернета, у вас было может пять паролей для нескольких важных веб-приложений, которые вы использовали для покупок, учёбы, общения и работы. Сегодня всё гораздо сложнее. В среднем люди должны помнить около 100 паролей.

Технологии обещают упростить нашу жизнь, и обычно так и происходит, но каждый новый сайт и приложение – это ещё один пароль, который нужно помнить. Большинству это уже не по силам. Подумайте о себе – повторяете ли вы свои пароли на разных учетных записях, как это делает две трети пользователей Интернета? Это большая ошибка.

Используя гигантские списки украденных паролей (так называемые "дампы"), купленные на темной въеб, киберпреступники могут взломать доступ к другим сайтам или использовать старые пароли для вымогательства пользователей в аферах. Это эффект домино при утечке данных. Один взлом ведет к другому и следующему, и так далее.

Сообщается, что большинство утечек данных вызваны скомпрометированными, слабыми и повторно используемыми паролями. 1234567, кто-нибудь? 

Так как же мы до этого дошли и что мы можем сделать?

Знаменитый веб-комикс xkcd "Когда пароль сложен" объяснил это лучше всего: "Через 20 лет усилий мы успешно обучили всех использовать пароли, которые сложно запомнить людям, но легко угадать компьютерам."

Это правда. 20 лет назад специалисты по кибербезопасности отчитывали пользователей за то, что они не меняли стандартные пароли на устройствах IoT (например, ваш интернет-роутер) или использовали пароли, которые легко угадать, такие как «12345» или «пароль». Из этого вышла длинная и сложная комбинация, над которой шутит xkcd: обычное слово с чередованием заглавных и строчных букв, хотя бы одной цифрой и одним символом.

При создании новой учетной записи сайты требуют, чтобы мы создавали длинные и сложные пароли. Если не удастся, даже аккаунт нельзя создать. Предположим, вы прошли стадию создания учётной записи, но тут же забыли шифр уровня машины Энигма, который только что сделали, и сдались, использовав ссылку "Забыли пароль?" в качестве ежедневного способа входа.

К счастью, вам не нужно помнить все эти пароли. Менеджер паролей запомнит их за вас.

Labs Malwarebytes определяет менеджер паролей как «программное приложение, разработанное для хранения и управления онлайн-учётными данными. Он также генерирует пароли. Обычно эти пароли хранятся в зашифрованной базе данных и блокируются за главным паролем».

Когда все ваши имена пользователей и пароли будут введены в хранилище, ваш мастер-пароль — единственный, который вам нужно запомнить. Ввод вашего мастер-пароля разблокирует ваше хранилище паролей, откуда вы сможете взять нужный пароль.

Каковы преимущества использования менеджера паролей?

Вам больше не нужно запоминать все ваши пароли. Вам нужно помнить только мастер-пароль, который разблокирует ваше хранилище паролей. А если вы выберете облачный менеджер паролей, вы сможете получить доступ к вашему хранилищу паролей из любого места, с любого устройства.

Они могут автоматически генерировать для вас очень надежные пароли. Менеджеры паролей обычно предлагают вам использовать автоматически сгенерированный пароль при создании нового аккаунта на сайте или в приложении. Эти случайные пароли длинные, алфавитно-цифровые и в сущности невозможно угадать.

Они могут предупредить вас о фишинговом сайте. Вот краткое объяснение фишинговых махинаций. Спам-сообщения подделываются или имитируются, чтобы они выглядели так, будто отправлены от законного отправителя, например, от друга, члена семьи, коллеги или организации, с которой вы ведете бизнес. Ссылки, содержащиеся в электронном письме, ведут на так же поддельные злонамеренные веб-сайты, предназначенные для кражи учетных данных для входа. Если вы используете менеджер паролей на основе браузера, он не будет автоматически заполнять поля имени пользователя и пароля, так как он не распознает сайт, связанный с паролем.

Они могут помочь вашим наследникам, когда вы уйдете из жизни. Это называется цифровым наследством. В случае вашей смерти, ваша семья или тот, кого вы назначите управлять вашим имуществом, получит доступ к вашему хранилищу паролей.

Менеджеры паролей экономят время. Помимо просто сохранения паролей для вас, многие менеджеры паролей также автоматически заполняют учетные данные для быстрого доступа к онлайн-аккаунтам. Кроме того, некоторые могут хранить и автоматически заполнять ваше имя, адрес, email, номер телефона и номер кредитной карты. Это может существенно сократить время при покупках онлайн, например.

Многие менеджеры паролей синхронизируются между различными операционными системами (ОС). Если вы пользуетесь Windows на работе, а Mac дома, и переключаетесь между Android с понедельника по пятницу и iOS по выходным, вы сможете быстро получить доступ к своим паролям независимо от платформы, на которой находитесь. То же самое касается всех наиболее популярных веб-браузеров, таких как Chrome, Firefox, Edge, Internet Explorer и Safari.

Они помогают защищать вашу личность. В какой-то мере, менеджеры паролей помогают защититься от кражи персональных данных, и вот почему. Используя уникальный пароль для каждого сайта, вы сегментируете свои данные среди всех веб-сайтов и приложений, которые используете. Если преступнику удастся взломать одну из ваших учетных записей, он не сможет получить доступ к другим. Это, конечно, не защищает на 100%, но добавляет дополнительный уровень безопасности, который вы точно оцените в случае взлома данных.

Безопасны ли менеджеры паролей?

Менеджеры паролей взламывались, но их общий послужной список по обеспечению безопасности данных пользователей очень хорош. Менеджер паролей LastPass столкнулся с несколькими утечками данных, как и некоторые другие инструменты менеджеров паролей. Есть множество авторитетных менеджеров паролей, которые используют шифрование и безопасны в использовании в 2023 году. Один из примеров — NordPass Password Manager, который также был в списке самых безопасных менеджеров паролей от Cyber News.

Важно помнить, что если ваш телефон заражен вредоносным ПО, ваш менеджер паролей также может быть взломан. Поэтому необходимо регулярно обновлять программное обеспечение антивируса и защиты от вредоносных программ.

Какие бывают типы менеджеров паролей?

Менеджеры паролей, установленные на настольные компьютеры, сохраняют ваши пароли локально на вашем устройстве, например, на ноутбуке, в зашифрованном хранилище. Доступ к этим паролям с другого устройства невозможен; если вы потеряете устройство, то и все хранимые на нем пароли тоже будут утеряны. Такие локально установленные менеджеры паролей являются отличным вариантом для людей, не желающих хранить свои данные в сети кого-либо другого. Некоторые локально установленные менеджеры паролей находят баланс между конфиденциальностью и удобством, позволяя создавать несколько хранилищ паролей на разных устройствах и синхронизировать их при подключении к Интернету.

Облачные менеджеры паролей хранят ваши зашифрованные пароли на сетях поставщика услуг. Поставщик услуг непосредственно отвечает за безопасность ваших паролей. Основным преимуществом облачных менеджеров паролей, таких как 1Password и NordPass, является возможность доступа к вашему хранилищу паролей с любого устройства при наличии интернет-соединения. Веб-менеджеры паролей могут иметь разные формы — чаще всего в виде расширения для браузера, приложения для настольного компьютера или мобильного приложения.

Единый вход (SSO). В отличие от менеджера паролей, который хранит уникальные пароли для каждого используемого приложения, SSO позволяет использовать один пароль для всех приложений. Подумайте об SSO как о вашем цифровом паспорте. Когда вы въезжаете в другую страну, паспорт сообщает офицерам на таможнице и иммиграции, что ваша страна гражданства поручается за вас, и вас нужно пропустить с минимальными затруднениями. Аналогично, при использовании SSO для входа в приложение вас не просят проверять свою личность. Вместо этого провайдер SSO поручается за вашу личность. Компании предпочитают SSO перед менеджерами паролей по нескольким причинам. Во-первых, SSO — это безопасный и удобный способ для сотрудников получить доступ к приложениям, необходимым для работы. SSOs также сокращают время, затрачиваемое IT на устранение проблем и сброс забытых паролей.

Лучшие практики для паролей

Не используйте пароли повторно. Даже с менеджером паролей. Вместо этого создайте уникальные пароли для каждого сайта и позвольте менеджеру паролей делать то, для чего он предназначен. Используйте надежный генератор сильных паролей, чтобы создавать уникальные пароли для всех ваших учётных записей.

Создавайте сложные пароли. Многие менеджеры паролей удобно предлагают создать сильные пароли всякий раз, когда вы создаёте учётную запись для нового сайта. Если нет, старайтесь использовать случайные комбинации букв и цифр, переключаясь между заглавными и строчными. Чем сложнее и более бессмысленный пароль, тем лучше — особенно потому, что вам не нужно будет его запоминать. Это сделает менеджер паролей. Единственное различие заключается в создании вашего мастер-пароля (того, который открывает все остальные). Этот вам действительно нужно будет запомнить, поэтому, если у вас не фотографическая память, попробуйте придумать что-то запоминающееся, но не легко отслеживаемое до вашей личности. Затем добавьте некоторые заглавные, некоторые буквы и фантазийные символы, и у вас будет хорошо защищенное хранилище паролей.

Используйте фразу-пароль. Что касается создания вашего мастер-пароля (того, что открывает ваши другие пароли), попробуйте использовать фразу-пароль; т.е. ряд слов, который легко запомнить, но трудно угадать. Что-то знакомое с необычным поворотом, например: "бобовый буррито мороженое сплит". Или просто куча случайных вещей, которые человек может легко визуализировать, но компьютер не сможет: "элегантная крыса неон авакадо машина". Используйте свое воображение! Имена питомцев, детей или других членов семьи, или строки типа "Пусти меня!" слишком распространены и, следовательно, легко угадываются киберпреступниками.

Включите двухфакторную (2FA) или многофакторную аутентификацию (MFA). Один из лучших способов защитить любую учётную запись, будь это менеджер паролей или нет, — это включить MFA. С менеджером паролей с поддержкой MFA потребуется подтвердить свою личность, используя два или более факторов аутентификации, которые включают в себя то, что вы знаете, то, что вы имеете, и то, кто вы есть. То, что вы знаете, обычно является паролем, но это может быть и номер PIN. То, что вы имеете, может быть вашим мобильным телефоном, банковской картой или токеном безопасности на USB-накопителе. Наконец, то, кто вы есть, может быть подтверждено с помощью биометрических данных, таких как распознавание лица, голоса или радужной оболочки глаза и отпечатка пальца. Бихевиористическая биометрия, такая как последовательность нажатий клавиш, также может быть применена.

Этот дополнительный уровень безопасности означает, что любой, пытающийся войти в вашу учётную запись (включая вас), должен будет подтвердить дополнительные факторы аутентификации помимо имени пользователя и пароля. Примером этого может быть: после ввода мастер-пароля для доступа к менеджеру паролей код будет отправлен на ваш мобильный телефон, который нужно будет ввести, прежде чем вы получите доступ к хранилищу. Причем стоит помнить, что номера телефонов могут быть похищены.

Это называется SIMjacking (или подмена SIM-карты), и это происходит, когда киберпреступник, выдавая себя за вас, убеждает вашего оператора телефона переназначить ваш номер телефона на их телефон, правильно отвечая на ваши контрольные вопросы. Часто поверхностный поиск в соцсетях — это всё, что нужно мошенникам для получения нужных ответов. И как только преступники получают контроль над вашим телефоном, у них есть всё необходимое для кражи вашей личности. Поэтому, возможно, стоит обратить внимание на программные аутентификаторы, такие как Authy или Google Authenticator для критически важных учетных записей.

Подумайте дважды о бесплатных менеджерах паролей. Многие из самых популярных бесплатных менеджеров паролей фактически работают по бизнес-модели freemium, что означает, что вам нужно заплатить, если вы хотите получить лучшие — иногда необходимые — функции. Нужно ли вам, чтобы ваши пароли синхронизировались в браузерах и на устройствах? Нужна ли вам цифровая наследственность? Нужно ли делиться учетными данными с семьей? Нужна ли многофакторная аутентификация? Бесплатные менеджеры паролей обычно не включают эти функции. MFA, в частности, является обязательным. В споре между бесплатным и платным вариантом, выбирайте платный менеджер паролей.

Создайте политику использования менеджера паролей. Вот совет для малых и средних предприятий: создайте политику использования менеджера паролей и сообщите сотрудникам, что использовать менеджеры паролей для защиты их рабочих учётных записей – нормально. Ваши сотрудники уже используют набор потенциально небезопасных методов для управления своими многочисленными паролями, а большинство утечек данных начинается со слабого или повторно используемого пароля. Официальная политика менеджера паролей — это ваша первая линия обороны против кибератаки на вашу сеть.

Смотрите также: Ключ доступа