МЕНЕДЖЕР ПАРОЛЕЙ

Менеджер паролей - это программное приложение, предназначенное для хранения и управления учетными данными в Интернете. Обычно эти пароли хранятся в зашифрованной базе данных и закрыты мастер-паролем. 

ГЕНЕРАТОР ПАРОЛЕЙ

Что такое менеджер паролей?

Когда-то, в первые годы существования Интернета, у вас была горстка паролей для нескольких важных веб-приложений, которые вы использовали для покупок, учебы, связи и работы. Сегодня все гораздо сложнее. В среднем, по некоторым данным, людям приходится помнить около 100 паролей.

Хотя технологии обещают облегчить нашу жизнь, и, как правило, так и происходит, каждый новый сайт или приложение, на котором мы регистрируемся, - это еще один пароль, который нужно запомнить. Для большинства становится невозможным запомнить их все. Подумайте о себе - используете ли вы пароли для нескольких учетных записей повторно (как две трети пользователей Интернета)? Это большой минус.

Используя огромные списки украденных паролей (так называемые "дампы"), купленные в "темнойпаутине", киберпреступники могут грубой силой проникать на другие сайты или использовать старые пароли для вымогательства у пользователей в мошеннических целях. Это и есть эффект домино от утечки данных. Одна утечка ведет к другой, и так далее.

По имеющимся данным, большинство утечек данных происходит из-за взломанных, слабых и повторно используемых паролей. 1234567, кто-нибудь? 

Так как же мы дошли до такого состояния и что мы можем с этим сделать?

Комикс о надежности паролей

Знаменитый веб-комикс xkcd "Сила пароля" объясняет это лучше всего: "За 20 лет усилий мы успешно приучили всех использовать пароли, которые трудно запомнить человеку, но легко угадать компьютеру".

Это правда. 20 лет назад специалисты по кибербезопасности упрекали пользователей в том, что они не меняют пароли по умолчанию на IoT-устройствах (например, на вашем интернет-роутере) или используют легко угадываемые пароли типа "12345" или "password". В результате появился длинный и надежный пароль, над которым смеется xkcd: обычное слово со смесью заглавных и строчных букв, как минимум одной цифры и одного символа.

При создании новой учетной записи сайты требуют, чтобы мы создавали длинные и надежные пароли. В противном случае нам даже не разрешат создать учетную запись. Если вы пройдете этап создания учетной записи, то быстро забудете только что созданный шифр машины Энигма и смиритесь с тем, что будете использовать ссылку "Забыли пароль?" в качестве ежедневного входа в систему.

К счастью, вам не придется запоминать все эти пароли. Менеджер паролей может запомнить их за вас.

Malwarebytes Labs определяет менеджер паролей как "программное приложение, предназначенное для хранения и управления учетными данными в Интернете. Оно также генерирует пароли. Обычно эти пароли хранятся в зашифрованной базе данных и закрыты мастер-паролем".

После того как все имена пользователей и пароли ваших учетных записей будут введены в хранилище, вам нужно будет запомнить только один мастер-пароль. Введя мастер-пароль, вы разблокируете хранилище паролей, и из него вы сможете извлечь любой пароль.

В чем преимущества использования менеджера паролей?

Вам больше не нужно запоминать все свои пароли. Вам нужно помнить только главный пароль, который открывает ваше хранилище паролей. А если вы выберете облачный менеджер паролей, то сможете получить доступ к своему хранилищу паролей в любом месте и с любого устройства.

Они могут автоматически генерировать для вас высоконадежные пароли. Обычно менеджеры паролей спрашивают вас, хотите ли вы использовать автоматически сгенерированный пароль при создании новой учетной записи на сайте или в приложении. Эти случайные пароли длинные, буквенно-цифровые, и их практически невозможно угадать.

Они могут предупредить вас о фишинговом сайте. Вот краткое описание фишинговых афер. Спам по электронной почте подделывается так, что кажется, будто он исходит от законного отправителя, например от друга, члена семьи, коллеги или организации, с которой вы сотрудничаете. Ссылки, содержащиеся в письме, ведут на аналогичные поддельные вредоносные веб-сайты, предназначенные для сбора учетных данных. Если вы используете браузерный менеджер паролей, он не будет автоматически заполнять поля имени пользователя и пароля, поскольку не распознает веб-сайт, к которому привязан пароль.

Они могут помочь вашим бенефициарам после вашей смерти. Это называется цифровым наследством. В случае вашей смерти ваша семья или тот, кого вы назначите управляющим вашим имуществом, получит доступ к вашему хранилищу паролей.

Менеджеры паролей экономят время. Многие менеджеры паролей не только хранят пароли, но и автоматически заполняют учетные данные для более быстрого доступа к учетным записям в Интернете. Кроме того, некоторые из них могут хранить и автоматически заполнять имя, адрес, электронную почту, номер телефона и информацию о кредитной карте. Это может значительно сэкономить время, например, при совершении покупок в Интернете.

Многие менеджеры паролей синхронизируются между различными операционными системами (ОС). Если вы пользуетесь Windows на работе и Mac дома, заходите на Android с понедельника по пятницу и обращаетесь к iOS по выходным, вы сможете быстро получить доступ к своим паролям независимо от того, на какой платформе вы находитесь. То же самое касается всех наиболее популярных веб-браузеров: Chrome, Firefox, Edge, Internet Explorer и Safari.

Они помогают защитить вашу личность. В некотором роде менеджеры паролей помогают защититься от кражи личных данных, и вот почему. Используя уникальный пароль для каждого сайта, вы, по сути, сегментируете свои данные на всех сайтах и приложениях, которыми пользуетесь. Если преступник взломает одну из ваших учетных записей, он не обязательно сможет проникнуть в другие. Это, конечно, не надежная защита, но это дополнительный уровень безопасности, который вы наверняка оцените в случае утечки данных.

Безопасны ли менеджеры паролей?

Менеджеры паролей подвергались взлому, но в целом их послужной список, когда речь идет о защите пользовательских данных, очень хорош. Менеджер паролей LastPass пострадал от нескольких утечек данных, как и некоторые другие инструменты для управления паролями. Существует множество надежных менеджеров паролей, которые используют шифрование и безопасны для использования в 2023 году. Одним из примеров является менеджер паролей NordPass, который также входит в список самых безопасных менеджеров паролей по версии Cyber News.

Важно помнить, что если ваш телефон заражен вредоносным ПО, менеджер паролей также может быть взломан. Поэтому обязательно обновляйте антивирусные программы и программы защиты от вредоносного ПО.

Какие бывают типы менеджеров паролей?

Настольные менеджеры паролей хранят ваши пароли локально на вашем устройстве, например ноутбуке, в зашифрованном хранилище. Вы не сможете получить доступ к этим паролям ни с какого другого устройства, а если потеряете устройство, то потеряете и все хранящиеся там пароли. Менеджеры паролей с локальной установкой - отличный вариант для тех, кто не хочет, чтобы их данные хранились в чужой сети. Некоторые локально устанавливаемые менеджеры паролей позволяют найти баланс между конфиденциальностью и удобством, позволяя создавать несколько хранилищ паролей на разных устройствах и синхронизировать их при подключении к Интернету.

Облачные менеджеры паролей хранят ваши зашифрованные пароли в сети поставщика услуг. Поставщик услуг несет прямую ответственность за безопасность ваших паролей. Основное преимущество облачных менеджеров паролей, примером которых являются 1Password и NordPass, заключается в том, что вы можете получить доступ к своему хранилищу паролей с любого устройства, если у вас есть подключение к Интернету. Веб-менеджеры паролей могут быть представлены в различных формах - чаще всего в виде расширения для браузера, приложения для настольных компьютеров или мобильного приложения.

Единая регистрация (SSO). В отличие от менеджера паролей, который хранит уникальные пароли для каждого используемого приложения, SSO позволяет использовать один пароль для всех приложений. Подумайте о SSO как о своем цифровом паспорте. При въезде в другую страну паспорт сообщает сотрудникам таможни и иммиграционной службы, что страна вашего гражданства ручается за вас и что вас должны пропустить с минимальными трудностями. Аналогичным образом, при использовании SSO для входа в приложение от вас не требуется подтверждать свою личность. Вместо этого поставщик SSO ручается за вашу личность. Предприятия предпочитают SSO менеджерам паролей по нескольким причинам. Прежде всего, SSO - это безопасный и удобный способ доступа сотрудников к приложениям, необходимым им для выполнения работы. SSO также сокращают время, которое ИТ-специалисты тратят на устранение неполадок и сброс забытых паролей.

Передовые методы работы с паролями

Не используйте пароли повторно. Даже с помощью менеджера паролей. Вместо этого создайте уникальные пароли для каждого сайта и позвольте вашему менеджеру паролей делать то, для чего он предназначен. Используйте безопасный генератор надежных паролей, чтобы создать уникальные пароли для всех ваших учетных записей.

Создавайте сложные пароли. Многие менеджеры паролей помогают автоматически предлагать сложные пароли при создании учетной записи на новом сайте. Если это не так, старайтесь использовать случайные комбинации букв и цифр, а также чередовать прописные и строчные буквы. Чем сложнее и бессмысленнее, тем лучше - тем более что вам не придется его запоминать. Менеджер паролей сделает это. Единственное ключевое отличие заключается в создании мастер-пароля (того, который разблокирует все остальные пароли). Этот пароль вам придется запомнить, поэтому, если у вас нет эйдетической памяти, постарайтесь придумать что-то запоминающееся, но не позволяющее легко отследить вашу личность. Затем добавьте несколько заглавных букв и причудливых символов, и у вас получится хорошо защищенное хранилище паролей.

Используйте ключевую фразу. Когда дело доходит до создания мастер-пароля (того, который отпирает другие пароли), попробуйте использовать ключевую фразу, то есть ряд слов, которые легко запомнить, но трудно угадать. Что-нибудь знакомое с необычной изюминкой, например: "мороженое буррито с бобами". Или просто набор случайных вещей, которые человек может легко представить, а компьютер - нет: "модный крысиный неоновый автомобиль с авокадо". Используйте свое воображение! Имена домашних животных, детей или других членов семьи, а также фразы типа "Впусти меня!" слишком распространены, а значит, легко расшифровываются злоумышленниками.

Включите двухфакторную (2FA) или многофакторную аутентификацию (MFA). Один из лучших способов защитить любую учетную запись, будь то менеджер паролей или нет, - это включить MFA. В менеджере паролей с поддержкой MFA от вас потребуется подтвердить свою личность с помощью двух или более факторов аутентификации, которые включают в себя то, что вы знаете, то, чем вы обладаете, и то, кем вы являетесь. То, что вы знаете, - это, как правило, ваш пароль, но это может быть и PIN-код. То, чем вы владеете, может быть вашим мобильным телефоном, банковской картой или маркером безопасности на USB-накопителе. Наконец, то, кем вы являетесь, может быть проверено с помощью биометрических данных, таких как распознавание лица, голоса или радужной оболочки глаза, а также идентификация по отпечаткам пальцев. Также могут применяться поведенческие биометрические данные, например нажатие клавиш.

Этот дополнительный уровень безопасности означает, что любой, кто попытается войти в вашу учетную запись (в том числе и вы сами), должен будет контролировать дополнительные факторы аутентификации, помимо имени пользователя и пароля. Примером может быть следующее: После ввода мастер-пароля для доступа к менеджеру паролей на ваш мобильный телефон будет отправлен код, который нужно будет ввести, чтобы получить доступ к хранилищу. При использовании телефона в качестве фактора аутентификации следует помнить об одной вещи - номера телефонов могут быть перехвачены.

Это называется SIMjacking (он же SIM-swapping), и происходит, когда киберпреступник, выдавая себя за вас, убеждает вашего оператора связи переназначить ваш номер телефона на свой телефон, успешно ответив на ваши вопросы безопасности. Беглый поиск в социальных сетях - это зачастую все, что нужно мошенникам, чтобы получить необходимые ответы. А если преступники завладели вашим телефоном, у них есть все необходимое для кражи вашей личности. Поэтому для важных учетных записей лучше использовать программные аутентификаторы, например Authy или Google Authenticator.

Подумайте дважды о бесплатных менеджерах паролей. Многие из самых популярных бесплатных менеджеров паролей на самом деле работают по бизнес-модели freemium, то есть вам придется заплатить, если вы хотите получить лучшие, а иногда и необходимые функции. Вам нужно, чтобы ваши пароли синхронизировались между браузерами и устройствами? Нужно ли вам цифровое наследство? Нужно ли вам делиться логинами с родственниками? Нужна ли вам многофакторная аутентификация? Free Менеджеры паролей обычно не включают эти функции. MFA, в частности, является обязательным элементом. В споре между бесплатным и платным менеджером паролей сделайте выбор в пользу платного.

Создайте политику управления паролями. Совет для малого и среднего бизнеса: Создайте политику менеджера паролей и сообщите сотрудникам, что они могут использовать менеджер паролей для защиты своих рабочих аккаунтов. Ваши сотрудники уже используют множество потенциально небезопасных методов для управления своими многочисленными паролями, а большинство случаев утечки данных начинаются со слабых или повторно используемых паролей. Официальная политика использования менеджера паролей - это первая линия защиты от кибератак на вашу сеть.

См. также: Passkey

Вопросы и ответы

Что такое менеджер паролей?

Менеджер паролей - это программное приложение, предназначенное для хранения и управления учетными данными в Интернете. 

В чем смысл менеджера паролей?

Менеджер паролей поможет вам создать и надежно сохранить длинные уникальные пароли для всех ваших учетных записей в Интернете. Вы должны использовать разные пароли для всех своих учетных записей, а запомнить их все очень сложно.