Менеджер паролей - программа, которая позволяет пользователю не запоминать, а БЕЗОПАСНО хранить логины и сложные пароли (что-то типа такого HU3c(bI@4dw-8u6xTy\_c0R! ). То есть менеджер паролей служит своеобразным сейфом, внутри которого хранятся все ваши пароли.
Менеджеры паролей обычно используют выбранный пользователем основной пароль (мастер-пароль), или секретную фразу (passphrase), чтобы сформировать ключ, используемый для зашифровки хранимых паролей.
Менеджеры паролей могут хранить пароли в разных местах и поэтому они разделяются на:
- локальные менеджеры паролей. Пароли в этом случае хранятся на компьютере или в смартфоне. И этим достигается дополнительная безопасность: пароли не передаются на сторонние серверы.
Примером может быть KeePass, PassBolt и т.п. - облачные менеджеры паролей. Пароли в этом случае хранятся в интернете, на специальных сайтах разработчика программы в зашифрованном виде. Такой менеджер паролей может использоваться на любом компьютере с выходом в интернет и с доступом к браузеру.
Но в таком случае безопасность несколько ниже: вы никак не можете проверить, насколько защищены ваши пароли в процессе хранения и передачи через интернет, а также не передаются ли они третьим лицам или самим сотрудникам компании-разработчика.
Примером может быть NordPass, Roboform и т.п.
Есть вариант расположить пароли в интернете (в "облаке") и синхронизировать их между различными устройствами, на которые установлены менеджеры паролей.
Менеджеры паролей имеют различные достоинства и недостатки. И в разных менеджерах они различны. Приведу лишь общие плюсы и минусы
К плюсам менеджеров паролей относится:
- Можно создавать сложные и надёжные пароли, которые не надо запоминать (что сделать практически не возможно) или куда-то записывать.
- Возможна генерации пароля, что позволяет создавать пароль из случайных символов, размещённых без какой-либо системы. В результате надёжность такого пароля возрастает многократно.
- Как правило менеджер паролей имеет удобную структуру хранимых данных (например, работа, учёба и т.п.) с фильтром и поиском. Обычно это выполняется в виде папок с бесконечной иерархией вложенности и в некоторых случаях со специальными иконками.
- Некоторые менеджеры паролей позволяют автоматически (то есть без участия пользователя) вводить логин и пароль на соответствующий сайт. Если же этой функции нет, то логин и пароль придётся вводить вручную.
Тут стоит упомянуть, что автозаполнение может уберечь от мошенников. Например, если при переходе на сайт поля формы автоматически не заполняются то это может быть признаком мошеннического сайт, веб-адрес которого похож на веб-адрес реального сайта, но содержит незначительное отличие. - Кроссплатформенность - то есть один и тот же менеджер паролей может использовать на устройствах с различными операционными системами: Windows, Android, iOS, MacOS. Это может быть удобным. Но не обязательно поддерживаются все операционные системы.
- В некоторых менеджерах паролей - возможно использование двухфакторной аутентификацией: для разблокировки менеджера паролей в дополнение к мастер-паролю требуется дополнительный ключ. В качестве двухфакторной аутентификацией может быть использовано отпечаток пальца, распознавание лица, код, отправленный в мобильное приложение для аутентификации, или аппаратный ключ безопасности.
Такая функция может присутствовать в менеджере паролей либо изначально, либо добавляться с помощью установки плагинов. - Большинство менеджеров паролей также запоминают личную информацию: имя, адрес и данные кредитной карты, и могут автоматически вводят их в требуемые формы на сайте, что экономит время при совершении таких транзакций, как онлайн-покупки.
Также некоторые менеджеры паролей позволяют хранить документы и фотографии в зашифрованном хранилище, доступ к которому есть только у вас. - Менеджер паролей может открывает доступ к выбранным разделам ваших данных (логинов и паролей от определённых сайтов) для некоторых пользователей. Например, это можно использовать для семейных подписок (то есть где требуется 1 логи и 1 пароль) для прослушивания музыки, просмотра фильмов и т.п..
К минусам менеджеров паролей относится:
- Возможны утечки паролей. Например, смогут взломать или узнать каким-либо другим способом ваш мастер-пароль или взломать сайт на котором хранятся пароли.
Частично от этого можно застраховаться если на особо важных паролях добавлять лишние символы по какому-либо алгоритму (например, через каждые 5 символов вводить лишний символ), а при вводе на сайте их удалять (что не совсем удобно).
Поэтому рекомендую перед использованием менеджера пароля поискать в интернете информацию про проверку надёжности данного менеджера. - Основной пароль также может быть узнан злоумышленниками при использовании кейлоггера или акустического криптоанализа (хоть и маловероятно для обычных людей, но об этом не стоит забывать).
Частично от этого можно застраховаться если вводить пароль с помощью виртуальной клавиатуры или автоматическим вводом пароля на сайт. - Если вы потеряете свой смартфон или у вас украдут компьютер (хотя может быть вы решите заменить жёсткий диск {например, из-за какой-либо неисправность}, а старый выкините) то ваш менеджер паролей может попасть в руки преступников.
- Возможны проблемы с заходом на сайт если у вас под другой не будет программы с паролями (например, если у вас менеджер паролей на компьютере, а вы хотите зайти на сайт не из дома).
- При установке на устройстве при сбое или при переустановке системы, данные могут оказаться потерянными.
- Если вы забудете мастер-пароль то вы потеряете доступ к своей базе паролей, и, соответственно, ко всем сайтам.
Правда многие менеджеры паролей позволяют делать резервные копии с логинами и паролями. Но вот только не все такие копии защищённые и зачастую представляют собой обычный текстовый файл (например, блокнот или документ ворд). Поэтому такая копия нуждается в дополнительной защите. - Сгенерированные в менеджере пароли могут быть отгадываемыми, если менеджер пароля не использует криптографически безопасный генератор случайных чисел... Собственно это относится к любому генератору паролей (в том числе и имеющимся в интернете).
Частично от этого можно застраховаться если в сгенерированный пароль вводить несколько случайных символов. Или если сгенерировать несколько паролей и как-либо объединить их в один. - Автоматический ввод логина и пароля возможен при установке в браузер специального расширения (дополнения), выпущенное разработчиком менеджера. И вот в этом уменьшается безопасность: пароль остаётся в буфере обмена, а также пользователь сам может случайно куда-либо его отправить. Возможны и другие варианты, из-за которых возможны утечки паролей.
- Не все менеджеры паролей поддерживают русский язык.
- При кроссплатформенности на разных устройствах могут быть не доступных некоторые функции.
- За пользование менеджеров паролей может взиматься плата. Это может быть как за использование всего менеджера паролей, так и части его функций (использование более чем на 1 устройстве, за двухфакторную аутентификацию, за неограниченное число хранимых паролей и т.п.).
Отдельно хочу упомянуть браузерные менеджеры паролей: они хранятся в браузере. Да они удобны в использовании на сайтах. Но другие пользователи вашего устройства легко получат ваши учётные данные (в первую очередь из-за того что у них нет или "условный" мастер-пароль), браузеры хранят сохранённые пароли в известных местах, что сказывается на уязвимости (хотя защиты же и так практически нет). А также у них нет синхронизации между разными браузерами.
Поэтому я считаю что браузерные менеджеры паролей не могут обеспечить сохранность пароля и не допустить доступ к различным сайтам.
Комментариев нет:
Отправить комментарий