Отдам пароли в надёжные руки: 5 самых популярных менеджеров паролей

Практически все популярные веб-браузеры предлагают сохранять пароли и в дальнейшем использовать автозаполнение для различных сервисов, таких как электронная почта, социальные сети, порталы самообслуживания и пр. Насколько безопасно использование таких функций? Не приведёт ли это к тому, что злоумышленники похитят пароль, инфицировав ПК вирусом?

Среднестатистический пользователь имеет минимум два почтовых ящика, учётную запись в Facebook и/или другой социальной сети (а нередко — в нескольких сетях), также он пользуется службами бронирования авиабилетов, банковскими порталами и многими другими веб-сервисами. Для всех аккаунтов нужны пароли, причём они должны быть длинными и состоящими из цифр и символов в различных регистрах. Кроме того, очень рекомендуется раз в несколько месяцев пароли менять. Все современные веб-браузеры после первого набора пароля предлагают его «запомнить» с целью последующего автоматического ввода. Конечно же, это очень удобно, но насколько безопасно?

Обычно браузеры хранят пароли в зашифрованном виде, поэтому извлечь их не так просто. Тем не менее, это всё-таки возможно, – отмечает Олег Сыч, глава антивирусной лаборатории Zillya!. Например, в интернете есть исходные коды утилит по извлечению паролей из Firefox, Safari и других браузеров. Поэтому троянская программа, если она разработана для хищения паролей, с высокой долей вероятности сможет найти их в базе паролей в браузере.

По мнению эксперта, специализированные приложения для хранения паролей, так называемые менеджеры паролей (МП) намного лучше защищены от взлома в сравнении с веб-браузерами, которые легко становятся жертвами вредоносной атаки. Многие антивирусные системы включают такиеменеджеры паролей: Kaspersky Total Security, Norto Identity Safe, Symantec Endpoint Manager Admin Password и другие.

Принцип действия МП следующий: пользователь заносит в базу программы пароли для всех нужных онлайн-сервисов (приложение может даже помочь в их генерации), после чего нужно лишь запомнить мастер-пароль входа в сам Менеджер паролей. Преимущества очевидны: для каждого веб-сервиса можно использовать сложный и уникальный пароль, но помнить при этом надо всего один мастер-пароль.

Если пользователь не хочет или не может хранить в памяти десятки «секретных слов», ему следует завести МП. Эти программы становятся всё более удобными, экономят время, и в то же время хорошо защищают конфиденциальную информацию.

1Password

Утилита 1Password — наиболее популярный менеджер паролей среди пользователей Mac-систем. Программа генерирует сложные и уникальные пароли для каждого веб-сервиса, запоминает их и вводит при открытии нужного сайта — всего в одно нажатие. Есть версии для PC, Android, Mac, iPhone или iPad, которые синхронизируются между собой. Даже если вы «запомнили» в 1Password пароль, пользуясь Android-смартфоном, то при открытии аналогичного сайта на iPad этот пароль будет введён автоматически.

Разработчики уделили особое внимание безопасности. Master-пароль, необходимый для входа в приложение, хранится в отдельном шифрованном файле, а не в хранилище ключей iOS. Защита от атак перебором обеспечивается за счёт алгоритма SHA512 и PBKDF2, а каждый элемент базы данных шифруется 256-битным ключом (AES). Это намного надёжнее, чем защита в iOS, ведь там все данные лежат в открытом виде в настройках Safari.

Утилита 1Password — наиболее популярный МП среди пользователей Mac-систем

Утилита 1Password — наиболее популярный МП среди пользователей Mac-систем

Приложение числится как временно бесплатное на App Store и Google Play, в настоящее время его можно скачать бесплатно. Версия для MacOS или Windows стоит $50.

Dashlane

Служба управления паролями Dashlane автоматически вводит логин-пароль на сайтах. Когда пользователь заходит на страницу с формой логина и пароля, то происходит автоматический ввод этих данных и отправка формы, конечно если Dashlane активен. Но если внести данные в соответствующие поля в приложении, Dashlane может заполнять и другие формы, например, контактный телефон, адрес доставки и т.п. Полезная функция — генератор сложных паролей. Во время регистрации на каком-либо ресурсе Dashlane генерирует и запоминает сильные пароли. Потом их можно посмотреть через само приложение.

Важное преимущество Dashlane —  функция смены всех паролей «одним щелчком»

Важное преимущество Dashlane —  функция смены всех паролей «одним щелчком»

Недавно в сервисе появилась новая функция, которая по всей вероятности станет стандартом де-факто для всех подобных программ. Речь идёт о смене всех паролей «одним щелчком», даже для учётных записей, использующих двухфакторную аутентификацию. Сейчас новая функциональность доступна для аккаунтов на 75 крупных платформах, в том числе Amazon, Facebook, PayPal, Apple, Google, LinkedIn и Twitter.

KeePass

Приложение KeePass – бесплатный менеджер паролей с открытым исходным кодом. В отличие от многих подобных утилит KeePass не является плагином к браузеру, это отдельный инструмент, интегрированный с Windows User Account Control и поддерживающий скрипты для PowerShell, что позволяет создавать решения под специальные нужды. Программа переведена более чем на 40 языков, включая украинский.

Основа управления KeePass — древовидная структура групп, каждая из которых содержит свои списки элементов. Пользователь задаёт группы (электронная почта, социальные сети, банковские реквизиты и т.п.) и создаёт в них элементы со всеми необходимыми значениями. Кстати, кроме классического логина и пароля можно задавать любые другие поля. Вся эта информация хранится в едином файле, зашифрованном с помощью алгоритмов Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish. Доступ к базе может осуществляться по паролю, по ключевому файлу, или по их совокупности. Безопасность системы весьма высока, ведь подобные алгоритмы шифрования часто используют банки.

Основа управления KeePass — древовидная структура групп, каждая из которых содержит свои списки элементов

Основа управления KeePass — древовидная структура групп, каждая из которых содержит свои списки элементов

Вообще, KeePass – инструмент с весьма аскетичным и не особо удобным в работе интерфейсом, но зато приложение имеет архитектуру, расширяемую дополнительными плагин-модулями. Существующие плагины доступны на домашней странице KeePass, здесь есть импорт/экспорт в различные форматы данных, резервное копирование баз данных, интеграция и автоматизация и т.д. Однако следует учесть, что плагины могут являть собой угрозу, потому что они написаны независимыми авторами и при этом имеют полный доступ к базе данных KeePass.

PasswordBox

Приложение PasswordBox в настоящее время принадлежит подразделению Intel Security и является одним из самых надёжных и популярных менеджеров паролей. Количество загрузок превышает 14 миллионов. Полная версия утилиты полностью бесплатна, интерфейс доступен на различных языках, включая русский. Продукт инсталлируется как plugin-модуль для браузера (поддерживаются Chrome, Firefox, IE, Safari, Opera), очень прост и удобен в работе. Перед первым применением пользователь должен зарегистрироваться в программе и задать свой мастер-пароль. Дальше достаточно просто ходить по веб-сайтам, требующим вводить пароли, и PasswordBox будет запоминать пару логин+пароль для каждого сайта. При последующем открытии данного веб-ресурса автозаполнение произойдёт автоматически.

Простой и удобный интерфейс PasswordBox придётся по вкусу как пользователям Windows, так и Mac-систем

Простой и удобный интерфейс PasswordBox придётся по вкусу как пользователям Windows, так и Mac-систем

PasswordBox содержит достаточно широкий набор инструментов. Здесь есть функция Кошелёк — это нечто вроде хранилища вашей конфиденциальной персональной информации в зашифрованном виде. Каталог такого хранилища поделен на 6 категорий, куда можно вносить данные документов, платёжных карт, адресную книгу и прочее. Функция «Заметки» предназначена для хранения каких-либо секретных записей. Есть также функция «Доступ», которая позволяет передавать доступ к паролям другим пользователям компьютера. PasswordBox поддерживает несколько учётных записей, то есть, эту утилиту для своих нужд могут использовать несколько человек на одном ПК. Главное – не забывать выйти из своего аккаунта в PasswordBox.

В PasswordBox есть функция назначения доверенного пользователя, который сможет получить доступ к хранилищу по наследству, если что-нибудь случится с владельцем паролей. Правда, для передачи паролей требуется подтверждение смерти мастер-пользователя. В будущем планируется реализация функции «TrueKey», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).

Функция «Кошелёк» — хранилище конфиденциальной персональной информации пользователя в зашифрованном виде

Функция «Кошелёк» — хранилище конфиденциальной персональной информации пользователя в зашифрованном виде

На сайте разработчика можно скачать версии для Windows, Mac, Android и iOS. В целом, PasswordBox — одно из самых многофункциональных и удобных приложений для хранения паролей.

LastPass

Название LastPass разработчики приложения трактуют как The Last Password You Have To Remember, то есть: «Последний пароль, который вам придётся запомнить». Действительно, бесплатная утилита LastPass способна генерировать и хранить сильные пароли, поэтому запомнить нужно только мастер-пароль. Утилита существует в виде плагинов для Internet Explorer, Google Chrome, Mozilla Firefox, Opera и Apple Safari. Пароли в LastPass хранятся локально и могут быть синхронизированы с любым другим браузером. В LastPass имеется также функция заполнения форм, что позволяет автоматизировать этот процесс. Кроме того, есть функция импорта и экспорта паролей.

В Lastpass можно просмотреть историю сгенерированных паролей

В Lastpass можно просмотреть историю сгенерированных паролей

Как создать сложный, но при этом хорошо запоминаемый пароль?

Итак, подведём итоги: браузеры являются не лучшим местом чтобы хранить пароли, лучше использовать для этого специальные приложения. Однако, и здесь не всё однозначно, ведь теоретически мастер-пароль может быть украден, хоть это и сложнее. Кроме того, если МП будет повреждён по какой-то причине – вы рискуете потерять все пароли. Если приходится часто работать на гостевых устройствах, допустим, в отелях, аэропортах или офисах, то самое оптимальное – хранить все пароли в памяти. В этом случае пароль украсть очень сложно, но всё же возможно. Например, с помощью трояна-кейлоггера, либо если злоумышленник подсмотрит ввод пароля через камеру наблюдения в общественном месте.

Для надёжной защиты эксперты советуют назначать пароли не менее 10-12 символов, максимально сложные и бессмысленные, содержащие как заглавные, так и строчные буквы, а также спецсимволы. Естественно, пароль типа Xf47UoBN@y&2 – очень даже надёжный, только больше одного такого пароля пользователь не запомнит, а применять для всех учётных записей один, хоть и очень сложный пароль — непозволительная глупость.

Записать все используемые пароли на лист бумаги и приклеить с обратной стороны клавиатуры — тоже не лучший вариант. И не только потому, что их может увидеть кто-то из посторонних, но и по той причине, что если вы потеряете этот листок, то уже вряд ли сможете вспомнить пароли.

Для создания легко запоминающихся и при этом надёжных паролей эксперты советуют использовать следующий метод. Для каждого профильного онлайн-сервиса подбираем расхожую фразу или пословицу, затем от каждого слова в это фразе берём первые 2 или 3 литеры, складываем в одно слово, добавляем несколько цифр и спецсимволов — и пароль готов. Допустим, вы генерируете пароль для сервиса онлайн-банкинга. Подбираем фразу, которая ассоциируется с финансами — «Деньги счёт любят», берём первые две буквы от каждого слова — «ДеСчЛю», набираем их в латинской раскладке — LeCxK>. Далее между слогами мы можем вставить знак подчёркивания:  Le_Cx_K>, а в конце — спецсимвол: Le_Cx_K>#2. Цифра 2 в конце пароля означает — второй квартал, если мы намерены менять пароли каждый квартал.

Можно применить чуть другой подход, предположим, мы хотим создать надёжный пароль для Facebook. В качестве характерной фразы годится «Знакомые все лица», хотя разумеется у каждого пользователя будут свои предпочтения. На этот раз усложним задачу: возьмём первые три буквы от каждого слова, в результате получаем PyfDctKbw. Теперь улучшим пароль за счёт вставки между слогами последних двух пар своего телефонного номера, в итоге имеем примерное следующее: Pyf12Dct32Kbw. Добавим после первого слога спецсимвол: Pyf^12Dct32Kbw. В результате мы получили совершенно бессмысленный (для постороннего пользователя), очень надёжный и при этом легко запоминаемый вами пароль. Чтобы ещё усложнить, можно писать слова наоборот, то есть вместо «Все» — пишем «Есв», причём в латинской раскладке, а также делать заглавной не первую букву слога, а вторую или третью.

Такую методику можно использовать для генерирования любых паролей. Чтобы не забыть секретное слово рекомендуем взять за правило ставить спецсимвол всегда после определённого слога, а в конце пароля добавлять номер текущего квартала или текущего месяца, смотря что более актуально. И разумеется, вместо номера телефона можно использовать год рождения, разбитый на две цифровые пары, год окончания школы, дату свадьбы и т.д.