Как создать портативный USB менеджер паролей для Windows
Приходится ли Вам использовать не ваш компьютер для входа в ваши учетные записи, например, компьютеры общего доступа в школе, университете, у соседа, в библиотеке или в интернет-кафе?
Если ответ «да», то вам непременно стоит воспользоваться портативным USB менеджером паролей Sticky Password. Sticky Password дает вам возможность использовать ваши пароли на компьютерах с Windows, когда у вас нет вашего компьютера, планшета или телефона.
Портативный USB менеджер паролей Sticky Password
- Создайте портативную копию вашего Sticky Password для Windows со всеми его защищенными данными.
- Сохраните ее на USB-накопителе, внешнем жестком диске или даже на карте памяти.
- Теперь у вас есть доступ к вашим зашифрованным данным на любом компьютере Windows — на работе, в школе, в библиотеке, в отпуске .
- Версия работает со всеми поддерживаемыми браузерами Windows.
Как создать портативный USB менеджер паролей
Прежде чем начать, убедитесь, что Sticky Password установлен на вашем компьютере под управлением Windows. Переносной USB менеджер паролей можно создать только из установленной программы Sticky Password на вашем компьютере под управлением Windows.
- Нажмите значок Sticky Password на панели инструментов в правом нижнем углу экрана и выберите Открыть Sticky Password.
- Нажмите Меню в правом верхнем углу и выберитеt Инструменты—Портативная версия.
- Вставьте USB-накопитель в свободный USB-порт. Через несколько секунд ваш компьютер обнаружит ваше USB-устройство и отобразит его в списке доступных устройств. Выберите устройство USB, на котором должна быть сохранена портативная версия Sticky Password, и нажмите Создать.
- Ваша портативная версия была создана. Нажмите Закончить.
Теперь вы можете использовать свои пароли на любом ПК без необходимости устанавливать Sticky Password на компьютер.
Как запустить ваш портативный менеджер паролей
Примечание: Невозможно одновременно на одном компьютере работать со стандартной версией программы Sticky Password, установленной на ПК под управлением Windows и портативной версией USB. Если вы хотите запустить портативную версию USB на компьютере, на котором установлен Sticky Password, вам необходимо сначала выйти из стандартной версии Sticky Password. Для этого нажмите на иконку Sticky Password в правом нижнем углу экрана в области уведомлений и выберите Выйти.
- Вставьте USB-накопитель с переносной версией Sticky Password в USB порт на компьютере.
- Дважды кликнете на Sticky Password (вам следует найти файл типа «Приложение»)
- Разблокируйте Ваш Sticky Password, используя мастер пароль.
- Посмотрев на нижнюю часть темно-синего меню с левой стороны при открытии главного окно приложения, вы можете легко понять, что вы используете портативную версию Sticky Password.
Как объединить или заменить ваши данные между переносной версией USB и версией для Windows ПК?
Создав переносную версию, убедитесь, что любые изменения, внесенные вами в базу данных — на USB-накопителе или на рабочем столе, — синхронизированы и соответствуют друг другу. Существует три варианта при выборе способа объединения данных.
- объединить обе базы данных,
- замените базу данных на USB портативном устройстве версией, установленной на вашем компьютере,
- замените базу данных на вашем компьютере версией, которая находится на переносном устройстве.
Важно: Версия портативного менеджера паролей Sticky Password на USB НЕ МОЖЕТ синхронизировать данные напрямую с вашей облачной учетной записью (StickyAccount), а значит и с другими вашими устройствами (компьютерами MacOS, смартфонами и планшетами Android или iOS). Она также не поддерживает локальную синхронизацию по WiFi. Объединение или замена могут быть выполнены только локально между портативной версией USB, подключенной к порту USB, и установленной программой Sticky Password на этом же компьютере.
- Запустите Sticky Password на своем компьютере, нажмите на иконку Sticky Password на панели задач в правом нижнем углу экрана и выберите Открыть Sticky Password.
- Нажмите Меню в правом верхнем углу и выберите Инструменты — Портативная версия.
- Вставьте в свободный USB-порт USB-накопитель с установленным на нем переносным менеджером паролей Sticky Password. Выберите устройство, на котором установлена портативная версия Sticky Password, и нажмите Далее..
- Выберите один из трех вариантов.
- Объединить базы данных,
- Заменить БД на переносном USB накопителе,
- Заменить БД на компьютере.
- Нажмите Отмена.
Создание надёжных паролей
Создание надёжных паролей с помощью менеджера паролей anchor link
Повторное использование паролей очень плохо скажется на вашей безопасности. Если пароль , который вы используете для нескольких учетных записей, попал в руки злоумышленника, то, скорее всего, он получит доступ ко всем этим учётным записям. Поэтому весьма важно иметь множество надёжных и уникальных паролей.
В этом вам поможет менеджер паролей . Это специальная программа, которая создаёт и хранит пароли. Чтобы вы, в свою очередь, могли использовать множество паролей на разных сайтах без необходимости запоминать их. Менеджеры паролей:
- создают пароли, которые невозможно отгадать человеку,
- надёжно хранят пароли (и ответы на секретные вопросы),
- с помощью главного мастер-пароля (или парольной фразы) защищают все ваши пароли.
Например, KeePassXC — бесплатный менеджер паролей с открытым исходным кодом. Вы можете установить эту программу на свой компьютер или интегрировать в браузер . KeePassXC не сохраняет автоматически изменения в базе данных паролей. Следовательно, если случится сбой в процессе добавления пароля, вы можете потерять изменения навсегда. Эту настройку можно изменить.
Действительно ли вам необходимо использовать менеджер паролей? В случае, если могущественный злоумышленник (например, правительственные службы) посчитали вас своей целью, то, скорее всего, вам не стоит его использовать.
- Использование менеджера паролей – все равно что сложить все яйца в одну корзину.
- Менеджер паролей – это очевидная цель для злоумышленников.
- Исследования показали, что множество менеджеров паролей имеют уязвимости.
Если вы обеспокоены возможностью мощной атаки, рассмотрите менее технологичный вариант. Вы самостоятельно можете создать надёжные пароли (ознакомьтесь со следующим разделом «Создание надёжного пароля с помощью игральной кости»), записать их и хранить в надёжном месте.
Постойте, но мы же должны запоминать пароли и никогда не записывать их? Вообще-то, записать их на бумаге и положить куда-нибудь (например, в бумажник) достаточно полезно. По крайней мере вы заметите исчезновение бумаги с записанными паролями.
Создание надёжного пароля с помощью игральной кости anchor link
Вы непременно должны запомнить несколько очень надёжных паролей:
- пароль от своего устройства,
- пароль шифрования (например, если вы полностью зашифровали жесткий диск),
- мастер-пароль или «парольную фразу» от менеджера паролей,
- пароль от электронной почты.
Одна из многих сложностей при выборе человеком пароля заключается в том, что что люди изначально не сильны в действительно непредсказуемом и случайном выборе чего-либо. Эффективным способом создания надёжного и легко запоминающегося пароля является выбор слов из списка с помощью игральной кости. Выбранные случайно слова сформируют вашу «парольную фразу». Это то же самое что и пароль, только длиннее и надёжнее. Мы рекомендуем использовать минимум 6 слов для парольной фразы от менеджера паролей или шифрования диска.
Почему нужно использовать не менее шести слов? Зачем использовать игральную кость для случайного выбора слов? Чем длиннее и случайнее будет пароль, тем сложнее его будет подобрать как для человека, так и для компьютера. Вот видео, объясняющее, зачем нужен такой длинный пароль, который сложно угадать.
Попробуйте создать парольную фразу, используя один из списков слов от EFF.
Если ваш компьютер или другое устройство подверглось атаке, и на него было установлено шпионящее программное обеспечение, оно сможет проследить за тем, как вы набираете мастер-пароль . Тогда все содержимое базы данных менеджера паролей может стать известно злоумышленникам. Поэтому очень важно убедиться в том, что на устройстве, на котором вы пользуетесь менеджером паролей, нет никаких вредоносных приложений.
Пара слов о «секретных вопросах» anchor link
С осторожностью подходите к выбору ответа на «секретный вопрос », который веб-сайты используют для подтверждения вашей личности. Честные ответы на такие вопросы злоумышленник зачастую сможет легко найти в открытом доступе, и с их помощью обойти вашу парольную защиту.
Лучше, напротив, использовать придуманные вами ответы, которые никто кроме вас знать не может. Например, секретный вопрос:
«Какова кличка вашего первого домашнего животного?»
Вашим ответом может стать любое сочетание слов, букв, цифр и символов, созданное вашим менеджером паролей. Данный ответ вы также можете хранить в том же менеджере паролей.
Вспомните сайты, на которых вы указывали ответы на секретные вопросы, и рассмотрите возможность замены этих ответов. Не используйте одни и те же пароли и ответы на секретные вопросы для нескольких аккаунтов на различных веб-сайтах и сервисах.
Синхронизация паролей между несколькими устройствами anchor link
Многие менеджеры паролей имеют встроенную функцию синхронизации. При синхронизации файла с паролями они обновляются на всех ваших устройствах.
Менеджеры паролей могут хранить файл с паролями «в облаке». Это значит, что ваши пароли будут записаны в зашифрованном виде на удалённом сервере. По мере необходимости пароли будут извлекаться из базы на сервере и расшифровываться автоматически. Менеджеры паролей, которые используют собственные серверы для хранения паролей или обеспечивают синхронизацию данных, удобны, но чуть более уязвимы к атакам. Если вы храните пароли и на своём компьютере, и в облаке, то для получения ваших паролей злоумышленнику не будет нужен доступ к компьютеру. Хотя ему придётся подобрать парольную фразу к менеджеру паролей.
Если это вас беспокоит, отключите синхронизацию с облаком и храните пароли только на устройстве.
На всякий случай делайте резервную копию базы с паролями. Это может оказаться полезным, в случае утери базы данных в результате сбоя или утраты устройства. Менеджеры паролей обычно имеют функциональность, позволяющую создавать резервную копию базы данных с паролями. Также вы можете использовать обычную программу резервного копирования.
Многофакторная аутентификация и одноразовые пароли anchor link
Надёжные и уникальные пароли весьма затрудняют злоумышленникам задачу по получению доступа к вашей учетной записи. Вам не стоит останавливаться на этом. Включите двухфакторную аутентификацию!
Некоторые сервисы предлагают использовать двухфакторную (двухэтапную) аутентификацию, которая предполагает помимо введения пароля еще и обладание пользователем неким вторым компонентом (второй фактор). Им может стать единовременный код или число, генерируемое приложением на вашем мобильном устройстве.
Двухфакторная аутентификация с помощью телефона может быть реализована двумя способами:
- 1. Использование приложения аутентификации, которое будет генерировать защитные коды на вашем телефоне (например Google Authenticator или Authy). Также можно воспользоваться специальным устройством (YubiKey).
- 2. Отправка на телефон SMS-сообщения с дополнительным защитным кодом, который нужно ввести на сайте каждый раз при входе на сервис.
Если у вас есть выбор, то лучше использовать приложение на телефоне или специальное устройство вместо получения кодов по SMS, так как злоумышленник сможет переадресовать сообщения с кодами на свой телефон.
Некоторые сервисы (например, Google) позволяют генерировать список одноразовых паролей. Идея в том, чтобы вы записали их и носили с собой. Каждый пароль – однократный. Если при вводе его перехватит шпионская программа, злоумышленник не сможет использовать этот пароль в будущем.
В некоторых случаях вам придётся раскрыть свой пароль anchor link
Законы о разглашении паролей отличаются в зависимости от вашего местонахождения. В некоторых юрисдикциях вы сможете на законных основаниях опротестовать требование раскрытия вашего пароля, в то время как в других странах местное законодательство позволит правительственным структурам требовать раскрытия пароля даже под угрозой тюремного заключения лишь за подозрение в обладании ключом или паролем. Угроза физического насилия также может быть использована для получения от вас пароля. Также вы можете оказаться в ситуации, когда при пересечении границы у вас изымут устройства или вас задержат до тех пор, пока вы не предоставите властям пароли от устройств или не разблокируете их самостоятельно.
У нас вы найдете отдельное Руководство по пересечению границы США, в котором указаны рекомендации, связанные с запросами властей на доступ к устройствам при пересечении границы Соединённых Штатов в любом направлении. В иной ситуации вам следует подумать о том, каким образом вас или кого-нибудь ещё могут заставить выдать пароли и каковы будут последствия.
Как я сделал себе менеджер паролей
Пароли — древнейший способ аутентификации в информационных технологиях, повсеместно использующийся и сегодня. Увы, просто невозможно держать в памяти пароли для всех Интернет-ресурсов при условии, что все они будут разными и сложными! Тут на помощь человеку приходят менеджеры паролей, берущие эту задачу на себя: человек запоминает всего лишь один мастер-пароль, дающий доступ ко всем остальным.
Мне не нравились существующие менеджеры паролей: неудобно синхронизировать базу паролей между различными устройствами и операционными системами, к тому же, зачастую программы-менеджеры откровенно плохо защищены. Однажды я читал статьи по криптографии, и мне пришла в голову мысль: а почему бы не сделать менеджер паролей, который вместо хранения паролей будет вычислять их?
Первый вариант реализации этой идеи, приходящий на ум — криптографические хеш-функции. На первый взгляд, всё круто: выбираем стойкую функцию (скажем, SHA-3 в 224-битной версии), подаём ей на вход мастер-пароль qwerty и тип аккаунта vk, на выходе мгновенно получаем 56 символов из набора 0123456789abcdef. Я сходу нашёл два подобных проекта: взломанный и потенциально взламываемый. В таком подходе есть большая проблема: криптографические хеш-функции проектируются в том числе с целью быть максимально быстрыми и нетребовательными к ресурсам, и поэтому можно устроить словарный или полный перебор мастер-пароля по перехваченному паролю для одного сайта на CPU (относительно медленно), GPU, FPGA (куда быстрее), ASIC (очень быстро). Для проведения таких атак на популярные алгоритмы хеширования без использования подсаливания можно использовать также радужные таблицы, сильно ускоряющие процесс взлома на CPU.
К счастью, есть другой вариант реализации — функции получения ключей. В двух словах, они выполняют хеширование, но относительно медленно (скажем, одну секунду на обычном процессоре) и с относительно большим потреблением ресурсов (скажем, 16 мегабайт оперативной памяти), чтобы максимально затруднить атаки полным и словарным перебором. Среди знакомых мне современных функций PBKDF2, bcrypt и scrypt лучше всего выглядела scrypt: созданная с учётом опыта первых двух, успешно противостоящая вычислениям на графических процессорах и микросхемах (как FPGA, так и ASIC) и рассчитанная на гибкость при настройке под любые задачи. Я подумывал над реализацией этого проекта, но почему-то задвинул его в долгий ящик. И очень напрасно.
Криптограф Надим Кобеисси сделал как раз такой менеджер паролей npwd на JavaScript (работает как десктопное приложение через Node.JS). Я установил утилиту на компьютер под Linux и под Windows, а также на ноутбук под Linux, начал боевое использование, и мне очень понравилось. Вводишь единственный мастер-пароль и тип аккаунта (например, «twitter») в приложение, и через пару секунд в твоём буфере обмена уже лежит вычисленный сложный пароль конкретно для этого аккаунта, причём взломать твой мастер-пароль (читай: все твои пароли) по паролю для одного аккаунта будет очень, очень сложно.
Но была и проблема. Версия под Windows действительно выдавала пароль через пару секунд, а вот под Linux (в том числе на том же самом компьютере!) для вычислений требовалось уже секунд 15, что напрягало. Сначала я просто уменьшил одну константу, сделав мастер-пароль менее защищённым, но потом я подумал — а почему бы не переписать приложение на C, ведь наверняка будет работать гораздо быстрее! Особенно меня подзадоривала мысль, что у меня давно был замысел этого проекта, но я стормозил, и кто-то реализовал его до меня.
Через несколько дней неспешной работы я сделал свой менеджер паролей cpwd, полностью совместимый с оригиналом. Это было весело! После небольшой оптимизации мне удалось достичь желанной высокой скорости работы. Портировать cpwd под Windows я не пробовал, но это должно быть несложно. На GitHub-странице проекта я собрал коллекцию ссылок на подобные проекты в академическом мире и за его пределами – оказалось, что идея вообще-то весьма стара.
Конечно, это не серебряная пуля, но it works for me. В процессе использования я наткнулся на проблему: некоторые сайты имеют интересные требования к паролям типа «не более 20 символов», «обязательно встречается большая буква, маленькая буква, цифра и спецсимвол», в результате сгенерированный npwd/cpwd пароль иногда требует доработки руками перед вводом. К счастью, таких сайтов немного.
Оригинал опубликован в моём блоге 7.08.15. Прошло 5 лет, а я до сих пор пользуюсь этой утилиткой.
- менеджер паролей
- функции получения ключей
- хеширование
- Информационная безопасность
- Криптография
Вы собрались использовать менеджер паролей? Задумайтесь!
С одной стороны – я считаю что использовать менеджер паролей и включать двухфакторную аутентификацию для каждого сайта, который ее предлагает это необходимо, но с другой, понимаю, что то, что защищает одного может навредить другому. Все люди разные, обладают разными навыками и знаниями в области информационной безопасности. И я понимаю, что эксперты дают те или иные советы, но они не могут РЕШАТЬ за вас! Вы и только вы сами определяете, будете вы использовать те или иные технологии или продолжите все делать вручную.
Если вы не поняли, что это такое, менеджеры паролей — это программы, которые запоминают для вас пароли вместе с адресом электронной почты или другим идентификатором пользователя, который вы используете для каждой учетной записи. Они упрощают использование надежных паролей: достаточно случайных, длинных и разных для всех ваших учетных записей. Они также облегчают потерю всех ваших паролей одновременно, или кражу злоумышленником всех ваших паролей одновременно.
Для начала поговорим о преимуществах и рисках использования менеджеров паролей. Сегодня количество разнообразных менеджеров паролей просто изумляет. Практически в каждый основной веб-браузер встроен менеджер паролей, кроме того существует множество автономных менеджеров паролей, которые будут работать в разных браузерах. Кроме того, с помощью менеджеров паролей вы сможете вводить пароль в формы ввода. В некоторых, лучших из них, встроены генераторы случайных паролей, тем самым гарантируя что вы не будете использовать легко угадываемые пароли или повторно использовать одни и те же пароли. Некоторые даже смогут находить повторно используемые пароли и помогут их заменить.
Менеджеры паролей помогают защитить ваши пароли
Если вы не поленитесь, то с помощью менеджера паролей вы сможете создать надежный уникальный пароль для каждой службы, которую вы используете, и избавить вас от необходимости вводить эти пароли.
Менеджеры паролей могут предотвратить атаки с повторным использованием паролей, при которых злоумышленники взламывая веб-сайт, воруют с него адреса электронной почты и пароли пользователей и пытаются войти на другие сайты, используя украденные ими пары электронной почты и пароля. Атаки работают, потому что многие люди повторно используют один и тот же пароль на нескольких сайтах. Менеджеры паролей позволяют легко и просто использовать разные случайные пароли для каждой учетной записи — по крайней мере, после того, как вы заменили все свои старые повторно используемые пароли. Очень важно заменить ваши старые пароли важен, потому что, если вы оставите все свои старые пароли на месте то такая атака становится весьма вероятной.
Менеджеры паролей могут предотвратить фишинг на сайтах-мошенниках. Мошеннический веб-сайт выглядит как веб-сайт, на котором у вас есть учетная запись. Ведь он предназначен для того, чтобы обманным путем заставить вас ввести свой пароль учетной записи. Менеджеры паролей защищают вас от этих атак, потому что они не будут вводить ваш пароль, если вы находитесь на сайте злоумышленника.
Менеджеры паролей могут подвергать риску пароли
Увы, кажется старая пословица о хранении всех ваших яиц в одной корзине относится к менеджерам паролей; да, вы можете сосредоточиться на защите этой корзины, но для того, чтобы потерять все яйца, достаточно одной ошибки. (Если мысль о том, что вы рискуете всеми своими паролями одновременно, заставляет вас прекратить чтение и отказаться от менеджеров паролей сейчас, не делайте этого! В следующем разделе я попробую объяснить, как менеджеры паролей могут быть полезны, даже если вы не доверяете им все ваши пароли.)
Как вы можете потерять все пароли в менеджере паролей одновременно?
Вы можете забыть мастер-пароль, который защищает ваши пароли. После того, как вы заменили свои пароли случайными паролями и полностью полагаетесь на свой менеджер паролей, чтобы ввести их за вас, вы вряд ли сможете вспомнить многие из них. Более того — первоначально продажа менеджеров паролей заключалась в том, что вы не должны их помнить! Если вы потеряете главный пароль, который менеджер паролей использует для защиты других ваших паролей, вы можете потерять все. В некоторых менеджерах существуют варианты восстановления, но ни один не идеален.
Атака на ваш менеджер паролей может раскрыть все ваши пароли. Даже если вы заблокировали менеджер паролей, злоумышленник сможет получить к нему доступ, когда вы в следующий раз разблокируете его на этом устройстве.
- Если ваш личный ноутбук заражен вредоносным ПО, и вы используете на нем свой менеджер паролей, вредоносное ПО может прочитать каждый сохраненный вами пароль.
- Если вы используете диспетчер паролей на рабочем компьютере, любой, кто имеет административный доступ к этому компьютеру, может скомпрометировать ваши пароли в диспетчере паролей — даже для сайтов, на которые вы никогда не заходите с работы.
- Если ваш телефон украден, если вор может разблокировать ваш телефон, и если у вас не настроен менеджер паролей, требующий разблокировки при каждом использовании, вор теперь имеет доступ ко всем вашим паролям.
Напротив, если вы не используете менеджер паролей и ваше устройство заражено вредоносным ПО, злоумышленник может украсть введенные вами пароли, но не те, которые вы не используете на данном устройстве.
Вы можете решить, что некоторые пароли можно вводить на устройствах с более низким уровнем защиты, а другие следует вводить только на устройствах с более высоким уровнем безопасности.
Наконец, менеджер паролей — это еще одна часть программного обеспечения, установленная на ваших устройствах, которая может быть взломана. Все программное обеспечение содержит ошибки и, несмотря на то, разработано для удовлетворения потребности безопасности, менеджеры паролей также могут содержать уязвимости безопасности.
И все же, вы можете начать использование менеджера паролей
Если вышеуказанные риски не позволяют использовать менеджер паролей для всех ваших учетных записей, подумайте о том, чтобы начать с тех паролей, о судьбе которых вы меньше всего беспокоитесь.
Начав со своих менее значимых паролей, вы можете ознакомиться с тем, как работают менеджеры паролей, в то время как последствия ошибок невелики. По мере приобретения опыта вы также будете лучше понимать риски и выгоды. Вы можете обнаружить, что когда вам больше не нужно создавать, запоминать и вводить эти пароли с более низким значением, вы можете использовать часть этих сэкономленных усилий для защиты паролей для учетных записей с более высоким значением.
Вы также можете использовать свой менеджер паролей для генерации случайных паролей, которые не следует сохранять. Возможно, вы захотите записать их. Постепенно вы сможете выучить некоторые случайные пароли для нескольких учетных записей.
Большинство пользователей могут начать работу без покупки или загрузки нового программного обеспечения. В конце концов вы же используете браузеры, Safari или Chrome, в них есть менеджеры паролей, которые будут генерировать случайные пароли для вас.
Хотя стоит подчеркнуть, что взломать подобные менеджеры паролей достаточно легко!
Вам, безусловно, следует рассмотреть возможность использования автономных менеджеров паролей, особенно если вы храните пароли для ваших более ценных учетных записей, вы можете легко импортировать в них пароли, которые вы сохранили, используя встроенные менеджеры паролей в Chrome или Safari.
Даже если вы пытаетесь не хранить важные пароли в менеджере паролей, все равно стоит периодически проверять, какие пароли вы сохранили, а какие повторно использовали — некоторые учетные записи, которые казались бесполезными при их создании, могут со временем оказаться более ценными. Некоторые менеджеры паролей также смогут указать какие из ваших паролей явно слабые (например, если они появляются в списках общих паролей). Если вы хотите заменить свои старые пароли, объем работы может быть пугающим.
Увы, менеджеры паролей, которые проверяют, повторно ли вы использовали пароль, будут делать это только в том случае, если вы позволите им сохранить этот пароль. Если вы храните пароли только для малоценных учетных записей, менеджер паролей сможет сообщить вам, какие из ваших малоценных паролей были повторно использованы. Я не знаю ни одного менеджера паролей, который бы предупреждал вас, если вы повторно введете пароль, сохраненный для другого сайта.
Выучите надежный мастер-пароль
Большинство менеджеров паролей защищают вашу коллекцию паролей еще одним паролем, обычно называемым мастер- паролем. Автономные менеджеры паролей попросят вас создать мастер-пароль, когда вы начнете их использовать. Если вы используете браузер Google Chrome для хранения своих паролей и обмена ими на разных устройствах, ваши пароли будут храниться в Google и будут защищены паролем вашей учетной записи Google (наряду с любыми вторыми факторами, которые вы можете использовать). Брелок Apple iCloud Keychain полагается в первую очередь на пароли вашего устройства и функции разблокировки, чтобы регулярно защищать свои данные, но имеет запасной мастер-пароль, который называется iCloud Security Code.
Никогда не используйте повторно мастер-пароль. Мастер-пароль, который защищает все остальные ваши пароли, действительно должен быть уникальным.
Ваш главный пароль должен генерироваться случайным образом и быть достаточно длинным , чтобы защитить ваш пароль, даже если злоумышленники заполучат зашифрованный список паролей на веб-сайте и попытаются сломать это шифрование. Чтобы убедиться, что ваш пароль действительно случайный, сгенерируйте его с помощью вашего менеджера паролей или используйте любой другой рекомендованный метод. Главное – не забудьте его потом. Многие люди ошибочно полагают, что могут генерировать случайный пароль, вызывая буквы в уме или стуча по клавиатуре, но многие психические процессы, которые мы считаем случайными, на самом деле не являются случайными. Хороший менеджер паролей будет использовать криптографический генератор случайных чисел, чтобы гарантировать, что ваш пароль достаточно случайный.
Ваш мастер-пароль должен содержать не менее 12 строчных букв или пять слов. Зачем использовать строчные буквы или слова, если вам, вероятно, сказали (и принуждали) использовать заглавные символы и символы в прошлом? Если вам необходимо ввести пароль на устройстве с помощью экранной клавиатуры (например, телефона), каждая буква или символ в верхнем регистре могут потребовать дополнительных нажатий клавиш. Вы можете получить такую же защиту и избавить себя от многих неприятностей, сделав свой пароль в нижнем регистре всего на 30% длиннее, чем если бы вы использовали большие и маленькие буквы. Другими словами, случайно сгенерированный 13-значный пароль в нижнем регистре, который можно ввести с помощью 13 нажатий клавиш, так же безопасен, как и 10-значный смешанный пароль, который может потребовать гораздо больше усилий для ввода.
Не ожидайте, что вы запомните немедленно новый мастер-пароль — очень немногие могут выучить длинную случайно сгенерированную строку за один присест. Скорее, лучший способ запомнить свой мастер-пароль — это записать его и часто использовать. Вместе с тем, не думайте, что вы не потеряете свою бумажную копию мастер-пароля, пока не запомните, или что вы не забудете позднее ваш мастер-пароль.
Фактор восстановления в выборе менеджера паролей
Поскольку одно из самых больших различий между менеджерами паролей заключается в процессе восстановления ваших данных, в случае утери мастер-пароля, вы не должны выбирать менеджер паролей без исследования процесса аварийного восстановления. После того, как вы сделаете свой выбор, первое, что вы должны сделать, наряду с выбором главного пароля, — это настроить процесс восстановления. Он может понадобиться вам очень скоро, поскольку вы, скорее всего, забудете мастер-пароль вскоре после его создания и до того, как узнаете его при повторном использовании.
Вместе с тем признаюсь, я использую парольный менеджер, в котором нет процедуры восстановления утраченного мастер-пароля. Это неудобно, скажете вы. Согласен, неудобно, зато наиболее безопасно и приучает пользователя помнить! Впрочем, вам самим выбирать, нужно ли вам восстановление или вы готовы пожертвовать этим процессом, но зато быть в полной безопасности.
Хотя последствия утери ваших паролей могут казаться незначительными и у вас еще нет сохраненных паролей, которые вы можете потерять, вы можете быстро стать зависимым от вашего менеджера паролей. Вы можете ошибочно предположить, что, узнав свой пароль, вы никогда его не забудете. Хотя чаще всего забывают пароли вскоре после их создания, также часто забывают их после периода неиспользования
Почему каждый продукт обрабатывает восстановление по-своему? Отчасти потому, что это действительно сложная проблема даже для компаний, которые являются одними из крупнейших в мире, лучше финансируемыми и известными благодаря своему удобству использования. Рассмотрим iCloud от Apple, в котором хранится цепочка для ключей iCloud, используемая Safari. Один из способов восстановить учетную запись iCloud — через службу поддержки клиентов, но хакеры обманным путем скомпрометировали учетные записи пользователей, в том числе высокопоставленного репортера в 2012 году. Таким образом, Apple также предложила пользователям возможность хранить случайно сгенерированный пароль для восстановления (Apple называл его Ключом Восстановления) и настраивать свои учетные записи таким образом, чтобы служба поддержки клиентов не смогла изменить ваш пароль. Немногие пользователи приняли эту технологию, и некоторые из них были расстроены, когда обнаружили, что, по сути, служба поддержки клиентов больше не может помочь им, когда им это нужно. Apple перестала предлагать ключи восстановления в 2015 году . В настоящее время Apple позволяет сбрасывать пароли после проверки клиентов по номеру телефона , несмотря на то, что этот процесс весьма уязвим для атаки .
Вместо того чтобы полагаться на непрозрачные правила поддержки клиентов, многие менеджеры паролей используют решения, которые менее уязвимы для атаки, но более уязвимы для случайной потери.
Менеджеры паролей с открытым исходным кодом KeePass и PasswordSafe предоставляют вам возможность найти и сохранить файл с вашими паролями, а также ключ, используемый для защиты (шифрования) данных в этих файлах. Итак, если вы хотите поделиться своими паролями между компьютерами, вам необходимо создать учетную запись для хранения файлов в Интернете (например, DropBox). Ваша резервная копия может быть письменной копией главного пароля и пароля для учетной записи общего доступа к файлам. Если вы используете двухфакторную аутентификацию для этой учетной записи, вам также потребуется резервная копия.
LastPass , Keeper и Dashlane позволяют предварительно авторизовать экстренные контакты для доступа к вашей учетной записи при условии, что они также имеют учетную запись с тем же менеджером паролей. Это требование выполняется, потому что эти продукты используют криптографию, чтобы ваши друзья, но не компании, могли получить доступ к вашим данным. Это помогает защитить вас, если их сервис взломан или злоумышленник успешно выдает себя за персонал службы поддержки. Недостатком является то, что злоумышленник, который скомпрометирует учетную запись вашего контакта, может затем скомпрометировать вашу. Вы можете уменьшить вероятность того, что это произойдет, установив задержку до того, как ваша информация будет передана вашему экстренному контактному лицу. Если вы знаете людей, использующих один из этих продуктов, которым вы доверяете в качестве экстренного контакта, этот продукт может оказаться для вас лучше, чем те, которые не используют ваши контакты.
С 1Password ваш главный секрет на самом деле состоит из двух частей: секретный ключ, который программное обеспечение хранит на каждом устройстве, на котором вы установили свои пароли, и ваш главный пароль. Чтобы использовать новое устройство с 1Password, вы должны передать ему свой секретный ключ. Вы можете сделать резервную копию своего секретного ключа, создав «аварийный комплект», PDF-файл, который вы можете распечатать, который содержит ваш секрет и место для записи вашего мастер-пароля. Как и LastPass и Dashlane, 1Password разработал свой онлайн-сервис таким образом, чтобы они не хранили эти секреты и чтобы служба поддержки клиентов не могла помочь злоумышленнику — или вам — получить доступ к вашим данным без них. В отличие от LastPass и Dashlane, процесс их восстановления не требует взаимодействия со службой или кем-либо еще. Это делает 1Password возможно самым приватным вариантом, но каждый клиент, обладающий таким уровнем конфиденциальности, платит за это: 1Password не может знать, какая часть клиентов распечатала наборы для восстановления, сколько их успешно использовало и сколько навсегда утратило свои пароли. Единственные данные, которые они получают, чтобы помочь им повысить надежность процесса восстановления, поступают от добровольных пользователей, если они обращаются в службу поддержки.
Если вы используете Chrome с учетной записью Google и двухфакторной аутентификацией, вы можете получить десять одноразовых паролей восстановления (восьмизначные числа, которые они называют резервными кодами ), которые могут заменить один из двух ваших факторов. Google рекомендует вам «распечатать или загрузить» их. Google также хранит эти коды, и поэтому, в отличие от правильно управляемых случайно сгенерированных паролей, ваши коды могут быть скомпрометированы, если кто-то взломает вашу учетную запись Google.
Если вы используете распечатанный секрет восстановления с помощью Chrome или 1Password или создаете свой собственный для KeePass или PasswordSafe, вам нужно будет решить, где хранить секреты восстановления после их печати. Может подойти сейф, особенно если он у вас уже есть. Нет технической причины, по которой вы не могли бы делиться распечатками ваших секретов восстановления с друзьями. В противном случае вы можете не захотеть, чтобы на листе было указано, для кого он предназначен, поскольку исключение этого факта может обеспечить небольшую защиту в случае кражи. Другой вариант — дать двум доверенным контактам половину кода или три доверенных контакта по две трети каждого кода (чтобы любые два контакта могли вам помочь).
Если вам не нравится какой-либо из перечисленных выше вариантов, вы можете периодически распечатывать все свои пароли или записывать их. Если вы печатаете, вы будете полагаться на то, что ваш принтер защищен.
Ваш основной пароль электронной почты также требует особого внимания при планировании стратегии восстановления, поскольку многие другие пароли могут быть сброшены по электронной почте. Это может быть самый важный пароль для изменения на случайно сгенерированный пароль, но он также нужен вам. Если вы меняете этот пароль, вам следует рассмотреть возможность его записи или резервного копирования.
Тщательно продумайте, прежде чем хранить ценные пароли
На самом деле основные проблемы начинаются как только вы решите хранить пароли важных для вас сервисов. При этом ответ, который подходит для одного человека, может не подходить для другого.
Первое решение будет состоять в том, какие устройства получат доступ к вашим паролям. Учитывая, как часто вы, вероятно, используете свой телефон, и насколько болезненно набирать пароли на телефоне, вы, вероятно, захотите синхронизировать свои пароли с телефоном. Если вы это сделаете, все ваши пароли теперь будут храниться на вашем телефоне. Возможно, вы захотите узнать, как быстро ваш телефон заблокируется после того, как вы перестанете им пользоваться, и какие механизмы вы позволите разблокировать. Если ваши дети или партнеры знают ваш PIN-код, доверяете ли вы им также все ваши пароли? Если люди, которым вы не доверяете, знают ваш ПИН-код, вы можете использовать автономный менеджер паролей, который имеет второй механизм разблокировки после разблокировки телефона. Готовы ли вы выполнять дополнительную работу каждый раз?
Вам придется принимать эти решения не только для вашего телефона, но и для каждого устройства, на котором вы вводите пароли. Для этого общего семейного планшета вам нужно будет выбрать между установкой менеджера паролей или вводом нового случайного пароля.
Вы устанавливаете свой менеджер паролей на рабочий ноутбук, к которому у всех в IT есть доступ? Если вы проводите большую часть своего времени в офисе, вы, вероятно, в конечном итоге будете выполнять много персональных вычислений на своих рабочих устройствах, даже если вы предпочитаете делать это где-то еще.
Вы устанавливаете свой менеджер паролей на устройства, которые используете только время от времени, и, таким образом, не можете получать обновления безопасности так часто, как вам хотелось бы? Как насчет ноутбуков, на которые вы устанавливаете много случайных программ? А как насчет ноутбука, на который члены вашей семьи могут также устанавливать программное обеспечение? Готовы ли вы вручную скопировать бесценные пароли, которые вам нужно использовать на этих устройствах, с устройства, которому вы доверяете?
Как ваш менеджер паролей будет взаимодействовать с вашей стратегией двухфакторной аутентификации?
Вам нужно будет решить, сохранять ли пароли для ценных учетных записей.
Как я упоминал ранее, вы можете использовать свой менеджер паролей для генерации случайных паролей для своих ценных учетных записей независимо от того, разрешите ли вы менеджеру паролей сохранять их или нет. Если вы уже запомнили надежные уникальные пароли для этих учетных записей, основной причиной их добавления в диспетчер паролей является предотвращение случайного ввода этих паролей на веб-сайты мошенников.
Чтобы получить такую защиту, ваш пароль должен быть сообщен каждому устройству, на котором установлен менеджер паролей, и разблокирован всякий раз, когда вам нужен какой-либо из ваших других паролей. Другими словами, вы должны решить, готовы ли вы компенсировать повышенный риск кражи вашего пароля из вашего менеджера паролей и устройств, на которых вы его установили, в обмен на защиту, которую вам дает менеджер паролей.
Правильный ответ зависит от того, к какой атаке вы более подвержены, и — позвольте мне сказать это еще раз — все люди разные.
Если вы проводите большую часть своего времени в веб-браузере и в основном используете операционные системы, которые помещают в «песочницу» все программное обеспечение (например, iOS и Android), вероятность стать жертвой мошеннического сайта может быть относительно выше, и вы можете выбрать менеджер паролей. Если частью вашей работы является оценка того, какой пакет программного обеспечения может лучше всего решить проблему, и вы проводите большую часть своего времени в Windows или MacOS, заражение вредоносным ПО может быть более вероятным.
Специфика аккаунта тоже имеет значение. Если это учетная запись, которую вы будете использовать каждый день, и вам придется печатать каждый день, то, если ваш компьютер скомпрометирован, злоумышленнику не придется долго ждать, пока вы не наберете свой пароль повторно. В этом случае сохранение пароля в вашем менеджере паролей может не увеличить риск. Если вы используете этот пароль только на самом безопасном устройстве и редко, то добавление его в диспетчер паролей может значительно увеличить риск его взлома вместе с одним из ваших устройств.
Увы, единой рекомендации для всех просто нет!
Подведение итогов
Вы можете принести больше вреда, чем пользы, если вы установите менеджер паролей, позволите ему хранить ваши старые пароли и не будете использовать функции, которые могут реально повысить вашу безопасность.
Менеджеры паролей могут защитить вас от атак на повторно используемые пароли только в том случае, если вы хотите позволить им заменить ваши старые пароли случайно сгенерированными уникальными паролями. Они также могут наилучшим образом защитить вас от случайного ввода ваших паролей на веб-сайты мошенников («фишинг»), если только они, а не вы, помнят ваши пароли для целевых учетных записей. Таким образом, если вы получаете диспетчер паролей для повышения безопасности, вам нужно позволить диспетчеру паролей заменить уже запомненные пароли случайными.
Чтобы снизить риск потери всех ваших паролей одновременно, вам понадобится надежный мастер-пароль и надежная стратегия восстановления. Выберите менеджер паролей с опцией восстановления, настройте восстановление немедленно и настоятельно рекомендую запомнить длинный произвольный мастер-пароль, сгенерированный вашим менеджером паролей. Вы, вероятно, не хотите хранить свои более ценные пароли, пока не запомните новый мастер-пароль (это может занять несколько недель) и не разработаете свой план восстановления: если он основан на доверенных людях, убедитесь, что они понимают и знакомы с этой ролью. Если восстановление зависит от вашей способности хранить объект (например, напечатанный код), выберите место, в котором, по вашему мнению, безопасно его хранить.
Поскольку существует огромное количество факторов, которые необходимо учитывать и принимать перед решением использовать менеджер паролей, заранее продумайте все возможные риски его использования.
Решения, которые необходимо принять при использовании менеджера паролей
- Какой менеджер паролей я буду использовать?
- Как мне восстановить доступ к своим паролям, если я потеряю свои устройства и / или мастер-пароль?
- Как я буду хранить свой мастер-пароль, пока не запомню его?
- На каких устройствах я должен установить менеджер паролей?
- Какому из этих устройств потребуется более надежный механизм аутентификации, чтобы гарантировать, что кто-то, кто использует или украдет это устройство, не сможет получить все мои пароли?
- Какое из этих устройств нуждается в более строгих мерах безопасности для защиты от вредоносных программ, которые могут украсть все мои пароли?
- Какие из моих паролей я не должен рисковать хранить в моем менеджере паролей?
- Для каких учетных записей я должен иметь свой менеджер паролей для создания новых случайных паролей? (Не забывайте, что он может генерировать, но не хранить пароли для учетных записей, которыми вы не хотите управлять.)