За последний год было украдено 4,2 миллиарда паролей. Эта из ряда вон выходящая цифра должна обеспокоить любого, кто имеет дело с Интернетом. Федеральная торговая комиссия США проанализировала, что происходит с похищенными учетными данными. После того как украденные логины к Facebook, Google, Netflix и онлайн-банкам публикуются на хакерском форуме, в среднем проходит всего девять минут до первой попытки захода на ваш аккаунт. Поскольку двое из трех пользователей используют один и тот же пароль для нескольких служб, украденный ключ открывает сразу множество дверей.
Вышеприведенное число также демонстрирует, что теперь пароли могут быть украдены не только у отдельных пользователей, попавшихся на удочку фишингового сообщения. Хакеры нацелились на крупные сервисы, что сулит им гигантскую прибыль. На прицеле оказались крупные IT-концерны, такие как Yahoo! и Uber.
Генерация надежных паролей
Национальный институт стандартов и технологий США внес коррективы в правила создания безопасных кодов. Несколько нововведений:
Длина: Надежность зависит от длины пароля. Чем он длиннее, тем лучше.
Никакой логики: Бессмысленный набор букв надежнее, чем можно подумать. Но пароль не должен быть цифровой мешаниной.
Уникальность: Используйте пароль только один раз.
Проверка: С помощью онлайн-сервиса Pwned Passwords вы узнаете, если ваши пароли используются кем-то другим или же были опубликованы.
Изменение при необходимости: При краже пользовательских данных с серверов какого-либо сервиса, чьим клиентом вы являетесь, смените пароль.
Еще совсем недавно исследования насчитывали в среднем 20–30 аккаунтов, защищенных паролем, на одного пользователя. Последние данные говорят о гораздо большем количестве. Диспетчер паролей, используемый в корпоративных целях, хранит в среднем 191 пароль для бизнес-клиентов. Но даже те, у кого всего десять аккаунтов, практически не придерживаются основного правила обеспечения защиты: пароль нельзя использовать больше одного раза.
Защита для всех паролей
Именно эту проблему помогают решить десять протестированных нами диспетчеров паролей, выступая в качестве сейфа для безопасных паролей и работая в Android, iOS и Windows. Они хранят все пароли централизованно в одном месте. В этих продуктах для защиты сейфа используется мощное AES-шифрование с практически не взламываемой длиной ключа в 256 бита. Такую базу данных можно разблокировать лишь с помощью правильного мастер-пароля. Таким образом, пользователю не требуется помнить пароль к каждому своему аккаунту, а только мастер-пароль, открывающий сейф со всеми остальными кодами.
При этом продукты, протестированные нами, работают по двум разным принципам: восемь менеджеров, среди которых тройка лидеров LastPass, 1Password и Dashlane, представляют собой онлайн-сервисы. Зашифрованная база данных паролей хранится в вычислительных центрах провайдера сервиса.
Для пользователя это самое удобное решение, поскольку пароли используются не только на стационарном компьютере, но и на смартфонах и планшетах. В таком случае для запуска синхронизации достаточно лишь ввести логин и мастер-пароль. Все коды будут у вас под рукой в любое время и в любом месте. Однако такие сервисы требуют от вас доверия к провайдеру и убежденности, что ему действительно недоступен мастер-пароль и нет никакой возможности получить доступ к базе данных иным образом.
Второй принцип работы, выбранный разработчиками такой популярной открытой программы, как KeePass, а также компанией Steganos для своего диспетчера паролей, - это локальное хранение базы данных паролей.
Мы рекомендуем начать с хранилища на ПК и лишь затем подтягивать мобильные устройства. Преимущество обоих локальных решений заключается в сохранении за пользователем полного контроля над сейфом. По этой причине мы удостоили KeePass высшим баллом за категорию «Безопасность». Такой метод менее удобен, поскольку вам придется самим думать о том, как получить пароли со смартфона. Однако KeePass - это единственная программа, способная взаимодействовать с различными приложениями, считывающими данный формат баз данных.
К примеру, на тестировании мы остановили свой выбор на KeePass2Android (Android) и MiniKeePass (iOS). Все другие диспетчеры паролей уже идут в комплекте с подходящими приложениями.
Двойная защита мастер-пароля
Безопасность диспетчера паролей зиждется на мастер-пароле (см. блок справа). Поэтому нам непонятно, почему половина участников нашего тестирования принимает даже такие элементарные коды, как «1234abcd».
Лишь 1Password, Dashlane, а также продукты таких известных разработчиков антивирусов, как F-Secure, Kaspersky и Avira, требуют более сложных мастер-паролей. Не менее важно защитить свой сейф и другими средствами - в этом отношении инструменты от антивирусных экспертов откровенно халтурят.
Выбор мастер-пароля
Использование предложений. Забавная реплика из сериала Netflix или поговорка вашей бабушки станут отличной основой для вашего пароля. Вы можете также обратиться к своему хобби. Неплохой идеей может стать фраза «I love read Chip magazine».
Использование заглавных и прописных букв. Правильная орфография -
скорее недостаток для пароля. «ILovereadChipMagazine» с позиции безопасности выглядит лучше.Встраивание специальных символов. Можно добавить и парочку специальных символов: «ILove/readChipMagazine2018$».
Двойная аутентификация. Обязательно задействуйте двухфакторную аутентификацию, чтобы дополнительно защитить доступ к диспетчеру паролей.
Во все хорошие диспетчеры интегрирована , то есть дополнительно к мастер-паролю для доступа в хранилище необходимо ввести второй фактор. В таком случае можно быть спокойным, что даже если мастер-пароль вместе с базой данных попадет в чужие руки, доступ к ней все равно будет закрыт.
Вне зависимости от этого, общая безопасность диспетчеров находится на высоком уровне. Лидеры нашего теста, LastPass, Dashlane и Keeper Security, покоряют отлично реализованными проверками надежности используемых паролей, вычисляют дубликаты и даже предлагают возможность бэкапа. Все продукты не только сохраняют учетные данные, но и создают безопасные пароли - в каждый из них интегрирован собственный генератор.
Однако на практике их технологии отличаются: LastPass, KeePass и Avira Password Manager лучше всех справляются с задачей. Их генераторы невозможно не заметить, а кроме того, они наглядно отображают длину пароля. Не столь удобно мобильное решение от Kaspersky: в мобильных приложениях генератор отсутствует, таким образом, надежные пароли можно создать лишь в настольной версии.
Учетные данные для приложений и веб-сервисов
В плане удобства управления лидируют веб-сервисы, при этом речь идет не только об упрощенной синхронизации. В частности, 1Password, LastPass и Dashlane демонстрируют, как нужно правильно создавать приложения и постоянно внедрять новейшие технологии. К примеру, все три провайдера очень быстро адаптировали свои приложения к сканеру Face ID на iPhone X. Вдобавок ко всему, биометрическая разблокировка гораздо удобнее, чем ввод длинных мастер-паролей.
Все диспетчеры паролей предлагают автозаполнение учетных данных в браузере для входа на сайт. Для программ под Windows и приложений на смартфонах и планшетах этот метод не работает. Здесь проще всего будет скопировать и вставить данные в соответствующие поля. Android, в отличие от iOS, позволяет это сделать легко. Для системы от Apple разработчикам приложений необходимо интегрировать особые функции для работы с диспетчерами паролей. Во всяком случае, для наших лидеров - продуктов LastPass, 1Password и Dashlane - существует длинный список поддерживаемых приложений, которые обходятся без буфера обмена.
У всех решений существует функция поиска для быстрого обнаружения данных. Однако лишь 1Password, KeePass и Steganos позволяют интегрировать несколько баз данных, благодаря которым пользователь может, к примеру, разделить личные и рабочие аккаунты. Очень полезна и функция «Избранное» для отображения часто используемых паролей - отмеченные таким образом данные всегда находятся наверху в списке.
Вход в Windows без пароля
Диспетчеры паролей сохраняют все учетные данные. Ситуация со входом в Windows сложнее, поскольку у вас пока нет доступа к сейфу. Компания Microsoft интегрировала в «десятку» функцию Windows Hello, благодаря которой аутентификация пользователя может осуществляться по сканированию отпечатка пальца, распознаванию лица или радужной оболочки глаза. Такие устройства, как , уже располагают техническими средствами, поскольку обычной веб-камеры недостаточно.
Лучше, чем браузерные хранилища
Все участники нашего теста интегрируются в браузеры Chrome и Firefox, а вот с Microsoft Edge могут совладать лишь четыре участника теста: LastPass, 1Password, Keeper Security и True Key. Кстати о браузерах: их встроенные диспетчеры представляют собой лишь хранилище, в котором отсутствуют важные дополнительные функции - например, генератор паролей. Мы советуем обратиться к специальным инструментам, чтобы не потерять покой и сон из-за ужасающих новостей о миллионах украденных учетных данных.
Где хранить свои суперсекьюрные и регулярно обновляемые пароли от множества интернет-ресурсов? В голове? Скорее всего, не поместятся. На бумажке? Не по-хакерски. Доверять облачному сервису, который спалит пароли если не сегодня, то завтра обязательно? Понадеяться на опенсорсный менеджер паролей? Вяло, товарищи! Скучно!
Сегодня мы рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ хранить пароли, создав свой аппаратный менеджер паролей! Он будет хранить в себе данные разных аккаунтов, логины и зашифрованные пароли, ключ от которых должен держаться отдельно и вводиться непосредственно перед использованием, и при этом устройство будет эмулировать USB-клавиатуру для вывода логина и пароля.
Нет дыма без огня, или немного предыстории
Идея родилась не на пустом месте. Незадолго до ее появления я решил заняться программированием микроконтроллеров. Но так как свободного времени, чтобы серьезно и глубоко посвятить себя этому, было недостаточно для полноценного освоения ни железного С++, ни железобетонного ассемблера, то, чуть не споткнувшись о продолжающую набирать популярность вселенную Arduino, я прямиком угодил в объятия загадочного мира «JavaScript для микроконтроллеров». «Теперь гаджеты программируют на JavaScript» - этот броский заголовок поймал меня на крючок! Разглядывая на сайте «Амперки» изображения красивой отладочной платы, похожей на Arduino Leonardo, но белой и именуемой Iskra JS (не путать с Iskra Neo, которая тоже Iskra, тоже белая, но по сути улучшенная Leonardo), я попал под гипноз описания ее возможностей (и, если что, нахожусь под ним до сих пор).
Сердце платы Iskra JS - прекрасный дуэт микроконтроллера серии STM32F4 и прячущейся в его недрах могучей open source прошивки Espruino , выполняющей функцию интерпретатора языка JavaScript с торчащей наружу консолью а-ля REPL. Те, кто знаком с Node.js, почувствуют ярко выраженное дежавю и смогут вести себя более уверенно в диалоге с Espruino. При всем при этом для Iskra JS подходит весь спектр аксессуаров от Arduino UNO R3. Да и дополнительные библиотеки, представляющие собой JS-модули, имелись в достаточном количестве как от создателей проекта Espruino, так и от разработчиков Iskra JS.
«Зачем все это», или не купить ли нам коммерческий токен
Можно посмотреть и в сторону коммерческих токенов. Но тут скрывается пласт нюансов с дополнительным ПО и универсальностью. Да и за действительно интересные устройства придется выложить немаленькую сумму.
Итак, недолго раздумывая и сразу обзаведясь целым набором «Йодо», где, помимо платы Iskra JS и буклета, были шилды, модули с сенсорами и прочими кнопочками, а также детали необычного конструктора для макетирования корпусов, именуемого структором, я всецело погряз в творчестве. 🙂 И вот тогда, наткнувшись в буклете на один из проектов с примером использования эмуляции клавиатуры, я и загорелся идеей сделать «ленивку», набирающую за меня пароли.
Идея зрела долго, ее каждый раз подрезали всякие умные роботы и дома, GSM-сигнализации и прочие радости творчества. Ведь программирование для Iskra JS приносило массу удовольствия, так как не было обременено посредническими процессами - ни предварительным компилированием, ни обязательной прошивкой платы.
INFO
Процесс прошивки в Espruino-based платах требует некоторых разъяснений. Прошивка в микроконтроллере одна - и это Espruino. Она прошивается единожды и занимает часть флеш-памяти микроконтроллера. В дальнейшем для сохранения вашего JavaScript-кода используется оставшееся место во флеш-памяти. И вот очистку части флеш-памяти от старого кода и запись нового нередко также называют прошивкой, хотя правильнее все же называть это сохранением кода.
Время пришло
День, когда лень набивать длинные пароли руками победила в первенстве приоритетов, все-таки настал. И тогда пришло время сформировать представление о том, каким я вижу свое будущее устройство, а заодно и составить список требований и деталей.
- Для хранения логинов и паролей была выбрана карта microSD. Для работы с ней, соответственно, необходим модуль для чтения карт.
- В роли управления решил задействовать ИК-пульт и модуль с ИК-приемником, которые достались с набором, так как кнопок пульта заведомо было достаточно для возможного будущего расширения, в то время как с размещением новых физических кнопок могли бы возникнуть проблемы, да и дистанционность имеет свои плюсы в использовании.
- Так как у «Амперки» не было на тот момент собственных модулей с дисплеем, целостную картинку пришлось нарушить и воспользоваться китайским модулем с OLED-дисплеем с ярким экраном диагональю 0,96 дюйма и с подключением по шине I2C (как показала практика, если собираешься управлять своим менеджером с расстояния более двух метров, то удобней все же будет использовать экран больших размеров).
- Для хранения ключа после недолгих поисков была выбрана транспортная карта «Единый», работающая по технологии RFID и, как обнаружилось, имеющая небольшую область памяти, свободную для перезаписи. Попадаются карты «Единый» с 80 и 164 байт памяти. Хранится информация страницами по четыре байта. У тех, что со 164 байт на борту, есть 80 байт, свободных для перезаписи (с 16-й по 35-ю страницу при счете с 0). Таких израсходованных карт у меня оказалось приличное количество. Свою роль сыграло и то, что у «Амперки» была полноценная и настроенная на работу с картами «Единый» JS-библиотека для NFC/RFID-модуля на основе микросхемы NXP PN532 , что дает стимул покопаться в ней глубже для более детального изучения принципов работы с RFID/NFC-метками.
Определившись со списком, можно было приступать к сборке прототипа и программированию.
Изначально за основу была взята отладочная плата Iskra JS с дополнительной платой расширения. Прототип на ней получился громоздким, чудным и по-своему симпатичным.
Позже появилась мини-версия старшей платы - Iskra JS mini c STM32F411CEU6 на борту, и это позволило существенно сократить размеры устройства и сделать его мобильным.
Вот на ее основе мы и соберем наше устройство.
Подготовка
Для начала необходимо установить среду разработки, и если ты собираешься работать с платой из-под винды, то понадобятся драйверы . Подробно об установке среды разработки можно почитать на вики проекта Iskra JS.
Если же не пользуешься браузером Google Chrome, то можно установить нативные приложения для Windows с сайта проекта Espruino либо самостоятельно клонировать текущую версию среды разработки с GitHub и запустить ее локально с помощью фреймворка NW.js , просто скопировав все файлы среды в папку с фреймворком и запустив исполняемый файл nw .
Главное - не забудь поменять в Espruino Web IDE настройки для работы с платами и дополнительными библиотеками от «Амперки»:
В разделе SETTINGS → COMMUNICATIONS:
- в поле Module URL укажи http://js.amperka.ru/modules
- в поле Module Extensions укажи.min.js|.js
- в поле Save on Send выбери Direct to Flash
В разделе SETTINGS → BOARD:
- в поле Board JSON URL укажи http://js.amperka.ru/json
Окно среды разработки состоит из двух частей: справа - редактор кода, слева - консоль интерпретатора Espruino, доступная при соединении с отладочной платой.
Сборка прототипа и подключение
Подключим физически все наши модули, разместив на беспаечной макетной плате. Что она собой представляет и как с ней работать, можно почитать .
Выведем питание с пина 3V3 отладочной платы Iskra JS mini на дорожку + макетной платы, а «землю» - с пина GND на – .
OLED-экран с подключением по шине I2C имеет четыре контакта: GND, VDD (VCC), SCK (SCL), SDA. Подключим их к соответствующим пинам на плате:
Продолжение доступно только подписчикам
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
Сколько сайтов, где нужно авторизоваться, вы посещаете за день или неделю? Для большинства из нас это как минимум социальные сети, почта, банковские сервисы, онлайн-магазины, новостные сайты с комментариями, форумы и так далее. И на каждом из этих сайтов нужно вводить логин и пароль.
Легко ли запомнить данные для всех нужных веб-ресурсов? Иметь один пароль для всех или записывать его на бумаге – небезопасно. Постоянно придумывать новые – сложно. На помощь приходят программные хранилища, способные запоминать логины и пароли от множества сайтов и приложений – так называемые менеджеры паролей.
Встроенную систему управления учетными записями имеет каждый уважающий себя веб-браузер. Также существуют сторонние решения – платные и бесплатные. Последние больше подходят для тех, кто пользуется разными браузерами и приложениями или не доверяет встроенным системам.
Для хранения паролей используют веб-сервисы, дополнения к браузерам и самостоятельные программы. Границу между ними провести непросто, поскольку (как мы увидим на первом же примере) самые продвинутые разработки существуют во всех трех вариантах.
Менеджеры паролей бывают платными (pro или premium), бесплатными (free), а также фримиум (с бесплатными базовыми функциями и платными расширенными). Большинству домашних пользователей хватает бесплатных продуктов, но если вам нужны особые возможности, например, усиленная защита или увеличенный размер хранилища, придется немного заплатить.
Кто разбирается в безопасности лучше, чем создатели одного из знаменитейших антивирусов? предлагает все мыслимые степени защиты. Эта программа интегрируется во многие браузеры, имеет собственный генератор случайных сочетаний символов, отслеживает попытки фишинга и работу шпионских программ-кейлоггеров.
Программа существует в переносной версии, что позволяет запускать её с флэшки на разных компьютерах. Можно импортировать в KPG записи из других подобных сервисов. Разумеется, есть русскоязычный интерфейс.
Стоимость сервиса – 450 рублей в год.
Главный недостаток: программа не работает с браузерами Mozilla Firefox 3.x (64 bit), Opera, Vivaldi и некоторыми другими.
— один из самых популярных сервисов для работы с паролями. Пользователям компьютера проще всего установить расширение в браузер; на мобильных устройствах LastPass реализован как отдельное приложение.
Интерфейс всех расширений и приложений LastPass переведен на русский. Бесплатный вариант сервиса позволяет работать с единственной учётной записью на одном устройстве. Для синхронизации данных на нескольких девайсах необходима премиум-подписка LastPass, которая обойдется примерно в $2 в месяц. Семейный аккаунт стоит вдвое дороже, но поддерживает шесть учётных записей.
Этот сервис заполнения форм знаком многим пользователям ещё с прошлого века (без преувеличения). Его главное преимущество – в способности заполнять формы не только в веб-браузерах, но и в любых Windows-приложениях. Интерфейс переведен на русский язык.
В есть собственный генератор паролей, реализована поддержка облачной синхронизации разных устройств (включая мобильные), а также всех браузеров. Этим он превосходит даже сервис от Kaspersky Lab.
Бесплатная версия Roboform работает для одного пользователя на одном компьютере. Для синхронизации на разных устройствах необходимо купить подписку по цене от 810 рублей в год. Более дорогие варианты позволяют синхронизировать одновременно несколько учетных записей, например, для сотрудников компании. Наконец, вы можете купить подписку бизнес-класса для большого коллектива примерно за 1500 рублей в год на каждый аккаунт. Такая подписка предоставляет ещё и сервис администрирования.
— интересный платный сервис для тех, кто в первую очередь заботится о безопасности. Приложение доступно как для мобильных платформ, так и для десктопа. В нём можно хранить данные сайтов, номера банковских карт, личные заметки и т.д.
База Enpass в зашифрованном виде может храниться на стороннем облачном сервисе (OneDrive, Диск Google, Dropbox и т.д.) или на самом устройстве. Для доступа к ней на мобильном девайсе можно использовать сканер отпечатка пальца.
Хотя сервис Enpass платный, разработчики предлагают обойтись разовым платежом в 690 рублей за мобильную версию (это дешевле, чем годовая подписка на Roboform). Достаточно купить версию для одной из платформ, и вы сможете установить приложение на другие устройства бесплатно.
Ещё один сервис, о безопасности которого можно не беспокоиться. доступен в полном разнообразии форм – как отдельная программа для настольных ОС, как мобильное приложение и как браузерное расширение. Интересно то, что его создатели до сих пор поддерживают устаревшие платформы, вроде Windows Phone или BlackBerry OS.
Сервис отличается невероятным разнообразием функций. Здесь и хранение паролей для доступа на сайты, и личная папка для документов, и генератор сложных паролей. Есть двухфакторная аутентификация для доступа к защищенным ресурсам, автоматическое заполнение форм на сайтах и сохранение истории (на случай, если вы измените или удалите записанный пароль).
Отдельно стоит отметить встроенную в Keeper биометрическую аутентификацию. И на компьютерах, и на мобильных устройствах он поддерживает дактилоскопическое сканирование, опознание по лицу или по радужной оболочке глаза.
Стоимость подписки на Keeper составляет $30 в год для индивидуального пользователя и $60 – для семейного аккаунта с 5 пользователями. Бесплатная демо-версия позволяет хранить неограниченное число записей, правда, лишь локально.
Мы не стали рассматривать популярные сервисы Dashlane, LogMeOnce и некоторые другие, поскольку они не предлагают русского интерфейса приложения или сервиса.
Расширения для браузеров Опера, Гугл Хром, Яндекс, Firefox
Хотя рассмотренные выше менеджеры паролей предлагают в том числе и расширения для браузеров, существуют веб-сервисы только в виде последних. Они имеют ограниченную функциональность, но пользователям, которые хранят пароли только от сетевых аккаунтов, их возможностей вполне достаточно.
Встроенные менеджеры паролей в браузерах
Как мы уже упоминали, любой приличный браузер в 2018 году имеет собственный менеджер паролей. Если у вас нет особенных потребностей в усиленной безопасности, то можно и не искать другие решения.
Основная часть их работы происходит прямо при входе на сайты. Всплывающий запрос интересуется, сохранить ли данные для входа в аккаунт, изменить ли пароль (если вы ввели не тот, что обычно), сохранить ли для какого-нибудь сайта несколько учётных записей. Рассмотрим, как воспользоваться этой функцией в различных популярных браузерах на Windows 10.
Opera
Google Chrome
Как посмотреть пароли в Google Chrome (если вы пользуетесь встроенным менеджером, без дополнительных расширений):
Firefox
Как посмотреть пароли в Firefox?
Яндекс.Браузер
Как посмотреть пароли в Яндекс.Браузере:
Заключение
По большому счету основной массе пользователей подойдут и встроенные средства в популярных браузерах. Наиболее продвинутый менеджер представлен в продукте от Яндекса, однако и другие разработчики предлагают вполне удовлетворительные решения.
Менеджеры паролей в виде приложений часто предлагают синхронизацию между разными устройствами, защиту файлов от несанкционированного доступа, сохранение конфиденциальных заметок, работу с банковскими картами. Отдельная приятная возможность – систематизация паролей по папкам с внутренней иерархией.
Платить за менеджер паролей или нет? Большинство программ этого класса – платные. Однако за свои деньги (достаточно скромные) вы получаете гарантии конфиденциальности. Если информация вам дорога, рекомендуем подстраховаться и примерно за 100-150 рублей в месяц обеспечить себе спокойствие.
Наиболее популярные ответы. ЦП публикует подборку самых надежных и удобных сервисов.
Как отмечает издание Lifehacker.com, раньше менеджеры паролей умели лишь хранить информацию в зашифрованном виде. Сегодня подобные программы предоставляют возможность хранить данные как на компьютере, так и удаленно, менять пароль одним щелчком мыши и заходить с его помощью на сайты.
Лучшие программы данного типа можно запустить и на компьютере без подключения к интернету, и синхронизировать со множеством устройств по сети, пишет Lifehacker.com.
Некоторые из менеджеров авторизуют пользователя на сайтах, другие ведут учет паролей и проверяют, не используется ли одна и та же комбинация в нескольких случаях. Все они обладают своими особенностями и по-своему подходят к вопросу безопасного хранения данных.
LastPass
Издание Lifehacker.com отмечает, что LastPass стал одним из первых менеджеров паролей, которыми было удобно пользоваться для хранения паролей как онлайн, так и локально.
LastPass запоминает пароли пользователя и позволяет заниматься их менеджментом , а также автоматически меняет их, если сервис, для которого они предназначались, был взломан или иным способом скомпрометирован. LastPass поддерживает двухфакторную аутентификацию для хранилища паролей с помощью Google Authenticator, USB-устройства или YubiKey .
В 2014 году в сервисе обновился пользовательский интерфейс, благодаря чему им стало намного удобнее пользоваться, и добавился ряд дополнительных функций, таких как мониторинг изменений кредитной истории, генерация безопасного пароля и хранение и обмен документов, уведомления при взломе одного из используемых сайтов, инструменты для автозаполнения форм и онлайн-покупок.
LastPass поддерживает Windows, OS X, Linux, Android, iOS, Windows Phone и Blackberry, а также плагины для браузеров Chrome, Firefox, Safari, Opera и Internet Explorer. Базовая версия сервиса бесплатна, а премиум-менеджер с максимумом функций и поддержкой мобильных платформ доступен за $12 в год.
Как отмечает издание Lifehacker.com, многие пользователи заявили, что LastPass сделал их жизнь в сети намного проще. Благодаря сервису нет необходимости использовать один и тот же пароль на каждом сайте, не приходится ошибаться в наборе или случайно отправлять комбинации кому-либо. Менеджер позволяет заблокировать важные данные тогда, когда вам кажется, что вас взломали, и мотивирует лучше заботиться о безопасности.
Dashlane
Dashlane был запущен в 2012 году и быстро обрел популярность за счет внимания к интерфейсу, безопасности, простоты авторизации, автоматического заполнения форм на веб-страницах и работы с интернет-магазинами.
За время существования менеджера, он пережил несколько обновлений, обзавелся поддержкой двухфакторной аутенфикации, возможностью делиться паролями в случае, если пользователь потерял доступ к своим аккаунтам и, главное, функцией, благодаря которой можно сменить несколько паролей к десятку сайтов всего несколькими кликами. Также Dashlane оповещает пользователя, если один из используемых им ресурсов был взломан, и может самостоятельно устанавливать новые уникальные пароли.
Трекинг покупки и работа с виртуальным кошельком упрощает работу с онлайн-ритейлерами и позволяет отслеживать все заказы внутри сервиса. Кроме того, Dashlane предусматривает возможность локального хранения паролей в зашифрованном виде, а также позволяет синхронизировать их с другими устройствами через облачное хранилище.
Dashlane работает на Windows, OS X, Android и iOS и имеет плагины для Chrome, Firefox, Safari и Internet Explorer. Платная версия менеджера позволяет настроить синхронизацию различных устройств. Её стоимость составляет $40 в год.
KeePass
Как пишет издание Lifehacker.com, KeePass подойдет всем поклонникам бесплатного софта с открытым программным кодом. В этой программе все пароли пользователя хранятся в зашифрованной базе данных в их системе и никогда не покидают ее пределов.
У KeePass есть приложение, с помощью которого можно перенести информацию на несколько компьютеров, даже если используемый компьютер заблокирован, и у пользователя осталась только флеш-карта.
К базе данных можно настроить доступ нескольких пользователей, а также экспортировать ее в текстовом виде.
В менеджер встроен генератор паролей, способный проверять уникальность и безопасность каждой из используемых комбинаций.
Как отмечает Lifehacker.com, для KeePass существует огромное количество дополнительных плагинов и инструментов, расширяющих его функциональность и позволяющих использовать новые платформы.
Автозаполнение KeePass работает практически на всех системах и браузерах, благодаря чему менеджер может авторизоваться на сайтах, на которые не могут попасть его аналоги. Также он позволяет использовать автозаполнение в приложениях, диалоговых окнах и других формах, где ранее приходилось набирать все вручную или с помощью копирования.
В 2010 году пользователи Lifehacker.com выбрали KeePass в качестве лучшего менеджера паролей, прежде всего, за открытый программный код и подход к безопасности.
Официально KeePass поддерживает Windows, OS X и Linux, но благодаря сторонним разработчикам, им можно пользоваться также на iOS, Android и Windows Phone.
1Password
1Password обладает приятным интерфейсом, встроенными безопасными заметками, виртуальным кошельком с платежной информацией и надежным генератором паролей, позволяющим формировать комбинации по указанным запросам, а не просто принимать случайный вариант, который выдает алгоритм.
1Password можно использовать как на устройстве без доступа к сети, так и синхронизировать хранилище паролей через Dropbox, iCloud, Wi-Fi или сетевые папки.
Также можно настроить доступ других пользователей в хранилище или указать контакты на экстренный случай.
1Password поддерживает Windows, OS X, Android и iOS, а также плагины для Chrome, Firefox, Opera и Safari. Премиум-версия 1Password для одной из систем стоит $50 (пакет лицензий для Mac и Windows — $70). Мобильные приложения и расширения для браузеров доступны только для обладателей лицензии.
Пользователи, выбравшие 1Password, отмечали его интерфейс и простоту использования: с менеджером просто приятно взаимодействовать. Кроме того, пишет Lifehacker.com, 1Password работает практически в любом браузере, системе и диалоговых окнах.
Также пользователи отметили функцию «watchtower», оповещающую о серьезных нарушениях в сети, и поддержку TouchID на iOS. Были упомянуты и минусы менеджера, в том числе, невозможность редактирования базы данных на мобильных устройствах.
RoboForm
Разработка RoboForm началась в 1999 году, и с тех самых пор у него остались преданные поклонники, пишет Lifehacker.com. RoboForm можно использовать и как инструмент автозаполнения форм в интернете, и как менеджер паролей. Зашифрованные данные хранятся как локально на устройстве пользователя, так и синхронизируются по сети. RoboForm можно носить с собой на флеш-карте, чтобы пользоваться им на любых компьютерах, не боясь потерять пароли.
В менеджере можно использовать несколько профилей, в каждом из которых будет указана индивидуальная информация о пользователях, паролях и любой другой информации, необходимой для частого применения.
Сегодня даже начинающей пользователь активно пользуется несколькими электронными счетами, почтовыми ящиками, облачными сервисами и локальными хранилищами. И согласно «непонятным» правилам, на каждое такое добро надо придумывать и запоминать пароли. Однако мы по-прежнему разгильдяйски относимся к тому, чтобы делать их уникальными и сложными, что неизбежно приводит к потерям информации и личных данных, обилию спама, запрету доступа. Именно поэтому такое явление, как менеджеры паролей становятся обязательным инструментом современного человека.
А вот как получить от них максимальную отдачу.
Разнообразие
Когда вы устанавливаете на очередной аккаунт свой любимый пароль, в лучшем случае, допуская лишь незначительные изменения, вопрос его взлома злоумышленниками сводится к «когда», а не «если». При этом вряд ли вам сильно хочется зубрить десятки паролей, а потом ещё и вспоминать где какой. Именно поэтому лучше прибегнуть к менеджеру, который сам всё запомнит и спрячет от злодеев. Меньше головной боли, с какой стороны не посмотри.
Сложность
Большинство популярных менеджеров паролей способны генерировать для вас сложные пароли, что действительно важно. Веб-сайты же способны хранить криптографические представления паролей с помощью хэширования . Однако зная его алгоритм, хэш в конечном счёте может быть взломан. Чем сложнее будет ваш пароль, тем больше времени и сил потребуется злоумышленнику, чтобы восстановить его из хэша. Именно поэтому считается, что вы обеспечите ваш аккаунт хорошей защитой только в том случае, если ваш пароль будет состоять минимум из 12 символов, сочетая буквы верхнего и нижнего регистров, цифры и спецсимволы.
Самостоятельность
Тем не менее, несмотря на всё удобство использования менеджера паролей, важным фактором безопасности является и ваша собственная голова. Использовать её будет не лишним, чтобы создать мастер-пароля для доступа к менеджеру. В этом случае вам совсем необязательно выдумать что-то действительно сложное, можно просто создать пароль, объединив фразу. Например, GeekBrains_4_GeeksAndBrains . Или ещё сложнее, вроде того, что рекомендуют разработчики Windows : Мн€НрА8№tся№грАt"вБадDм№нт()н .
Оффлайн и Онлайн
Как и любые популярные приложения, разные менеджеры паролей используют разные модели безопасности. Одни, такие как KeePass , Password Safe или Enpass , работают в автономном режиме. Это означает, что при введении нового пароля на одном устройстве, вам приходится либо самостоятельно вводить его на другом, либо хранить общую базу на облачном сервисе.
Другая модель, используемая LastPass , Dashlane и 1Password , предполагает постоянную синхронизацию между различными устройствами. С точки зрения рядового пользователя это немного удобнее, но не забудьте удостовериться, что приложение при этом не отсылает ваш мастер-пароль разработчикам. Тем не менее, обе модели обладают явными преимуществами и недостатками, поэтому перед началом использования, убедитесь, что выбранный менеджер поддерживает ту, что удобна именно для вас.
Мастер-пароль
Есть ещё две предосторожности, которые касаются мастер-паролей. Во-первых, если вы используете на каждом устройстве отдельный менеджер, позаботьтесь о создании нескольких уникальных мастер-паролей. Во-вторых, сам по себе мастер-пароль можно взломать, как следствие, получив доступ ко всем данным сразу. Идеальным решением является использование двойной аутентификации, то есть дополнительного подтверждения через SMS, электронную почту или дополнительный генератор паролей. Дополнительные меры предосторожности никогда не помешают.
Другая безопасность
Обычная практика в работе менеджеров паролей - предложение закрыть сеанс после некоторого периода бездействия. Несмотря на то, что эта функция немного усложнит вам жизнь, пренебрегать ей ни в коем случае не стоит. Это поможет предотвратить или хотя бы минимизировать ущерб от вредоносных программ.
Кроме того, как можно меньше ресурсов должно быть включено в список «доверенных», предполагающих автоматический вход. Применяйте этот флажок только к тем ресурсам, которые посещаете несколько раз в день и которые не содержат важной информации.
Стартовый импульс: профессия « ».
