Есть три категории людей: одни запоминают пароли или записывают в блокнот, другие доверяются браузеру, а третьи используют менеджеры паролей. Интересно, что несмотря взрывную эволюцию программного обеспечения за последние несколько лет, всё ещё много людей можно найти из первой категории.
Как хранить пароли в блокноте
С блокнотом, я думаю, всё понятно – записал, положил в стол, хакеры не доберутся!
Совсем другое дело с программой-блокнотом и сохранением в текстовый файл на телефоне или компьютере. Текстовые файлы с паролями – самый лакомый кусочек для хакеров, вирусы в первую очередь сканируют файловую систему на предмет наличия файлов с именем «пароли.txt» или типа того.Но, в принципе, можно изловчиться и всё-таки сохранять кое-что конфиденциальное в обычном блокноте. В таком случае просто заархивируйте файл «.txt» в архив со сложным паролем (от 10 символов, буквы большие и маленькие, цифры, одно тире или точка), архив под паролем довольно большая преграда для злоумышленников.
Второй приём заключается в шифровании данных «по-личному». Например, вы придумываете, что первый и последний символ во всех паролях меняется местами. Таким образом, человек получивший доступ к файлу, не сможет им воспользоваться, если не узнает ваш «секрет». Комбинируя эти два приёма, безопасность хранения паролей получается довольно высокой, но много сложностей и неудобств.
Сохранение паролей в браузере – безопасно?
Уже много лет браузеры Google Chrome, Mozilla FireFox, Opera и др. предлагают сохранить пароль от сайта в своей базе и потом автоматически подставляют его при следующем входе. Позиция самих разработчиков браузеров такова, что НЕ СТОИТ внедрять сильную защиту паролей в браузер и оставить её на уровне безопасности доступа к смартфону или учётной записи Windows. Это означает, что если хакер, коллега или даже член семьи получит доступ к устройству и войдёт в систему, то он получит доступ к вашим сессиям и паролям.
В остальном, пароль в браузере хранится, конечно же, в зашифрованном виде и просто так скопировать его другие программы не могут. Но местоположение файлов с данными известно, и чтобы пароли нельзя было расшифровать, нужно обязательно устанавливать мастер-пароль: главный пароль, шифрующий остальные пароли.
Получается, что можно сохранять логины в браузерах, если доступ к устройству есть только у вас. Но есть ряд существенных минусов:
- Вирус, получивший доступ к операционной системе или RAT Malware (удалённое управление устройством) сможет, если и не украсть, то заходить на сервисы с вашего устройства от вашего имени;
- Для синхронизации паролей на смартфонах Android, iOS и компьютером нужно использовать один и тот же браузер, и только один этот браузер;
- Невозможно или трудно экспортировать пароли из браузера, чтобы потом импортировать их в другой браузер;
- Невозможно сохранять пароли в приложениях на смартфоне или в программах Windows;
- Невозможно подставить пароль, если адрес или дизайн сайта изменились;
- Невозможно восстановить пароли в экстренном случае, например в случае смерти.
Менеджеры паролей – стоит ли использовать?
Менеджер паролей это специальное приложение для Андроид и iOS-смартфона или программа для компьютера, которая хранит пароли и другие конфиденциальные данные от сайтов, приложений и программ. Менеджер паролей всплывает, когда вы вводите новый логин/пароль чтобы сохранить его, и появляется, когда нужно ввести ранее сохранённый пароль. Посмотрим, как менеджеры паролей решают недостатки браузеров.
При неактивности пользователя определённое количество времени, или после каждой разблокировки телефона, спрашивается мастер-пароль. Такой подход позволяет избежать несанкционированного заполнения паролей на сайтах и в приложениях. Поскольку главный пароль не удобно вводить каждый раз, некоторые приложения, например RoboForm, предусмотрели четырёхзначный ПИН-код вместо пароля. Но при долгой неактивности или после перезагрузки телефона, будет запрошен полный главный пароль.
Здесь есть важный «нюанс». Менеджеры работают по принципу «нулевого знания» или «доказательство с нулевым разглашением». Это означает, что хранящиеся пароли можете увидеть только Вы, сотрудники сервиса при всём желании не могут получить доступ и расшифровать данные (это к вопросу о конфиденциальности). Но при утере мастер-пароля, вы полностью теряете все сохранённые пароли! Есть лазейка в виде экстренного доступа, об этом ниже.
Для старых Android-смартфонов нужно отдельное приложение-расширение для каждого браузера, чтобы появилась возможность автоматического заполнения полей в браузере. Но в устройствах с ОС Андроид выше 4.3 приложение может заполнять пароли как в браузерах, так и в обычных приложениях. Для работы этой функции нужно разрешить работу службы менеджера паролей, например Dashlane или RoboForm, в «Настройки -> Дополнительно -> Спец. Возможности -> Вкл.».
Все менеджеры паролей умеют экспортировать данные в CSV-файл, чтобы потом можно было их загрузить в другой аккаунт или в другую программу по управлению паролями. Некоторые программы, например Dashlane, умеют импортировать пароли без промежуточной выгрузки в CSV-файл, зачастую его называют одним из лучших менеджеров паролей. Ещё одна отличительная способность менеджера Dashlane – групповое изменение паролей, т.е. можно в одном окне массово поменять пароли, заменить слабые пароли на защищённые.
О смерти не удобно говорить, но что будет с «нажитым непосильным трудом», с доступом к сервисам, кошелькам, контактам в случае смерти или несчастного случая? А если само устройство будет уничтожено или украдено? Для таких случаев в менеджерах паролей, например в том же Dashlane или Roboform, предусмотрена функция «Экстренный доступ».
В здравом уме вы выставляете период неактивности и контакт для резервного доступа, это может быть ваша секретная электронная почта, на случай утери мастер-пароля.
Затем сервера менеджера паролей отслеживают активность аккаунта, и когда замечают, что в течении указанного периода, например 7 дней, вы не пользовались менеджером, высылается письмо на указанный электронный ящик с пояснением что произошло и инструкцией как получить доступ ко всем вашим паролям. По-моему, гениально! Единственное, если резервный контакт не в курсе что такое вообще бывает, то может посчитать письмо спамом, попыткой фишинга (я бы так и подумал ) или пропустить его в папке «Спам».
👇👇👇
ХОЧЕШЬ ПРОДВИНУТЬ СВОЮ ГРУППУ ИЛИ СТРАНИЦУ? ТЕБЕ СЮДА 👉
=========
Названы самые удачные дни в 2021 году для каждого знака зодиака
Назван вызывающий самое сильное похмелье напиток
Финансист предостерег россиян от продажи валюты
