Разное

Хранить пароли: Где и как хранить пароли | Блог YAGLA

19.07.1982

Содержание

Где и как хранить пароли | Блог YAGLA

Безопасность личных данных в интернете – это то, о чем каждому из нас приходится заботиться. При регистрации на сайтах и в интернет-магазинах, авторизации в соцсетях, пользовании электронной почтой и самыми разными приложениями.

 

В этой статье мы расскажем, где и как хранить пароли от аккаунтов, чтобы они не попали в руки злоумышленников.

Запоминаемость или сложность?

Мало уберечь пароль от злоумышленников. Важно обеспечить к нему доступ для себя в любой момент.

 

Запомнить – сомнительная идея, если паролей более пяти и если они составлены грамотно:

 

  • Максимально длинный
  • Максимально сложный (сочетание букв разного регистра, цифр и символов), чтобы его невозможно было случайно угадать.

 

При регистрации в некоторых сервисах задаваемые пароли автоматически проверяются на надежность (уровень надежности – низкий, средний, высокий), и выходят подсказки о том, какие символы может содержать пароль. Например, он не может быть только из цифр или только из букв, должны обязательно присутствовать разные регистры (заглавные и прописные буквы) или символы и т.д.

 

Слишком простой пароль – это, конечно, удобно для запоминания, но не менее удобно для «угадывания» кибер-мошенниками. Поэтому лучше не включать в пароль слова и даты, особенно дату вашего рождения. Ни в коем случае нельзя использовать логин в качестве пароля, а также комбинации, которые легко набрать с клавиатуры: 123456, qwerty, user, admin и т.д. Когда набор символов лишен смысла, его сложнее подобрать.

 

Возможно, один пароль еще можно удержать в голове. Если же пользоваться разными онлайн-сервисами и сайтами, их может получиться в среднем 40-50 и даже больше. А еще плюс логины, которые не всегда записываются как адрес электронной почты или номер телефона.

 

«Лайфхак», который доказал свою несостоятельность – один пароль для всех сервисов. Многие так поступают, когда лень придумывать разные пароли. Если этот единственный пароль попадет в руки к злоумышленникам, они получают доступ ко всем аккаунтам, для которых он подходит.

 

Спойлер: ни один метод не гарантирует 100% сохранности учетных данных и исключает все риски. Вопрос в том, насколько велики эти риски для каждого метода.

 

Далее опишем способы хранения паролей и других конфиденциальных данных – от самых ненадежных до рекомендуемых.

Хранение на локальных носителях

Метод «по старинке» – записать в блокнот. Это уберегает личные данные от мошенников в онлайне. Но во-первых, если пароль будет записан на бумаге, каждый раз придется вводить его вручную. Во-вторых, сам блокнот может потеряться.

 

Сложнее потерять конфиденциальные данные, если сохранить их в текстовом файле на компьютере или внешнем устройстве (флешка, диск). Никакого ручного ввода – просто скопировать в пару кликов.

 

Всё, что связано с компьютерами и электронными носителями, подразумевает высокий риск несанкционированного доступа третьих лиц. Более того, техника может выйти из строя, а вместе с ней может пропасть всё содержимое, в том числе файлы с личной информацией.

Запоминание паролей в браузере

Также можно настроить сохранение паролей в браузере, чтобы быстро авторизовываться на сайтах. Эта функция поддерживается, например, в Google Chrome, Yandex Browser, Mozilla Firefox. При авторизации пароль показывается в виде точек.

 

Это так называемый встроенный менеджер паролей, в котором можно посмотреть сохраненные пароли, если забыли, нажав на значок глаза. Или удалить их из браузера нажатием на три точки.

 

Так это выглядит в Google Chrome:

 

 

Как туда попасть? Введите в строку поиска chrome://settings/passwords. Либо откройте Настройки / Автозаполнение / Пароли.

 

 

Этот вариант, как и любой другой, не гарантирует 100% безопасности. Пароли просто могут очиститься вместе с кэшем при его обновлении или удалении. И их может подсмотреть любой, кто получит доступ к вашему компьютеру. При нажатии на «глаз» система просто показывает содержимое пароля, не требуя никаких подтверждающих действий.

 

Еще недостатки:

 

  • Таким образом невозможно запоминать учетные данные от приложений, метод подходит только для веб-страниц
  • Сложности в синхронизации между устройствами и другими браузерами.

 

Все описанные выше методы довольно рискованные. Физические носители типа флешек и блокнотов имеют обыкновение теряться, электронные – «подхватывать» вирусы и подвергаться хакерским атакам.

 

Следующие способы учитывают и компенсируют эти недостатки.

Облачное хранение

Вы также создаете файл, в который копируете все логины-пароли и размещаете его в облачном хранилище. Так файл всегда будет для вас доступен с любых устройств, нужно лишь интернет-подключение.

 

Существует множество сервисов, среди популярных – Google Drive, Яндекс Диск, Mail Cloud, онлайн-блокноты (Evernote и другие). Разница – в объеме бесплатных гигабайтов и тарифах.

 

Разумеется, безопасность такого хранения полностью зависит от:

 

  • Настроек файла – очень важно отключить (или случайно не включить) к нему публичный доступ, чтобы избежать случайное открытие по ссылке другими пользователями.
  • Надежности пароля к облаку. Доступ к облаку = доступ к аккаунтам, для которых прописаны конфиденциальные данные.

Менеджеры паролей

Это специализированные сервисы для безопасного хранения паролей. Они позволяют шифровать данные, чтобы защитить их от взлома.

 

Работает это следующим образом: вы устанавливаете менеджер паролей на компьютер или удаленный сервер для доступа в онлайн-режиме. Некоторые из них можно интегрировать в браузер как плагины и управлять ими с помощью мобильных приложений.

 

К сервису вы придумываете пароль (мастер-пароль), по которому и будут доступны все остальные данные. Один пароль гораздо проще запомнить, чем несколько. Именно от его надежности зависит сохранность доступа ко всем вашим аккаунтам.

 

Помимо надежного хранения учетных данных, менеджеры паролей также имеют следующий функционал:

 

1) Синхронизация данных – чтобы использовать один и тот же сервис на разных устройствах: компьютере, планшете, мобильном телефоне. То есть чтобы пароль, который вы добавите в менеджер с десктопа, был доступен на смартфоне.

 

2) Генерирование и анализ паролей – система сама может предлагать комбинации символов и оценивать сложность придуманных вами паролей.

 

3) Двухфакторная аутентификация. Это к слову о том, что теоретически мастер-пароли могут быть взломаны и восстановить их почти невозможно, так как разработчики программ их нигде не хранят.

 

Двухфакторная аутентификация – это еще один замок на пути к вашим данным. Ввода мастер-пароля недостаточно, нужно также выполнить дополнительное действие:

 

  • Отсканировать отпечаток пальца
  • Ввести код из цифр, который придет в SMS на прикрепленный номер телефона
  • Вставить ключ в порт USB.

 

4) Доступ к аккаунту для других пользователей без сообщения им мастер-пароля.

 

5) Поиск по аккаунтам менеджера паролей – чтобы найти нужную запись или файл среди многочисленных данных, организовать конфиденциальную информацию.

 

Есть менеджеры паролей как для личного, так и для корпоративного пользования. Из первых приведем в пример LastPass. В нем есть все описанные выше возможности.

 

Сервис LastPass работает во всех популярных браузерах, приложениях для Windows на ПК, под Linux и Mac, в мобильных приложениях под Android, iOS, Windows Phone, Blackberry.

 

И самая приятная новость – программа бесплатная, если ею пользоваться с одного устройства. А если заплатить за премиум, количество устройств для синхронизации не ограничено. В том числе можно использовать приложение LastPass для телефона.

 

К сожалению, нет возможности русифицировать интерфейс сервиса.

 

Чтобы воспользоваться LastPass бесплатно, нажмите эту кнопку:

 

 

Пройдите регистрацию:

 

 

Так выглядит интерфейс программы:

 

Здесь все аккаунты, пароли для которых вы сохраняете.

 

Чтобы добавить в менеджер паролей учетные данные для нового сайта, нажмите красный плюс внизу страницы и затем «Добавить сайт»:

 

 

В появившемся окне укажите все данные:

 

 

Name – название сайта, по которому вам понятно, что это за сайт.

 

Folder (папка) – чтобы вы знали, где именно будет эта запись и могли её легко в будущем найти.

 

Версия для бизнеса – LastPass Enterprise – позволяет управлять паролями с помощью расширения в браузере. Управлять – то есть отслеживать, какие учетные данные какому сотруднику доступны и вносить корректировки, если нужно.

 

Еще один из популярных сервисов – KeeWeb. Помимо прочего, в нем встроены автоматическое резервное копирование и ведение истории записей. Сервис также бесплатный и имеет открытый исходный код, благодаря чему можно убедиться в надежности хранения конфиденциальных данных в KeeWeb.

 

Так выглядит интерфейс:

 

 

Слева будет список ваших паролей и тегов. При клике по тегу в списке останутся пароли только этого тега.

 

Справа появятся все поля отмеченной учетной записи. Здесь можно задать имя пользователя, пароль, сайт, добавить заметку.

 

Есть корзина, из которой можно восстановить удаленные пароли или удалить их навсегда.

Резервное копирование паролей

Это самый надежный способ хранения паролей и он особенно подходит для бизнеса. Когда паролями пользуется не один человек, а допустим, несколько системных администраторов, которые работают по сменам.

 

Бэкап базы данных или списка паролей сохраняется на специальном физическом носителе – флешке, диске, – который хранится в сейфе или другом месте, скрытом от посторонних глаз.

 

Это означает, что для мошенников из онлайна нет никаких шансов получить конфиденциальные данные компании. Также снижается риск того, что пароли «уйдут» вместе с одним из сотрудников, имеющих доступ, после его увольнения, либо будут удалены им намеренно.

Резюме

  • Пароли должны быть сложными и неочевидными
  • Пароли не должны быть одинаковыми для разных сервисов, сайтов, приложений
  • Пароли на бумажных носителях могут быть утрачены
  • Пароли на электронных носителях и в памяти компьютера могут быть утрачены или украдены мошенниками, которые получат несанкционированный доступ к устройствам
  • Надежность облачного хранения паролей зависит от надежности пароля для доступа к облаку
  • Надежность данных в менеджере паролей зависит от надежности мастер-пароля – кода доступа к самому сервису
  • Резервное копирование – самый надежный способ хранения конфиденциальных данных для бизнеса.

Берегите себя и свою личную информацию!

Где стоит хранить свои пароли? Надёжно и безопасно!

Пароли! Извечная проблема пользователей интернета, когда нужно создавать большое количество паролей для доступа к интернет ресурсам. Только часто возникает вопрос: где и как их хранить, чтобы они были всегда под рукой, и при этом был ограничен доступ посторонних? Ведь со временем столько их наберется, что ошибки при вводе просто неминуемы. Значит, надо найти оптимальное место для их хранения.

Какие существуют варианты хранилищ паролей и какие требования выставляются для таких ресурсов?

  • Обеспечена защита паролей от посторонних
  • Ресурс должен быть защищен от уничтожения
  • Должен быть оперативный доступ к паролям

Где хранить пароли?

Вариант первый – в браузере. Все браузеры имеют буфер памяти паролей, только такой способ хранения имеет недостаток: в браузере можно хранить только пароли от веб-ресурсов.

Системный пароли, доступ к платежным системам нужно однозначно хранить в другом месте. Кроме того, именно в браузере пароли наименее сохранны. В случае переустановки операционной системы, установки другого браузера, пароли уничтожаются. Есть также ошибка самого пользователя, который использовал CCleaner с галочкой на уничтожении форм и паролей.

Хранение паролей в браузере

В случае некоторых браузеров, на пример Chrome, пароли можно хранить на сервере. Но в случае взлома аккаунта все пароли станут доступны хакеру. В результате потеряется доступ к ресурсам, вплоть до вредоносных действий. А про вирусы и стилеры паролей вообще не стоит говорить, потому что они постоянно усовершенствуются, часто бесплатные антивирусные программы типа Avast их просто не видят.

Вариант второй – обычный блокнот. Как правило, именно такое решение оптимальное.

Хранение паролей в блокноте

Но в случае потери блокнота все пароли будут уничтожены однозначно. Блокнот легок в использовании, всегда под рукой, доступ к паролям проводится за мгновение. Но потерять его легко, а украсть – часто еще легче.

Вариант третий – специальные программы хранилища паролей. Такой софт стоит использовать в случае огромного количества паролей. Самая оптимальная программа для таких целей – это KeePass. Программа имеет простой интерфейс, работать с ней очень просто. При первой активации придет зашифрованный файл, где и будут храниться пароли.

Хранение паролей в менеджере паролей

Файл имеет пароль доступа. Иными словами, чтобы получить доступ к файлу, нужно ввести специальный Мастер-пароль. Он используется только для доступа к файлу, а все другие пароли уже хранятся в середине. Большинство программ хранилищ паролей работают аналогично. Ещё большой плюс данных программ что в них имеется уже свой генератор пароля который может создавать сложные надёжные пароли.

Проблем с таким софтом пока не замечено, но возможна проблема с потерей зашифрованного файла. В результате можно потерять все пароли одновременно.

Как и где хранить пароли решать вам, но я считаю что, лучшее решение это специальные программы хранилища паролей и только с резервным копированием файла паролей на других носителях!

А где вы предпочитаете хранить свои пароли?

Как хранить пароли? | Инструкции по Настройке

Для хранения паролей применяются специальные программы-менеджеры. Сравниваем и выбираем лучшие из них.

Количество паролей, которые нужно помнить, исчисляется десятками: два-три адреса электронной почты, несколько социальных сетей, портал «Госуслуги», операционная система Windows, облачные хранилища данных – это лишь минимальный набор сервисов, который использует сегодня практически каждый из нас. Простые пароли, которые легко запомнить, так же легко могут быть взломаны, а сложные трудно запомнить. Тут-то и пригодится так называемый менеджер паролей.

Все современные браузеры предлагают хранилище паролей, но их использование не совсем удобно. Во-первых, в них можно хранить только пароли от веб-страниц, а от приложений придется держать где-то в другом месте. Во-вторых, хранилище паролей браузера трудно синхронизировать между различными устройствами и другими браузерами, поэтому при активном использовании нескольких устройств с разными браузерами и приложениями данный способ отпадает.

Есть еще один вариант замены менеджера паролей – создать текстовый файл и записывать туда пароли от всех аккаунтов. А чтобы этот файл был доступен с разных устройств, его можно поместить в какое-либо облачное хранилище. Но здесь неудобство в том, что вводить пароли от аккаунтов каждый раз придется вручную, копируя таковые из текстового файла. Кроме того, злоумышленнику достаточно будет получить пароль только от облачного хранилища, чтобы пароли от всех других аккаунтов оказались в его руках.


Менеджер паролей лишен указанных недостатков. Но все же следует помнить, что и он не дает стопроцентной гарантии от утечки конфиденциальной информации. Например, если на устройстве включена автоматическая авторизация в веб-сервисах, то не в меру любопытный приятель легко прочитает письма в почте, получив доступ к устройству. Кроме того, вся информация в менеджере паролей защищена мастер-паролем, узнав который, легко прочитать абсолютно все, что в нем хранится. И хотя немало подобных приложений предлагают двухфакторную аутентификацию, далеко не всегда ее удобно использовать.

Так что менеджер паролей – это всего лишь хранилище, он не способен сделать за вас все, что полагается для защиты конфиденциальной информации.

 

Что умеют делать менеджеры паролей

Современный менеджер паролей – не просто защищенное хранилище аккаунтов и паролей к ним, у таких программ масса и других полезных функций. Перечислим некоторые из них.

 

Синхронизация данных

Практически все популярные менеджеры паролей поддерживают синхронизацию данных через Интернет, что позволяет использовать один и тот же менеджер на разных устройствах – компьютерах, смартфонах, планшетах. Пароль, добавленный в менеджер на компьютере, будет доступен и на смартфоне.

В основном менеджеры хранят пароли и другую информацию в зашифрованном виде на собственном сервере, но некоторые позволяют делать это локально, на одном устройстве пользователя. Кое-кто считает, что данный подход безопаснее, ведь даже самый защищенный сервер может быть взломан и пароли утекут к злоумышленникам. Но вероятность подобного ничтожно мала, так что вряд ли стоит отказываться от удобства в пользу довольно сомнительного повышения безопасности.

Здесь же следует отметить, что по-настоящему удобный менеджер паролей должен быть кроссплатформенным, то есть устанавливаться на устройства с операционной системой Windows, MacOS, Linux, Android, iOS. В противном случае синхронизация данных между всеми устройствами пользователя будет невозможна.

 

Генерация и анализ паролей

Придумать безопасный пароль может не каждый пользователь, поэтому лучше всего, если это сделает сама программа. Запоминать ничего не нужно, так что пользователь не испытает никаких неудобств.

Кроме генерации паролей, некоторые программы способны анализировать существующие пароли и выдавать рекомендации по их изменению. Эта полезная функция поможет вам навести порядок в паролях и поддерживать его в дальнейшем.

 

Интеграция с браузерами

Практически все менеджеры паролей устанавливают в браузеры расширение, позволяющее работать с паролями прямо в браузере – запоминать их и вводить при входе в тот или иной сервис. В этом отношении работа менеджеров паролей похожа на работу браузерных хранилищ паролей. Правда, многие программы могут и больше: запоминать данные пользователя, чтобы автоматически заполнять формы при регистрации на сайтах, запоминать данные карт, счетов для быстрой оплаты в онлайн-магазинах.

 

Двухфакторная аутентификация

Для входа во все менеджеры паролей используется так называемый мастер-пароль, который пользователь должен сам придумать и запомнить. Разработчики программ везде заявляют, что не хранят мастер-пароли, так что восстановить их практически невозможно.

Но мастер-пароль можно подобрать, особенно если он несложный. Поэтому менеджеры паролей предлагают двухфакторную аутентификацию: кроме ввода мастер-пароля, для входа в программу потребуется, например, отсканировать отпечаток пальца, вставить специальный ключ в порт USB и, наконец, самое распространенное – ввести одноразовый пароль из SMS.

Предоставление паролей другим пользователям

Некоторыми аккаунтами пользуются одновременно несколько человек, а иногда приходится открыть доступ к своему аккаунту другу, родственнику, коллеге и т. д. Но менеджеры позволяют сделать это, не сообщая пароля: пользователь просто не увидит его, зато получит доступ к аккаунту. Эта удобная функция будет очень кстати многим пользователям.

Поиск информации в менеджере паролей

Если у пользователя несколько десятков аккаунтов, то их не всегда просто найти, в таких случаях пригодится функция поиска. Полезна она и когда пользователь хранит в менеджере паролей другую информацию – секретные заметки, файлы, что позволяют делать практически все менеджеры паролей. Кроме функции поиска, они помогают удобно организовать хранящуюся информацию для быстрого перехода к нужной записи.

Выбираем и сравниваем


LastPass

Этот продукт не случайно занимает первое место среди конкурентов по популярности – здесь представлен полный набор вышеописанных функций: двухфакторная аутентификация (с получением одноразового пароля в SMS или сканированием отпечатка пальца на смартфоне), интеграция с современными браузерами (устанавливается расширение или плагин), генерация паролей (есть даже онлайн-генерация на сайте разработчика), кроссплатформенность (программы для Windows, Mac, Linux, Android, iOS, Windows Phone).

LastPass позволяет хранить не только пароли от аккаунтов, но и данные кредитных карт, счетов, секретные заметки и т. д. Пользователю предлагается 1 Гбайт места в облачном хранилище. Все данные шифруются на устройстве пользователя (программа применяет надежный алгоритм шифрования AES-256) и в облаке хранятся уже в зашифрованном виде, так что, согласно заявлениям разработчиков, даже они не смогут их прочитать. В семейной версии можно на одном аккаунте зарегистрировать до пяти человек и легко обмениваться с ними конфиденциальными данными. А версии для бизнеса позволяют администрировать всех пользователей программы, следить за вводом паролей, применять федеративный доступ и т. д.

Предлагается как бесплатный, так и несколько платных пакетов (для личного, семейного, корпоративного использования). В первом случае есть ряд ограничений: невозможны многофакторная аутентификация, передача паролей и данных другим пользователям, предоставление экстренного доступа к данным своим близким в случае форс-мажорных обстоятельств.

 

RoboForm

Этот менеджер, как и предыдущий, хранит данные пользователей на онлайн-сервере, поддерживает приложения двухфакторной аутентификации на основе TOTP, включая Google Authenticator, Authy и Microsoft Authenticator. Приложение доступно в операционных системах Windows, Mac, iOS, Android, Linux и даже Chrome OS. Помимо паролей, здесь предлагается хранить данные кредитных карт, заметки, пароли для приложений Windows (Skype, Outlook), закладки браузера, контакты.

Информацию, отправленную в RoboForm, можно хранить не только на сервере, но и локально, на своем устройстве, запретив отправку данных на сервер. Но данная функция недоступна в версиях для бизнеса.

Шифрование данных, как и во многих других менеджерах паролей, осуществляется по алгоритму AES-256.

Программа позволяет делиться паролями или данными с другими пользователями, а также предоставлять доступ к своей информации в случае смерти, ограничения право- или дееспособности.

Как и в LastPass, есть версии для семейного использования и для бизнеса, а также платные и бесплатные. В бесплатной отсутствуют синхронизация паролей между устройствами, двухфакторная аутентификация, резервное копирование в облаке, поддержка разработчиков и ряд других функций.

 

Sticky Password

Еще один известный менеджер паролей, мало в чем уступающий собратьям. Те же многофакторная аутентификация и заполнение форм, импорт данных с других менеджеров паролей и браузеров, поддержка популярных операционных систем (Windows, Mac, iOS, Android), синхронизация данных между устройствами, хранение номеров кредитных карт и т. д. Шифрование тоже происходит по алгоритму AES-256.

А отличает программу поддержка синхронизации данных между устройствами по сети Wi-F, без использования онлайн-сервера. То есть данные не будут передаваться через Интернет. Для особо обеспокоенных темой ИБ данная функция придется очень кстати.

Разработчик не предлагает версий для семейного или корпоративного использования – только для личного.

В бесплатном варианте, в отличие от LastPass и RoboForm, поддерживается двухфакторная аутентификация, хотя синхронизации данных между устройствами тоже нет. А платная версия предлагается как по подписке, так и с постоянной лицензией.

И последнее. На основе Sticky Password разработан еще один менеджер паролей – Kaspersky Password Manager. Столь высокое доверие со стороны ведущей антивирусной компании красноречиво говорит об уровне защищенности и качестве продукта.

Как сохранить пароли и логины от сайтов в безопасности| Способы хранения

Вопрос, где хранить пароли от сайтов, чтобы ими не смогли воспользоваться другие пользователи, имеющие доступ к ПК, имеет несколько вариантов решения. Доступ к данным должен быть достаточно защищён — так, чтобы другой человек не смог получить информацию, просто сев за компьютер. В то же время логины и коды доступа должны оставаться доступны для владельца — так, чтобы не приходилось каждый раз вводить сведения вручную. Не рекомендуем оставлять данные на листочке возле компьютера или приклеенной на монитор записке — это сводит безопасность на нет.

Из статьи от «Службы добрых дел» вы поймёте, как лучше хранить пароли. Мы привели несколько хороших надёжных методов — выбирайте свой и сохраняйте сведения безопасно!

Текстовый документ с паролями

Самый лёгкий, незамысловатый и в то же время в силу автономности самый надёжный вариант хранения кодов доступа и логинов — создание текстового файла. Вы можете оставить его на жёстком диске, в глубоко спрятанной папке — или носить с собою на флешке.

Создайте, при помощи встроенного в Windows «Блокнота», обычный файл, и впишите в нём, в каждой строке отдельно, адрес сайта, логин и код доступа.

Если собираетесь хранить пароли и логины на компьютере в таком формате, советуем присвоить файлу имя, не подразумевающее, что в нём хранятся важные сведения; например, «Список покупок».

Преимущества способа:

  • Простота. Вам не нужно осваивать дополнительные программы, регистрироваться в облачных хранилищах.
  • Автономность. Доступ к файлу не зависит от наличия интернета, сохранений в браузере, других обстоятельств.

Недостаток метода — невозможность зашифровать данные без применения дополнительных приложений, что осложняет процесс. Если другой пользователь получит доступ к вашему текстовому документу, он автоматически узнает сохранённые пароли — поэтому незащищённый файл рекомендуем носить с собой на съёмном накопителе, а не оставлять на ПК.

Текстовый документ плюс шифрование

Недостаток первого способа компенсируется шифрованием документа, в котором вы создаёте хранилище кодов доступа. Советуем создать файл для сохранения данных в MS Excel:

  • Откройте чистую таблицу и подготовьте в ней графы «Сайт», «Логин», «Пароль».
  • В каждой впишите соответствующие сведения.
  • Если данные отображаются не так, как вы их вводили, выберите для ячеек в контекстном меню пункт «Формат ячеек» и задайте значение «Числовой», без десятичных знаков.
  • Чтобы обеспечить безопасное хранение паролей, когда таблица будет подготовлена, перейдите на вкладку «Файл».
  • В поле «Защита книги» выберите вариант «Зашифровать с использованием пароля».
  • Придумайте последовательность цифр и/или букв (допускается латиница), введите её в поле, нажмите «ОК».
  • Подтвердите придуманный вами код доступа.
  • Теперь при каждой попытке открытия документа Excel будет требовать ввести данные для входа в таблицу.

Преимущества метода — простота создания, редактирования и дополнения таблицы, а также качество шифрования. Взломать файл методом перебора практически невозможно — это очень надёжный способ хранения паролей. Кроме того, документ совершенно автономен: вы можете носить его на флеш-карте или оставить на жёстком диске.

Недостаток — необходимость помнить (или хранить отдельно) код от самой таблицы Excel. И всё же проще запомнить один шифр, чем беспокоиться о сохранности десятков других.

Хранилище веб-браузера

Данные для входа на сайт сохраняются, когда вы даёте на это согласие, в вашем браузере. Метод позволяет вводить логины и коды автоматически, без постоянного копирования из стороннего документа. На примере Mozilla Firefox управление сведениями выглядит так:

  • Из меню «Инструменты» вы переходите к «Настройкам» браузера. Сюда производится сохранение паролей.
  • Здесь открываете вкладку «Приватность и защита».
  • В поле «Логины и пароли» переходите по ссылке «Сохранённые логины».
  • На новой странице можно управлять данными: корректировать, удалять или дополнять каждый из сохранённых кодов доступа.

В таком состоянии данные остаются открыты для всех пользователей, знающих, где их искать. Вы можете задать мастер-пароль — чтобы получить информацию о кодах, теперь сначала потребуется ввести придуманный вами «общий» код.

Преимущества способа — лёгкость сохранения сведений и доступа к ним, а также возможность автозаполнения форм веб-сайтов. Такое хранение логинов и паролей имеет и недостатки: вы оставляете данные открытыми для просмотра — или вынуждены будете помнить или хранить иным образом мастер-код, открывающий доступ к защищённой информации.

Программы и сервисы-менеджеры

Предлагаемые нами в этом разделе способы хранения паролей подразумевают применение сторонних сервисов, с платными или бесплатными регистрацией и обслуживанием. Вы копируете данные в программную среду, где они надёжно сохраняются; получить доступ к кодам может только владелец аккаунта или лицо, которому были сообщены сведения для входа.

На примере онлайн-сервиса Evernote процесс выглядит так:

  • Вы заводите аккаунт в сервисе, регистрируясь при помощи электронной почты или учётной записи в Google или Facebook.
  • При входе в профиль нажимаете на зелёную кнопку «Новая заметка» в расположенной слева панели.
  • Вводите название заметки и текст, содержащий сохраняемые сведения.
  • Теперь ваши коды будут доступны в разделе «Все заметки».

Также правильно хранить пароли будет в сервисе MultiPassword. Это связка из клиента для компьютера, в котором вы вводите свои данные, и серверного хранилища для ваших кодов.

Преимущества метода — простота ввода данных, невозможность получить сведения без входа в аккаунт — и, в зависимости от продукта, шифрование передаваемых на сервер сведений. Недостатки — необходимость устанавливать дополнительное приложение, регистрироваться в системе — и иметь доступ в интернет, чтобы узнать свои данные.

Облачные хранилища

Хранение паролей в облаке — несложный способ, подразумевающий перенос файла с данными в облачное хранилище, доступ к которому будете иметь только вы и ваши доверенные лица. На примере Google Drive сохранение выглядит так:

  • Вы копируете документ с записью в облачный диск, предпочтительно — в отдельный каталог.
  • Текстовые документы можно открывать по двойному щелчку прямо на диске, без скачивания.
  • То же относится и к файлам MS Office.

Преимущества метода — простота сохранения и надёжность копирования файлов. Недостаток — необходимость стабильного интернет-подключения для доступа к скопированным в «облако» данным.

Остались вопросы? Звоните и пишите в «Службу добрых дел» — мы проведём дистанционную консультацию и расскажем, как обеспечить полную безопасность вашей информации!

Как хранить пароли и пины, чтобы не потерять деньги

Андрея взломали в Одноклассниках: увели весь урожай с фермы и поставили всем бывшим одноклассницам единицы на фотографии — теперь на встрече выпускников ему не рады.

Алексей Малахов

не записывает пароли на бумажке

Профиль автора

У Андрея 5 карт разных банков. Запомнить все пароли и коды от карт он не может, поэтому пароли он хранил на бумажке под клавиатурой и никому не говорил. Если правда не говорил, остается только одно: хакеры научились взламывать бумажки с паролями.

Пин нельзя записывать на бумажке и хранить ее в кошельке вместе с картами: если кошелек украдут, вор сможет снять все деньги. Тем более нельзя писать пин на карте: это равносильно подписи на приговоре о своем финансовом расстреле.

Специалисты по информационной безопасности рекомендуют создавать разные пароли для каждого сайта. Это не должен быть пароль из простого слова, даты или qwerty123.

Запомнить все это сложно, но реально. У меня уникальный пароль для каждого сайта, а для каждой карты свой пин. Я их нигде не записываю и даже не помню некоторые наизусть, но всегда ввожу с первого раза. Я освоил техники, которые позволяют упростить жизнь и освободить память для более важных вещей.

Расскажу, как освободить свой разум и помнить все.

Начальный уровень — не хочу ничего запоминать

Заставить компьютер помнить пароли за вас

Если вы не хотите запоминать кучу паролей, можно завести программу, дополнение к браузеру или приложение для телефона, которое будет за вас придумывать сложные пароли — например, 29Gsf!&Rjjx292)(2424r — а потом подставлять их на сайтах.

Оно даже запомнит, какой у вас логин на тематическом форуме: kisa1956 или allaivanovna56. Достаточно запомнить мастер-пароль и вводить его при запуске программы. Однако если забыть мастер-пароль, то восстановить доступ к менеджеру паролей будет практически нереально.

Заставить телефон помнить данные карт за вас

Тут даже запоминать ничего не придется, пароль всегда с вами: это отпечаток пальца или ваше лицо, если у вас Айфон Х. Многие приложения поддерживают оплату через «Гугл-пэй» или «Эпл-пэй», не нужно вводить реквизиты карты, телефон все сделает сам. В магазинах можно платить, прикладывая к терминалу телефон вместо карты, но при покупке свыше 1000 Р все же придется ввести пин.

Я плачу телефоном в приложениях по заказу еды, чтобы каждый раз не вводить данные карты, и на обеде, если забываю карту в кабинете

Не запоминать одноразовые пароли

Некоторые сайты и приложения предлагают настроить дополнительную проверку личности: ее называют двухфакторной аутентификацей. Обычно это код, который приходит на телефон в смс после ввода пароля, или письмо со ссылкой, на которую нужно нажать. Я советую включать такую проверку при любой возможности, особенно если у вас везде один и тот же пароль или вы пытаетесь сберечь что-то ценное. Пароль может быть везде простой и одинаковый, а коды для проверки будут всегда разные.

Как не попасться на удочку хакеров

Бывают и специальные приложения, код из которых нужно вводить при входе на сайт. Это код для сайта, где хранится моя криптовалюта. Даже если бы вы узнали мой логин и пароль, моих биткоинов вам не видать: код меняется каждые 10 секунд, а генерируется он только на моем телефоне

Продвинутый уровень — хочу помнить, не напрягаясь

Запомнить пин по данным карты

Пин может находиться прямо на вашей карте, но его будете видеть только вы. Секрет прост: нужно придумать алгоритм генерации пина с помощью номера карты. Я делаю так: беру значимое для меня двузначное число 42 — ответ на вопрос жизни, вселенной и всего такого. Это мой якорь и первые две цифры моего пина. А вторые две цифры я беру с карты: четвертую и вторую с конца номера.

Как безопаснее платить в магазинах и кафе

Следуя своей логике, для этой карты я бы поставил пин 4232

Вы можете придумать свою систему: выбрать другой якорь и брать другие цифры — например, месяц срока годности или первую из месяца и последнюю из номера карты. В итоге для каждой карты пин будет разным. Даже не помня его наизусть, но помня алгоритм, вы посмотрите на карту и освежите код в памяти.

Придумать легкий, но сильный пароль для каждого сайта

Для всех сайтов у меня разные пароли из 14 и больше символов, но я всегда ввожу их с первого раза. Все потому, что у меня есть алгоритм, позволяющий генерировать пароль из адреса сайта и не запоминать его:

  1. Первый символ — это количество букв после точки. Для сайта с доменом.ru это «2», для.com — «3», для.avia — «4» и так далее.
  2. Далее у меня идет ядро пароля, которое делает его большим и сильным. Это фраза моего любимого героя игры, но я вам ее не скажу, а то взломаете меня еще. Для примера возьмем фразу «VivaLaFrance».
  3. После ядра я пишу первые две буквы адреса сайта.

Пароль для сайта yandex.ru — 2VivaLaFranceya, а для google.com — 3VivaLaFrancego. Можно усложнить алгоритм как угодно: писать цифры буквами, брать больше букв из имени сайта в определенном порядке и тому подобное. Все это сделает пароль еще сложнее и крепче, но главное, чтобы он был длинным.

Компания «Интел» напоминает, что длина пароля важнее его сложности: семь символов компьютер сможет подобрать за минуты, а на десять уйдут года

Эпический уровень — готов к сложностям

Заставить математику работать на вас

Иногда мне нужно поставить пин куда-нибудь, кроме карты: на телефон, мобильное приложение, сейф. Тогда я, не мудрствуя лукаво, составляю код из первых чисел какой-нибудь последовательности. Можно брать последовательность чисел Фибоначчи, простых чисел, числа пи после запятой — если вы, конечно, все это помните. Эти ряды бесконечны, можно использовать комбинацию любой длины.

В свое время я использовал числа из любимого сериала (да простят меня истинные фанаты) «Остаться в живых»

Использовать память рук

Долгое время я не мог вспомнить свой код от домофона, но каждый раз спокойно его набирал. Пальцы запомнили последовательность движений и сами тянулись к нужным кнопкам. Я не мог продиктовать номер мамы, но пальцы сами набирали его, стоило лишь открыть на смартфоне панель вызова.

Но для этого нужно время, гораздо проще открыть перед собой панель вызова и начать набирать нужную последовательность цифр: пин, номер страховки, телефона, дату рождения племянника. Тренируйтесь время от времени, а когда придет пора вспоминать — откройте панель набора и позвольте вашим пальцам самим набрать нужное число.

Память рук — замечательная вещь. На клавиатуре моего рабочего ноутбука нет кириллических букв, но я как-то написал эту статью. Просто пальцы сами тянутся к нужным клавишам

Легендарный уровень — хочу помнить все

Превратить числа в истории

Рекорд по запоминанию числа пи — 30 млн знаков после запятой. Я таким результатом похвастаться не могу, но могу научить, как после небольшой тренировки запоминать номера телефонов или пинов.

Дело в том, что наш мозг не предназначен для эффективного запоминания цифр, но хорошо запоминает истории и события. Превратим число в историю. Например, пин 4232.

В четыре часа утра Васю разбудил стук в дверь. Вася открыл, а на пороге стояло два мужика. Они протянули ему три розы и сказали: «Поздравляем с двумя годами трезвости».

Звучит бредово, но в этом суть. Бредовые и сюрреалистические истории наш мозг запомнит даже лучше обычных. Легко представить себе эту историю в голове и собрать из ключевых элементов пин — 4232. Как-то раз я смотрел передачу про американца, который мог запомнить таким образом больше сотни цифр: он писал в голове рассказ, вплетая числа в ключевые элементы сюжета. Правда, после каждой новой цифры ему было нужно время, чтобы что-нибудь сочинить.

Ассоциировать цифры с буквами и составлять слова

Это более продвинутый вариант предыдущего способа. Каждой цифре ставится в соответствие буква по легко запоминаемому ассоциативному правилу: 0 = «н», потому что слово начинается с буквы «н», 8 = «в», так как в ней тоже два кружочка и тому подобное. Необходимо будет составить табличку, содержащую только согласные буквы и запомнить ее наизусть.

Пример таблицы соответствия чисел и букв из книги «Фокусы и развлечения» Якова Перельмана

Добавляя к согласным гласные, можно составлять слова, обозначающие числа: «город» обозначает число 192, а «деревня» — 2980. Составляя из таких слов предложения, можно запоминать длинные последовательности чисел. Номер телефона 8 800 555-77-78 можно конвертировать во фразу «Вова ныне папа без засова». Если вызубрить таблицу и наловчиться переводить согласные в цифры, то из фразы можно быстро извлечь нужный номер.

В книге рекомендуется брать заранее заготовленные и заученные слова для быстрого составления ассоциаций и фраз.

Я узнал об этом способе из видео Дмитрия Пучкова. Оттуда же взял иллюстрации. На этой показаны счетные слова для первого десятка. С помощью таблички можно придумать и запомнить и сто, и тысячу счетных слов, с помощью которых затем составлять фразы

Не можете запомнить, когда у начальника день рождения — 05.04 или 04.05? Зато сможете запомнить фразу «На обои пролили щи» и поздравлять его в апреле. А с помощью фразы «Из Оки торчат усы» вы сможете запомнить номер его кабинета — 37.

Когда освоите интересные вам техники, то можно переходить к их практическому использованию, например:

  1. Защитить свой Айклауд.
  2. Защитить реквизиты своей карты.
  3. Сойти с ума и стать параноиком.

Как лучше хранить свои пароли

В каком виде хранить свои пароли — этот вопрос не раз задавали себе пользователи. Сегодня каждый из нас имеет пароли для множества учетных записей: от онлайн-банкинга до электронной почты, от разных форумов до социальных сетей. Поэтому крайне важно найти способ безопасно хранить все пароли, имея их всегда под рукой.

 

 

 

 

  1. Введение
  2. Локально или онлайн?
  3. В текстовом виде или зашифрованные?
  4. Бесплатные или платные решения?
  5. Отдельная программа или расширение для браузера?
  6. Избегайте автозаполнения
  7. Заключение

Введение

В сети можно найти массу статей об инструментах, которые помогают безопасно хранить ваши пароли, но, как правило, эти статьи представляют собой простой список полезных программ. Мы же попытаемся задуматься о последствиях использования той или иной системы хранения данных для авторизации, чтобы помочь правильно выбрать ту, которая больше подойдет вам.

Локально или онлайн?

Углубляясь в вопрос выбора системы хранения паролей, можно столкнуться с двумя разными подходами. Один тип инструментов позволяет вам хранить ваши пароли в сети, другие же хранят их локально, на вашем компьютере. Выбор из этих двух подходов должен основываться на том, чему вы больше доверяете.

Так, например, менеджер паролей OneLogin недавно был взломан. Разработчики заявили, что хакерам удалось получить доступ к таблицам базы данных, которые содержат информацию о пользователях, приложениях и различных типах ключей.

Мы, конечно, не будем сейчас обвинять все облачные менеджеры паролей, но наш долг предупредить: если вы выбираете онлайн-менеджер паролей, ваши учетные данные могут быть украдены злоумышленниками, нацеленными на его сайт.

Аналогичным образом, если вы храните свои учетные данные локально, вы не можете исключить возможность взлома. Вывод из этого только один — ваши учетные данные защищены настолько, насколько защищена выбранная вам система хранения.

В текстовом виде или зашифрованные?

Здесь особого выбора не стоит — хранить пароли в простом текстовом виде глупо. Используйте шифрование. Большинство доступных инструментов используют AES-256.

Рисунок 1. Самые популярные простые пароли — худший выбор

Бесплатные или платные решения?

Если задуматься о выборе между платным и бесплатным инструментом хранения паролей, приходишь к выводу, что платные решения не оправдывают себя, не предлагая ничего особенного в сравнении со своими бесплатными собратьями. При желании можно найти множество хороших бесплатных решений, которые полностью удовлетворят ваши потребности, действуя по назначению.

Отдельная программа или расширение для браузера?

По сути, каждый браузер предлагает возможность хранения паролей. Например, в Chrome эту функцию можно найти, перейдя в Настройки => Дополнительные => Пароли и формы, а в Firefox — Настройки => Безопасность. Там вы можете установить «Мастер-ключ» для управления всеми вашими учетными данными.

Существуют также сторонние инструменты, которые разрабатываются как расширения для браузеров. Они удобны, поскольку позволяют автоматически заполнять каждую форму, однако и тут не стоит забывать о том, что многие вредоносные и шпионские программы атакуют браузеры в попытке завладеть пользовательскими данными. Если вы считаете, что ваш компьютер хорошо защищен, то вам можно порекомендовать использовать на нем отдельную программу для хранения паролей.

Избегайте автозаполнения

Все менеджеры паролей так или иначе предлагают функцию автозаполнения. Безусловно, это удобно, ибо вам не нужно вводить свои пароли, программа сделает это за вас. Однако с точки зрения безопасности эта функция представляет определенный риск. Злоумышленники в процессе фишинг-атаки могут использовать эту функцию, в результате чего ваш браузер выдаст ваши банковские реквизиты, ваш пароль в Facebook и тому подобное.

Известный веб-разработчик Вильями Куосманен (Viljami Kuosmanen) обнаружил серьезную уязвимость в наиболее популярных браузерах, включая Chrome, Opera и Safari, а также и во многих плагинах (например, LastPass). Эта брешь существовала из-за наличия функции автозаполнения и могла быть легко использована для кражи учетных данных.

В тот момент, когда пользователь заполняет форму, например, указывая адрес своей электронной почты, браузер заполняет все остальные формы другими учетными данными автоматически, даже если эти формы не отображаются на экране. Таким образом, злоумышленники могли собрать данные, используя невидимые формы, в которые браузер сам подставлял данные.

Вы можете отключить функцию автозаполнения в настройках вашего браузера.

Заключение

Учитывая все описанные нами нюансы, вы сможете легко подобрать себе решение по хранению ваших учетных данных. В конце концов, хорошим выходом будет просто хранить зашифрованный текстовый файл, выбирая надежный пароль для него. Это самое простое решение, не требующее установки специального программного обеспечения. Также рекомендуем ознакомиться с лучшими способами скрытия пароля при регистрации.

Где хранить пароли: 7 вариантов хранения паролей.

| 2BS

Перед любым пользователем остро стоит вопрос безопасности личных данных.

Все мы регистрируемся на новых сайтах, заводим аккаунты в социальных сетях, создаем новые почтовые ящики, словом, ежедневно проходим различные процедуры авторизации в Интернете.

Возникает главный вопрос: как защитить персональную информацию о себе. В связи с этим актуальна задача надежного и правильного хранения паролей, чтобы данные пользователей всегда оставались в безопасности и были недоступны для третьих лиц.

Как и где хранить пароли

Способы

1. Запомнить

Способ, не требующий использования физических носителей. Его плюс состоит в том, что пароль будет известен только вам, а главный недостаток – в том, что можно его забыть. Тогда плюс данного способа становится опасным минусом.

2. Бумажный формат

Такой способ особенно предпочитает старшее поколение. Единственный плюс хранения паролей на бумаге – невозможность онлайн доступа для посторонних лиц. Однако неудобством является необходимость вручную вбивать пароли, а также существует вероятность потери листка с записями.

3. Текстовый файл на компьютере

Документ на электронном устройстве – альтернатива бумажному блокноту. Из файла удобно копировать пароли парой кликов. Но при несанкционированном доступе к вашему компьютеру, данные станут уязвимыми для кражи. Второй важный минус в том, что пароли доступны только на том компьютере, на котором хранится документ.

4. Текстовый файл на внешнем накопителе – флэшке или диске

Флэшка удобна тем, что ее можно носить с собой, и файл с паролями будет всегда под рукой. Но, как и с бумажным вариантом, данный накопитель можно потерять, что чревато не только потерей учетных данных, но и возможностью доступа к ней третьих лиц.

5. Файл в облаке

Удобство хранения документов в облаках – доступность данных с любых устройств в любом месте, где есть Интернет. Файлы с паролями можно размещать в хранилищах, например, Яндекс и Google дисках, Microsoft OneDrive или в онлайн-блокнотах вроде Evernote. Основной опасностью данного метода является возможность случайного открытия доступа посторонним лицам.

6. Автозапоминание в браузере

Функция сохранения пароля существует во многих браузерах. Разумеется, это упрощает процесс авторизации, однако пароль может быть удален при обновлении или чистке кэша. Также, несмотря на то, что разработчики постоянно совершенствуют уровень безопасности сервисов, данный вариант не исключает доступа третьих лиц к аккаунту.

7. Менеджеры паролей

Это сервисы, которые созданы специально для надежного хранения паролей. Они содержат информацию в зашифрованном виде, что затрудняет взлом паролей кибер-мошенниками.

Менеджер паролей устанавливается на компьютер или удаленный сервер для доступа в онлайн-режиме. Некоторые менеджеры паролей интегрируются в браузер пользователя в виде плагинов и имеют свои приложения для смартфонов. Для доступа к данным нужно будет запомнить всего один мастер-пароль от программы.

Наиболее популярными менеджерами считаются KeePasS, LastPass и 1Password.

Возьмем, к примеру, KeePasS.

KeePasS является бесплатной программой с открытым исходном кодом. Программа помещает все пароли в одну надежно зашифрованную базу данных, которая закрыта уникальным мастер — паролем или ключевым файлом. База данных шифруется сложными алгоритмами AES и Twofish. При этом под защитой находится не только поля паролей, а вся база данных, а это заметки, имена пользователей и т.п. База состоит лишь из одного файла, благодаря чему ее без проблем можно переносить с одного устройства на другое.

В KeePasS есть возможность экспортировать список паролей в разные форматы, такие как TXT, HTML, XML и CSV.

Программа не требует системной установки. Помимо компьютера этот менеджер паролей может запускаться с любого носителя, например, с USB флэшки или внешнего диска.

KeePasS способен противостоять различным клавиатурным и экранным шпионам, подмене ip-адреса сетевого ресурса и фишинговым программам.

Способ хранения учетных данных с помощью менеджеров паролей является наиболее предпочтительным в профессиональной среде ИТ-специалистов, которые рекомендуют и сами предпочитают данный вариант хранения паролей как наиболее надежный и безопасный.

Резервное копирование паролей:

Портативность большинства из перечисленных способов хранения паролей делает доступ к ним удобным, но не один из них не застрахован от потери или удаления. Поэтому актуальным является вопрос резервного хранения паролей. Бэкап базы данных или списка паролей рекомендуется сделать на отдельном носителе — флэшке, внешнем жестком диске, лазерном диске и т. п., которые для большей надежности, можно спрятать в сейфе или в другом укромном месте.

Резервное хранение паролей является необходимым условием в случае, если паролями пользуется не один человек, а несколько, например, системные администраторы, обслуживающие серверные системы в компаниях. Ведь специалисты могут меняться сменами или кто-то из сисадминов может уволиться, тогда вероятен риск, что бывший сотрудник случайно или умышленно прихватит с собой или удалит рабочий ключ с паролями. В таких ситуациях резервный список паролей позволит восстановить доступ к ресурсам.

Советы, как создать надежный пароль:

· Пароль должен быть сложным. Используйте не менее 8 разных символов:

буквы, цифры, чередуйте верхний и нижний регистр, добавляйте транслитерацию.

· Пароль не должен быть легко запоминающимся.

Не придумывайте слов и дат, лучше вообще задать пароль без смысловой нагрузки.

Помните, еще у Шурика было? «Операция «Ы» — чтобы никто не догадался».

· Пароли должны быть разными. Не используйте один и тот же пароль для всех сервисов. Его, конечно, легко запомнить, но при утечке такого пароля, вы ставите под угрозу сразу несколько своих аккаунтов.

· Не используйте шаблонные пароли.

А именно: 123456, password, qwerty, gfhjkm, admin, administrator и дубль логина.

Вывод

Все вышеперечисленные методы хранения паролей и рекомендации имеют право на существование при условии грамотного их использования. Но помните, что в 90% случаев компрометация паролей исходит от самих пользователей, т.е. вы сами сообщаете свои данные злоумышленникам.

Оригинал статьи: http://2bservice.ru/news/4438/

Еще больше интересных и полезных статей на официальном сайте 2BService и в группе Facebook

#2bservice #2всервис #Россия #Russia #Mosсow #Москва #IT #ИТ#хранениепаролей #password #пароль #резервноекопирование#защитаданных #информационнаябезопасность#компьютернаябезопасность

Лучшие способы безопасного хранения паролей, чтобы избежать взлома

Пароли

предназначены для защиты ваших ценных данных от посторонних глаз и злоумышленников. Сегодня все происходит в Интернете — банковские счета, социальные сети, личная информация и информация, связанная с работой — и все это требует паролей, которые необходимо хранить, чтобы они не были уязвимы для хакеров.

Вы можете спросить, кому могут понадобиться ваши пароли и ваши данные. Около 14,4 миллиона человек только в 2019 году стали жертвами кражи личных данных, что является наиболее частым последствием утечки данных, и эта практика набирает обороты.Общие денежные потери потребителей составили 1,9 миллиарда долларов.

Хакеры ищут любую возможность получить доступ к ценным данным, независимо от того, собираются ли они использовать их для кражи денег или для получения информации, наносящей ущерб репутации человека или компании. Примерно 80% утечек данных в 2019 году были вызваны взломанными паролями, поэтому важно знать, как лучше всего хранить пароли, чтобы вы могли сохранить свои данные в безопасности.

Ваши пароли не так безопасны, как вы думаете

Мы создаем пароли с самого начала Интернета, с дополнительным чувством безопасности, обеспечиваемым маленьким замком в адресной строке и «https» перед веб-сайтом, который вы посещаете. Это правда, что ваши пароли защищены алгоритмами шифрования, но у хакеров в любом случае есть свои гнусные способы доступа к вашей информации.

Один из их инструментов — знать, что наиболее распространенные пароли состоят из таких вещей, как имена домашних животных, дни рождения или простая комбинация букв. Это означает, что некоторые пароли будут одинаковыми для многих пользователей. Хакеры баз данных попытаются расшифровать шифрование, используя тот же метод, который используется для их защиты, называемый «хешированием». Воры будут использовать хеширование для ввода общих паролей, чтобы увидеть, соответствует ли какой-либо из них каким-либо зашифрованным паролям, которые появляются несколько раз.Это может дать им доступ к миллионам записей.

Хакеры паролей используют множество умных приемов

Хакерам не всегда нужно взламывать всю базу данных или использовать мощные методы, такие как хеширование, для получения паролей. Они используют множество уловок для получения паролей, многие из которых полагаются на то, что пользователи компьютеров являются их собственными злейшими врагами, например:

Фишинг

«Фишинг» по электронной почте — один из наиболее распространенных способов получить ваш пароль. Полученное вами электронное письмо выглядит так, как будто оно пришло из надежного источника, но на самом деле оно является вредоносным. Электронное письмо обычно заставляет получателя щелкнуть ссылку или загрузить вложение. Затем это действие загружает вредоносный файл, установленный на вашем компьютере, и ваши пароли доступны для взятия.

Социальная инженерия

Другие хакеры будут использовать так называемую «социальную инженерию», при которой хакер обманом заставляет пользователя компьютера раскрыть пароли.Например, вам может позвонить хакер, выдававший себя из доверенной компании, предлагающий техническую поддержку и запрашивающий пароли для доступа к вашей учетной записи.

Вредоносное ПО

Вредоносное ПО — это вредоносное ПО и еще один инструмент, который используют хакеры. Его можно загрузить на ваш компьютер с помощью попытки фишинга, посещения некоторых веб-сайтов или другими способами. Определенные вредоносные программы могут затем установить кейлоггер или другое вредоносное программное обеспечение, включая код, специально предназначенный для паролей.

У хакеров есть и другие, более изощренные методы, но многие из них просты и их можно предотвратить. Иногда они просто смотрят через чье-то плечо, чтобы увидеть свой пароль. Иногда они просто догадываются. Однако эти различные методы взлома паролей представляют собой реальную угрозу, и любой пользователь компьютера должен проявлять бдительность. Поэтому очень важно понимать правильные методы безопасного хранения паролей как в сети, так и в автономном режиме.

Лучшие способы безопасного хранения паролей

Важно понимать, как хранить пароли, но первым хорошим шагом к обеспечению безопасности является использование двухфакторной аутентификации (2FA) для каждой учетной записи, которая делает ее доступной.2FA дает вам дополнительный уровень защиты, если кто-то получит ваш пароль. Это важный первый шаг, который нужно сделать для вашей безопасности.

2FA потребует второй пароль для любого входа, который предоставляется через приложение для аутентификации, текстовое сообщение, телефонный звонок или электронную почту. Однако двухфакторная аутентификация бесполезна, если ваши пароли не хранятся надежно с помощью одного из следующих методов:

1. Используйте диспетчер паролей в браузере

Имеется отличная функция хранения паролей, встроенная в Chrome, Firefox, Edge, Safari и другие.Ваш браузер даже предложит сгенерировать для вас пароль. При использовании этого метода диспетчер паролей браузера сохранит ваш пароль для использования на всех устройствах, поэтому важно установить главный PIN-код или пароль для доступа к вашему компьютеру, телефону или планшету. Пропуск этого шага означает, что любой, кто получит ваше устройство, получит доступ абсолютно ко всему.

2. Попробуйте программу для сохранения пароля

Очень редко можно забыть пароль, особенно для сайтов, которыми вы не пользуетесь постоянно.Как и менеджер паролей, встроенный в ваш браузер, некоторые приложения также безопасно хранят пароли. Программа для сохранения паролей будет хранить как зашифрованные пароли, так и генерировать случайные пароли по мере необходимости. Вы даже можете найти бесплатные версии, в которых отсутствуют некоторые платные функции, но они делают то, что вам нужно.

3. Ведите учет на бумаге

Хранение паролей в автономном режиме путем их записи может показаться старомодным — и, вероятно, это то, что вам сказали не делать, — но это определенно лучше, чем бездействие, и киберпреступники не могут просунуть руку через ваш экран и схватить блокнот.Просто не носите его с собой, а храните в надежном месте. Другие уловки, чтобы сделать этот подход более безопасным, в том числе записать пароль в обратном порядке, написать только подсказки или отметить только одно слово в вашем пароле, чтобы разбудить вашу память.

Запоминание паролей тоже работает, но для большинства из них это не практичное решение. Исследования показывают, что в конце концов людям нужно запомнить в среднем 100 различных паролей. Невозможно переоценить важность поиска наилучшего способа хранения паролей, который подходит именно вам.

Советы по дальнейшей защите паролей и данных

Защита паролем важна, но есть и другие передовые методы защиты их и других конфиденциальных данных. Помните об этих вещах, чтобы повысить эффективность действий, которые вы предпринимаете для защиты паролей:

  • Не используйте один и тот же пароль на всех сайтах или даже на нескольких сайтах. Однако примерно 65% людей делают это, а 13% используют один и тот же пароль для всего. Это плохая идея, потому что, получив пароль от одного сайта, хакеры будут пробовать его на каждом сайте, который вы посещаете.
  • Никогда не используйте один и тот же пароль для рабочих учетных записей и личных учетных записей. Опять же, в случае взлома злоумышленникам будет легко проникнуть во все ваши учетные записи.
  • Некоторые сайты требуют от вас регулярно менять пароли. Хакерам легко получить доступ к нескольким учетным записям, используя технику хеширования, если вы измените только одно слово или цифру в пароле, который требуется изменить. Измените весь пароль, чтобы больше шансов предотвратить их попытки.
  • Используйте сложные пароли, а не те, которые легко угадать, и никогда не используйте последовательные числа или слово «пароль».
  • Любой надежный подход к безопасности будет включать план удаления неиспользуемых файлов, которые могут дать хакерам доступ к конфиденциальной информации. Цифровой шредер файлов может легко удалить любые устаревшие файлы, чтобы уберечь их от злоумышленников.

Хакеры, взломавшие систему безопасности компьютера, могут получить доступ ко всему, даже к конфиденциальной личной информации и фотографиям.Вы можете подумать, что выбросить текущую банковскую выписку в корзину и очистить ее означает, что она ушла навсегда. Подумайте еще раз — существует множество программ, которые могут восстанавливать удаленные файлы. Вам необходимо навсегда стереть данные на вашем компьютере таким образом, чтобы их невозможно было восстановить.

Обратитесь к специалистам по удалению файлов без возможности восстановления

Shred Cube повышает безопасность вашего компьютера, быстро, легко и безвозвратно удаляя ненужные документы или файлы. Многочисленные удобные для пользователя функции, такие как перетаскивание, прикрепление файлов и поиск дубликатов файлов, означают, что конфиденциальность теперь находится на расстоянии одного клика.

Свяжитесь с Shred Cube сегодня, чтобы получить информацию о нашем мощном USB-устройстве для уничтожения файлов.

Как безопасно создавать, управлять и хранить пароли — Emsisoft

Давайте посмотрим правде в глаза: в наши дни оставаться на вершине своей цифровой жизни может стать кошмаром. Среднестатистический человек имеет десятки, если не сотни, онлайн-учетных записей для управления, каждая из которых требует своего имени пользователя и пароля.

Наличие надежных учетных данных важно для защиты вашей личности и обеспечения того, чтобы ваши данные не попали в руки злоумышленников.Однако просто невозможно мысленно отслеживать все эти пароли (особенно если вы являетесь хорошим гражданином цифровых технологий и используете уникальные буквенно-цифровые комбинации для каждого пароля).

Какое решение?

В этой статье мы собрали все, что вам нужно знать как корпоративному или домашнему пользователю, чтобы безопасно и надежно управлять своими паролями.

Почему так важно иметь хороший пароль?

Важно иметь хороший пароль по одной очень простой причине: он предотвращает несанкционированный доступ к вашим физическим устройствам и онлайн-аккаунтам.Если ваш пароль легко взломать, киберпреступник может получить доступ к вашему банку, социальным сетям, электронной почте и другим личным аккаунтам, что может иметь разрушительные последствия для вашей жизни.

Важность надежных паролей особенно важна для малого бизнеса. Владельцы бизнеса не только должны обеспечивать безопасность своих критически важных данных, чтобы минимизировать время простоя компании, им также необходимо делать все возможное для защиты личной информации своих клиентов, которая может храниться в системе компании.Малые предприятия часто оказываются под прицелом хакеров из-за того, что у них обычно нет ресурсов для поддержки специальной группы ИТ-безопасности. Киберпреступники хорошо об этом знают: согласно данным Verizon, в 2019 году 43% утечек данных были связаны с малым бизнесом.

Конечно, все это не должно стать шокирующей новостью. На самом деле, вы, вероятно, устали от того, что эксперты по безопасности советуют вам улучшить безопасность паролей. Тем не менее, похоже, что довольно большая часть населения еще не получила памятку, так как слишком много людей все еще полагаются на пароли, которые примерно так же безопасны, как влажный бумажный пакет (читай: совсем нет).Как сообщает NordPass, самыми популярными (то есть худшими) паролями в 2019 году были «12345», «123456» и «123456789». Среди других примечательных упоминаний — «пароль» (входит в # 5), «qwerty» (# 10) и «iloveyou» (# 14).

Защитите свое устройство с помощью Emsisoft Anti-Malware.

Ваш антивирус вас подвел? Не будем. Загрузите бесплатную пробную версию Emsisoft Anti-Malware и убедитесь в этом сами. Начать бесплатную пробную версию

Как хакеры крадут ваши пароли

Таким образом, наличие надежного пароля снижает вероятность получения злоумышленниками ваших учетных данных. Но как именно хакеры вообще воруют ваши пароли?

1. Утечка паролей

Время от времени взламывают крупные компании (Yahoo, Dropbox и Gmail, если назвать только три), что приводит к утечке миллионов паролей в Интернет. Это не только означает, что преступник потенциально может получить доступ к вашей просочившейся учетной записи, но и может использовать просочившуюся информацию для входа в другие ваши учетные записи.

Как?

Что ж, если вы один из 87 процентов людей, которые повторно используют свои пароли, хакер может просто использовать ваш утекший пароль и попытаться войти в другие ваши личные учетные записи.Повторное использование учетных данных может быть предпринято с паролями, собранными с помощью любых средств (не только путем утечки пароля), что подчеркивает тот факт, что вы никогда не должны повторно использовать один и тот же пароль.

2. Атака грубой силы

Атака грубой силой — это атака, при которой киберпреступники методично пытаются войти в вашу учетную запись, используя все возможные комбинации символов, пока не получат правильный пароль. Как вы можете догадаться, это невозможно сделать вручную, поэтому хакеры используют специальные инструменты, способные (при работе на правильном оборудовании) обрабатывать миллионы попыток в секунду.Чем короче пароль, тем быстрее атака грубой силы сможет его украсть.

3. Кейлоггеры

Кейлоггеры — это определенная разновидность вредоносных программ, которые скрываются в фоновом режиме вашего компьютера. Если разрешено оставаться незамеченным, кейлоггер может отслеживать каждую клавишу, которую вы нажимаете на клавиатуре, и передавать эту информацию злоумышленнику, позволяя преступникам украсть ваши учетные данные. Эффективный антивирусный продукт необходим для обеспечения безопасности ваших паролей, защиты вашего компьютера от вредоносных программ и защиты вашей системы от кейлоггеров.

4. Фишинг

Фишинг — это форма социальной инженерии, которая использует человеческую природу. По сути, фишинг заключается в том, чтобы обманывать пользователей, чтобы они охотно разглашали конфиденциальную информацию (такую ​​как учетные данные для входа, данные кредитной карты и т. Д.), Маскируя вредоносные веб-сайты и приложения под законные службы. Когда вы вводите свою информацию на поддельный веб-сайт, вы непреднамеренно отправляете данные прямо в руки преступников, которые затем могут свободно принять вашу личность и войти в ваши личные учетные записи.Фишинг остается невероятно распространенным явлением, по-видимому, потому, что снова и снова доказывается, что он является эффективным вектором атаки. Согласно вышеупомянутому отчету Verizon, примерно 32% утечек данных связаны с фишингом.

5. Инструменты после эксплуатации.

Другой способ, которым преступники обычно крадут пароли, — это использование инструментов после эксплуатации. Как следует из названия, злоумышленники используют эти инструменты в системах, которые они уже успешно использовали, чтобы получить лучший контроль над устройством или сетью.Например, широко используемый инструмент Mimikatz можно использовать для быстрого сбора информации, которая может представлять ценность, включая все существующие пароли в скомпрометированной системе.

6. Rainbow table

Даже если вы, как потребитель, придумаете отличный пароль, его все равно могут украсть, если служба, для которой вы его используете, использует неэффективные методы шифрования паролей. В настоящее время большинство производителей осознают опасность хранения паролей в виде открытого текста (подробнее об этом позже) и вместо этого хранят свои пароли в виде хэшей.Криптографический хэш — это математический алгоритм, который можно использовать для получения контрольной суммы (значение, обычно используемое для обнаружения ошибок данных). С помощью криптографического хеша поставщик может проверить правильность пароля путем перекрестной проверки его контрольной суммы с контрольной суммой в базе данных. Весь процесс происходит без того, чтобы продавец узнал, какой на самом деле пароль.

Хотя это может показаться очень безопасным способом хранения паролей, у хешей есть свои недостатки. Наиболее часто используемые хэши (MD5 и SHA-1) имеют известное общее количество возможных хэшей, что означает, что они могут быть (и были) предварительно вычислены. Эти предварительно вычисленные значения хранятся в списке, известном как радужная таблица, который преступники часто используют с помощью простых поисков для отмены хешированных паролей. После того, как они украли хэш и взломали пароль с помощью радужной таблицы, хакеры могут использовать учетные данные для входа на другие веб-сайты, где они подозревают, что пользователь повторно использовал пароль. В этом сценарии длина пароля не имеет значения, поскольку таблица учитывает только хэш.

Чтобы противостоять этой проблеме, производители все чаще обращаются к хешам с солью, которые включают случайность в каждый сохраненный пароль для дальнейшей обфускации пароля.С соленым хешем каждый отдельный пароль требует для взлома своей собственной радужной таблицы, что делает его попытки вычислений непрактичными с точки зрения вычислений.

Вы обеспокоены тем, что ваши учетные данные могли быть украдены без вашего ведома? Используйте haveibeenpwned, чтобы успокоить свой разум. Просто введите свой адрес электронной почты, и сайт проверит его с помощью сотен крупнейших взломов в новейшей истории и сообщит вам, если вы рискуете. Вы также можете использовать этот инструмент, чтобы отправить вам уведомление, если он обнаружит ваш адрес электронной почты при любых будущих утечках данных.

Как создать хороший и надежный пароль

Итак, хороший пароль — важная часть вашей системы защиты, но что это означает на практике? Что касается передовых методов работы с паролями, то за последние годы многое изменилось.

«За 20 лет работы мы успешно научили всех пользоваться паролями, которые трудно запомнить людям, но легко угадать компьютерам» — XKCD.

В прошлом общее правило заключалось в том, что пароль должен быть как можно более сложным.Как прилежный пользователь Интернета, вы обеспечили, чтобы ваш пароль содержал цифры, символы, а также прописные и строчные буквы, и полученный пароль мог бы выглядеть примерно так:

3s + zq & KW

Однако мы постоянно двигались. прочь от этого подхода. Правительство США недавно обновило свои рекомендации по паролям, чтобы отразить современный взгляд на пароли, и даже Билл Берр, автор специальной публикации NIST 800-63, приложение A (один из первых ресурсов, побуждающих людей включать неясные символы в свои пароли), признался в The Wall Street Journal, что в его оригинальной работе были недостатки. Проще говоря, каждый наконец кое-что понял: компьютеры — не люди.

Хотя вышеупомянутый пароль, несомненно, будет сложно угадать человеку, для компьютера он не более безопасен, чем любая другая восьмизначная комбинация, такая как «журнал», «принцесса» или «зонтик».

Хорошая новость в том, что создание надежного пароля не должно быть трудным. Вот три основных правила создания надежного пароля в 2020 году:

1. Длина — новый король

Краеугольный камень создания хорошего пароля сместился от сложности к длине.Каждый дополнительный символ делает ваш пароль экспоненциально более устойчивым к атакам методом грубой силы. Таким образом, отличный пароль можно создать, просто соединив несколько случайных слов в длинную фразу, например:

vagantgerontogenousnidifugousyorkkelpielongiloquence

Чем длиннее, тем лучше. Мы рекомендуем стремиться как минимум к 16 символам.

2. Сохраняйте уникальность

Как мы уже упоминали ранее, повторное использование одного и того же пароля для нескольких веб-сайтов, приложений или устройств подвергает вас всевозможным ненужным рискам. Да, у вас могут быть десятки или даже сотни учетных записей, но это не оправдывает повторное использование ваших учетных данных. Сделайте каждый пароль уникальным и безопасным, даже если он предназначен для службы, которую вы собираетесь использовать только один или два раза. Всегда есть шанс, независимо от того, насколько мал, что однажды вы предоставите этим «второстепенным услугам» данные своей кредитной карты и, скорее всего, забудете укрепить свой пароль, когда это придет.

3. Сделайте его случайным

Помимо длины, важно, чтобы ваш пароль был случайным.Если вы решите использовать цепочку случайных слов, как описано ранее, не полагайтесь на свой мозг, чтобы вызвать в воображении несколько, казалось бы, «случайных» слов, потому что есть большая вероятность, что эти слова будет легче угадать, чем вы думаете. Вместо этого используйте надежный генератор паролей для создания действительно случайных комбинаций символов. Точно так же избегайте использования общих фраз, цитат и ссылок из поп-культуры, а также паролей, имеющих личный смысл, таких как дни рождения, годовщины, имена домашних животных и т. д. подсказки.

Для получения дополнительных советов по созданию безопасных паролей обязательно ознакомьтесь с нашим предыдущим сообщением в блоге по этой теме.

Лучшие менеджеры паролей 2020 года

Не храните учетные данные для входа в текстовый файл. Хранение всех ваших паролей в текстовом файле означает, что хакер может просто украсть весь список паролей одним махом и по-настоящему нанести ущерб вашей цифровой жизни. Если вы являетесь владельцем бизнеса, хранение паролей в виде открытого текста также увеличивает риск возникновения проблем с внутренней безопасностью, поскольку сотрудники могут свободно получать доступ к учетным данным для входа.Просто не делай этого.

В то же время запомнить десятки длинных случайных уникальных комбинаций символов более или менее невозможно. Самый безопасный способ хранить пароли в 2020 году — использовать специальный менеджер паролей.

1. KeePass

То, чего KeePass не хватает в ярких пользовательских интерфейсах, более чем компенсируется плавной функциональностью. Бесплатное программное обеспечение с открытым исходным кодом имеет портативную установку, что означает, что вы можете запускать его прямо с USB. Он поддерживает впечатляющий набор функций безопасности, включая генератор паролей, безопасные заметки и ряд вариантов ввода пароля.Официального браузера или реализации Android нет, хотя есть несколько неофициальных вариантов.

Учетные данные для входа хранятся локально, что означает, что они менее хорошо интегрированы, чем некоторые облачные решения (что делает их наиболее подходящими для людей, которым требуется решение для одного устройства), но положительным моментом является также меньший риск утечки ваших паролей. Как и в случае со всем программным обеспечением с открытым исходным кодом, вы можете изучить внутреннюю работу KeePass, что дает технически подкованным пользователям возможность искать потенциальные недостатки в коде.

Цена: Бесплатно

2. Dashlane

Dashlane удобен в использовании и содержит множество функций, предназначенных для обеспечения безопасности ваших паролей. В дополнение к хранению ваших учетных данных для входа и их автоматическому заполнению, когда они вам могут понадобиться, Dashlane также может похвастаться надежным генератором паролей и цифровым кошельком, который безопасно управляет информацией вашей кредитной карты, позволяя вам быстро совершать онлайн-покупки.

Если вы используете функцию синхронизации, Dashlane будет хранить ваши зашифрованные данные в облаке; если вы отключите синхронизацию, ваши данные будут безвозвратно удалены с их серверов, оставив их локально на вашем компьютере.

Цена: Бесплатно для одного устройства и до 50 паролей. Для премиум-функций требуется платное обновление.

3. Sticky Password

Другой удобный вариант, Sticky Password может похвастаться некоторыми приличными функциями, заключенными в явно чистый, хотя и немного устаревший дизайн. Как и многие менеджеры паролей, Sticky Passwords позволяет безопасно хранить и управлять неограниченным количеством паролей на одном устройстве или, при обновлении до премиум-класса, синхронизировать учетные данные для входа на нескольких машинах. В отличие от некоторых менеджеров паролей, Sticky Password также может обрабатывать вход в приложение, что является отличной новостью, если вам регулярно приходится использовать программное обеспечение, защищенное паролем.

Возможность выбора между синхронизацией данных на серверах Sticky Password или через локальный Wi-Fi — очень приятный штрих для тех, кто хочет интегрированное решение без ущерба для безопасности.

Цена: Бесплатно без облачной или локальной синхронизации. Для премиум-функций требуется платное обновление.

4.1Password

1Password может быть самым красивым менеджером паролей Mac на рынке (но он также доступен в версиях Windows и браузеров). Он может делать все, что вы ожидаете от хорошего менеджера паролей, с добавлением некоторых других полезных функций, таких как организация и синхронизация ваших лицензий на программное обеспечение и файлов. Стоит отметить, что, в отличие от любого другого менеджера паролей, 1Password не использует какую-либо форму 2FA, а вместо этого полагается на сквозное шифрование и секретные ключи, чтобы гарантировать, что вы являетесь тем, кем вы себя называете.

Цена: 30-дневная бесплатная пробная версия. Для продолжения использования требуется платное обновление.

5. RoboForm

RoboForm не заботится о причудливых функциях или красивом графическом интерфейсе, а вместо этого сосредотачивает свои усилия на превосходном управлении паролями. Помимо безопасного шифрования, RoboForm поддерживает вход в приложение, хранение заметок и аварийный доступ. Генератор паролей с широкими возможностями настройки — один из лучших, и недавно компания добавила поддержку неограниченного числа входов в систему в бесплатной версии, что делает его отличным выбором для экономных пользователей, которым нужен отличный менеджер паролей.

Цена: Бесплатно, без синхронизации или резервного копирования в облако. Для премиум-функций требуется платное обновление.

6. bitwarden

bitwarden настоятельно рекомендуется сотрудниками лаборатории Emsisoft — и не без оснований. Программное обеспечение с открытым исходным кодом включает 2FA, сквозное шифрование и, в отличие от большинства других записей в этом списке, бесплатная версия даже включает неограниченную синхронизацию между устройствами! bitwarden также содержит компетентный генератор паролей и совместим с множеством различных операционных систем и браузеров. Вишенка на торте заключается в том, что вы можете разместить инфраструктуру bitwarden на выбранной вами платформе, а это значит, что вам не нужно полагаться на облачный сервис Bitwarden, если вы этого не хотите.

Цена: Бесплатно с некоторыми ограничениями. Для премиум-функций требуется платное обновление.

7. LastPass

LastPass часто возглавляет список лучших менеджеров паролей. Совместимость с рядом операционных систем, надежный генератор паролей, проблемы безопасности и двухфакторная аутентификация (даже в бесплатной версии!) LastPass уже довольно давно является золотым стандартом менеджеров паролей.Однако следует иметь в виду, что LastPass был взломан в прошлом, хотя его расширенное хеширование означало, что злоумышленники, вероятно, не могли взломать украденные пароли.

Цена: Бесплатно с некоторыми ограничениями. Для премиум-функций требуется платное обновление.

Защита паролей: больше никаких оправданий

Просто невозможно вручную отслеживать все пароли, которые являются неотъемлемой частью современной жизни. Лучший способ безопасного создания и хранения паролей в 2020 году — использовать надежный менеджер паролей.Настройка займет всего несколько минут, а потраченное время абсолютно оправдано, зная, что ваши учетные данные надежно хранятся.

Обязательно используйте проверенное решение безопасности, такое как Emsisoft Anti-Malware, вместе с вашим менеджером паролей, чтобы убедиться, что ваша система свободна от кейлоггеров и других вредоносных программ, которые могут поставить под угрозу безопасность ваших учетных данных.

Вы используете отличный менеджер паролей, которого нет в списке? Дайте нам знать в разделе комментариев ниже!

Опубликовано 23 января 2018 г .; Обновлено 16 января 2020 г.

Лучшая защита от хакеров — это…бумага?

Есть один надежный способ защитить вашу информацию в Интернете. Но тебе это не понравится.

Это касается бумаги.

Новости об уязвимости Heartbleed заставили многих людей заинтересоваться улучшением управления паролями. Большинство из нас знает, что наши пароли должны представлять собой случайную смесь букв, цифр и символов, и что мы не должны повторно использовать одни и те же пароли на нескольких сайтах. Другими словами, мы должны запомнить огромное количество паролей, которые невозможно запомнить.Большинство людей не пойдет на это.

Итак, в последние недели многие эксперты по компьютерной безопасности начали рекомендовать менеджеры паролей, такие как Dashlane, 1Password, Lastpass и Roboform. У этих услуг есть несколько основных преимуществ. Они в основном генерируют и запоминают ваши пароли за вас. Вы используете один мастер-пароль для доступа к ним. Информация сохраняется на ваших устройствах и надежно зашифрована, поэтому ее практически невозможно взломать.

Если вам это нравится, стоит попробовать.Но есть еще одна альтернатива, простая, надежная, и каждый уже знает, как ее использовать: бумага. Чтобы ваши пароли были в безопасности, просто запишите их на листе бумаги и положите в надежное место, например в свой кошелек.

Бумагу рубить не получится.

Почему бумага?

Выбор низкотехнологичного решения высокотехнологичной проблемы многим кажется нелогичным. Разве мы не должны использовать самые мощные технологии для защиты нашей онлайн-жизни?

Но ошибки безопасности случаются, когда люди используют системы, которых они не понимают.Менеджеры паролей мощные, но их сложность также может привести к проблемам. Напротив, все понимают, как работает лист бумаги.

Если вы забудете мастер-пароль своего менеджера паролей, остальные ваши пароли исчезнут навсегда. Конечно, многие люди записывают свой мастер-пароль где-нибудь на своем компьютере. Это создает возможность для хакеров захватить их данные или, что более приземленно, риск того, что их жесткий диск выйдет из строя и у них не будет резервной копии.

Таким образом, для многих пользователей запись паролей на бумаге — лучшее решение.

«Если вас беспокоят люди, входящие через Интернет, они не смогут этого сделать, если ваши пароли будут на бумаге», — говорит Лорри Кранор, компьютерный ученый из Университета Карнеги-Меллона, который считает, что записывать пароли — это идеальное средство. разумная стратегия безопасности. Управление паролями на бумаге одобрено рядом других экспертов по безопасности, включая известного исследователя безопасности Брюса Шнайера.

Конечно, у бумаги есть свои опасности. Если вы из тех, кто склонен потерять кошелек или случайно положить вещи в стиральную машину, доверять свои пароли листу бумаги может быть плохой идеей.

Бумагу тоже можно взять. Если у вас есть любопытный парень или дети-подростки, которые могут быть склонны шпионить за вашими учетными записями, это повод для беспокойства. Если вы путешествуете за границу, поиск на границе может раскрыть ваши пароли иностранному правительству.

Но для многих гораздо большее беспокойство вызывают угрозы со стороны незнакомцев в Интернете. Бумагу нельзя взломать. Вас не обмануть, отправив листок бумаги хакерам на другом конце света. И до тех пор, пока ваш кошелек не проходит стирку — или пока вы надежно скрываете пару разных листов бумаги, — технические проблемы вряд ли могут неожиданно стереть содержимое листа бумаги.

Ничто из этого не означает, что менеджеры паролей — плохая идея.Они не. Но для многих хранение паролей на бумаге — отличное решение.


Кевин Марш

Зачем мне столько паролей?

Повторное использование пароля — это плохо, потому что это означает, что компрометация одного сайта может подвергнуть вас атакам и на другие сайты. Например, если вы используете тот же пароль на отрывочном интернет-форуме, что и для своей учетной записи Gmail, то в случае взлома форума хакеры могут получить ваш пароль и войти в ваш Gmail.Оттуда они могут взломать другие учетные записи и получить доступ ко всей вашей цифровой жизни.

Таким образом, каждая ваша самая важная учетная запись должна иметь свой уникальный пароль. А поскольку большинство людей не могут запомнить много паролей, лучший способ справиться с этим — записать их.

С другой стороны, у вас, вероятно, нет из многих важных учетных записей.Ваш основной адрес электронной почты, ваш банк, ваша кредитная карта и пенсионный счет, вероятно, нуждаются в собственных паролях. Если вы используете облачное хранилище, такое как Dropbox или iCloud, ваши пароли для этих сервисов должны быть уникальными. Вам также может потребоваться уникальный пароль для ваших учетных записей Facebook и Twitter. Но общее количество паролей с высокой степенью защиты, вероятно, является однозначным числом.

Для других сайтов допускается повторное использование некоторых паролей. Просто нет такого большого ущерба, который кто-то может причинить, если, например, получит контроль над учетной записью потокового видео.Поэтому выберите еще два пароля: один для использования на сайтах с умеренным уровнем безопасности, а второй для сайтов с низким уровнем безопасности, таких как онлайн-форумы и игры.

Другими словами, вы должны уметь использовать несколько паролей, достаточное для размещения их всех на визитной карточке.

Какой самый безопасный способ управлять паролями на бумаге?

Самое замечательное в написании пароля на бумаге состоит в том, что вам не нужно беспокоиться о выборе паролей, которые легко запомнить.Таким образом, вы можете сосредоточиться на выборе наиболее безопасных паролей. Лучше всего выбирать пароли, представляющие собой случайную последовательность строчных букв, заглавных букв, цифр и символов. Сделайте его длиной не менее 12 символов. Например, « Ah6 & p5v * tt9B » — хороший пароль (хотя, очевидно, вам не следует использовать именно этот пароль!).

Рекомендуется избегать использования чисел 0 и 1, а также букв i, L и O, поскольку их легко спутать друг с другом.Также рекомендуется подчеркивать заглавные буквы в каждом пароле, чтобы убедиться, что вы сможете расшифровать, какие буквы являются заглавными, а какие — строчными.

Наконец, запишите как можно меньше идентифицирующей информации. Не записывайте свое имя пользователя. Напишите «E» вместо «Gmail» и «B» вместо «Bank of America». Будем надеяться, что если ваш кошелек украдут, вор не поймет, что у него есть ключи к вашей сетевой личности — по крайней мере, до тех пор, пока у вас не будет времени сменить пароли.

Не оставляйте бумагу там, где ее могут скопировать. Это не должно быть стикера на вашем мониторе или даже под вашей клавиатурой. Храните его в бумажнике или в папке без пометки в картотеке. Возможно, вы захотите сохранить два разных листка бумаги: один дома со всеми паролями, а второй в кошельке с паролями, которые вам нужны каждый день. Это минимизирует ущерб, если вы потеряете свой кошелек.

Я уже пользуюсь менеджером паролей.Я должен остановиться?

Нет, менеджеры паролей — вполне разумный вариант. Но вот некоторые вещи, о которых следует остерегаться.

Во-первых, убедитесь, что вы регулярно делаете резервные копии вашего жесткого диска (вы все равно должны это делать). Некоторые менеджеры паролей (например, 1Password) не хранят зашифрованные копии ваших паролей на своих серверах. Если вы используете одну из этих программ, то сбой жесткого диска может означать, что вы навсегда потеряете данные пароля.

Во-вторых, запомните пароль к своему основному адресу электронной почты.Всегда есть небольшой риск того, что технический сбой или забытый мастер-пароль заблокируют вам доступ к вашему файлу паролей. Если это произойдет, вам необходимо активировать функции восстановления пароля на всех веб-сайтах, которые вы используете. Большинство веб-сайтов делают это по электронной почте. Если ваш пароль электронной почты хранится в вашем диспетчере паролей, вам не повезло.

Большинство менеджеров паролей позволяют синхронизировать данные на нескольких компьютерах. Это удобная функция, но ее нужно использовать осторожно.Никогда не входите в диспетчер паролей с устройств, которым вы не доверяете. Например, если вы путешествуете за границу, входить в диспетчер паролей из интернет-кафе — плохая идея. Если на этом компьютере установлено шпионское ПО — а многие это делают, — злоумышленники смогут получить доступ ко всем вашим учетным записям. Также остерегайтесь мошеннических «фишинговых» писем и веб-сайтов, которые пытаются обманом заставить вас раскрыть ваш главный пароль.

Мики Ёсихито

Я хочу использовать менеджер паролей.Какой из них лучше?

Сейчас на рынке есть несколько хороших менеджеров паролей, но после тестирования Mac-версий некоторых из них я был очень впечатлен Dashlane. Он прост в использовании, имеет все функции, необходимые обычным пользователям, и кажется сопоставимым с другими вариантами с точки зрения безопасности.

Другими программами, которые я пробовал, были 1Password, Lastpass и Roboform. (Я не пробовал пятый вариант, Keepass. Это в основном приложение для Windows, но версия для Mac под названием KeepassX находится в стадии разработки).У меня были проблемы с тем, чтобы заставить Roboform работать, но 1Password и Lastpass — отличные варианты с большим количеством довольных клиентов.

Одно из наиболее важных различий между этими приложениями заключается в том, что некоторые из них предназначены для хранения зашифрованных паролей на вашем локальном компьютере, а другие хранят их в Интернете. Если вы проводите большую часть своего времени на одном компьютере (например, на ноутбуке, который вы носите с собой), то приложение с локальным хранилищем, такое как 1Password, вероятно, станет хорошим выбором. Только локальное хранилище обеспечивает дополнительную безопасность, потому что кому-либо труднее получить удаленный доступ к вашим паролям.С другой стороны, если вам регулярно требуется доступ к вашему паролю с нескольких устройств, тогда облачная служба, такая как Lastpass, может лучше удовлетворить ваши потребности (хотя данные 1Password можно синхронизировать с помощью сторонних сервисов, таких как Dropbox и iCloud).

Даже менеджеры паролей, которые хранят ваш файл паролей в сети, спроектированы таким образом, что ваш главный пароль никогда не покидает ваш локальный компьютер. Вместо этого файл зашифрованных паролей загружается и расшифровывается локально. Такие компании, как Lastpass, никогда не обрабатывают ваш мастер-пароль напрямую, что обеспечивает дополнительную степень безопасности.Тем не менее, если ваши пароли хранятся в облаке, хакерам намного проще их получить, особенно если вы войдете в диспетчер паролей с ненадежного компьютера.

Dashlane поддерживает как пароли, хранящиеся локально, так и облачную версию. Его можно использовать на одном компьютере бесплатно, по сравнению с 24,99 долларов за 1Password. Но Dashlane стоит дорого для людей, которые хотят синхронизировать свои пароли на нескольких устройствах. Это стоит 29,99 долларов в год с Dashlane, что значительно дороже, чем 12 долларов в год, чем та же услуга Lastpass.

Как часто мне следует менять пароль?

Некоторые организации требуют, чтобы сотрудники меняли пароли не реже, чем каждые 90 дней, что Крэнор называет «просто глупой». Вам следует изменить свой пароль, если вы знаете или подозреваете, что он был взломан. Но в остальном смена паролей не дает большого преимущества в плане безопасности, особенно если вы используете разные пароли на каждом сайте. А когда пользователи вынуждены часто менять свои пароли, они выбирают менее безопасные пароли или повторно используют один и тот же пароль на многих сайтах.Это бесполезно.


Лиза Вернер

Что еще я могу сделать для защиты своих учетных записей в Интернете?

Двухэтапная проверка. Двухэтапная проверка. Двухэтапная проверка.

Всегда возможно, что кто-то найдет вашу таблицу паролей или взломает ваш менеджер паролей и попытается войти в ваши учетные записи. Вот тут-то и появляется двухэтапная проверка. На большинстве сайтов второй этап аутентификации включает отправку защитного кода на мобильный телефон пользователя.Это повышает безопасность, потому что хакеру, получившему доступ к вашему паролю, также придется завладеть вашим мобильным телефоном, чтобы взломать вашу учетную запись. Большинство ведущих интернет-компаний и многие крупные банки предлагают двухэтапную проверку. У Wall Street Journal есть удобное руководство по включению двухэтапной аутентификации на 11 популярных веб-сайтах.

Лучшие менеджеры паролей на 2021 год

Практически каждый веб-сайт, который вы посещаете, от приложений для знакомств до гипербезопасных банковских сайтов, требует, чтобы вы создали учетную запись пользователя и придумали пароль.Человеческая память не успевает за десятками и десятками паролей. Некоторым приходит яркая идея использовать простейшие пароли, которые легко запомнить, например «123456789» или «пароль». Другие запоминают один великолепно случайный пароль и используют его для всего. Любой из этих путей может сделать вас последней жертвой кражи личных данных.

Не походите на них. Используйте диспетчер паролей и правильно используйте функции диспетчера паролей . С менеджером паролей вам не нужно запоминать надежные уникальные пароли для всех ваших учетных записей.Менеджер паролей хранит их для вас и даже помогает создавать новые, случайные. Все лучшие менеджеры паролей, которые попали в эту статью, стоят денег, хотя вы можете использовать некоторые из них бесплатно, если принимаете определенные ограничения. Если вы не хотите тратить деньги и не хотите ограничений, не волнуйтесь. Мы собрали лучшие бесплатные менеджеры паролей в отдельной статье.

Мы протестировали и проанализировали десятки менеджеров паролей, чтобы вы могли выбрать тот, который лучше всего соответствует вашим потребностям.Не довольны своим первоначальным выбором? Не волнуйся. Большинство сервисов позволяют экспортировать сохраненные данные или импортировать их из других продуктов, что упрощает процесс переключения менеджеров паролей.


Защитите свои пароли на каждой платформе

Когда вы подписываетесь на менеджер паролей, первое, что вам нужно сделать, это создать мастер-пароль для своей учетной записи. Ваш главный пароль используется для шифрования содержимого вашего хранилища паролей, поэтому вы должны усложнить задачу угадывания или выяснения кем-либо другого. Однако он не может быть настолько случайным, чтобы вы его забыли; если вы это сделаете, скорее всего, ваш главный пароль будет невозможно восстановить. Прочтите наши советы по созданию безопасных и сложных паролей.

Лучший менеджер паролей к Черной пятнице на этой неделе *

* Сделки отбирает наш партнер TechBargains

  • Хранитель безопасности — Скидка 30% на многолетние планы управления паролями
  • NordPass — 35,76 долларов США для 2-летнего премиум-плана (Прейскурантная цена $ 119.76)
  • LastPass — Бесплатная 30-дневная пробная версия Premium

В качестве дополнительной меры предосторожности вам следует настроить многофакторную аутентификацию для защиты вашей учетной записи менеджера паролей, будь то биометрическая, на основе SMS или с помощью одноразовых паролей (TOTP), хранящихся в приложении для аутентификации. Лучшие менеджеры паролей поддерживают аутентификацию с помощью аппаратных ключей на основе U2F или OTP, таких как YubiKey и Titan Security.

Прежде чем использовать какой-либо менеджер паролей, вам необходимо убедиться, что он работает на каждом используемом вами устройстве и не мешает вам синхронизировать пароли на всех ваших устройствах.Хотя поддержка платформ Windows и macOS является обязательной, некоторые менеджеры паролей теперь также предлагают собственные приложения для Linux. Лучшие менеджеры паролей имеют расширения для каждого популярного браузера, которые могут работать независимо от настольного приложения.

Полная поддержка мобильных платформ является требованием для любого современного менеджера паролей, поскольку большинство людей часто используют свои мобильные устройства для доступа к защищенным сайтам и приложениям. Большинство возможностей и функций без проблем переносятся на мобильные платформы, но никто не хочет вводить пароль типа @ 2a & [email protected] на крошечной клавиатуре смартфона.К счастью, приложения-менеджеры паролей обычно позволяют проходить аутентификацию по отпечатку пальца или по лицу, а затем вводят за вас ваше имя пользователя и пароль.


Основы паролей

Большинство людей используют менеджер паролей в первую очередь для управления учетными данными веб-сайта. На практике, когда вы входите на защищенный сайт, менеджер паролей предлагает сохранить ваши учетные данные. Когда вы вернетесь на этот сайт, он предлагает ввести эти учетные данные. Если вы сохранили несколько учетных записей для одного и того же сайта, менеджер паролей перечислит все эти параметры.Большинство менеджеров паролей также предлагают меню сохраненных учетных записей на панели инструментов браузера, так что вы можете сразу перейти на сохраненный сайт и войти в систему автоматически.

Некоторые продукты обнаруживают, когда вы меняете пароль к учетной записи, и предлагают обновить существующий пароль в файле на новый. Некоторые записывают ваши учетные данные, когда вы создаете новую учетную запись для безопасного веб-сайта. Для максимального удобства вам следует избегать менеджеров паролей, которые не перехватывают пароли автоматически.

Внесение всех существующих паролей в менеджер паролей — хороший первый шаг.Затем вам нужно определить слабые и повторяющиеся пароли и заменить их надежными. Менеджеры паролей могут пометить эти неверные пароли и помочь вам улучшить их. Недавний опрос PCMag показал, что 70% респондентов повторно используют пароли для своих учетных записей, поэтому очевидно, что избавление от повторно используемых паролей является одним из важнейших способов, с помощью которых менеджер паролей может улучшить вашу личную безопасность. Некоторые менеджеры паролей даже проверяют, настроили ли вы многофакторную аутентификацию для тех служб в вашем хранилище, которые ее поддерживают, и не появляется ли ваша личная информация в каких-либо утечках данных.

Когда вы создаете новую безопасную учетную запись или обновляете слабый пароль, не напрягайте свой мозг, пытаясь придумать что-то надежное и уникальное. Пусть об этом позаботится ваш менеджер паролей. В конце концов, вам не нужно это помнить. Убедитесь, что ваши сгенерированные пароли состоят не менее чем из 20 символов и включают все основные типы символов: прописные, строчные, числа и символы. Слишком многие товары по умолчанию имеют более короткую длину.


Заполнять формы автоматически

Поскольку большинство менеджеров паролей могут автоматически заполнять сохраненные учетные данные, для них это всего лишь небольшой шаг, чтобы автоматически заполнить личные данные в веб-формах, такие как имя и фамилия, адрес электронной почты, номер телефона, банковские карты, паспорт числа и так далее.Вы даже найдете менеджеры паролей, которые покажут вам реалистичные изображения кредитных карт с правильным цветом и логотипом банка вашей физической карты, чтобы упростить выбор желаемого способа оплаты при совершении покупок в Интернете. Хранить платежные и идентификационные данные в зашифрованном хранилище намного безопаснее, чем сохранять их на веб-сайте или в браузере.

Большинство продуктов с самым высоким рейтингом включают компонент для заполнения веб-форм. Широта и гибкость их коллекций данных различаются, равно как и их точность при сопоставлении полей веб-форм с их сохраненными элементами.Даже если они пропустят одно или два поля, поля, которые они заполняют, вам не нужно вводить. Подумайте о том, сколько сайтов вы посещаете и хотите, чтобы вы вводили одну и ту же информацию. Если менеджер паролей сделает это за вас, вы сэкономите много времени. Каждый менеджер паролей обрабатывает заполнение форм по-разному. Некоторые сразу заполняют поля автоматически, а другие ждут вашего ввода.


Расширенные функции управления паролями

Учитывая, что все эти продукты заботятся об основных задачах управления паролями, чем они отличаются от остальных?

Одной из удобных расширенных функций является возможность захвата и ввода учетных данных для настольных приложений, а не только для веб-сайтов.Большинство менеджеров паролей могут вводить учетные данные в мобильных приложениях, но настольные приложения — это совсем другое дело.

Еще одна расширенная функция — безопасный браузер, предназначенный для защиты конфиденциальных транзакций, запускаемый автоматически при посещении финансовых сайтов.

Большинство менеджеров паролей включают встроенный механизм для безопасного обмена паролями с другими пользователями, но некоторые идут дальше с расширенными разрешениями. Например, несколько менеджеров паролей позволяют вам делиться логином, не делая пароль видимым, отменять совместное использование или делать получателя владельцем элемента.

Рекомендовано нашими редакторами

На более мрачном примечании, что происходит с вашими безопасными учетными записями после вашей смерти? Все большее количество продуктов включает в себя некоторые положения о цифровом наследии, способ передачи ваших логинов доверенному лицу в случае вашей смерти или недееспособности.

Вход с безопасным именем пользователя и паролем на веб-сайт, который не использует безопасное соединение HTTPS, является большим запретом. Некоторые менеджеры паролей предупреждают вас о небезопасных страницах входа. Даже когда вы действительно используете HTTPS, снифферы могут узнать некоторые вещи о вашей деятельности, например, тот простой факт, что вы входите на защищенный сайт, и IP-адрес, с которого вы подключаетесь.Запуск ваших безопасных соединений через виртуальную частную сеть или VPN добавляет уровень защиты. Dashlane включает простой встроенный VPN. RememBear и NordPass, соответственно, принадлежат тем же компаниям, что и Editors ‘Choice VPNs TunnelBear VPN и NordVPN.

Безопасное хранение также становится все более распространенной функцией менеджеров паролей. Выделение хранилища не заменит необходимости в выделенном облачном хранилище и службе синхронизации, но во многих случаях этого достаточно для хранения важных документов в зашифрованном виде.


Чего здесь нет

Как упоминалось ранее, вы также не найдете здесь только бесплатных менеджеров паролей. Эти продукты представлены в отдельном обзоре. Менеджеры паролей, которые предлагают отличные платные и бесплатные уровни, появляются в обоих обзорах.

Менеджер паролей — не единственное, что вам нужно для защиты вашей цифровой жизни. Мы уже упоминали о важности использования VPN и двухфакторной аутентификации, но вы также должны использовать пакет безопасности. Также никогда не помешает убедиться, что все ваше программное обеспечение безопасности работает.


Лучшее программное обеспечение для управления паролями

Хотя менеджер паролей должен предлагать расширенные функции, он должен оставаться простым в использовании и избегать ненужных сложностей. Пользователи, которых раздражает или сбивает с толку менеджер паролей, вполне могут отказаться от него и вернуться к использованию липких заметок для хранения и обмена паролями или, что еще хуже, к применению одного и того же пароля повсюду.

Победителями конкурса «Выбор редакции» в этой категории стали Dashlane, Keeper Password Manager & Digital Vault, LastPass и Zoho Vault.Гладкий и отполированный Dashlane может похвастаться множеством функций. Keeper предлагает полный набор расширенных возможностей, гладкий и элегантный пользовательский интерфейс, а также поддержку всех популярных платформ и браузеров. LastPass Premium выделяется простотой использования и конкурентоспособными инструментами безопасности, несмотря на изменения в бесплатной версии LastPass, из-за которых ее трудно рекомендовать. Zoho Vault имеет надежный уровень бесплатного пользования, который синхронизируется на всех платформах, и множество корпоративных функций для команд и предприятий. Вы не ошибетесь, выбрав любую из этих услуг.Однако продукты, не получившие награды «Выбор редакции», все же имеют свои достоинства, и вы даже можете предпочесть одну из них.

Как надежно хранить пароли в базе данных

Безопасное хранение паролей — постоянная проблема.
Но каковы основные методы, как они работают и чем они стоят перед современными методами взлома паролей?
В этой статье мы объясняем основные принципы безопасного хранения (хеш, соль, перец, итерация) и подчеркиваем их важность для защиты от методов восстановления пароля.Наконец, мы поговорим о надежной хеш-функции для безопасного хранения.

Пароли в виде обычного текста

Допустим, злоумышленнику удается получить базу данных из веб-приложения и извлечь из нее пару <Логин, Пароль>.

titi
Логин Пароль
админ азерти
toto матрица
billy freepass
злоумышленник tesPwndPassword

В этом случае злоумышленник напрямую владеет паролями всех пользователей в виде простого текста.Даже Билли , у которого есть надежный пароль, не защищен.

Хранение паролей в виде обычного текста НЕ безопасное решение. Никто, включая администраторов веб-сайтов / баз данных, не должен иметь доступа к паролю пользователя в виде обычного текста.

Зашифрованные пароли

В некоторых случаях пароли сохраняются в базе данных после шифрования обратимым алгоритмом (rot13, шифрование по маске…). Поскольку алгоритм обратимый, он не соответствует правилам CNIL (Французская национальная комиссия по информатике и свободе).

Действительно, он рекомендует преобразовывать любой пароль с помощью необратимой криптографической функции. (источник на французском языке)

Поскольку злоумышленник знает свой пароль в простом текстовом / зашифрованном виде, он может угадать логику шифрования и попытаться отменить его. Если ему это удастся, все пароли будут извлечены так же быстро, как и в обычном тексте, независимо от сложности алгоритма.

Устаревшая хеш-функция

Во многих случаях пароли хранятся с устаревшими необратимыми криптографическими функциями (md5, sha1…).Например, сайт LinkedIn раньше хранил часть своих паролей с помощью sha1, а после утечки хэша в 2012 году для восстановления 90% паролей потребовалось всего три дня. (источник на французском языке)

Возьмем следующую базу данных (пароли такие же, как и ранее)

Войти Пароль (md5)
админ ab4f63f9ac65152575886860dde480a1
тото 21b72c0b7adc5c7b4a50ffcb90d92dd6
Билли 47ad898a379c3dad10b4812eba843601
тата 21b72c0b7adc5c7b4a50ffcb90d92dd6
titi 5b9a8069d33fe9812dc8310ebff0a315

Для уведомления:

  • В нашем случае все пароли (за исключением Billy’s ) являются очень часто используемыми паролями и входят в число наиболее часто используемых паролей (например, в списке 10-миллионных паролей-топ-1000.txt)
  • Также интересно отметить, что, поскольку хеши не имеют понятия случайности, toto и tata используют один и тот же хеш, так как у них один и тот же пароль.

Простой поиск хэша admin в Интернете позволяет напрямую получить их пароли.

За исключением пользователя Billy , у которого есть сложный пароль, можно получить все хэши напрямую с помощью запросов в поисковой системе.

Если хэши не найдены непосредственно в поисковой системе, у злоумышленника есть другие методы:

Грубая сила

Грубая сила — это итеративная проверка всех возможностей в соответствии с правилом генерации.Это похоже на то, как мы пытаемся открыть замок, перечисляя все возможные варианты от 0000 до 9999, пока замок не откроется.

Словарь

Атака по словарю — это атака, при которой вы пробуете все термины в списке слов. Можно представить себе несколько типов словарей:

  • Языковой словарь
  • Рейтинг наиболее часто используемых паролей
  • Список, адаптированный к заданному контексту

Если мы возьмем изображение замка, мы можем представить контекстуализированный список, подобный этому:

Мы знаем, что замок принадлежит «Туту», что он любит число 42 и что он родился 26 ноября 2001 года.Таким образом, мы можем предположить, что замок может содержать числа 42, 26, 11 и 01 и, таким образом, создать список в соответствии с этими критериями.

Примечание. Из-за злоупотребления языком атаку по словарю принято называть атакой грубой силы.

Радужный стол

Радужные таблицы — тема, заслуживающая отдельной статьи. Быстро, это структура данных, которая позволяет извлекать пароли с хорошим компромиссом между хранением и временем. Эта структура имеет список предварительно рассчитанных хешей и позволяет получить хеш за приемлемое время.
Многие радужные таблицы доступны в Интернете.

Тест для получения паролей Md5

Тестирование было выполнено на базе данных со списком rockyou, который содержит 14 341 564 уникальных пароля. Тест проводился на виртуальной машине, которая не оптимальна для взлома паролей.

Глядя на результаты, мы видим, что, за исключением пароля Билли , которого нет в списке rockyou, были найдены все три пароля, и программному обеспечению потребовалось всего 11 секунд для вычисления всех хэшей, присутствующих в rockyou.

Несоответствующая хэш-функция

После просмотра предыдущих плохих примеров возникает соблазн использовать безопасные необратимые функции, такие как sha256, sha512 или sha3. Однако цель этих функций — вычислить криптографическую сводку для проверки целостности файла, создания электронной подписи или оптимизации поиска и индексации. Как показывает следующий тест, они не подходят для хранения паролей, так как их можно быстро вычислить:

165bc06b69fa2bfcd893bfde86358394406c87c7f7abba891cd10ed9fac887c54d52ed14310ad675078033e9bca80084d345fb2836933e55c60f734982430e2b f8eded6c815c7522ab6197aa319d3ff4cddc2c7eeffa0f91c12f807a47f320324d2ce2fed1fb3cbfe19524fc5d9c105093f755d76a949efb212fb85c942
Войти Пароль (sha512)
админ df6b9fb15cfdbb7527be5a8a6e39f39e572c8ddb943fbc79a943438e9d3d85ebfc2ccf9e0eccd9346026c0b6876e0e01556fe56f135582c05fbdbb505d46755a
тото 11a25e88658143a853d280bf77f81ff3

aaba2db54a3aab0149b265276de419880762a473fc496388bcf70566d7cfd0346c34add40652f8f7b669caf9ec0
котелок fe9cb9b07725fd1cc32405119fedf9a020436630d3c1e0f632f73909e6ed9e731c149ac22743bbe9541881f35ceebf1d2782d469eb3b42968469d55a7a4
тата 11a25e88658143a853d280bf77f81ff3

aaba2db54a3aab0149b265276de419880762a473fc496388bcf70566d7cfd0346c34add40652f8f7b669caf9ec0
titi f767036acd951f5ddaf4eed5291c677db060055806dbcae69ca35d95847559dc8abce5011fd2b50833e760eca2d84d6daf1f078200f42b4fc61cb583957907

5905

Здесь снова, за исключением пользователя Billy , все пароли были извлечены, и для завершения работы hashcat потребовалось всего 16 секунд.

Улучшение SHA512

Даже если ранее было сказано, что функция SHA512 не была оптимизирована для хранения паролей, может быть интересно показать, как ее оптимизировать, чтобы понять интерес соответствующих хэш-функций для паролей.

Использование соли

Соль загрязняет необработанные данные (здесь пароль), позволяя создавать два разных хэша из одних и тех же данных. Соль уникальна для каждого пользователя и состоит из случайной последовательности.Это увеличивает вероятность уникальности пароля и, следовательно, вероятность того, что хэш никогда не использовался.
Например, с солью toto и tata не будут иметь одинаковый хэш в базе данных.

У соли множество преимуществ:

  1. Практически невозможно найти хеш прямо в Интернете, если он соленый. Однако соль должна быть достаточно длинной и случайной.
  2. Радужные таблицы не работают с солеными хешами. F7Kh9 *
Тити iQUemgw9M6Gw * & v6RG% MZ #

С помощью этой конфигурации, потребовалось 33 секунд для программного обеспечения hashcat для восстановления паролей.Ни один из хэшей в базе данных не индексируется поисковой системой.

Использование

Перец

Перец также является загрязнителем, но общим для всех пользователей. Он хранится не в базе данных, а в источниках приложения, в файле конфигурации или в переменной среды. Злоумышленник, «только что» разобравшийся в базе данных, должен угадать перец или получить его другим способом, чтобы иметь возможность эффективно взламывать хэши.

Увеличение количества итераций

Еще один способ повысить безопасность — повторить количество итераций хеширования.Увеличение количества итераций означает, что мы собираемся хешировать пароль несколько раз. Например, с sha512 у нас есть следующий цикл:

Пока итерация больше 0
hash = sha512 (hash)
Итерация по уменьшению

Для пользователя, который входит в систему, вычисление хэша будет дольше (это все равно займет миллисекунду). Но когда пользователь теряет несколько миллисекунд для входа в систему, злоумышленник теряет гораздо больше времени, потому что злоумышленник теряет несколько миллисекунд за попытку, а поскольку злоумышленник делает миллионы попыток, это приведет к дополнительным часам / дням для получения паролей. .

Объединение трех методов

Мы можем объединить три метода (соль, перец и количество итераций), чтобы получить один метод для более безопасного хранения паролей, чем простой хеш.

Функция вычисления_hash (пароль, соль, перец, итерация)
Входные данные
пароль - это пароль пользователя в виде обычного текста.
соль - уникальная соль для каждого пользователя, генерируется случайным образом.
перец является обычным перцем для всех пользователей и генерируется случайным образом.
итерация - это количество итераций

Вывод:
Хэш пароля
Хэш = sha512 (соль + пароль + перец)
Пока итерация больше 0
hash = sha512 (hash)
Итерация уменьшения

возвращает хэш

Затем, чтобы проверить пароли при входе в систему, просто вызовите ту же функцию с паролем, введенным пользователем, и сравните его с хешем в базе данных. Если оба идентичны, то вход в систему прошел успешно.

Использование специальных функций

Ранее нам удалось создать алгоритм, генерирующий хэши, более устойчивые к программам для взлома паролей.Однако функции уже существуют и со временем доказали свою эффективность. Поэтому бесполезно изобретать велосипед и рисковать ошибиться. Среди этих различных функций мы можем найти: Argon2, scrypt, PBKDF2, bcrypt…

У этих функций много сильных сторон:

  • Медленнее вычисление
  • Более интенсивное использование ОЗУ (что является слабым местом графических процессоров)
  • Определение количества итераций используемой криптографической функции. Как было замечено ранее, чем больше итераций, тем дороже будет расчет.

Bcrypt

bcrypt — это хэш-функция, созданная Нильсом Прово и Дэвидом Мазьером. Он основан на алгоритме шифрования Blowfish и был представлен на USENIX в 1999 году.

Среди этих положительных моментов в дополнение к упомянутым выше мы находим реализации на многих языках. Более того, поскольку этот алгоритм восходит к 1999 году, он показал свою надежность с течением времени, тогда как некоторые алгоритмы, такие как Argon2 (i), существуют только с 2015 года.

Хэш, вычисленный bcrypt, имеет предопределенную форму:

$ 2y $ 11 $ SXAXZyioy60hbnymeoJ9.ulscXwUFMhbvLaTxAt729tGusw.5AG4C

  1. Алгоритм: Это может принимать несколько версий в зависимости от версии bcrypt (2 доллара, 2 доллара, 2 доллара, 2 года и 2 миллиарда долларов)
  2. Стоимость: Количество итераций в мощность 2. Например, здесь итерация 11, алгоритм выполнит 2 11 итераций (2048 итераций).
  3. Соль: Вместо того, чтобы хранить соль в выделенном столбце, она сохраняется непосредственно в окончательном хэше.
  4. Хешированный пароль

Поскольку bcrypt хранит количество итераций, это делает его адаптивной функцией, поскольку количество итераций может быть увеличено и, следовательно, оно длиннее и длиннее. Это позволяет ему, несмотря на его возраст и развитие вычислительной мощности, оставаться устойчивым к атакам методом грубой силы. Следующий тест показывает, что hashcat требуется 23 дня, чтобы вычислить все хэши rockyou.

Интересно отметить, что пароли azerty и matrix , являющиеся очень слабыми паролями и присутствующие в верхней части списка, были найдены в течение короткого времени (2 часа), в течение которого программа работала в примере.

Заключение

В этой статье мы увидели полезность надежной хеш-функции и преимущество использования уже существующей функции. Более того, проблема хранения паролей имеет юридические проблемы в дополнение к вопросам безопасности.

Наконец, интересно отметить, что во всех случаях пароли azerty и matrix были найдены быстро, а пароль yep59f $ 4txwrr так и не был найден. В самом деле, поскольку этого нет ни в одном списке, единственный способ найти его — выполнить исчерпывающий перебор 13 символов, что является очень трудоемкой операцией (из-за большого количества возможных паролей).Это также показывает, насколько важно для веб-приложения использовать надежную политику паролей.

12 лучших менеджеров паролей для защиты ваших личных и общих учетных записей

Вы когда-нибудь задумывались, сколько учетных записей у вас есть? Все, от социальных сетей и учетных записей электронной почты до вашего банка и коммунальных услуг, требует имени пользователя и пароля. У среднего поколения миллениалов около 40 онлайн-аккаунтов, а у многих из нас их гораздо больше.

Самый простой вариант — повторно использовать один и тот же пароль на всех сайтах.Однако это настолько небезопасно, что исследование Javelin Research показало, что это сделает вас на 37% более уязвимыми для мошенничества с идентификационными данными.

Даже с уникальными паролями все, что требуется, — это взломать одну учетную запись, особенно учетную запись электронной почты или электронной коммерции, чтобы остальные ваши учетные записи стали уязвимыми, как обнаружил технологический журналист Мэт Хонан, когда вся его цифровая жизнь была взломана.

Хакеры сначала атаковали его учетную запись Amazon, затем учетную запись электронной почты Apple iCloud, а оттуда захватили его учетные записи Twitter, удалили его учетную запись Gmail и стерли все с его MacBook и iPhone.Он потерял всю свою цифровую информацию — и почти потерял все сделанные им фотографии своей дочери.

Вот почему у вас должен быть менеджер паролей. Надежные пароли не панацея — они не гарантируют, что вы никогда не столкнетесь с опытом Honan, — но они, по крайней мере, дадут вам гораздо больше шансов оставаться в безопасности в Интернете. Вот лучшие приложения для управления паролями для вас и вашей команды и советы о том, как извлечь из них максимальную пользу.


Шесть лучших менеджеров персональных паролей

31

Приложение

Значок:

Лучшее для:

Цена

Поддержка:

293

Управление паролями офлайн и онлайн

$ 49.99

Mac, iOS, Android, Windows

LastPass

Простой кроссплатформенный доступ через любой браузер

Бесплатно для одного устройства; Премиум 12 долларов в год

Интернет, Mac, iOS, Android, Windows

Dashlane

Мониторинг и изменение паролей одним щелчком мыши

Бесплатно для одного устройства; 39 долларов.99 в год для мобильных функций премиум-класса

Интернет, Mac, iOS, Android, Windows

oneSafe

Создание собственного зашифрованного хранилища

$ 19,99; 4,99 доллара США для мобильных устройств

Mac, iOS, Android, Windows

Связка ключей iCloud

Пользователи Apple для нескольких устройств

iOS 905

Splikity

Инструмент простого пароля

$ 4.99 / мес; $ 49,99 / год

iOS, Android, Chrome, Firefox, Safari

6 лучших менеджеров корпоративных паролей

9103

Приложение

Значок:

Лучшее для

Цена

Поддерживает:

Meldium

Максимальная безопасность паролей среди вашей команды

для пользователей Safari

в месяц от $ 24/50 , Chrome

Zoho Vault

Удаленные команды с общими учетными записями

от 1 доллара в месяц на пользователя

Chrome, Firefox

Пароли для самостоятельной работы за единовременную плату 9 0003

$ 90

Самостоятельное веб-приложение

Vaultier

ИТ-команды и крупномасштабное управление паролями

бесплатно для самостоятельного размещения

; 99 долларов в месяц за размещение в облаке

Web, Ubuntu

CommonKey

Доступное управление паролями команды

Бесплатно для команд из 3 человек; 2 доллара США за пользователя в год

Интернет, Chrome

Пассворк

Создание собственного инструмента из установки с открытым исходным кодом

долларов США в год за пользователя

03 Интернет, Android, iOS, Chrome, Windows


Почему мне следует использовать диспетчер паролей?

Пример использования диспетчера паролей для входа в Workflowy.

Предоставление сайту электронной коммерции возможности хранить вашу кредитную карту в файле для оплаты в один клик — это удобно, но при этом ваша личная информация выходит из-под вашего контроля. То же самое и с браузерами, которые автоматически заполняют пароли и формы — иногда вы даже не знаете, что сохраняется. А если ваш ноутбук украден, все, что сохранил ваш браузер, станет открытой целью.

Менеджеры паролей — это приложения, предназначенные для повышения безопасности ваших учетных записей. и упрощают запоминание уникальных паролей для каждого сайта.Для этого нужны хорошие менеджеры паролей:

  • Храните все свои комбинации имени пользователя и пароля в одном месте

  • Автоматически генерируйте безопасные пароли для новых учетных записей

  • Зашифруйте ваши конфиденциальные данные в базе данных, которая заблокирована единый мастер-пароль или биометрические данные

  • Быстро введите информацию об учетной записи с интеграцией с браузером

  • Синхронизируйте свои пароли на разных платформах, чтобы вы могли получить к ним доступ где угодно

Когда вы настраиваете менеджер паролей, вы создаете один мастер пароль, который используется для шифрования вашей базы паролей.Это должен быть длинный, надежный, трудный для угадывания пароль, который только когда-либо использовался с вашим менеджером паролей. Это последний пароль, который вам нужно запомнить. Любой другой пароль вы можете смело забыть, поскольку он надежно хранится в вашем диспетчере паролей.

Затем вы добавите каждую из своих сетевых учетных записей в этот менеджер паролей и будете использовать его инструменты для создания более безопасных случайных паролей при каждой регистрации новой учетной записи. Когда вам нужно войти в онлайн-учетную запись, вы просто введете мастер-пароль своего менеджера паролей, чтобы разблокировать другие пароли.

И без необходимости запоминать каждый отдельный пароль, вы можете свободно использовать чрезвычайно длинные случайные пароли для каждой учетной записи — пароли, которые было бы невероятно сложно запомнить, но которые были бы намного безопаснее от атак грубой силы. Больше не нужно использовать свою фамилию и год рождения в качестве паролей — с менеджером паролей AhPu3htCUy $ ma6 [dhTn3 — идеальный пароль.

Существует два основных типа менеджеров паролей: для личного пользования и для бизнеса.Первые отлично подходят для того, чтобы сохранять свои собственные пароли и, возможно, делиться ими со своей второй половинкой, а вторые предназначены для обмена паролями в команде, чтобы у всех был доступ к одним и тем же учетным записям. Вот лучшие варианты.

6 лучших менеджеров персональных паролей

1Password (Mac, iOS, Android, Windows)

Подходит для: бесшовного управления паролями в автономном и онлайн-режиме

1Password — одно из самых популярных приложений для паролей, работающее как онлайн, так и не в сети.Он позволяет синхронизировать пароли между вашими устройствами через Wi-Fi, iCloud или Dropbox.

Это означает, что вы полностью контролируете синхронизацию паролей. Например, вы можете сохранить свои пароли на своем Mac дома, синхронизировать их с Dropbox, а затем получить доступ к этим паролям со своего офисного ПК, телефона или просмотреть их в Интернете из Dropbox. Или, для дополнительной безопасности, вы можете просто синхронизироваться со своим телефоном через Wi-Fi, когда вы находитесь в офисе, чтобы ваши пароли никогда не сохранялись в Интернете.

Затем вы можете отсортировать свои учетные записи по «хранилищам», чтобы разделить служебные и личные учетные данные.Вы можете поделиться хранилищем через Dropbox, возможно, со значимым другом или коллегой, чтобы убедиться, что вы используете только те пароли, которые предназначены для совместного использования. А благодаря функции «сторожевой башни» 1Password будет постоянно проверять наличие взломанных и взломанных сайтов, поэтому вы будете знать, когда вам следует сменить пароли.

Мобильное приложение 1Password тоже является сильной стороной. Вы можете управлять паролями на своем телефоне, входить в онлайн-учетные записи, использовать Touch ID вашего iPhone для разблокировки базы данных 1Password и вводить пароли из Safari.Затем с помощью ряда поддерживаемых приложений, таких как Slack и Trello, вы можете нажать кнопку 1Password в их приложениях, чтобы войти в свои учетные записи 1Password всего за пару нажатий.

Кроме того, 1Password также позволяет сохранять личную информацию, включая адреса доставки, копии паспортов, информацию о кредитной карте, водительские права и многое другое. Или вы можете использовать его защищенные заметки, чтобы сохранять зашифрованные заметки обо всем, что вы хотите сохранить в безопасности.

Стоимость 1Password : 29,99 долларов США

Ознакомьтесь с руководством 1Password на перенесите свои пароли на 1Password

LastPass (Интернет, Mac, iOS, Android, Windows)

Подходит для: Простого межплатформенного доступа через любой браузер

LastPass — это менеджер паролей, который работает везде .Он включает расширение браузера для Firefox, Chrome, Safari и Opera, настольные приложения для Windows, Mac и Linux, а также мобильные приложения для iOS, Android, Windows Phone, Blackberry и даже Firefox OS. И это бесплатно при использовании только на одном устройстве, что делает его очень доступным вариантом.

Если вы выберете премиум-версию LastPass, вы сможете синхронизировать пароли между любым количеством устройств. Мобильное приложение позволяет скопировать любой пароль и вставить его в приложение или веб-браузер. Если вы являетесь пользователем iPhone, вы можете использовать Touch ID для доступа к хранилищу паролей, а не мастер-пароль.

LastPass также может служить в качестве полной резервной копии для вашей жизни, защищая конфиденциальную информацию, такую ​​как номера кредитных карт и банковских счетов, чтобы вы могли получить к ним доступ из любого места. И вы можете делиться определенными папками с паролями, как простой способ управлять групповыми учетными записями.

В более крупном масштабе LastPass Enterprise позволяет владельцам бизнеса управлять паролями в рамках всей компании через расширение LastPass для веб-браузера. Вы даже можете увидеть общее состояние паролей каждого члена команды, чтобы выявить слабые места и внести коррективы.Это хороший вариант как для цифровых кочевников, так и для компаний из списка Fortune 500.

LastPass Pricing : Бесплатно для одного устройства; Премиум 12 долларов в год

Ознакомьтесь с руководством LastPass по адресу , перенесите свои пароли на LastPass

Dashlane (Интернет, Mac, iOS, Android, Windows)

Подходит для: мониторинга и изменения паролей одним щелчком мыши

Dashlane хочет, чтобы ваши пароли были свежими. Его красиво оформленная панель безопасности сканирует все ваши учетные записи на наличие слабых, старых или повторно используемых паролей и предлагает вам периодически их менять.Кроме того, Dashlane предупредит вас, если сайт, который вы используете, взломан, чтобы вы могли изменить свой пароль как можно скорее.

Смена паролей также безболезненна: с Dashlane вы можете легко сменить несколько паролей одновременно с помощью смены паролей в один клик на нескольких поддерживаемых веб-сайтах.

Перенести на Dashlane с другого менеджера совсем несложно. Настольное приложение будет сканировать ваш компьютер на предмет паролей, сохраненных в других местах, и импортировать пароли из 1Password, LastPass, OSX Keychain, Firefox, Chrome и Internet Explorer в течение нескольких минут.

Помимо защиты ваших кредитных карт и банковских счетов, цифровой кошелек Dashlane также будет сохранять ваши онлайн-чеки, когда вы делаете покупки, для простой, детализированной истории всех ваших онлайн-покупок. Это менеджер паролей, который упрощает работу с важными данными.

Стоимость Dashlane: Бесплатно для одного устройства; 39,99 долларов США в год за премиум-функции для мобильных устройств

Ознакомьтесь с руководством Dashlane по адресу , перенесите свои пароли в Dashlane

oneSafe (Mac, iOS, Android, Windows)

Подходит для: создания собственного зашифрованного хранилища

Построено для делать больше, чем просто управлять паролями, oneSafe может фактически выступать в качестве зашифрованного хранилища для файлов практически любого типа.Вы можете упорядочивать файлы по папкам на своем компьютере, защищать их уникальным паролем и создавать резервные копии зашифрованных данных на любом устройстве хранения.

oneSafe может хранить в безопасности все, что вы хотите: фотографии и видео с вашего телефона, лицевую и оборотную стороны ваших кредитных карт, пароли Wi-Fi и конфигурации сети, страховые профили, секретные контакты и даже комбинацию для шкафчика вашего спортзала. Для дополнительной безопасности вы даже можете настроить «Сейф-приманку» с поддельными данными для входа в систему, чтобы обмануть потенциальных воров.

Шаблоны используются для ввода кредитных карт, веб-профилей и карт лояльности, что упрощает их чтение. Кроме того, поиск oneSafe упрощает поиск сохраненных файлов.

oneSafe также предоставляет уникальные возможности для входа в хранилище. Выберите один из шаблонов прокрутки (как в телефоне Android), обычного буквенно-цифрового пароля, 4-значного пин-кода, Touch ID или совершенно нового подхода под названием «Tri-Pin» со специальной клавиатурой, которая использует 4-символьную комбинацию цветов, форм и числа.Например, типичный код доступа Tri-Pin включает «Пурпурный, Квадрат, Девять, Треугольник». Клавиатура каждый раз качается сама по себе, поэтому посторонние глаза не могут уловить узоры.

И, конечно, кроссплатформенная поддержка. Вы можете синхронизировать все свои секретные файлы с мобильным устройством с помощью iCloud или Dropbox и загружать файлы из Dropbox или Google Drive в свое безопасное хранилище.

oneSafe Цена: 19,99 долларов США за настольный компьютер; 4,99 долл. США для мобильных устройств

Ознакомьтесь с руководством oneSafe по адресу перенесите свои пароли на oneSafe

Связка ключей iCloud (iOS, Mac)

Подходит для: пользователей Apple с несколькими устройствами

Давние пользователи Mac должны быть хорошо знакомы с связкой ключей .Он встроен в OS X на каждом Mac и уже много лет является менеджером паролей Apple по умолчанию. Фактически, если вы вошли в систему на своем Mac прямо сейчас, вы также вошли в свою учетную запись Связки ключей.

Связка ключей iCloud встроена во все последние версии iOS и OS X и обеспечивает синхронизацию защищенных данных между вашими устройствами Apple через iCloud. Все пароли Wi-Fi, настольных приложений и веб-сайтов, которые вы разрешаете Safari сохранять, автоматически сохраняются в Связке ключей iCloud.

Keychain не просто управляет паролями в Интернете: это полная база данных защищенной информации вашего Mac.Надежные сети Wi-Fi, доступ к FTP-серверу, информация об Apple TV и даже зашифрованные образы дисков могут храниться в связке ключей.

Связка ключей легко переносится со старых устройств на новые или автоматически синхронизируется с iCloud. А его глубокая интеграция с вашим Mac означает, что он уже хранит пароли, которые вы иначе могли бы забыть.

Связку ключей на iOS можно получить в настройках через Safari. Оттуда вы можете увидеть пароли и информацию о кредитной карте, которые Safari автоматически заполняет для вас.Все это защищено 4-значным PIN-кодом iPhone и Touch ID, который предотвращает доступ посторонних к вашему телефону. Настольное приложение «Связка ключей» позволяет просматривать все сохраненные пароли и объединять их в группы.

Связка ключей iCloud создана специально для работы в экосистеме Apple. Если вы предпочитаете Safari для просмотра веб-страниц на Mac, iPhone и iPad, то этот опыт будет для вас легким. Но будьте осторожны: другие мобильные браузеры, такие как Chrome и Firefox, не поддерживаются.

Связка ключей iCloud Цена: Бесплатно

Связка ключей iCloud может экспортировать только в формат Связки ключей, но есть сторонний инструмент для экспорта паролей Связки ключей в файл CSV

Splikity (iOS, Android, Chrome, Firefox, Safari)

Подходит для: Простого инструмента для паролей

Splikity — идеальный пользователь, впервые использующий менеджер паролей.Это быстрый и простой способ управлять паролями в Интернете и на мобильных устройствах.

Онлайн-панель управления Splikity позволяет легко добавлять, удалять и классифицировать ваши пароли. Затем его расширения браузера в Chrome, Firefox и Safari автоматически заполняют и автосохраняют пароли для ваших любимых веб-сайтов.

Загрузите мобильное приложение Splikity и войдите в систему, чтобы увидеть, как все ваши пароли и учетные записи Splikity синхронизированы и готовы к работе. Вы можете посещать сайты, используя встроенный в приложение браузер, и Splikity будет автоматически заполнять и автоматически сохранять ваши пароли во время просмотра.Кроме того, Splikity позволяет вам поделиться логином с другом по электронной почте — без фактического раскрытия вашего пароля.

Splikity выполняет то, что обещает: простой и интуитивно понятный менеджер, использующий только пароль, который сосредоточен на том, чтобы упростить обеспечение безопасности ваших учетных записей.

Splikity Цена: 4,99 доллара США в месяц; 49,99 долл. США в год


6 лучших корпоративных менеджеров паролей

Каждому нужен персональный менеджер паролей для управления своими учетными записями и личной информацией, но, вероятно, вашей команде также понадобится инструмент паролей.Этот, однако, был бы разработан для совместного использования учетных записей — способа позволить каждому члену вашей команды входить в учетную запись Twitter вашей компании или в конструктор форм, когда это необходимо, — или для того, чтобы убедиться, что вся ваша команда постоянно использует безопасные пароли.

Вы можете использовать LastPass Enterprise или инструменты общего доступа Dashlane и 1Password, чтобы делиться паролями между членами вашей команды. Или, если вам нужен менеджер паролей, разработанный специально для бизнеса, это лучшие приложения для работы. Они позволят вам обмениваться паролями для всей группы, предоставить временный доступ подрядчику, контролировать общую безопасность паролей вашей команды и многое другое.

Meldium (Firefox, Safari, Chrome)

Подходит для: максимальной безопасности паролей в вашей команде

Meldium — это сочетание диспетчера паролей и средства запуска веб-приложений, идеально подходящее для совместного использования учетных записей в вашей компании.

Главный экран вашей организации называется Launchpad; это список ваших общих корпоративных аккаунтов в одном удобном интерфейсе. Щелкните любое из общих приложений, и Meldium автоматически заполнит учетные данные на другой вкладке браузера.Это быстрый способ для любого члена вашей команды открыть любое необходимое приложение.

Любой член команды с учетной записью Meldium и расширением браузера может получить доступ к общим учетным записям компании, которые организованы по группам. Администраторы могут приглашать новых членов команды в любую группу по электронной почте или вручную.

Хотите открыть доступ в личный кабинет? Нет проблем: с помощью Meldium вы можете зарегистрировать все индивидуальные учетные записи своей команды из более чем 2300 поддерживаемых приложений и использовать панель управления для управления паролями и отслеживания активности.

Meldium также отслеживает использование паролей в вашей организации и предлагает более эффективные методы обеспечения безопасности в своем «Отчете о паролях». Вы можете использовать отчет, чтобы оценить надежность всех общих паролей для всей вашей команды. Старые или повторяющиеся пароли помечаются как «опасные», и Meldium проведет вас через процесс обновления.

Безопасность вашей организации так же надежна, как и самый надежный пароль. Meldium предоставляет инструменты для устранения пробелов в общей надежности пароля вашей команды.

Meldium Цена: 24 доллара в месяц для 20 пользователей; 67 долларов в месяц на 100 пользователей; 169 долларов США в месяц для 250 пользователей

Ознакомьтесь с руководством Meldium по адресу перенесите свои пароли в Meldium

Zoho Vault (Chrome, Firefox)

Подходит для: удаленных команд с общими учетными записями

Zoho Vault помогает вашей команде делиться личная информация и пароли быстро и надежно. Членам вашей команды просто нужно загрузить расширение для браузера Zoho и посмотреть, как оно автоматически заполняет пароли из общего хранилища вашей команды.

Вы можете легко импортировать все свои пароли из другого менеджера паролей с помощью файла .csv и сразу же начать делиться ими со своей командой. Персональные менеджеры паролей, такие как LastPass и 1Password, предоставляют инструменты экспорта только для этой цели — или у вас уже может быть электронная таблица паролей групп, которую вы можете загрузить вместо этого.

Инструменты отчетности Zoho позволяют вам видеть обзор использования паролей и уровня безопасности вашей команды, что дает вам представление о том, кто и какой логин использует. Пакет корпоративного уровня даже будет отправлять вам предупреждения при изменении пароля или доступе, если вы хотите.

Благодаря быстрому процессу подключения и полному набору инструментов Zoho помогает вашей команде обмениваться паролями, одновременно отслеживая использование каждым пользователем.

Zoho Vault Цена: Бесплатно для личного пользования; 1 доллар в месяц на пользователя для стандартных функций; 4 доллара в месяц на пользователя для групп и отчетов; 7 долларов в месяц на пользователя за интеграцию с Active Directory

Ознакомьтесь с руководством Zoho по адресу , перенесите свои пароли в Zoho Vault

SimpleSafe (веб-приложение с самостоятельным размещением)

Подходит для: паролей для самостоятельной работы группы для одного человека. плата за время

ИТ-специалисты с выделенными серверами оценят SimpleSafe как настраиваемую отправную точку для их собственного решения с внутренним паролем.

Процесс адаптации начинается с настройки собственных полей базы данных для паролей, которыми вы хотите управлять. Группы используются для организации паролей одного формата, и вы можете определить имена полей базы данных, которые вам нужны, при настройке SimpleSafe. Это упрощает сбор сведений о любой личной информации, которую необходимо отслеживать вашей команде.

Панель управления SimpleSafe работает так же, как и любой другой менеджер паролей, поэтому ваша команда может легко создавать группы и сохранять пароли самостоятельно.Расширений браузера нет, поэтому вам придется копировать и вставлять данные для входа из веб-приложения всякий раз, когда вам нужно войти в систему.

SimpleSafe Pricing: $ 90

Vaultier (Web, Ubuntu)

Подходит для: ИТ-команд и крупномасштабного управления паролями

Vaultier — еще одно приложение для командного пароля, которое можно запустить на собственном сервере или в качестве Более простой вариант, вы можете выбрать его облачную службу. Или вы можете легко разместить его в готовом контейнере Docker с полной установкой Vaultier.

Vaultier полагается на личные ключи шифрования для защиты паролей, даже если они защищают их вместе для всей вашей команды. Пароли организованы по «хранилищам», затем по «карточкам» для учетных записей со своими «секретами», содержащими пароли и имена учетных записей. Эти группы также подходят для разрешений: каждый пользователь может иметь доступ ко всему хранилищу или только к одной карте в хранилище. Администраторы могут отозвать или назначить уровни доступа любому пользователю или группе.

Это командный менеджер паролей, ориентированный на безопасность, где каждый член команды будет чувствовать себя в безопасности, используя его для своих личных учетных записей, при этом сохраняя безопасный общий доступ к групповым учетным записям.

Vaultier Цена: Бесплатно для самостоятельного размещения; 99 долларов США в месяц за размещение в облаке

CommonKey (Интернет, Chrome)

Подходит для: Доступного управления паролями команды

CommonKey делает управление паролями бизнеса доступным и практичным для малых и больших команд. В качестве облачного решения CommonKey работает через расширения браузера для Chrome, Firefox и Safari.

Папки паролей групп с общим доступом помогают организовать различные группы в вашей компании, и вы можете пригласить кого угодно присоединиться к этим группам и при необходимости отозвать доступ.Подключить членов вашей команды к CommonKey так же просто, как отправить электронное письмо со ссылкой для приглашения.

Он также отлично работает как индивидуальный менеджер паролей. Члены команды могут добавлять свои личные учетные записи или получать доступ к паролям вашей компании через тот же интерфейс. Личные и служебные пароли разделены надлежащим образом, поэтому пароли не передаются случайно.

Расширение браузера CommonKey легко сохраняет ваши пароли на панели управления CommonKey, а пароли автоматически сохраняются и заполняются автоматически, когда вы и ваша команда просматриваете веб-страницы.Есть даже генератор паролей при регистрации новых онлайн-аккаунтов.

CommonKey Цена: Бесплатно для команд из 3 человек; 2 доллара в год на пользователя после этого

Passwork (Интернет, Android, iOS, Chrome, Windows)

Подходит для: создания настраиваемого инструмента из установки с открытым исходным кодом

ИТ-команды, которые настаивают на настраиваемых сборках, оценят Пассворк. платформа с открытым исходным кодом и полностью прозрачный алгоритм шифрования. Вы можете установить Passwork на свои собственные серверы или использовать их облачное приложение и получить доступ к полному набору функций.

Passwork использует уникальный подход к разрешениям: он позволяет вам привлекать временных членов команды, отправляя зашифрованную ссылку с временным одноразовым паролем. Администраторы могут управлять тем, кто имеет доступ к каким паролям, и даже просматривать историю использования паролей на панели управления.

Пароли сгруппированы по группам, а затем по папкам; группы лучше всего подходят для больших команд, а папки могут разделять учетные записи по функциям. А входить в учетные записи так же просто, как с персональным менеджером паролей, с расширением браузера Passwork.

Стоимость Passwork: 9 долларов США в год на пользователя для Интернета


Приложения с альтернативным паролем

Все еще не нашли то, что вам нужно? Вот несколько других популярных приложений для управления паролями, которые могут лучше соответствовать вашим потребностям.

3000

00

00

00 9103 9103

00

00 оригинальные бесплатные менеджеры паролей с открытым исходным кодом.Сообщество увлеченных пользователей Keepass создало порты и расширения для поддержки практически любых устройств и операционных систем. Он имеет почти все функции других менеджеров персональных паролей по низкой цене бесплатно.

Приложение

Значок:

Подходит для:

Цена

Поддерживает:

Бесплатно

Windows, Mac, iOS, Android, Linux

Keeper

Инновационный подход Keeper к двухфакторной аутентификации определяет присутствие других ваших личных устройств подтвердите свою личность вместо использования случайных чисел.

9,99 долларов США в год на устройство

Mac, Windows, Linux, iOS, Android

Мастер-пароль

Пароли не хранятся в главном пароле за зашифрованным хранилищем , и нет синхронизации между устройствами. Вместо этого алгоритм объединяет ваше имя пользователя, URL-адрес веб-сайта и ваш главный пароль для генерации пароля для каждого сайта. Мобильное приложение и настольное приложение синхронизируются до тех пор, пока ваш главный пароль не меняется.

Бесплатно

Mac, iOS, Linux, Android, Web

mSecure

Используйте шаблоны для ввода любого типа данных и сохранения их в хранилище MSecure Синхронизируйте пароли через Dropbox или iCloud для доступа на любом устройстве. Функция самоуничтожения удаляет ваши данные, когда MSecure обнаруживает слишком много попыток входа в систему.

9,99 долл. США мобильный; $ 19,99 для настольных ПК

iOS, Mac, Windows, Android

SplashID

SpashID создает резервную копию ваших паролей, поэтому вы можете вернуться назад во времени и увидеть любой из своих предыдущих паролей.Вы также сможете обмениваться паролями со всей командой и откатывать изменения, если кто-то случайно изменит пароль.

Бесплатно для одного устройства; 19,99 долл. США в год Pro

iOS, Android, Chrome, Mac, Windows

RoboForm

Измените домашнюю страницу вашего браузера на страницу перехода с паролем RoboForm и легко войдите в систему с любым паролем защищенные сайты. Вы также можете войти на несколько сайтов одним щелчком мыши.

19,95 долларов в год, плюс 29,95 долларов за настольное приложение

iOS, Mac, Windows, Android, Linux

Sticky Password

9000G2, от команды Sticky Password предоставляет вам самые продвинутые функции менеджера паролей бесплатно или помогает ламантинам с платной версией. Он позволяет выполнять синхронизацию через Wi-Fi и включает портативную версию USB.

Бесплатно; 19,95 долларов США в год или 99 долларов США за весь срок службы

iOS, Mac, Windows, Android


Для дополнительной безопасности используйте двухфакторную аутентификацию

Иногда пароля недостаточно.Даже с самым безопасным паролем в мире, если кто-то захочет взломать ваши учетные записи, он, вероятно, найдет способ.

Двухфакторная безопасность — это способ заявить о том, что вместо одного пароля требуется вводить как пароль, так и случайно сгенерированный код каждый раз, когда вы входите в учетную запись. Корпоративное программное обеспечение может использовать генератор ключей, такой как устройство RSA SecurID, в то время как другое бизнес-программное обеспечение использует коды аутентификации из таких приложений, как Google Authenticator или Authy. Или многие приложения, включая социальные сети, используют SMS-сообщения для двухфакторной аутентификации; когда вы войдете в систему, вы также получите SMS на свой телефон с уникальным кодом для входа.

Каждый из этих вариантов потребует от хакера ваших паролей и вашего двухфакторного устройства или приложения для входа в свои учетные записи, что значительно снижает вероятность того, что вас когда-либо взломают. Это создаст больше проблем — вам понадобится приложение для паролей и потребуется настроить двухфакторную аутентификацию, — но это сделает ваши учетные записи намного более безопасными, особенно ваши конфиденциальные учетные записи, такие как электронная почта и банковские услуги.


Начните полагаться на свой менеджер паролей

Выбираете ли вы персональный менеджер паролей или устанавливаете новый корпоративный инструмент паролей для всей вашей команды, самое важное — полагаться на него .Если вы все еще используете простые пароли, которые можете запомнить для своих важных учетных записей, вы по-прежнему подвержены взлому и потеряете свою цифровую жизнь.

Если у вас есть другой любимый менеджер паролей или советы по безопасности, которыми вы можете поделиться, оставьте комментарий ниже.

Пароль магазина — обзор

Хранение паролей

Сводка: Пароли, хранящиеся в базах данных, представляют опасность для вашего приложения и других приложений
Угрозы: Взлом аккаунта, потенциальная ответственность

В феврале 2001 года RealNames, компания, которая заменила сложные веб-адреса простыми ключевыми словами, объявила, что хакеры получили доступ к базе данных клиентов, раскрывая информацию о кредитных картах и ​​пароли всех своих клиентов.Месяц спустя хостинговая компания ADDR.com объявила, что хакер украл личную информацию и пароли около 46 000 клиентов. С тех пор месяц за месяцем мы слышим похожие истории о взломанных серверах и краже паролей.

Риск подобных атак можно значительно снизить с помощью одной простой стратегии: не храните пароли в своей базе данных.

Есть три способа сохранить пароли для последующего использования при аутентификации пользователей:

Вы можете сохранить сам пароль в виде открытого текста.

Вы можете зашифровать пароль и сохранить зашифрованный текст.

Вы можете создать односторонний хэш пароля и сохранить этот хеш в базе данных.

Очевидно, что первое решение ужасно, а второе не намного лучше: хотя пароль зашифрован, это шифрование основано на секретном ключе. Если веб-приложение должно выполнять это шифрование и дешифрование, оно должно каким-то образом хранить этот секретный ключ.Если хакер получает контроль над приложением и приложение может расшифровывать пароли, хакер также может расшифровать любые пароли.

WARNING

Хэши называются односторонними функциями , потому что вы можете получить хэш из пароля, но вы не можете изменить алгоритм для создания исходного пароля из хеша. Тем не менее, хэши не полностью защищены от атак, и их следует тщательно защищать. Если злоумышленник может получить хеш-код, он или она может просмотреть большой список слов, прогнать каждое через один и тот же алгоритм хеширования и сравнить два хеш-значения, пока не будет найдено совпадение.Этот метод атаки стал популярным в таких взломщиках паролей, как John the Ripper и l0pht crack.

Одна из важных причин, по которой фактические пароли не хранятся, заключается в том, что если вы это сделаете, никто в вашей организации никогда не получит доступа к паролям пользователей. Это важно, потому что пользователи нередко повторно используют пароли для многих различных систем. Если некоторые люди в вашей организации имеют доступ к паролям в вашем приложении, это может означать, что эти люди также имеют доступ к учетным записям пользователей в других веб-системах.

Если пароли хранятся в базе данных, злоумышленник потенциально может получить доступ ко всем учетным записям пользователей, даже если пароли зашифрованы. Это подвергает риску всех пользователей, особенно если они, как и многие пользователи, используют те же пароли в других системах. Некоторые хакеры собирают большие списки комбинаций имени пользователя и пароля для использования в атаках методом грубой силы на другие системы.

Определите алгоритм хеширования, который лучше всего подходит для вашей организации. Поскольку хэши по-прежнему уязвимы для атак методом перебора, лучшим решением обычно не является алгоритм с наилучшей производительностью.В этом случае более медленный алгоритм означает, что процесс перебора займет больше времени. Разработайте систему так, чтобы вам никогда не приходилось восстанавливать пароль. Пароли надо только устанавливать или сбрасывать.

Однако в редких случаях приложение должно сохранять пароль для последующего использования. Например, однажды я проверял приложение, которое должно было проходить аутентификацию у стороннего поставщика данных. Поскольку поставщик данных требовал аутентификации, приложение должно было хранить пароль с использованием обратимого шифрования.Поскольку приложению требовался извлекаемый пароль, компании пришлось компенсировать это, приняв дополнительные меры для защиты ключа шифрования, что было сделано путем размещения кода шифрования и дешифрования в компоненте COM.

Одним из недостатков использования обратимого шифрования в веб-приложении является то, что в реальном мире ключ шифрования меняется редко. Проблема в том, что если вы когда-либо захотите изменить ключ шифрования, вы должны будете расшифровать весь зашифрованный текст в базе данных, а затем повторно зашифровать его с помощью нового ключа — то, что некоторые веб-приложения или приложения баз данных предназначены для обработки.Если вы планируете использовать обратимое шифрование, запланируйте также механизм для регулярного изменения ключа шифрования и обновления всех зашифрованных данных.

WARNING

Если вы планируете использовать обратимое шифрование, всегда используйте надежный алгоритм шифрования, такой как DES, Blowfish или какой-либо другой алгоритм, который доказал свою безопасность. Никогда не используйте XOR, ROT-13 или самодельный код шифрования; они обычно не обеспечивают достаточной защиты и их легче сломать, чем люди думают. Слабые алгоритмы шифрования примерно эквивалентны крошечным замкам, которые идут в комплекте с большей частью багажа, и вряд ли могут отпугнуть даже самых случайных воров.

Используйте односторонние хэш-функции и сохраните хэш в базе данных. Когда пользователь входит в систему, запустите хеш-функцию для пароля, который вводит пользователь, и сравните этот хеш-код с паролем в базе данных. Одним из преимуществ хэш-функций является то, что они состоят только из цифр и букв, что позволяет пользователям вводить любой символ клавиатуры в качестве пароля без необходимости принимать дополнительные меры для обработки специальных символов.

СОВЕТ

Если у вас есть существующая система, которая хранит пароли в виде открытого текста, процесс перехода на хэши относительно безболезнен.Для этого создайте новое хэш-поле рядом с вашим существующим полем пароля. Затем хешируйте все существующие пароли и сохраняйте их в новом поле хеширования. Затем добавьте хеш-функцию к вашему коду аутентификации и к коду установки пароля. Наконец, вместо того, чтобы сохранять и проверять поле пароля, обновите свой код, чтобы сначала хешировать пароль, а затем сохраните и проверьте, используя поле хеширования.

См. Главу 4 «Шифрование личных данных» для получения дополнительной информации об использовании функций шифрования, предоставляемых.NET Framework.

Политики безопасности

Никогда не храните пароль в виде открытого текста или с использованием обратимого шифрования.

Используйте сильные алгоритмы хеширования, такие как MD5, SHA-1, SHA256 или SHA512.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *