Экспертное сообщество по ремонту ванных комнат

Почему я не пользуюсь менеджерами паролей. Обзор кросс-платформенных менеджеров паролей Расширение менеджер паролей

Менеджер паролей – это естественное решение проблем, связанных с использованием паролей для различных сервисов и приложений. Хороший менеджер паролей плавно интегрируется с веб-браузером, облегчая создание новых учетных записей в веб-приложениях, вход на веб-страницах, а также покупки в интернете . Какое приложение выбрать ?

На протяжении многих лет заметно изменилась функция программ для сбора и хранения паролей на компьютере. Классические менеджеры паролей были заменены инструментами, которые синхронизируют информацию об учетных данных между всеми устройствами пользователя. Эти программы постоянно развиваются, а новые функции могут значительно повысить комфорт при использовании.

Хранение конфиденциальных данных в облаке по-прежнему вызывает в пользователях ряд опасений, касающихся безопасности. Разработчики менеджеров паролей пытаются нас убедить, что базы данных шифруется и расшифровываются только на уровне устройства, а пароль и ключи шифрования никогда не передаются на серверы. Шифрование данных осуществляется по алгоритму AES-256 , который сегодня считается самым безопасным. В результате ни один поставщик, компания или агентство правительства США не имеют доступа к данным, а также не будут его иметь в будущем. По крайней мере, в теории. С другой стороны, если сам забудешь главный пароль, сохраненные данные будут безвозвратно потеряны.

В некоторых программах доступ в хранилище паролей может быть защищен путём дополнительной аутентификации. В ходе регистрации учетной записи, пользователь вводит стандартные имя и пароль, а также представляет дополнительное свидетельство личности. Это так называемая двухфакторная аутентификация .

Эксперты сходятся во мнении, что хорошая защита состоит из двух частей: того, что Вы знаете сами, то есть пароль, и того, что можно проверить через приложения в смартфоне.

Популярные программы также поддерживают механизмы биометрии в области доступа к приложениям. Неплохо работает поддержка считывателей отпечатков пальцев в Android-устройствах, нередко поддерживаются также функции Touch ID и Face ID в устройствах Apple.

Подавляющее большинство менеджеров паролей – это коммерческие проекты. Некоторые, правда, могут быть использованы бесплатно, но главным ограничением таких версий программы является поддержка только одного устройства пользователя. Другими словами, без оформления платной подписки, вы не сможете синхронизировать свои пароли на других устройствах.

Несмотря на это, если количество сервисов и онлайн услуг, которыми Вы пользуетесь исчисляется десятками, использование менеджера паролей полностью себя оправдывает.

Какой менеджер паролей выбрать

1Password

1Password позволяет создать учетную запись и хранить данные на серверах, расположенных в Канаде или на территории Европейского Союза. Программа хранит данные для входа в систему, номера кредитных карт и данные банковского счета. Также интегрируется с популярными приложениями для iOS, что позволяет получить удобный доступ к программам и веб-сайтам.

Приложение не поддерживает механизма двухфакторной аутентификации в его классическом понимании, но реализует эту идею немного другим способом. Программа создает безопасный ключ (Secret Key) , который играет важную роль в шифровании данных на устройстве. Этот ключ используется в сочетании с основным паролем для защиты базы данных пользователя. С технической стороны это уникальный 128-битный идентификатор, генерируемый локально, который никогда не покидает устройства пользователя.

1Password оснащен ещё одной интересной функцией – Travel Mode. Каждый раз, когда Вы пересекаете границы государств, все важные данные из хранилища будут удалены, кроме тех, что явно обозначены как safe for travel .

1Password является первым менеджером, который использует новый стандарт, обеспечивающий прямой доступ к системному генератору случайных чисел. Этот генератор используется в операциях шифрования. Кроме повышенной безопасности, в 10 раз ускоряется процесс шифрования.

Dashlane

Dashlane систематизирует пароли для веб-сайтов, заметки и данные на отдельных вкладках. Сохраненные объекты могут быть отнесены к категории, а встроенная поисковая система позволяет легко их находить.

Встроенный в программу модуль Secure Digital Wallet собирает информацию о дебетовых и кредитных картах, учетные данные для входа в систему банков, пароль к PayPal и другим финансовым сервисам. В процессе оплаты покупки Dashlane автоматически заполняет поля, необходимые для завершения сделки.

Dashlane позволяет выбрать один из двух уровней безопасности. Дополнительное подтверждение личности может потребоваться каждый раз, когда вы входите в сервис. Более ленивые выберут второй вариант, то есть двухфакторную аутентификацию только в момент добавления учетной записи на новом устройстве.

Dashlane поддерживает FIDO U2F YubiKey – аппаратный ключ в виде USB-ключа, который в момент подтверждения личности просто достаточно вставить в соответствующий порт компьютера. К сожалению, эта поддержка доступна только в платной версии приложения.

Уникальной функцией программы является Password Changer , которая одним нажатием кнопки позволяет изменить от одного до тысячи паролей к популярным приложениям и веб-страниц. Password Changer автоматически заменяет старые пароли новыми, гораздо более сильными, и запоминает их в базе данных. Функция работает с тысячами страниц, хотя в списке поддерживаемых сервисов преобладают представители из Соединенных Штатов. Среди популярных также в России мы нашли Netfliks, Spotify, Evernote, Vimeo, Runkeeper, а также сервис по планированию путешествий Kayak.com.

Дополнительная функция Instant Security Alerts автоматически уведомит вас о необходимости смены пароля на указанном сервисе. Так как мы постоянно слышим о взломах популярных веб-сайтов и краже миллионов паролей к аккаунтам пользователей, функция Instant Security Alerts поможет вам поддерживать высокий уровень защиты.

Dashlane имеет встроенный тест безопасности, который шаг за шагом анализирует ваши пароли и подскажет, что следует изменить, чтобы иметь возможность чувствовать себя безопасно.

KeePass

KeePass Password Safe для Windows – это один из последних менеджеров «старой школы», записи паролей хранятся в локальной базе данных. Этот тезис подтверждает аскетичный интерфейс. В KeePass пользователь просто создает базу данных со своей структурой и заполняет её данными для входа.

Благодаря этому, программа отлично подходит для хранения паролей от компьютеров, сетевых служб, учетных записей электронной почты и FTP-серверов. В базе будут сохранены также номера кредитных карт, PIN-код к входной двери или короткие заметки, которые должны оставаться конфиденциальными. KeePass по-разному справляется с запоминанием учетных данных веб-сайтов и веб-приложений. Эти функции реализуются в виде плагинов для популярных браузеров. Родная интеграция не всегда работает, как должно.

В одном KeePass имеет огромное преимущество над конкурентами. Программа разработана на основе лицензии с открытым исходным кодом, имеет большой круг преданных пользователей, и каждый может проверить, что используемый алгоритм шифрования был написан правильно и не содержит уязвимостей безопасности.

В KeePass авторы реализовали два алгоритма шифрования для базы данных: AES/Rijndalel и ChaCha20, оба с 256-битной длиной ключа, а также функцию преобразования ключа AES-KDF и Argon2. Доступ к базе данных может быть защищен паролем, ключом шифрования, учетной записью Windows или каждым из этих методов, одновременно.

Самый важный конкурент – Password Safe – кажется бедным родственником на фоне KeePass , но имеет одну важную функцию. Программа изначально поддерживает аппаратные токены YubiKey, хотя упомянутый в статье FIDO U2F не поддерживается.

LastPass

LastPass работает со всеми основными браузерами: Chrome, Firefox, Opera, Internet Explorer, Edge и Maxthon. Программа устанавливается как плагин и отображается в браузере в виде иконки на панели инструментов. Управление учетными данными происходит в облаке через специальную веб-страницу. Доступно также приложение для мобильных устройств Android, Apple и Windows Phone.

LastPass серьезно подходит к вопросу входа в систему с помощью двухфакторной аутентификации. Вторым компонентом авторизации здесь может быть код из приложения на мобильном устройстве, код программы LastPass Grid и LastPass Sesame, а также отпечаток пальца пользователя, сертификат на криптографическом устройстве или одноразовый пароль, сгенерированный на аппаратных токенах YubiKey или RSA SecureID. В числе поддерживаемых приложений для 2FA вошли Google Authenticator, Duo Security и Authy.

Программа сохраняет учетные данные, вводимые на веб-страницах, может перехватывать учетные данные, сообщения электронной почты, а также импортировать данные из других менеджеров паролей.

LastPass хорошо подходит для семейного использования. План на шесть человек стоит 4 доллара в месяц, и при этом позволяет в полной мере использовать функцию совместного доступа к паролям и аварийного восстановления.

В LastPass вы можете дать надежному другу или члену своей семьи доступ в хранилище. Вы сами решаете, кто может иметь доступ к сохраненным паролей и как долго. Аналогичные возможности предлагают все конкуренты программы.

RoboForm

RoboForm предоставляет свое программное обеспечение в версии Free (бесплатная) и Everywhere (от 19,95 долларов в год). Между бесплатной и платной версией очень много различий.

Первая предлагает основные возможности программы для одного устройства: зашифрованную базу данных, механизм запоминания учетных данных для приложений и веб-сайтов, а также модуль автоматического заполнения веб-форм.

Средства синхронизации данных между устройствами, совместное использование паролей между членами семьи и друзьями или резервное копирование в облако с доступом к паролям в браузере доступны только в платной версии Everywhere .

RoboForm имеет удобную систему организации сохраненных учетных данных вместе с функциональной поисковой системой , которая помогает находить их, когда они необходимы. Поддержка программы осуществляется с помощью браузера, но при запуске модуля Центр защиты вы получите доступ к классическому окну Windows, с уровня которого можно управлять своими логинами, закладками, учетными данными в приложение, удостоверениями, а также секретными заметками.

По сравнению с конкурентами, RoboForm предлагает десятки вариантов меню и настроек. Правда, они «хорошо спрятаны», так что не нужно их использовать, однако, если вы хотите настроить программу для удовлетворения ваших потребностей, здесь есть такая возможность. RoboForm также доступен для пользователей Linux и устройств с Chrome OS.

Менеджеры паролей становятся всё более популярными. Возможность хранить все ваши пароли в одном месте, является весьма привлекательной. С помощью мобильных устройств, вы можете иметь все пароли под рукой во все времена, не повредив безопасности своих данных. Существуют тонны менеджеров паролей для ПК, Mac и мобильных устройств. Вот лучшие приложения менеджеры паролей для Android.

aWallet Password Manager
(cкачиваний: 1139)
aWallet является одним из тех приложений, менеджеров паролей, которыми пользуются продолжительное время. Приложение хранит пароли, банковские операции, информацию, информацию о кредитной карте, а также пользовательские данные, если вам это нужно. Существует также встроенный поиск, пользовательские иконки, а также функция автоблокировки. Существует даже встроенный генератор паролей, так что вам не придется волноваться об этом. Менеджер паролей охватывает всё необходимое, включая AES и Blowfish шифрование. Вы можете загрузить приложение бесплатно или купить PRO-версию.

Dashlane
(cкачиваний: 341)
Dashlane это ещё одно приложение, доступное пользователям продолжительное время. Dashlane предлагает все необходимые функции, включая поддержку паролей, кредитных карточек и других чувствительных видов информации. Приложение также поддерживает автозаполнение паролей на веб-сайтах и в приложениях. Вы можете сделать резервную копию локально или с помощью облака. Шифрование в 256 бит AES работает должным образом. Вы можете использовать большинство функций бесплатно, но если вы хотите использовать все функции, придется оформить платную подписку. Это один из наиболее солидных менеджеров паролей для Android.

Enpass Password Manager
(cкачиваний: 210)
Enpass довольно мощный менеджер паролей. Он охватывает все основные функции, есть также версии для Mac, ПК и Linux. Приложение также не требует абонентской платы, что является хорошим знаком. Приложение позволяет создавать резервные копии и восстановить свои данные, включает 256-битное AES-шифрование, кросс-платформенную синхронизацию, вы также сможете импортировать данные из других менеджеров паролей, что облегчит переход. Вы также сможете использовать автоматическое заполнение в Google Chrome, если вы используете этот браузер. Приложение загружается бесплатно, достаточного разовой оплаты в размере 9,99$, чтобы разблокировать все функции.

Keepass2Android
(cкачиваний: 251)
Keepass2Android является одним из самых базовых приложений менеджеров паролей в этом списке. Keepass имеет базовые функции, с которыми вы сможете создавать резервные копии паролей и тому подобное. Тем не менее, приложение не предлагает более слоны особенностей большинства конкурентов. Главной особенностью приложения становится совершенно бесплатное распространение с открытым исходным кодом. Приложение основано на коде Keepassdroid (ещё один бесплатный менеджер паролей с открытым исходным кодом), оба приложения совместимы друг с другом.

Keeper
(cкачиваний: 228)
Keeper – менеджер паролей с большим количеством функций. Главной особенностью приложения становится 256-битное AES-шифрование и PBKDF2, которые, безусловно, помогают чувствовать себя в безопасности. Вместе с тем, приложение охватывает основные функции, включает в себя автоматическое заполнение в различных приложениях и веб-сайтах. Наряду с паролями, Keeper также включает в себя видео и фото хранилища, где вы сможете хранить конфиденциальные изображения или видео. Приложение также поддерживает блокировку по отпечатку пальца, что всегда полезно. Вы также сможете синхронизировать приложение между устройствами и хранить данные в облаке, если захотите. Это довольно приличный вариант, хотя вам потребуется подписка, чтобы получить все функции.

LastPass
(cкачиваний: 189)
LastPass придерживается того же русла, когда речь заходит о менеджере паролей для Android. LastPass предлагает метрическую тонну функций, в том числе автозаполнение паролей в приложениях, сайтах и отдельных формах. Приложение также помогает хранить фотографии и аудио заметки. Есть несколько других, более уникальных и необычных функций, среди которых поддержка сканера отпечатков пальцев, генератор паролей, аудит паролей, который даст вам понять, что пароль ненадежен, приложение также предоставляет возможность воспользоваться экстренной помощью друга или члена семьи. Вы можете использовать ядро приложения бесплатно, но вам потребуется платная подписка, если вы хотите использовать все функции. Вы также можете загрузить LastPass Authenticator в Google Play, чтобы добавить 2-й фактор аутентификации для дополнительной безопасности.

mSecure Password Manager
(cкачиваний: 95)
mSecure является одним из тех менеджеров паролей, которые были вокруг, казалось бы, всегда. Тем не менее, приложение видело несколько обновлений с момента его создания и внешний вид менеджера паролей остается относительно современным. Кроме того, менеджер поддерживает основные функции, 256-битное AES-шифрование, генератор паролей, а также возможность создавать резервные копии ваших данных на вашей SD-карте. Приложение также имеет функцию самоуничтожения на тот случай, если кто-то ошибется с паролем слишком много раз. Это надежный универсальный менеджер паролей, хотя отсутствие бесплатной версии может оттолкнуть некоторых пользователей. Мы рекомендуем посмотреть на некоторые отзывы и попробовать приложение.

Password Safe and Manager
(cкачиваний: 148)
Password Safe and Manager является золотой серединой, когда речь заходит о выборе менеджера паролей. Это приложение не нуждается в подключении, а 256-битное шифрование позволят вам чувствовать себя относительно безопасно. Менеджер паролей использует дизайн Material, который выглядит действительно великолепно. Вы можете разместить пароли, классифицировать их для удобного просмотра, а также генерировать новые пароли на лету. Кроме того, менеджер паролей предлагает функции автоматического резервного копирования. И приложение предлагает значительно больше возможностей, если вы купите версию PRO за 3,99$. Это не самое мощное, но очень хорошее приложение.

RoboForm Password Manager
(cкачиваний: 304)
RoboForm очень старое приложение, но это по-прежнему один из лучших менеджеров паролей для Android. Он делает то, что должен, и делает это хорошо, а также предлагает закладки, чтобы вы могли найти наиболее часто используемые пароли быстрее. Приложение также распознает новые пароли, когда вы создаете их и входите в систему, изящное решение. Менеджер паролей также поддерживает многоступенчатые логины, что очень удобно. Приложение работает с Chrome и Firefox, даже с Dolphin Browser. Это совершенно бесплатное приложение, которое отлично работает.

SafeInCloud Password Manager
(cкачиваний: 194)
SafeInCloud это менеджер паролей на основе облачной системы, очень способный менеджер. Он хранит все ваши данные в облаке, с которым вы можете синхронизировать любое свое устройство. Приложение включает в себя Material Desing, 256-битное AES-шифрование, поддерживает сканер отпечатков пальцев, Android Wear, генератор паролей и калькулятор надежности пароля. Вы сможете автоматически заполнять графы в некоторых браузерах. Вы сможете получить большинство функций с бесплатной версией, а PRO-версия обойдется вам в очень разумные 199 р.

Если ты читаешь этот журнал, ты наверняка в курсе базовых правил безопасности в Сети и следуешь им. Ты придумываешь для каждой учетной записи отдельный пароль и стараешься использовать максимально сложные комбинации. Уверен, ты уже давно работаешь с каким-нибудь менеджером паролей. Но и этого становится мало - ведь у тебя, скорее всего, куча компьютеров, браузеров и мобильных устройств. И после каждого громкого взлома ты бросаешься менять все что только можно. Как сделать свою жизнь чуточку проще?

Современный менеджер паролей - это уже не просто программа для хранения паролей в зашифрованном виде. От такой программы требуется поддержка мобильных платформ, браузерные плагины, методы безопасной синхронизации пользовательских данных и многое другое. Самые продвинутые программы умеют, например, предупреждать пользователя о том, что где-то что-то взломали и нужно поменять свой пароль. В общем, пространство для фантазии разработчиков огромно, и неудивительно, что некоторые из представленных в обзоре менеджеров успешно продаются за десятки долларов.

База данных паролей шифруется с помощь симметричного AES-256, а мастер-пароль хешируется с SHA-256. В качестве синхронизации обычно используют либо старую добрую флешку, либо один из облачных сервисов, например Dropbox. Некоторые мобильные клиенты, кстати, умеют с хранилищем в Dropbox работать автоматически.

Для KeePass есть куча плагинов и дополнительных инструментов: утилиты для импорта/экспорта паролей из БД, браузерные плагины, позволяющие автоматом заполнять формы логина, и дополнительные средства бекапа и синхронизации. Все это собрано на отдельнойстранице .

К сожалению, у такого зоопарка клиентов есть и минусы. Сейчас используется две версии (1 и 2) базы данных, несовместимых друг с другом. При этом есть клиенты, поддерживающие только одну из версий. Несмотря на то что основное приложение бесплатно, существуют и платные клиенты, например под iOS. Как это часто бывает с подобными проектами, интерфейс у некоторых клиентов оставляет желать лучшего.

  • Win, Mac
  • Android, iOS

Этот клиент от AgileBits уже заслужил популярность у многих пользователей. Первое, с чем сталкиваешься при работе с ним, - невероятно продуманный до мелочей и удобный интерфейс. При добавлении нового веб-сервиса программа автоматически скачивает его иконку и делает скриншот главной страницы.

В комплекте с приложением также есть возможность установки браузерных клиентов. Они позволяют автоматически добавлять новые пароли в базу (подобно встроенным в браузер функциям запоминания паролей), а также автозаполнения форм с логином.

База данных, начиная с этого года, теперь зашифрована с AES-256. В качестве синхронизации доступны два варианта: Dropbox и iCloud. Как в приложении, так и в плагинах есть также удобный генератор безопасных паролей.

Поскольку разработчик пришел из мира Apple, есть свои нюансы. Например, высокая цена: десктопное приложение стоит около 50 долларов.

Под Linux клиента нет вообще, а в Android 1Password умеет только просматривать пароли, а не редактировать их или добавлять новые.

Strip

  • Mac, Win
  • Android, iOS

Strip - еще один интересный менеджер паролей от компании Zetetic. Простой и легковесный, при этом умеет все что нужно от менеджера паролей, но не более. Поддерживает платформы Windows и OS X. В списке мобильных платформ: Android и iOS.

База данных паролей хранится в SQLite и шифруется AES-256 с помощью дополненияSQLCipher . Cинхронизация между клиентами происходит либо через облачное хранилище (на выбор: Google Drive или Dropbox), либо через Wi-Fi. Клиенты приложения платные, но цена (в отличие от 1Password, например) вполне приземленная: мобильные клиенты стоят по 5 долларов, десктопные - по 10.

Из явных минусов можно отметить, что на данный момент нет возможности интеграции Strip’а с браузерами для автоматического ввода пароля - весьма полезного функционала и защиты от кейлоггеров. Правда, авторы сообщают, что работа над дополнениями идет полным ходом, так что через некоторое время можно ожидать полнофункционального менеджера паролей.

Также на форуме разработчиков упоминалось про планы запустить Linux-приложение.

  • Mac, Win
  • Android, iOS

Dashlane - довольно молодой менеджер паролей с активным желанием быть лучшим и самым безопасным среди себе подобных. И действительно, у него очень приятный интерфейс, поддержка различных операционок (к сожалению, Linux тут тоже в пролете) и адекватная цена.

Пароли в базе данных хранятся шифрованными AES-256. Есть возможность синхронизации через собственное дашлэйновское облако. Одна из самых классных фич - возможность использовать двухфакторную аутентификацию через Google Authenticator, что позволяет повысить защищенность данных. Также есть всякие приятные мелочи, типа дашборда безопасности, в котором выводится сводная информация по паролям, или довольно строгие требования к мастер-паролю (разный регистр, цифры, минимум восемь символов). Есть также возможность веб-доступа к паролям.

В стандартной поставке также присутствуют браузерные плагины, работающие привычным способом - позволяющие автоматически заполнять известные формы и сохранять результаты введенных паролей.

Интересна также и ценовая политика компании. Во-первых, все устанавливаемые приложения бесплатны, а оплачиваются услуги пользования сервисом. Во-вторых, есть бесплатный тарифный план (без синхронизации, бэкапов и веб-доступа), а есть премиум, стоящий вполне адекватные 20 долларов в год.

Из минусов можно отметить отсутствие полноценного клиента под Linux и слегка раздражающий логотип в каждом поле ввода, которые добавляет браузерный плагин.

  • Mac, Win, Linux
  • Android, iOS, Win Phone

LastPass - довольно старый менеджер паролей. Примечательно, что у него, по сути, нет клиентского приложения. Весь функционал по управлению паролями реализован через веб-приложение и через браузерные плагины. Но, несмотря на это, сервис в плане функционала довольно мощный. Доступна возможность обмена паролями с друзьями.

База данных с паролями шифруется с помощью AES-256 и синхронизируется между хранилищем плагина и сервером LastPass. Есть также portable-версии, причем как браузерных плагинов, так и самостоятельного приложения под Windows.

Также стоит отметить, что родные приложения есть для любой мобильной платформы (в том числе webOS или Symbian). Более того, например, для Android есть как отдельное приложение, так и плагин для браузера Dolphin.

В плане стоимости все просто, есть возможность бесплатного использования, есть дополнительные платные функции. Премиум-аккаунт стоит доллар в месяц или 12 долларов в год.

Вообще, от сервиса остаются спорные ощущения. С одной стороны, он довольно широко распространен и есть возможность использовать его на всех мыслимых и немыслимых платформах. С другой стороны, сервис разрабатывался достаточно давно и на сегодняшний день нет ощущения лоска, присущего более молодым менеджерам паролей.

  • Mac, Win, Linux
  • Android, iOS, Win Phone

My1login - это стартап, чем-то похожий на Lastpass, но с прицелом на шаринг паролей. В основе лежит веб-приложение, с возможностью редактировать пароли, а для сохранения их из форм и автоматического ввода существует яваскриптовый букмарклет. Основной киллер-фичей менеджера паролей является групповая работа с паролями: есть возможность создавать несколько аккаунтов внутри организации, есть возможность управлять доступом различных лиц к определенным паролям. Такой юзкейс подойдет в первую очередь небольшим группам, которые имеют внутри себя определенную базу реквизитов. В данном случае, например, после плановой смены пароля к определенному сервису отпадет необходимость в сообщении новых данных каждому пользователю. Это все-таки немного безопасней, чем хранить список где-нибудь в вики. Также стоит отметить интересную двухступенчатую авторизацию.

К сожалению, у данного проекта нет обширной инфраструктуры, присущей «взрослым» менеджерам паролей. Нет мобильных приложений, нет возможности работать с базой паролей офлайн. Браузерные плагины также удобней букмарклета: они сами могут обновляться и реализовывать более удобный интерфейс.

Поэтому будем надеяться, что My1login найдет своего пользователя и сможет восполнить пробелы в сервисе.

  • Mac, Linux
  • открытые под GPLv3 исходники повысят доверие к менеджеру и помогут сформировать комьюнити разработчиков;
  • реализация на питоне, которая позволит сделать кросс-плат фор менное приложение длaя десктопных клиентов;
  • мобильные приложения позволят работать с базой паролей без компьютера под рукой;
  • синхронизация через P2P позволит избежать затрат на содержание «облака» и снизит вероятность массовой утечки реквизитов.

Все это выглядит очень многообещающе, если бы не одно «но»: пока большая часть функционала находится исключительно в планах. На данный момент есть неплохая реализация, работающая и синхронизирующаяся под Linux и OS X. Автор предлагает в лучших традициях краудфаундинга заинтересованным пользователям скинуться деньгами, позволив ему посвятить проекту 100% рабочего времени. В качестве конечной цели установлена планка в 60 000 долларов (что, надо заметить, весьма немало). Весь проект выложен на гитхаб, поэтому за ходом разработки можно следить. Справедливости ради надо заметить, что темпы разработки на данный момент вряд ли можно назвать вдохновляющими.

В любом случае заявленный функционал выглядит достаточно «вкусно», поэтому имеет смысл к данному менеджеру паролей присмотреться повнимательней.

За последний год было украдено 4,2 миллиарда паролей. Эта из ряда вон выходящая цифра должна обеспокоить любого, кто имеет дело с Интернетом. Федеральная торговая комиссия США проанализировала, что происходит с похищенными учетными данными. После того как украденные логины к Facebook, Google, Netflix и онлайн-банкам публикуются на хакерском форуме, в среднем проходит всего девять минут до первой попытки захода на ваш аккаунт. Поскольку двое из трех пользователей используют один и тот же пароль для нескольких служб, украденный ключ открывает сразу множество дверей.

Вышеприведенное число также демонстрирует, что теперь пароли могут быть украдены не только у отдельных пользователей, попавшихся на удочку фишингового сообщения. Хакеры нацелились на крупные сервисы, что сулит им гигантскую прибыль. На прицеле оказались крупные IT-концерны, такие как Yahoo! и Uber.

Генерация надежных паролей

Национальный институт стандартов и технологий США внес коррективы в правила создания безопасных кодов. Несколько нововведений:
Длина: Надежность зависит от длины пароля. Чем он длиннее, тем лучше.
Никакой логики: Бессмысленный набор букв надежнее, чем можно подумать. Но пароль не должен быть цифровой мешаниной.
Уникальность: Используйте пароль только один раз.
Проверка: С помощью онлайн-сервиса Pwned Passwords вы узнаете, если ваши пароли используются кем-то другим или же были опубликованы.
Изменение при необходимости: При краже пользовательских данных с серверов какого-либо сервиса, чьим клиентом вы являетесь, смените пароль.

Еще совсем недавно исследования насчитывали в среднем 20–30 аккаунтов, защищенных паролем, на одного пользователя. Последние данные говорят о гораздо большем количестве. Диспетчер паролей, используемый в корпоративных целях, хранит в среднем 191 пароль для бизнес-клиентов. Но даже те, у кого всего десять аккаунтов, практически не придерживаются основного правила обеспечения защиты: пароль нельзя использовать больше одного раза.

Защита для всех паролей

Именно эту проблему помогают решить десять протестированных нами диспетчеров паролей, выступая в качестве сейфа для безопасных паролей и работая в Android, iOS и Windows. Они хранят все пароли централизованно в одном месте. В этих продуктах для защиты сейфа используется мощное AES-шифрование с практически не взламываемой длиной ключа в 256 бита. Такую базу данных можно разблокировать лишь с помощью правильного мастер-пароля. Таким образом, пользователю не требуется помнить пароль к каждому своему аккаунту, а только мастер-пароль, открывающий сейф со всеми остальными кодами.


При этом продукты, протестированные нами, работают по двум разным принципам: восемь менеджеров, среди которых тройка лидеров LastPass, 1Password и Dashlane, представляют собой онлайн-сервисы. Зашифрованная база данных паролей хранится в вычислительных центрах провайдера сервиса.

Для пользователя это самое удобное решение, поскольку пароли используются не только на стационарном компьютере, но и на смартфонах и планшетах. В таком случае для запуска синхронизации достаточно лишь ввести логин и мас­тер-пароль. Все коды будут у вас под рукой в любое время и в любом месте. Однако такие сервисы требуют от вас доверия к провайдеру и убежденности, что ему действительно недоступен мастер-пароль и нет никакой возможности получить доступ к базе данных иным образом.


Второй принцип работы, выбранный разработчиками такой популярной открытой программы, как KeePass, а также компанией Steganos для своего диспетчера паролей, - это локальное хранение базы данных паролей.

Мы рекомендуем начать с хранилища на ПК и лишь затем подтягивать мобильные устройства. Преимущество обоих локальных решений заключается в сохранении за пользователем полного контроля над сейфом. По этой причине мы удостоили KeePass высшим баллом за категорию «Безопасность». Такой метод менее удобен, поскольку вам придется самим думать о том, как получить пароли со смартфона. Однако KeePass - это единственная программа, способная взаимодействовать с различными приложениями, считывающими данный формат баз данных.

К примеру, на тестировании мы остановили свой выбор на KeePass2Android (Android) и MiniKeePass (iOS). Все другие диспетчеры паролей уже идут в комплекте с подходящими приложениями.

Двойная защита мастер-пароля

Безопасность диспетчера паролей зиждется на мастер-пароле (см. блок справа). Поэтому нам непонятно, почему половина участников нашего тестирования принимает даже такие элементарные коды, как «1234abcd».

Лишь 1Password, Dashlane, а также продукты таких известных разработчиков антивирусов, как F-Secure, Kaspersky и Avira, требуют более сложных мастер-паролей. Не менее важно защитить свой сейф и другими средствами - в этом отношении инструменты от антивирусных экспертов откровенно халтурят.

Выбор мастер-пароля

Использование предложений. Забавная реплика из сериала Net­flix или поговорка вашей бабушки станут отличной основой для вашего пароля. Вы можете также обратиться к своему хобби. Неплохой идеей может стать фраза «I love read Chip magazine».

Использование заглавных и прописных букв. Правильная орфография -
скорее недостаток для пароля. «ILovereadChipMagazine» с позиции безопасности выглядит лучше.

Встраивание специальных символов. Можно добавить и парочку спе­циальных символов: «ILove/readChipMagazine2018$».

Двойная аутентификация. Обязательно задействуйте двухфакторную аутентификацию, чтобы дополнительно защитить доступ к диспетчеру паролей.

Во все хорошие диспетчеры интегрирована , то есть дополнительно к мастер-паролю для доступа в хранилище необходимо ввести второй фактор. В таком случае можно быть спокойным, что даже если мастер-пароль вместе с базой данных попадет в чужие руки, доступ к ней все равно будет закрыт.

Вне зависимости от этого, общая безопасность диспет­черов находится на высоком уровне. Лидеры нашего теста, LastPass, Dashlane и Keeper Security, покоряют отлично реализованными проверками надежности используемых паролей, вычисляют дубликаты и даже предлагают возможность бэкапа. Все продукты не только сохраняют учетные данные, но и создают безопасные пароли - в каждый из них интегрирован собственный генератор.

Однако на практике их технологии отличаются: LastPass, KeePass и Avira Password Manager лучше всех справляются с задачей. Их генераторы невозможно не заметить, а кроме того, они наглядно отображают длину пароля. Не столь удобно мобильное решение от Kaspersky: в мобильных приложениях генератор отсутствует, таким образом, надежные пароли можно создать лишь в настольной версии.

Учетные данные для приложений и веб-сервисов


В плане удобства управления лидируют веб-сервисы, при этом речь идет не только об упрощенной синхронизации. В частности, 1Password, LastPass и Dashlane демонстрируют, как нужно правильно создавать приложения и постоянно внедрять новейшие технологии. К примеру, все три провайдера очень быстро адаптировали свои приложения к сканеру Face ID на iPhone X. Вдобавок ко всему, биометрическая разблокировка гораздо удобнее, чем ввод длинных мастер-паролей.


Все диспетчеры паролей предлагают автозаполнение учетных данных в браузере для входа на сайт. Для программ под Windows и приложений на смартфонах и планшетах этот метод не работает. Здесь проще всего будет скопировать и вставить данные в соответствующие поля. Android, в отличие от iOS, позволяет это сделать легко. Для системы от Apple разработчикам приложений необходимо интегрировать особые функции для работы с диспетчерами паролей. Во всяком случае, для наших лидеров - продуктов LastPass, 1Password и Dashlane - существует длинный список поддерживаемых приложений, которые обходятся без буфера обмена.

У всех решений существует функция поиска для быстрого обнаружения данных. Однако лишь 1Password, KeePass и Steganos позволяют интегрировать несколько баз данных, благодаря которым пользователь может, к примеру, разделить личные и рабочие аккаунты. Очень полезна и функция «Избранное» для отображения часто используемых паролей - отмеченные таким образом данные всегда находятся наверху в списке.

Вход в Windows без пароля

Диспетчеры паролей сохраняют все учетные данные. Ситуация со входом в Windows сложнее, поскольку у вас пока нет доступа к сейфу. Компания Microsoft интегрировала в «десятку» функцию Windows Hello, благодаря которой аутентификация пользователя может осуществляться по сканированию отпечатка пальца, распознаванию лица или радужной оболочки глаза. Такие устройства, как , уже распола­гают техническими средствами, поскольку обычной веб-камеры недостаточно.

Лучше, чем браузерные хранилища

Все участники нашего теста интегрируются в браузеры Chrome и Firefox, а вот с Microsoft Edge могут совладать лишь четыре участника теста: LastPass, 1Password, Keeper Security и True Key. Кстати о браузерах: их встроенные диспетчеры представляют собой лишь хранилище, в котором отсутствуют важные дополнительные функции - например, генератор паролей. Мы советуем обратиться к специальным инструментам, чтобы не потерять покой и сон из-за ужасающих новостей о миллионах украденных учетных данных.

1

@sam901 , ну так об этом и пишет Артём. Не хотите чтобы у программы вместе с владельцем “сменились правила”, держите свои пароли при себе. Иначе где гарантия, что однажды их не продадут вместе с программой? :)

Хотя, повторюсь, я не силён юридически, но на мой взгляд это обман пользователей, которые платили деньги за программу и на западе их возможно было бы засудить. Хочешь продать бизнес, продавай, а данные пользователей и доступ к ним должны остаться у владельцев. Как минимум должна быть возможность их выгрузить.

А раз “такое происходит повсеместно”, приведите плз хоть пару примеров. :)

@Soloqub , да хотя бы skype. Был p2p сервис. МС выкупили и сменили на традиционную централизованную клиент-сервер архитектуру. И обоих вариантов есть свои плюсы и минусы. Для кого-то плюсы p2p были очень важны и выбора два – соглашаться на смену правил или менять сервис. Никто поддерживать старый протокол не собирается.

Ну и куча примеров, когда сервисы выкупают, закрывают и все. Нет больше данных пользователей, девайся куда хочешь. Picasa, например. И хорошо, если план миграции какой-то предусмотрен.

У меня скорее встречный вопрос, а что не так? Бизнес не обязан делать ничего сверх того, что обязывают законы. А дальше есть EULA, где все отлично прописано, кто кому и что должен. И то что старая версия перестанет работать. И то что в новой версии надо новое EULA подписать, которым даешь согласие на отправку своих данных на сервер и т.д. и т.п. Не согласен – не подписываешь и удаляешь приложение.

Выбор сервиса это всегда компромисс. Поэтому статья и выглядит довольно странно, т.к. однобокая и параноидальная. Есть выбор – есть полностью оффлайн сервисы вроде keepass. Есть облачные с разными правилами работы. lastpass, которым я пользуюсь, облачный, но на ПК хранит оффлайн версию. Даже при отсутствии интернета доступ к паролям остается, на серверах открытых паролей нет, мастер-пароль тоже не хранят у себя и т.д. Вместо паранойи и ограниченного рассмотрения вопроса, лучше бы разобрались с выбором на рынке, а не гребли всех в одну кучу.

@sam901 , вы, видимо, не очень разобрались в данной ситуации. Вкармане и была полностью офлайновой программой, хранившей данные на устройствах пользователей. После выкупа Тиньков “предложил” перенести все данные к нему на сервера (теперь они будут доступны только онлайн), либо забыть о них.

Никакой возможности просто забрать своё не предоставлено. Фактически Тиньков купил не бизнес (он сомнителен), а именно данные пользователей. И тут возникают большие сомнения в законности такой покупки.

Никакого сравнения со Скайп тут быть не может. Думаю, 99% пользователей Скайп даже не заметили миграции на централизованную архитектуру. А те кто заметили, лишились возможности использовать сервис, но не лишились ничего принадлежащего им, в отличие от пользователей Вкармане.

@Soloqub , вот поэтому и стоит читать EULA. Потому что там наверняка есть строчка на согласие на обработку всех данных и еще кучу всего. Но никто же не читает, зато в суд бежать все хотят.

Что до разобраться, я вел речь про смену правил игры и это нормально и происходит повсеместно. Мне не нужно разбираться в деталях конкретной ситуации, которая аналогична по большей части.

Что до миграции скайпа, вы явно не понимаете сути такой миграции. p2p архитектура означает невозможностью владельцем сервиса записывать/прослушивать разговоры. Трафик идет напрямую от устройства к устройству. Смена архитектуры означает полный контроль МС над речевым трафиком, полный доступ к нему со стороны спецслужб, рекламных ботов и т.д. и т.п. Это существенно и не менее серьезно, чем внезапная закачка своих документов в облако.

Ну и не надо передергивать факты. Никто в вашем примере ничего не лишился. В онлайне доступно – доступно. Все.

@sam901 , EULA читать, конечно, нужно, это тоже не истина в последней инстанции. Иначе, пользуясь тем что их никто не читает, туда можно было бы вписать всякое, что скачивая приложение ты передаёшь им в собственность квартиру и пр. Поэтому вопрос не только в EULA, а в принципе в законности такого действия.

И перестаньте сравнивать мягкое с солёным. Скайп никогда не позиционировал свои каналы связи как защищённые. Никто его и не использовал как таковой.
Переход к централизованной архитектуре не более чем внутренняя кухня Микрософт. Пользователи над такими вещами не задумываются, так же как не задумываются по каким роутам ходят пакеты от них до сайта iphones и обратно. Им всё равно.

Что касается Пикасы, этот сервис просто прекратил работу, притом Гугл сильно заблаговременно предупредил об этом. Пользователи не лишились фоток, которые лежали локально и были добавлены в программу, не обнаружили что эти фотки будут закачаны на сервера неизвестного банка и будут доступны только после принятия условий этого банка. Эти случаи вообще нельзя сравнивать.

И передёргиваете факты вы. Доступ к документам доступен только для тех, кто полностью принимает условия Тинькова и отдаёт ему необходимые данные, например номер телефона.

Поделиться с друзьями:
Похожие публикации