Защо не използвам мениджъри на пароли. Общ преглед на разширението на Мениджър на пароли за различни платформи
Мениджърът на пароли е естествено решение на проблемите, свързани с използването на пароли за различни услуги и приложения. Един добър мениджър на пароли се интегрира безпроблемно с уеб браузър, което улеснява създаването на нови акаунти в уеб приложенията, влизането в уеб страници и правенето на покупки онлайн. Кое приложение да изберете?
През годините функцията на програмите за събиране и съхраняване на пароли на компютър се промени значително. Класически мениджъри на паролиса заменени от инструменти, които синхронизират идентификационната информация на всички потребителски устройства. Тези програми непрекъснато се развиват и новите функции могат значително да подобрят вашето потребителско изживяване.
Съхраняването на чувствителни данни в облака продължава да поражда редица опасения за сигурността сред потребителите. Разработчици мениджъри на паролите се опитват да ни убедят, че базите данни се криптират и декриптират само на ниво устройство, а паролата и ключовете за криптиране никога не се предават на сървърите. Криптирането на данните се извършва съгласно алгоритъма AES-256, който днес се счита за най-сигурния. В резултат на това никой доставчик, компания или правителствена агенция на САЩ няма достъп до данните, нито ще го има в бъдеще. Поне на теория. От друга страна, ако вие сами забравите главната парола, запазените данни ще бъдат безвъзвратно загубени.
В някои програми достъпът до хранилището с пароли може да бъде защитен чрез допълнително удостоверяване. По време на регистрацията на акаунт потребителят въвежда стандартно потребителско име и парола и предоставя допълнително доказателство за самоличност. Този т.нар двуфакторна автентификация.
Експертите са съгласни, че добрата защита се състои от две части: това, което знаете сами, тоест паролата, и това, което може да се провери чрез приложения на вашия смартфон.
Популярните програми също поддържат биометрични механизми в областта на достъпа до приложения. Поддръжката на четци за пръстови отпечатъци в устройства с Android работи добре, а функциите Touch ID и Face ID в устройства на Apple често също се поддържат.
Преобладаващото мнозинство мениджъри на паролиса търговски проекти. Някои обаче могат да се използват безплатно, но основното ограничение на такива версии на програмата е поддръжката само на едно потребителско устройство. С други думи, без платен абонамент няма да можете да синхронизирате паролите си на други устройства.
Въпреки това, ако броят на услугите и онлайн услугите, които използвате, е в десетки, използването на мениджър на пароли е напълно оправдано.
Кой мениджър на пароли да изберете
1 Парола
1 Паролави позволява да създадете акаунт и да съхранявате данни на сървъри, разположени в Канада или в рамките на Европейския съюз. Програмата съхранява информация за вход, номера на кредитни карти и информация за банкови сметки. Той също така се интегрира с популярни приложения за iOS за лесен достъп до приложения и уебсайтове.
Приложението не поддържа класическия механизъм за двуфакторна автентификация, а реализира тази идея по малко по-различен начин. Програмата създава защитен ключ (таен ключ), който играе важна роля при криптирането на данни на устройството. Този ключ се използва заедно с главната парола за защита на базата данни на потребителя. От техническа гледна точка това е уникален 128-битов идентификатор, генериран локално, който никога не напуска устройството на потребителя.
1 Паролае оборудван с още една интересна функция - Travel Mode. Всеки път, когато пресичате границите на страната, всички важни данни от трезора ще бъдат изтрити, с изключение на тези, които са изрично маркирани като безопасни за пътуване.
1 Паролае първият мениджър, който използва нов стандарт, който осигурява директен достъп до системния генератор на случайни числа. Този генератор се използва при операции по криптиране. В допълнение към повишената сигурност, процесът на криптиране е 10 пъти по-бърз.
Дашлейн
Дашлейнорганизира пароли за уебсайтове, бележки и данни в отделни раздели. Запазените елементи могат да бъдат категоризирани и вградената търсачка улеснява намирането им.
Модулът Secure Digital Wallet, вграден в програмата, събира информация за дебитни и кредитни карти, банкови идентификационни данни за вход, пароли за PayPal и други финансови услуги. В процес на плащане за покупка Дашлейнавтоматично попълва полетата, необходими за извършване на транзакцията.
Дашлейнви позволява да изберете едно от двете нива на сигурност. Може да се изисква допълнителна проверка на самоличността всеки път, когато влезете в услугата. По-мързеливите ще изберат втората опция, тоест двуфакторна автентификация само в момента на добавяне на акаунт на ново устройство.
Дашлейнподдържа FIDO U2F YubiKey - хардуерен ключ под формата на USB ключ, който в момента на проверка на самоличността просто се поставя в съответния порт на компютъра. За съжаление тази поддръжка е достъпна само в платената версия на приложението.
Уникалната функция на програмата е Промяна на пароли, който с натискането на един бутон ви позволява да промените от една до хиляда пароли за популярни приложения и уеб страници. Промяна на паролиавтоматично заменя старите пароли с нови, много по-надеждни, и ги запомня в базата данни. Функцията работи с хиляди страници, въпреки че списъкът с поддържани услуги е доминиран от представители от Съединените щати. Сред популярните и в Русия открихме Netflix, Spotify, Evernote, Vimeo, Runkeeper, както и услугата за планиране на пътуване Kayak.com.
Допълнителна функция Незабавни сигнали за сигурноставтоматично ще ви уведоми за необходимостта от промяна на паролата ви за посочената услуга. Тъй като непрекъснато чуваме за хакнати популярни уебсайтове и за откраднати пароли за милиони потребителски акаунти, функцията за незабавни сигнали за сигурност ще ви помогне да поддържате високо ниво на защита.
Dashlane има вграден тест за сигурност, който анализира вашите пароли стъпка по стъпка и ви казва какво трябва да се промени, за да можете да се чувствате сигурни.
KeePass
KeePass Password Safeза Windows е един от последните мениджъри от "старата школа", записите на пароли се съхраняват в локална база данни. Тази теза потвърждава аскетичния интерфейс. AT KeePassпотребителят просто създава база данни със собствена структура и я попълва с данни за вход.
Поради това програмата чудесно за съхранение на паролиот компютри, мрежови услуги, имейл акаунти и FTP сървъри. Базата данни ще съхранява също номера на кредитни карти, ПИН код за входната врата или кратки бележки, които трябва да останат поверителни. KeePassобработва по различен начин запомнянето на идентификационните данни на уебсайтове и уеб приложения. Тези функции са внедрени като добавки за популярни браузъри. Вградената интеграция не винаги работи както трябва.
В един KeePassима огромно предимство пред своите конкуренти. Програмата е разработена на базата на лиценз с отворен код, има голям кръг от специализирани потребители и всеки може да провери дали използваният алгоритъм за криптиране е написан правилно и не съдържа уязвимости в сигурността.
AT KeePassАвторите са внедрили два алгоритъма за криптиране за базата данни: AES/Rijndalel и ChaCha20, и двата с 256-битова дължина на ключа, както и AES-KDF и Argon2 функция за преобразуване на ключове. Достъпът до базата данни може да бъде защитен с парола, ключ за криптиране, акаунт в Windows или всеки от тези методи едновременно.
Най-важният конкурент - Password Safe - изглежда като беден роднина на заден план KeePass, но има една важна функция. Програмата първоначално поддържа хардуерни токени YubiKey, въпреки че FIDO U2F, споменат в статията, не се поддържа.
LastPass
LastPassработи с всички основни браузъри: Chrome, Firefox, Opera, Internet Explorer, Edge и Maxthon. Програмата се инсталира като плъгин и се показва в браузъра като икона в лентата с инструменти. Идентификационните данни се управляват в облака чрез специална уеб страница. Предлага се и приложение за мобилни устройства с Android, Apple и Windows Phone.
LastPassприема сериозно проблема с влизането с двуфакторно удостоверяване. Вторият компонент за оторизация тук може да бъде код от приложение на мобилно устройство, програмния код LastPass Grid и LastPass Sesame, както и пръстов отпечатък на потребител, сертификат на криптографско устройство или еднократна парола, генерирана на YubiKey или RSA SecureID хардуерни токени. Поддържаните приложения за 2FA включват Google Authenticator, Duo Security и Authy.
Програмата запазва идентификационни данни, въведени на уеб страници, може да прихваща идентификационни данни, имейли и да импортира данни от други мениджъри на пароли.
LastPassдобър за семейна употреба. Планът за шест души струва $4 на месец и все още ви позволява да се възползвате напълно от функцията за споделяне на парола и възстановяване след бедствие.
AT LastPassможете да дадете на доверен приятел или член на семейството достъп до трезора. Вие решавате кой има достъп до вашите запазени пароли и за колко време. Подобни възможности предлагат всички участници в програмата.
RoboForm
RoboFormпредоставя своя софтуер в безплатни (безплатни) и навсякъде версии (от $19,95 на година). Има много разлики между безплатната и платената версия.
Първият предлага основните характеристики на програмата за едно устройство: криптирана база данни, механизъм за запомняне на идентификационни данни за приложения и уебсайтове и модул за автоматично попълване на уеб формуляри.
Налични са средства за синхронизиране на данни между устройства, споделяне на пароли между семейството и приятелите или архивиране в облака с достъп до пароли в браузъра само в платената версия на Everywhere.
RoboFormима удобна система за организиране на запазени идентификационни данни заедно с функционална търсачка, която ви помага да ги намерите, когато имате нужда от тях. Програмата се поддържа от браузъра, но при стартиране на модула Център за защитаще имате достъп до класическия прозорец на Windows, от който можете да управлявате вашите влизания, отметки, идентификационни данни за приложения, самоличности и секретни бележки.
В сравнение с конкурентите, RoboFormпредлага десетки опции и настройки на менюто. Вярно е, че те са "добре скрити", така че не е необходимо да ги използвате, но ако искате да персонализирате програмата според вашите нужди, има такава възможност. RoboFormналичен също за потребители на Linux и устройства с Chrome OS.
Мениджърите на пароли стават все по-популярни. Възможността да съхранявате всичките си пароли на едно място е много привлекателна. С мобилните устройства можете да имате всичките си пароли под ръка по всяко време, без да компрометирате сигурността на вашите данни. Има тонове мениджъри на пароли за PC, Mac и мобилни устройства. Ето най-добрите приложения за управление на пароли за Android.
aWallet Password Manager
(изтегляния: 1139)
aWallet е едно от онези приложения за управление на пароли, които съществуват от дълго време. Приложението съхранява пароли, банкови транзакции, информация, информация за кредитни карти и потребителски данни, ако имате нужда от тях. Има също вградено търсене, персонализирани икони и функция за автоматично заключване. Има дори вграден генератор на пароли, така че не е нужно да се притеснявате за това. Мениджърът на пароли покрива всичко, от което се нуждаете, включително AES и Blowfish криптиране. Можете да изтеглите приложението безплатно или да закупите PRO версията.
Дашлейн
(изтегляния: 341)
Dashlane е друго приложение, което е достъпно за потребителите от дълго време. Dashlane предлага всички функции, от които се нуждаете, включително поддръжка за пароли, кредитни карти и друга чувствителна информация. Приложението също поддържа автоматично попълване на пароли в уебсайтове и приложения. Можете да архивирате локално или с помощта на облака. Шифроването в 256-битов AES работи според очакванията. Можете да използвате повечето от функциите безплатно, но ако искате да използвате всички функции, ще трябва да се абонирате за платен абонамент. Това е един от по-солидните мениджъри на пароли за Android.
Мениджър на пароли Enpass
(изтегляния: 210)
Enpass е доста мощен мениджър на пароли. Той обхваща всички основни функции и има версии за Mac, PC и Linux. Приложението също не изисква абонаментна такса, което е добър знак. Приложението ви позволява да архивирате и възстановявате вашите данни, включва 256-битово AES криптиране, междуплатформена синхронизация, можете също да импортирате данни от други мениджъри на пароли, което ще улесни прехода. Ще можете също да използвате автоматично попълване в Google Chrome, ако използвате този браузър. Приложението е безплатно за изтегляне, с еднократно плащане от $9,99 за отключване на всички функции.
Keepass2Android
(изтегляния: 251)
Keepass2Android е едно от най-основните приложения за управление на пароли в този списък. Keepass има основни функции, с които ще можете да архивирате пароли и други подобни. Приложението обаче не предлага повече от функциите на слоновете на повечето конкуренти. Основната характеристика на приложението е напълно безплатно разпространение с отворен код. Приложението е базирано на кода на Keepassdroid (друг безплатен мениджър на пароли с отворен код), двете приложения са съвместими едно с друго.
Пазител
(изтегляния: 228)
Keeper е мениджър на пароли с много функции. Основната характеристика на приложението е 256-битово AES криптиране и PBKDF2, които със сигурност помагат да се чувствате сигурни. Приложението обаче обхваща основните функции, включва автоматично попълване в различни приложения и уебсайтове. Заедно с паролите, Keeper включва и трезори за видео и снимки, където можете да съхранявате чувствителни изображения или видеоклипове. Приложението също поддържа заключване с пръстов отпечатък, което винаги е полезно. Можете също да синхронизирате приложението между устройства и да съхранявате данните си в облака, ако желаете. Това е доста приличен вариант, въпреки че ще ви трябва абонамент, за да получите всички функции.
LastPass
(изтегляния: 189)
LastPass следва същия път, когато става въпрос за мениджъра на пароли за Android. LastPass предлага множество функции, включително автоматично попълване на пароли в приложения, уебсайтове и индивидуални формуляри. Приложението също помага за съхраняване на снимки и аудио бележки. Има няколко други, по-уникални и необичайни функции, включително поддръжка на скенер за пръстови отпечатъци, генератор на пароли, проверка на пароли, която ще ви уведоми, ако паролата е слаба, приложението също така предоставя възможност за използване на спешна помощ от приятел или член на семейството. Можете да използвате основното приложение безплатно, но ще ви трябва платен абонамент, ако искате да използвате всички функции. Можете също да изтеглите LastPass Authenticator от Google Play, за да добавите 2-ри фактор за удостоверяване за допълнителна сигурност.
mSecure Password Manager
(изтегляния: 95)
mSecure е един от онези мениджъри на пароли, които съществуват, изглежда, завинаги. Приложението обаче претърпя няколко актуализации от създаването си и външният вид и усещането на мениджъра на пароли остават относително модерни. В допълнение, мениджърът поддържа основни функции, 256-битово AES криптиране, генератор на пароли и възможност за архивиране на вашите данни на вашата SD карта. Приложението също има функция за самоунищожение, в случай че някой сбърка паролата твърде много пъти. Това е солиден мениджър на пароли "всичко в едно", въпреки че липсата на безплатна версия може да откаже някои потребители. Препоръчваме да разгледате някои от отзивите и да изпробвате приложението.
Защита на паролата и мениджър
(изтегляния: 148)
Password Safe and Manager е сладкото място, когато става въпрос за избор на мениджър на пароли. Това приложение не се нуждае от връзка, а 256-битовото криптиране ще ви накара да се чувствате относително сигурни. Мениджърът на пароли използва материален дизайн, който изглежда наистина страхотно. Можете да поставяте пароли, да ги категоризирате за лесно преглеждане и да генерирате нови пароли в движение. Освен това мениджърът на пароли предлага функции за автоматично архивиране. А приложението предлага значително повече функции, ако закупите PRO версията за $3,99. Не е най-мощното, но много добро приложение.
Мениджър на пароли RoboForm
(изтегляния: 304)
RoboForm е много старо приложение, но все още е един от най-добрите мениджъри на пароли за Android. Той прави това, което трябва да прави, и го прави добре, а също така предлага отметки, за да можете да намерите по-бързо най-използваните пароли. Приложението също така разпознава нови пароли, когато ги създадете и влезете в профила си, чудесно решение. Мениджърът на пароли също поддържа влизане в много стъпки, което е много удобно. Приложението работи с Chrome и Firefox, дори Dolphin Browser. Това е напълно безплатно приложение, което работи чудесно.
Мениджър на пароли SafeInCloud
(изтегляния: 194)
SafeInCloud е облачен мениджър на пароли, много способен. Той съхранява всички ваши данни в облака, които можете да синхронизирате с всяко от вашите устройства. Приложението включва Material Design, 256-битово AES криптиране, поддържа скенер за пръстови отпечатъци, Android Wear, генератор на пароли и калкулатор за сила на паролата. Ще можете автоматично да попълвате полетата в някои браузъри. Ще можете да получите повечето от функциите с безплатната версия, докато PRO версията ще ви върне много разумните $1,99.
Ако четете това списание, вероятно сте наясно с основните правила за безопасност в Интернет и ги спазвате. Измисляте отделна парола за всеки акаунт и се опитвате да използвате най-сложните комбинации. Сигурен съм, че работите с някакъв вид мениджър на пароли от дълго време. Но дори и това не е достатъчно - в крайна сметка най-вероятно имате куп компютри, браузъри и мобилни устройства. И след всеки високопоставен хак бързате да промените всичко, което можете. Как можете да направите живота си малко по-лесен?
Модерният мениджър на пароли вече не е просто програма за съхраняване на криптирани пароли. Такава програма изисква поддръжка за мобилни платформи, плъгини за браузъри, методи за сигурно синхронизиране на потребителски данни и много други. Най-напредналите програми могат например да предупреждават потребителя, че някъде е хакнато нещо и че трябва да смени паролата си. Като цяло пространството за въображението на разработчиците е огромно и не е изненадващо, че някои от мениджърите, представени в прегледа, се продават успешно за десетки долари.
Базата данни с пароли е шифрована със симетричен AES-256, а главната парола е хеширана с SHA-256. Като синхронизация обикновено използват или добро старо флаш устройство, или някоя от облачните услуги, като Dropbox. Някои мобилни клиенти, между другото, могат да работят автоматично със съхранение в Dropbox.
Има куп добавки и допълнителни инструменти за KeePass: помощни програми за импортиране/експортиране на пароли от базата данни, добавки за браузър, които ви позволяват автоматично да попълвате формуляри за влизане и допълнителни инструменти за архивиране и синхронизиране. Всичко това е събрано на отделна страница.
За съжаление, такъв зоопарк от клиенти има и недостатъци. В момента има две версии (1 и 2) на базата данни, които са несъвместими една с друга. Има обаче клиенти, които поддържат само една от версиите. Въпреки факта, че основното приложение е безплатно, има и платени клиенти, например за iOS. Както често се случва с подобни проекти, интерфейсът на някои клиенти оставя много да се желае.
- Windows, Mac
- Android, iOS
Този клиент от AgileBits вече спечели популярност сред много потребители. Първото нещо, което срещате, когато работите с него, е невероятно обмислен до най-малкия детайл и удобен за потребителя интерфейс. При добавяне на нова уеб услуга, програмата автоматично изтегля нейната икона и прави екранна снимка на главната страница.
Приложението също така идва с възможност за инсталиране на браузър клиенти. Те ви позволяват автоматично да добавяте нови пароли към базата данни (подобно на функциите за запомняне на пароли, вградени в браузъра), както и автоматично попълване на формуляри за влизане.
Базата данни от тази година вече е криптирана с AES-256. Налични са две опции за синхронизация: Dropbox и iCloud. Както приложението, така и плъгините също имат удобен защитен генератор на пароли.
Тъй като разработчикът дойде от света на Apple, има някои нюанси. Например висока цена: десктоп приложение струва около $50.
Под Linux изобщо няма клиент, а на Android 1Password може само да преглежда паролите, но не и да ги редактира или добавя нови.
Лента
- Mac, Windows
- Android, iOS
Strip е друг интересен мениджър на пароли от Zetetic. Прост и лек, той може да направи всичко необходимо от мениджър на пароли, но не повече. Поддържа платформи Windows и OS X. В списъка с мобилни платформи: Android и iOS.
Базата данни с пароли се съхранява в SQLite и е криптирана с AES-256 с помощта на добавката SQLCipher. Синхронизирането между клиентите става или чрез облачно хранилище (по ваш избор: Google Drive или Dropbox), или чрез Wi-Fi. Клиентите на приложения се плащат, но цената (за разлика от 1Password, например) е доста светска: мобилните клиенти струват $5, настолните клиенти $10.
От очевидните недостатъци може да се отбележи, че в момента няма възможност за интегриране на Strip с браузъри за автоматично въвеждане на парола - много полезна функционалност и защита срещу кийлогъри. Вярно е, че авторите съобщават, че работата по добавките е в разгара си, така че след известно време можем да очакваме напълно функционален мениджър на пароли.
Също така във форума за разработчици имаше споменавания за планове за стартиране на приложение за Linux.
- Mac, Windows
- Android, iOS
Dashlane е сравнително млад мениджър на пароли с активно желание да бъде най-добрият и най-сигурният от този вид. И наистина, той има много приятен интерфейс, поддръжка на различни операционни системи (за съжаление, Linux също е в полет тук) и адекватна цена.
Паролите в базата данни се съхраняват криптирани с AES-256. Възможно е да синхронизирате чрез вашия собствен облак dashlan. Една от най-готините функции е възможността за използване на двуфакторно удостоверяване чрез Google Authenticator, което ви позволява да увеличите сигурността на данните. Има и всякакви хубави малки неща, като например табло за сигурност, което показва обобщена информация за паролите или по-скоро строги изисквания за главна парола (различен регистър, цифри, поне осем знака). Има и възможност за уеб достъп до пароли.
Стандартният пакет съдържа и добавки за браузър, които работят по обичайния начин - позволяват автоматично попълване на познати формуляри и запазване на резултатите от въведените пароли.
Интересна е и ценовата политика на компанията. Първо, всички инсталирани приложения са безплатни, а услугите за използване на услугата се заплащат. Второ, има безплатен план (без синхронизиране, архивиране и уеб достъп), а има и премиум, който струва съвсем адекватни $20 на година.
От минусите може да се отбележи липсата на пълноценен клиент за Linux и леко досадно лого във всяко поле за въвеждане, което добавя плъгинът на браузъра.
- Mac, Windows, Linux
- Android, iOS, Windows Phone
LastPass е доста стар мениджър на пароли. Трябва да се отбележи, че той всъщност няма клиентско приложение. Цялата функционалност за управление на пароли се реализира чрез уеб приложение и чрез добавки за браузър. Но въпреки това услугата по отношение на функционалността е доста мощна. Възможно е да обменяте пароли с приятели.
Базата данни с пароли е криптирана с AES-256 и се синхронизира между хранилището на плъгина и сървъра LastPass. Има и преносими версии, както приставки за браузър, така и самостоятелно приложение за Windows.
Също така си струва да се отбележи, че има собствени приложения за всяка мобилна платформа (включително webOS или Symbian). Освен това, например, за Android има както отделно приложение, така и плъгин за браузъра Dolphin.
По отношение на цената всичко е просто, има възможност за безплатно използване, има допълнителни платени функции. Премиум акаунт струва един долар на месец или $12 на година.
Като цяло има противоречиви усещания от услугата. От една страна, той е доста разпространен и е възможно да се използва на всички възможни и немислими платформи. От друга страна, услугата е разработена дълго време и днес няма усещане за блясък, присъщо на по-младите мениджъри на пароли.
- Mac, Windows, Linux
- Android, iOS, Windows Phone
My1login е стартиране, подобно на Lastpass, но с фокус върху споделянето на пароли. Базиран е на уеб приложение с възможност за редактиране на пароли и има JavaScript букмарклет за запазването им от формуляри и автоматичното им въвеждане. Основната убийствена функция на мениджъра на пароли е груповата работа с пароли: възможно е да се създадат няколко акаунта в рамките на организацията, възможно е да се контролира достъпът на различни хора до определени пароли. Такъв случай на използване е подходящ предимно за малки групи, които имат определена база данни от реквизити вътре. В този случай, например, след планирана промяна на паролата за определена услуга, няма да има нужда да изпращате нови данни на всеки потребител. Все още е малко по-безопасно, отколкото да съхранявате списъка някъде в wiki. Заслужава да се отбележи и интересно разрешение в две стъпки.
За съжаление този проект няма обширната инфраструктура, присъща на мениджърите на пароли за „възрастни“. Няма мобилни приложения, няма начин да работите с базата с пароли офлайн. Приставките за браузър също са по-удобни от отметките: те могат да се актуализират сами и да имплементират по-удобен интерфейс.
Затова да се надяваме, че My1login ще намери своя потребител и ще успее да запълни празнините в услугата.
- Mac, Linux
- отворените източници под GPLv3 ще повишат доверието в мениджъра и ще помогнат за формирането на общност за разработчици;
- внедряване в python, което ще направи възможно създаването на кросплатформено приложение за настолни клиенти;
- мобилните приложения ще ви позволят да работите с базата данни с пароли без компютър под ръка;
- синхронизирането чрез P2P ще избегне разходите за поддръжка на "облака" и ще намали вероятността от масово изтичане на подробности.
Всичко това изглежда много обещаващо, ако не и за едно „но“: докато по-голямата част от функционалността е само в плановете. В момента има добра реализация, която работи и се синхронизира под Linux и OS X. В най-добрите традиции на груповото финансиране авторът предлага на заинтересованите потребители да внесат пари, което му позволява да посвети 100% от работното си време на проекта. Като крайна цел летвата е поставена на $60 000 (което, трябва да се отбележи, е доста). Целият проект е публикуван в github, така че можете да следите напредъка на разработката. Честно казано, трябва да се отбележи, че темпът на развитие в момента трудно може да се нарече вдъхновяващ.
Във всеки случай декларираната функционалност изглежда доста „вкусна“, така че има смисъл да разгледаме по-отблизо този мениджър на пароли.
През последната година са били откраднати 4,2 милиарда пароли. Тази скандална цифра трябва да тревожи всеки, който се занимава с интернет. Федералната търговска комисия на САЩ анализира какво се случва с откраднатите идентификационни данни. След публикуване на откраднати влизания във Facebook, Google, Netflix и онлайн банкиране в хакерски форум, отнема средно само девет минути преди първия опит за влизане в акаунта ви. Тъй като двама от трима потребители използват една и съща парола за множество услуги, откраднат ключ отваря много врати наведнъж.
Горният номер също показва, че сега паролите могат да бъдат откраднати не само от отделни потребители, които се хванат на стръвта на фишинг съобщение. Хакерите са се насочили към големи услуги, които им обещават гигантски печалби. Големи ИТ концерни като Yahoo! и Uber.
Генериране на силна парола
Националният институт за стандарти и технологии на САЩ направи корекции в правилата за създаване на защитени кодове. Няколко иновации:
Дължина:Силата зависи от дължината на паролата. Колкото по-дълго е, толкова по-добре.
Никаква логикаБезсмислената бъркотия от букви е по-надеждна, отколкото си мислите. Но паролата не трябва да е цифров хеш.
Уникалност:Използвайте паролата само веднъж.
Преглед:С онлайн услугата Pwned Passwords можете да разберете дали вашите пароли се използват от някой друг или са станали публични.
Променете, ако е необходимо:Ако потребителските данни бъдат откраднати от сървърите на някоя услуга, на която сте клиент, сменете паролата си.
Съвсем наскоро проучванията показват средно 20-30 акаунта, защитени с парола, на потребител. Последните данни предполагат много по-голям брой. Един мениджър на пароли, използван за корпоративни цели, съхранява средно 191 пароли за бизнес клиенти. Но дори тези, които имат само десет акаунта, почти не спазват основното правило за сигурност: паролата не може да се използва повече от веднъж.
Защита за всички пароли
Именно това е проблемът, за решаването на който помагат десетте тествани от нас мениджъри на пароли, действащи като сейф за сигурни пароли и работещи на Android, iOS и Windows. Те съхраняват всички пароли централно на едно място. Тези продукти за безопасна защита използват мощно AES криптиране с практически неразбиваема дължина на ключа от 256 бита. Такава база данни може да бъде отключена само с правилната главна парола. По този начин потребителят не трябва да помни паролата за всеки от своите акаунти, а само главната парола, която отваря сейфа с всички останали кодове.
В същото време продуктите, които тествахме, работят според два различни принципа: осем мениджъра, включително първите три LastPass, 1Password и Dashlane, са онлайн услуги. Шифрованата база данни с пароли се съхранява в компютърните центрове на доставчика на услуги.
За потребителя това е най-удобното решение, тъй като паролите се използват не само на настолен компютър, но и на смартфони и таблети. В този случай, за да започнете синхронизацията, просто трябва да въведете вашето потребителско име и главна парола. Всички кодове ще бъдат на една ръка разстояние по всяко време и навсякъде. Подобни услуги обаче изискват да се доверите на доставчика и да се уверите, че главната парола наистина не е достъпна за него и няма начин да получите достъп до базата данни по друг начин.
Вторият принцип на работа, избран от разработчиците на такава популярна програма с отворен код като KeePass, както и от Steganos за неговия мениджър на пароли, е локалното съхраняване на базата данни с пароли.
Препоръчваме да започнете със съхранението на вашия компютър и едва след това да изтеглите мобилните устройства. И двете локални решения имат предимството да поддържат потребителя в пълен контрол над трезора. Поради тази причина дадохме на KeePass най-висок резултат в категорията Сигурност. Този метод е по-малко удобен, тъй като вие сами ще трябва да помислите как да получите пароли от вашия смартфон. Въпреки това KeePass е единствената програма, която може да взаимодейства с различни приложения, които четат този формат на база данни.
Например при тестване избрахме KeePass2Android (Android) и MiniKeePass (iOS). Всички други мениджъри на пароли вече идват в комплект с подходящи приложения.
Защита с двойна главна парола
Сигурността на мениджъра на пароли се основава на главната парола (вижте полето вдясно). Ето защо не ни е ясно защо половината от участниците в нашето тестване приемат дори такива елементарни кодове като "1234abcd".
Само 1Password, Dashlane и добре известни доставчици на антивирусни програми като F-Secure, Kaspersky и Avira изискват по-сложни главни пароли. Също толкова важно е да защитите сейфа си с други средства - в това отношение инструментите на антивирусните експерти са откровено хакерски.
Избор на главна парола
Използване на предложения.Забавна реплика от сериал на Netflix или поговорката на баба ви е чудесна основа за вашата парола. Можете също да се обърнете към вашето хоби. Фразата „Обичам да чета списание Chip“ може да е добра идея.
Използване на главни и малки букви.правилен правопис -
по-скоро недостатък за паролата. ILovereadChipMagazine изглежда по-добре от гледна точка на сигурността.Вграждане на специални знаци.Можете също да добавите няколко специални знака: „ILove/readChipMagazine2018$“.
Двойна автентификация.Уверете се, че сте активирали двуфакторно удостоверяване, за да осигурите допълнително достъп до мениджъра на пароли.
Той е интегриран във всички добри диспечери, тоест в допълнение към главната парола за достъп до хранилището трябва да въведете втория фактор. В този случай можете да сте сигурни, че дори ако главната парола заедно с базата данни попадне в неподходящи ръце, достъпът до нея ще бъде затворен.
Независимо от това общата безопасност на диспечерите е на високо ниво. Лидерите на нашия тест, LastPass, Dashlane и Keeper Security, печелят с добре внедрени проверки за сила на паролата, изчисляват дубликати и дори предлагат резервна опция. Всички продукти не само запазват идентификационни данни, но и създават сигурни пароли - всеки от тях има интегриран собствен генератор.
На практика обаче техните технологии се различават: LastPass, KeePass и Avira Password Manager вършат най-добра работа. Техните генератори е невъзможно да бъдат пропуснати, а освен това показват визуално дължината на паролата. Мобилното решение от Kaspersky не е толкова удобно: в мобилните приложения няма генератор, така че силните пароли могат да се създават само в настолната версия.
Идентификационни данни за приложения и уеб услуги
По отношение на лекотата на управление, уеб услугите водят и не става дума само за опростена синхронизация. По-специално, 1Password, LastPass и Dashlane демонстрират как да създавате приложения по правилния начин и да сте в крак с най-новите технологии. Например, и трите доставчика много бързо адаптираха приложенията си към скенера за Face ID на iPhone X. Освен това биометричното отключване е много по-удобно от въвеждането на дълги главни пароли.
Всички мениджъри на пароли предлагат автоматично попълване на идентификационни данни в браузъра за влизане в сайта. За Windows програми и приложения на смартфони и таблети този метод не работи. Тук ще бъде най-лесно да копирате и поставите данните в съответните полета. Android, за разлика от iOS, прави това лесно. За системата на Apple разработчиците на приложения трябва да интегрират специфични функции, за да работят с мениджъри на пароли. Във всеки случай, за нашите лидери - LastPass, 1Password и Dashlane - има дълъг списък от поддържани приложения, които работят без клипборда.
Всички решения имат функция за търсене за бързо откриване на данни. Само 1Password, KeePass и Steganos обаче позволяват интегрирането на множество бази данни, благодарение на което потребителят може например да раздели лични и работни акаунти. Функцията "Любими" също е много полезна за показване на често използвани пароли - така маркираните данни са винаги в горната част на списъка.
Влезте в Windows без парола
Мениджърите на пароли съхраняват всички идентификационни данни. Ситуацията с влизането в Windows е по-сложна, защото все още нямате достъп до сейфа. Microsoft интегрира функцията Windows Hello в челната десетка, благодарение на която удостоверяването на потребителя може да се извърши чрез сканиране на пръстов отпечатък, разпознаване на лице или разпознаване на ириса. Устройства като , вече разполагат с технически средства, тъй като обикновена уеб камера не е достатъчна.
По-добро от хранилището в браузъра
Всички участници в нашия тест се интегрират в браузърите Chrome и Firefox, но само четирима участници в теста могат да се справят с Microsoft Edge: LastPass, 1Password, Keeper Security и True Key. Говорейки за браузъри, техните вградени мениджъри са просто хранилище, в което липсват важни допълнителни функции, като например генератор на пароли. Съветваме ви да се обърнете към специални инструменти, за да не загубите спокойствие и сън заради ужасяващата новина за милиони откраднати идентификационни данни.
@sam901 , добре, Артьом пише за това. Ако не искате програмата да „променя правилата“ заедно със собственика, запазете паролите си за себе си. Иначе къде е гаранцията, че някой ден няма да се продават заедно с програмата? :)
Въпреки че, повтарям, не съм правно силен, но според мен това е измама на потребителите, които са платили пари за програмата и на Запад би било възможно да ги съдите. Ако искате да продадете бизнес, продайте го, а потребителските данни и достъпът до тях трябва да останат на собствениците. Поне трябва да има възможност за разтоварване.
И тъй като „това се случва навсякъде“, моля, дайте поне няколко примера. :)
@Soloqub, поне скайп. Имаше p2p услуга. MS беше изкупен и заменен с традиционна централизирана клиент-сървър архитектура. И двата варианта имат своите плюсове и минуси. За някои предимствата на p2p бяха много важни и имаше два избора - да се съгласят с промяна в правилата или да сменят услугата. Никой няма да поддържа стария протокол.
Е, има много примери, когато се изкупуват услуги, затварят се и това е. Край на потребителските данни, отидете където пожелаете. Picasa, например. И е добре, ако се предостави някакъв план за миграция.
Имам доста контра въпрос, но какво не е наред? Бизнесът не е длъжен да прави нищо извън това, което изискват законите. И тогава има EULA, където всичко е перфектно разписано, кой какво дължи и на кого. И фактът, че старата версия ще спре да работи. А това, че в новата версия трябва да подпишете нов EULA, с който давате съгласие да изпращате данните си към сървъра и т.н. и т.н. Не сте съгласни - не подписвайте и изтрийте заявлението.
Изборът на услуга винаги е компромис. Следователно статията изглежда доста странна, т.к. едностранчив и параноичен. Има избор - има напълно офлайн услуги като keepass. Има облачни с различни правила на работа. lastpass, който използвам, е базиран на облак, но съхранява офлайн версия на компютъра. Дори при липса на интернет достъпът до пароли остава, няма отворени пароли на сървърите, главната парола също не се съхранява у дома и т.н. Вместо параноя и ограничено разглеждане на проблема, би било по-добре да подредите избора на пазара, а не да гребете всички на една купчина.
@sam901 май не разбираш много добре ситуацията. Vkarmane и беше напълно офлайн програма, която съхранява данни на устройствата на потребителите. След откупа Тинков „предложи“ да му прехвърли всички данни на сървърите (сега те ще бъдат достъпни само онлайн) или да забрави за тях.
Няма начин просто да вземете своя собствена. Всъщност Тинков не е купил бизнес (той е съмнителен), а потребителски данни. И тук има големи съмнения относно законността на такава покупка.
Тук сравнение със Skype не може да има. Мисля, че 99% от потребителите на Skype дори не са забелязали миграцията към централизирана архитектура. А тези, които забелязаха, загубиха възможността да използват услугата, но не загубиха нищо, което им принадлежи, за разлика от потребителите на Vkarmane.
@Soloqub, ето защо ЛСКП си струва да се прочете. Защото сигурно има ред за съгласие за обработка на всички данни и куп други неща. Ама никой не чете, а всички искат да тичат по съдилищата.
Що се отнася до разбирането, говорех за промяна на правилата на играта и това е нормално и се случва навсякъде. Няма нужда да навлизам в подробности за конкретна ситуация, която в по-голямата си част е подобна.
Що се отнася до миграцията на Skype, явно не разбирате същността на такава миграция. p2p архитектурата означава, че собственикът на услугата не може да записва / слуша разговори. Трафикът преминава директно от устройство на устройство. Промяната в архитектурата означава пълен контрол на MS върху гласовия трафик, пълен достъп до него от специални услуги, рекламни ботове и др. и т.н. Това е важно и не по-малко сериозно от внезапното качване на вашите документи в облака.
Е, не изопачавайте фактите. Никой от твоя пример не е загубил нищо. Наличен онлайн - наличен. Всичко.
@sam901 , Разбира се, трябва да прочетете EULA, това също не е истината от последна инстанция. В противен случай, възползвайки се от факта, че никой не ги чете, там ще може да се въведе каквото и да е, че като изтеглите приложението им прехвърляте собственост върху апартамент и т.н. Следователно въпросът не е само в ЛСКП, а в принцип за законосъобразност на такова действие.
И спри да сравняваш меко със солено. Skype никога не е позиционирал комуникационните си канали като сигурни. Никой не го е използвал като такъв.
Преходът към централизирана архитектура не е нищо повече от вътрешната кухня на Microsoft. Потребителите не мислят за такива неща, както не мислят за това по какви маршрути отиват пакетите от тях до сайта на iphone и обратно. Не им пука.
Що се отнася до Picasa, тази услуга просто спря да работи, освен това Google предупреди за това доста предварително. Потребителите не са загубили снимките, които са били съхранявани локално и са били добавени към програмата, те не са открили, че тези снимки ще бъдат качени на сървърите на неизвестна банка и ще бъдат достъпни само след приемане на условията на тази банка. Тези случаи изобщо не могат да се сравняват.
И вие изопачавате фактите. Достъп до документи имат само тези, които напълно приемат условията на Тинков и му предоставят необходимите данни, като телефонен номер.
