4 Речі Зберігати Паролі від Сайтів - Плюси і Мінуси

Питання про безпечне зберігання логінів і паролів від сайтів в даний час дуже актуальний. Кількість інтернет-шахраїв і різноманітних хакерів з кожним роком зростає, і кращий захист від них - відповідальне (хоча б перед самим собою) і обережне використання комп'ютерів і гаджетів з виходом в мережу. Безпечне зберігання паролів від сайтів - одна з головних запобіжних заходів.

Про способи зберігання паролів від сайтів

Коротко розглянемо 4 способи зберігання паролів, якими користується більшість інтернет-користувачів.

  1. Локальне (на комп'ютері / телефоні) зберігання в запаролений текстовий файл, якому-небудь цифровому документі офісного формату (DOCX, PDF, XLSX і т.д.). Текстові файли можна, наприклад, зашифрувати в архів (ZIP, RAR і ін.), Захистивши той складним паролем. А у випадку з офісними документами, то їх можна зашифрувати в самому редакторі при збереженні файлу - в тих же Microsoft Word і Excel присутня така функція. Спосіб надійний, якщо задати складний пароль, але абсолютно незручний - про автоматичне заповнення форм введення логіна / пароля на сайтах можна забути.
  2. Зберігання паролів в зашифрованому хмарному сховище на віддаленому сервері, що також досить надійно, але знову-таки зовсім зручно з тих же самих причин. Зате, на відміну від першого способу, доступ до паролів можна отримати з будь-якої точки світу. Втім, зашифрований файл можна також розмістити в хмарі або витончений будь-яким іншим способом.
  3. Зберігання прямо в браузері при використанні відповідної вбудованої функції будь-якого сучасного веб-оглядача. Цей спосіб, навпаки, найзручніший, але не найнадійніший. Якщо мова йде, наприклад, про паролі від онлайн-банків, то краще не покладатися на вбудовані механізми безпеки браузера.
  4. Зберігання в спеціальних програмах або розширеннях (плагинах) для браузерів - менеджерах паролів. Даний спосіб поєднує в собі і зручність, і надійність. Але є і недоліки. Для багатьох користувачів використання парольного менеджера - не найпростіше завдання, так як вона вимагає скачування, установки і попереднього налаштування даної програми або розширення. До того ж, в більшості випадків для використання менеджерів паролів потрібно розщедритися, але, на щастя, це зовсім недорого, особливо при використанні вітчизняних програм.

З розглянутих вище найбільш популярними є способи зберігання паролів від сайтів в браузері або спеціальних пральних менеджерах (в т.ч. розширень для браузерів). Про них і поговоримо.

Зберігання паролів в браузері

Явною перевагою цього способу є зручність, наприклад:

  • Користувач звільняється від установки будь-яких додаткових програм або розширень, створення захищених архівів або запаролених документів.
  • Не потрібно будь-яким особливим чином налаштовувати сам браузер - все це вже зроблено за користувача. Щоб занести логін / пароль в сховище браузера, досить натиснути на одну єдину кнопку, погодившись на збереження. Так само просто і задіяти автоматичне заповнення веб-форм.
  • Паролі, збережені в браузері, доступні на будь-якому пристроїв - комп'ютері, смартфоні і т.д. Для цього буде потрібно лише зареєструватися на сайті розробників веб-оглядача, а потім виконати вхід в один і той же обліковий запис на всіх пристроях.

Однак у плані безпеки спосіб зберігання паролів в браузері можна назвати найнадійнішим.

Тому що:

  • За замовчуванням (без попередніх налаштувань) паролі в браузері зберігаються в «чистому» вигляді, тобто незашифрованими. Щоб побачити і викрасти всі збережені паролі, зловмисникові навіть не потрібно запускати веб-оглядач - досить знайти (а це нескладно) спеціалізований файл з паролями на жорсткому диску.
  • Як «заплатки» цієї «дірки» в системі безпеки браузерів використовується парольне шифрування того самого спецфайла з паролями. Доступ до нього неможливо буде отримати без запуску браузера. При спробі використання збереженого пароля або перегляду всіх паролів потрібно ввести раніше заданий ключ дешифрування. Але вводити його потрібно, як правило, всього один раз за сесію, так як база з паролями буде залишатися розшифрованої до закриття браузера. І це ще одна «діра» в механізмі безпеки оглядача. Якщо якось вийшло, що зловмисник (або просто «перекласти») - це колега по роботі, то він просто дочекається, поки користувач введе ключ дешифрування і залишить свій комп'ютер без нагляду на пару хвилин.
  • Паролі, що зберігаються в одному браузері, недоступні в інших, використовуваних користувачем. Звичайно, паролі можна перенести шляхом експорту файлу з одного оглядача і подальшого імпорту в інший. Але, знову-таки, це зажадає від користувача копатися в настройках. І ще не факт, що експортований файл з одного браузера буде перенесений в тому ж вигляді в іншій.
  • У браузерах часто відсутні додаткові зручні інструменти по роботі з паролями. Наприклад, немає автоматичної функції перевірки складності і надійності парольної фрази. Відсутня або менш функціональний вбудований генератор складних паролів, наприклад, не можна вибрати тип використовуваних в паролі символів. Не можна зберігати разом з паролями будь-які інші дані - замітки і т.п.

Зберігання паролів в спеціалізованих програмах

Набагато більшими перевагами у плані безпеки мають спеціалізовані парольні менеджери. Хорошим прикладом тут може послужити система зберігання паролів MultiPassword. Складається вона з двох основних частин - захищеного хмарного сховища і кінцевого користувача ПО, куди відноситься настільний (десктопних) додаток і розширення для браузера.

multipassword extension

Високу безпеку використання MultiPassword пояснює принцип її роботи:

  1. Доступ до віддаленого сховища можливий тільки після авторизації в системі MultiPassword, для чого буде потрібно спеціальний секретний ключ і майстер-пароль. Зламати користувальницький аккаунт MultiPassword неможливо при використанні стандартних методів перебору пароля (так ка кпотребуется ще й секретний ключ). Цього, до речі, не можна сказати про зашифрованому файлі, в якому браузери зберігають паролі - тут файли не захищені від злому шляхом перебору ключів доступу.
  2. Введені в додаток / розширення MultiPassword дані перед відправкою шифруються на призначеному для користувача пристрої і передаються на приділений сервер в зашифрованому вигляді. Це виключає можливість перехоплення паролів десь посередині між комп'ютером або телефоном і серверами MultiPassword при використанні сніффінга і інших методів аналізу, а також перехоплення мережевого трафіку. Так, зловмисники зможуть перехопити якийсь трафік (особливо, якщо для виходу в інтернет використовуються публічні точки доступу до мережі WiFi), але він для них залишиться абсолютно марним набором незрозумілих символів.
  3. Всі додатки (включаючи розширення для браузерів) MultiPassword за замовчуванням налаштовані таким чином, що при тривалому (кілька хвилин) бездіяльності користувача інтерфейс програми / розширення автоматично блокується. Це знижує ризики витоку паролів з комп'ютера / телефону з необережності користувача (забув заблокувати вручну, залишивши комп'ютер включеним).

Разом з більш високим (у порівнянні з вбудованими інструментами браузерів) рівнем безпеки парольний менеджер MultiPassword володіє і зручностями:

  • Програма доступна для різних платформ (Windows, MacOS, iOS, Android і ін.), Що забезпечує доступ користувача до своїх паролів з будь-яких сучасних пристроїв.
  • При використанні розширення для браузера стає можливим автоматичного збереження паролів в системі MultiPassword і автоматичного заповнення полів введення логіна / пароля на веб-сайтах.
  • Можливість зберігання в зашифрованому вигляді взагалі будь текстової інформації з прив'язкою до конкретного сайту або просто так.
  • Можливість створення необмеженої кількості сховищ (каталогів) для розбивки паролів і інших даних на зручні для користувача категорії.
  • Можливість імпорту в систему MultiPassword паролів з браузерів і інших менеджерів.
  • Наявність автоматичної системи оцінки надійності паролів і генератора пральних фраз за основними критеріями (довжина, тип використовуваних символів).

multipassword site

Система зберігання паролів MultiPassword має і свої недоліки, властиві, всім аналогічним парольним менеджерам. Програму / розширення потрібно окремо завантажувати, встановлювати та налаштовувати (хоча все це нескладно і займає пару хвилин). Щоб використовувати систему MultiPassword більше 30 днів (стільки часу дається на випробування), доведеться оформити підписку. Радує, що ціна власної безпеки становить символічні 50 рублів на місяць.