Так ли надёжны менеджеры паролей и как ими пользоваться. Рассказали эксперты по кибербезопасности
Компьютер, почта, несколько социальных сетей за день, «Госуслуги» — каждому сегодня приходится хранить в голове десятки всевозможных паролей. Их всех можно поместить на специальные защищённые сервисы или в программы — так называемые менеджеры паролей. Но насколько это будет безопасным — выяснял корреспондент «Секрета». Что такое менеджеры паролей Менеджеры паролей — это специальное программное обеспечение, которое помогает пользователю работать с паролями и PIN-кодами, хранить информацию о логинах и паролях в зашифрованном виде и подставлять её в нужные поля для безопасной авторизации на разных сайтах. Специальные программы для управления паролями существуют уже несколько десятилетий. Всё началось в 1997 году, когда американский криптограф Брюс Шнайер создал первый в мире менеджер паролей — Password Safe. Это была очень простая программа с минималистическим интерфейсом. В ней находилась база данных с паролями в виде обычных папок. Вся база была, естественно, зашифрована. Чтобы открыть базу, надо было ввести один пароль, который вы сами выбирали. Прошло больше 20 лет и менеджеры паролей стали значительно сложнее. В них можно хранить сегодня не только пароли от почты и соцсетей, но и фотографии документов, данные банковских карт, какие-то сверхважные для вас файлы — например, скрины важных переписок. Типы менеджеров паролей, их плюсы и минусы Если сильно упрощать — всего есть два вида менеджеров паролей, отличающихся системой хранения данных: - Облачные версии — это когда ваши данные хранятся на сторонних облачных сервисах. Такие версии позволяют легко синхронизировать на разных устройствах. - Коробочные решения. Все данные хранятся на вашем же устройстве. Риск утечек здесь сведён до минимум. Однако, если ваш телефон или компьютер будет украден, злоумышленники смогут попробовать получить доступ к вашим паролям. Основной минус облачных версий — возможные дыры в безопасности. Даже психологически сложно доверить хранение своих паролей какой-то компании, арендующей мощности неизвестно где находящегося дата-центра. Хотя считается, что такая система хранения всё равно безопасна — она использует 256-битное AES-шифрование, принятое правительством США как стандарт. По словам директора по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павла Кузнецова, такое шифрование надёжное. «При достаточной длине мастер-пароля (минимальную вам подскажет сам менеджер) этого вполне достаточно для того, чтобы сделать дешифрование учётных данных непозволительно трудозатратным для злоумышленника, даже если ему удастся получить доступ к вашему устройству и хранилищу парольного менеджера», — объяснил «Секрету» эксперт. Компании, производящие облачные решения, не обладают доступом к данным клиентам, либо заявляют о неразглашении таких данных. Но чисто логически совершить атаку на облачный сервер возможно. Такие атаки уже были: например, в конце 2022 года хакерам удалось украсть данные из менеджера паролей LastPass. Хакеры заполучили IP-адреса, имена клиентов, адреса электронной почты, платёжные адреса и сами пароли — правда, в зашифрованном виде. Неизвестно, удалось ли их в итоге взломать, но очевидно, что в любое случае хакеры пытались это сделать. Большинство современных менеджеров паролей мультиплатформенные: их можно скачать на Iphone и Android, а также на компьютер. Во многих менеджерах есть бесплатная версия, она обладает всеми основными функциями, нужными обычному юзеру. Кроме хранилища для паролей, в них есть встроенный генератор, позволяющий придумывать сложные (т. е. безопасные) пароли. Некоторые сервисы позволяют получать доступ к файлам сразу нескольким людям — например, коллегам, друзьям. У некоторых программ также есть живая служба поддержки. Как пользоваться менеджерами паролей У большинства популярных версий есть как бесплатные, так и платные версии, последние немного расширяют возможности и дают дополнительные опции. Однако для своей базовой задачи — хранения паролей — бесплатные более чем подходят. Их мы тут и рассмотрим. У некоторых платных версий нет бесплатного варианта, но есть демоверсии. После окончания тестового периода вам придётся платить. В бесплатных же менеджерах достаточно пройти обычную регистрацию. Она простая: вам надо просто ввести имя, почту и придумать минимум 12-значный пароль. Некоторые из менеджеров придётся скачивать как обычную программу. Другие представляют собой обычный сайт, на котором у вас есть свой аккаунт. Интерфейс у таких менеджеров обычно простой. Сбоку или сверху находится панель управления. Есть специальные клавиши, чтобы создать новую базу. В неё и будут загружаться пароли. Придумываем имя хранилища и выбираем, что мы хотим в него загрузить. Обычно туда можно поместить пароли, логины, данные банковских карт (ваше имя, ПИН-код, номер карты и т. д.), а также какие-то заметки и даже фотографии. Некоторые базы позволяют хранить Seed-фразы (ключи) от криптокошельков. Для доступа ко всем этим данным достаточно ввести один мастер-пароль, который вы создавали при регистрации. Большинство подобных менеджеров можно синхронизировать с любыми сайтами, где нужно вводить ваши учётные данные. Эту информацию вначале надо добавить в программу, сохранить, а потом либо через специальные расширения, либо через заранее заданное сочетание клавиш они автоматически вводятся на сайтах. Также обязательной опцией таких программ будет «Генератор паролей». В нём можно проверить безопасность вашего пароля либо попросить компьютер самому придумать вам сложный пароль. Безопасны ли менеджеры паролей Некоторые опрошенные «Секретом» эксперты по кибербезопасности считают, что пользоваться менеджером для хранения паролей безопаснее, чем не пользоваться им совсем. Но напомнили, что случаи взломов их не редкость. По словам консультанта по интернет-безопасности компании Positive Technologies Алексея Лукацкого, уже упомянутый LastPass подвергался за время своего существования не одной атаке. Были атаки и на другие менеджеры паролей. «Так, недавно в один opensource-менеджер хакеры внедрили вредоносный код. Если пользователь с российским IP-адресом заходил в программу, на его компьютере начинал играть украинский гимн», — отмечает эксперт. Часто причиной компрометации менеджеров становились ошибки при хранении информации, добавил Лукацкий. Данные находились в открытом виде, получение доступа к компьютеру клиента, где был установлен менеджер, позволял завладеть всеми этими данными. «Были также случаи, когда парольные менеджеры использовали слабую криптографию, которую было легко сломать. Ну и конечно, были атаки, когда вредоносный код маскировался под пользователя и получал доступ от его имени к локальному хранилищу паролей», — рассказывает Лукацкий. Директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павел Кузнецов приводит в пример также атаки, когда хакерами создавались специальные утилиты. В случае если у преступников был доступ к компьютеру жертвы, с помощью этих программ они получали данные из популярных менеджеров паролей. Но в целом специалисты по кибербезопасности рекомендуют пользоваться менеджерами паролей. Они могут повысить ваш уровень защиты. К примеру, те же разработчики охотно прибегают к ним. Хотя часть разработчиков признались, что сами они не используют эти менеджеры, а записывают все пароли по старинке — в блокнот. «Разработчикам надо ежедневно получать доступ в десятки внутренних, а иногда и внешних сервисов, непосредственно связанных с производственным процессом», — отмечает Кузнецов. При выборе менеджера программисты смотрят на репутацию компании-разработчика, изучают инциденты по его компрометациях и сравнивают технические характеристики. По словам Лукацкого, обычным юзерам при работе с такими менеджерами надо соблюдать стандартные меры безопасности: Регулярно обновлять эти программы. Выбирать надёжный мастер-пароль для доступа к хранилищу. Эксперты по кибербезопасности компании F.A.C.C.T дали следующие советы, как сделать ваше взаимодействие с менеджером паролей надежнее: Обновляйте пароль раз в 3–6 месяцев. Не пренебрегайте использованием дополнительных функций безопасности своих учётных записей, таких как двухфакторная аутентификация. В качестве одного из вариантов надёжного хранилища можно воспользоваться облаком, в котором вы настраиваете синхронизацию с созданным ранее файлом. Каждый раз при изменении базы данных паролей, обновлённый файл автоматически будет загружаться в ваше облако. Если вы не доверяете такому методу, копию зашифрованного файла можно всегда держать на флешке в сейфе. Ну и конечно же, стоит быть внимательным и постараться не забыть сам пароль от вашей базы. Ведь без него все ваши пароли будут безвозвратно утеряны.