15.04.2015

Обзор менеджеров паролей

image

Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.

Автор: Maria Korolov

Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.

Кроме того, с точки зрения безопасности пароли должны быть длинными и состоящими вперемешку из цифр и символов в различных регистрах. Ах, да, еще ведь желательно менять пароли раз в 3-6 месяцев. Догадались к чему я клоню?

Все верно. Пора начать использовать менеджер паролей (если вы еще этого не сделали). Для тех, кто уже пользуется подобным софтом, также будет не лишним ознакомиться с этим обзором. Ниже представлены менеджеры паролей для пользователей с любым уровнем требований и толщиной кошелька (есть и бесплатные, но менее удобные варианты).

Плюс к этому, лидеры рынка предлагают удобные решения для бизнеса. Если сотрудники вашей компании для хранения паролей (которые, как правило, легко подобрать) все еще используют свою память, то, возможно, вы также сможете выбрать подходящий вариант.

Dashlane

Наилучший менеджер паролей, представленный на рынке. Программа позволяет изменить сразу несколько паролей в один клик и поддерживает двухфакторную аутентификацию. Кроме того, есть возможность использования общих паролей внутри одной команды.

«Dashlane появился на рынке недавно, но за свой дружелюбный интерфейс уже завоевал симпатии представителей малых и средних бизнесов», - рассказывает Дэниел Хамфриз (Daniel Humphries), исследователь компании Software Advice.

Стоимость Dashlane – 40$ долларов в год на одного пользователя, но есть бесплатная версия для одного устройства.

«Существует множество случаев, когда дело доходит до менеджеров паролей, и владельцы бизнесов всегда могут решить, следует ли купить полную версию или использовать бесплатную в зависимости от нужд и приоритетов», - говорит Хамфриз. Хорошая новость в том, что даже в бесплатных версиях есть множество функций.

В бесплатной версии Dashlane вы сможете «пощупать» интерфейс, включая менеджер паролей и автоматический заполнитель форм, и совместно использовать до 5 учетных записей.

В Dashlane можно назначить доступ к хранилищу аккаунтов (и к заполнителю форм) достоверному лицу, если вдруг с вами что-то случится. Так что вам не придется каждый раз вводить свой адрес.

Функция смены пачки паролей в один клик на данный момент присутствует только в Dashlane. Сюда входят более чем 160 наиболее популярных сайта, включая Facebook, Twitter, LinkedIn, Pinterest, Amazon, Dropbox и Evernote. Данная возможность очень пригодится в том случае, если вдруг вы заподозрите, что ваши учетные записи скомпрометированы.

При совместном использовании паролей вы полностью контролируете, кто пользуется общими аккаунтами (при необходимости можно изменить уровень доступа). Данная функция очень полезна, если несколько сотрудников вашей компании совместно работают под одним аккаунтом в социальной сети.

Автоматическая авторизация работает даже с многостраничными сайтами (например, банковскими сайтами). Пароли, информация в формах и заметки шифруются и сохраняются в любом месте на ваш выбор (локально или в облаке).

Кстати, компания Apple только недавно разрешила доступ к мобильному приложению Safari для сторонних менеджеров пролей. Ранее пользователи в iOS должны были копировать и вставлять информацию в формах вручную.

LastPass

Ранее LastPass был моим фаворитом, хотя я и сейчас продолжаю пользоваться этим менеджером паролей.

Существует корпоративная версия LastPass с синхронизацией через службу Active Directory, настраиваемыми политиками (подключение, отключение и добавление новых пользователей) и единой авторизацией в популярных облачных сервисах, включая Office 365, Google Apps, Salesforce, Wordpress и других.

Поддерживая как программная, так и аппаратная многофакторная аутентификация, включая YubiKey USB keyfob, toopher и Duo Security.

Кроме того, в LastPass есть бесплатная функция мониторинга кредитной истории. При работе в сомнительных системах и сетях генерируются одноразовые пароли.

Согласно заявлениям Сида Феррара (Cid Ferrara), вице президента по продажам в LastPass, на данный момент в компании более 10 тысяч корпоративных клиентов, компании некоторые из которых входят в список Fortune 500.

Цена колеблется от 18$ до 24$ в год за одного пользователя в зависимости от объема заказа.

Как и Dashlane, LastPass позволяет сохранять пароли во время авторизации на новых сайтах. Однако могут возникнуть проблемы, если сотрудник пользуется сервисами, не имеющими отношение к деятельности компании.

«Следует позаботиться о пользователях, которые на рабочем месте пользуются личными учетными записями, например, для доступа к банковским счетам, чтобы потом не столкнуться с исками в суд», - говорит Рэнди Абрамс (Randy Abrams), руководитель отдела исследований компании NSS Labs (город Остин, штата Техас).

В LastPass есть решение этой проблемы.

Сотрудники могут использовать корпоративное и личное хранилище паролей, однако руководство компании имеет доступ только корпоративному хранилищу.

Когда сотрудник уходит из компании, все корпоративные учетные записи могут быть удалены – а персональные пароли остаются нетронутыми.

Лично я пользуюсь персональной версией LastPass, но интерфейс этого менеджера довольно громоздкий и неудобный. Возможно в будущем, когда закончится подписка, я перейду на Dashlane.

К примеру, чтобы в LastPass поменять пачку паролей нужно создавать и менять пароль поочередно для каждого сайта. Весь процесс довольно хорошо автоматизирован, но все равно не так удобен, как в DashLane, где можно поменять несколько паролей одним кликом мыши.

Хотя корпоративная версия LastPass наиболее сильный конкурент для DashLane.

KeePass

Многие из наших читателей для персонального использования, возможно, предпочтут KeePass.

«Я предпочитаю KeepPass, поскольку этот менеджер паролей бесплатен, с открытым исходным кодом, интегрирован с Windows User Account Control и не является плагином к браузеру», - говорит Джейсон Фоссен (Jason Fossen), инструктор подразделения SANS Institute (город Вифезда, штат Мэриленд). «С точки зрения безопасно не совсем хорошо, когда наиболее важная информация – пароли и номера кредитных кар – хранится в браузере, который легко может стать жертвой вредоносной программы».

Джэйсон говорит, что KeePass – отдельное приложение и не является плагином браузера.

«KeePass поддерживает скрипты для PowerShell, что позволяет создавать решения под специальные нужды», - добавляет Джейсон.

KeePass – бесплатная альтернатива для «аскетов», не особо придирчивых к удобству и функциональности, но желающих серьезно повысить свою защищенность.

1Password

Еще один менеджер паролей, позволяющий использовать совместные учетные записи, - 1Password.

«Я настоятельно рекомендую менеджер паролей с защищенным хранилищем», - говорит Стив Хултквист (Steve Hultquist), главный евангелист компании RedSeal (город Саннивейл, штат Калифорния). «Подобные приложения позволяют вам автоматически генерировать полностью уникальные пароли для каждого сайта и автоматически заполнять формы во время работы на стационарных компьютерах, мобильных устройствах и в других приложениях».

Как Dashlane и LastPass, 1Password поддерживает большинство браузеров, автоматически заполняет формы и имеет версии как для iOS, так и для Android платформ.

Blur

Особенность Blur в том, что, помимо генерации длинного уникального пароля, этот менеджер создает одноразовый адрес для маскировки вашей реальной электронной почты.

Как и в других платных менеджерах, в Blur предусмотрена бесплатная версия. Расширенная версия (за счет которой компания получает доходы) стоимостью 40$ позволяет генерировать одноразовые номера кредитных карт с расходными лимитами, защищающими пользователя от скрытых комиссий и кражи информации. Кроме того, можно замаскировать номера телефонов.

«Всем пользователям интернета следует завести менеджер паролей», - говорит Роб Шейвелл (Rob Shavell), глава компании Abine. «Менеджеры паролей становятся все более удобными, экономят время, но в то же время хорошо защищают конфиденциальную информацию. Вне зависимости от размера вашего бизнеса, следует обратить внимание на эти приложения».

Помимо своего собственного детища (Blur), Шейвелл также рекомендует LastPass, 1Password, Dashlane и PasswordBox (см. ниже).

PasswordBox

PasswordBox недавно был приобретен компанией Intel. На данный момент полная версия бесплатна для всех пользователей.

Кроме того, в будущем планируется реализация функции «True Key», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).

Большинство менеджеров паролей используют мастер-пароль, то есть пароль для разблокировки доступа ко всему хранилищу. Основная идея заключается в том, что намного проще запомнить один очень длинный пароль, чем десятки и сотни паролей для каждого сайта.

Однако мастер-пароль также не совсем удобен, особенно если менеджер блокируется из-за неактивности компьютера или мобильного устройства (хотя, с точки зрения безопасно, блокировка желательна).

«Всесторонняя поддержка крайне важна», - говорит Андре Бойсен (Andre Boysen), главный специалист по идентификации в компании SecureKey Technologies (город Норт-Йорк, провинция Онтарио). «Доступ к хранилищу паролей всегда будет одной из первостепенных целей злоумышленников».

Утверждается, что PasswordBox наиболее надежный менеджер паролей. На данный момент количество загрузок превышает 14 миллионов. Для сравнения: утверждается, что LastPass используют около 6 миллионов пользователей.

Кроме того, в PasswordBox есть функция назначения достоверного пользователя, который сможет получить доступ к хранилищу, если с вами что-нибудь случится. Также можно совместно использовать учетные записи среди сотрудников или членов семьи.

RoboForm

RoboForm – самый старый среди менеджеров паролей, упомянутых в этом обзоре. Первая версия RoboForm была выпущена в конце 1999 года.

У RoboForm есть одна уникальная функция, позволяющая пользователю одновременно авторизоваться на нескольких сайтах. Очень удобно, если вы ежедневно пользуетесь несколькими сервисами. Также есть портативная версия RoboForm2Go, которую можно установить на флешку.

Как и другие менеджеры паролей, RoboForm поддерживает все основные браузеры и устройства. Можно выбрать облачный сервис для синхронизации на всех устройствах или хранить данные локально. Однако в последнем случае вы не сможете получить доступ к хранилищу с других компьютеров и мобильных устройств.

В корпоративной версии RoboForm можно настраивать групповые политики, интеграцию с Active Directory, восстановление мастер-пароля и совместное использование учетных записей. Поддерживается автоматическое создание аккаунтов для групп пользователей и учетных записей, ограниченных по времени.

StickyPassword

В StickyPassword есть уникальная функция для синхронизации при помощи Wi-Fi сети (если вы по каким-то причинам не хотите использовать облачный сервис).

Поддерживается работа с USB-устройств, биометрия и автоматическое заполнение форм. StickyPassword адаптирован для всех наиболее популярных платформ, браузеров и устройств.

Стоимость полной версии с поддержкой синхронизации через Wi-Fi всего лишь 20$ в год (самый дешевый вариант среди всех остальных менеджеров из этого обзора).

В компании утверждают, что StickyPassword используют 2 миллиона пользователей. Кроме того, на основе StickyPassword была разработана технология VIPRE Password Vault (компанией ThreatTrack Security) и менеджер паролей Kaspersky Password Manager.

К сожалению, в StickyPassword не предусмотрена корпоративная версия, что делает этот менеджер паролей не особо пригодным для бизнеса.

«Если компания собирается использовать менеджер паролей, следует убедиться в том, что приложение поддерживает уровень дистанционной управляемости, соответствующий нуждам бизнеса», - говорит Рэнди Абрамс (Randy Abrams), директор NSS Labs (город Остин, штат Техас).