Руководство Скептика по Менеджерам Паролей

Руководство Скептика по Менеджерам Паролей

Вы, скорее всего, неоднократно встречались с такими приложениями как менеджер паролей. Они рекламируются на технических блогах и в журналах, на форумах безопасности и т.д., и сразу вам в голову приходят мысли:

  • «Это золотая жила для хакеров!»
  • «Эта вещь действительно безопасна и надежна?»
  • «Зачем мне ставить все свои пароли в стороннем приложении?»

Я не прав? На самом деле вы имеете полное право узнать почему именно вы можете доверять подобному приложению, которое предлагает хранить все ваши пароли и личную информацию. Посмотрим, а можно ли решить ваши проблемы менеджеров паролей.

Эта заметка написана для тех, кто не имеет ни малейшего представления о том, что такое менеджер паролей, как он работает или беспокоится о том, что правительство, да и наше руководство давно ищет способ шпионить за нами и написана эта заметка.

Что такое менеджер паролей?

Это программное обеспечение, предназначенное для:

  • Хранения ваших паролей безопасным способом, защищенным как минимум паролем, называемым «мастер-паролем»
  • Генерации для вас новых паролей. При этом стоит помнить, что в сгенерированном пароле вы должны сменить как минимум один символ
  • Упрощения использования паролей. Один из способов — скопировать его из менеджера и вставить в поле пароля. Другой способ — использовать плагин для браузера, который автоматически заполняет формы входа. На определенных комбинациях приложения и мобильного устройства вы можете использовать свой отпечаток пальца, чтобы открыть диспетчер паролей, который делает все быстрее и проще.
  • Хранения другой конфиденциальной информации, например, данные банковской карты, фраз для восстановления и т.д.
  • Синхронизации между устройствами.

Как результат – вы используете разные пароли для каждого сайта и приложения, все они надежны и вам не нужно особо их запоминать!

«Я беспокоюсь о том, что происходит с моими сохраненными паролями».

Приложения для управления паролями изначально разрабатывались чтобы помочь пользователям организовать и шифровать пароли для учетных записей в интернете на нескольких устройствах. Это лучшая безопасная альтернатива повторному использованию тех же двух или трех паролей.

Стоит отметить, что большинство менеджеров паролей, как правило, работает одинаково. При установке вам потребуется создать надежный мастер-пароль, а затем добавить вручную пароли или с помощью автоматического инструмента, который может найти и загрузить учетные данные для вас.

Вместе с тем все менеджеры паролей защищают ваши пароли по-разному. Веб-менеджер паролей хранит ваши пароли в зашифрованном виде в защищенных базах данных в облаке. Некоторые встроены в ваши любимые веб-браузеры, такие как Safari, Chrome и Firefox. Другие могут хранить ваши пароли локально в зашифрованном файле на вашем компьютере, планшете или телефоне. Чтобы любой пользователь, включая правительство или злоумышленника, мог получить доступ к вашей учетной записи, он должен иметь ваш мастер-пароль для расшифровки базы данных менеджера паролей.

Несмотря на то, что у каждого метода есть свои плюсы и минусы, важно отметить, что безопасность вашего пароля также в значительной степени зависит от использования надежного мастер-пароля и защиты его от кражи.

«Если я храню все свои пароли в одном месте, я просто прошу их взломать!»

Многие из нас уже давно усвоили, что нельзя все яйца складывать в одну корзину. Это отличный совет, но иногда лучше положить все яйца в одну корзину, если эта корзина более безопасна, чем та, которую вы сможете построить самостоятельно.

Вместе с тем, менеджеры паролей очень похожи на банк.  Вы доверяете своему банку хранить, управлять и защищать свои с трудом заработанные деньги вместо того, чтобы носить тысячи долларов в спортивной сумке, куда бы вы ни пошли. Вместо того чтобы писать свои пароли в заметках или повторно использовать один и тот же пароль для всех ваших учетных записей, менеджеры паролей предоставляют вам безопасное место для хранения, управления и защиты ваших паролей и другой частной информации.

«Мой компьютер / телефон в любом случае поддерживает шифрование».

Один из аргументов, выдвинутых несколькими пользователями Интернета, заключается в том, что нет необходимости приобретать сторонний менеджер паролей, если у них есть Safari iCloud Keychain, Google Chrome Smart Lock или шифрование устройства.

Тем не менее, сторонние менеджеры паролей имеют некоторые весьма явные преимущества.

  1. Они кроссплатформенные , что означает, что вы можете синхронизировать свои пароли и другие сохраненные данные на устройствах Android , Apple и Windows . Сторонние менеджеры паролей также имеют возможность интеграции с различными мобильными приложениями и входа в систему с учетными данными, сохраненными в вашем менеджере паролей.
  2. Сторонние менеджеры паролей обычно работают с самыми популярными браузерами, включая Firefox, Safari, Chrome, Internet Explorer и Edge.
  3. Хотите добавить дополнительный уровень безопасности для ваших паролей и данных? Самые современные приложения для управления паролями позволяют вам включить двухфакторную аутентификацию .
  4. Менеджеры паролей могут хранить все виды данных, включая идентификаторы, кредитные карты, финансовые документы, лицензии на программное обеспечение, пароли Wi-Fi и многое другое. Некоторые даже позволяют безопасно добавлять и синхронизировать документы и изображения.

Когда речь идет о гибкости и удобстве на нескольких устройствах, сторонние менеджеры паролей — ваш лучший выбор.

«Это слишком дорого для меня».

Ценообразование определенно играет роль в принятии решения о том, является ли менеджер паролей достойным вложением, но вы не должны позволять ценнику мешать вашей безопасности. Прежде всего, существуют затраты, связанные с созданием наиболее удобного и безопасного в отрасли менеджера паролей: затраты на разработку, маркетинг, обслуживание, поддержку клиентов, тестирование и т. д.

Во-вторых, ежемесячная или ежегодная плата — это небольшая плата за защиту вашей цифровой личности.

Наконец, менеджеры паролей часто имеют действительно надежные бесплатные версии, чтобы каждый, независимо от своих финансовых ограничений, мог контролировать свою цифровую идентификацию.

«Как я узнаю, что у меня будет полный контроль над моими паролями?»

Позвольте мне вас заверить: у вас есть полный контроль над вашими данными и паролями в менеджере паролей. Все, что хранится в вашем менеджере паролей, полностью зашифровано в неразборчивой последовательности случайных букв, цифр и символов.

В частности, большинство менеджеров паролей не хранят и не имеют никакого доступа к вашему мастер-паролю или любому содержимому вашей базы паролей. Вы можете экспортировать свои данные в любое время и по любой причине. Они также никогда не лишат вас доступа к вашим паролям, если вы не заблокируете себя, забыв свой мастер-пароль. В основном они предоставляют вам безопасное место для их размещения, пока они вам не понадобятся

«Я не доверяю Облаку с моей безопасностью».

«Облако» — сеть серверов, которые позволяют хранить и получать доступ к данным — может показаться пугающим, но несколько менеджеров паролей размещаются на защищенных серверах, где ваша информация всегда остается зашифрованной.

По крайней мере, теоретически, использование менеджеров паролей может повысить общую безопасность, избавляя пользователей от необходимости запоминать ряд уникальных надежных паролей. Это, в свою очередь, позволит пользователям предоставлять безопасные учетные данные для аутентификации без повторного использования одного и того же пароля на разных ресурсах. Большинство менеджеров паролей хранят учетные данные аутентификации (логины, пароли и другие данные) в зашифрованном хранилище и используют один предоставленный пользователем главный пароль для шифрования этих других паролей.

Исследование безопасности парольных менеджеров

Очевидно, что, если главный пароль скомпрометирован, все остальные пароли, хранящиеся в хранилище, также скомпрометированы.

Сегодня общая безопасность менеджеров паролей является дискуссионной. С одной стороны, в целях безопасности настоятельно рекомендуется использовать уникальные безопасные пароли для разных учетных записей. С другой стороны, если один мастер-пароль скомпрометирован или может быть восстановлен, злоумышленник получает доступ к полной и полной базе данных, содержащей все пароли пользователя и учетные данные для аутентификации.

Являются ли менеджеры паролей более безопасными, чем хранение списка паролей в одной электронной таблице Excel? Не обязательно, но это отсутствие безопасности легко компенсируется дополнительным удобством, предлагаемым менеджерами паролей по сравнению с таблицей Excel.

Elcomsoft Distributed Password Recovery 3.40 теперь поддерживает четыре основных приложения для управления паролями, включая 1Password, KeePass, LastPass и Dashlane. Инструмент позволяет экспертам атаковать один мастер-пароль и получать доступ к содержимому зашифрованного хранилища, раскрывать любые пароли, учетные данные для аутентификации и другую конфиденциальную информацию (документы, удостоверяющие личность, данные кредитной карты и т. Д.).

Полный список менеджеров паролей, поддерживаемых Elcomsoft Distributed Password Recovery 3.40, включает в себя:

1Password

1Password является одним из наиболее надежных хранителей паролей. EDPR может атаковать мастер-пароли, защищающие зашифрованные хранилища во всех версиях 1Password, включая приложения для Windows, macOS, iOS и Android. Кроме того, поддерживаются зашифрованные хранилища, сохраненные в Dropbox и iCloud Drive. Другими словами, полная поддержка хранилищ 1Password доступна независимо от источника и платформы.

LastPass

LastPass — один из самых популярных облачных менеджеров паролей. В отличие от KeePass, его версия для Android правильно использует защищенную область хранения, сохраняя данные в собственной закрытой песочнице (/data/data/com.lastpass.lpandroid); В результате для извлечения данных необходим root-доступ.

EDPR поддерживает плагины LastPass для настольных веб-браузеров, работающих на Windows, macOS и даже Linux. Версия Android поддерживается, если вы можете извлечь зашифрованное хранилище и метаданные (требуется root-доступ).

Примечание: чтобы извлечь зашифрованное хранилище и метаданные LastPass, вы должны использовать EDPR Disk Encryption Info. EDPR Disk Encryption Info — это дополнительная утилита, поставляемая с EDPR. Этот инструмент используется для облегчения экспертам извлечения и дешифрования хэша пароля с использованием этих метаданных.

KeePass

KeePass не имеет встроенных возможностей резервного копирования. Однако он использует два совершенно разных формата хранилища: .kdb (KeePass 1.x) и .kdbx (KeePass 2.x). EDPR поддерживает оба формата хранилищ, создаваемых приложениями KeePass, и большинство его клонов на всех платформах.

Интересно, что при исследовании KeePass мы обнаружили, что одно из популярных приложений для Android KeePassDroid хранит свое зашифрованное хранилище в публичном хранилище:

/storage/emulated/0/keepass/keepass.kdbx

Этот файл легко доступен и извлекается. Почему разработчики решили не защищать базу данных, поместив ее в изолированное хранилище приложения, остается загадкой.

DashLane

EDPR поддерживает версии этого менеджера паролей для Windows и MacOS.

Различные менеджеры паролей используют разные подходы к безопасности. Например, LastPass генерирует ключ шифрования, хэшируя имя пользователя и мастер-пароль с 5000 раундов PBKDF2-SHA256, в то время как 1Password использует еще больше раундов хэширования. Это разработано, чтобы замедлить атаки грубой силы, и это почти работает. Конечно, они все еще на порядок менее безопасны, чем, скажем, документы Microsoft Office 2016, но даже такой уровень безопасности намного лучше, чем ничего.

На графике для сравнения добавлены RAR5 и Office 2016. Более высокие числа представляют более высокие скорости восстановления.

Заключение

Менеджеры паролей становятся все более распространенными, и их криминалистическая поддержка имеет важное значение. Текущая версия Elcomsoft Distributed Password Recovery поддерживает зашифрованные хранилища, созданные четырьмя популярными менеджерами паролей. За исключением LastPass, который требует использования прилагаемого инструмента EDPR Disk Encryption Info для извлечения метаданных шифрования, дополнительные форматы могут быть атакованы с использованием точно такого же рабочего процесса, как и большинство других поддерживаемых форматов.

Литература

  1. One Password to Rule Them All: Breaking into 1Password, KeePass, LastPass and Dashlane https://blog.elcomsoft.com/2017/08/one-password-to-rule-them-all-breaking-into-1password-keepass-lastpass-and-dashlane/
  2. A Skeptic’s Guide to Password Managers and Security  https://blog.dashlane.com/a-skeptics-guide-to-password-managers-and-security/
Alt text

Владимир Безмалый

О безопасности и не только