Менеджеры паролей — добро или зло?

Менеджеры паролей — добро или зло?

Недавняя новость от том, что из-за ошибки в браузере Firefox можно было получить доступ к сохранённым паролям без ввода мастер-пароля , в очередной раз навела меня на размышления об особенностях использования такого инструмента как менеджер паролей.

Действительно, насколько это безопасно — доверить все свои пароли инструменту, встроенному в браузер, или реализованному в виде отдельного приложения?

Ниже приведены мысли и рекомендации на эту тему. Сразу только оговорюсь, что речь будет идти только о случаях персонального использования. Порядок и правила обращения с паролями, дающими доступ к корпоративным ресурсам должны определяться внутренними документами самой организации.

Стоит ли использовать менеджеры паролей?

Да, однозначно стоит. Менеджеры паролей слишком уж хороши и удобны, чтобы совсем отказываться от них:

  1. Можно использовать длинные, сложные и неповторяющиеся пароли на разных сайтах;
  2. Пароль будет подставлен только на том сайте, для которого он был сохранён, что снижает вероятность успеха фишинговой атаки на вас;
  3. Регистрация и вход в учётную запись будут происходить гораздо быстрее за счёт автоматической генерации и подстановки паролей;
  4. Наконец, благодаря функции синхронизации все пароли всегда будут доступны при работе на всех устройствах без необходимости их запоминать, куда-то записывать, или, что ещё хуже, пересылать каким-либо небезопасным способом.

Первые два пункта из списка выше направлены на повышение безопасности непосредственно, а вот пункты 3 и 4, по большому счёту, «упрощают жизнь» пользователю. Но, как известно, чем сложнее и неудобнее процедура, тем больше желаний возникает её обойти и упростить, а в случае с паролями — такое упрощение (один пароль для всего, короткие пароли и т.п.) отрицательно скажется на безопасности.

Что нужно помнить, используя менеджеры паролей?

Написанное выше слишком уж красиво, чтобы не было контраргументов. Впрочем, об одном недостатке (неидеальность программной реализации) в самом начале поста речь ушла. Вот более полный список проблем с менеджерами паролей:

  1. По причине привлекательности для злоумышленников (за один приём можно узнать сразу все сохранённые пароли) менеджеры паролей были, есть и будут объектами для атак и не всегда неуспешных;
    • При реализации менеджера паролей может быть допущена ошибка, приводящая к уязвимости, как в случаях с FireFox или LastPass , поиск таких уязвимостей — в прямой зоне интереса злоумышленников;
    • Облачная часть менеджера пароля может быть взломана и пароли скомпрометированы;
    • Сотрудники компании-разработчика могут быть подкуплены (примера нет, но… ведь могут же!);
  2. Забытый мастер-пароль лишит вас доступа к паролям и потребует ручного восстановления доступа ко всем используемым сервисам;
  3. Использование менеджера паролей может может противоречить лицензионному/пользовательскому соглашению со всеми вытекающими юридическими последствиями в случае его компрометации.

По поводу последнего пункта стоит прокомментировать, что мне лично не доводилось слышать о случаях, когда пароль был скомпроментирован, клиент использовал менеджер паролей и, например, банк отказывал в возмещении ущерба по причине невыполнения клиентом рекомендаций по безопасности. С другой стороны, широко распространённая типовая фраза: «Никому не сообщайте ваши данные для входа в интернет-банк» вполне себе может быть применена к менеджерам паролей. Был бы юрист понаходчивее…

Какой менеджер паролей выбрать?

Многим пользователям хватает встроенных возможностей современных браузеров, так как не требуется ничего дополнительно устанавливать и настраивать. Проблем с интеграцией при этом, понятно, никаких нет, а кроссплатформенность браузеров и поддержка облачной синхронизации позволяет удобно работать одновременно, например, на компьютере с Windows, планшете с iOS (совсем скоро — iPadOS ) и смартфоне с Android.

С другой стороны, у менеджеров паролей, реализованных в виде отдельных приложений, тоже нет проблем с кросплатформенностью, зато, как правило, гораздо более гибкие настройки и богаче функционал.

В Интернете множество статей и рекомендаций по выбору парольных менеджеров — есть варианты под разные платформы, бесплатные и платные ( некоторые платные можно получить и бесплатно ), удобные для вас или для кого-то другого и т.д.

Можно остановить свой выбор только на одном варианте, а можно использовать разные менеджеры паролей для разных задач — универсального совета тут, к сожалению, нет. Не нужно только все пароли хранить сразу в нескольких местах — шансов сохранить доступ к паролям, если что-то пойдёт не так, при этом конечно, гораздо больше, но не только у вас.

В любом случае, какой бы вариант вы не выбрали, нужно обязательно регулярно устанавливать обновления как для браузера, так и для менеджера паролей, а в случае отсутствия необходимости ввода мастер-пароля (вообще или по тайм-ауту) обязательно установить дополнительно блокировку (PIN-код, пароль, ключ, отпечаток пальца) на своё устройство.

Как пользоваться менеджерами паролей правильно?

  1. Максимально сократите число используемых паролей за счёт использования везде, где это можно, сквозной авторизации в используемых сервисах через другой аккаунт: входите через Facebook/Google/ВКонтакте/Twitter.
  2. Установите для выбранного в первом пункте аккаунта максимально строгие настройки безопасности, а пароль от него сделайте сложным и нигде его не сохраняйте.
  3. Включите двухфакторную аутентификацию везде, где это возможно. Большинство сервисов всё равно по умолчанию будет требовать второй фактор не каждый раз, а только тогда, когда это будет продиктовано соображениями безопасности, а вот злоумышленнику станет гораздо сложнее.
  4. Для входа в редко используемые аккаунты используйте механизм сброса пароля, т.к. это безопаснее, чем его сохранение в менеджере паролей.
  5. Всерьёз подумайте о двухфакторной аутентификации не только с применением SMS, push-уведомлений или приложения с генератором одноразовых кодов на смартфоне. Аппаратные токены/смарт-карты менее удобны и универсальны, но существенно повышают уровень безопасности.
  6. Обязательно установите автоблокировку на все свои устройства, включите биометрию — при всех своих недостатках в данном сценарии она всё же оправдана.
  7. Для мастер-пароля, равно как и для пароля во втором пункте, придумайте и запомните настолько надёжный пароль, насколько сможете. Лучше используйте парольную фразу, чем более короткий, но с разнообразными символами пароль. В данном случае длина важнее сложности. Естественно, не используйте в качестве парольной фразы расхожие выражения, цитаты или то, что может ассоциироваться с вами (важные даты, имена близких, домашние питомцы, бренды и проч.).
  8. Пока не запомните свою парольную фразу/мастер-пароль, можете записать её/его на листке бумаги и сохранить в надёжном месте (не в кошелке, не в ящике стола, не в записной книжке и т.п.). После того, как надёжно запомните пароль, уничтожьте этот листок.

Ну, и, наконец, самое главное. Прежде чем ставить галочку/нажимать кнопку «Сохранить пароль от этого сайта» задайте себе один вопрос:

Что самое плохое может случится если кто-то (абстрактный или, наоборот, вполне конкретный) узнает этот пароль и сможет получить доступ вместо меня?

В зависимости от ответа на этот вопрос и принимайте решение. Если потенциальные потери (финансовые, репутационные и пр.) для вас не приемлемы, не сохраняйте этот пароль в менеджере паролей.

Мой Telegram-канал , сообщество ВКонтакте .

Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.