Безопасно ли использовать менеджеры паролей?

Действительно ли менеджеры паролей безопасны в использовании?

Хотя неудивительно слышать вопрос «безопасно ли использовать менеджеры паролей?», подавляющее большинство специалистов по кибербезопасности согласны с тем, что менеджеры паролей действительно являются наиболее безопасным способом защиты ваших паролей.

Однако, несмотря на надежность МП, отрасль в целом всегда получает удар после того, как средства массовой информации освещают последнюю уязвимость или нарушение безопасности.

Поэтому в этой статье менеджеры паролей будут рассмотрены без нагнетания страха, но и без поклонения им.

Все важные вопросы будут рассмотрены ниже.

  • Как менеджеры паролей защищают ваши пароли?
  • Каковы риски использования менеджера паролей?
  • И, наконец, стоит ли вообще использовать менеджер паролей?

Читайте дальше, чтобы узнать больше.

Как менеджеры паролей защищают ваши пароли?

Существует несколько способов, с помощью которых менеджеры паролей защищают ваши пароли, поэтому их так безопасно использовать.

Несмотря на то, что их можно взломать, как и все остальное, такой сценарий маловероятен, если вы примете необходимые меры предосторожности.

Злоумышленнику гораздо проще использовать социальную инженерию или фишинг, чем взломать надежный пароль.

Итак, что же делает менеджеры паролей такими безопасными?

Прежде всего, менеджеры паролей используют шифрование для защиты ваших паролей.

256-битный AES — это отраслевой стандарт, который также используется военными из-за его исключительной надежности.

Чтобы взломать этот шифр, потребуется больше жизни, поэтому вероятность успеха атаки методом перебора почти нулевая.

Кроме того, менеджеры паролей защищают ваши данные от самих себя, используя архитектуру с нулевым разглашением.

Это означает, что ваши пароли шифруются до того, как они покинут ваше устройство.

Поэтому, когда они попадают на сервер компании, у провайдера нет инструментов для их расшифровки.

Большинство менеджеров паролей попросят вас использовать мастер-пароль для доступа к вашему хранилищу.

Если это безопасно, вы можете быть уверены, что остальные ваши пароли защищены достаточно безопасны.

При этом рекомендуется также использовать двухфакторную аутентификацию (2FA) для повышения безопасности вашей базы данных.

Использование биометрической аутентификации, такой как отпечаток пальца или сканирование лица, также является хорошей идеей.

Наконец, менеджеры паролей имеют множество функций, направленных на защиту ваших паролей.

Некоторые напомнят вам регулярно менять пароли и оценивать их надежность.

Другие будут сканировать даркнет, чтобы проверить, появился ли какой-либо из ваших логинов в сети.

А некоторые будут делать и то и другое.

Каковы риски использования менеджера паролей?

Невозможно оставаться на 100% в безопасности в интернете.

Даже если вы используете надежный менеджер паролей, существуют определенные риски, о которых вы должны знать:

  1. Все конфиденциальные данные в одном месте. Вы, наверное, слышали о том, как держать яйца в одной корзине. Это именно то, что вы будете делать с менеджером паролей. Эта корзина, скорее всего, будет включать данные кредитной карты и защищенные заметки. В случае взлома блокировка всех способов оплаты и смена паролей для всех учетных записей может занять достаточно времени, чтобы злоумышленник мог нанести ущерб.
  2. Резервное копирование не всегда возможно. Если сервер сломается, ваша единственная надежда на то, что ваш провайдер сделал резервную копию. Этот риск многократно возрастает, если вы решите оставить хранилище в автономном режиме на одном из своих устройств. Естественно, хранение собственной резервной копии на незащищенном диске или в плохо защищенном облачном сервисе тоже не поможет.
  3. Не все устройства достаточно безопасны. Хакеры используют одну и ту же уязвимость, чтобы получить все ваши логины за одну атаку. Менеджеры паролей могут быть взломаны, если ваше устройство заражено вредоносным ПО. В этом случае при вводе мастер-пароля он будет записан, и злоумышленники получат полный доступ к сохраненным данным. Вот почему пользователи диспетчера паролей должны в первую очередь инвестировать в защиту всех своих устройств, чтобы снизить риски.
  4. Без использования биометрической аутентификации. Биометрическая аутентификация — отличный способ добавить еще один уровень безопасности. Если вы настроите свой менеджер паролей на запрос отпечатка пальца или сканирования лица, шансы на то, что кто-то взломает ваше хранилище, станут очень малыми. Вам также гораздо проще прикоснуться к сканеру отпечатков пальцев, чем вводить мастер-пароль.
  5. Плохой менеджер паролей. Если он имеет более слабое шифрование, предлагает мало функций и имеет плохие отзывы, вам не следует его использовать. Когда дело доходит до защиты вашего хранилища, экономия нескольких долларов в месяц не должна быть вашим главным приоритетом.
  6. Забыть мастер-пароль. Вы единственный, кто это знал, а в вашем менеджере паролей нет функции сброса? В этом случае вы уже можете начать восстанавливать каждый свой логин по одному. В качестве альтернативы вы можете хранить свой мастер-пароль (или подсказку) в каком-нибудь физически безопасном месте, например в сейфе.
Смотрите также:   Как сохранить фото из флеш-альбома

Как видите, некоторые риски связаны с самими менеджерами паролей, а другие существуют исключительно из-за поведения пользователей.

Если не учитывать последнее, мы видим, что риск использования менеджера паролей не так уж и велик.

Можно ли доверять менеджерам паролей?

Несмотря на все проблемы, перечисленные выше, хорошие менеджеры паролей чрезвычайно трудно скомпрометировать.

Использование шифрования AES-256, метод «нулевого разглашения» и возможность использования двухфакторной аутентификации делают менеджеры паролей гораздо более безопасным и простым вариантом, чем что-либо другое, доступное на данный момент.

Когда дело доходит до безопасности, самым важным с вашей стороны является мастер-пароль, так как вы должны создать его, чтобы получить доступ ко всем остальным паролям.

Итак, убедитесь, что он сильный.

Он должен состоять не менее чем из 12 символов, содержать различные символы и его невозможно угадать.

Чтобы получить дополнительные советы, ознакомьтесь с нашим руководством по созданию надежного пароля.

Какой тип менеджера паролей самый безопасный?

Те, кто знаком с менеджерами паролей, вероятно, знают о трех типах.

У каждого есть свои плюсы и минусы, включая нюансы безопасности.

Давайте обсудим все типы один за другим и выясним, какой из них наиболее безопасный.

Браузерные менеджеры паролей

  • Безопасность: безопасный;
  • Плюсы: очень простой в использовании, бесплатный;
  • Минусы: нет межбраузерной синхронизации, не все генерируют пароли, немногие измеряют надежность пароля;
  • Примеры: встроенные менеджеры паролей браузера (Chrome, Firefox, Safari).

Если мы сведем безопасность к шифрованию и двухфакторной аутентификации, браузерные менеджеры паролей довольно безопасны.

Однако чем внимательнее вы смотрите, тем менее безопасными оказываются менеджеры паролей браузера.

Во-первых, браузерные менеджеры паролей работают в одном конкретном браузере.

Если вы решите перейти с Safari на Chrome или Firefox, у вас могут возникнуть проблемы с экспортом и импортом.

Кроме того, вы не можете синхронизировать свое хранилище в разных браузерах.

Все это часто приводит к хранению ваших паролей в небезопасном месте.

Во-вторых, не все браузерные менеджеры паролей имеют генератор паролей.

Без него вам придется создавать их вручную.

Наконец, менеджеры паролей браузера не могут обнаружить слабые или повторно используемые пароли.

Хотите знать, недоступны ли ваши логины в даркнете?

Вам придется проверить это вручную на отдельном инструменте.

Облачные менеджеры паролей

  • Безопасность: высокая;
  • Плюсы: очень удобный, легкий доступ из любого места, облачное резервное копирование, интернет-зависимость;
  • Минусы: нет контроля над безопасностью вашего хранилища, сторонние серверы хранят ваши данные;
  • Примеры: Zoho Vault, LastPass.

По сравнению с браузерными менеджерами паролей облачные менеджеры паролей более безопасны, так как они имеют больше функций, повышающих безопасность.

Начнем с того, что большинство облачных менеджеров паролей предоставляют резервную копию вашего хранилища.

Если что-то случится с сервером, вы сможете восстановить последнюю версию своей базы данных.

Кроме того, облачные менеджеры паролей позволяют хранить не только пароли, но и защищенные заметки и данные кредитных карт.

Таким образом, вы можете защитить всю конфиденциальную информацию.

Кроме того, облачные менеджеры паролей обнаруживают повторно используемые и слабые пароли, генерируют надежные и проверяют, не произошла ли утечка ваших учетных записей.

Они также позволяют легко делиться своими записями в хранилище даже с теми, кто не пользуется той же службой.

Наконец, облачные менеджеры паролей будут работать в нескольких браузерах и операционных системах.

Это означает, что вам не придется думать о том, как безопасно скопировать и вставить что-то из вашей базы данных.

Настольные менеджеры паролей

  • Безопасность: самая высокая*;
  • Плюсы: самый безопасный вариант, не требует подключения к интернету;
  • Минусы: нет доступа с других устройств, сложный обмен паролями, ручное резервное копирование;
  • Примеры: Bitwarden, KeePass, 1Password, Dashlane.

Возможно, вы заметили звездочку рядом с оценкой безопасности.

Это потому, что менеджеры паролей на рабочем столе могут быть самыми безопасными, но это зависит исключительно от пользователя.

Эти менеджеры паролей хранят ваши данные локально, на одном из ваших устройств.

Это устройство не обязательно должно быть подключено к интернету, поэтому вероятность взлома может быть практически нулевой.

Наиболее вероятным (и все же крайне маловероятным) сценарием является непреднамеренная установка кейлоггера и ввод мастер-пароля.

Однако этого можно избежать, используя биометрическую аутентификацию.

Очевидно, что у такой настройки есть свои минусы, которые вытекают из самой природы менеджера паролей на рабочем столе.

Для начала вам придется позаботиться о регулярном резервном копировании.

Смотрите также:   Как научиться рисовать на компьютере мышкой

Если ваше устройство выйдет из строя непоправимо, вы можете попрощаться со своим хранилищем.

Более того, вы не сможете получить доступ к своим паролям с других устройств, и поделиться ими тоже будет непросто.

Что делать, если ваш менеджер паролей взломан?

В большинстве случаев взлом не приведет к тому, что все ваши пароли попадут в чужие руки.

Однако даже самый безопасный менеджер паролей может иметь серьезную уязвимость, которую все упускают из виду.

Начнем с того, что ваши пароли шифруются локально.

Менеджеры паролей не могут расшифровать ваши данные, потому что они реализуют политику нулевого разглашения.

Так что если хакер проникнет в ваше хранилище, он увидит только зашифрованную информацию.

Существует небольшая вероятность того, что злоумышленник сможет проникнуть в ваше физическое устройство, украв его, используя вредоносное ПО или регистрируя нажатия клавиш.

Даже в этом случае ему или ей понадобится ваш мастер-пароль.

Если вы используете биометрические данные, такие как отпечаток пальца или идентификатор лица, вероятность успешной атаки становится ничтожно малой.

Если злоумышленник устанавливает вредоносное ПО на ваше устройство, лучше всего переустановить ОС и изменить все пароли в вашем хранилище.

Не забудьте также включить 2FA везде, где это возможно.

Таким образом, вы заметите, когда в приложение-аутентификатор придет необычный запрос.

Взлом менеджера паролей

Список известных взломов менеджера паролей довольно короткий.

В противном случае у них не было бы той репутации, которую они имеют сегодня.

Вот почему я также буду добавлять сообщения об уязвимостях, которые могли не привести к какому-либо ущербу.

  • В 2015 году LastPass обнаружил вторжение на свои серверы. Среди прочего хакеры забрали адреса электронной почты пользователей и напоминания о паролях. Это не привело к известному ущербу, потому что даже если вы использовали слабый мастер-пароль и злоумышленники взломали его, им все равно нужно было подтвердить доступ по электронной почте.
  • В 2016 году белые хакеры и эксперты по безопасности сообщили о множестве уязвимостей в системе безопасности. Среди затронутых менеджеров паролей были LastPass, Dashlane, 1Password и Keeper. В большинстве случаев злоумышленнику все же придется использовать фишинг, чтобы обманом заставить пользователя раскрыть некоторые данные.
  • В 2017 году LastPass сообщил о серьезной уязвимости в надстройках для своего браузера и попросил подписчиков воздержаться от ее использования. Это было исправлено менее чем за 24 часа. У Keeper и OneLogin также были проблемы, которые не привели к жертвам.
  • В 2019 году в коде Dashlane, LastPass, 1Password и KeePass были обнаружены серьезные уязвимости. Это относилось к пользователям Windows 10 и только в том случае, если было установлено правильное вредоносное ПО. И снова пользователи не пострадали.

Как видите, ни один из этих взломов менеджера паролей не был настолько серьезным.

Конечно, уязвимости были обнаружены, но и они были своевременно устранены.

И в большинстве случаев злоумышленнику придется либо получить еще какие-то данные от пользователя, либо полностью захватить его устройство, прежде чем получить доступ к хранилищу.

В результате ни одна из упомянутых выше проблем не повредила репутации менеджеров паролей.

Безопасны ли менеджеры паролей премиум-класса?

Большинство менеджеров паролей премиум-класса намного безопаснее, чем большинство бесплатных.

Последние часто глючат, разрабатываются теневыми компаниями, а иногда даже содержат вредоносное ПО.

Несмотря на это, существуют качественные бесплатные менеджеры паролей, которые так же безопасны, как и платные сервисы.

На самом деле, первые часто включают бесплатную версию.

Поэтому неплохо сравнить их и посмотреть, чего не хватает.

Обычно как бесплатные, так и премиальные менеджеры паролей используют шифрование военного уровня и архитектуру с нулевым разглашением.

Это означает, что невозможно расшифровать вашу базу данных, даже если кто-то взломает ее.

У провайдера также нет ключа для разблокировки ваших данных.

Вот почему все сводится к использованию правильного мастер-пароля, двухфакторной аутентификации и защите ваших устройств от вредоносных программ.

Недостатки безопасности бесплатных менеджеров паролей

Дополнительная безопасность менеджера паролей премиум-класса представлена в виде дополнительных функций.

Бесплатные версии обычно урезаны и лишены опций, некоторые из которых могут быть связаны с безопасностью.

Например, некоторые бесплатные менеджеры паролей не поддерживают биометрические данные, такие как отпечаток пальца или идентификатор лица.

Это означает, что вам придется постоянно вводить свой мастер-пароль.

Кроме того, другие бесплатные сервисы не имеют возможности проверять ваши пароли.

Если вашему хранилищу уже несколько лет, скорее всего, эти пароли недостаточно надежны.

Более того, было бы трудно найти бесплатный менеджер паролей, который интегрирует сканер даркнета.

Смотрите также:   Уроки Photoshop: Сказочные средневековые ворота замка

Напротив, менеджер паролей премиум-класса постоянно проверяет даркнет, чтобы увидеть, не произошла ли утечка какой-либо из ваших учетных записей.

Какие менеджеры паролей самые безопасные?

Самые безопасные менеджеры паролей — это в основном те, которые занимают первые места.

В конце концов, как может быть иначе, когда продукт получает самые высокие оценки на множестве обзорных сайтов?

Вот почему мы приглашаем вас ознакомиться с нашим руководством по лучшим менеджерам паролей в 2022 году.

Keeper

  • Облачное хранилище: нет;
  • 2FA: да;
  • Платформы: Windows, macOS, Linux, Android, iOS;
  • Плагины для браузера: Chrome, Firefox, Safari, Opera, Internet Explorer.

Keeper, пожалуй, самый безопасный менеджер паролей.

Все это благодаря инфраструктуре с нулевым разглашением, мощному 256-битному шифрованию AES и множеству других функций безопасности.

Что касается аутентификации, здесь у вас будет большой выбор — будь то биометрия, сторонние аутентификаторы или подпись KeeperDNA, у вас будет множество вариантов на выбор.

Функции Keeper также не оставляют сомнений в его приверженности защите ваших паролей и других данных.

Есть самоуничтожающийся «KeeperChat» для обмена файлами и «Breach Watch», который рыщет в даркнете в поисках украденных паролей.

А чтобы вы не поставили под угрозу собственную безопасность, аудит безопасности проверяет надежность всех ваших паролей и предлагает соответствующие изменения.

NordPass

  • Облачное хранилище: 3 ГБ (с приложением NordLocker);
  • 2FA: да;
  • Плагины для платформ и браузеров: Windows, macOS, Linux, Android, iOS, Chrome, Firefox, Safari, Opera, Brave, Vivaldi и Edge.

Как один из менеджеров учетных данных на рынке, NordPass является бесценным инструментом для тех, кто хочет легко отслеживать все свои пароли.

Помимо использования шифрования нового поколения «XChaCha20», NordPass также использует преимущества облачного хранилища, сохраняя все ваши пароли в облаке, чтобы вы не потеряли их.

Он также предлагает двухфакторную аутентификацию, биометрическую аутентификацию (которая позволяет вам использовать свое лицо или отпечатки пальцев вместо вашего основного пароля), генератор паролей, сканер взлома данных и множество других функций, которые помогут вам с вашей онлайн-безопасностью.

RoboForm

  • Облачное хранилище: нет;
  • 2FA: да;
  • Платформы: Windows, macOS, Linux, Android, iOS;
  • Плагины для браузера: Chrome, Firefox, Edge, Opera.

Как один из старейших менеджеров паролей, RoboForm в первую очередь ориентирован на предоставление услуг предприятиям, что, в свою очередь, требует высочайшего уровня безопасности.

Промышленное стандартное 256-битное шифрование AES и двухфакторная аутентификация — это только поверхность.

RoboForm выделяет ресурсы, чтобы ваши пароли всегда были здоровыми и безопасными — отчеты о надежности ваших учетных данных и генератор паролей с изменяемыми переменными.

Существует также вариант самостоятельного размещения, что означает, что данные хранятся только на вашем устройстве, а не на внешних серверах.

Но если вы хотите синхронизировать несколько устройств, это тоже возможно.

Стоит ли использовать менеджер паролей?

Да, вы должны использовать менеджер паролей.

Это позволит вам отслеживать свои пароли без необходимости запоминать их.

Некоторые хранилища паролей также могут генерировать и изменять пароли одним щелчком мыши, а также безопасно хранить другие типы данных, например информацию о кредитной карте.

Менеджер паролей также делает обмен вашими данными с семьей и друзьями более безопасным.

Это намного лучше, чем записывать свои данные для входа в электронную почту или какой-либо незашифрованный мессенджер.

Конечно, вы должны доверять компании, стоящей за вашим менеджером паролей.

Однако у большинства из них безупречная репутация.

Кроме того, они гораздо менее рискованны, чем некоторые сомнительные приложения или надстройки для браузера, которые люди устанавливают, не задумываясь.

Да, у них есть свои недостатки и уязвимые места.

Но, в конце концов, не только менеджер паролей защищает вашу самую ценную информацию.

Вы также должны использовать надежный антивирус, чтобы предотвратить заражение вашего устройства вредоносными программами.

Обновление программного обеспечения не менее важно, чем перепроверка приложений и расширений, которые вы собираетесь установить.

источник

16/02/2022

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.