Вы все еще не пользуетесь МЕНЕДЖЕРОМ ПАРОЛЕЙ? Тогда мы идем к Вам! 30/08/11
Этот пост я давно решил написать для друзей и друзей друзей, а именно обычных пользователей. Искушённые хакеры/пользователи ничего нового не узнают, но надеюсь (если что) укажут на неточности и/или неправильные выводы.
Этот пост о том, что:
- Пароли и логины НУЖНО ХРАНИТЬ, а НЕ ЗАПОМИНАТЬ.
- ДЕЛАТЬ ЭТО нужно ПРАВИЛЬНО.
- ЗАПОМИНАТЬ нужно ОДИН ПАРОЛЬ!
Проблема
Действительность такова, что современному человеку пользующемуся интернетом нужно быть зарегистрированным на десятках сайтов и соответственно в лучшем случае помнить именно такое количество пар логин/пароль. Понятно, что можно использовать пул паролей, пул логинов, ставить везде галочки “запоминать меня навсегда”, в качестве логина указывать email – и т.д. Но, к сожалению, каждый подобный шаг приводит к увеличению вероятности взлома/потери/кражи Ваших данных. Потому что, обманув Вас один раз (выманив ваш пароль, ответ на вопрос «девичья фамилия матери» и т. д.) злоумышленники легко пройдутся по списку популярных сайтов и попробуют Ваши пароль/логин (email) на каждом из них. Не говоря уже о том что, разработчики сайтов это криворукие, корыстные люди, которые спят и видят, как бы завладеть вашими данными. Для этого часть из них сохраняет ваши пароли в незашифрованном виде – и при первом удачном случае Ваши данные (компромат?) либо утекают сами, либо их используют «порядочные» сотрудники компаний. Ну а дальше события могут развиваться самым фантастическим способом: начиная от заражения вашего компьютера вирусом до компрометирования и шантажа Вас и ваших знакомых в сети (социальной?).
Решение
Решение озвучено в начале статьи, и является очевидным: использовать СПЕЦИАЛЬНЫЕ ПРОГРАММЫ. И таких программ существует много: как исключительно локальных так и облачных. Правда, от онлайновых сервисов (например Lastpass) я сразу хочу отказаться не особо вдаваясь в детали, т.к. я люблю чтобы мои пароли были мне доступны даже когда я offline.
Выбор же настольных приложений ого-го, как велик (их как-то даже обсуждали на хабре), а я же остановлюсь на персональных рекомендациях. Два мои фаворита это два старожилы и столпа среди подобных программ:
Эх, если бы не столь высокая цена 1Password я бы однозначно рекомендовал его!! К тому же, если вы Mac-пользователь вы должны были привыкнуть к подобным ценам. Но Windows-пользователям его цена просто сносит мозг – $20 думаю было бы более чем достойной ценой! Но вернемся к столпам: я хочу все же описать плюсы/минусы обоих, а потом вывести параметр цена/качество.
1Password
Плюсы:
- Мега удобный интерфейс, мега удобная интеграция, все работает из коробки без вопросов.
- Есть (недавно появились) клиенты (которые синхронизируются) под все платформы (включая мобильные и исключая Linux). А это значит, что ваши пароли будут доступны и со смартфона тоже.
- Отличная интеграция со всеми браузерами.
Минусы:
- $39 за desktop-версию + $14.99 за мобильную.
- Нет клиента для Linux (у вас так все серьезно?).
- Проприетарное ПО (нет, действительно серьезно…).
KeePass
Плюсы:
- Бесплатная.
- Открытое ПО.
- Работает под Linux (Mono).
Минусы:
- Мобильные клиенты не открытое ПО.
- Кривоватый интерфейс и эргономика.
- Из коробки отсутствует интеграция с браузерами (обсудим ниже).
Подитог
Если взять параметр не цена/качество, а качество/цена, то оценка KeePass стремится далеко в бесконечность, а если серьезно – не гикам я сильно советую 1Password. Для всех остальных жадин следующий раздел.
Начало использования
Я очень сильно хочу, что бы Вы если не вняли моим аргументам, то безоговорочно мне поверили что в наше время (в интернете) жить без менеджера паролей просто НЕЛЬЗЯ! И я хочу показать, что жизнь эта вовсе не сложна, даже наоборот – очень проста и легка! Легче даже чем у тех, кто ручками вводит эти буковки и циферки! Итак, быстрый легкий старт:
- Скачаем последнюю версию KeePass Professional Edition и запустим ее.
- Создадим и сохраним новый файл базы с паролями указав (и запомнив) при этом ОДИН ГЛАВНЫЙ СЛОЖНЫЙ ДЛИННЫЙ пароль.
- Если все прошло отлично, то в базе уже сохранена пара аккаунтов. Воспроизведем главный сценарий работы менеджера паролей: дважды кликнием на столбце URL, который содержит адрес http://keepass.info/help/kb/kb090406_testform.html.
- В браузере откроется страница с полями ввода пароля и логина.
- Добавим немного магии: нажмем волшебную комбинацию клавиш LCtrl, Alt + A. Ожидаемый эффект: форма на сайте должна автоматически заполниться и отправиться!
- По желанию, скачаем и установим русский язык интерфейса.
В общем, KeePass установлен и работает. Осталось его регулярно и ПРАВИЛЬНО использовать. Для этого:
- Заходим нас страницу сервиса, пароль которого хотим сохранить: допустим http://mail.yandex.ru/
- Заводим в программе запись для этого сервиса: меню Edit/ Add Entry…
- Придумываем логин (или нам его уже выдали – например, адрес email) и что ВАЖНО: генерируем случайный пароль (для этого жмем кнопку справа от поля повтора пароля).
- На вкладке Auto-Type добавляем “custom sequences for specific windows”. В диалоге выбираем заголовок одного из открытых окон и исправляем его следующим образом:
- Сохраняем запись и сворачиваем программу.
- На странице с сервисом снова нажимаем магическую комбинацию LCtrl, Alt + A (нужно не забыть поставить фокус ввода на поле ввода логина) и наслаждаемся автоматизацией.
Итого
Конечно, пришлось повозиться, но теперь Вам не нужно запоминать и придумывать различные логины и пароли – достаточно придумать и запомнить один Мастер Пароль, а пароли генерировать случайным образом! Только в этом случае вероятность кражи ваших данных стремительно уменьшается и прямо зависит от длины и сложности Мастер Пароля.
P.S. Отдельно стоит сказать где и как хранить файл с базой паролей, но это отдельная тема, а остальные и так знают и используют dropbox.
Полностью поддерживаю. 2 года назад перешел с Microsoft Notepad v5.1 на KeePass Password Safe v1.x
Доволен как сарделька
ЭЭэээ-эээ и ты досих пор пользуешься v1.x? Под wine запускаешь в линуксе?
В для линукса уже давно пакеты есть, без вайна. И даже 2й дотнетовский вроде запускался с моно.
А в windiws на 2 не переходу ибо лень базу конвертить из db в kdb.
Наверняка конвертеров уже куча, да пока все устраивает.
А как это решение защищено от троянов, отслеживающих твою работу за компом? Если я ввёл пароль на одном из сайтов, а кейлоггер это перехватил, то я теряю доступ лишь к одному сайту. А если кейлоггер умеет работать с такими программками, то он через нажатия клавиш может перехватить мастер-пароль, сграбить нужные файлы программы-менеджера или даже скопировать нужные данные из её памяти – и прости-прощай, вся электронная жизнь! Получается, что такой менеджер – та самая корзина, в которую мы складываем все наши электронные яйца.
Я лично использую менеджер паролей, но …бумажный. При мне массив сложных паролей и я каждый раз ввожу их с бумажки, которая всегда при мне. Постепенно эти пароли выучиваются. Да, я не вбиваю 32 символа, но 10 символов – тоже неплохо. Плюсы: работает на всех компах без подготовки; при использовании одного ресурса перехватить у меня можно только один пароль. Минус: бумажку нужно периодически менять, пароли – тоже.
А вообще, я считаю, компаниям следует брать пример с гугла, который позволяет восстановить пароль, владея мобильным телефоном оригинального владельца; кроме того, он отмечает подозрительные использования и задаёт всякие доп. вопросы. Также я считаю, что в идеале каждый должен иметь свой токен RSA, привязанный к сайту OpenID, и логиниться на нём ежедневно, а все остальные сервисы должны позволять логиниться по OpenID. Вот. :-)
Вчера видел в журнале обзор программы, которая следит за версиями установленных программ и обновляет их. Приятный скриншотик. Название не запомнил.
Ну от троянов действительно защищает только бумага, но как я сказал – не серьезно использовать бумагу на 20+ паролей длинной от 10+ символов в разном регистре. С другой стороны в подобных программах пароль копируется в буфер обмена только на определенное время (задается в настройках). Поэтому система остается скомпроминтированной всего несколько секунд.
Трояны троянами, но (как это не смешно звучит) персональный компьютер должен быть персональным.
Более того, никто не отменял антивирусные программы и, пожалуй, самое главное – личную информационную гигиену при работе с данными из Сети.
Все это сводит риск утери паролей к тому фоновому уровню, который существует всегда (метод паяльноанальной криптографии, физическая утеря компьютера/бумажки, социальная инженерия и тп.).
А уж ежедневное беспокойство над тем, что невозможно предусмотреть и/или предупредить может стать причиной психического заболевания – паранойя.
Но самое главное здесь в другом. Каждый для себя сам определяет уровень обеспокоенности и стоимость затрат на погашение этой обеспокоенности.
Здесь, пожалуй, сколько людей столько и методов снятия обеспокоенности за свои пароли. Но реальных методов, основанных на объективных оценках рисков и способов их снятия гораздо меньше.
Многие готовы пойти на иллюзию безопасности, ради внутреннего обманчивого спокойствия, вместо более безопасного, но менее понятного, а от того и менее “спокойного”, метода.
Надеюсь никого не обидел.
P.S. В Сети действительно еще нет повального использования достаточно надежных систем аутентификации. Доминирующим остается однофакторная парольная.
Лично я готов доверить свои пароли только Apple. Собственно, они там и лежат, в заметках. И они всегда доступны с телефона из облака.
Виталий, прямо так и лежат в обычных заметках? Прямо пары логин/пароль? Ну нет слов! Просто нет слов! Хотя бы использовал 1Password! А если ты потеряешь (украдут) телефон? или он у тебя 4-х значным паролем защищен (смешно!!)?
Invisibleman – слушай, про наличие пароля где-то там в течение всего нескольких секунд – это ты хорошо пошутил :-) Очевидно ведь, что специализированный троян будет мониторить таким образом, что и 10 мсек хватит для перехвата.
Виталий, вот я и вижу, что Вам приятно заблуждаться насчёт “фонового уровня”, а когда получите письмо от Microsoft с приглашением на конференцию или ещё что-нибудь вполне такое приличное, а там окажется 0-day эксплоит – никакой персональный компьютер, никакой антивирус и никакой здравый смысл не спасут от пиздеца, который стремительно ворвётся в Вашу жизнь.
Если сейчас из Ваших данных троян может утащить какой-то кусок, который ему лично интересен, то в течение пяти лет, я уверен, это уже будут комплексы по высасыванию абсолютно всех номеров кредиток / личных фоток, паролей к веб-ресурсам, кошелькам и вообще всего, что имеет хоть какую-то ценность. Всё это будет автоматизированно сливаться на чёрные биржи краденых ресурсов, где будут так же автоматизированно покупаться роботами других хакеров, и тут же всё это будет нещадно эксплойтиться.
Так что реально можно будет отойти от компа в туалет, а вернувшись, обнаружить, что всё, что осталось, это 500 рублей в кармане и бутылка пива в старом холодильнике (ещё не подключенном к инету).
Ник, эта борьба обоюдна. На каждую меру будет создаваться контр мера, которую в свою очередь, будут тоже обходить. И так по кругу. Таков наш мир. Светлые головы работают по обе стороны.
Не уверен, что стоит на столько фатализировать происходящее.
При появлении первых дирижаблей, фантасты того времени видели будущее в линейном увеличении действительности – мир заполненный дирижаблями. А на самом деле сейчас мир заполнен реактивными самолетами.
Многое можно избежать информационной гигиеной и базовым информационным образованием. Плюс введением двух- трех-факторной аутентификации.
Например, введение восстановление пароля на gmail по телефону делает gmail на порядок защищенней. Так держать.
Да уж, если так всего бояться, то тогда нужно вообще нигде не регистрироваться и ничем не пользоваться, а если и пользоваться, то иметь максимум 2-3 пароля из 64 символов и держать их лишь в уме (хотя это тоже не 100% гарантия, т.к. вводить их нужно всё равно с клавиатуры).
Да, я храню в заметках пары логин-пароль, но украсть мой iPhone практически невозможно, и да, на нём стоит 4-значный пароль))) Я считаю, что безопасность в этом случае равна безопасности компании Apple. При этом ещё никому не удалось внедрить вредоносный код в iOS или взломать iTunes, так что очень сомнительно считать, что это недостаточно надёжно.
Думаю, говорить о 100% защите нельзя будет никогда, потому что всё, что хранится, так или иначе можно украсть. У вас могут отрезать палец, вырезать глаз и даже скопировать набор хромосом. Нет ничего уникального, чего бы нельзя было бы при достаточном желании скомпрометировать.