Апр
20

О хранении паролей

От несанкционированного доступа к некоторым нашим аккаунтам в интернете (и не только в нем) нас защищают неизвестные злоумышленнику логин и пароль. Но в некоторых случаях, например, с аккаунтами от форумов или электронной почты наш логин известен всем и лишь пароль обеспечивает нашу безопасность, поэтому его нужно тщательно беречь.

users_password

В данной статье о составлении сложного пароля я рассказывать не буду, а расскажу о способах его хранения. Не зря в заголовке написано «паролей», а не «пароля», ибо для обеспечения комплексной безопасности всех своих аккаунтов нужно иметь отдельный пароль для каждого из них. Это очень важно тем более, если вам есть что терять (аккаунты, на которых могут быть деньги, и прочее).

Где и как не стоит хранить пароли

Заголовок можно понять двояко. Ведь хранить пароли можно в браузере (по стандарту большинство браузеров предлагает сохранить пароль после ввода для сайта) и в каком-нибудь файле или специальной программе. Так вот первое отметается сразу, так как пароли, хранящиеся в браузере, могут запросто быть похищены стилерами (это специальное ПО для кражи паролей и отправки их на сервер или почту его «хозяина»), а также могут быть украдены, когда вы не будете рядом со своим компьютером, например, кем-либо при помощи MPR (Multi Password Recovery) или других «помогалок вспомнить забытый пароль».

Кстати, мне вспомнился интересный случай в плане вредоносного ПО, крадущего пароли. Был какой-то стилер, заточенный под ICQ-клиент QIP 2005, который крал пароли, только если они были введены при логине, то есть сохраненный пароль он украсть не мог, так как в этом случае в поле ввода пароля пароль и не появлялся, а брался он «зверьком» именно оттуда. Но не нужно надеяться на такую удачу. Ладно, больше не будем отходить от темы.

Где лучше всего хранить пароли

Самый простой способ это хранения списка паролей в текстовом файле. Но, например, у меня их много, а также вместе с ними еще и адреса сайтов с логинами, поэтому поиск нужных данных может быть затруднен. Зато такой способ даст возможность использовать список своих паролей под любой ОС, в том числе мобильной, что не смогут дать всевозможные программы, некоторые из которых еще и нуждаются в установке.

Если вы хотите все же программное решение, то тут, конечно, нужно выбирать то, что сможет зашифровать весь этот список понадежнее, хотя я использую одну малофункциональную простую программу одного знакомого разработчика уже несколько лет и это просто привычка. Но у меня и нет причин паранойить. Но если вам нужно действительно надежное решение, то оно должно быть с защитой от считывания паролей из памяти, с виртуальной клавиатурой и прочими прелестями.

Менеджеры паролей

Приведу в качестве примера только две программы, а так их очень много. Первая – бесплатная, Free Password Manager от Soft-o. Ее можно поставить на флеш-накопитель, если хотите иметь свои пароли всегда под рукой. Разумеется, все хорошо шифруется. Есть встроенный генератор паролей и другие полезности. Единственный минус для некоторых – английский интерфейс. У другой же программы, о которой пойдет речь, нет этого минуса, но она и платная.

Kaspersky Password Manager

Но Kaspersky Password Manager это уже более мощный продукт. Он обладает таким же функционалом, как и FPM, но вдобавок обладает виртуальной клавиатурой для защиты от кейлоггеров, автозаполнением форм и сохранением вводимых паролей. Но почему-то жалко отдавать за такую программу 900 рублей.

Методы защиты хранимых паролей

Если вы хотите хранить пароли на «флешке», то для большей надежности можете приобрести флеш-накопители с аппаратным шифрованием данных. Только, главное, потом не забыть пароль.

А еще можно хранить не полностью правильные, но в таком случае, если паролей много, то недостающий кусочек придется использовать один и тот же. Кстати место тоже лучше брать не с краю. А можно вообще не морочиться о безопасности хранения своих паролей, но если что-то случится, то может быть уже совсем поздно.

Привязка — вспомогательное средство для защиты аккаунтов

vhod_v_gmail

Хотя все больше внедряется привязка к телефонным номерам, а в случае утраты сим-карты, ее можно будет восстановить. И в итоге получается замкнутый круг невозможности утерять навсегда свой аккаунт, как это уже есть с аккаунтами gmail, «В Контакте» или WebMoney. Только вот в случае с последней системой, если злоумышленник получит доступ к вашему электронному кошельку хотя бы на минуту, то вы можете лишиться приличной суммы.

Гаджеты для хранения паролей

Последними достижениями в области защиты ваших аккаунтов являются аппаратные решения. Например:

1) Ключ от Webmoney можно хранить в аппаратном хранилище (eToken и другие), что предотвращает кражу ключа, без которого доступ к кошельку невозможен.

2) Для защиты аккаунтов Battle.net от кражи компания Blizzard Entertainment создала брелок Аутентификатор Battle.net. Хотя имеется и мобильная версия.

Authenticator
3) Существуют устройства, созданные для хранения паролей. Например, Password Vault. Стоит устройство 50$. Купить можно здесь. Вот так оно выглядит:

Hammacher-Schlemmer-Password-Vault
На этом все. Так что думайте и решайте сами.
© Flashback, RCE.SU

Есть 1 комментарий. к “О хранении паролей”

  • Когда есть возможность что-то делать, то не хочется это делать и наоборот | Теплый ламповый блог Флеша обо всем 20.04.2015 в 21:20

    […] статейку я успел написать для своего второго блога: «О хранении паролей». На данный момент у меня накидано в тетрадке около […]

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>