Защита от Утечки Данных: Менеджеры Паролей
Что такое Менеджер Паролей?
Менеджер паролей - это программа или сервис, который позволяет вам сохранять информацию для входа, такую как имя пользователя, пароль, ссылку для входа и другие данные. Ваша база данных паролей хранится в зашифрованном формате. Дополнительные меры безопасности могут различаться от сервиса к сервису.
Зачем мне нужен Менеджер Паролей?
Самое важное, что вы можете сделать для защиты своих аккаунтов, это использовать сильные, уникальные пароли, которые не используются в других местах. Я обсуждал в разделе "Понимание Утечек Данных", как зашифрованные пароли могут быть украдены из базы данных сервиса и затем расшифрованы позже. Использование сильного, уникального пароля делает ваш пароль фактически невозможным для расшифровки, что гарантирует безопасность ваших аккаунтов даже в такой ситуации. Сильный пароль должен состоять из шестнадцати или более символов, включая заглавные и строчные буквы, цифры и специальные символы, и не должен использоваться в других аккаунтах. (Последний совет - это страховка: если сервис не шифрует - или плохо шифрует - ваш пароль, неиспользование одинаковых паролей (и имен пользователей) предотвратит доступ злоумышленника к вашим другим аккаунтам. Это называется "credential stuffing"). Конечно, это означает, что хороший пароль практически невозможно запомнить, поэтому решение - использовать Менеджер Паролей. Используя Менеджер Паролей, вам нужно запомнить только один пароль: мастер-пароль для входа.
Что следует искать в Менеджере Паролей?
Самое важное - это искать сервис, который работает в "нулевом знании". Они также могут использовать термины как "нулевой доступ" или "конец-к-концу зашифрован". (Примечание: это отличается от обычного шифрования). Это означает, что ни один сотрудник компании не видит ваши пароли и информацию. Помните: если они видят это, то и преступник, получивший доступ, тоже видит. Также стоит рассмотреть, подходят ли для вас облачные сервисы. Облачные сервисы предлагают удобства, такие как синхронизация между устройствами, но существует риск того, что успешный преступник загрузит вашу базу данных и затем будет иметь много времени на поиск уязвимостей в шифровании. С другой стороны, локально сохраненные базы данных более защищены от утечки данных, но есть риск их удаления, потери или повреждения, если вы не делаете надежные резервные копии.
Избегайте Следующего
LastPass - это популярный менеджер паролей, но уже много лет с ним связаны проблемы с безопасностью и вопросительные решения в сфере бизнеса. Это включает в себя такие вещи, как ограничение бесплатных пользователей выбирать только между использованием своей учетной записи либо на мобильных, либо на настольных устройствах (а не на обоих), или - что самое заметное - массовая утечка данных в 2022 году, о которой объявили 23 декабря (пятница перед Рождеством, с учетом того, что большинство людей были заняты на следующие несколько дней и не вероятно, что они увидят это сообщение), где они пытались уменьшить важность события как незначительного инцидента. Позже стало известно, что большие объемы хранилищ пользователей были незашифрованы (такие как ссылка для входа на сайт, что позволяло злоумышленникам создавать более убедительные ******овые письма), хранилища были украдены из баз данных (что означает, что злоумышленники будут иметь бесконечное время для попыток их взлома), пароли пользователей были плохо зашифрованы (что делало их более уязвимыми для взлома), и утечка произошла из-за плохой внутренней практики безопасности. Это было всего лишь последней и самой большой из серии промахов, сделанных компанией, которая доказала свою неспособность и неэтичное обращение с клиентами и их данными. Даже если вы не выберете один из рекомендуемых мной менеджеров паролей, я настоятельно рекомендую избегать LastPass.
Перечислены в алфавитном порядке, а не в порядке рекомендаций
Bitwarden
Плюсы:
Проверено
Доступно на всех операционных системах
Минусы:
Основано на облаке
KeePass
Плюсы:
Некоторые клиенты проверены
Доступно на всех операционных системах
Популярные клиенты включают KeePass XC, KeePassDX (Android) и Strongbox (iOS)
Минусы:
Не все клиенты проверены
Не основано на облаке
Proton Pass
Плюсы:
Проверено
Доступно на всех операционных системах (браузерное расширение только для Linux, Mac и Windows)
Поставляется с бесплатным календарем, облачным хранилищем, электронной почтой и VPN в рамках учетной записи Proton
Минусы:
Основано на облаке
Для доступа с рабочего стола требуется браузерное расширение, нет настольного приложения или веб-хранилища
Ранний продукт, несколько не хватает некоторых функций, которые уже могут быть у других менеджеров паролей (такие как кредитные карты)
Похвальное Упоминание: 1Password
1Password
1Password не соответствует полному одобрению на этом сайте, потому что у них нет клиентов с открытым исходным кодом. Тем не менее, безопасность 1Password хвалится экспертами, их проверяли, у них есть долгая и положительная репутация, и они даже поддерживают разнообразные инициативы с открытым исходным кодом. 1Password не был бы моим первым рекомендованным вариантом для большинства пользователей, потому что существуют другие одинаково хорошие альтернативы с открытым исходным кодом (такие как указанные выше), но если ни одно из рекомендуемых вариантов вас не привлекает по какой-либо причине, 1Password также является высоко репутационным вариантом. (Обратите внимание, что 1Password не предоставляет бесплатного уровня.)
С чего начать
Я предлагаю вам немедленно прекратить то, что вы делаете, и использовать безопасные пароли для ваших наиболее важных аккаунтов. Банковские, электронной почты и другие аккаунты, без которых вы не можете жить. Сделайте это прямо сейчас, прежде чем делать что-либо еще.
Что касается остальных ваших аккаунтов, я рекомендую обновлять пароли на что-то безопасное "по мере использования". Это означает, что вы меняете пароли по мере их использования. Например, следующий раз, когда вы входите на e.b.a.y, меняете свой пароль. Затем, следующий раз, когда вы заказываете пиццу, меняете этот пароль. В итоге каждый аккаунт будет иметь уникальный, надежный пароль.
Советы и Хитрости
Для вашего мастер-пароля используйте парольную фразу. Парольная фраза - это последовательность слов, а не одно слово. Хорошая парольная фраза должна состоять как минимум из пяти случайных слов, так что старайтесь избегать известных цитат или очевидных слов, таких как список имен ваших детей. Хорошая парольная фраза может потребовать сотен лет для подбора методом грубой силы или угадывания.
Менеджеры паролей обычно включают раздел для заметок. Это отличное место для заметок, таких как резервные коды многофакторной аутентификации, ответы на вопросы безопасности или другие детали, которые вы хотите помнить. Однако имейте в виду, что это создает единую точку отказа, поэтому уделяйте максимальное внимание защите вашего менеджера паролей в этом случае.
Общей стратегией для увеличения безопасности аккаунта является предоставление ложных ответов на вопросы безопасности. Например, обычный вопрос безопасности: "Какое среднее имя вашего отца?" Этот вид информации легко найти онлайн для большинства людей в наши дни, из-за все большего цифрового характера публичных записей. Преступник может позвонить в банк, представляясь вами, ответить на вопрос и перевести все ваши средства из вашего аккаунта. Вместо истинного ответа ответьте случайным словом и запишите его в разделе "заметки".
Что такое Менеджер Паролей?
Менеджер паролей - это программа или сервис, который позволяет вам сохранять информацию для входа, такую как имя пользователя, пароль, ссылку для входа и другие данные. Ваша база данных паролей хранится в зашифрованном формате. Дополнительные меры безопасности могут различаться от сервиса к сервису.
Зачем мне нужен Менеджер Паролей?
Самое важное, что вы можете сделать для защиты своих аккаунтов, это использовать сильные, уникальные пароли, которые не используются в других местах. Я обсуждал в разделе "Понимание Утечек Данных", как зашифрованные пароли могут быть украдены из базы данных сервиса и затем расшифрованы позже. Использование сильного, уникального пароля делает ваш пароль фактически невозможным для расшифровки, что гарантирует безопасность ваших аккаунтов даже в такой ситуации. Сильный пароль должен состоять из шестнадцати или более символов, включая заглавные и строчные буквы, цифры и специальные символы, и не должен использоваться в других аккаунтах. (Последний совет - это страховка: если сервис не шифрует - или плохо шифрует - ваш пароль, неиспользование одинаковых паролей (и имен пользователей) предотвратит доступ злоумышленника к вашим другим аккаунтам. Это называется "credential stuffing"). Конечно, это означает, что хороший пароль практически невозможно запомнить, поэтому решение - использовать Менеджер Паролей. Используя Менеджер Паролей, вам нужно запомнить только один пароль: мастер-пароль для входа.
Что следует искать в Менеджере Паролей?
Самое важное - это искать сервис, который работает в "нулевом знании". Они также могут использовать термины как "нулевой доступ" или "конец-к-концу зашифрован". (Примечание: это отличается от обычного шифрования). Это означает, что ни один сотрудник компании не видит ваши пароли и информацию. Помните: если они видят это, то и преступник, получивший доступ, тоже видит. Также стоит рассмотреть, подходят ли для вас облачные сервисы. Облачные сервисы предлагают удобства, такие как синхронизация между устройствами, но существует риск того, что успешный преступник загрузит вашу базу данных и затем будет иметь много времени на поиск уязвимостей в шифровании. С другой стороны, локально сохраненные базы данных более защищены от утечки данных, но есть риск их удаления, потери или повреждения, если вы не делаете надежные резервные копии.
Избегайте Следующего
LastPass - это популярный менеджер паролей, но уже много лет с ним связаны проблемы с безопасностью и вопросительные решения в сфере бизнеса. Это включает в себя такие вещи, как ограничение бесплатных пользователей выбирать только между использованием своей учетной записи либо на мобильных, либо на настольных устройствах (а не на обоих), или - что самое заметное - массовая утечка данных в 2022 году, о которой объявили 23 декабря (пятница перед Рождеством, с учетом того, что большинство людей были заняты на следующие несколько дней и не вероятно, что они увидят это сообщение), где они пытались уменьшить важность события как незначительного инцидента. Позже стало известно, что большие объемы хранилищ пользователей были незашифрованы (такие как ссылка для входа на сайт, что позволяло злоумышленникам создавать более убедительные ******овые письма), хранилища были украдены из баз данных (что означает, что злоумышленники будут иметь бесконечное время для попыток их взлома), пароли пользователей были плохо зашифрованы (что делало их более уязвимыми для взлома), и утечка произошла из-за плохой внутренней практики безопасности. Это было всего лишь последней и самой большой из серии промахов, сделанных компанией, которая доказала свою неспособность и неэтичное обращение с клиентами и их данными. Даже если вы не выберете один из рекомендуемых мной менеджеров паролей, я настоятельно рекомендую избегать LastPass.
Перечислены в алфавитном порядке, а не в порядке рекомендаций
Bitwarden
Плюсы:
Проверено
Доступно на всех операционных системах
Минусы:
Основано на облаке
KeePass
Плюсы:
Некоторые клиенты проверены
Доступно на всех операционных системах
Популярные клиенты включают KeePass XC, KeePassDX (Android) и Strongbox (iOS)
Минусы:
Не все клиенты проверены
Не основано на облаке
Proton Pass
Плюсы:
Проверено
Доступно на всех операционных системах (браузерное расширение только для Linux, Mac и Windows)
Поставляется с бесплатным календарем, облачным хранилищем, электронной почтой и VPN в рамках учетной записи Proton
Минусы:
Основано на облаке
Для доступа с рабочего стола требуется браузерное расширение, нет настольного приложения или веб-хранилища
Ранний продукт, несколько не хватает некоторых функций, которые уже могут быть у других менеджеров паролей (такие как кредитные карты)
Похвальное Упоминание: 1Password
1Password
1Password не соответствует полному одобрению на этом сайте, потому что у них нет клиентов с открытым исходным кодом. Тем не менее, безопасность 1Password хвалится экспертами, их проверяли, у них есть долгая и положительная репутация, и они даже поддерживают разнообразные инициативы с открытым исходным кодом. 1Password не был бы моим первым рекомендованным вариантом для большинства пользователей, потому что существуют другие одинаково хорошие альтернативы с открытым исходным кодом (такие как указанные выше), но если ни одно из рекомендуемых вариантов вас не привлекает по какой-либо причине, 1Password также является высоко репутационным вариантом. (Обратите внимание, что 1Password не предоставляет бесплатного уровня.)
С чего начать
Я предлагаю вам немедленно прекратить то, что вы делаете, и использовать безопасные пароли для ваших наиболее важных аккаунтов. Банковские, электронной почты и другие аккаунты, без которых вы не можете жить. Сделайте это прямо сейчас, прежде чем делать что-либо еще.
Что касается остальных ваших аккаунтов, я рекомендую обновлять пароли на что-то безопасное "по мере использования". Это означает, что вы меняете пароли по мере их использования. Например, следующий раз, когда вы входите на e.b.a.y, меняете свой пароль. Затем, следующий раз, когда вы заказываете пиццу, меняете этот пароль. В итоге каждый аккаунт будет иметь уникальный, надежный пароль.
Советы и Хитрости
Для вашего мастер-пароля используйте парольную фразу. Парольная фраза - это последовательность слов, а не одно слово. Хорошая парольная фраза должна состоять как минимум из пяти случайных слов, так что старайтесь избегать известных цитат или очевидных слов, таких как список имен ваших детей. Хорошая парольная фраза может потребовать сотен лет для подбора методом грубой силы или угадывания.
Менеджеры паролей обычно включают раздел для заметок. Это отличное место для заметок, таких как резервные коды многофакторной аутентификации, ответы на вопросы безопасности или другие детали, которые вы хотите помнить. Однако имейте в виду, что это создает единую точку отказа, поэтому уделяйте максимальное внимание защите вашего менеджера паролей в этом случае.
Общей стратегией для увеличения безопасности аккаунта является предоставление ложных ответов на вопросы безопасности. Например, обычный вопрос безопасности: "Какое среднее имя вашего отца?" Этот вид информации легко найти онлайн для большинства людей в наши дни, из-за все большего цифрового характера публичных записей. Преступник может позвонить в банк, представляясь вами, ответить на вопрос и перевести все ваши средства из вашего аккаунта. Вместо истинного ответа ответьте случайным словом и запишите его в разделе "заметки".