Обеспечивают ли менеджеры паролей вашу безопасность или дают ложное чувство безопасности?
Менеджер паролей — это приложение, устройство или облачная служба, которые хранят ваши пароли в зашифрованном хранилище, которое можно разблокировать только с помощью вашего единственного мастер-пароля. Большинство менеджеров паролей также могут создавать сложные случайные пароли для сайтов, которые вы посещаете, и приложений, которые вы используете, и вам даже не нужно знать эти пароли, чтобы использовать их. Популярные менеджеры паролей включают 1Password, KeePass, OneLogin, LastPass, Dashlane, RoboForm и многие другие.
Но насколько безопасны эти менеджеры паролей? В июне 2018 года ZDNet сообщил, что менеджер паролей OneLogin был взломан, что привело к раскрытию конфиденциальных данных клиентов. За несколько месяцев до этого другой популярный менеджер паролей, LastPass, также столкнулся с серьезной проблемой безопасности, как описано в этой статье из UK Independent (LastPass ранее был взломан двумя годами ранее).
Неужели мы идиоты, чтобы пользоваться менеджерами паролей? Я думаю, что нам нужно держать это в поле зрения, потому что реальность такова, что в наши дни все может быть взломано. Безопасность всегда должна быть сбалансирована с управляемостью и удобством использования, поэтому мы не сталкиваемся с какой-то странной новой проблемой, когда речь идет о потенциальной уязвимости менеджеров паролей. Поэтому, чтобы получить более широкое и реалистичное представление о ценности и опасности использования менеджеров паролей, я собрал отзывы читателей нашего популярного информационного бюллетеня WServerNews, чтобы узнать, как они относятся к использованию менеджеров паролей и какие из них они используют сами и рекомендуют. Ниже приведены некоторые отзывы, которые я получил.
ЛастПасс
Ряд наших читателей рекомендовали LastPass. Например, читатель по имени Эрик, ИТ-администратор, работающий в виртуальном колл-центре в Джорджии, говорит: «Мы пользуемся версией Enterprise больше года и очень довольны. Я использую его лично в течение нескольких лет (пять или шесть?), и это основная причина, по которой мы используем его здесь». Другой читатель по имени Рич ответил: «Я нашел и использую LastPass уже несколько лет, и он мне ПОНРАВИЛСЯ. Это не «портативный», то есть вы не можете подключить USB-накопитель и заставить его работать. Однако вы МОЖЕТЕ войти на веб-сайт LastPass со своими учетными данными и получить доступ ко всем своим сайтам и паролям. Я также использую возможность заполнения форм. Очень удобно для многих вещей.» А Джим, работающий в сфере информационных технологий в круизной компании, говорит: «У нас есть корпоративная лицензия на LastPass. Это абсолютно необходимо для ИТ и некоторых людей высшего уровня. Без него мне пришлось бы записывать пароли куда-нибудь, предположительно менее безопасное, например, в документ Word, который я использовал (и до сих пор время от времени обращаюсь к старой записи)».
KeePass
Несколько читателей нашего информационного бюллетеня оценили инструмент с открытым исходным кодом KeePass как полезный для отслеживания своих паролей. Например, Рикардо, системный и сетевой администратор группы компаний из Британской Колумбии, Канада, говорит: «Я использую KeePass последние два года; есть версии для Android (KeePassDroid) и iOS (MiniKeePass). Версия для Android интегрируется с Dropbox и Google Drive. Это означает, что куда бы вы ни пошли, база данных паролей всегда будет с вами. Программа для ПК имеет множество функций, таких как автоматический ввод на страницах входа на веб-сайты, категории паролей, генераторы паролей, поиск по базе данных и т. д. Никогда не было ни одной проблемы, и безопасность действительно хороша». А Алан, работающий в Департаменте по делам ветеранов США, говорит: «Я большой поклонник KeePass, который запускаю с зашифрованного USB-накопителя. Он кроссплатформенный (в том числе мобильный), имеет надежную поддержку плагинов и отличные функции безопасности».
Робоформ
Еще один менеджер паролей, популярный среди некоторых наших читателей, — это RoboForm, который поставляется как в личной, так и в бизнес-версии. Например, Джим, архитектор приложений из Техаса, говорит: «Я использую RoboForm уже около восьми лет и очень доволен. В настоящее время я использую RoboForm Everywhere, что позволяет мне устанавливать RoboForm на нескольких компьютерах и иметь доступ ко всем моим логинам на каждом из них. Они также предлагают вход через Интернет, который дает вам доступ к вашим входам в систему, не оставляя следов на компьютере, который вы использовали, а также переносной формат, который можно загрузить и запустить с USB-накопителя». Другой читатель по имени Чарли уточняет это, говоря: «Мне нравится RoboForm, но я не доверяю функции хранения паролей на облачном сервере, но мне нужен мой мастер-пароль, чтобы использовать эту функцию. Я не понимаю, зачем им нужен этот пароль, поэтому я его не использую». А другой читатель по имени Кирк рассказал о RoboForm еще больше: «RoboForm с опцией Everywhere (20 долларов в год за почти неограниченное количество паролей и использование ПК) имеет локальный пароль и пароль сервера. Локальный пароль должен быть таким, чтобы вы могли легко его запомнить и ввести. Пароль сервера должен быть очень длинным и случайным, чтобы его нельзя было подобрать даже самому себе. Вам нужно только сгенерировать его один раз и ввести один раз при настройке учетной записи Everywhere. После этого RoboForm сохраняет этот пароль в данных вашей локальной учетной записи и использует его для периодической проверки и синхронизации каждого ПК с версией сервера. Конечно, существует риск взлома их сервера, но пароли на сервере зашифрованы вашим локальным паролем, поэтому хакерам придется угадывать и его, чтобы получить доступ к вашим ссылкам, паролям и другой информации, сохраненной в базе данных. Насколько мне известно, сервер RoboForm и его сотрудники не имеют доступа к вашему локальному паролю. Это займет около 10 секунд и повторную синхронизацию с сервером, если вы считаете, что ваш локальный пароль был скомпрометирован, и решили его изменить. Я влюблен в них почти с тех пор, как они появились».
1Пароль
За 1Password также проголосовали несколько наших читателей, особенно те, кто использует Mac. Например, читатель по имени Джеймс говорит: «Я использовал LastPass, когда был пользователем Windows. Сейчас я в основном пользователь Mac и использую 1Password. Я бы не стал использовать какое-либо устройство без менеджера паролей». 1Password также только что получил серьезные обновления для Mac и Windows.
Менеджеры паролей: голоса сопротивления
Но не все, кто читает наш информационный бюллетень WServerNews, согласны с тем, что менеджеры паролей — это хорошо. Например, Джон, работающий в компании графического дизайна в Массачусетсе, считает, что «лучшая защита — это ваша собственная память, поскольку наличие менеджера паролей на компьютере (компьютерах) повышает шансы быть взломанным кем-то, кто получит физический доступ к одному из ваши компьютеры или через вредоносное ПО. По этой же причине мои браузеры не запоминают мои пароли для веб-сайтов, кроме простых форумов, и эти пароли периодически удаляются, когда я все равно очищаю файлы cookie».
Крис, менеджер по продукту британской компании, поставляющей корпоративное программное обеспечение, говорит: «Я использую локальный (не облачный) менеджер паролей. Когда вы дойдете до того, что у вас будет больше, скажем, пяти наборов учетных данных, пришло время для менеджера паролей. Я уверен, что у меня есть более 100 наборов учетных данных для личных и деловых целей. Каждая реализация безопасности имеет соответствующий бэкдор, поэтому я не ожидаю, что мой менеджер паролей будет абсолютно безопасным. Также необходимо использовать другие передовые методы обеспечения безопасности».
И, наконец, Джимми из университета в Нью-Йорке говорит: «В ответ на ваш вопрос о менеджерах паролей: нет, я их не использую. Я использую MS Excel с парольной фразой защищенного листа длиной более 20 символов. Это хранится на моем частном сетевом ресурсе в офисе. Я могу использовать VPN, чтобы получить доступ из дома, если мне нужно обратиться к электронной таблице, когда я не в офисе. У меня недостаточно веры в облачные сервисы для такого типа конфиденциальных данных. Было бы трудно украсть SAN, в котором хранятся мои данные, защищенные в компьютерном зале, ранее принадлежавшем банку. У меня около 30 разных учетных записей с примерно таким же количеством паролей / фраз. С возрастом становится все более важным записывать эту информацию».
Так что каждому свое, наверное. Что вы думаете о менеджерах паролей? Вы используете один? Почему или почему нет? И если вы используете один, то какой и почему? Используйте функцию комментариев внизу этой статьи, чтобы поделиться своими мыслями по этому вопросу на благо других читателей TechGenix.