Где хранить пароли
8 ноября 2011, Павел Данилов
Как активно вы пользуетесь интернетом? В скольких сервисах глобальной сети вы зарегистрированы? По собственному опыту знаю, что как только количество аккаунтов на различных ресурсах превышает 5-6 штук, хранение логинов и паролей к ним становится проблемой.
Одинаковые регистрационные данные для всех сервисов – это не самый лучший выход, который, к тому же, не всегда реален. Например, ваш привычный логин может быть уже занят, поэтому придется его видоизменять. Кроме того, теоретически пароль может стать известен администраторам ресурсов, на которых вы регистрировались. Это означает потенциальную возможность злоупотребления вашим доверием. А еще пароли с сайтов нередко воруют. Пути для этого используют разные – от написания специфических вирусных программ и кражи базы данных до банального фишинга. Что получается? Украв слабо защищенный администрацией сайта пароль, например, на каком-то развлекательном сайте, злоумышленники завладеют единым паролем от всех остальных ваших ресурсов. Вероятность использования остальных ваших аккаунтов злоумышленниками не слишком велика, однако она есть. Стоит ли рисковать?
Почтовые службы, социальные сети, платежные системы, сервисы передачи мгновенных сообщений, развлекательные сайты и т.п. – все хотят вашей регистрации. Как удержать в памяти те места, где вы уже регистрировались, а также данные для аутентификации? В этом вам помогут программы менеджеры паролей.
Нужно отметить, что практически в каждом из современных браузеров есть встроенный менеджер паролей. В большинстве браузеров он совмещен вместе с утилитой автозаполнения, что позволяет сразу вставить в соответствующие поля сайта данные для авторизации (логин-пароль). Никаких сторонних программ. Все просто и удобно. Однако несмотря на такие плюсы, минусы данного подхода тоже весьма ощутимы.
Во-первых – безопасность. С безопасностью хранения регистрационных данных в браузерах все далеко не идеально. Вариантов хищений паролей из браузеров сейчас придумано огромное количество (расширения с шпионскими модулями, считывание пароля из базы данных и т.п.). Плюс, есть возможность считывания таких паролей из оперативной памяти. Так что использовать встроенные менеджеры паролей веб-браузеров имеет смысл только для не слишком ценных учетных записей и с обязательным вводом мастер-пароля, что хоть немного уменьшит вероятность хищения.
Во-вторых, встроенные хранители далеко не всегда удобны. Ведь пароли нужно запоминать не только для ввода их на интернет-страницах. Есть еще интернет-пейджеры, клиенты электронной почты и т.п. Для них тоже стоит придумывать отдельные пароли и где-то их хранить. Про довольно примитивный интерфейс встроенных в браузер решений я даже и не говорю.
Вариант со сторонними приложениями, которые могли бы хранить наши логины и пароли, мне нравится значительно больше. Они, как правило, обеспечивают значительно лучшую защиту, а также удобство хранения данных для авторизации на различных сервисах. Важным, с моей точки зрения, плюсом является возможность хранения дополнительной информации об учетной записи в таких приложениях.
Достаточно долго я пользовался бесплатной утилитой KeePass Password Safe. Небольшой, удобный, без лишних функций менеджер паролей. Хранит все пароли в единой зашифрованной базе данных – в файле с расширением KDB. Шифрование происходит по хорошо зарекомендовавшему себя алгоритму AES с 256-битным ключом. Программа является кроссплатформенной. Есть разбивка запоминаемых аккаунтов по категориям. В программе уже есть несколько готовых, но можно создать и свои. Хорошим подспорьем станет встроенный генератор паролей. Файл с базой паролей программы можно использовать на любом ПК или мобильном устройстве (например, носить с собой на карте памяти или держать его в интернет-хранилище), на котором установлена программа. Кстати, сама программа может работать без установки – с переносного USB-диска, что тоже делает ее удобной для использования на нескольких компьютерах.
Что еще мне импонирует, так это бесплатность данного приложения и открытость его исходного кода. Такие проекты, как минимум, лишены шпионских модулей, вставленных туда разработчиком.
Серьезным недостатком данной программы является то, что, по некоторым данным, при ее использовании можно считать пароли из оперативной памяти. Это минус, который свойственен, к сожалению, многим программам такого класса. В большинстве случаев, для частичной нейтрализации этого недостатка достаточно просто не держать программу постоянно загруженной.
В качестве альтернативы можно использовать Steganos Password Manager Free. Это довольно интересный продукт, который не позволяет считывать пароли из оперативной памяти. Однако у него есть другой недостаток – возможность изменения настроек без ввода мастер-пароля, что тоже, как вы понимаете, не слишком хорошо. В плане функциональности он почти полностью повторяет KeePass Password Safe.
Программ менеджеров паролей довольно много. Перечислять их все не имеет смысла. Мне хотелось бы упомянуть еще одну программу, особенность которой состоит в том, что она позволяет хранить зашифрованные пароли в облаке. Это LastPass. Приложение реализовано в виде подключаемого модуля для браузеров. Реализована поддержка всех наиболее популярных браузеров – IE, Firefox, Chrome и Safari. Хранение паролей возможно как локально, так и в облачном хранилище, предоставляемом разработчиками. Программа позволяет хранить разнообразные данные, а не только пароли и логины. В ней имеется также функция автозаполнения форм. Данных о проблемах безопасности у этой программы мне не встречалось. Однако сервис может использовать сведения о посещаемых пользователем сайтах для составления рекламного профиля, что тоже не всех обрадует.
Как видите, вариантов хранения паролей существует довольно много. Абсолютно идеальных вариантов нет. Практически у всех решений существуют недостатки. Выбрать наиболее подходящий для вас, я предлагаю самостоятельно.
Albert Einstein