Подпишитесь на наш телеграмм канал про спорт и заработок

Пользователей менеджера паролей уличили в неумении правильно пользоваться программой

Содержание статьи
  1. Опасности пользования онлайн-менеджерами паролей
  2. Введение
  3. Проблемы
  4. Плохой совет
  5. Поверхность атаки
  6. Враждебные окружения
  7. Chrome против контента
  8. Фреймы
  9. Краткая иллюстрация
  10. Обмен данными между процессами
  11. Песочницы
  12. Заявления разработчиков
  13. Другие заявления
  14. Заключение
  15. На правах рекламы
  16. WARNING
  17. Постановка задачи
  18. Атака на пароли
  19. DLL Hijacking
  20. Пишем SendMessage-эксплойт
  21. Ищем уязвимости DLL Hijacking
  22. INFO
  23. RoboForm 7.9.2.5
  24. Подводя итоги
  25. Предупрежден — значит вооружен
  26. Заключение
  27. Как пользоваться менеджером паролей?
  28. Как пользоваться LastPass?
  29. 1. Импортируйте существующие пароли
  30. 2. Добавьте новый логин
  31. 3. Войдите в приложение с помощью диспетчера паролей
  32. 4. Синхронизируйте пароли и получайте доступ к ним на всех ваших устройствах
  33. Безопасно ли использовать менеджеры паролей в 2022 году?
  34. Как менеджеры паролей защищают ваши пароли?
  35. Каковы риски использования менеджера паролей?
  36. Можно ли доверять менеджерам паролей?
  37. Какой тип менеджера паролей самый безопасный?
  38. Браузерные менеджеры паролей
  39. Облачные менеджеры паролей
  40. Настольные менеджеры паролей
  41. Что делать, если ваш менеджер паролей взломан?
  42. Взлом менеджера паролей
  43. Безопасны ли менеджеры паролей премиум-класса?
  44. Недостатки безопасности бесплатных менеджеров паролей
  45. Какие менеджеры паролей самые безопасные?
  46. Keeper
  47. NordPass
  48. RoboForm
  49. Стоит ли использовать менеджер паролей?
  50. Подписаться на обновления блога!

Исследование: Пользователи менеджеров паролей не умеют правильно ими пользоваться

Пользователи менеджеров паролей придерживаются ненадежных парольных практик.

Как показало исследование студентов Калифорнийского университета в Беркли, многие пользователи менеджеров паролей продолжают по привычке придерживаться ненадежных парольных практик, что снижает эффективность менеджеров паролей как инструментов безопасности.

Преимущества использования менеджера паролей базируются на трех предположениях: пользователи способны запоминать сложные пароли, пользователи полагаются на способность менеджера паролей генерировать случайные пароли, пользователи меняют все слабые, повторно используемые или взломанные пароли на новые и более надежные. Но верны ли эти предположения? Группа старшекурсников Калифорнийского университета в Беркли под руководством профессора Стюарта Шехтера (Stuart Schechter) решила проверить, так ли это.

В исследовании, представленном на ИБ-конференции RSA, приняли участие 100 испытуемых, пользующихся менеджерами паролей более пяти месяцев, использующих как минимум пять паролей и готовых предоставить исследователям скриншоты панелей безопасности своих менеджеров паролей.

Первое, что хотели выяснить исследователи, — используют ли испытуемые надежный мастер-пароль (пароль для доступа к самому менеджеру паролей). Как оказалось, лишь немногие используют мастер-пароль, сгенерированный случайным образом менеджером паролей, который они смогли запомнить. Гораздо чаще пользователи придумывают в качестве мастер-пароля простую для запоминания мнемоническую фразу. Еще чаще пользователи выбирают уже знакомый и используемый ранее пароль. То есть, пароли к различным сервисам могут быть сгенерированы менеджером, но сам менеджер при этом может быть защищен паролем «1235678» или ему подобным.

Правильное использование, конечно, предполагает замену этих ненадежных паролей на пароли, сгенерированные менеджером. Тем не менее, как показало исследование, едва ли пятая часть тех, кто полагается на встроенный менеджер паролей Chrome, когда-либо позволяла ему генерировать пароли. Только половина опрошенных, полагающихся на сторонние утилиты, воспользовались этой функцией.

Исследователи также пытались выяснить, как испытуемые использовали (и использовали ли вообще) возможность функции панели управления безопасностью определять слабые, повторяющиеся и взломанные пароли. Результаты были обескураживающими. Даже участники, согласившиеся с тем, что инструмент правильно определяет пароли, нуждающиеся в замене, часто ничего не предпринимали. Главные причины – занятость работой и беспокойство по поводу того, что обновление пароля может вызвать проблемы.


Один хакер может причинить столько же вреда, сколько

10 000 солдат

! Подпишись на наш

Телеграм

 канал

, чтобы узнать первым, как выжить в цифровом кошмаре!


Опасности пользования онлайн-менеджерами паролей

Введение

Я потратил немало времени на то, чтобы разобраться с поверхностью атаки популярных менеджеров паролей. Думаю, я провёл больше времени над их анализом, чем кто-либо ещё, поэтому у меня есть право на мнение.

Во-первых, давайте кое-что проясним. По какой-то причине, только пару тем вызывают более горячее обсуждение, чем пароли. Возможно, политика и религия, но на этом всё. Поэтому вы вполне можете не согласиться с моим мнением.

Во-вторых, каждому нужно использовать уникальные пароли. Вам не обязательно применять для этого менеджер паролей, подойдёт любая работающая система. Вполне приемлемо пользоваться блокнотом, лежащим в ящике стола.

Проблемы

Что может быть проще, чем менеджер паролей? Это всего лишь тривиальное хранилище ключей и значений. И в самом деле, обычно великолепно работают самые простейшие реализации этой концепции. Хорошими примерами простых и безопасных менеджеров паролей являются keepass и keepassx, или даже pass, если вы нерд.

Проблемы начинаются, когда возникает потребность в интеграции с другими приложениями, или когда вам нужно синхронизировать данные по ненадёжному каналу. Существуют безопасные способы решения этих задач, однако соблазн регулярных платежей за подписку привлёк в эту сферу множество бизнесов с разным уровнем компетентности. Обычно я скептически отношусь к подобным онлайн-менеджерам паролей, работающим по подписке, и оставшейся части статьи буду говорить о них.

Плохой совет

Я часто говорю, что фраза «пользуйтесь менеджером паролей» — это плохой совет, ведь людям сложно понять разницу между компетентной и наивной реализациями. В прессе делают обзоры удобства пользования и простоты программ, но по ним невозможно оценить безопасность. Так как же делать выбор пользователям? Поэтому я считаю, что совет «пользуйтесь менеджером паролей» настолько общий, что представляет опасность.

Хорошая аналогия: посоветовать человеку в случае головной боли проглотить любую таблетку из ящика с лекарствами. Возможно, ему повезёт и он найдёт аспирин, а возможно, нет, и ему понадобится неотложка.

Советы по этой теме должны быть чёткими. Лучше рекомендовать конкретные качественно спроектированные решения, а не обобщённые категории продуктов. Как ни странно, такая точка зрения вызывает споры — многие люди считают, что достаточно любого менеджера паролей, и что я нагнетаю страх, проверяя заявления разработчиков. Но эти утверждения меня не убедили.

Поверхность атаки

Самая интересная для меня тема — это то, как удалённые злоумышленники могут взаимодействовать с менеджером паролей пользователя.

Мне не интересны такие темы, как устойчивость зашифрованных блобов к офлайн-взлому. Для некоторых это может быть важной проблемой, но если атакующий может получить доступ к зашифрованному состоянию или изменять его, то в большинстве случаев у вас в любом случае проблемы, вне зависимости от использования менеджера паролей.

Обычно я сталкиваюсь с двумя распространёнными проблемами. Первое — это то, что надёжные элементы интерфейса пользователя инъектируются в потенциально опасные веб-сайты. Второе — различные компоненты взаимодействуют по веб-каналам (например, WebSockets, postMessage и т.д.) без адекватной взаимной авторизации.

Давайте сначала обсудим элементы интерфейса пользователя.

Враждебные окружения

Большинство онлайн-менеджеров паролей использует скрипты контента, то есть код на Javascript, вставляемый в каждый посещаемый пользователем сайт. Писать скрипты контента очень легко, однако очень сложно сделать их устойчивыми к изменениям. И это проблема, потому что они будут хоститься во враждебных окружениях.

Хорошим примером того, как всё незаметно может пойти не так, является подобный баг. Способы взаимодействия изолированных миров достаточно сложны, но менеджеры паролей усугубляют ситуацию, размывая различия между интерфейсом пользователя и контентом.

Chrome против контента

Интерфейс браузера состоит из двух основных компонентов — из chrome (как ни странно, это понятие никак не связано с Google Chrome) и из области контента. Компонент chrome содержит такие элементы, как адресная панель, вкладки и кнопка «Назад». Этим компонентам можно доверять, и веб-сайты не могут их модифицировать. С другой стороны, всё, что находится внутри области контента, может управляться веб-сайтом, а поэтому этому компоненту нельзя доверять.

Большинство менеджеров паролей размывают это различие, отрисовывая свой UI в области контента. Такую систему просто невозможно реализовать надёжно, и чтобы доказать это, достаточно тривиального демо.

Фреймы

Допустим, но мы уже привыкли, что разные части области контента могут иметь разные привилегии; по сути, так работают iframe. Однако это не делает их безопасными: вероятно, вы знаете о X-Frame-Options — это заголовок, позволяющий веб-сайтам отказаться от разделения на фреймы. Большинство веб-сайтов, озабоченных своей безопасностью, так и поступает, потому что нападающие легко могут обмануть пользователя, заставив его взаимодействовать с фреймами непредусмотренным образом.

Такое поведение иногда называют redress-атаками или clickjacking. Подробный анализ этой атаки приведён в Browser Security Handbook.

Если redress-атаки вызывают такие проблемы, что все заботящиеся о защите сайты отключают фреймы, то должны ли программы, задача которых заключается в защите паролей, тоже от них отказаться? Это вопрос с подвохом — они не могут этого сделать!

Краткая иллюстрация

В процессе написания статьи я увидел рекламу нового менеджера паролей под названием Nordpass. Давайте используем его в качестве тестового примера. Все онлайн-менеджеры паролей работают схожим образом, проблема не является специфической для какой-то одной реализации.

Примечание:

я намеренно стараюсь избегать поиска конкретных уязвимостей, чтобы не начинать скучный формальный процесс раскрытия. В статье я просто приведу обобщённую иллюстрацию слабых мест, свойственных подобным архитектурам.

Установив расширение, я сразу же увидел, что оно использует скрипты контента для добавления элементов интерфейса в формы логинов.

Интерфейс пользователя Nordpass

Обычно веб-сайты могут взаимодействовать с этим UI, и быстрая проверка подтвердила, что в данном случае это так. Похоже, что я могу и стилизовать эти элементы, поэтому возможен тривиальный redress.

Тестируем redress интерфейса

Эта проблема свойственна онлайн-менеджерам паролей — никогда нельзя сказать точно, взаимодействуешь ли ты с веб-сайтом, или с менеджером паролей. Давайте создадим небольшое демо.

Во пример, если у вас установлен Nordpass, то можете проверить его самостоятельно (прошу прощения за ужасный дизайн).

Это фундаментальная и нерешаемая проблема подобных систем.

Я обнаружил в работе этих элементов UI множество реальных уязвимостей, подверженных эксплойтам. Тривиальных, например, таких, или таких. Иногда пользователю даже необязательно взаимодействовать с сайтом.

Обмен данными между процессами

Мы уже выяснили, что один компонент онлайн-менеджеров паролей нужно инъецировать в потенциально враждебное окружение. Как эти компоненты взаимодействуют друг с другом?

Наивным решением было бы простое использование XHR или WebSockets с локальной конечной точкой HTTP. Оно кажется привлекательным для разработчиков, ведь это нативный способ обмена данными в вебе. Проблема этого решения в том, что очень сложно отличить скрипт контента и враждебный скрипт, работающий на той же странице, но в другом мире.

По сути, в каждом исследованном мной менеджере это реализовано неправильно, что приводит к критичным уязвимостям. Самые серьёзные уязвимости создают баги наподобие этого и этого.
Разработчики придумывают всевозможные грязные решения этой проблемы, в которых часто используются фоновые скрипты, пытающиеся проверять происхождение вкладок.

Песочницы

Ещё одна моя претензия к онлайн-менеджерам паролей заключается в том, что они снижают эффективность песочниц браузера. Современные браузеры используют sandbox-архитектуру для изоляции компонентов, которые могут плохо себя вести.

Проблема в том, что при помощи расширений онлайн-менеджеры паролей, по сути, инъецируют в эти процессы песочниц привилегированные компоненты. Задача песочниц — изолировать друг от друга потенциально скомпрометированные компоненты, но если вы засовываете все свои самые ценные секреты внутрь песочницы, то какой в этом вообще смысл?

Меня беспокоит то, что люди не понимают, на какие компромиссы им приходится идти.

Заявления разработчиков

Несмотря на заявления разработчиков, если их сеть скомпрометирована, то нападающий может прочитать ваши пароли. Вот примеры маркетинговых заявлений от компаний-производителей менеджеров паролей:

  • и т.д., и т.п.

Все эти заявления — полная чушь. Нападающий (или инсайдер-злоумышленник), получивший контроль над сетью разработчика, может изменить код, передаваемый в браузер, и этот код, очевидно, имеет доступ к вашим паролям. И это не преувеличение, изменение контента веб-сайтов (например, defacement) настолько распространено, что стало практически спортом.

В реальности вам приходится полагаться на разработчика в том, что он будет поддерживать инфраструктуру и обеспечивать её безопасность. Существование шифрования («банковского уровня» или ниже) ничего не изменит.

Возможно, вы скажете, что это не особая проблема, ведь вы уже доверились разработчикам, установив их ПО. Хорошо, но ведь эти заявления стали основным посылом маркетинга, то есть разработчики считают, что для пользователей это важно. Я считаю, что эти заявления искажают истину, чтобы заглушить закономерные сомнения пользователей.

Другие заявления

Разоблачать маркетинговые утверждения легко и приятно, но есть и другие забавные заявления, которые я встречал у реальных поставщиков менеджеров паролей.

  • М-м-м, ну ладно.
  • О, мне определённо стало спокойней.
  • и т.д., и т.п.

Заключение

Если вы хотите пользоваться онлайн-менеджером паролей, то рекомендую использовать тот, который уже встроен в ваш браузер. Он обеспечивает такую же функциональность и позволяет обойти фундаментальные проблемы расширений.

Я пользуюсь Chrome, но и другие популярные браузеры типа Edge или Firefox, тоже сгодятся. Они могут изолировать свой надёжный UI от веб-сайтов, не разрушают модель «песочной» защиты, над ними работают специалисты по безопасности мирового уровня, и они просты в работе.

Без сомнений, многим из тех, кто прочитает статью, не понравится мой совет. Могу только сказать, что я уже слышал все аргументы, но остаюсь при своих выводах.


На правах рекламы

Аренда VDS любых масштабов — это про наши

облачные серверы

! Они бесплатно защищены от DDoS-атак, скорость интернет-канала — 500 Мегабит, остальные параметры тарифа вы можете сконфигурировать самостоятельно в пару кликов. Предоставляем возможность автоматически установить удобную панель управления VestaCP или HestiaCP для размещения сайтов. Поспешите заказать!

Несмотря на то что в мире придумано много способов аутентификации и контроля доступа, именно пароль самый распространенный и одновременно наиболее уязвимый. Множество интернет-порталов и сервисов в целях безопасности запрещают пользователям создавать простые пароли, что, с одной стороны, хорошо, а с другой — просто неудобно. Если же умножить данный факт на десяток подобных сайтов, то мы получим настоящую головную боль. Для устранения пробела между человеческим фактором и безопасностью данных на помощь приходят менеджеры паролей, которые берут на себя организацию паролей пользователя. Однако при таком подходе получается, что безопасность пользователя зависит только от одного — от мастер-пароля.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Постановка задачи

В сентябрьском номере журнала (№ 176) был краткий обзор и сравнение популярных менеджеров паролей, сегодня же подробно поговорим об их безопасности в целом. В этой статье мы критически подойдем к защите менеджеров паролей и рассмотрим несколько вариантов атаки на популярные менеджеры с целью получения мастер-пароля или возможности частичного получения данных, сохраненных в базе паролей.

В качестве экзаменуемых были выбраны пять наиболее популярных решений для ОС Windows:

  • RoboForm 7.9.2.5.

Каждый из них мы проверим на уязвимость к следующим атакам:

  • атаке на мастер-пароль;
  • атаке на содержимое базы паролей;
  • атаке DLL Hijacking.

И по результатам проверки поставим каждому из них соответствующую оценку: плохо, удовлетворительно или хорошо.

Атака на пароли

Как известно, менеджеры паролей не сохраняют мастер-пароль где-либо на компьютере, и каждый раз при использовании менеджера пользователь должен вводить его вручную. Для перехвата таких паролей, как правило, используют кейлоггеры плюс запись движения курсора и снимки экрана, если имела место виртуальная клавиатура. Однако в нашем случае мы не будем писать сложные теневые драйверы для перехвата нажатий клавиш и снимков экранов, так как они могут поставить нашу атаку в лабораторные условия и легко детектятся антивирусами. Мы рассмотрим интересный, но не новый способ получения пароля прямо из окна ввода через вызов API SendMessage c параметром WM_GETTEXT Этот способ замечателен тем, что многие антивирусы не распознают его как потенциально опасное действие, а реализуется он буквально парами строк кода, плюс для его запуска не требуется наличие прав администратора.

Кроме того, атаку через SendMessage можно применить для получения текстовых данных из любых окон приложения, поэтому, даже если мастер-пароль не поддастся, есть большая вероятность частичного или полного получения содержимого самой базы после ее открытия.

DLL Hijacking

Помимо этого, мы будет проверять уязвимость каждого менеджера к атаке DLL Hijacking, чтобы выяснить, насколько корректно каждый из них загружает динамические библиотеки. И если будет обнаружена возможность подменить загружаемую библиотеку на свою, то это будет означать, что мы сможем выполнить произвольный код в системе. И хотя данной атаке подвержено большое количество различных приложений, в случае с менеджерами паролей она имеет свой нюанс. Многие пользователи часто работают за разными компьютерами, и поэтому они запускают менеджеры паролей со съемных устройств. Если при каждом таком запуске будет происходить загрузка несанкционированной библиотеки, то фактически сам менеджер паролей превращается в опасного распространителя вирусов.

Пишем SendMessage-эксплойт

Писать для каждого менеджера паролей свой собственный эксплойт неэффективно, поэтому давай лучше напишем универсальный. Преимущества такого эксплойта заключаются в том, что с его помощью мы можем не только «выдернуть» мастер-пароль и сохраненные в самой базе пароли, но также использовать его для других приложений, в которых есть форма ввода пароля. Фактически по функционалу у нас получится простой и удобный хактул, позволяющий получать пасворды, быстро дать ответ на интересующий вопрос для любого приложения. Ну а теперь перейдем к самому кодингу.

Прежде всего нам понадобится функция, которая будет подготавливать поле memo для принятия новых данных и определять хендл главного окна под курсором, после чего будет получать хендлы дочерних окон и передавать его последующей функции для распознания содержимого окна.

void __fastcall TForm1::Timer1Timer(TObject *Sender){    Memo1->Lines->Clear();    HWND h;    POINT Point;    GetCursorPos(&Point);    h = WindowFromPoint(Point);    EnumChildWindows(h,(WNDENUMPROC)EnmWndwsWnd,0);}

За вывод содержимого дочерних окон будет отвечать функция EnmWndwsWnd

BOOL CALLBACK EnmWndwsWnd(HWND h,LPARAM lParam){    if (IsWindowVisible)    {        char g[255];        GetClassName(h,g,255);        std::string text;        WPARAM ln = SendMessage(h,WM_GETTEXTLENGTH,0,0);        if(ln>0)        {            char *buf = new char[ln+1];            LRESULT got = SendMessage(h,WM_GETTEXT,ln+1,(LPARAM)buf);            if((LRESULT)ln == got)                text = buf;            delete  buf;            Form1->Memo1->Lines->Add((String)g+":"+text.c_str());        }    }    return TRUE;}

После запуска программа, используя таймер, будет отслеживать положение курсора на экране и определять текст под ним, то есть достаточно навести на необходимое поле курсор, чтобы мгновенно узнать пароль. Кроме того, с помощью данной тулзы можно узнать текстовое содержимое всех окон в приложении. Данная функция будет полезна, чтобы мгновенно просканировать содержимое базы паролей после открытия менеджера.

Ищем уязвимости DLL Hijacking

В нашем случае для обнаружения DLL Hijacking можно использовать широко известный Procmon. Кроме Procmon, также подойдет другая известная утилита API Monitor, где в соответствующем меню настроек предварительно необходимо указать перехват функцийLoadLibrary и LoadLibraryEx Если библиотека вызывалась без указания полного пути, а указывалось лишь конечное имя файла, то у нас есть все шансы найти уязвимый DLL-файл. Теперь напишем небольшой код, который будет сигнализировать о наличии уязвимости и в качестве доказательства открывать калькулятор.

Созданная библиотека будет открывать калькулятор каждый раз, когда приложение ее загрузит, таким образом мы сможем однозначно судить о наличии DLL Hijacking.

INFO

Все описанные уязвимости в Kaspersky Password Manager и Sticky Password существовали еще три года назад. Несмотря на то что вендоры были предупреждены, как видишь, проблема осталась до сих пор.

Ну а теперь пришло время приступить непосредственно к оценке безопасности менеджеров паролей. Первым экзаменуемым у нас будет Kaspersky Password Manager. Возможно, виртуальная клавиатура смогла бы помочь ему в случае с кейлоггерами, но в нашем случае мастер-пароль был получен сразу и без каких-либо трудностей. Первый раунд не в пользу «Лаборатории Касперского».

Второй раунд также оказался за нашей хак-тулзой. После ввода мастер-пароля сохраненные данные частично удалось заполучить в момент их просмотра или редактирования.

Подводя итог, можно сказать, что Kaspersky Password Manager оказался далеко не на высоте. Итоговая оценка — плохо.

Немногие знают, что Sticky Password является родителем Kaspersky Password Manager. Именно на его основе «Лаборатория Касперского» в свое время разработала собственный продукт. Оба менеджера обладают схожим функционалом и структурой, фактически главное их отличие — это номера версий и дизайн. Несмотря на то что последняя версия Sticky Password вышла совсем недавно, программа по-прежнему не избавилась от всех тех проблем, которыми когда-то наградила своего отпрыска. Первая и вторая атака успешно выдала мастер-пароль и частично содержимое базы паролей.

1Password от компании Agile Bits первый тест прошел успешно и не дал так просто заполучить мастер-пароль, как в предыдущих двух случаях. Также очень порадовало наличие защитной функции Unlock on Secure Desktop которая блокирует любой доступ к приложению в момент ввода пароля. Единственным моментом, когда удалось заполучить мастер-пароль нашей атакой, стал лишь непосредственный момент создания базы паролей. Однако такой метод малоприменим на практике, поэтому его результат мы не учитываем. После открытия базы заполучить сохраненные данные частично стало возможно при редактировании или просмотре, как и в предыдущих случаях.

Хорошо известный KeePass отлично справился с первой атакой. Как и 1Password, он имеет в своем арсенале функцию контроля доступа к приложению в момент ввода пароля. Вторую атаку KeePass также сдержал достойно. Записанные в базе данные можно получить только в момент редактирования, при этом сохраненные пароли остаются нераскрытыми. Третья атака тоже в пользу опенсорсного менеджера паролей.

Хотя Procmon и показал несколько попыток небезопасной загрузки DLL-файлов, однако сделать на их основе рабочий эксплойт не вышло. Зачет в пользу GNU-сообщества. Итоговая оценка — хорошо.

RoboForm 7.9.2.5

RoboForm тоже просто так не сдался на первой атаке и не выдал свой мастер-пароль, за что и получил плюс. Однако второй раунд был не в его пользу. Даже в режиме просмотра удалось легко заполучить почти полное содержимое форм.

Как и в предыдущем случае, Procmon указал на теоретическую возможность DLL Hijacking, однако создать рабочий эксплойт не удалось. Поэтому третий раунд за RoboForm. По заработанным очкам его можно поставить на уровне где-то между 1Password и KeePass, но я все же не стал бы пользоваться менеджером паролей, который в явном виде выводит их на монитор, поэтому, на мой взгляд, итоговая оценка «удовлетворительно» вполне заслужена.

Подводя итоги

Из всех пяти менеджеров паролей только один KeePass смог успешно противостоять всем трем атакам. Открытый код и постоянная поддержка со стороны энтузиастов сделали действительно достойный продукт. Хоть RoboForm и 1Password и не обошлись без изъянов, но оба смогли защитить свой мастер-пароль. Что касательно Sticky Password и Kaspersky Password Manager, то ни один из них не смог уберечься от атаки на мастер-пароль. Кроме этого, они также открывают лазейку в виде DLL Hijacking, поэтому применение данных менеджеров паролей на флеш-накопителях может быть использовано хакером для распространения вредоносного кода и проведения целевой инсайдерской атаки. Данным продуктам требуется действительно качественное улучшение безопасности. Подведя итоги тестирования, не будем отдавать предпочтение какому-либо одному менеджеру, так как оно вытекало бы из различных субъективно-личностных факторов, мы же просто рассматривали эти менеджеры паролей с точки зрения их безопасности.

Все упомянутые в статье программы и исходники ждут тебя на нашем диске.

Предупрежден — значит вооружен

  1. Для защиты своих паролей от описанной методики перехвата можно настроить на компьютере специальное ПО, которое будет производить мониторинг вызова API-функций MARKDOWN_HASH2ab05fbef5eddf2027d7f05bdeac283dMARKDOWN_HASH и MARKDOWN_HASH84ea011a8379b1eb533f68d1d12fe6a6MARKDOWN_HASH c параметром MARKDOWN_HASHbed4f4e4c653f53c6abf14671add9c05MARKDOWN_HASH Данную возможность предоставляют некоторые антивирусы, к примеру, в бесплатном Firewall от COMODO эта функция установлена по умолчанию, в других, возможно, придется задать настройку вручную. Если происходит несанкционированный доступ к окнам приложения, проактивная защита выдаст окно с предупреждением и выбором действия. Однако этот метод не поможет, если тебе часто приходится использовать менеджер паролей с флешки или на чужом компьютере. В качестве надежного решения можно взять менеджер паролей, которой обладает защитной функцией подобно UAC и блокирует несанкционированный доступ к приложению. Такой функцией, к примеру, обладает KeePass и 1Password.
  2. Для устранения проблемы, связанной с DLL Hijacking, на компьютере при помощи специальных утилит ограниваем доступ на запись в соответствующие директории сторонними приложениями. Как и в предыдущем пункте, эта функция может быть доступна в некоторых антивирусных решениях. Что касается защиты приложений на флешках, здесь не все так красиво, но можно использовать следующий ход конем. Сначала сконвертируем файловую систему флешки в NTFS:
    convert h: /fs:ntfs /nosecurity /x

Данная система позволяет задать настройки безопасности для отдельных папок и файлов. Можно сразу создать правило только чтения для директории с уязвимым МП, однако если файл с паролями находится там же, мы не сможем редактировать его в процессе работы за чужим компьютером. Поэтому можно создать просто файлы-пустышки с уязвимыми DLL-файлами и уже для них задать настройки только чтения. 3. В качестве дополнительной меры защиты паролей в менеджере паролей можно использовать дополнительную привязку к ключевому файлу или устройству, однако надо понимать, что теперь доступ к сохраненным паролям может быть уязвим к случайному фактору, например потере ключевого файла и поломке USB-устройства.

Заключение

Пароль и безопасность для многих людей могут казаться синонимами. Но когда ставится вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными военными шифрами менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку. Не стоит паниковать и однозначно судить, что нельзя класть все яйца в одну корзину, однако если все же мы собрались это сделать, то сначала надо как следует проверить надежность нашей корзины.

Как пользоваться менеджером паролей?

Как пользоваться менеджером паролей

Вы не можете использовать один и тот же адрес электронной почты и пароль для каждой онлайн-учетной записи, потому что это серьезная угроза безопасности.

Если только одна учетная запись будет взломана, все ваши учетные записи будут скомпрометированы.

Однако никто не может вспомнить сотни различных комбинаций паролей и адресов электронной почты.

Вот тут-то и пригодится менеджер паролей.

Это приложение или расширение веб-браузера, которое безопасно хранит все ваши пароли и вводит их для вас, когда вам нужно войти на веб-сайт.

На вашем телефоне хороший менеджер паролей также должен иметь возможность вводить логины для приложений, которые требуют их, таких как ВКонтакте, Одноклассники, Facebook, Twitter и Amazon.

Более того, он будет работать на всех ваших устройствах, и все, что вам нужно запомнить — это один пароль для доступа ко всем вашим логинам.

Для этого вам следует использовать действительно надежный пароль.

Но на большинстве телефонов и некоторых ноутбуков вы можете использовать свой отпечаток пальца или пароль для входа в менеджер после ввода этого пароля в первый раз.

Никогда не забывайте его (и где-нибудь запишите), но вам не придется регулярно его запоминать или вводить.

Хотя iPhone и iPad сохраняют логины на веб-сайтах, они не делают то же самое для приложений, и вы не можете использовать связку ключей ни на одном из своих устройств, отличных от Apple, что является еще одной причиной использовать вместо этого приложение диспетчера паролей.

В качестве примера мы используем «LastPass», но вы можете найти альтернативы в нашем обзоре лучших менеджеров паролей.

Как пользоваться LastPass?

Менеджеры паролей обычно работают одинаково.

После того, как вы зарегистрировали учетную запись, вы можете использовать адрес электронной почты и пароль для входа в приложение на своем телефоне или расширение в веб-браузере, таком как Chrome.

1. Импортируйте существующие пароли

Если вы использовали Chrome для сохранения паролей, возможно, вы сможете импортировать эти логины в свой новый менеджер паролей, и в LastPass есть множество опций.

Для этого вам нужно будет использовать расширение LastPass в Chrome на ПК или ноутбуке, но после установки и входа в систему щелкните значок LastPass в правом верхнем углу Chrome, затем выберите «Параметры учетной записи — Дополнительно — Импорт».

Импортируйте существующие пароли

Затем выберите «Chrome Password Manager» из списка — или любой другой вариант, где у вас уже сохранены пароли.

2. Добавьте новый логин

Независимо от того, есть ли у вас сохраненные пароли или нет, вы можете добавлять логины, когда вам нужно войти на веб-сайт или в приложение.

Обычно диспетчер паролей отображает всплывающее уведомление с вопросом, хотите ли вы сохранить только что введенные данные для входа.

Точно так же, когда вы находитесь на веб-странице (или в приложении), где вам нужно войти в систему, вы увидите небольшой значок справа от полей имени пользователя и пароля.

Для LastPass просто щелкните по нему, и вы увидите все подходящие логины для этого веб-сайта.

Нажмите на тот, который вам нужен, и адрес электронной почты и пароль будут заполнены мгновенно.

Затем вы можете нажать кнопку «Войти».

Для других менеджеров паролей, таких как Bitwarden, вам, возможно, придется щелкнуть значок в правом верхнем углу вашего веб-браузера (как показано ниже), а затем щелкнуть имя входа для использования.

Добавьте новый логин

Для некоторых веб-сайтов вы можете захотеть сохранить несколько учетных записей.

Если у вас есть разные учетные записи с разными адресами электронной почты, такими как рабочий и личный, или ваши учетные записи и логины вашего супруга или супруги для таких сайтов, как супермаркеты или Amazon.

Как пользоваться менеджером паролей

3. Войдите в приложение с помощью диспетчера паролей

При использовании диспетчера паролей на телефоне вам необходимо предоставить диспетчеру паролей разрешение на отображение поверх других приложений и веб-сайтов, что означает включение службы специальных возможностей.

Это следует делать только для надежных приложений, таких как LastPass и Bitwarden.

 LastPass и Bitwarden

Автоматический ввод данных для входа на веб-сайты позволяет значительно сэкономить время, но вы также можете сделать то же самое с приложениями на своем телефоне.

В большинстве случаев вам нужно войти в это приложение только один раз, так как LastPass обнаружит это и предложит сохранить данные так же, как на веб-сайте.

В следующий раз, когда вам нужно будет войти в приложение, LastPass введет данные автоматически.

4. Синхронизируйте пароли и получайте доступ к ним на всех ваших устройствах

Большинство менеджеров паролей надежно хранят ваши логины (с использованием шифрования) в облаке, что означает, что они доступны на всех ваших устройствах и в поддерживаемых веб-браузерах.

Для каждого устройства или веб-браузера все, что вам нужно сделать, это установить приложение или расширение браузера, войти в систему с этим основным адресом электронной почты и паролем, и у вас будет доступ ко всем вашим сохраненным учетным записям.

Синхронизируйте пароли

Большинство менеджеров паролей, включая LastPass, также могут хранить другие конфиденциальные данные, такие как данные вашей кредитной и дебетовой карты, а затем вводить их в правильные поля, когда вы платите за вещи на веб-сайтах.

другие конфиденциальные данные

После того, как вы добавили все свои приложения и веб-сайты, вы сможете безопасно и быстро входить в них, не запоминая ни одного из них и не ставя под угрозу их безопасность.

До скорых встреч! Заходите!

Безопасно ли использовать менеджеры паролей в 2022 году?

Безопасно ли использовать менеджеры паролей в 2022 году

Доброго здравия, друзья-компьютерщики!

Хотя неудивительно слышать вопрос «безопасно ли использовать менеджеры паролей?», подавляющее большинство специалистов по кибербезопасности согласны с тем, что менеджеры паролей действительно являются наиболее безопасным способом защиты ваших паролей.

Однако, несмотря на надежность МП, отрасль в целом всегда получает удар после того, как средства массовой информации освещают последнюю уязвимость илибезопасности.

Поэтому в этой статье менеджеры паролей будут рассмотрены без нагнетания страха, но и без поклонения им.

Все важные вопросы будут рассмотрены ниже.

Как менеджеры паролей защищают ваши пароли?

Каковы риски использования менеджера паролей?

И, наконец, стоит ли вообще использовать менеджер паролей?

Читайте дальше, чтобы узнать больше.

безопасно ли использовать менеджеры паролей

Как менеджеры паролей защищают ваши пароли?

Существует несколько способов, с помощью которых менеджеры паролей защищают ваши пароли, поэтому их так безопасно использовать.

Несмотря на то, что их можно взломать, как и все остальное, такой сценарий маловероятен, если вы примете необходимые меры предосторожности.

Злоумышленнику гораздо проще использовать социальную инженерию или фишинг, чем взломать надежный пароль.

Итак, что же делает менеджеры паролей такими безопасными?

Прежде всего, менеджеры паролей используют шифрование для защиты ваших паролей.

256-битный AES — это отраслевой стандарт, который также используется военными из-за его исключительной надежности.

Чтобы взломать этот шифр, потребуется больше жизни, поэтому вероятность успеха атаки методом перебора почти нулевая.

Кроме того, менеджеры паролей защищают ваши данные от самих себя, используя архитектуру с нулевым разглашением.

Это означает, что ваши пароли шифруются до того, как они покинут ваше устройство.

Поэтому, когда они попадают на сервер компании, у провайдера нет инструментов для их расшифровки.

Большинство менеджеров паролей попросят вас использовать мастер-пароль для доступа к вашему хранилищу.

Если это безопасно, вы можете быть уверены, что остальные ваши пароли защищены достаточно безопасны.

При этом рекомендуется также использовать двухфакторную аутентификацию (2FA) для повышения безопасности вашей базы данных.

Использование биометрической аутентификации, такой как отпечаток пальца или сканирование лица, также является хорошей идеей.

Наконец, менеджеры паролей имеют множество функций, направленных на защиту ваших паролей.

Некоторые напомнят вам регулярно менять пароли и оценивать их надежность.

Другие будут сканировать даркнет, чтобы проверить, появился ли какой-либо из ваших логинов в сети.

А некоторые будут делать и то и другое.

Каковы риски использования менеджера паролей?

Невозможно оставаться на 100% в безопасности в интернете.

Даже если вы используете надежный менеджер паролей, существуют определенные риски, о которых вы должны знать:

  1. Все конфиденциальные данные в одном месте. Вы, наверное, слышали о том, как держать яйца в одной корзине. Это именно то, что вы будете делать с менеджером паролей. Эта корзина, скорее всего, будет включать данные кредитной карты и защищенные заметки. В случае взлома блокировка всех способов оплаты и смена паролей для всех учетных записей может занять достаточно времени, чтобы злоумышленник мог нанести ущерб.
  2. Резервное копирование не всегда возможно. Если сервер сломается, ваша единственная надежда на то, что ваш провайдер сделал резервную копию. Этот риск многократно возрастает, если вы решите оставить хранилище в автономном режиме на одном из своих устройств. Естественно, хранение собственной резервной копии на незащищенном диске или в плохо защищенном облачном сервисе тоже не поможет.
  3. Не все устройства достаточно безопасны. Хакеры используют одну и ту же уязвимость, чтобы получить все ваши логины за одну атаку. Менеджеры паролей могут быть взломаны, если ваше устройство заражено вредоносным ПО. В этом случае при вводе мастер-пароля он будет записан, и злоумышленники получат полный доступ к сохраненным данным. Вот почему пользователи диспетчера паролей должны в первую очередь инвестировать в защиту всех своих устройств, чтобы снизить риски.
  4. Без использования биометрической аутентификации. Биометрическая аутентификация — отличный способ добавить еще один уровень безопасности. Если вы настроите свой менеджер паролей на запрос отпечатка пальца или сканирования лица, шансы на то, что кто-то взломает ваше хранилище, станут очень малыми. Вам также гораздо проще прикоснуться к сканеру отпечатков пальцев, чем вводить мастер-пароль.
  5. Плохой менеджер паролей. Если он имеет более слабое шифрование, предлагает мало функций и имеет плохие отзывы, вам не следует его использовать. Когда дело доходит до защиты вашего хранилища, экономия нескольких долларов в месяц не должна быть вашим главным приоритетом.
  6. Забыть мастер-пароль. Вы единственный, кто это знал, а в вашем менеджере паролей нет функции сброса? В этом случае вы уже можете начать восстанавливать каждый свой логин по одному. В качестве альтернативы вы можете хранить свой мастер-пароль (или подсказку) в каком-нибудь физически безопасном месте, например в сейфе.

Как видите, некоторые риски связаны с самими менеджерами паролей, а другие существуют исключительно из-за поведения пользователей.

Если не учитывать последнее, мы видим, что риск использования менеджера паролей не так уж и велик.

забыл пароль

Можно ли доверять менеджерам паролей?

Несмотря на все проблемы, перечисленные выше, хорошие менеджеры паролей чрезвычайно трудно скомпрометировать.

Использование шифрования AES-256, метод «нулевого разглашения» и возможность использования двухфакторной аутентификации делают менеджеры паролей гораздо более безопасным и простым вариантом, чем что-либо другое, доступное на данный момент.

Когда дело доходит до безопасности, самым важным с вашей стороны является мастер-пароль, так как вы должны создать его, чтобы получить доступ ко всем остальным паролям.

Итак, убедитесь, что он сильный.

Он должен состоять не менее чем из 12 символов, содержать различные символы и его невозможно угадать.

Чтобы получить дополнительные советы, ознакомьтесь с нашим руководством по созданию надежного пароля.

Какой тип менеджера паролей самый безопасный?

Те, кто знаком с менеджерами паролей, вероятно, знают о трех типах.

У каждого есть свои плюсы и минусы, включая нюансы безопасности.

Давайте обсудим все типы один за другим и выясним, какой из них наиболее безопасный.

Браузерные менеджеры паролей

  • Безопасность: безопасный;
  • Плюсы: очень простой в использовании, бесплатный;
  • Минусы: нет межбраузерной синхронизации, не все генерируют пароли, немногие измеряют надежность пароля;
  • Примеры: встроенные менеджеры паролей браузера (Chrome, Firefox, Safari).

Если мы сведем безопасность к шифрованию и двухфакторной аутентификации, браузерные менеджеры паролей довольно безопасны.

Однако чем внимательнее вы смотрите, тем менее безопасными оказываются менеджеры паролей браузера.

Во-первых, браузерные менеджеры паролей работают в одном конкретном браузере.

Если вы решите перейти с Safari на Chrome или Firefox, у вас могут возникнуть проблемы с экспортом и импортом.

Кроме того, вы не можете синхронизировать свое хранилище в разных браузерах.

Все это часто приводит к хранению ваших паролей в небезопасном месте.

Во-вторых, не все браузерные менеджеры паролей имеют генератор паролей.

Без него вам придется создавать их вручную.

Наконец, менеджеры паролей браузера не могут обнаружить слабые или повторно используемые пароли.

Хотите знать, недоступны ли ваши логины в даркнете?

Вам придется проверить это вручную на отдельном инструменте.

Облачные менеджеры паролей

  • Безопасность: высокая;
  • Плюсы: очень удобный, легкий доступ из любого места, облачное резервное копирование, интернет-зависимость;
  • Минусы: нет контроля над безопасностью вашего хранилища, сторонние серверы хранят ваши данные;
  • Примеры: Zoho Vault, LastPass.

По сравнению с браузерными менеджерами паролей облачные менеджеры паролей более безопасны, так как они имеют больше функций, повышающих безопасность.

Начнем с того, что большинство облачных менеджеров паролей предоставляют резервную копию вашего хранилища.

Если что-то случится с сервером, вы сможете восстановить последнюю версию своей базы данных.

Кроме того, облачные менеджеры паролей позволяют хранить не только пароли, но и защищенные заметки и данные кредитных карт.

Таким образом, вы можете защитить всю конфиденциальную информацию.

Кроме того, облачные менеджеры паролей обнаруживают повторно используемые и слабые пароли, генерируют надежные и проверяют, не произошла ли утечка ваших учетных записей.

Они также позволяют легко делиться своими записями в хранилище даже с теми, кто не пользуется той же службой.

Наконец, облачные менеджеры паролей будут работать в нескольких браузерах и операционных системах.

Это означает, что вам не придется думать о том, как безопасно скопировать и вставить что-то из вашей базы данных.

Настольные менеджеры паролей

  • Безопасность: самая высокая*;
  • Плюсы: самый безопасный вариант, не требует подключения к интернету;
  • Минусы: нет доступа с других устройств, сложный обмен паролями, ручное резервное копирование;
  • Примеры: Bitwarden, KeePass, 1Password, Dashlane.

Возможно, вы заметили звездочку рядом с оценкой безопасности.

Это потому, что менеджеры паролей на рабочем столе могут быть самыми безопасными, но это зависит исключительно от пользователя.

Эти менеджеры паролей хранят ваши данные локально, на одном из ваших устройств.

Это устройство не обязательно должно быть подключено к интернету, поэтому вероятность взлома может быть практически нулевой.

Наиболее вероятным (и все же крайне маловероятным) сценарием является непреднамеренная установка кейлоггера и ввод мастер-пароля.

Однако этого можно избежать, используя биометрическую аутентификацию.

Очевидно, что у такой настройки есть свои минусы, которые вытекают из самой природы менеджера паролей на рабочем столе.

Для начала вам придется позаботиться о регулярном резервном копировании.

Если ваше устройство выйдет из строя непоправимо, вы можете попрощаться со своим хранилищем.

Более того, вы не сможете получить доступ к своим паролям с других устройств, и поделиться ими тоже будет непросто.

Что делать, если ваш менеджер паролей взломан?

скриншот взлома пароля

В большинстве случаев взлом не приведет к тому, что все ваши пароли попадут в чужие руки.

Однако даже самый безопасный менеджер паролей может иметь серьезную уязвимость, которую все упускают из виду.

Начнем с того, что ваши пароли шифруются локально.

Менеджеры паролей не могут расшифровать ваши данные, потому что они реализуют политику нулевого разглашения.

Так что если хакер проникнет в ваше хранилище, он увидит только зашифрованную информацию.

Существует небольшая вероятность того, что злоумышленник сможет проникнуть в ваше физическое устройство, украв его, используя вредоносное ПО или регистрируя нажатия клавиш.

Даже в этом случае ему или ей понадобится ваш мастер-пароль.

Если вы используете биометрические данные, такие как отпечаток пальца или идентификатор лица, вероятность успешной атаки становится ничтожно малой.

Если злоумышленник устанавливает вредоносное ПО на ваше устройство, лучше всего переустановить ОС и изменить все пароли в вашем хранилище.

Не забудьте также включить 2FA везде, где это возможно.

Таким образом, вы заметите, когда в приложение-аутентификатор придет необычный запрос.

Взлом менеджера паролей

Список известных взломов менеджера паролей довольно короткий.

В противном случае у них не было бы той репутации, которую они имеют сегодня.

Вот почему я также буду добавлять сообщения об уязвимостях, которые могли не привести к какому-либо ущербу.

  • В 2015 году LastPass обнаружил вторжение на свои серверы. Среди прочего хакеры забрали адреса электронной почты пользователей и напоминания о паролях. Это не привело к известному ущербу, потому что даже если вы использовали слабый мастер-пароль и злоумышленники взломали его, им все равно нужно было подтвердить доступ по электронной почте.
  • В 2016 году белые хакеры и эксперты по безопасности сообщили о множестве уязвимостей в системе безопасности. Среди затронутых менеджеров паролей были LastPass, Dashlane, 1Password и Keeper. В большинстве случаев злоумышленнику все же придется использовать фишинг, чтобы обманом заставить пользователя раскрыть некоторые данные.
  • В 2017 году LastPass сообщил о серьезной уязвимости в надстройках для своего браузера и попросил подписчиков воздержаться от ее использования. Это было исправлено менее чем за 24 часа. У Keeper и OneLogin также были проблемы, которые не привели к жертвам.
  • В 2019 году в коде Dashlane, LastPass, 1Password и KeePass были обнаружены серьезные уязвимости. Это относилось к пользователям Windows 10 и только в том случае, если было установлено правильное вредоносное ПО. И снова пользователи не пострадали.

Как видите, ни один из этих взломов менеджера паролей не был настолько серьезным.

Конечно, уязвимости были обнаружены, но и они были своевременно устранены.

И в большинстве случаев злоумышленнику придется либо получить еще какие-то данные от пользователя, либо полностью захватить его устройство, прежде чем получить доступ к хранилищу.

В результате ни одна из упомянутых выше проблем не повредила репутации менеджеров паролей.

Безопасны ли менеджеры паролей премиум-класса?

Большинство менеджеров паролей премиум-класса намного безопаснее, чем большинство бесплатных.

Последние часто глючат, разрабатываются теневыми компаниями, а иногда даже содержат вредоносное ПО.

Несмотря на это, существуют качественные бесплатные менеджеры паролей, которые так же безопасны, как и платные сервисы.

На самом деле, первые часто включают бесплатную версию.

Поэтому неплохо сравнить их и посмотреть, чего не хватает.

Обычно как бесплатные, так и премиальные менеджеры паролей используют шифрование военного уровня и архитектуру с нулевым разглашением.

Это означает, что невозможно расшифровать вашу базу данных, даже если кто-то взломает ее.

У провайдера также нет ключа для разблокировки ваших данных.

Вот почему все сводится к использованию правильного мастер-пароля, двухфакторной аутентификации и защите ваших устройств от вредоносных программ.

Недостатки безопасности бесплатных менеджеров паролей

Дополнительная безопасность менеджера паролей премиум-класса представлена в виде дополнительных функций.

Бесплатные версии обычно урезаны и лишены опций, некоторые из которых могут быть связаны с безопасностью.

Например, некоторые бесплатные менеджеры паролей не поддерживают биометрические данные, такие как отпечаток пальца или идентификатор лица.

Это означает, что вам придется постоянно вводить свой мастер-пароль.

Кроме того, другие бесплатные сервисы не имеют возможности проверять ваши пароли.

Если вашему хранилищу уже несколько лет, скорее всего, эти пароли недостаточно надежны.

Более того, было бы трудно найти бесплатный менеджер паролей, который интегрирует сканер даркнета.

Напротив, менеджер паролей премиум-класса постоянно проверяет даркнет, чтобы увидеть, не произошла ли утечка какой-либо из ваших учетных записей.

Какие менеджеры паролей самые безопасные?

Самые безопасные менеджеры паролей — это в основном те, которые занимают первые места.

В конце концов, как может быть иначе, когда продукт получает самые высокие оценки на множестве обзорных сайтов?

Вот почему мы приглашаем вас ознакомиться с нашим руководством по лучшим менеджерам паролей в 2022 году.

Keeper

Keeper

  • Облачное хранилище: нет;
  • 2FA: да;
  • Платформы: Windows, macOS, Linux, Android, iOS;
  • Плагины для браузера: Chrome, Firefox, Safari, Opera, Internet Explorer.

Keeper, пожалуй, самый безопасный менеджер паролей.

Все это благодаря инфраструктуре с нулевым разглашением, мощному 256-битному шифрованию AES и множеству других функций безопасности.

Что касается аутентификации, здесь у вас будет большой выбор — будь то биометрия, сторонние аутентификаторы или подпись KeeperDNA, у вас будет множество вариантов на выбор.

Функции Keeper также не оставляют сомнений в его приверженности защите ваших паролей и других данных.

Есть самоуничтожающийся «KeeperChat» для обмена файлами и «Breach Watch», который рыщет в даркнете в поисках украденных паролей.

А чтобы вы не поставили под угрозу собственную безопасность, аудит безопасности проверяет надежность всех ваших паролей и предлагает соответствующие изменения.

NordPass

NordPass

  • Облачное хранилище: 3 ГБ (с приложением NordLocker);
  • 2FA: да;
  • Плагины для платформ и браузеров: Windows, macOS, Linux, Android, iOS, Chrome, Firefox, Safari, Opera, Brave, Vivaldi и Edge.

Как один из менеджеров учетных данных на рынке, NordPass является бесценным инструментом для тех, кто хочет легко отслеживать все свои пароли.

Помимо использования шифрования нового поколения «XChaCha20», NordPass также использует преимущества облачного хранилища, сохраняя все ваши пароли в облаке, чтобы вы не потеряли их.

Он также предлагает двухфакторную аутентификацию, биометрическую аутентификацию (которая позволяет вам использовать свое лицо или отпечатки пальцев вместо вашего основного пароля), генератор паролей, сканер взлома данных и множество других функций, которые помогут вам с вашей онлайн-безопасностью.

RoboForm

RoboForm

  • Облачное хранилище: нет;
  • 2FA: да;
  • Платформы: Windows, macOS, Linux, Android, iOS;
  • Плагины для браузера: Chrome, Firefox, Edge, Opera.

Как один из старейших менеджеров паролей, RoboForm в первую очередь ориентирован на предоставление услуг предприятиям, что, в свою очередь, требует высочайшего уровня безопасности.

Промышленное стандартное 256-битное шифрование AES и двухфакторная аутентификация — это только поверхность.

RoboForm выделяет ресурсы, чтобы ваши пароли всегда были здоровыми и безопасными — отчеты о надежности ваших учетных данных и генератор паролей с изменяемыми переменными.

Существует также вариант самостоятельного размещения, что означает, что данные хранятся только на вашем устройстве, а не на внешних серверах.

Но если вы хотите синхронизировать несколько устройств, это тоже возможно.

Стоит ли использовать менеджер паролей?

Да, вы должны использовать менеджер паролей.

Это позволит вам отслеживать свои пароли без необходимости запоминать их.

Некоторые хранилища паролей также могут генерировать и изменять пароли одним щелчком мыши, а также безопасно хранить другие типы данных, например информацию о кредитной карте.

Менеджер паролей также делает обмен вашими данными с семьей и друзьями более безопасным.

Это намного лучше, чем записывать свои данные для входа в электронную почту или какой-либо незашифрованный мессенджер.

Конечно, вы должны доверять компании, стоящей за вашим менеджером паролей.

Однако у большинства из них безупречная репутация.

Кроме того, они гораздо менее рискованны, чем некоторые сомнительные приложения или надстройки для браузера, которые люди устанавливают, не задумываясь.

Да, у них есть свои недостатки и уязвимые места.

Но, в конце концов, не только менеджер паролей защищает вашу самую ценную информацию.

Вы также должны использовать надежный антивирус, чтобы предотвратить заражение вашего устройства вредоносными программами.

Обновление программного обеспечения не менее важно, чем перепроверка приложений и расширений, которые вы собираетесь установить.

До скорых встреч! Заходите!

Подписаться на обновления блога!

Оцените статью
( Пока оценок нет )