Где и как хранить свои пароли.

18.08.2019

Интернет прочно вошёл в нашу жизнь. Все мы, даже совсем неблизкие к IT люди, пользуемся большим количеством самых разнообразных сервисов, начиная от почты и заканчивая социальными сетями. Практически все сервисы требуют регистрации. Но для обеспечения безопасности использовать нужно разные пароли, состоящие из многих символов. Ну большинство людей, пользующихся интернетом, знают о требованиях к безопасным паролям. Но тут возникает одна небольшая проблема: как запомнить все эти множества паролей?

Недавно я и задался таким вопросом. Потерять, например, аккаунт от почты для меня было бы очень трагично. Записывать пароли в файл? Появляется риск подарить все свои аккаунты разом. Записывать на бумажку? Риск потерять бумажку и как следствие все пароли сразу. Плюс я задумался о доступности своих паролей в любом месте земного шара. И тут я вспомнил о своём любимом редакторе emacs. А в частности об Org-mode и EasyPG в emacs. Описывать как работать в org-mode я не буду, это сделали до меня (ссылки: ; Руководство по Org-mode).

Так в чём же заключается хитрость? А всё элементарно. Вместо файла filename.org, необходимо создать файл filename.org.gpg. Emacs автоматически откроет файл в Org-mode. Затем записать в этот файл пароль, лучше воспользоваться генератором паролей (я, например, использую однострочник на bash: $cat /dev/urandom | head -1 | tr -d -c "a-zA-Z0-9!@#$%^&*()"|fold -w 25| head -1), и, конечно, не забыть написать от чего пароль и логин. А потом просто сохранить файл. Emacs сам предложит варианты действий: использовать ключ для ассиметричного шифрования или нажать OK для симметричного шифрования с вводом пароля. Здесь уже на выбор пользователя, но я предпочитаю использовать симметричное, потому что одним из требований являлся доступ к файлу не только с домашнего компьютера, а таскать с собой приватный ключ мне не очень нравится.

Но тут появляется новая проблема: нужно помнить пароль от зашифрованного файла. И опять же использовать простой пароль для данного файла мы просто не имеем права. Слишком большая вероятность его потерять, особенно если постоянно носить с собой на флешке копию этого файла. И опять мы сталкиваемся с проблемой запоминания данного пароля. Но есть выход. Если мы не можем запомнить пароль, то нужно сделать так, чтобы мы могли этот пароль восстановить. А делается это просто: мы берём отрывок из любой книги, например, один абзац. Помещаем этот отрывок в текстовый файл. file.txt. И считаем MD5 или SHA1 данного файла. $ echo "любой отрывок текста из любой книги" > file.txt $ md5sum file.txt | fold -10 | head -1 95584f1920 $ rm file.txt
В результате мы получаем надёжно зашифрованный текстовый файл с надёжными паролями. Можно скопировать данный файл на флешку и носить с собой или скопировать на удалённую машину к которой есть доступ из сети, что обеспечит доступность паролей в любой точке мира. А при забывчивости мы всегда сможем восстановить пароль от этого файла затратив небольшие усилия. Плюс ещё в том, что емакс кроссплатформенный. А даже при отсутствии оного, файлы.org представляют из себя plaintext, благодаря чему мы можем расшифровать файл утилитами gpg и открыть файл любым текстовым редактором. И напоследок, данным способом можно хранить любую приватную информацию.

Конечно, я не говорю, что этот способ единственен и правилен. Но для меня этот способ оказался очень удобен. Надеюсь он пригодится не только мне. Берегите свои пароли. ;^)

Раньше этот вопрос передо мной почему-то не вставал. Наверное, потому что мест, где требовались пароли, было мало, места эти были не слишком важными и угрозы потерять что-то важное и ценное в случае утери или кражи пароля не было. Я пользовался тупо одним(!) паролем на все. Потом придумал еще несколько и начал их чередовать, а потом перебирать, потому что забывал, где и какой пароль использовал.

Однако, со временем, количество различных аккаунтов и их ценность начала расти. Причем чем дальше, тем больше. Использовать несколько запоминаемых (а потому не очень сложных) паролей стало страшно. Но пока жесткой необходимости в «новизне» еще не было. Переломным стал момент, когда на одном из ресурсов, где я был зарегистрирован, произошла «утечка базы данных», а проще говоря – кража. Тут пришлось срочно вспоминать, на каких ресурсах я использовал тот же самый пароль и придумывать, на что же его сменить теперь. А доверия к ресурсам, даже самым авторитетным, уже не было. Следовательно, необходимо было придумать индивидуальные пароли к каждому. Но придумать – это полбеды. Нужно еще и запомнить их все. Не следует также забывать, что часто и логины в разных местах могут отличаться. Да и вообще, можно забыть даже о самом факте регистрации на ресурсе и узнать об этом, уже при попытке зарегистрироваться еще раз, когда отвергают введенный e-mail, т.к. он «уже используется».

Стало быть, задача выглядит примерно так.

Дано: адреса, логины, пароли;

Цель: обеспечить их сохранность и доступность только для заданного круга лиц (например, только для себя) и не допустить «утечку» информации дальше этого круга.

Решать это можно разными способами:

1. Запомнить.

Плюсы этого способа очевидны:

1) Надежная защита от посторонних глаз, рук, даже ушей;

2) Постоянная доступность информации;

3) Нет необходимости использовать дополнительные средства.

Недостатки также не являются ни для кого секретом:

1) Ненадежность человеческой памяти как средства хранения информации;

2) Снижение её эффективности в стрессовых ситуациях;

3) Риск перепутать или забыть логины/пароли в самый ответственный момент;

4) Сложность в запоминании «стойких» длинных паролей.

Итог: Вряд ли этот способ может быть хорошо применим при большом количестве паролей.

2. Использовать блокнот для записи адресов/логинов/паролей.

1) Можно легко хранить пароли произвольной сложности и длины;

2) Легко дополнять записи;

3) Для доступа не требуются электронные устройства;

4) Удобно носить с собой.

Недостатки:

1) Риск потери блокнота;

2) Незашифрованные записи могут «подсмотреть» злоумышленники;

3) Риск утраты данных из блокнота в случае пожара, воздействия воды и т.п.;

4) При большом количестве записей и неправильной их организации или недостаточного размера самого блокнота возможна путаница при добавлении новых записей и затрудненный поиск при поиске уже существующих.

Итог: Блокнот возможно использовать при среднем, но все-таки довольно небольшим количестве данных. Следует бережно к нему относиться и исключить возможность утери/кражи.

3. Использовать программные менеджеры паролей.

1) Легко добавлять новые записи;

2) Удобная организация данных в программе, быстрый поиск;

3) Возможность не вводить пароль с клавиатуры, а копировать его из программы;

4) Шифрование файла с паролями на диске;

5) Возможность хранить несколько копий данных в разных местах для уменьшения риска утери;

6) Часто есть возможность синхронизации с телефоном. Следовательно, пароли всегда с собой.

Недостатки:

1) Для работы требуются электронные устройства с установленной программой;

2) Нельзя гарантировать, что на этих устройствах не будут стоять клавиатурные перехватчики и шпионы, которые смогут получить доступ к паролям;

3) Неисправность электронного устройства приводит к невозможности доступа к данным;

4) Злоумышленник может заполучить файл с паролями и попытаться его расшифровать;

5) Необходимость иметь и помнить стойкий к взлому мастер-пароль для доступа к базе остальных паролей.

Итог: Этот способ с одной стороны позволяет хранить много паролей с различной дополнительной информацией к ним, удобно их работать с ними, но имеет и свои существенные недостатки. Также к ним прибавляются недостатки первых двух способов из-за необходимости помнить/хранить мастер-пароль. Однако, при очень большом количестве паролей это – единственный удобный выход. При использовании данного способа следует особое внимание уделять информационной безопасности устройств, с которых будет осуществляться доступ к базе данных.

4. Хранение паролей вашим браузером

1) Очень удобно. Не надо помнить множество паролей и вводить их постоянно. Достаточно один раз ввести, а после браузер сможет сам за вас заполнять в форме логин/пароль и даже нажимать кнопку «войти»;

2) «Подсмотреть» пароль «через плечо» невозможно (разве что только при первом вводе);

3) Над безопасностью таких «браузерных» хранилищ постоянно работают разработчики браузеров.

Недостатки:

1) Из браузера эти пароли можно «вытащить», если знать как;

2) В случае «падения» ОС, порчи жесткого диска и прочих неприятностей, связанных с потерей данных, все ваши сохраненные пароли могут быть утеряны;

3) Нет возможности сделать резервную копию парольных данных;

4) Вы не будете помнить свои пароли. Забавно, но удобство и возможность не вводить пароль каждый раз играет здесь дурную службу. Когда вам понадобится залогиниться с другого компьютера и/или браузера, вы, скорее всего, уже забудете этот пароль, потому что не было необходимости держать его в памяти. Придется хранить пароли где-нибудь еще;

5) Вытекающая из всего вышесказанного привязанность к конкретному рабочему месту, к конкретной ОС и конкретному браузеру.

5. Хранить пароли в текстовом файле

По сути своей, этот способ включает почти все плюсы и минусы хранения в блокноте. Но добавляет и несколько своих:

1) Возможность «копировать» и потом «вставлять» пароли и логины из файла, не вводя их с клавиатуры;

2) Простота в сравнении с менеджерами паролей.

Но добавляются не только плюсы, но и минусы:

1) Зависимость от электричества и электронных устройств;

2) Низкая защищенность данных (а вообще говоря – никакая).

6. Сохранять пароли в письмах на специальном почтовом ящике e — mail

Довольно интересный и экзотический способ. Почтовый ящик выполняет функцию менеджера паролей. Поэтому их плюсы и минусы в большинстве своем схожи. Однако, у этого способа есть серьезный недостаток: он требует наличия подключения к интернету. Без него вы не узнаете ни одного своего пароля.

7. Использовать связку Dropbox +менеджер паролей.

Очень интересный способ для хранения паролей. Сочетает в себе плюсы от различных способов. Но и некоторые недостатки тоже присутствуют.

1) Все достоинства от использования менеджера паролей;

2) Dropbox позволяет легко синхронизировать данные между различными устройствами, которые не поддерживают синхронизацию другими способами;

3) Очень удобно;

4) Возможность легко получить доступ к своим паролям как из дома, так и из офиса;

5) Если одно устройство выйдет из строя, это не приведет к потере доступа к базе с паролями.

Недостатки:

1) Опять-таки, все недостатки от менеджера паролей;

2) Для синхронизации необходимо подключение к Сети;

3) Необходимо иметь всегда заряженное и готовое к работе устройство для доступа к паролям;

4) Зависимость от работы сервиса онлайн-хранилища.

Итог: На мой взгляд, последний, седьмой способ, является наиболее интересным и «правильным». Он сочетает в себе удобство синхронизации с защищенностью базы паролей. Если у вас уже более 20 паролей и их число только растет, то рекомендую задуматься над подобной организацией их хранения. В ближайших публикациях я, возможно, расскажу более подробно об этом методе. Не забывайте ваши пароли;)

Полезная статья? Их будет больше, если вы поддержите меня!

Самыe важные пункты, которыми пренебрегают многие пользователи, хранящие пароли в голове или на бумажке - использование на каждом сервисе отдельных паролей, и отказ от простых, легко запоминаемых паролей. Чтобы сделать это возможным, существует немалое количество софта разного качества:

KeePass , eWallet , LastPass , 1Password , RoboForm .

KeePass Password Safe

Первый претендент - open-source менеджер паролей KeePass. Он бесплатен и свободно распространяется под лицензией GPL v2. Существует в двух основных версиях: «старая» 1.x, работающая только под Windows, и «новая» 2.x, написанная над.NET и работающая в том числе под Monо в OS X и Linux. Обe версии существуют в Portable-варианте. Такжe существуют сторонние программы, работающие с базами KeePass - под Linux и Mac OS X, например, KeePassX.

База паролей шифруется AES-256 и хранится в файле, который можно синхронизировать любыми удобными способами, будь то Dropbox, флэшка, или что-то еще. Возможно использование многоходового преобразования ключа, за счет чего время, необходимое для расшифровки базы, увеличивается; это увеличивает устойчивость к brute-force аттакам. Некоторые клиенты на других платформах умеют работать с базами в Dropbox напрямую (например, KyPass на iOS). Базы версии 2.x не являются обратно совместимыми с 1.x, что создает проблемы с множеством стороннего софта, работающего с базами старой версии (хотя можно экспортировать базу старого формата из новой версии).

KeePass обладает встроенной функцией AutoType, позволяющей автоматически вводить пароли в браузерах и других программах. KeePass также обладает множеством плагинов, которые в том числе обеспечивают более тесную интеграцию со всеми основными браузерами (IE, Firefox, Chrome), и предоставляют множество дополнительных функций.

Как упомянуто выше, за счет открытости KeePass написано множество ПО под различные платформы. На мобильных устройствах есть клиенты KeePass на следующих платформах: iOS, Android, WM Classic, Windows Phone 7, Blackberry, и J2ME. Более подробные списки плагинов и стороннего ПО доступны на сайте KeePass.

eWallet - платный менеджер паролей и персональной информации от компании Ilium Softwarе. eWallet существует в версиях для Windows и Mac OS X ($9,99), а также обладает клиентами для iOS, Android (только просмотровщик), BlackBerry и Windows Mobile Classic.

Файл базы данных, как и в KeePass, зашифрован с использованием AES-256. Данные хранятся локально, облачного хранения средствами eWallet не предусмотрено.

Синхронизация базы между настольными компьютерами возможна только ручным переносом. Синхронизация Windows-версии с мобильными клиентами на WM Classic и Blackberry происходит с помощью встроенной синхронизации платформ (ActiveSync и BlackBerry Desktop, соответственно). Синхронизация Mac-версии с версией на iOS возможна через iTunes и по Wi-Fi.

Windows-версия eWallet интегрируется с браузерами Internet Explorer, Firefox и Chrome. Версия для OS X предлагает только интеграцию с Safari.

1Password

1Password - популярное на Mac OS X решение для хранения паролей, лицензий на ПО и другой персональной информации от компании AgileBits. Недавно была такжe выпущена версия под Windows, к тому жe предлагается нативный клиент под iOS. Программа достаточно дорогая - версии под Windows и Mac OS X стоят $39,99, или $59,99 зa обе вместе; версия для iOS доступна в AppStore за $14,99. Read-only приложение для Android распространяется бесплатно.

Все версии 1Password обладают встроенной функцией синхронизации базы с помощью сервиса Dropbox. Эта функциональность не обязательна, база по умолчанию хранится локально. База данных зашифрована AES-128. Встроенные средства интеграции с браузерами и операционной системой предотвращают утечку паролей через keylogger-ы.

1Password for Mac интегрируется с Safari, Firefox, Chrome и Camino «из коробки». Версия для Windows интегрируется с Firefox, Chrome и IЕ. Также обе версии 1Password предлагают удобный интерфейс для использования хранимой информации в любых других приложениях (в том числе и похожую на KeePass функцию AutoType).

Кромe интеграции с разными платформами, 1Password предоставляет еще один оригинальный способ доступа к своей базе. Хранилище паролей (agile keychain) представляет из себя набор файлов, один из которых - HTML-файл с полноценным интерфейсом для работы с базой, который может быть открыт любым браузером на практически любом устройстве.

RoboForm

RoboForm - одна из самых старых программ на этом рынке, единственная, всe еще обладающая рабочей версией для Palm OS и Windows Mobile 2003. Бесплатная версия RoboForm Free доступна для Windows и Mac OS X, однако достаточно сильно ограничена. Платная версия RoboForm Desktop ($29,95) снимает многие ограничения. Но самым интересным является пакет RoboForm Everywhere ($19,95 в год), который предлагает полноценное использование настольных версий для Windows и Mac OS X, плагины для полноценной интеграции с Firefox и Chrome, а также автоматическую облачную синхронизацию баз между всеми версиями.

База RoboForm зашифрована по стандарту AES-256, и во всех версиях программы хранится на локальном компьютере. При использовании RoboForm Everywhere база также расположена на серверах RoboForm.

В дополнение к основным версиям, RoboForm предлагает приложения для множества мобильных платформ. В их число входят iOS, Android, BlackBerry, Windows Mobile (6.x, 5, 2003, и даже Pocket PC 2000 и 2002), Palm OS и Symbian. Версии для iOS и Android поддерживают облачную синхронизацию и требуют подписки на RoboForm Everywherе. Всe остальные мобильные версии синхронизируются с настольными версиями с помощью дополнительного ПО.

Также RoboForm является лишь одной программой из двух в обзоре с отдельным плагином (а точнее, даже двумя) для браузера Opera на Windows, Mac OS X и Linux.

LastPass

LastPass - достаточно известный облачный сервис хранения паролей. Базовая версия LastPass бесплатна; премиум-пакет стоит 1$ в месяц.

LastPass обладает, пожалуй, самым широким набором функций в данном обзоре. Сервис доступен на Windows, OS X и Linux на всех основных браузерах (IE, Firefox, Chrome, Opera, Safari). На Windows также доступна версия LastPass for Apps, позволяющая пользоваться автоматическим хранением паролей от любых приложений. Управление базой паролей также возможно через web-интерфейс на сайте LastPass. Для Windows имеется Portable клиент с возможностью загрузки базы для резервного хранения и использования оффлайн.

Поскольку LastPass - облачный сервис, база постоянно хранится на серверах LastPass. Синхронизации как таковой не требуется. Вместе с удобством, хранение базы на серверах также представляет собой риск: не так давно LastPass был взломан (по слухам), и владельцы сервиса предложили многим клиентам сменить их мастер-пароли. База LastPass, как и в большинстве других программ в обзоре, зашифрована AES-256.

LastPass предлагает обширный выбор клиентов для мобильных устройств: iOS, Android (с дополнительными приложениями для браузеров Dolphin HD и Firefox Mobile), WM Classic, Windows Phone 7, BlackBerry и HP/Palm WebOS. Все мобильныe версии LastPass (кроме iPad) требуют подписки на LastPass Premium.

Если верить книге Rock Breaks Scissors, каждый сотый пароль в мире представляет собой комбинацию qwerty, password, 123456 или 12345678. При таком раскладе статистика Dashlane , согласно которой в прошлом году было взломано более 2,5 миллиарда аккаунтов, уже не кажется столь преувеличенной.

Быть может, пора уже перестать забивать на элементарные правила информационной безопасности и наконец-то установить надёжные пароли? Сейчас Лайфхакер научит вас создавать комбинации, на взлом которых потребуются тысячелетия, и безопасно их хранить.

Каким должен быть надёжный пароль

Когда-то приемлемым считался пароль наподобие Pa55w0rd. Сейчас такие комбинации подбираются моментально. Позже к рекомендациям по созданию надёжных паролей добавилось включение специальных символов, но и это давно не помогает. Комбинация P@$5w0rd подбирается за несколько часов.

Проверить надёжность своих паролей можно на сайте наподобие How Secure is My Password . Если вы боитесь, что этот сервис уведёт ваши аккаунты, просто вводите похожие комбинации вместо реальных.

Главное в таком сервисе - это возможность понять, что именно влияет на надёжность пароля. Начните удлинять комбинации, добавляя к ним дополнительные символы, и наблюдайте за изменением ожидаемого времени на подбор.

Получается, чем длиннее пароль, тем он надёжнее. Подбор простой, но длинной комбинации из 12 случайных цифр и букв займёт 24 года. Добавьте к ней всего один символ, и злоумышленнику потребуется уже тысяча лет. 14 символов - 42 тысячи лет. 15 символов - 2 миллиона лет. Пароль из 16 букв и цифр подбирается за 74 миллиона лет. Остаётся пожелать взломщикам удачи и терпения.

Как создавать надёжные пароли

Очевидно, что даже очень длинная комбинация, состоящая из единичек, вскрывается на раз-два. Сложнее всего угадать математически случайные наборы символов, но человеческий мозг не силён в этом деле. Пытаясь придумать что-то сложное, но при этом простое для запоминания, мы неизбежно обращаемся к каким-то датам, событиям и подобным известным комбинациям.

Проще говоря, человек мыслит предсказуемо, а вот специальные машинные алгоритмы умеют генерировать по-настоящему случайные комбинации.

Для создания длинных надёжных паролей отлично подходит Password Generator от Random.org.

Обратите внимание на факты и советы, размещённые на странице сервиса:

Генерируемые пароли передаются в ваш браузер по защищённому протоколу.
Генерируемые пароли не сохраняются на серверах сервиса.
Использование онлайн-сервисов подходит для генерации паролей к чему-то не слишком важному.
Никогда не используйте онлайн-сервисы для генерации паролей к критически важным аккаунтам.

Получается, самые важные пароли всё-таки нужно придумывать самому.

Как хранить пароли

Проблема длинных паролей в сложности их запоминания. Вряд ли вы удержите в голове пару десятков комбинаций, состоящих из 14 и более знаков и включающих спецсимволы.

Решением может стать использование специального приложения-хранилища. Грубо говоря, это цифровой защищённый сейф, в котором лежат все ваши пароли. Чтобы открыть сейф, нужен мастер-пароль. Соответственно, вместо десятков комбинаций вам нужно будет держать в голове только одну, открывающую доступ ко всем остальным.

При таком подходе важно помнить о правиле цепи, согласно которому надёжность всей системы равна надёжности её самого слабого звена. Проще говоря, мастер-пароль должен быть действительно сложным и длинным, а беречь его нужно особенно тщательно.

Если вы вообще не доверяете приложениям, то попробуйте «ПарольКарту».

Это карточка с набором символов, которую нужно распечатать , а затем самостоятельно разработать понятный для себя алгоритм создания паролей.

Где и как хранить свои пароли.

Каким должен быть надёжный пароль

Как создавать надёжные пароли

Как хранить пароли

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Ваш комментарий (необязательно):