К настоящему времени должно стать очевидным, что вам нужно использовать менеджер паролей. Зачем? Хорошо, рассмотрим стандартные шаги для обеспечения безопасности вашей учетной записи:
- Не используйте один и тот же пароль для нескольких служб.
- Используйте расширенное сочетание прописных, строчных, числовых и специальных символов.
- Меняйте свои пароли часто.
Эти три основных принципа означают, что если у вас нет невероятной памяти, вы никак не можете надеяться запомнить все свои учетные данные, не записав их где-нибудь.
Конечно, вы не можете сохранить их в Excel по соображениям безопасности, писать их ручкой и бумагой нехорошо, когда вы находитесь вдали от дома, а менеджеры паролей в браузерах не так безопасны, как менеджеры паролей.
Однако не все менеджеры паролей рождаются равными. Давайте посмотрим на безопасность некоторых ведущих поставщиков.
1. LastPass
LastPass — самый популярный менеджер паролей Сравнение Он уже получил широкое распространение, но после того, как в конце 2016 года он стал бесплатным для использования на всех устройствах, он приобрел совершенно новый уровень популярности.
Из-за своей популярности он привлекает больше внимания со стороны хакеров и киберпреступников. В истории LastPass произошли два заметных инцидента безопасности: один в 2011 году и один в 2015 году. В обоих случаях компания заметила подозрительный сетевой трафик и вынудила всех пользователей сменить свои мастер-пароли.
Сильный криминальный интерес к LastPass иногда работает в его пользу. Во многих случаях удалось выявить и исправить уязвимости, прежде чем они стали серьезной проблемой.
LastPass теперь обладает одними из самых надежных функций безопасности в отрасли. Например, он использует односторонний соленый хеш с использованием раундов PBKDF2-SHA256 для вашего пароля, что делает почти невозможными атаки методом «грубой силы». Ваш пароль никогда не отправляется на LastPass; хеш проверяет, кто вы, а ключ дешифрования, который никогда не покидает ваш компьютер, обеспечивает доступ к вашему хранилищу.
Ваше хранилище кодируется перед отправкой на сервер LastPass с использованием 256-битного шифрования AES. Кроме того, все данные, перемещающиеся между вашим устройством и LastPass, используют SSL.
Наконец, LastPass использует Paros для проверки на предмет риска атак XSS или SQL-инъекций и Funkload для проверки производительности безопасности.
2. Дашлан
Dashlane является одним из крупнейших конкурентов LastPass. В отличие от некоторых других менеджеров паролей, которые предлагают только локально сохраненные копии ваших учетных данных, Dashlane также обеспечивает синхронизацию между устройствами.
Это на три года моложе, чем LastPass, запущенный в 2011 году.
Интересно, что Dashlane имеет собственную запатентованную систему безопасности. Компания представила его в Бюро по патентам и товарным знакам США в марте 2012 года. Оно называется «Облачное резервное копирование данных и синхронизация с локальным хранилищем и ключами доступа» — это образец того, как работает безопасность Dashlane. Он может быть разбит на две части: шифрование данных и аутентификация пользователей.
Шифрование данных объясняет, как ваши пароли, информация об оплате и личная информация хранятся в безопасности. Для вашего мастер-пароля Dashlane получает ключ шифрования, используя 10 000 итераций PBKDF2. Dashlane шифрует любые данные на своих серверах, используя AES-256. Как и LastPass, компания никогда не хранит ваш главный пароль на своих серверах.
Аутентификация пользователя относится к процессу проверки первого входа в систему с нового устройства. Вместо того чтобы использовать хеши мастер-паролей (которые часто являются целью кибератак), Dashlane отправит вам одноразовый пароль по электронной почте. После входа в систему Dashlane отправляет ключ пользовательского устройства на свои серверы, чтобы можно было легко определить будущие имена входа.
3. KeePass
KeePass с открытым исходным кодом использует альтернативный подход к управлению паролями. Вместо того, чтобы быть облачным сервисом для нескольких устройств, KeePass сохраняет все ваши данные локально сохраненными на вашем устройстве.
С другой стороны, его локальный подход означает, что ваши данные полностью защищены от любого киберпреступника, который пытается взломать и расшифровать сетевой трафик. С другой стороны, вам нужно установить переносную версию приложения, если вы хотите взять свои пароли с собой. И даже тогда, они не будут доступны на любом устройстве без USB-порта.
Отличительной особенностью безопасности приложения является возможность выбрать мастер-пароль или файл ключа в качестве основного метода аутентификации. Для дополнительной безопасности, вы можете даже запустить оба.
KeePass использует SHA-256 для сжатия составного мастер-ключа, Argon2 (победитель конкурса хэширования паролей) для защиты от словарных и угадывающих атак и защиты памяти для предотвращения сохранения любых конфиденциальных данных на вашем диске. Наконец, KeePass предлагает безопасный рабочий стол для защиты от клавиатурных шпионов. Вы должны включить его, выбрав Сервис> Параметры> Безопасность .
Самым большим слабым местом приложения является наличие более 100 плагинов. Хотя они и мечтают о том, чтобы позволить вам делать все — от синхронизации паролей через облако до автоматического захвата паролей, нет простого способа проверить их безопасность.
4. Хранитель
В моей статье о лучших альтернативах LastPass , раздел комментариев, кажется, предполагает, что Keeper — любимое приложение многих наших читателей. Вы оценили его набор функций, простоту использования и функции безопасности.
Но оправдана ли похвала? Вы в безопасности, если вы являетесь пользователем Keeper? Одним словом, да.
Во-первых, Keeper использует политику, известную как «нулевое знание». На практике это означает, что Keeper не выполняет шифрование или дешифрование на своем конце. Все это происходит на вашем собственном устройстве. Как и в большинстве других менеджеров паролей, он использует 256-битный AES.
Затем каждый пароль на серверах Keeper индивидуально шифруется двумя уникальными ключами: «Ключом данных» и «Ключом записи». Любые данные, хранящиеся на вашем устройстве, добавляют третий ключ, «Ключ клиента».
Поскольку все это шифрование происходит на стороне клиента, Keeper имеет только необработанный двоичный код на своих серверах. Код совершенно бесполезен для хакеров, если у них нет вашего устройства. Вы также защищены от сетевых снифферов. Поскольку Keeper использует 256-битное шифрование AES, хакерам потребуется тысячелетия, чтобы его взломать.
Наконец, он предлагает до 100 000 итераций PBKDF2.
5. Sticky Password
За последние несколько лет Sticky Password был занят созданием с трудом заработанной репутации. В настоящее время это один из ведущих менеджеров паролей и часто получает высокие оценки на различных сайтах обзора.
Возможно, его лучшая функция безопасности — синхронизация Wi-Fi. Вместо синхронизации ваших паролей между устройствами, использующими облачные серверы, синхронизация Wi-Fi будет синхронизировать ваши устройства, но только в том случае, если они находятся в одной сети. Если вы решите использовать облачную синхронизацию для практических целей, вам потребуется ввести мастер-пароль и онлайн-пароль для получения доступа.
Как и другие приложения, ваш главный пароль никогда не сохраняется на серверах Sticky Password, а все данные, передаваемые по сети, шифруются с использованием 256-битного AES.
Ваш главный пароль служит основой для ключа шифрования. Вместе с криптографической солью деривация PBKDF2 создает криптографический хэш с однонаправленной функцией.
Безопасен ли ваш менеджер паролей?
Мы все знаем, что вы должны использовать менеджер паролей, но затратили ли вы когда-нибудь серьезное время на то, чтобы ваш менеджер паролей был надежным и безопасным? ? Знаете ли вы, какие методы шифрования выбирает ваш провайдер или недавно он стал жертвой серьезного нарушения? Знаете ли вы, есть ли у него какие-либо полезные дополнительные функции безопасности? ?
В конечном счете, вы доверяете этим компаниям ключи к вашей цифровой жизни. Вы должны сделать должную осмотрительность, прежде чем передать свои полномочия.
Какой менеджер паролей вы используете? Какие функции безопасности у него есть? Как всегда, вы можете оставить все свои мысли и мнения в комментариях ниже. И не забудьте поделиться этой статьей с единомышленниками в социальных сетях!
Кредиты изображений: Phonlamai Photo / Shutterstock