Давным-давно, в первые годы существования Интернета, у вас могло быть несколько паролей для нескольких важных веб-приложений, которые вы использовали для совершения покупок, учебы, поддержания связи и выполнения работы. Сегодня все намного сложнее. Отчет LastPass за 2020 год показал, что в среднем людям приходится запоминать или записывать 191 разный пароль — только для работы, не говоря уже о личных паролях.
Хотя технологии обещают облегчить нашу жизнь, и в целом это так, каждый новый веб-сайт и приложение, на которые мы подписываемся, — это еще один пароль, который мы должны помнить. Для большинства запомнить их все становится невозможно. Опрос Google Online Security Survey 2019 показал, что 52% респондентов повторно использовали один и тот же пароль для нескольких (но не для всех) учетных записей, а это скорее всего, сделает вас жертвой кражи личных данных.
Используя списки украденных паролей (также называемых «дампами»), купленных в даркнете, киберпреступники могут взломать другие сайты или использовать старые пароли для мошенничества. Это эффект домино при утечке данных. Одно нарушение ведет к другому и так далее.
Согласно отчету Verizon Data Breach Investigations за 2019 год, 80% утечек данных вызваны взломанными, слабыми и повторно используемыми паролями.
Итак, что мы можем с этим поделать?
На протяжении 20 лет профессионалы в области кибербезопасности упрекали потребителей в том, что они не меняют пароли по умолчанию на устройствах (например, маршрутизаторе) или используют легко угадываемые пароли, такие как «12345» или «password».
При создании новой учетной записи веб-сайты требуют, чтобы мы создавали длинные и надежные пароли. В противном случае нам даже не разрешат создать учетную запись.
Благодаря этому пароли стали длинными и надежными, состоящими из прописных и строчных букв, по крайней мере, одной цифры и одного символа, но появилась другая проблема, «как их все запомнить?».
К счастью, менеджер паролей может запомнить их за вас.
Менеджер паролей — это «программное приложение, предназначенное для хранения и управления учетными данными в Интернете. Он также генерирует пароли. Обычно эти пароли хранятся в зашифрованной базе данных и закрываются мастер-паролем».
После того, как все имена пользователей и пароли вашей учетной записи будут введены в хранилище, ваш главный пароль станет единственным, который вам нужно сохранить в памяти. Ввод мастер-пароля разблокирует хранилище паролей, а затем из хранилища вы сможете получить любой нужный пароль.
Каковы преимущества использования менеджера паролей?
Вам больше не нужно запоминать все свои пароли. Вам нужно запомнить только главный пароль, который разблокирует ваше хранилище паролей. А если вы выберете облачный менеджер паролей, вы сможете получить доступ к своему хранилищу паролей, где угодно и с любого устройства.
Они могут автоматически генерировать для вас надежные пароли. Менеджеры паролей обычно спрашивают вас, хотите ли вы использовать автоматически сгенерированный пароль при создании новой учетной записи на веб-сайте или в приложении. Эти случайные пароли длинные, буквенно-цифровые, и их практически невозможно угадать.
Они могут предупредить вас о фишинговом сайте. Электронные письма подделываются, чтобы выглядеть так, как будто они исходят от законного отправителя, например друга, члена семьи, коллеги или организации, с которой вы ведете бизнес. Ссылки, содержащиеся в электронном письме, ведут на аналогично подделанные вредоносные веб-сайты, предназначенные для сбора учетных данных. Если вы используете диспетчер паролей на основе браузера, он не будет автоматически заполнять поля имени пользователя и пароля, поскольку не распознает веб-сайт как сайт, привязанный к паролю.
Они могут помочь вашим бенефициарам, когда вы уйдете из жизни. Это называется цифровым наследованием. В случае вашей смерти ваша семья или лицо, назначенное вами для управления своим имуществом, получат доступ к вашему хранилищу паролей.
Менеджеры паролей экономят время. Помимо хранения паролей, многие менеджеры паролей также автоматически заполняют учетные данные для более быстрого доступа к онлайн-учетным записям. Кроме того, некоторые могут хранить и автоматически заполнять имя, адрес, адрес электронной почты, номер телефона и информацию о кредитной карте. Это может значительно сэкономить время, например, при совершении покупок в Интернете.
Многие менеджеры паролей синхронизируются между разными операционными системами (ОС) . Если вы пользователь Windows на работе и пользователь Mac дома, используете Android с понедельника по пятницу и переходите на iOS по выходным, вы сможете быстро получить доступ к своим паролям независимо от того, на какой платформе вы работаете. То же самое для всех самых популярных веб-браузеров; т.е. Chrome, Firefox, Edge, Internet Explorer и Safari.
Они помогают защитить вашу личность. Окольными путями менеджеры паролей помогают защитить от кражи личных данных, и вот почему. Используя уникальный пароль для каждого сайта, вы, по сути, сегментируете свои данные по каждому веб-сайту и приложению, которое вы используете. Если преступник взломает одну из ваших учетных записей, он не обязательно сможет получить доступ к любой из других. Это дополнительный уровень безопасности, который вы обязательно оцените после нарушения целостности данных.
Безопасны ли менеджеры паролей?
Менеджеры паролей тоже взламывают, но намного реже чем другие системы.
В 2015 году произошла утечка данных в диспетчере паролей LastPass. Во время взлома киберпреступники получили доступ к электронным письмам пользователей, но не смогли украсть пароли. Большинство менеджеров паролей, включая LastPass, используют надежное шифрование военного уровня для обеспечения безопасности паролей.
Сравните это с Facebook, Google и Twitter. Все три технологических гиганта признались, что несколько лет назад случайно сохраняли пароли пользователей в виде простого читаемого текста — без шифрования.
Какие бывают типы менеджеров паролей?
Настольные менеджеры паролей хранят ваши пароли локально на вашем устройстве, например на вашем ноутбуке, в зашифрованном хранилище. Вы не можете получить доступ к этим паролям с любого другого устройства, и если вы потеряете устройство, вы потеряете все пароли, хранящиеся на нем. Локально установленные менеджеры паролей — отличный вариант для людей, которые просто не хотят, чтобы их данные хранились в чужой сети. Некоторые устанавливаемые локально менеджеры паролей обеспечивают баланс между конфиденциальностью и удобством, позволяя создавать несколько хранилищ паролей на всех ваших устройствах и синхронизировать их при подключении к Интернету.
Облачные менеджеры паролей хранят ваши зашифрованные пароли в сети поставщика услуг. Поставщик услуг несет прямую ответственность за безопасность ваших паролей. Основное преимущество облачных менеджеров паролей, хорошими примерами которых являются MultiPassword , 1Password и LastPass, заключается в том, что вы можете получить доступ к своему хранилищу паролей с любого устройства, если у вас есть подключение к Интернету. Веб-менеджеры паролей могут быть разных форм — чаще всего в виде расширения для браузера, настольного или мобильного приложения.
Единый вход (SSO). В отличие от менеджера паролей, который хранит уникальные пароли для каждого используемого вами приложения, SSO позволяет вам использовать один пароль для каждого приложения. Думайте о SSO как о своем цифровом паспорте. При въезде в другую страну в паспорте таможенникам и иммиграционным службам предоставляется информация о том, что ваша страна ручается за вас и что вам следует разрешить въезд с минимальными хлопотами. Аналогичным образом, при использовании SSO для входа в приложение вам не требуется подтверждать свою личность. Вместо этого провайдер SSO подтверждает вашу личность. Компании предпочитают SSO менеджерам паролей по нескольким причинам. В основном, SSO — это безопасный и удобный способ для сотрудников получить доступ к приложениям, которые им нужны для выполнения своей работы. SSO также сокращает время, которое ИТ-специалисты тратят на устранение неполадок и сброс забытых паролей.
Рекомендации по использованию пароля
Не используйте пароли повторно. Даже с менеджером паролей. Вместо этого создайте уникальные пароли для каждого сайта и позвольте своему менеджеру паролей делать то, для чего он предназначен.
Создавайте сложные пароли. Многие менеджеры паролей автоматически предлагают надежные пароли всякий раз, когда вы создаете учетную запись для нового сайта. Если нет, попробуйте использовать случайную комбинацию букв и цифр и переключаться между прописными и строчными буквами. Чем сложнее и бессмысленнее, тем лучше — тем более, что вам не нужно будет это запоминать. Это сделает менеджер паролей. Единственное ключевое отличие заключается в создании вашего мастер-пароля (того, который разблокирует все остальные пароли). Это вам нужно будет запомнить, поэтому, если у вас нет эйдетической памяти, постарайтесь придумать что-нибудь запоминающееся для вас, но не связанное с вашей личностью. Затем добавьте несколько заглавных букв, несколько строчных букв и несколько необычных символов, и вы получите хорошо защищенное хранилище паролей.
Используйте парольную фразу . Когда дело доходит до создания вашего мастер-пароля (того, который разблокирует ваши другие пароли), попробуйте использовать парольную фразу; т. е. набор слов, которые легко запомнить, но трудно угадать. Что-то знакомое со странным поворотом, например: «мороженое с фасолью и буррито». Или просто набор случайных вещей, которые человек может легко визуализировать, но не может компьютер. Использовать свое воображение! Домашние животные, дети, фамилии или строки вроде «Впусти меня!» слишком распространены, и поэтому киберпреступники их легко расшифровывают.
Включите двухфакторную (2FA) или многофакторную аутентификацию (MFA). Один из лучших способов защитить любую учетную запись, независимо от того, работает ли она с менеджером паролей, — это включить MFA. С менеджером паролей с поддержкой MFA вам потребуется подтвердить свою личность с помощью двух или более факторов аутентификации, которые включают в себя то, что вы знаете, что у вас есть, и то, кем вы являетесь. То, что вы знаете, обычно является вашим паролем, но это также может быть PIN-код. То, что у вас есть, может быть вашим мобильным телефоном, банковской картой или токеном безопасности на USB-накопителе. Наконец, то, кто вы есть, можно проверить с помощью биометрических данных, например распознавания лица, голоса или радужной оболочки глаза и идентификатора отпечатка пальца. Также можно применять поведенческую биометрию, например, нажатия клавиш.
Этот дополнительный уровень безопасности означает, что любой, кто пытается войти в вашу учетную запись (включая вас), должен будет контролировать эти дополнительные факторы аутентификации, помимо имени пользователя и пароля. Примером этого может быть: после того, как вы введете мастер-пароль для доступа к диспетчеру паролей, на ваш мобильный телефон будет отправлен код, который вам нужно будет ввести, прежде чем получить доступ к хранилищу. При использовании телефона в качестве фактора аутентификации следует помнить об одном — номера телефонов могут быть украдены.
Это называется SIMjacking (также известный как подмена SIM-карты), и это происходит, когда киберпреступник, выдавая себя за вас, убеждает вашего оператора связи переназначить ваш номер своему телефону, успешно ответив на ваши контрольные вопросы. Беглый поиск в социальных сетях — это зачастую все, что нужно мошенникам, чтобы получить нужные ответы. А как только преступники получают контроль над вашим телефоном, у них есть все необходимое, чтобы украсть вашу личность. Соответственно, вы можете использовать программный аутентификатор, такой как Authy или Google Authenticator, вместо критических учетных записей.
Дважды подумайте о бесплатных менеджерах паролей. Многие из самых популярных бесплатных менеджеров паролей на самом деле работают по бизнес-модели freemium, а это означает, что вам придется заплатить, если вам нужны более лучшие, а иногда и важные функции. Вам нужны пароли для синхронизации между браузерами и устройствами? Вам нужно цифровое наследование? Вам нужно поделиться логинами с семьей? Вам нужна многофакторная аутентификация? Бесплатные менеджеры паролей обычно не включают в себя эти функции.