Пароли и имена пользователей и необходимость их защиты известны каждому хоть немного активному пользователю интернета. Но что такое безопасный пароль? Как запомнить сложные пароли и как получить обзор всех видов учетных записей, которые накопились с течением времени?
Давайте начнем с основных угроз, которые необходимо учитывать – утечка паролей, фишинг, атаки методом перебора паролей. Общим знаменателем для этих угроз является то, что третья сторона узнает имя пользователя и пароль жертвы.
Можно подумать, что если имя пользователя и пароль получены от интернет-магазина, в котором вы зарегистрировались, но в итоге даже не завершили покупку, а оставили на сайте только свои имя и фамилию, имя пользователя и пароль, то это не такая важная утечка данных.
Но если вы указали свое привычное имя пользователя или адрес электронной почты, а паролем выбрали все тот же знакомый пароль, который вы используете для удобства запоминания? Типичный киберпреступник в первую очередь попытается использовать одно и то же имя пользователя и пароль для вашей учетной записи электронной почты и любой другой известной среды, которая придет ему на ум.
В худшем случае кто-то получит доступ к довольно большому количеству ваших учетных записей, что открывает двери для дальнейших атак – будь то отправка жертве заслуживающих доверия мошеннических писем, поддельных счетов или требований о выкупе. Или вместо этого попытается обмануть знакомых жертвы, отправив им просьбы о займе от ее имени, если захвачены учетная запись электронной почты или аккаунт в социальной сети.
К счастью, такие серьезные последствия бывают редко, а полученные данные просто продаются на черном рынке в составе более крупной коллекции. Однако предотвращение возможного плохого исхода на самом деле под силу любому, кто довольно уверенно чувствует себя в интернете. В каждой среде должны использоваться уникальные пароли. Хорошей новостью является то, что при использовании инструментов управления паролями вам даже не нужно держать их в голове– достаточно запомнить один пароль, который защищает все остальные.
Пароли, сохраняемые в браузерах
Вы, наверное, заметили, что при вводе имени пользователя и пароля на некоторых сайтах через веб-браузер автоматически предлагается сохранить пароль. Это удобно – не нужно ничего дополнительно устанавливать на свой компьютер, но безопасно ли так хранить пароли?
Специалисты по безопасности не считают сохранение паролей в веб-браузере лучшим решением, но все же это большой шаг вперед по сравнению с использования единственного повторяющегося пароля, который используется в десятках, если не сотнях, разных сред.
Менеджеры паролей на основе браузера более подвержены риску со стороны уязвимостей в программном обеспечении браузера, чем специализированные менеджеры паролей. Функция управления паролями – это дополнительная возможность, встроенная в веб-браузеры, и полный список функций, ожидаемых от одного веб-браузера, значительно длиннее, чем у менеджера паролей, который выполняет более ограниченную роль. Слабые места безопасности в программном обеспечении могут привести к обходу ограничений доступа, и разница в подходе может сыграть важную роль.
По доле рынка веб-браузеров Chrome явно опережает других – в зависимости от источника, его доля 62–77%, второе место занимает Safari с долей рынка 7–20%, затем следуют все остальные приложения с гораздо меньшими долями.
Присмотримся к Chrome поближе
При сохранении паролей в браузере Chrome есть пара важных нюансов – во-первых, авторизовались ли вы при входе в Chrome в своем аккаунте Google, а во-вторых, включено ли шифрование контейнера паролей, т.е. on–disk encryption.
После входа в систему ваше изображение профиля или инициалы будут отображаться в правом верхнем углу браузера Chrome.
Если вы вошли в систему и включили синхронизацию, вы защищены от потери сохраненных паролей в случае пропажи или поломки вашего устройства.
Сохраняя пароли в веб-браузере, можно легко снизить риск того, что везде используется один и тот же пароль, который может утечь, но остается риск того, что кто-то может получить доступ к устройству, на котором хранятся пароли, – либо физически, либо путем заражения устройства вредоносной программой. В этом случае пароли, хранящиеся в браузере, станут легкой добычей.
Защититься от последней упомянутой угрозы не поможет функция шифрования на диске Chrome, поскольку используемый для защиты паролей ключ находится на жестком диске компьютера, а дополнительный ввод пароля не требуется.
Итак, если вы доверяете свои данные Google, то сохранение уникальных паролей в браузере – более безопасное решение, чем попытки запомнить пароли (то есть, повторное использование паролей и использование более простых паролей), и гораздо более удобное, чем использование физической записной книжки. Однако некоторые опасности при этом сохраняются.
Менеджер паролей – еще больше безопасности и независимости от веб-браузера
Менеджер паролей – это программное обеспечение, предназначенное для выполнения единственной цели: обеспечить безопасность важной информации, включая пароли, данные кредитной карты или другую конфиденциальную информацию. Часто решения структурированы таким образом, что сам производитель программного обеспечения не может получить доступ к информации, даже если данные синхронизированы с облаком.
Самые известные менеджеры паролей совместимы со всеми распространенными устройствами и веб-браузерами, их удобно использовать– только первое включение может потребовать некоторого привыкания и установки программного обеспечения на все ваши устройства, в которых вы хотите получить доступ к паролям.
Наиболее известные менеджеры паролей: 1Password, Bitwarden, Dashlane.
Преимуществом менеджеров паролей является более высокая безопасность – менеджер паролей блокируется в случае бездействия или закрытия приложений, а для доступа к паролям необходимо ввести пароль менеджера, использовать отпечаток пальца или распознавание лица – это значительно снижает риск доступа третьих лиц к паролям, даже если они получили доступ к устройству.
Кроме того, менеджеры паролей часто более гибкие – они позволяют генерировать более безопасные пароли и точнее определять их сложность и длину, тем самым создавая более безопасные пароли, чем хранилища паролей в веб-браузере.
Вы также можете легко добавлять в менеджеры паролей другую информацию, помимо необходимых для входа на сайты имени пользователя и пароля, например: пароль для входа в компьютер, код для системы безопасности или даже гениальную бизнес-идею, которую пока следует держать в секрете для будущего использования.
Менеджеры паролей также предоставляют множество полезных дополнительных опций для предприятий – например, общие пароли, автоматическую смену паролей, ограничения доступа и аудит, а также доступ к системам без показа пароля пользователю.
Многофакторная аутентификация дает дополнительную защиту
Независимо от того, как вы храните свои пароли в безопасности, в важных местах для дополнительной защиты стоит использовать многофакторную аутентификацию.
Многофакторная аутентификация означает, что помимо известных вам данных (имя пользователя и пароль) также существует дополнительный этап (телефон, на который отправляется SMS, или приложение, предоставляющее дополнительный код) или признак (отпечаток пальца, распознавание лица), который позволит удостовериться в вашей личности.
В этом случае третьи лица не смогут получить доступ к вашим учетным записям, даже если им станет известно ваше имя пользователя и пароль. Злоумышленники умны и могут попытаться обманом заставить пользователя подтвердить многофакторную аутентификацию, но львиная доля угроз уже устранена.
Из-за опасностей и сложностей, связанных с паролями, мир движется к избавлению от них. Это можно сделать, например, с помощью контроля собственности или биометрического контроля, путем централизации аутентификации (single sign–on) или с помощью таких решений, как ключи доступа (passkeys).
Советы по управлению паролями
Простые пароли и повторное использование паролей по-прежнему широко распространены, и киберпреступники об этом знают – каждый шаг, направленный на снижение этой тенденции, является большим шагом к повышению безопасности.
- Используйте в разных средах уникальные пароли.
- Облегчите себе жизнь, сохраняя пароли хотя бы в веб-браузере, а еще лучше – в специальном менеджере паролей
- В более важных средах обязательно используйте многофакторную аутентификацию.
- Предприятия получают лучший обзор и контроль за доступом при использовании менеджера паролей, разработанного специально для бизнес-клиентов.