Рассмотрим самые популярные варианты, а также их преимущества и недостатки.
Браузеры
Плюсы:
+ Только в firefox: можно поставить мастер-пароль для менеджера паролей (если боитесь компрометации информации, например, в рабочей сети, ставьте мастер-пароль не меньше 14-16 символов).
+ В chrome и firefox: Возможность синхронизации паролей между устройствами (под Windows/Android/MacOS).
+ Удобно авторизовываться на сайтах (автозаполнение форм).
Минусы:
- Логины не шифруются (т.е. любой, у кого есть доступ к HDD ПК, сможет увидеть ваши логины).
- Нельзя хранить пароли, не предназначенные для web. Например, лицензии на ПО или пины для ЭЦП.
- Любой сохранённый пароль легко подсмотреть на странице входа.
- В chrome и opera: пароли шифруются паролем/пином учетной записи (читай, без защиты).
- В firefox: При включенном мастер-пароле синхронизация паролей с другими устройствами не происходит.
Послесловие:
Отдельно стоит упомянуть ПО, которое может вытянуть все пароли из браузеров буквально за клик и сохранить их в файл (ставьте лайк, и я напишу статью про это ПО), не понадобится даже пароль от учетки Windows, т. е. у менеджеров паролей в браузерах безопасность очень низкая.
Я помню те времена, когда у хрома и оперы были мастер-пароли, но они канули в лету. Видимо, безопасность нынче для разработчиков не самое важное.
We know this is a long-standing issue, and we see where you're coming from. Please know that your security is our highest priority, and our decision not to implement the master password feature is based on our belief that it creates a false sense of security instead of actually providing a strong security benefit.
Вот что говорит Google о функции мастер-пароля: "Мы знаем, что это давняя проблема, и мы видим, откуда вы. Пожалуйста, знайте, что ваша безопасность - наш самый высокий приоритет, и наше решение не использовать функцию мастер-пароля основывается на нашем убеждении, что он создает ложное чувство безопасности, а не фактически обеспечивает сильное преимущество в плане безопасности."
Как вы поняли, браузеры крайне ненадёжны в качестве защитников конфиденциальных данных, поэтому не стоит доверять им пароли от каких-либо важных сайтов, например, банковских.
Online-менеджеры паролей
Онлайн-менеджеры могут являться как web-сервисом, так и расширением для браузера.
Плюсы:
+ Авторизация через мастер-пароль (есть двухфакторная авторизация)
+ Доступность менеджеров под Windows/Android/MacOS/iOS (например, LastPass / SafeInCloud / Dashlane).
+ Возможность группировки паролей по категориям
+ Встроенный генератор паролей
+ С помощью расширений браузера удобно авторизовываться на сайтах (автозаполнение форм).
Минусы:
- Как правило, абонентская плата за использование полнофункциональной версии программы. Начинается с 3$ в месяц.
- Из вышесказанного: урезанные возможности пробных версий.
- в случае недоступности или перебоев в работе сервиса/расширения вы не сможете получить надлежащий доступ к своей базе паролей
- Online-менеджеры имеют закрытый код, поэтому приходится надеяться на то, что их механизмы защиты достаточно эффективны и смогут противостоять взлому и компрометации.
Послесловие:
Каждый сервис предоставляет свои плюшки, как, например, групповое редактирование базы, доступ через api, пермиум-обслуживание и пр. Некоторые из них используются в корпоративной среде и имеют навороченный функционал.
Offline-менеджеры паролей
Представляет Offline-менеджеры программа KeePass Password Safe, или просто KeePass, так как у неё фактически нет конкурентов:
- Open Source проект, большое сообщество разработчиков
- Бесплатная версия - полностью функциональная
- Эффективно противостоит взломам мастер-пароля, а также dll-инъекциям
- Имеет возможность ювелирной настройки под свои нужды (плагины, триггеры, множество настроек безопасности)
- Базы паролей шифруются AES-256 (что на данный момент достаточно надежно)
Плюсы:
+ Авторизация через мастер-пароль (есть двухфакторная авторизация)
+ Есть возможность автозаполнения (можно задать правила ввода для каждого сайта)
+ Можно выбрать нужный аккаунт для автовхода в случае наличия нескольких аккаунтов на одном сайте
+ Есть возможность настройки автозаполнения в любой программе (например FileZilla или Total Commander)
+ Возможность группировки паролей по категориям
+ Доступность менеджера с разных устройств (под Windows/Android/MacOS).
+ Синхронизация базы паролей с облачными сервисами
+ Встроенный генератор паролей
+ Имеется множество плагинов, расширяющих функционал программы
+ Есть история изменения паролей для каждой учетной записи
+ Есть функции доп.защиты от кейлоггеров
Минусы:
- Отсутствие русского языка "из коробки" (потребуется языковой пакет)
- Отсутствие синхронизации с облачными сервисами (потребуется плагин)
- Потребуется первоначальная настройка автовхода
UPD: Нашел ещё один менеджер паролей, называется он Enpass Password Manager. Он обладает таким же богатым функционалом, как и KeePass, поддерживает синхронизацию и имеет русский интерфейс "из коробки", ограничения только на мобильных версиях. Если дойдут руки, сделаю обзор и на этот менеджер.
Послесловие:
Потратив пару часов на настройку автозаполнения и синхронизации данного менеджера, вы ощутимо повысите свою безопасность и избавитесь от зависимости хранить пароли в браузере.
В следуюшей статье про KeePass я расскажу вам, как настроить этот менеджер для максимально эффективного взаимодействия!
Спасибо за внимание!
Понравилась статья? Ставь палец вверх и подписывайся на канал Винда в деталях!