В продолжение поста про хранение паролей.
Итак, менеджер паролей - это специальный сервис для безопасного хранения паролей.
Один пароль, чтоб править всеми 💍
О безопасности позволяет говорить следующая схема хранения данных. При регистрации на одном из таких сервисов вы придумываете сложный пароль (т.н. мастер-пароль), с помощью которого происходит шифрование вашего хранилища данных на этом сервисе. Причём, шифруется всё локально на вашем устройстве (смартфон, ноутбук), и на сервер передаётся в уже зашифрованном виде. Т.о. сервис хранит ваши данные, но доступа к ним не имеет, т.к. для их раcшифровки нужно знать ваш мастер-пароль. Даже если сервис взломают и украдут эти зашифрованные данные, взламывать их будут до второго пришествия (если у вас мастер-пароль сложный). Понимая это, никто всерьёз и не будет проводить такую атаку.
При этом ваши зашифрованные пароли хранятся удалённо и вы не потеряете к ним доступ в случае утраты смартфона (или блокнота). Главное - помнить ваш мастер-пароль, но это проще, чем помнить 100 отдельных паролей от разных учётных записей.
Как это выглядит на практике?
На смартфон или компьютер устанавливаете приложение выбранного менеджера паролей (некоторые сервисы имеют возможность работы через веб-сайт, но это стоит рассматривать как дополнительный способ). И в этом приложении создаёте запись для каждого сервиса, которым пользуетесь, указывая соответствующий логин и пароль. Пароль можно придумать самостоятельно, воспользоваться моей схемой, либо использовать генератор сложных паролей, которые обычно присутствуют в таких приложениях. Когда пароль нужно посмотреть, просто открываете приложение, и находите нужную запись. Всё просто и понятно. Как правило, такие приложения дают возможность группировать записи по папкам и имеют встроенный поиск, т.ч. не запутаетесь, даже если вам нужно хранить очень много паролей. Для ввода пароля с телефона его можно скопировать из приложения менеджера и вставить в нужном месте, что сильно облегчает жизнь.
Многие сервисы также имеют специальные расширения для браузеров, позволяющие входить в аккаунты вовсе без ввода пароля (расширение видит, на какой сайт вы заходите, и само подставляет нужный логин-пароль из вашей базы). Расширения считаются безопасными. Я не пользуюсь.
Кроме того, сервисы менеджеров паролей могу предоставлять услугу "Взломали ли меня?". Сервис автоматически сканирует базы даных украденных паролей в даркнете на предмет наличия там одного из ваших паролей. И в случае совпадения сигнализирует вам: "Вот этот пароль лучше поменять".
И этому можно доверять?
Возникает разумный вопрос - а с чего бы нам вообще доверять таким сервисам? Хранить свои пароли на сервере у дяди, который обещает, что всё будет хорошо.. сомнительно, правда?
Сразу скажу, что если кто-то сильно не доверяет такому способу хранения, то я полностью такого человека понимаю. Тогда ваш лучший выбор - самостоятельное локальное шифрование файла с паролями и создание резервных копий (Способ 4 из этого поста).
Но я считаю парольные менеджеры хорошим компромиссом между безопасностью и удобством для широкой публики. Всё упирается в криптографию - ваши данные хранятся у дяди, но зашифрованными. А криптографии доверять можно. Узким местом тут может быть такой момент: а действительно ли ваши данные шифруются локально на вашем устройстве, а мастер-пароль никому не передаётся? Да, здесь либо приходится доверять авторитету сервиса менеджера паролей, либо среди таких сервисов отдавать предпочтения таким, у которых приложения имеют открытый исходный код. Т.е. разработчики выложили в открытый доступ исходный код своего приложения, чтобы любой желающий с навыками программирования мог его проверить и убедиться, что там нет никаких закладок. Самим вам проверять ничего не нужно, есть куча профессиональных любителей покопаться в таких штуках, и если бы что-то нехорошее в программе было, кто-нибудь уже это нашёл и раструбил.
Как узнать, что приложение имеет открытый исходный код? Сервис наверняка укажет это на своём сайте в числе своих достоинств.
Локальное хранение данных на вашем устройстве (на сервере хранится зашифрованная копия) позволяет также не переживать о том, что сервис внезапно закроется и вы потеряете доступ к своим паролям. В этом случае у вас будет копия всех данных на телефоне и время спокойно перенести эти данные в другой менеджер паролей.
Так какие же менеджеры паролей бывают, и какой из них выбрать?
Классикой жанра считаются такие сервисы (не реклама):
- 1Password
- Dashlane
- LastPass
- Keeper
- RoboForm
Сам я имел опыт использования Keeper, NordPass, Proton Pass. Весь опыт положительный.
На этом список не заканчивается, можно самостоятельно поизучать отличия между теми или иными сервисами. А отличия, как правило, в наличии тех или иных фишечек и рюшечек и в цене. Да-да, вы не ослышались, безопасность стоит денег. Настоятельно не рекомендую пользоваться никакими сервисами, связанными с безопасностью, если они бесплатны. Запомните простую аксиому: если сервис бесплатный, значит, вы платите своими данными. Исключение составляют сервисы, которые предлагают бесплатно ограниченный функционал, а за полную версию берут деньги - это нормально. А зачастую, этого ограниченного функционала даже может вполне хватать.
И ещё дополнительный нюанс выбора конкретного менеджера паролей. Сейчас некоторые из них могут не обслуживать клиентов из России, некоторые не работают без VPN из-за блокировок Роскомнадзора, плюс, нужно решать, как именно вы будете оплачивать подписку на такой сервис (а все основные парольные менеджеры - иностранные). Веяние времени.
И напоследок немного аналоговых печенек к нашему цифровому чаю. Основа безопасности всей задумки менеджеров паролей - ваш мастер-пароль. Имейте в виду, если вы его забудете - никто вам данные не восстановит (в том и идея). И вот здесь я предлагаю использовать старый добрый блокнот, хранимый в надёжном месте. Запишите там ваш мастер-пароль, только без комментариев, что это за пароль, и от чего он.
Храните ваши пароли безопасно.
============
«Цифровой чай». Про IT доступно. Мы в Telegram - здесь.
