Если вы уже доверили им всю свою цифровую жизнь или не используете менеджеры паролей вовсе, эта статья одинаково будет для вас полезной. Расскажу о двух основных видах менеджеров, их преимуществах и недостатках.
Менеджер паролей - это локальная программа на вашем устройстве (программа на компьютере, приложение на телефоне) или онлайн-сервис, к которому вы подключаетесь удалённо. Как обещают разработчики, все логины и пароли хранятся в зашифрованной базе, а для входа в неё вам потребуется запомнить всего один мастер-пароль.
Сразу оговорюсь: какой менеджер паролей использовать и использовать ли вообще - решение, принимаемое вами на свой страх и риск. В этой статье я приведу лишь открытые данные по состоянию на январь 2024 года и поделюсь собственным опытом.
Итак, менеджеры паролей можно разделить на 2 группы.
Олдскульные менеджеры паролей
Самый яркий представитель, по моему мнению - KeePass. Я использовал его более 10 лет. Это кроссплатформенная и свободная для распространения программа, разработанная аж в 2003 году (обновления выходят, хотя и редко: в январе 2024 года актуален релиз программы от октября 2023-го).
Важная оговорка. В последние годы KeePass попадал в заголовки новостей не в самом лучшем контексте. Сначала была обнаружена уязвимость, позволяющая мошенникам тайком видоизменять файл конфигурации программы на компьютере пользователя и стащить базу с паролями через опцию экспорта. Затем другая - оказалось, мастер-пароль KeePass записывался в дамп памяти компьютера в открытом виде и мог быть считан оттуда злоумышленниками. Разработчики KeePass, впрочем, возражали, что опасность преувеличена: если мошенники получили доступ к компьютеру для выполнения этих действий, то он и так попал под их управление: стянуть пароли они могут и другими способами, а не только через уязвимости. Потом злоумышленники попытались зайти с другой стороны: создали сайт-клон проекта, разместив на нём заражённую вирусом копию KeePass и её скачали доверчивые пользователи... Впрочем, программа существует более 20 лет и всё это время находится под пристальным вниманием не только пользователей, но и дотошных сторонних разработчиков. Сам факт того, что баги-уязвимости время от времени находятся (а какая программа совсем без них?), но их, баги, можно пересчитать по пальцам, а некоторые и вовсе спорные, лично моё доверие к KeePass только укрепляет. Пользовался бы им и дальше, если бы не появились более удобные альтернативы - онлайн-менеджеры паролей с синхронизацией на всех устройствах (о них я сегодня тоже расскажу).
Вернёмся к KeePass. Это официальный сайт проекта https://keepass.info/, откуда можно скачать программу и запустить.
Первый шаг - создаём базу данных и придумываем мастер-пароль.
Мастер-пароль - уникальный ключ. В теории ваша база данных может быть открыта только им. Дальше заполняете готовые поля логинами и паролями к учётным записям. В дальнейшем из этих "карточек" вы будете копировать логины и пароли и вставлять в поля нужных вам ресурсов.
Стандартная "карточка" позволяет для удобства добавить адрес сайта и комментарии, а под паролем цветная шкала оценит, хорош ли ваш пароль.
Записи можно сгруппировать по папкам: пароли для почтовых ящиков - в одну, для соцсетей - в другую и т.д.
База данных - это отдельный файл, который можно переносить с одного устройства на другое, а приложения на компьютере и на телефоне - вроде открывалки, они расшифровывают эту базу для редактирования. Шифрование по умолчанию по надёжному протоколу, так что, по идее, базу можно и в облаке хранить. Без мастер-пароля, который вы придумали, всё равно никто её в теории не откроет.
Важная оговорка. Не надо думать, что менеджер паролей - панацея, универсальное решение для вашей безопасности. Нет! К примеру, если вы не следите за цифровой гигиеной и ранее подцепили вирус, который ворует с компьютера или телефона все пароли подряд - тогда никакой менеджер паролей не поможет. Менеджер паролей - это лишь один из кирпичиков в стене безопасности вокруг ваших электронных устройств и персональных данных. В общем, не забывайте про надёжную антивирусную программу и элементарные правила компьютерной безопасности.
Хотя приложение простое, с ним можно намучиться. Например, на компьютере вы создали базу данных, наполнили паролями и скопировали этот файл на телефон. Надеетесь, что на телефоне дополните новыми паролями и без проблем скопируете файл обратно, на компьютер. Но не так всё просто! Приложение на телефоне обычно будет редактировать не первоначальный файл, а создаст его копию (в случае, если ваш телефон на Андроиде). Если вовремя не заметите и будете переносить с устройства на устройство не тот файл, то столкнётесь с проблемами в духе: «Я же точно помню, что пароль сохранил! Где же он?» Лучше использовать опцию экспорта базы данных.
Особенности. Во-первых, как писал выше, у KeePass нет собственной автоматической синхронизации (может, оно и лучше для безопасности), во-вторых - бывают баги, из-за которых однажды базу данных можно просто не открыть. Поэтому лучше не забывать её регулярно "бэкапить" вручную. В-третьих - если понятно, откуда брать версию программы для компьютера (с официального сайта проекта), то в магазинах телефонных приложений можно найти сразу несколько вариантов KeePass от разных разработчиков. Каким из них доверять, а каким нет - зависит уже от вас.
Лично я завёл отдельную флешку, на которой держал и программу KeePass, и файл-базу данных. Это было универсальным решением: на любом компьютере база открывалась через программу, а при подключении флешки к телефону - через телефонное приложение.
Менеджеры нового поколения (на один из таких я перешёл с KeePass)
База с паролями обычно хранится на удаленном сервере, а на ваших устройствах - синхронизируемые с ней в реальном времени копии. Так что можно залогиниться на всех ваших девайсах и одновременно получить доступ к базе. Добавили данные на одном устройстве - они сразу же становятся доступными на других. Удобно, не поспоришь! Главное неудобство - такие менеджеры обычно платные, по подписке. Впрочем, есть за что платить. Описанный выше функционал KeePass значительно расширен и достроен: доступны генераторы паролей и даже логинов (если совсем лень напрягать мозги), автоподстановка логинов/паролей в браузеры, история изменений паролей (на мой взгляд, очень полезная штука), бэкапы базы по умолчанию, дисковое пространство для хранения копий документов, круглосуточная поддержка и, само собой, вход защищён многофакторной аутентификацией. С приложениями для телефона - тоже всё понятно без лишних комментариев. За то и платим.
Среди российских менеджеров паролей выделяется один, разработанный известной антивирусной лабораторией с зелёным логотипом. На январь 2024 года годовая подписка стоит 1199 рублей (с 20-процентной скидкой). Есть и иностранные сервисы.
Вторым недостатком онлайн-менеджеров (первый - платность), думаю, можно назвать такой: придётся поверить обещаниям сервисов на слово, что ваши пароли надёжно защищены не только на их серверах, но и в процессе вашего подключения к ним через Интернет.
Все менеджеры паролей - и "олдскульные", и "новые" - объединяет то, что вам таки придётся запомнить мастер-пароль, которым будут защищены все остальные. Советы, как можно создать достаточно сложный пароль и, что важно, как его запомнить - смотрите здесь.
Впрочем, хороший безопасник должен быть немного параноиком (а как иначе подготовиться к потенциальным угрозам?), поэтому в одной из ближайших публикаций расскажу, как при использовании менеджеров паролей добавить дополнительную степень защиты, чтобы не думалось.