TREZOR: менеджер паролей, который невозможно взломать. Лучше, чем браузерные хранилища

Где хранить свои суперсекьюрные и регулярно обновляемые пароли от множества интернет-ресурсов? В голове? Скорее всего, не поместятся. На бумажке? Не по-хакерски. Доверять облачному сервису, который спалит пароли если не сегодня, то завтра обязательно? Понадеяться на опенсорсный менеджер паролей? Вяло, товарищи! Скучно!

Сегодня мы рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ хранить пароли, создав свой аппаратный менеджер паролей! Он будет хранить в себе данные разных аккаунтов, логины и зашифрованные пароли, ключ от которых должен держаться отдельно и вводиться непосредственно перед использованием, и при этом устройство будет эмулировать USB-клавиатуру для вывода логина и пароля.

Нет дыма без огня, или немного предыстории

Идея родилась не на пустом месте. Незадолго до ее появления я решил заняться программированием микроконтроллеров. Но так как свободного времени, чтобы серьезно и глубоко посвятить себя этому, было недостаточно для полноценного освоения ни железного С++, ни железобетонного ассемблера, то, чуть не споткнувшись о продолжающую набирать популярность вселенную Arduino, я прямиком угодил в объятия загадочного мира «JavaScript для микроконтроллеров». «Теперь гаджеты программируют на JavaScript» - этот броский заголовок поймал меня на крючок! Разглядывая на сайте «Амперки» изображения красивой отладочной платы, похожей на Arduino Leonardo, но белой и именуемой Iskra JS (не путать с Iskra Neo, которая тоже Iskra, тоже белая, но по сути улучшенная Leonardo), я попал под гипноз описания ее возможностей (и, если что, нахожусь под ним до сих пор).

Сердце платы Iskra JS - прекрасный дуэт микроконтроллера серии STM32F4 и прячущейся в его недрах могучей open source прошивки Espruino , выполняющей функцию интерпретатора языка JavaScript с торчащей наружу консолью а-ля REPL. Те, кто знаком с Node.js, почувствуют ярко выраженное дежавю и смогут вести себя более уверенно в диалоге с Espruino. При всем при этом для Iskra JS подходит весь спектр аксессуаров от Arduino UNO R3. Да и дополнительные библиотеки, представляющие собой JS-модули, имелись в достаточном количестве как от создателей проекта Espruino, так и от разработчиков Iskra JS.

«Зачем все это», или не купить ли нам коммерческий токен

Можно посмотреть и в сторону коммерческих токенов. Но тут скрывается пласт нюансов с дополнительным ПО и универсальностью. Да и за действительно интересные устройства придется выложить немаленькую сумму.

Итак, недолго раздумывая и сразу обзаведясь целым набором «Йодо», где, помимо платы Iskra JS и буклета, были шилды, модули с сенсорами и прочими кнопочками, а также детали необычного конструктора для макетирования корпусов, именуемого структором, я всецело погряз в творчестве. 🙂 И вот тогда, наткнувшись в буклете на один из проектов с примером использования эмуляции клавиатуры, я и загорелся идеей сделать «ленивку», набирающую за меня пароли.

Идея зрела долго, ее каждый раз подрезали всякие умные роботы и дома, GSM-сигнализации и прочие радости творчества. Ведь программирование для Iskra JS приносило массу удовольствия, так как не было обременено посредническими процессами - ни предварительным компилированием, ни обязательной прошивкой платы.

INFO

Процесс прошивки в Espruino-based платах требует некоторых разъяснений. Прошивка в микроконтроллере одна - и это Espruino. Она прошивается единожды и занимает часть флеш-памяти микроконтроллера. В дальнейшем для сохранения вашего JavaScript-кода используется оставшееся место во флеш-памяти. И вот очистку части флеш-памяти от старого кода и запись нового нередко также называют прошивкой, хотя правильнее все же называть это сохранением кода.

Время пришло

День, когда лень набивать длинные пароли руками победила в первенстве приоритетов, все-таки настал. И тогда пришло время сформировать представление о том, каким я вижу свое будущее устройство, а заодно и составить список требований и деталей.

• Для хранения логинов и паролей была выбрана карта microSD. Для работы с ней, соответственно, необходим модуль для чтения карт.
• В роли управления решил задействовать ИК-пульт и модуль с ИК-приемником, которые достались с набором, так как кнопок пульта заведомо было достаточно для возможного будущего расширения, в то время как с размещением новых физических кнопок могли бы возникнуть проблемы, да и дистанционность имеет свои плюсы в использовании.

• Так как у «Амперки» не было на тот момент собственных модулей с дисплеем, целостную картинку пришлось нарушить и воспользоваться китайским модулем с OLED-дисплеем с ярким экраном диагональю 0,96 дюйма и с подключением по шине I2C (как показала практика, если собираешься управлять своим менеджером с расстояния более двух метров, то удобней все же будет использовать экран больших размеров).
• Для хранения ключа после недолгих поисков была выбрана транспортная карта «Единый», работающая по технологии RFID и, как обнаружилось, имеющая небольшую область памяти, свободную для перезаписи. Попадаются карты «Единый» с 80 и 164 байт памяти. Хранится информация страницами по четыре байта. У тех, что со 164 байт на борту, есть 80 байт, свободных для перезаписи (с 16-й по 35-ю страницу при счете с 0). Таких израсходованных карт у меня оказалось приличное количество. Свою роль сыграло и то, что у «Амперки» была полноценная и настроенная на работу с картами «Единый» JS-библиотека для NFC/RFID-модуля на основе микросхемы NXP PN532 , что дает стимул покопаться в ней глубже для более детального изучения принципов работы с RFID/NFC-метками.

Определившись со списком, можно было приступать к сборке прототипа и программированию.

Изначально за основу была взята отладочная плата Iskra JS с дополнительной платой расширения. Прототип на ней получился громоздким, чудным и по-своему симпатичным.

Позже появилась мини-версия старшей платы - Iskra JS mini c STM32F411CEU6 на борту, и это позволило существенно сократить размеры устройства и сделать его мобильным.

Вот на ее основе мы и соберем наше устройство.

Подготовка

Для начала необходимо установить среду разработки, и если ты собираешься работать с платой из-под винды, то понадобятся драйверы . Подробно об установке среды разработки можно почитать на вики проекта Iskra JS.

Если же не пользуешься браузером Google Chrome, то можно установить нативные приложения для Windows с сайта проекта Espruino либо самостоятельно клонировать текущую версию среды разработки с GitHub и запустить ее локально с помощью фреймворка NW.js , просто скопировав все файлы среды в папку с фреймворком и запустив исполняемый файл nw .

Главное - не забудь поменять в Espruino Web IDE настройки для работы с платами и дополнительными библиотеками от «Амперки»:

• В разделе SETTINGS → COMMUNICATIONS:

  • в поле Module URL укажи http://js.amperka.ru/modules
  • в поле Module Extensions укажи.min.js|.js
  • в поле Save on Send выбери Direct to Flash

• В разделе SETTINGS → BOARD:

  • в поле Board JSON URL укажи http://js.amperka.ru/json

Окно среды разработки состоит из двух частей: справа - редактор кода, слева - консоль интерпретатора Espruino, доступная при соединении с отладочной платой.

Сборка прототипа и подключение

Подключим физически все наши модули, разместив на беспаечной макетной плате. Что она собой представляет и как с ней работать, можно почитать .

Выведем питание с пина 3V3 отладочной платы Iskra JS mini на дорожку + макетной платы, а «землю» - с пина GND на – .

OLED-экран с подключением по шине I2C имеет четыре контакта: GND, VDD (VCC), SCK (SCL), SDA. Подключим их к соответствующим пинам на плате:

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Записывать пароли в файл txt — уже не то. Правильные пользователи хранят секретную информацию в правильных программах. Мы подготовили обзор пяти менеджеров паролей — удобных и функциональных. Их оценка основана исключительно на личном мнении.

Мультиязычная бесплатная программа для хранения и генерации паролей с открытым кодом и рядом готовых плагинов — шифрованием, синхронизацией, генерацией произносимых и легко запоминающихся паролей.

Технологии

База паролей шифруется AES-256. Возможно использование многоходового преобразования ключа. Это увеличивает стойкость к прямым атакам — пожалуй, в этом плане KeePass надежнее других менеджеров паролей.

KeePass хранится в файле, который можно синхронизировать с помощью Dropbox.

Функции

• Создание записи.
• Дублирование записи.
• Сортировка записей — по столбцам, по тегам.
• Группы записей — дерево и сортировка.
• Поиск по записям — быстрый или расширенный.
• Копирование данных записи — двойной клик по полю для копирования, удаление из буфера обмена скопированной информации через определенный промежуток времени.
• AutoType для автоматического ввода данных в браузерах и других программах.
• Хранение дат.
• Генератор паролей, в том числе, с заданными параметрами.
• Кнопка блокировки — при повторном входе программа снова запрашивает мастер-пароль.
• Настройки базы и программы.
• Смена мастер-пароля.
• Триггеры.
• Файлы экспорта: TXT, HTML, XML, CSV.
• Файлы импорта: 35 форматов.
• Перенос базы данных.

Общее впечатление: все круто, но внешний вид — явно для любителей олдскула.

Версии

Существует в версиях для iPhone, iPad, Mac, Windows — не ниже 7. Windows-версия eWallet интегрируется с браузерами Internet Explorer, Firefox и Chrome, а версия для OS X — только с Safari. Программа платная, но есть тестовая версия на 30 дней.

Технологии

Файл базы данных зашифрован с использованием AES-256. База синхронизируется только вручную.

Функции

• Дерево категорий.
• Добавление карточки с кастомизацией.
• Кастомизация полей в карточках.
• Более 30 шаблонов — кредитные карты, пароли, банковские данные.
• Статистика по дереву — счетчики по типам информации.
• Список последних карточек.
• Генератор паролей.
• «Живые поля», например, звонок по клику на поле номера.
• Auto Pass — автоматическая подстановка логина и пароля в поле браузера.
• Smart Copy — быстрое копирование карточных номеров.

Общее впечатление: много функций, но хромает юзабилити, плюс дизайн в стиле символического кошелька с пластиковыми картами вызывает странные ощущения.

Приложение, поддерживающее 30 языков. Но нас это не особо волнует.

Версии

Windows и Mac OS X, приложения для мобильных платформ iOS, Android, BlackBerry, Windows Mobile, Palm OS и Symbian. При этом десктопная версия не предполагает импорта данных из Chrome.

Технологии

Синхронизируется с использованием облачной технологии, база зашифрована по стандарту AES-256.

Функции

• Создание записей.
• Поиск.
• Печать — логины, персоны, заметки.
• Auto Login.
• Генератор паролей.
• Дополнительная защита каждой записи. Для открытия данных требуется ввод мастер-пароля.
• Импорт введенных данных из браузера.
• Отправка записей по e-mail — требуется ввод мастер-пароля.
• Создание ярлыков на рабочем столе и в браузере.
• Интеграция с Windows Login.
• Возможность открытия нескольких окон программы.
• Администрирование: создание, редактирование групп пользователей, шаринг записей на группы пользователей, синхронизация баз при редактировании пользователями, проверка, к каким записям обращался конкретный пользователь.
• Профили разных пользователей на одной копии программы.
• Бэкапы.
• Портативная версия базы, которую можно хранить на флешке.
• Управляющие символы юникода.
• Заполнение длинных форм в интернет-магазинах одним кликом.
• Экранная клавиатура.

Общее впечатление: есть ряд мелких багов в юзабилити — например, генератор паролей в Windows запускается из панели «Пуск» или кликом по ярлыку, из самой программы запустить его невозможно. И прочие подобные мелочи — несущественные, но неприятные.

Версии

Расширение для основных браузеров — IE, Firefox, Safari, Chrome, Opera, работает только в сети. Существуют версии для мобильных устройств iPhone, iPad, Android, BlackBerry и других. Возможно управление базой паролей через web-интерфейс на сайте LastPass — это довольно удобно.

Есть портативный клиент для Windows — загружаете базу, после чего можете использовать ее офлайн.

Технологии

LastPass — облачный сервис, не требующий синхронизации. База зашифрована по алгоритму AES-256.

Функции

• Поиск.
• Автозаполнение.
• Вход одним кликом.
• Настройки — общие, безопасность и т.д.
• Многофакторная аутентификация.
• Одноразовые пароли.
• Проверка безопасности для поиска ненадёжных паролей.
• Автоматическая защита учетных данных от кражи на фишинг-сайтах.
• Поиск незащищенных объектов на компьютере.
• Импорт из предыдущего менеджера паролей.
• Запрещенные адреса.
• Обмен паролями (управление доступом).
• Автоматическая синхронизация пользователей.
• Администрирование: отчеты и управление пользователями.
• Закладки.
• Экранная клавиатура.
• Программа бесплатна, но за дополнительные функции вроде выявления слабых паролей, экранной клавиатуры, защиты от фишинга придется платить.

Общее впечатление: стойкий механизм шифрования, удобная работа с паролями в браузере.

Суровая правда жизни: излишне параноить смысла нет — если уж вас захотят взломать, то взломают. Поэтому лучше использовать хотя бы удобные менеджеры — так не будет мучительно больно, если что-то случится.

Оставляйте очень важные для нас мнения в комментариях.

Среднестатистический пользователь тратит немало времени на ввод логинов и паролей и заполнение всевозможных веб-форм. Чтобы не запутаться в десятках и сотнях паролей и сэкономить время на авторизациях и вводе личной информации на разных сайтах, удобно использовать менеджер паролей. При работе с подобными программами вам придётся запомнить один мастер-пароль, а все остальные будут под надёжной криптографической защитой и всегда под рукой.

Лучшие менеджеры паролей

KeePass Password Safe

Бесспорно лучшая на сегодняшний день утилита

Менеджер KeePass неизменно занимает первые позиции рейтингов. Шифрование производится традиционным для подобных программ алгоритмом AES-256, однако, легко усилить криптозащиту многоходовым преобразованием ключа. Взломать KeePass методом «грубой силы» (brute-force) практически невозможно. Учитывая незаурядные возможности утилиты, неудивительно, что у неё много последователей: ряд программ использует базы KeePass и фрагменты программного кода, некоторые - копируют функционал.

Справка: KeePass ver. 1.x работает только под ОС семейства Windows. Ver 2.x - мультиплатформенная, работает через.NET Framework с Windows, Linux, MacOS X. Базы паролей обратно несовместимы, однако есть возможность экспорта/импорта.

• алгоритм шифрования: AES-256;
• функция многоходового шифрования ключа (дополнительная защита от brute-force);
• доступ по мастер-паролю;
• открытый код (GPL 2.0);
• платформы: Windows, Linux, MacOS X, portable;
• синхронизация баз (локальные носители, включая flash-накопители, Dropbox и другие).

Существуют клиенты KeePass для многих других платформ: iOS, Blackberry, WM Classic, J2ME, Android, Windows Phone 7 (полный перечень см. на офсайте KeePass).

Ряд сторонних программ использует базы паролей KeePass (например, KeePass X под Linux и MacOS X). KyPass (iOS) может работать с базами KeePass напрямую через «облако» (Dropbox).

Недостатки:

• Нет обратной совместимости баз версий 2.х с 1.х (однако есть возможность импорта/экспорта из одной версии в другую).

Стоимость: бесплатно

Официальный сайт: keepass.info

RoboForm

Очень серьёзный инструмент, к тому же, бесплатный для частных лиц

Программа автоматического заполнения форм на веб-страницах и менеджер паролей. Несмотря на то что функция хранения паролей вторична, утилита считается одним из лучших менеджеров паролей. Разрабатывается с 1999 года частной компанией Siber Systems (США). Имеется платная версия, но дополнительные функции доступны бесплатно (лицензия Freemium) для частных лиц.

Ключевые особенности, преимущества:

• доступ по мастер-паролю;
• шифрование клиентским модулем (без участия сервера);
• криптографические алгоритмы: AES-256 + PBKDF2, DES/3-DES, RC6, Blowfish;
• синхронизация через «облако»;
• автоматическое заполнение электронных форм;
• интеграция со всеми популярными браузерами: IE, Opera, Firefox, Chrome/Chromium, Safari, SeaMonkey, Flock;
• возможность запуска с «флешки»;
• резервное копирование;
• данные могут храниться онлайн в защищённом хранилище RoboForm Online;
• поддерживаемые платформы: Windows, iOS, MacOS, Linux, Android.

Стоимость: бесплатно (по лицензии Freemium)

Официальный сайт: roboform.com/ru

eWallet

eWallet очень удобен для пользователей банковских онлайн-услуг, но приложение платное

Первый платный менеджер паролей и другой конфиденциальной информации из нашего рейтинга. Существуют десктоп-версии для Mac и Windows, а также клиенты для ряда мобильных платформ (для Android - в разработке, текущая версия: только просмотр). Несмотря на некоторые недостатки, с функцией хранения паролей справляется на «отлично». Удобен для расчётов через интернет и другие операции онлайн-банкинга.

Ключевая информация, преимущества:

• разработчик: Ilium Software;
• шифрование: AES-256;
• оптимизация под онлайн-банкинг;
• поддерживаемые платформы: Windows, MacOS, ряд мобильных платформ (iOS, BlackBerry и другие).

Недостатки:

• не предусмотрено хранение данных в «облаке», только на локальном носителе;
• синхронизация между двумя ПК только вручную*.

*Синхронизация Mac OS X -> iOS через WiFi и iTunes; Win -> WM Classic: через ActiveSync; Win -> BlackBerry: через BlackBerry Desktop.

Стоимость: зависит от платформы (Windows и MacOS: от $9,99)

Официальный сайт: iliumsoft.com/ewallet

LastPass

По сравнению с приложениями-конкурентами имеет достаточно большой размер

Как и в большинстве других менеджеров доступ осуществляется по мастер-паролю. Несмотря на продвинутый функционал, программа бесплатна, хотя есть и платная premium-версия. Удобное хранение паролей и данных форм, использование облачных технологий, работает с ПК и мобильными устройствами (с последними - через браузер).

• разработчик: Joseph Siegrist, компания LastPass;
• криптография: AES-256;
• плагины для основных браузеров (IE, Safari, Maxthon, Firefox, Chrome/Chromium, Microsoft Edge) и букмарклет на java-script для других браузеров;
• мобильный доступ через браузер;
• возможность ведения цифрового архива;
• удобная синхронизация между устройствами и браузерами;
• быстрый доступ к паролям и другим данным учётных записей;
• гибкие настройки функционала и графического интерфейса;
• использование «облака» (хранилище LastPass);
• совместный доступ к базе паролей и данных интернет-форм.

Недостатки:

• не самый маленький размер по сравнению с конкурирующим ПО (около 16 Мб);
• потенциальная угроза конфиденциальности при хранении в «облаке».

Стоимость: бесплатно, имеется premium-версия (от $2/месяц) и бизнес-версия

Официальный сайт: lastpass.com/ru

1Password

Самое дорогое приложение из представленных в обзоре

Один из лучших, но довольно дорогой менеджер паролей и другой конфиденциальной информации для Mac, ПК с Windows и мобильных устройств. Данные могут храниться в «облаке» и локально. Виртуальное хранилище защищается мастер-паролем, как и у большинства других менеджеров паролей.

Ключевая информация и преимущества:

• разработчик: AgileBits;
• криптография: PBKDF2, AES-256;
• язык: мультиязычная поддержка;
• поддерживаемые платформы: MacOS (от Sierra), Windows (от Windows 7), кросс-платформенное решение (браузерные плагины), iOS (от 11), Android (от 5.0);
• синхронизация: Dropbox (все версии 1Password), WiFi (MacOS/iOS), iCloud (iOS).

Недостатки:

• не поддерживается Windows до Windows 7 (в этом случае стоит воспользоваться расширением для браузера);
• высокая стоимость.

Стоимость: пробная версия на 30 дней, платная версия: от $39,99 (Windows) и от $59,99 (MacOS)

DashLane

Не самая известная в русском сегменте Сети программа

Менеджер паролей + автоматическое заполнение форм на веб-сайтах + защищённый цифровой кошелёк. Не самая известная программа подобного класса в Рунете, но довольно популярна в англоязычном сегменте сети. Все данные пользователя автоматически сохраняются в защищённом онлайн-хранилище. Работает, как и большинство подобных программ, по мастер-паролю.

Ключевая информация и преимущества:

• разработчик: компания DashLane;
• шифрование: AES-256;
• поддерживаемые платформы: MacOS, Windows, Android, iOS;
• автоматическая авторизация и заполнение форм на веб-страницах;
• генератор паролей + детектор слабых комбинаций;
• функция смены всех паролей одновременно в один клик;
• мультиязычная поддержка;
• возможна работа с нескольких учётных записей одновременно;
• защищённое резервное копирование/восстановление/синхронизация;
• синхронизация неограниченного количества устройств на разных платформах;
• двухуровневая аутентификация.

Недостатки:

• на Lenovo Yoga Pro и Microsoft Surface Pro могут возникнуть проблемы с отображением шрифтов.

Лицензия: проприетарная

Официальный сайт: dashlane.com/

Scarabey

Менеджер паролей с максимально упрощённым интерфейсом и возможностью запуска с флэш-накопителя без инсталляции

Компактный менеджер паролей с простым интерфейсом. В один клик заполняет веб-формы с логином и паролем. Позволяет вводить данные простым перетаскиванием в любые поля. Может работать с флеш-накопителя без инсталляции.

Ключевая информация и преимущества:

• разработчик: Alnichas;
• криптография: AES-256;
• поддерживаемые платформы: Windows, интеграция с браузерами;
• поддержка многопользовательского режима работы;
• поддержка браузеров: IE, Maxthon, Avant Browser, Netscape, Net Captor;
• настраиваемый генератор паролей;
• поддержка виртуальной клавиатуры для защиты от кейлоггеров;
• не требуется инсталляция при запуске с флеш-накопителя;
• сворачивается в трей с возможностью одновременного запрета автоматического заполнения;
• интуитивно понятный интерфейс;
• функция быстрого просмотра данных;
• автоматическое настраиваемое резервное копирование;
• есть русская версия (в том числе русскоязычная локализация официального сайта).

Недостатки:

• меньшие возможности, чем у лидеров рейтинга.

Стоимость: бесплатно + платная версия от 695 рублей/1 лицензия

Скачать с официального сайта: alnichas.info/download_ru.html

Другие программы

Перечислить все достойные внимания менеджеры паролей в одном обзоре физически невозможно. Мы рассказали о нескольких самых популярных, но многие аналоги ни в чём им не уступают. Если вам не приглянулся ни один из описанных вариантов, обратите внимание на следующие программы:

• Password Boss: уровень защиты этого менеджера сравним с защитой данных правительственных и банковских структур. Солидная криптографическая защита дополняется двухуровневой аутентификацией и авторизацией с подтверждением по SMS.
• Sticky Password: удобный хранитель паролей с биометрической аутентификацией (только для мобильных устройств).
• Personal Passworder: русскоязычная утилита с 448-битным шифрованием по технологии BlowFish.
• True Key: менеджер паролей от компании Intel с биометрической аутентификацией по очертаниям лица.

Учтите, что все программы из основного списка хоть и можно скачать бесплатно, за дополнительную функциональность большинства из них придётся доплатить.

Если вы активно пользуетесь интернет-банкингом, ведёте конфиденциальную деловую переписку, храните важную информацию в облачных хранилищах - вам необходимо чтобы всё это было надёжно защищено. Менеджеры паролей помогут вам решить эту задачу.

Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.

Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.

Кроме того, с точки зрения безопасности пароли должны быть длинными и состоящими вперемешку из цифр и символов в различных регистрах. Ах, да, еще ведь желательно менять пароли раз в 3-6 месяцев. Догадались к чему я клоню?

Все верно. Пора начать использовать менеджер паролей (если вы еще этого не сделали). Для тех, кто уже пользуется подобным софтом, также будет не лишним ознакомиться с этим обзором. Ниже представлены менеджеры паролей для пользователей с любым уровнем требований и толщиной кошелька (есть и бесплатные, но менее удобные варианты).

Плюс к этому, лидеры рынка предлагают удобные решения для бизнеса. Если сотрудники вашей компании для хранения паролей (которые, как правило, легко подобрать) все еще используют свою память, то, возможно, вы также сможете выбрать подходящий вариант.

Dashlane

Наилучший менеджер паролей, представленный на рынке. Программа позволяет изменить сразу несколько паролей в один клик и поддерживает двухфакторную аутентификацию. Кроме того, есть возможность использования общих паролей внутри одной команды.

«Dashlane появился на рынке недавно, но за свой дружелюбный интерфейс уже завоевал симпатии представителей малых и средних бизнесов», - рассказывает Дэниел Хамфриз (Daniel Humphries), исследователь компании Software Advice.

«Я предпочитаю KeepPass, поскольку этот менеджер паролей бесплатен, с открытым исходным кодом, интегрирован с Windows User Account Control и не является плагином к браузеру», - говорит Джейсон Фоссен (Jason Fossen), инструктор подразделения SANS Institute (город Вифезда, штат Мэриленд). «С точки зрения безопасно не совсем хорошо, когда наиболее важная информация – пароли и номера кредитных кар – хранится в браузере, который легко может стать жертвой вредоносной программы».

Джэйсон говорит, что KeePass – отдельное приложение и не является плагином браузера.

«KeePass поддерживает скрипты для PowerShell, что позволяет создавать решения под специальные нужды», - добавляет Джейсон.

KeePass – бесплатная альтернатива для «аскетов», не особо придирчивых к удобству и функциональности, но желающих серьезно повысить свою защищенность.

1Password

Еще один менеджер паролей, позволяющий использовать совместные учетные записи, - 1Password .

«Я настоятельно рекомендую менеджер паролей с защищенным хранилищем», - говорит Стив Хултквист (Steve Hultquist), главный евангелист компании RedSeal (город Саннивейл, штат Калифорния). «Подобные приложения позволяют вам автоматически генерировать полностью уникальные пароли для каждого сайта и автоматически заполнять формы во время работы на стационарных компьютерах, мобильных устройствах и в других приложениях».

Как Dashlane и LastPass, 1Password поддерживает большинство браузеров, автоматически заполняет формы и имеет версии как для iOS, так и для Android платформ.

Особенность Blur в том, что, помимо генерации длинного уникального пароля, этот менеджер создает одноразовый адрес для маскировки вашей реальной электронной почты.

Как и в других платных менеджерах, в Blur предусмотрена бесплатная версия. Расширенная версия (за счет которой компания получает доходы) стоимостью 40$ позволяет генерировать одноразовые номера кредитных карт с расходными лимитами, защищающими пользователя от скрытых комиссий и кражи информации. Кроме того, можно замаскировать номера телефонов.

«Всем пользователям интернета следует завести менеджер паролей», - говорит Роб Шейвелл (Rob Shavell), глава компании Abine. «Менеджеры паролей становятся все более удобными, экономят время, но в то же время хорошо защищают конфиденциальную информацию. Вне зависимости от размера вашего бизнеса, следует обратить внимание на эти приложения».

Помимо своего собственного детища (Blur), Шейвелл также рекомендует LastPass, 1Password, Dashlane и PasswordBox (см. ниже).

PasswordBox

PasswordBox недавно был приобретен компанией Intel. На данный момент полная версия бесплатна для всех пользователей.

Кроме того, в будущем планируется реализация функции «True Key», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).

Большинство менеджеров паролей используют мастер-пароль, то есть пароль для разблокировки доступа ко всему хранилищу. Основная идея заключается в том, что намного проще запомнить один очень длинный пароль, чем десятки и сотни паролей для каждого сайта.

Однако мастер-пароль также не совсем удобен, особенно если менеджер блокируется из-за неактивности компьютера или мобильного устройства (хотя, с точки зрения безопасно, блокировка желательна).

«Всесторонняя поддержка крайне важна», - говорит Андре Бойсен (Andre Boysen), главный специалист по идентификации в компании SecureKey Technologies (город Норт-Йорк, провинция Онтарио). «Доступ к хранилищу паролей всегда будет одной из первостепенных целей злоумышленников».

Утверждается, что PasswordBox наиболее надежный менеджер паролей. На данный момент количество загрузок превышает 14 миллионов. Для сравнения: утверждается, что LastPass используют около 6 миллионов пользователей.

Кроме того, в PasswordBox есть функция назначения достоверного пользователя, который сможет получить доступ к хранилищу, если с вами что-нибудь случится. Также можно совместно использовать учетные записи среди сотрудников или членов семьи.

RoboForm

RoboForm – самый старый среди менеджеров паролей, упомянутых в этом обзоре. Первая версия RoboForm была выпущена в конце 1999 года.

У RoboForm есть одна уникальная функция, позволяющая пользователю одновременно авторизоваться на нескольких сайтах. Очень удобно, если вы ежедневно пользуетесь несколькими сервисами. Также есть портативная версия RoboForm2Go, которую можно установить на флешку.

Как и другие менеджеры паролей, RoboForm поддерживает все основные браузеры и устройства. Можно выбрать облачный сервис для синхронизации на всех устройствах или хранить данные локально. Однако в последнем случае вы не сможете получить доступ к хранилищу с других компьютеров и мобильных устройств.

В корпоративной версии RoboForm можно настраивать групповые политики, интеграцию с Active Directory, восстановление мастер-пароля и совместное использование учетных записей. Поддерживается автоматическое создание аккаунтов для групп пользователей и учетных записей, ограниченных по времени.

StickyPassword

В StickyPassword есть уникальная функция для синхронизации при помощи Wi-Fi сети (если вы по каким-то причинам не хотите использовать облачный сервис).

Поддерживается работа с USB-устройств, биометрия и автоматическое заполнение форм. StickyPassword адаптирован для всех наиболее популярных платформ, браузеров и устройств.

Стоимость полной версии с поддержкой синхронизации через Wi-Fi всего лишь 20$ в год (самый дешевый вариант среди всех остальных менеджеров из этого обзора).

В компании утверждают, что StickyPassword используют 2 миллиона пользователей. Кроме того, на основе StickyPassword была разработана технология VIPRE Password Vault (компанией ThreatTrack Security) и менеджер паролей Kaspersky Password Manager.

К сожалению, в StickyPassword не предусмотрена корпоративная версия, что делает этот менеджер паролей не особо пригодным для бизнеса.

«Если компания собирается использовать менеджер паролей, следует убедиться в том, что приложение поддерживает уровень дистанционной управляемости, соответствующий нуждам бизнеса», - говорит Рэнди Абрамс (Randy Abrams), директор NSS Labs (город Остин, штат Техас).

За последний год было украдено 4,2 миллиарда паролей. Эта из ряда вон выходящая цифра должна обеспокоить любого, кто имеет дело с Интернетом. Федеральная торговая комиссия США проанализировала, что происходит с похищенными учетными данными. После того как украденные логины к Facebook, Google, Netflix и онлайн-банкам публикуются на хакерском форуме, в среднем проходит всего девять минут до первой попытки захода на ваш аккаунт. Поскольку двое из трех пользователей используют один и тот же пароль для нескольких служб, украденный ключ открывает сразу множество дверей.

Вышеприведенное число также демонстрирует, что теперь пароли могут быть украдены не только у отдельных пользователей, попавшихся на удочку фишингового сообщения. Хакеры нацелились на крупные сервисы, что сулит им гигантскую прибыль. На прицеле оказались крупные IT-концерны, такие как Yahoo! и Uber.

Генерация надежных паролей

Национальный институт стандартов и технологий США внес коррективы в правила создания безопасных кодов. Несколько нововведений:
Длина: Надежность зависит от длины пароля. Чем он длиннее, тем лучше.
Никакой логики: Бессмысленный набор букв надежнее, чем можно подумать. Но пароль не должен быть цифровой мешаниной.
Уникальность: Используйте пароль только один раз.
Проверка: С помощью онлайн-сервиса Pwned Passwords вы узнаете, если ваши пароли используются кем-то другим или же были опубликованы.
Изменение при необходимости: При краже пользовательских данных с серверов какого-либо сервиса, чьим клиентом вы являетесь, смените пароль.

Еще совсем недавно исследования насчитывали в среднем 20–30 аккаунтов, защищенных паролем, на одного пользователя. Последние данные говорят о гораздо большем количестве. Диспетчер паролей, используемый в корпоративных целях, хранит в среднем 191 пароль для бизнес-клиентов. Но даже те, у кого всего десять аккаунтов, практически не придерживаются основного правила обеспечения защиты: пароль нельзя использовать больше одного раза.

Защита для всех паролей

Именно эту проблему помогают решить десять протестированных нами диспетчеров паролей, выступая в качестве сейфа для безопасных паролей и работая в Android, iOS и Windows. Они хранят все пароли централизованно в одном месте. В этих продуктах для защиты сейфа используется мощное AES-шифрование с практически не взламываемой длиной ключа в 256 бита. Такую базу данных можно разблокировать лишь с помощью правильного мастер-пароля. Таким образом, пользователю не требуется помнить пароль к каждому своему аккаунту, а только мастер-пароль, открывающий сейф со всеми остальными кодами.

При этом продукты, протестированные нами, работают по двум разным принципам: восемь менеджеров, среди которых тройка лидеров LastPass, 1Password и Dashlane, представляют собой онлайн-сервисы. Зашифрованная база данных паролей хранится в вычислительных центрах провайдера сервиса.

Для пользователя это самое удобное решение, поскольку пароли используются не только на стационарном компьютере, но и на смартфонах и планшетах. В таком случае для запуска синхронизации достаточно лишь ввести логин и мас­тер-пароль. Все коды будут у вас под рукой в любое время и в любом месте. Однако такие сервисы требуют от вас доверия к провайдеру и убежденности, что ему действительно недоступен мастер-пароль и нет никакой возможности получить доступ к базе данных иным образом.

Второй принцип работы, выбранный разработчиками такой популярной открытой программы, как KeePass, а также компанией Steganos для своего диспетчера паролей, - это локальное хранение базы данных паролей.

Мы рекомендуем начать с хранилища на ПК и лишь затем подтягивать мобильные устройства. Преимущество обоих локальных решений заключается в сохранении за пользователем полного контроля над сейфом. По этой причине мы удостоили KeePass высшим баллом за категорию «Безопасность». Такой метод менее удобен, поскольку вам придется самим думать о том, как получить пароли со смартфона. Однако KeePass - это единственная программа, способная взаимодействовать с различными приложениями, считывающими данный формат баз данных.

К примеру, на тестировании мы остановили свой выбор на KeePass2Android (Android) и MiniKeePass (iOS). Все другие диспетчеры паролей уже идут в комплекте с подходящими приложениями.

Двойная защита мастер-пароля

Безопасность диспетчера паролей зиждется на мастер-пароле (см. блок справа). Поэтому нам непонятно, почему половина участников нашего тестирования принимает даже такие элементарные коды, как «1234abcd».

Лишь 1Password, Dashlane, а также продукты таких известных разработчиков антивирусов, как F-Secure, Kaspersky и Avira, требуют более сложных мастер-паролей. Не менее важно защитить свой сейф и другими средствами - в этом отношении инструменты от антивирусных экспертов откровенно халтурят.

Выбор мастер-пароля

Использование предложений. Забавная реплика из сериала Net­flix или поговорка вашей бабушки станут отличной основой для вашего пароля. Вы можете также обратиться к своему хобби. Неплохой идеей может стать фраза «I love read Chip magazine».

Использование заглавных и прописных букв. Правильная орфография -
скорее недостаток для пароля. «ILovereadChipMagazine» с позиции безопасности выглядит лучше.

Встраивание специальных символов. Можно добавить и парочку спе­циальных символов: «ILove/readChipMagazine2018$».

Двойная аутентификация. Обязательно задействуйте двухфакторную аутентификацию, чтобы дополнительно защитить доступ к диспетчеру паролей.

Во все хорошие диспетчеры интегрирована , то есть дополнительно к мастер-паролю для доступа в хранилище необходимо ввести второй фактор. В таком случае можно быть спокойным, что даже если мастер-пароль вместе с базой данных попадет в чужие руки, доступ к ней все равно будет закрыт.

Вне зависимости от этого, общая безопасность диспет­черов находится на высоком уровне. Лидеры нашего теста, LastPass, Dashlane и Keeper Security, покоряют отлично реализованными проверками надежности используемых паролей, вычисляют дубликаты и даже предлагают возможность бэкапа. Все продукты не только сохраняют учетные данные, но и создают безопасные пароли - в каждый из них интегрирован собственный генератор.

Однако на практике их технологии отличаются: LastPass, KeePass и Avira Password Manager лучше всех справляются с задачей. Их генераторы невозможно не заметить, а кроме того, они наглядно отображают длину пароля. Не столь удобно мобильное решение от Kaspersky: в мобильных приложениях генератор отсутствует, таким образом, надежные пароли можно создать лишь в настольной версии.

Учетные данные для приложений и веб-сервисов

В плане удобства управления лидируют веб-сервисы, при этом речь идет не только об упрощенной синхронизации. В частности, 1Password, LastPass и Dashlane демонстрируют, как нужно правильно создавать приложения и постоянно внедрять новейшие технологии. К примеру, все три провайдера очень быстро адаптировали свои приложения к сканеру Face ID на iPhone X. Вдобавок ко всему, биометрическая разблокировка гораздо удобнее, чем ввод длинных мастер-паролей.

Все диспетчеры паролей предлагают автозаполнение учетных данных в браузере для входа на сайт. Для программ под Windows и приложений на смартфонах и планшетах этот метод не работает. Здесь проще всего будет скопировать и вставить данные в соответствующие поля. Android, в отличие от iOS, позволяет это сделать легко. Для системы от Apple разработчикам приложений необходимо интегрировать особые функции для работы с диспетчерами паролей. Во всяком случае, для наших лидеров - продуктов LastPass, 1Password и Dashlane - существует длинный список поддерживаемых приложений, которые обходятся без буфера обмена.

У всех решений существует функция поиска для быстрого обнаружения данных. Однако лишь 1Password, KeePass и Steganos позволяют интегрировать несколько баз данных, благодаря которым пользователь может, к примеру, разделить личные и рабочие аккаунты. Очень полезна и функция «Избранное» для отображения часто используемых паролей - отмеченные таким образом данные всегда находятся наверху в списке.

Вход в Windows без пароля

Диспетчеры паролей сохраняют все учетные данные. Ситуация со входом в Windows сложнее, поскольку у вас пока нет доступа к сейфу. Компания Microsoft интегрировала в «десятку» функцию Windows Hello, благодаря которой аутентификация пользователя может осуществляться по сканированию отпечатка пальца, распознаванию лица или радужной оболочки глаза. Такие устройства, как , уже распола­гают техническими средствами, поскольку обычной веб-камеры недостаточно.

Лучше, чем браузерные хранилища

Все участники нашего теста интегрируются в браузеры Chrome и Firefox, а вот с Microsoft Edge могут совладать лишь четыре участника теста: LastPass, 1Password, Keeper Security и True Key. Кстати о браузерах: их встроенные диспетчеры представляют собой лишь хранилище, в котором отсутствуют важные дополнительные функции - например, генератор паролей. Мы советуем обратиться к специальным инструментам, чтобы не потерять покой и сон из-за ужасающих новостей о миллионах украденных учетных данных.