Менеджеры паролей для телефона – почему это так же важно для установки как и антивирус?
Для защиты компьютера от вредоносных программ мы привыкли устанавливать антивирус, который сканирует файлы и вебсайты на вирусы. В последнее время заметна тенденция, что антивирусное ПО включает в себя функционал менеджера паролей. Однако, функции управления паролями, встроенные в некоторые антивирусы, имеют ограниченный функционал и, на сегодняшний день, не могут в полной мере заменить многофункциональный менеджер паролей.
Но почему менеджер паролей стал считаться компонентом системы безопасности? Давайте вспомним отчего чаще всего защищают антивирусы:
- кража конфиденциальной информации
- использование ресурсов компьютера
- шифрование файлов и блокировка компьютера с целью вымогательства
Утечка личной информации происходит по причине её легкодоступности для вирусов. Хранить пароли недопустимо в открытом виде, такие данные быстренько «уходят» через всемирную паутину. Запоминать сотни паролей люди не могут, а хранить их в браузере неудобно. Менеджеры паролей запоминают, шифруют и хранят конфиденциальную информацию, такую как: логины, пароли, данные банковских карт, паспорта и личные заметки. Когда информация в безопасности, то и вирус, проникший через все защитные барьеры, не может её похитить. Даже при уничтожении ноутбука, пароли легко синхронизируются из облака.
Вторая важная причина – это компрометация паролей на поддельных сайтах. Фишинг – довольно распространённое явление в интернете. Фишинговый сайт представляет из себя полную копию какого-нибудь официального ресурса, например, финансовой организации или социальной сети. Пользователь-жертва подвергается атаке по методам удалённой социальной инженерии. Это могут быть банальные баннеры в браузере, надоедливая спам-рассылка, личная или массовая автоматизированная переписка в соцсетях.
В конечном итоге, пользователь попадает на поддельный сайт, будучи в полной уверенности что он на настоящем веб-ресурсе, и вводит логин и пароль. Как не сложно догадаться, конфиденциальные данные утекают в базу данных хакеров, а посетитель получает сообщение об ошибке, либо переадресуется на настоящий сайт, и может даже не заметить подвоха. На самом деле, фишинг – это лучший способ, который придумали хакеры для завладения чужими паролями, и практикуется постоянно.
Менеджер паролей упрощает заполнение форм аутентификации, избавляя пользователя вводить данные вручную. При сохранении логина и пароля (пасскарты), запоминается исходный сайт. Далее, при посещении исходного сайта, менеджер его «узнаёт» и предлагает заполнить поля из имеющейся в базе данных пасскарты. Но если сайт поддельный, то программа его не узнает и не станет предлагать автозаполнение. Таким образом, успех фишинговых атак будет стремиться к нулю. Пользователь просто увидит, что на ресурсе нет данных от менеджера паролей и заподозрит неладное.
Заполнить пароль из пасскарты всё же можно, форсировав события вручную. Такая функция периодически становится полезной, если сайт переехал на другой домен. Эту информацию нужно проверять вручную, не доверяя громогласным заявлениям на фишинговом сайте.
Где лучше хранить пароли
Можно задать вполне логичный вопрос: зачем нужны менеджеры паролей, когда любой браузер предлагает тоже самое, причём безвозмездно? Разница довольно существенная, т.к. браузер хранит пароли только в своих пределах. Например, менеджер паролей Dashlane имплементируется в любой современный браузер в Windows или на мобильном устройстве, о нем много говорят специалисты в компьютерной безопасности. Кроме браузеров, Dashlane работает в программах Windows и приложениях на смартфонах. Для упрощения первого опыта, предусмотрена функция импорта паролей из установленного обозревателя, после чего, во всех браузерах на компьютере будет актуальная база данных логинов и паролей.
Без менеджера паролей неудобно пользоваться несколькими браузерами. Существует функция импорта данных из одного браузера в другой, но нет синхронизации. Хранить пароли придётся в каком-то одном браузере, и постоянно импортировать данные в другой. Ситуация усложняется при использовании смартфона. Синхронизация работает только в пределах одного интернет-обозревателя, а экспорт настроек в другой браузер не так прост, как на десктопе.
При использовании браузера невозможно просто взять и выгрузить всю информацию в обычный текстовый файл, менеджер паролей Dashlane позволяет выгрузить пароли в HTML или TXT-файл в качестве резервной копии на непредвиденные случаи.
Браузеры не заботятся о безопасности базы конфиденциальных данных, и открыто об этом заявляют, что это возложено на операционную систему. Поэтому, если кто-то зайдёт на ваш Рабочий стол или разблокирует мобильное устройство, то сможет пользоваться всеми сохранёнными паролями. Менеджер паролей защищает доступ с помощью главного пароля или пин-кода. Можно настроить так, что при каждой перезагрузке, разблокировке устройства или простое более 1 часа потребуется вводить главный пароль. Чтобы зайти в аккаунт с нового устройства потребуется пройти процедуру двойной аутентификации:
- Ввести логин и пароль
- Ввести одноразовый код из приложения на смартфоне, например, Google Authenticator или код из SMS
Кстати, мастер-пароль является также ключом шифрования базы данных, благодаря чему даже сами разработчики программного обеспечения не могут получить доступ к секретным данным. Такая защита носит название «доказательство нулевого знания». Противники стороннего ПО для хранения паролей сетуют на, якобы, опасность утечки информации с удалённых серверов, на которые синхронизируется база данных, но это не так. Даже если кто-то взломает сервер менеджера паролей, он получит лишь гору цифрового мусора без реальной возможности его расшифровки.
Особенности использования менеджера паролей
Пользователи смартфонов значительно улучшают свой пользовательский опыт, установив менеджер паролей, т.к. вводить данные с телефона менее удобно, чем с компьютера, особенно, если пароль нужно сначала скопировать из другого места.
Есть один недостаток при использовании специализированного ПО – нельзя забывать главный пароль, и техподдержка не в силах помочь с его восстановлением. Dashlane, правда, позволяет обойти это ограничение, не понижая уровень безопасности. Функция «Экстренный доступ» была разработана с заботой о наследии пользователя аккаунта, чтобы, в случае исчезновения или смерти, логины и пароли перешли к родственнику или доверенному лицу. Работает эта штука просто:
- нужно завести второй аккаунт
- указать email этого аккаунта
- указать время отсутствия каких-либо действий с аккаунтом Dashlane
По прошествии указанного интервала, управление вашим аккаунтом перейдёт к доверенному лицу. Подсказочка: для восстановления доступа, при утере главного пароля, в качестве резервного аккаунта нужно указать свой другой аккаунт и время бездействия поменьше, чтобы не ждать восстановления доступа слишком долго.
В некоторые менеджеры паролей включена функция аудита всех паролей с автоматической заменой на безопасные. Обычно, количество поддерживаемых сервисов колеблется в пределах 30-70 штук. Это значит, что, например, софт может сменить небезопасный пароль на сайте Фейсбука, а на Pinterest не сумеет. Dashlane поддерживает более 300 веб-ресурсов и этот список пополняется.
Безопасным паролем можно считать, если он имеет длину не меньше 8 символов, содержит большие и маленькие буквы, цифры и специальные знаки. Удивительно, но можно одним кликом заменить небезопасные пароли на нормальные. Также это решает проблему одинаковых паролей, все они будут заменены на уникальные. Одинаковые пароли особенно небезопасны, т.к. взлом одного логина ставит под угрозу и другие аккаунты.