В этой главе я хочу рассмотреть сравнение основных способов хранения паролей, которые я считаю допустимыми для повседневного применения. Я не буду рассматривать хранение паролей в облаке и в браузере, текстовые документы на рабочем столе и листки с записями около рабочего компьютера - я не считаю эти способы безопасными. Помимо этого, хочу напомнить, что при любом используемом способе хранения пароль должен быть надёжным.
Основные требования к безопасному способу хранения паролей предполагают устойчивость паролей в ситуациях, когда к компьютеру владельца получен физический или удаленный доступ. Безусловно, при удаленном доступе злоумышленник получит введенные пользователем пароли, здесь основной защитой становится двухфакторная аутентификация, а задача хранилища паролей не допустить утечки остальных паролей, не использовавшихся в промежуток наличия удаленного доступа у злоумышленника.
Хранение паролей «в голове»
Я и сам рекомендую некоторые особенно важные для вас пароли хранить в голове, однако есть мнение, что все пароли лучше хранить в памяти. Безусловно, если вы можете запомнить для каждого ресурса пароль из 20-25 символов - храните в голове. Но, скорее всего, это не так.
А вот запомнить пару паролей и везде использовать их я настоятельно не рекомендую. Во-первых, утечка на одном из сайтов приведёт к попаданию в руки злоумышленников паролей к нескольким вашим сайтам. Во-вторых, злоумышленники хорошо осведомлены о привычке использовать один пароль на нескольких ресурсах и, получая связку email/пароль, автоматически проверяют ее на различных ресурсах.
Использование хранимого в памяти пароля допустимо на всех ресурсах, но при условии наличия секрета. Например, к этому сложному паролю вы в начале и в конце добавляете первые и последние символы из адреса сайта. Приведу пример, в голове вы держите пароль lghiopRxMnn65£GhiLg, при использовании его на сайте Facebook вы добавляете после первого и перед последним символом пароля первую и последнюю букву из адреса сайта. В итоге, для Facebook у вас получается следующий пароль lFghiopRxMnn65£GhiLkg. Небольшой секрет делает ваш пароль из головы уникальным для каждого сайта.
Совет
Добавьте к хранимому в голове паролю секрет, содержащий символы из названия сайта.Если речь идёт о криптоконтейнере, можно использовать символы из названия криптоконтейнера.
Хранение паролей в блокнотике
Речь идёт о простой записной книжке, в которую вы ручкой записываете пароли. И это, с моей точки зрения, самый безопасный способ хранения паролей. Наверное, у вас уже возникло два аргумента против данного способа: первый - это неудобно, второе - книжку у вас могут отобрать и все пароли окажутся у злоумышленника.
Для того, чтобы в руках злоумышленника ваша книжка была бесполезна, мы добавим к паролям небольшой секрет. Все страницы в записной книге пронумеруйте и к каждому записанному паролю при введении добавляйте вначале номер страницы, где пароль записан, а в конце - слово zhuk (секрет придумайте свой).
Что это даст? Если злоумышленник получит вашу книжку, он не будет знать о секрете и естественно, пробуя записанные вами пароли, он не сможет нигде авторизоваться. Вам в то же время не составит труда запомнить секрет и добавлять его при введении пароля.
Если вам сложно вводить длинный пароль из записной книжки, вы можете записывать там только 6 символов, остальные 15-20 копировать из менеджера паролей или документа (лучше иметь несколько вариантов для разных типов паролей). Это в совокупности будет очень безопасным решением.
Я, кстати, советую использовать в дополнении менеджер паролей даже если вам не лень вводить 25 символов из блокнотика. Это увеличит защиту от подсматривания вашего пароля, но можно ограничиться добавлением ложных нажатий вместе с прикрыванием руки при вводе.
Менеджер паролей
Если речь идёт об оффлайн менеджере с открытым исходным кодом, вроде KeePass, KeePassX или KeePassXC - это надёжные и проверенные временем решения. KeePass в 2016 проходил аудит на деньги Европарламента, никаких серьезных уязвимостей найдено не было.
У KeePass в своё время были проблемы с передачей пакетов обновлений в незашифрованном виде, что оставляло злоумышленникам возможность перехватить и модифицировать их. Рекомендуемые в нашем курсе решения не содержат подобной уязвимости.
Главная угроза для менеджера паролей - удаленный доступ, так как при взломе вашего компьютера злоумышленник получает доступ ко всем паролям. Подобным образом работал инструмент KeeFarce, который встраивался в систему и незаметно сохранял все пароли KeePass в незащищенном CSV-файле. Этот файл затем использовал злоумышленник.
Для предотвращения данной угрозы, во-первых, надо позаботиться о комплексной безопасности устройств, во-вторых, добавить тайную часть пароля, о которой говорилось выше. Но главным правилом безопасности для менеджеров паролей остаётся рекомендация иметь несколько файлов с паролями.
Например, у вас есть особо важные пароли, которые вы не часто используете, не стоит их хранить в одном файле с паролями к социальным сетям, используемым ежедневно. Разделите хранение, и вы в разы повысите безопасность своих данных.
Для защиты от оффлайн атаки, когда злоумышленник пытается получить доступ к вашему устройству установите систему экстренного уничтожения данных Panic Button (проект закрыт в 2021 году). Плюс Panic Button в том, что она сразу демонтирует криптоконтейнеры, очистит историю браузера, пароли сохранённые в браузере, удалит ключи шифрования из оперативной памяти, следы активности в системе и выключит устройство.
И не забывайте использовать двухфакторную аутентификацию, где это только возможно.
Хранение паролей в браузере
В целом, это достаточно удобный и безопасный способ хранения паролей невысокой степени важности, если хранение происходит без облачной синхронизации. Я уже писал об угрозах облачного хранения в этом материале.
Облачное хранение любой информации, за исключением зашифрованной вами самостоятельно, отрицательно сказывается на общей безопасности и речь не только о паролях. Например, Apple хранит в облаке вашу историю браузера даже после удаления ее на устройствах, эксперты-криминалисты часто успешно ее оттуда извлекают. Да и сама Apple без проблем выдаёт эти данные по запросу. Именно благодаря этому был деанонимизирован и арестован «король спама» Петр Левашов. За его учетной записью iCloud был установлен контроль, остальное было уже делом техники.
