CyberYozh.com Курс по анонимности и безопасности в сети EN

Безопасные способы хранения паролей

 В этой главе я хочу рассмотреть сравнение основных способов хранения паролей, которые я считаю допустимыми для повседневного применения. Я не буду рассматривать хранение паролей в облаке и в браузере, текстовые документы на рабочем столе и листки с записями около рабочего компьютера - я не считаю эти способы безопасными. Помимо этого, хочу напомнить, что при любом используемом способе хранения пароль должен быть надёжным.

 Основные требования к безопасному способу хранения паролей предполагают устойчивость паролей в ситуациях, когда к компьютеру владельца получен физический или удаленный доступ. Безусловно, при удаленном доступе злоумышленник получит введенные пользователем пароли, здесь основной защитой становится двухфакторная аутентификация, а задача хранилища паролей не допустить утечки остальных паролей, не использовавшихся в промежуток наличия удаленного доступа у злоумышленника. 

 

Хранение паролей «в голове»

 Я и сам рекомендую некоторые особенно важные для вас пароли хранить в голове, однако есть мнение, что все пароли лучше хранить в памяти. Безусловно, если вы можете запомнить для каждого ресурса пароль из 20-25 символов - храните в голове. Но, скорее всего, это не так.

 А вот запомнить пару паролей и везде использовать их я настоятельно не рекомендую. Во-первых, утечка на одном из сайтов приведёт к попаданию в руки злоумышленников паролей к нескольким вашим сайтам. Во-вторых, злоумышленники хорошо осведомлены о привычке использовать один пароль на нескольких ресурсах и, получая связку email/пароль, автоматически проверяют ее на различных ресурсах. 

 Использование хранимого в памяти пароля допустимо на всех ресурсах, но при условии наличия секрета. Например, к этому сложному паролю вы в начале и в конце добавляете первые и последние символы из адреса сайта. Приведу пример, в голове вы держите пароль lghiopRxMnn65£GhiLg, при использовании его на сайте Facebook вы добавляете после первого и перед последним символом пароля первую и последнюю букву из адреса сайта. В итоге, для Facebook у вас получается следующий пароль lFghiopRxMnn65£GhiLkg. Небольшой секрет делает ваш пароль из головы уникальным для каждого сайта.

 

Совет

Добавьте к хранимому в голове паролю секрет, содержащий символы из названия сайта.

  
Если речь идёт о криптоконтейнере, можно использовать символы из названия криптоконтейнера.

 

 

Хранение паролей в блокнотике

Речь идёт о простой записной книжке, в которую вы ручкой записываете пароли. И это, с моей точки зрения, самый безопасный способ хранения паролей. Наверное, у вас уже возникло два аргумента против данного способа: первый - это неудобно, второе - книжку у вас могут отобрать и все пароли окажутся у злоумышленника.  

Для того, чтобы в руках злоумышленника ваша книжка была бесполезна, мы добавим к паролям небольшой секрет. Все страницы в записной книге пронумеруйте и к каждому записанному паролю при введении добавляйте вначале номер страницы, где пароль записан, а в конце - слово zhuk (секрет придумайте свой). 

Что это даст? Если злоумышленник получит вашу книжку, он не будет знать о секрете и естественно, пробуя записанные вами пароли, он не сможет нигде авторизоваться. Вам в то же время не составит труда запомнить секрет и добавлять его при введении пароля.

Если вам сложно вводить длинный пароль из записной книжки, вы можете записывать там только 6 символов, остальные 15-20 копировать из менеджера паролей или документа (лучше иметь несколько вариантов для разных типов паролей). Это в совокупности будет очень безопасным решением.

Я, кстати, советую использовать в дополнении менеджер паролей даже если вам не лень вводить 25 символов из блокнотика. Это увеличит защиту от подсматривания вашего пароля, но можно ограничиться добавлением ложных нажатий вместе с прикрыванием руки при вводе. 

 

Менеджер паролей

Если речь идёт об оффлайн менеджере с открытым исходным кодом, вроде KeePass, KeePassX или KeePassXC - это надёжные и проверенные временем решения. KeePass в 2016 проходил аудит на деньги Европарламента, никаких серьезных уязвимостей найдено не было.  

У KeePass в своё время были проблемы с передачей пакетов обновлений в незашифрованном виде, что оставляло злоумышленникам возможность перехватить и модифицировать их. Рекомендуемые в нашем курсе решения не содержат подобной уязвимости. 

Главная угроза для менеджера паролей - удаленный доступ, так как при взломе вашего компьютера злоумышленник получает доступ ко всем паролям. Подобным образом работал инструмент KeeFarce, который встраивался в систему и незаметно сохранял все пароли KeePass в незащищенном CSV-файле. Этот файл затем использовал злоумышленник.

Для предотвращения данной угрозы, во-первых, надо позаботиться о комплексной безопасности устройств, во-вторых, добавить тайную часть пароля, о которой говорилось выше. Но главным правилом безопасности для менеджеров паролей остаётся рекомендация иметь несколько файлов с паролями. 

Например, у вас есть особоважные пароли, которые вы не часто используете, не стоит их хранить в одном файле с паролями к социальным сетям, используемым ежедневно. Разделите хранение, и вы в разы повысите безопасность своих данных. 

Для защиты от оффлайн атаки, когда злоумышленник получает получить доступ к вашему устройству установите систему экстренного уничтожения данных Panic Button. Плюс Panic Button в том, что она сразу демонтирует криптокотейнеры, очистит историю браузера, пароли сохранённые в браузере, удалит ключи шифрования из оперативной памяти, следы активности в системе и выключит устройство.

 

Совет

Установите Panic Button для защиты паролей от физического доступа к устройству.

 
Download widget: Panic Button
 

И не забывайте использовать двухфакторную аутентификацию, где это только возможно.

 

Хранение паролей в браузере 

 В целом, это достаточно удобный и безопасный способ хранения паролей невысокой степени важности, если хранение происходит без облачной синхронизации. Я уже писал об угрозах облачного хранения в этом материале.

 Облачное хранение любой информации, за исключением зашифрованной вами самостоятельно, отрицательно сказывается на общей безопасности и речь не только о паролях. Например, Apple хранит в облаке вашу историю браузера даже после удаления ее на устройствах, и эксперты-криминалисты часто успешно ее от туда извлекают. Да и сама Apple без проблем выдаёт эти данные по запросу. Именно благодаря этому был деанонимизирован и арестован «король спама» Петр Левашов. За его учетной записью iCloud был установлен контроль, остальное было уже делом техники.

 

Совет

Если вы храните пароли в браузере, убедитесь, что у вас отключена облачная синхронизация.

 
Interview widget: А как вы храните пароли к сайтам?
 
Экстренное уничтожение данных

Присоединяйтесь к анонимному сообществу белых хакеров и
любителей анонимной и безопасной работы в сети.

Присоедениться

© 2018. WebGears Services Ltd. All rights reserved