Что такое «менеджер паролей» и для чего он нужен?
СКДПУ НТ обладает множеством функциональных возможностей. Одна из них – менеджер паролей. Что это такое в общепринятом понимании и какие задачи он выполняет именно в нашем продукте?
Утечки паролей, возникающие при взломе веб-сайтов, — нередкое явление. А если пользователь использует одну и ту же парольную фразу для доступа к нескольким сайтам, значит, он упрощает жизнь злоумышленникам. Ведь в таком случае хакеры получают доступ сразу к нескольким учетным записям.
Для каждого аккаунта или личного кабинета рекомендуется использовать разные пароли. И запомнить каждый из них непросто. Менеджер паролей – программа, которая помогает пользователям создавать надежные пароли и хранить их в защищенной базе данных. Чтобы получить всю необходимую информацию при входе в учетную запись, надо лишь ввести единый мастер-пароль. Он используется для шифрования содержимого хранилища. Так взаимодействие пользователей со сложными паролями и другими контактными данными упрощается. И менеджер паролей обеспечивает безопасность сохраняемых данных.
А как используется эта программа в нашем решении?
В СКДПУ НТ механизм работы менеджера паролей схож, но есть определенные нюансы. Наш продукт позволяет не просто сохранять пароли учетных записей целевых систем, но и управлять ими: просматривать и изменять. Система дает возможность гибко настраивать политики по регулярной смене паролей привилегированных пользователей (например, на серверах Windows, Unix\Linux или необходимом оборудовании) не только вручную, но и в автоматическом режиме. Это значительно упрощает работу ИБ-специалистов. Немаловажно, что программа также позволяет настроить «сложность» рандомно сгенерированного пароля.
Парольный менеджер в СКДПУ НТ минимизирует риски утечки данных, чтобы злоумышленники не смогли получить доступ к инфраструктуре. То есть система предоставляет средства для защищенного хранения информации. Привилегированный пользователь, который подключается к устройству через СКДПУ НТ, не знает пароль, под которым работает. Значит, человек не сможет забыть, потерять его или передать другому лицу. Кроме того, наш менеджер паролей может использоваться в системах автоматизации и DevOps, что не только удобно, но и безопасно.
А если говорить об отказоустойчивости?
Система предоставляет варианты аварийного восстановления доступа на случай возможных отказов (т.н. механизм «Breaking glass»). При возникновении экстренных ситуаций данные не будут утеряны навсегда. Пользователь сможет в очень быстро получить аварийный доступ к требуемым системам и восстановить информацию. Механизм отказоустойчивости гарантирует пользователю, что в случае аварийных ситуаций он сможет продолжить работу. При этом количество менеджеров паролей в кластере может быть не только два, но и больше, что обеспечит более высокий уровень надежности.
Надежный менеджер паролей – хороший помощник в работе любой организации. Эта система в СКДПУ НТ позволяет не только изменять и хранить данные учетных записей, но и гарантированно обеспечивает их защиту. Парольный менеджер может работать и как независимая система безопасности. Но максимальный эффект достигается при использовании всех элементов комплексного решения СКДПУ НТ.
Поделиться:
Что такое менеджеры паролей и насколько они безопасны?
Многие испытывают сложности с запоминанием и контролем многочисленных паролей. Для совершения большинства операций в интернете, за исключением просмотра веб-страниц, требуется вход в систему. Некоторые используют простые легко запоминающиеся пароли, а некоторые – один сложный пароль для всех учетных записей. Не рекомендуется использовать ни один из этих вариантов, поскольку в обоих случаях злоумышленники без труда могут получить доступ и украсть ваши персональные данные. Гораздо лучший вариант – использовать менеджер паролей. Но что это такое, как он работает и является ли безопасным?
Что такое менеджер паролей?
Менеджер паролей – это программа, помогающая пользователям создавать надежные пароли, хранить их в цифровом хранилище, защищенном единым мастер-паролем, а затем по мере необходимости получать их при входе в учетные записи.
Для чего используется менеджер паролей?
Использование менеджера паролей имеет ряд преимуществ. Утечки паролей – это частое явление, возникающее при взломе веб-сайтов, в результате чего данные пользователей, такие как имена и пароли, попадают в руки злоумышленников. Получив учетные данные для входа в систему, злоумышленники могут использовать их на других веб-сайтах. Если одни и те же учетные данные используются на нескольких веб-сайтах, утечка данных с одного веб-сайта позволяет злоумышленникам получить доступ ко всем учетным записям. Поэтому важно использовать надежные уникальные пароли для каждого веб-сайта. Надежный пароль состоит минимум из 12 символов, в идеале – больше, и содержит сочетание заглавных и строчных букв, цифр и специальных символов. В нем также не должна использоваться очевидная или известная информации, например, дата рождения или имена членов семьи.
У большинства пользователей множество онлайн-аккаунтов. По данным одного из исследований, проведенных в 2020 году, у среднего интернет-пользователя их около 100, и контроль многочисленных, длинных и сложных паролей становится проблематичным. В таких случаях менеджеры паролей оказываются очень полезны: они упрощают этот процесс, генерируя и запоминая надежные случайные пароли. В итоге нужно запомнить только пароль от самого менеджера паролей.
Как работает менеджер паролей?
На рынке представлены различные менеджеры паролей. Как только вы выберите подходящий, в первую очередь необходимо настроить его и защитить мастер-паролем. При использовании менеджера паролей все пароли хранятся в одном месте – цифровом хранилище, а мастер-пароль является ключом к этому хранилищу. Мастер-пароль используется для шифрования содержимого хранилища, поэтому он должен быть надежным. Также важно не потерять его, в противном случае придется выполнить сброс паролей для всех онлайн-аккаунтов. Поэтому выбирайте мастер-пароль так, чтобы точно не забыть его. Некоторые менеджеры паролей, используемые на мобильных устройствах, разрешают доступ по отпечатку пальца или распознаванию лица.
Сразу после установки менеджер паролей при каждом входе в приложение или на сайт считывает имя пользователя и пароль и сохраняет их в цифровом хранилище. Надежный менеджер паролей должен отслеживать все изменения, вносимые в имена пользователей и пароли в хранилище, и предлагать обновить сохраненную информацию для этого сайта или приложения. Многие менеджеры паролей используют автозаполнение: автоматически заполняют учетные данные для входа на сайтах и в приложениях при посещении соответствующих страниц.
Помимо экономии времени, функция автозаполнения может сигнализировать о фишинге. Например, если при переходе на сайт, похожий на привычный сайт банка, поля формы не заполняются автоматически учетными данными, это может быть признаком тайпсквоттинга – перехода на фишинговый сайт, веб-адрес которого похож на веб-адрес реального сайта, но содержит опечатку.
Менеджеры паролей запоминают не только пароли. Большинство менеджеров паролей также запоминают личную информацию: имя, адрес и данные кредитной карты, и автоматически вводят их в требуемые веб-формы. Это экономит время при совершении таких транзакций, как онлайн-покупки. Надежный менеджер паролей также хранит документы, медицинские записи и фотографии в зашифрованном хранилище, доступ к которому есть только у вас.
При создании новых учетных записей менеджер паролей предлагает сгенерировать для них надежный случайный пароль, что избавляет вас от необходимости придумывать каждый раз новые пароли. Надежные менеджеры паролей также должны оценивать сложность существующих паролей и информировать об их компрометации в результате утечки данных.
Одним из способов повышения надежности менеджера паролей является включение многофакторной аутентификации (MFA) для учетных записей. При многофакторной аутентификации для разблокировки менеджера паролей в дополнение к мастер-паролю требуется дополнительный ключ. Это может быть отпечаток пальца, распознавание лица, код, отправленный в мобильное приложение для аутентификации, или аппаратный ключ безопасности.
После создания мастер-пароля и настройки многофакторной аутентификации для учетной записи, можно упростить использование менеджера паролей, установив расширение для браузера. Продвинутые менеджеры паролей имеют расширения для популярных браузеров.
Насколько надежны менеджеры паролей?
Учитывая, что менеджеры паролей хранят все пароли, контактные данные, данные кредитной карты и другие потенциально важные документы, возникает вопрос, насколько они надежны и безопасны.
Некоторые менеджеры паролей могут быть взломаны, поэтому важно, чтобы хранимая в них информация была зашифрована. Если менеджер паролей использует являющееся стандартом индустрии шифрование, например, алгоритм Advanced Encryption Standard (AES), у злоумышленников практически не будет возможности расшифровать содержимое. В каждом менеджере паролей предусмотрен собственный набор функций, однако в целом использование менеджеров паролей является безопасным.
Менеджеры паролей не хранят и не имеют доступа к мастер-паролю и зашифрованной информации в базе паролей, что обеспечивает дополнительный уровень безопасности. Ключевой аспект безопасности менеджеров паролей заключается в надежности мастер-пароля, поэтому важно использовать сложный пароль и обеспечить его безопасность.
Рекомендации по выбору менеджера паролей
Ниже приведен набор рекомендаций по выбору менеджера паролей.
- Выбирайте программу, в которой используется надежное шифрование.
- Убедитесь, что программа поддерживает функцию блокировки, которая пригодится, если вы забудете пароль.
- Заранее узнайте, как можно связаться с компанией-поставщиком программы (по телефону, электронной почте или в чате), если возникнут проблемы.
- Убедитесь, что в программе предусмотрена защита от кражи учетных данных, и выясните, требуется ли предпринимать дополнительные меры для защиты от других видов вредоносной активности.
- Программа должна быть удобной для вас. При выборе менеджера паролей оцените его удобство и убедитесь, что его удастся интегрировать со всеми используемыми устройствами и браузерами.
- Оцените все плюсы и минусы. Полнофункциональный пакет решений для управления паролями – это лучший выбор, однако для первоначального ознакомления можно загрузить пробную версию любого бесплатного приложения для управления паролями.
Несколько слов о браузерных менеджерах паролей. Некоторые веб-браузеры имеют встроенные менеджеры паролей. Как правило, они проигрывают специализированным менеджерам паролей, поскольку обычно хранят пароли на компьютере в незашифрованном виде. Это означает, что если жесткий диск компьютера не будет зашифрован, злоумышленники смогут получить доступ и просмотреть файлы паролей на компьютере. Кроме того, некоторые браузерные менеджеры паролей не генерируют случайные пароли автоматически и могут не обеспечивать межплатформенную синхронизацию.
Часто задаваемые вопросы о менеджерах паролей
Как работают менеджеры паролей?
Менеджеры паролей хранят все пароли в цифровом зашифрованном хранилище. Если используется менеджер паролей, при посещении веб-сайтов он автоматически подставляет данные для входа на этот сайт. Это означает, что вам не придется запоминать имя пользователя, пароль и адрес электронной почты для каждого веб-сайта – это делает менеджер паролей.
Для чего используются менеджеры паролей?
Рекомендуется использовать надежные уникальные пароли для каждого сайта, на котором вы зарегистрированы. У большинства пользователей есть множество паролей, запоминать и контролировать которые может оказаться сложно. Менеджер паролей упрощает этот процесс, генерируя и запоминая надежные случайные пароли за пользователей. В итоге нужно запомнить только пароль от самого менеджера паролей. Кроме того, большинство менеджеров паролей позволяют хранить документы, медицинские записи и фотографии в зашифрованном хранилище, доступ к которому есть только у его владельца.
Насколько безопасны облачные менеджеры паролей?
Большинство экспертов по кибербезопасности подтверждают, что использование облачных менеджеров паролей является наиболее безопасным способом хранения паролей. Менеджер паролей с шифрованием AES-256 (шифрование военного класса), практически невозможно взломать. Надежный менеджер паролей должен работать по принципу нулевого разглашения: ни создатель программного обеспечения, ни кто-либо другой ничего не должен знать о хранящихся данных. Кроме того, возможность включения многофакторной аутентификации в менеджере паролей обеспечивает дополнительный уровень безопасности. Не рекомендуется использовать менеджер паролей в общедоступных сетях, поскольку при этом все равно существует риск перехвата данных.
Менеджер паролей помогает защитить данные при работе в интернете
Ежедневное использование менеджера паролей – удобное решение, обеспечивающее защиту наиболее важной информации и личных данных при работе в интернете. На рынке представлено огромное разнообразие менеджеров паролей, и, потратив некоторое время, можно подобрать подходящий именно вам. Правильно выбранный менеджер паролей поможет защитить ваши данные в интернете.
Kaspersky Password Manager хранит все ваши пароли и документы в безопасном личном хранилище, доступном в один клик с любого устройства. Он также предоставляет следующие функции:
- Автоматическое заполнение полей входа и онлайн-форм такой информацией, как адреса электронной почты и данные банковской карты.
- Предупреждение в случае использования ненадежных или повторяющиеся паролей и в случае утечки паролей, что позволить вам принять необходимые меры.
- Сверхнадежное шифрование AES-256 и работа по принципу нулевого разглашения, означающая, что ни «Лаборатория Касперского», ни кто-либо еще ничего не узнает о ваших данных.
Статьи по теме:
- Что такое цифровой след и как защитить его от злоумышленников
- Советы по обеспечению безопасности денежных операций в интернете
- Безопасное подключение к публичным сетям Wi-Fi
- Как соблюдение кибергигиены защищает при работе в сети
Что такое менеджер паролей? | Malwarebytes
Что такое менеджер паролей?
Когда-то, в первые годы существования Интернета, у вас могло быть несколько паролей для нескольких важных веб-приложений, которые вы использовали, чтобы делать покупки, учиться, оставаться на связи и выполнять работу. Сегодня все гораздо сложнее. Сообщается, что в среднем людям необходимо запомнить около 100 паролей.
Хотя технологии обещают сделать нашу жизнь проще, и в целом это так и есть, каждый новый веб-сайт и приложение, в которых мы регистрируемся, — это еще один пароль, который мы должны помнить. Для большинства стало невозможно запомнить их все. Подумайте о себе — используете ли вы повторно свои пароли для нескольких учетных записей (так же, как две трети пользователей Интернета)? Это большое нет-нет.
Используя гигантские списки украденных паролей (так называемые «дампы»), купленные в даркнете, киберпреступники могут проникать на другие сайты методом грубой силы или использовать старые пароли для вымогательства у пользователей в мошеннических целях. Это эффект домино утечки данных. Одна брешь влечет за собой другую, еще одну и так далее.
Сообщается, что большинство утечек данных вызвано скомпрометированными, слабыми и повторно используемыми паролями. 1234567, кто-нибудь?
Итак, как мы сюда попали и что мы можем с этим поделать?
Знаменитая 9Веб-комикс 0017 xkcd «Надежность пароля» объяснил это лучше всего: «За 20 лет усилий мы успешно научили всех использовать пароли, которые трудно запомнить людям, но легко подобрать компьютерам».
Это правда. 20 лет назад специалисты по кибербезопасности предупреждали потребителей о том, что они не могут изменить пароли по умолчанию на устройствах IoT (например, на вашем интернет-маршрутизаторе) или используют легко угадываемые пароли, такие как «12345» или «пароль». Из этого вышел длинный и надежный пароль xkcd высмеивает: обычное слово со смесью прописных и строчных букв, по крайней мере, одну цифру и один символ.
При создании новой учетной записи веб-сайты требуют создания длинных и надежных паролей. В противном случае нам даже не разрешено создавать учетную запись. Предполагая, что кто-то прошел этап создания учетной записи, вы быстро забудете машинный шифр Enigma, который вы только что создали, и смиритесь с использованием «Забыли пароль?» ссылка в качестве опции для ежедневного входа в систему.
К счастью, вам не нужно запоминать все эти пароли. Менеджер паролей может запомнить их для вас.
Malwarebytes Labs определяет диспетчер паролей как «программное приложение, предназначенное для хранения учетных данных в Интернете и управления ими. Он также генерирует пароли. Обычно эти пароли хранятся в зашифрованной базе данных и защищены мастер-паролем».
После того, как все имена пользователей и пароли вашей учетной записи будут введены в хранилище, вам останется только запомнить главный пароль. Ввод вашего мастер-пароля разблокирует ваше хранилище паролей, и из него вы сможете получить любой пароль, который вам нужен.
Каковы преимущества использования менеджера паролей?
Вам больше не нужно запоминать все свои пароли. Вам нужно только запомнить мастер-пароль, который разблокирует ваше хранилище паролей. А если вы выберете облачный менеджер паролей, вы сможете получить доступ к своему хранилищу паролей в любом месте и с любого устройства.
Они могут автоматически генерировать для вас надежные пароли. Менеджеры паролей обычно спрашивают вас, хотите ли вы использовать автоматически сгенерированный пароль всякий раз, когда вы создаете новую учетную запись на веб-сайте или в приложении. Эти случайные пароли длинные, буквенно-цифровые, и их практически невозможно угадать.
Они могут предупредить вас о фишинговом сайте. Вот краткий обзор фишинга. Спамовые электронные письма подделываются или подделываются, чтобы они выглядели так, как будто они исходят от законного отправителя, например, от друга, члена семьи, коллеги или организации, с которой вы ведете бизнес. Ссылки, содержащиеся в электронном письме, ведут на аналогичные поддельные вредоносные веб-сайты, предназначенные для сбора учетных данных для входа. Если вы используете менеджер паролей на основе браузера, он не будет автоматически заполнять поля имени пользователя и пароля, поскольку не распознает веб-сайт как тот, который привязан к паролю.
Они могут помочь вашим подопечным, когда вы умрете. Это называется цифровым наследованием. В случае вашей смерти ваша семья или тот, кого вы назначите управлять своим имуществом, получит доступ к вашему хранилищу паролей.
Менеджеры паролей экономят время. Многие менеджеры паролей не только сохраняют для вас пароли, но и автоматически заполняют учетные данные для более быстрого доступа к онлайн-аккаунтам. Кроме того, некоторые из них могут хранить и автоматически заполнять имя, адрес, адрес электронной почты, номер телефона и информацию о кредитной карте. Например, это может значительно сэкономить время при совершении покупок в Интернете.
Многие менеджеры паролей синхронизируются между разными операционными системами (ОС). Если вы являетесь пользователем Windows на работе и пользователем Mac дома, переходите на Android с понедельника по пятницу и переходите на iOS по выходным, вы сможете быстро получить доступ к своим паролям независимо от того, на какой платформе вы работаете. . То же самое для всех самых популярных веб-браузеров; то есть Chrome, Firefox, Edge, Internet Explorer и Safari.
Они помогают защитить вашу личность. Окольными путями менеджеры паролей помогают защититься от кражи личных данных, и вот почему. Используя уникальный пароль для каждого сайта, вы, по сути, сегментируете свои данные по каждому веб-сайту и приложению, которые вы используете. Если преступник взломает одну из ваших учетных записей, он не обязательно сможет получить доступ к любой из других. Это не защита от дурака, но это дополнительный уровень безопасности, который вы обязательно оцените после утечки данных.
Безопасны ли менеджеры паролей?
Менеджеры паролей были взломаны, но их общий послужной список, когда дело доходит до защиты пользовательских данных, очень хорош.
Менеджер паролей LastPass подвергся утечке данных в 2015 году. Во время взлома киберпреступники украли электронные письма пользователей, но не смогли украсть пароли. Даже если бы они это сделали, большинство менеджеров паролей, включая LastPass, используют жесткое шифрование военного уровня для обеспечения безопасности паролей.
Сравните это с Facebook, Google и Twitter. Все три технологических гиганта признались, что случайно хранили пароли пользователей в виде простого читаемого текста — без шифрования — для некоторых из своих пользователей несколько лет назад. А в случае с Google — вплоть до 2005 года. Насколько известно, ни один из паролей не был украден, хотя Google сбрасывал уязвимые пароли «из предосторожности» сразу после обнаружения их ошибки.
Новости паролей
- Chrome хочет сделать ваши пароли более надежными
- Диспетчер паролей взломан для доставки вредоносного ПО при атаке на цепочку поставок
- Подарок без пароля: биометрия навсегда заменит пароли?
- Увеличение числа атак методом грубой силы из-за большего количества открытых портов RDP
- Поддельные вспомогательные приложения Instagram, обнаруженные в Google Play, крадут пароли
- Будут ли хакеры больше взламывать? Нет, если мы продолжим повторно использовать пароли
- Является ли двухфакторная аутентификация (2FA) настолько безопасной, как кажется?
- Проблемы с безопасностью Twitter: смените пароли
Какие бывают менеджеры паролей?
Настольные менеджеры паролей хранят ваши пароли локально на вашем устройстве, например на ноутбуке, в зашифрованном хранилище. Вы не можете получить доступ к этим паролям с любого другого устройства, и если вы потеряете устройство, вы потеряете все пароли, хранящиеся на нем. Локально установленные менеджеры паролей — отличный вариант для людей, которые просто не хотят, чтобы их данные хранились в чужой сети. Некоторые локально устанавливаемые менеджеры паролей обеспечивают баланс между конфиденциальностью и удобством, позволяя вам создавать несколько хранилищ паролей на ваших устройствах и синхронизировать их при подключении к Интернету.
Облачные менеджеры паролей хранят ваши зашифрованные пароли в сети поставщика услуг. Поставщик услуг несет прямую ответственность за безопасность ваших паролей. Основное преимущество облачных менеджеров паролей, хорошими примерами которых являются 1Password и LastPass, заключается в том, что вы можете получить доступ к своему хранилищу паролей с любого устройства, если у вас есть подключение к Интернету. Веб-менеджеры паролей могут быть разных форм — чаще всего в виде расширения для браузера, настольного или мобильного приложения.
Единый вход (SSO). В отличие от диспетчера паролей, который хранит уникальные пароли для каждого используемого приложения, SSO позволяет использовать один пароль для каждого приложения. Считайте SSO своим цифровым паспортом. При въезде в другую страну паспорт сообщает сотрудникам таможни и иммиграционной службы, что ваша страна гражданства ручается за вас и что вам должно быть разрешено въехать с минимальными хлопотами. Аналогичным образом, при использовании системы единого входа для входа в приложение вам не требуется подтверждать свою личность. Вместо этого поставщик единого входа ручается за вашу личность. Предприятия предпочитают SSO менеджерам паролей по нескольким причинам. Прежде всего, SSO — это безопасный и удобный способ доступа сотрудников к приложениям, которые им нужны для выполнения работы. SSO также сокращают время, затрачиваемое ИТ-отделом на устранение неполадок и сброс забытых паролей.
Рекомендации по паролям
Не используйте пароли повторно. Даже с менеджером паролей. Вместо этого создайте уникальные пароли для каждого сайта и позвольте вашему менеджеру паролей делать то, для чего он предназначен.
Создавайте сложные пароли. Многие менеджеры паролей автоматически предлагают надежные пароли всякий раз, когда вы создаете учетную запись для нового сайта. Если нет, попробуйте использовать случайную комбинацию букв и цифр и переключаться между прописными и строчными буквами. Чем сложнее и бессмысленнее, тем лучше, тем более, что вам не нужно будет это запоминать. Это сделает менеджер паролей. Единственное ключевое отличие заключается в создании вашего мастер-пароля (того, который разблокирует все остальные пароли). Это вам нужно будет запомнить, поэтому, если у вас нет эйдетической памяти, постарайтесь придумать что-то запоминающееся для вас, но не связанное с вашей личностью. Затем добавьте несколько заглавных букв, несколько букв и несколько причудливых символов, и вы получите хорошо защищенное хранилище паролей.
Используйте кодовую фразу. Когда дело доходит до создания вашего мастер-пароля (того, который разблокирует другие ваши пароли), попробуйте использовать кодовую фразу; т. е. ряд слов, которые легко запомнить, но трудно угадать. Что-то знакомое со странным поворотом, например: «мороженое с бобовым буррито». Или просто куча случайных вещей, которые человек может легко визуализировать, но не может компьютер: «причудливая крысиная неоновая машина авокадо». Использовать ваше воображение! Домашние животные, дети или другие фамилии, или фразы вроде «Впусти меня!» слишком распространены, и поэтому киберпреступникам легко их расшифровать.
Включить двухфакторную (2FA) или многофакторную аутентификацию (MFA). Один из лучших способов защитить любую учетную запись, независимо от того, работает ли она с менеджером паролей, — включить MFA. При использовании менеджера паролей с поддержкой MFA вам потребуется подтвердить свою личность, используя два или более факторов аутентификации, в том числе что-то, что вы знаете, что-то, чем вы владеете, и что-то, чем вы являетесь. То, что вы знаете, обычно является вашим паролем, но это также может быть PIN-код. Что-то, что у вас есть, может быть вашим мобильным телефоном, банковской картой или токеном безопасности на USB-накопителе. Наконец, что-то, чем вы являетесь, может быть подтверждено с помощью биометрических данных, таких как распознавание лица, голоса или радужной оболочки глаза и идентификатора отпечатка пальца. Также может применяться поведенческая биометрия, такая как нажатия клавиш.
Этот дополнительный уровень безопасности означает, что любой, кто попытается войти в вашу учетную запись (включая вас), должен будет контролировать эти дополнительные факторы аутентификации помимо имени пользователя и пароля. Примером этого может быть: после того, как вы введете свой мастер-пароль для доступа к менеджеру паролей, на ваш мобильный телефон будет отправлен код, который вам нужно будет ввести, прежде чем получить доступ к хранилищу. При использовании телефона в качестве фактора аутентификации следует помнить одну вещь: телефонные номера могут быть украдены.
Это называется SIMjacking (подмена SIM-карты) и происходит, когда киберпреступник, выдавая себя за вас, убеждает вашего оператора переназначить ваш номер телефона на свой телефон, успешно отвечая на ваши контрольные вопросы. Беглый поиск в социальных сетях — это часто все, что нужно мошенникам, чтобы найти ответы, которые им нужны. И как только преступники получат контроль над вашим телефоном, у них будет все необходимое, чтобы украсть вашу личность. Соответственно, вместо важных учетных записей вы можете обратиться к программному аутентификатору, такому как Authy или Google Authenticator.
Дважды подумайте о бесплатных менеджерах паролей. Многие из самых популярных бесплатных менеджеров паролей на самом деле работают по бизнес-модели freemium, а это означает, что вам придется платить, если вы хотите получить лучшие — иногда необходимые — функции. Вам нужны ваши пароли для синхронизации между браузерами и устройствами? Вам нужно цифровое наследование? Вам нужно делиться логинами с семьей? Нужна ли вам многофакторная аутентификация? Бесплатные менеджеры паролей обычно не включают эти функции. MFA, в частности, является обязательным. В споре между бесплатным и платным выберите платный менеджер паролей.
Создайте политику диспетчера паролей. Вот совет для малого и среднего бизнеса: создайте политику диспетчера паролей и сообщите сотрудникам, что можно использовать диспетчер паролей для защиты своих рабочих учетных записей. Ваши сотрудники уже используют множество потенциально небезопасных методов, чтобы попытаться управлять своими многочисленными паролями, и большинство утечек данных начинаются со слабого или повторно используемого пароля. Официальная политика диспетчера паролей — это ваша первая линия защиты от кибератак на вашу сеть.
Менеджер паролей – это программное приложение, предназначенное для хранения учетных данных в Интернете и управления ими.
Менеджер паролей помогает создавать и безопасно хранить длинные уникальные пароли для всех ваших учетных записей в Интернете. Вы должны использовать разные пароли для всех своих учетных записей, и их трудно запомнить.
Как пользоваться менеджером паролей
Использование менеджера паролей является одним из основных методов обеспечения безопасности, рекомендованных экспертами по безопасности. Тем не менее, согласно недавнему опросу Consumer Reports, только 39 процентов потребителей используют его. Вместо этого многие люди используют и повторно используют небольшое количество паролей, которые они запомнили.
Одна из причин может заключаться в том, что основные принципы настройки менеджера паролей могут показаться сложными. Вам может быть интересно, с чего начать, где будут храниться ваши пароли и как поделиться ими с супругом или другим членом семьи. Мы доберемся до всего этого, но сначала вот несколько деталей, которые помогут вам сориентироваться.
Менеджер паролей — это служба, которая помогает создавать и хранить длинные уникальные пароли для всех ваших учетных записей в Интернете. Это важно, потому что использование слабых паролей или одних и тех же паролей для нескольких учетных записей делает вас более уязвимыми для кражи личных данных и других преступлений.
Альтернативой является создание и сохранение паролей в веб-браузере. До определенного момента это работает, но оно не работает в разных браузерах и на разных устройствах и не позволяет легко делиться паролями с членами семьи. Менеджеры паролей могут справиться со всем этим и сделать это безопасно.
Хранение всех ваших паролей на серверах одной компании может показаться рискованным. Но информация защищена надежным сквозным шифрованием. Это означает, что даже компания, управляющая паролями, не может ее увидеть. Кроме того, компании обычно нанимают сторонние фирмы для аудита своих продуктов и обеспечения их безопасности.0035 .
Consumer Reports оценивает менеджеры паролей по трем основным критериям: конфиденциальность, безопасность и простота использования. Мы используем множество отдельных тестов и диагностических инструментов, чтобы всесторонне изучить все, включая устойчивость каждого менеджера паролей к известным методам взлома, собирают ли они пользовательские данные в своих собственных маркетинговых целях и имеют ли они функции, которые помечают пароли, которые вы используете.
1Password — единственный менеджер паролей, получивший оценку «Отлично» во всех трех областях, но мы также рекомендуем несколько других менеджеров, получивших общую оценку «Очень хорошо». К ним относятся Bitwarden, Dashlane и Keeper, у которых есть бесплатные и платные варианты.
Бесплатные варианты имеют более ограниченные возможности. Например, бесплатные опции менеджера паролей Bitwarden не включают функцию платной версии, которая определяет слабые или повторно используемые пароли. Бесплатная версия Keeper позволяет генерировать пароли на мобильном устройстве, но не предоставляет доступ к рабочему столу, веб-хранилищу или расширению браузера, а также не выполняет автоматическое заполнение паролей от вашего имени. А бесплатная версия Dashlane позволяет хранить до 50 паролей, но только на одном устройстве.
1Password не имеет бесплатной версии, но предлагает бесплатную 14-дневную пробную версию.
Если вы попробуете менеджер паролей и обнаружите, что он не предлагает нужных вам функций, вы всегда можете перейти на платную версию или экспортировать свои данные в другой менеджер паролей.
Решив, какой менеджер паролей использовать, перейдите на сайт компании и создайте учетную запись. Отсюда шаги будут немного отличаться в зависимости от того, какой сервис вы используете.
Первое, что вам будет предложено сделать, это создать надежный мастер-пароль. Это единственный пароль, который ваш менеджер паролей не может сохранить для вас. Вы должны убедиться, что этот пароль надежный, потому что он является ключом ко всем вашим другим паролям. Поскольку вам придется вводить его часто, лучше избегать случайных символов и букв и вместо этого использовать полное предложение или серию слов. Просто убедитесь, что он содержит не менее 16 символов.
Вам нужно будет запомнить этот пароль, но также можно его записать. Наклейка на настольном компьютере с надписью «пароль менеджера паролей», вероятно, плохая идея, если вы делите свое офисное пространство, но записать ее в блокноте, хранящемся где-нибудь в безопасном месте дома, вероятно, вполне допустимо.
Во время установки некоторые менеджеры паролей будут предлагать вам включить многофакторную аутентификацию, и мы рекомендуем вам это сделать.
В зависимости от того, какой менеджер паролей вы выберете, вам потребуется загрузить расширения для браузера, приложение для телефона, программное обеспечение для компьютера или их комбинацию. Затем вам нужно будет войти в сервис в каждом из этих мест.
Если вы зарегистрируетесь в 1Password, служба создаст аварийный комплект, представляющий собой PDF-файл, который вы должны распечатать и который включает в себя длинный «секретный ключ» и место для записи вашего мастер-пароля. Чтобы настроить программу 1Password на новом устройстве, вам потребуется ввести свой адрес электронной почты, секретный ключ и пароль длиной более 16 символов.
Теперь, когда у вас настроено все программное обеспечение, вы, наконец, готовы использовать диспетчер паролей для того, для чего он предназначен: создавать и хранить учетные данные для входа во все ваши многочисленные онлайн-сервисы.
Всякий раз, когда вы открываете окно входа на веб-сайт, скажем, на Netflix или в свой банк, вы должны иметь возможность щелкнуть значок, чтобы открыть диспетчер паролей. Если вы отключили функцию автозаполнения в своем браузере или диспетчере паролей, вы можете открыть диспетчер паролей вручную с помощью настольного приложения, другой вкладки браузера или расширения браузера.
Если вы настраиваете новую учетную запись в Интернете, вы можете нажать одну или две кнопки, чтобы ваш менеджер паролей сгенерировал пароль для этой новой учетной записи. Но чаще это, вероятно, будет учетная запись, которую вы уже создали — скажем, ваша электронная почта или банковский счет. Вы можете ввести свои существующие учетные данные и нажать кнопку, чтобы сохранить их в менеджере паролей.
Но поскольку одной из важных функций менеджера паролей является создание более надежных паролей, лучше всего войти в систему, перейти на страницу «изменить пароль» на сайте, а менеджер паролей создаст и сохранит новый, гораздо надежный пароль для сайта.
Если вы работаете в браузере, это особенно просто. Для телефонных приложений процесс отличается. Ваш менеджер паролей может автоматически входить в ваши приложения, или вам может потребоваться переключаться между приложениями диспетчера паролей, чтобы скопировать и вставить новый пароль.
Вот важное примечание, независимо от того, устанавливаете ли вы пароли в приложении или на веб-сайте. В идеале каждый новый пароль должен иметь длину не менее 16 символов, как и ваш мастер-пароль. Но некоторые учетные записи имеют более короткие ограничения длины и могут не разрешать определенные специальные символы или символы. В этом случае ваш менеджер паролей просто должен сделать все возможное.
Но обязательно после этого проверьте настройки менеджера паролей. Однажды я изменил требования к сгенерированному паролю в 1Password до восьми символов, чтобы соответствовать правилам одного сервиса, а затем понял, что теперь 1Password считает, что я хочу, чтобы все мои новые пароли были такими короткими. Мне пришлось зайти в настройки, чтобы изменить его обратно.
Процесс перехода на новые надежные пароли может быть утомительным, и вам не обязательно делать это сразу. Разумно начать с наиболее важных учетных записей, таких как электронная почта и банковские операции. Ваш список приоритетов также должен включать любые пароли, которые были скомпрометированы в результате утечки данных. Скорее всего, некоторые из вас были.
Чтобы узнать это, вы можете ввести свой адрес электронной почты на HaveIBeenPwned (отличный сайт CR). Или вы можете использовать свой менеджер паролей, чтобы пометить пароли, которые были скомпрометированы. Этот тип функции имеет множество названий. Ищите оценку работоспособности пароля (Dashlane), отчет о работоспособности хранилища и отчет об утечке данных (Bitwarden), отчет Watchtower (1Password) или BreachWatch (Keeper; доступно только с PlusBundle).
Эти функции дадут вам знать, если какой-либо из паролей, которые вы создали сами, а затем сохранили в менеджере паролей, ненадежен или использовался более одного раза.
Некоторые менеджеры паролей также будут помечать учетные записи, для которых вам все еще нужно настраивать коды многофакторной аутентификации, эти шестизначные коды, которые меняются каждые 30 секунд, которые некоторые сайты запрашивают вместе с вашим паролем. Вы должны настроить MFA на любой учетной записи, где это предлагается.
Люди часто получают эти коды по тексту, но это не самый безопасный способ. Более безопасно использовать приложение для аутентификации, такое как Authy или Google Authenticator, которое может генерировать коды. Некоторые менеджеры паролей также могут их генерировать. Вместо сканирования QR-кода в приложении для аутентификации вы можете отсканировать его в диспетчере паролей, и он сгенерирует шестизначный код, как это делает приложение. Затем вы можете скопировать и вставить его, чтобы завершить вход в систему.
Если вы получили электронное письмо от службы, сообщающее, что ваш пароль был скомпрометирован, просто вернитесь в диспетчер паролей, чтобы сгенерировать новый пароль и изменить его для этой учетной записи. Если вы все еще находитесь в процессе установки уникальных паролей для каждой учетной записи, измените пароль для любой другой учетной записи, где вы использовали тот же скомпрометированный пароль.
Некоторые менеджеры паролей позволяют безопасно делиться отдельными паролями с партнером или другими членами семьи. Другие приложения позволяют создавать защищенные папки — «хранилища» на жаргоне диспетчера паролей, — которые содержат пароли для разных учетных записей.
Таким образом, вы можете предоставить другим людям доступ к определенным хранилищам, где вы разделяете доступ к одним онлайн-аккаунтам, но не к другим. Например, вы можете поделиться паролем своего банковского счета и потокового сервиса с супругом, но хранить пароли своей учетной записи электронной почты отдельно. Члены вашей семьи должны будут загрузить менеджеры паролей на свои устройства и настроить свои собственные мастер-пароли.
Обратите внимание, что не все менеджеры паролей имеют эту функцию, особенно в бесплатных учетных записях.
Менеджеры паролей могут хранить практически любую информацию. Если вам всегда нужен удаленный доступ к каким-то данным, от номера паспорта до документа вроде доверенности, отличным решением может стать менеджер паролей. Инструкции варьируются от одного менеджера паролей к другому, но обычно вы загружаете документы, выбирая, в какое хранилище их поместить.
Вы также можете хранить информацию в защищенной заметке. У меня есть одна со списком кредитных карт с телефонными номерами для аннулирования, а также информация о других видах карт на случай, если мой бумажник будет потерян или украден.
Использование диспетчера паролей — не единственный шаг, который необходимо предпринять для обеспечения безопасности в Интернете. В дополнение к установке надежных паролей вам также необходимо принять другие меры безопасности, такие как использование многофакторной аутентификации (для вашего менеджера паролей и других учетных записей) и поддержание всего программного обеспечения вашего компьютера и телефона в актуальном состоянии.
Ваш комментарий будет первым