Менеджер паролеи: Что такое менеджер паролей и почему он вам нужен

Что такое менеджер паролей и почему он вам нужен

Даже если ваш пароль состоит из 20 символов, в нем есть и знаки, и цифры, и буквы разных регистров — это не гарантирует безопасность вашего аккаунта. Специалисты по кибербезопасности не советуют использовать один и тот же пароль на нескольких сайтах. Но никто не может запомнить уникальные пароли для огромного количества сайтов. Как сделать жизнь проще? Два слова: менеджер паролей.

Что такое менеджер паролей

Представьте, что все ваши пароли записали в книгу и закрыли на ключ, который есть только у вас. Если перенести эту аналогию в сферу IT, то книга — это программа, а ключ — мастер-пароль, то есть пароль от всех паролей.

Некоторые считают, что это небезопасно. Что, если кто-то заполучит этот «самый главный пароль»? Это вполне понятный страх. Но если выбрать надежный мастер-пароль, который вы нигде не использовали раньше, можно защитить свои аккаунты от несанкционированного доступа.

Менеджеры паролей помогают создавать надежные уникальные пароли при регистрации на веб-сайтах и хранят их на своих серверах. Чтобы зайти на ресурс или в приложение, можно скопировать нужный пароль из менеджера и вставить в соответствующее поле. Часто эти программы позволяют не только запоминать, но и автоматически вводить пароль на сайте.

Зачем пользоваться менеджером паролей

Пароли постоянно воруют. Сайты и сервисы в любой момент могут взломать, а вы можете стать жертвой фишинга. Компании должны хешировать пароль каждый раз, когда пользователь его вводит, но не все используют надежные и современные алгоритмы. А некоторые компании вообще не утруждают себя хешированием. Такое отношение к безопасности — отличная лазейка для хакеров.

В то же время, чем длиннее и сложнее пароль — сочетание прописных и строчных букв, цифр и символов — тем больше времени понадобится на то, чтобы его взломать.

В голове нужно держать много паролей: от аккаунтов в соцсетях, платежных систем, электронной почты, сервисов и приложений.  Легче использовать один пароль для всех. Вот только это упрощает жизнь не только вам, но и хакерам. Они берут пароль со взломанного сайта и пытаются войти в учетные записи на других сервисах.

Менеджер позволяет создавать более надежные и уникальные пароли для каждого сайта. Можно не волноваться о том, что вы их забудете.

Если вы любите работать в кафе, ничто не мешает официанту или другому посетителю банально подсмотреть ваш пароль, когда вы логинитесь. С менеджером во многих случаях можно вообще не вводить пароли.

Какой менеджер паролей использовать

В iPhone и iPad c версией iOS 11 и выше уже есть функция менеджера паролей, поэтому дополнительно можно ничего не устанавливать. Пользователи iOS могут синхронизировать свои пароли между устройствами через iCloud Keychain.

Для остальных устройств есть большой выбор приложений. У всех менеджеров паролей похожая функциональность, но некоторые могут предложить больше возможностей. Большинство из сервисов бесплатные с возможностью докупить дополнительные функции.

• Если хотите синхронизировать пароли между разным устройствами, то вам подойдет LastPass.
• Также широко используется 1Password. Его преимущество в том, что он интегрируется с сервисом Pwned Passwords. Если вы используете пароль, который уже похищали хакеры, приложение предупредит вас.
• Есть много кроссплатформенных менеджеров. Например, Dashlane. Он работает и на мобильных устройствах, так что получить доступ к паролям можно в любое время.
• Есть среди менеджеров и программы с открытым исходным кодом, вроде KeePass. Он не хранит данные в облаке (без специальной настройки). Это отличный выбор для людей, которые хранят конфиденциальные данные. Например, для политиков и госслужащих.

Как и в случае с любым другим ПО, слабые места менеджера паролей могут поставить под угрозу ваши данные. Но если вовремя обновлять программу, риски можно свести к минимуму. Безопасность этих сервисов — их главное преимущество и главная ценность.

Читайте также:

Почему стоит использовать менеджер паролей / Блог компании ITGLOBAL.

COM / ХабрМенеджер паролей — хороший способ повысить уровень безопасности своей работы, сохранив все коды доступа в одном надежном месте. Без такого инструмента сложно удержаться от соблазна пользоваться во всех сервисах одними и теми же паролями (или их вариациями), что серьезно повышает вероятность успешного взлома. К слову, об «успехе»: по статистике, в мире каждые 39 секунд происходит одна кибератака.

Главное свойство менеджера паролей — сочетание удобства и высокой степени безопасности.

Безопасность

Действительно надежные сервисы защищают ваши пароли с помощью стойких алгоритмов шифрования. Например, симметричного AES-256, который создает каждый раз для защиты новый случайный ключ или асимметричного RSA. Благодаря ему ваши пароли в явном виде можете увидеть только вы. Также используются алгоритмы шифрования PBKDF2 и SHA-256, взломать которые достаточно сложно.

Для дополнительной защиты уже повсеместно введена двухфакторная аутентификация, а также аутентификация по протоколу SRP 6A (Secure Remote Password). Она позволяет авторизоваться без риска перехвата данных.

Также в хорошем сервисе обычно есть генератор длинных и сложных для подбора паролей. Кроме того, некоторые сервисы предлагают журнал функций, чтобы вы могли просмотреть все изменения, внесенные в пароли. Для повышения надежности такого инструмента некоторые решения могут использовать технологию блокчейна, чтобы все изменения точно фиксировались.

Если у вашей компании строгая политика хранения данных, можно настроить менеджер так, чтобы безопасно хранить все пароли в собственном частном облаке или на физическом сервере.

Удобство

Частая причина уязвимости пароля — обычный человеческий фактор. Людям просто неудобно, сложно и лень каждый раз придумывать новые надежные пароли. В хороших менеджерах паролей эта особенность учтена. Примеры специальных функций, которые повышают удобство:

• поиск паролей, в том числе через фильтры по конкретным символам и датам добавления/изменения;
• группировка по свойствам с помощью тэгов. Например, «сайты», «приложения», «Wi-Fi-сети» и другие;
• удобная и надежная отправка паролей другим людям;
• автосохранение с помощью плагина в браузере. Удобно, если неудобно вводить все в менеджер вручную;
• добавление новых членов команды, управление их доступом и сброс паролей;
• добавление гостей — подрядчиков, клиентов, фрилансеров и других в свою команду, чтобы делиться с ними паролями безопасным способом;
• импорт и экспорт для удобного перехода с другого менеджера паролей;
• автозаполнение форм в интернет-сервисах.

Конкретные решения

Среди ПО, которое используют Managed Services провайдеры можно назвать, например, PassCamp. Его ценят за простоту, удобство и надежность. Единственный минус — отсутствие мобильного приложения.

Также можно назвать SolarWinds PassPortal. Среди плюсов — впечатляющая функциональность с доступом ко многим функциям прямо из плагина браузера, а также понятная и подробная документация. Из минусов — несколько шероховатостей в интерфейсе.

Еще одно решение — QuickPass. Преимущества: продукт постоянно дорабатывается исходя из желаний клиентов, можно сбрасывать пароли, находясь физически где угодно, хорошая служба поддержки, легкость в использовании. Из минусов — только цена, которая может показаться высокой.

В целом, менеджер паролей — это обязательный отраслевой стандарт, чтобы обеспечить в организации необходимый уровень безопасности и обезопаситься от атак извне. И именно поэтому их используют Managed Services-провайдеры для защиты сервисов клиентов.

---

Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:

Как я сделал себе менеджер паролей / Хабр

Пароли — древнейший способ аутентификации в информационных технологиях, повсеместно использующийся и сегодня. Увы, просто невозможно держать в памяти пароли для всех Интернет-ресурсов при условии, что все они будут разными и сложными! Тут на помощь человеку приходят менеджеры паролей, берущие эту задачу на себя: человек запоминает всего лишь один мастер-пароль, дающий доступ ко всем остальным.

Мне не нравились существующие менеджеры паролей: неудобно синхронизировать базу паролей между различными устройствами и операционными системами, к тому же, зачастую программы-менеджеры откровенно плохо защищены. Однажды я читал статьи по криптографии, и мне пришла в голову мысль: а почему бы не сделать менеджер паролей, который вместо хранения паролей будет вычислять их?

Первый вариант реализации этой идеи, приходящий на ум — криптографические хеш-функции. На первый взгляд, всё круто: выбираем стойкую функцию (скажем, SHA-3 в 224-битной версии), подаём ей на вход мастер-пароль qwerty и тип аккаунта vk, на выходе мгновенно получаем 56 символов из набора 0123456789abcdef. Я сходу нашёл два подобных проекта: взломанный и потенциально взламываемый. В таком подходе есть большая проблема: криптографические хеш-функции проектируются в том числе с целью быть максимально быстрыми и нетребовательными к ресурсам, и поэтому можно устроить словарный или полный перебор мастер-пароля по перехваченному паролю для одного сайта на CPU (относительно медленно), GPU, FPGA (куда быстрее), ASIC (очень быстро). Для проведения таких атак на популярные алгоритмы хеширования без использования подсаливания можно использовать также радужные таблицы, сильно ускоряющие процесс взлома на CPU.

К счастью, есть другой вариант реализации — функции получения ключей. В двух словах, они выполняют хеширование, но относительно медленно (скажем, одну секунду на обычном процессоре) и с относительно большим потреблением ресурсов (скажем, 16 мегабайт оперативной памяти), чтобы максимально затруднить атаки полным и словарным перебором. Среди знакомых мне современных функций PBKDF2, bcrypt и scrypt лучше всего выглядела scrypt: созданная с учётом опыта первых двух, успешно противостоящая вычислениям на графических процессорах и микросхемах (как FPGA, так и ASIC) и рассчитанная на гибкость при настройке под любые задачи. Я подумывал над реализацией этого проекта, но почему-то задвинул его в долгий ящик. И очень напрасно.

Криптограф Надим Кобеисси сделал как раз такой менеджер паролей npwd на JavaScript (работает как десктопное приложение через Node. JS). Я установил утилиту на компьютер под Linux и под Windows, а также на ноутбук под Linux, начал боевое использование, и мне очень понравилось. Вводишь единственный мастер-пароль и тип аккаунта (например, «twitter») в приложение, и через пару секунд в твоём буфере обмена уже лежит вычисленный сложный пароль конкретно для этого аккаунта, причём взломать твой мастер-пароль (читай: все твои пароли) по паролю для одного аккаунта будет очень, очень сложно.

Но была и проблема. Версия под Windows действительно выдавала пароль через пару секунд, а вот под Linux (в том числе на том же самом компьютере!) для вычислений требовалось уже секунд 15, что напрягало. Сначала я просто уменьшил одну константу, сделав мастер-пароль менее защищённым, но потом я подумал — а почему бы не переписать приложение на C, ведь наверняка будет работать гораздо быстрее! Особенно меня подзадоривала мысль, что у меня давно был замысел этого проекта, но я стормозил, и кто-то реализовал его до меня.

Через несколько дней неспешной работы я сделал свой менеджер паролей cpwd, полностью совместимый с оригиналом. Это было весело! После небольшой оптимизации мне удалось достичь желанной высокой скорости работы. Портировать cpwd под Windows я не пробовал, но это должно быть несложно. На GitHub-странице проекта я собрал коллекцию ссылок на подобные проекты в академическом мире и за его пределами – оказалось, что идея вообще-то весьма стара.

Конечно, это не серебряная пуля, но it works for me. В процессе использования я наткнулся на проблему: некоторые сайты имеют интересные требования к паролям типа «не более 20 символов», «обязательно встречается большая буква, маленькая буква, цифра и спецсимвол», в результате сгенерированный npwd/cpwd пароль иногда требует доработки руками перед вводом. К счастью, таких сайтов немного.

Оригинал опубликован в моём блоге 7.08.15. Прошло 5 лет, а я до сих пор пользуюсь этой утилиткой.

Сравнение встроенных в браузеры менеджеров паролей

Браузерные менеджеры паролей, с которыми можно быть спокойным за безопасность своих данных и не нуждаться в кнопке «Я забыл пароль», и их коммерческие аналоги могут существенно упростить пользователям жизнь. Сравним инструменты защиты паролей, перечислив их преимущества и недостатки, а также встроенные в них функции.

 

 

 

 

 

1. Введение
2. Для чего нужны менеджеры паролей
3. Встроенные в браузеры менеджеры
   
   1. 3.1. Google Chrome
   2. 3.2. Mozilla Firefox
   3. 3.3. Opera
   4. 3.4. Safari
   5. 3.5. Microsoft Edge
4. Коммерческие аналоги, их преимущества и недостатки
   
   1. 4.1. Dashlane
   2. 4.2. Keeper Password Manager & Digital Vault
   3. 4.3. 1Password
   4. 4.4. LastPass
5. Сравнение и критерии оценки
6. Выводы

Введение

Ежедневно мы посещаем большое количество сайтов, среди которых онлайн-магазины, социальные сети, почта, банковские сервисы и многие другие. Для каждого сайта необходимы логин и пароль, но так как невозможно запомнить бесчисленное количество комбинаций, многие из нас прибегают к такому решению, как использование одних и тех же паролей для разных ресурсов.

К сожалению, такой подход является совсем ненадёжным и одновременно очень привлекательным для злоумышленников, которые, завладев одной комбинацией, автоматически получают доступ ко всем сервисам пользователя. Можно также вести ежедневник или составлять похожие комбинации символов, но эти методы тоже не всегда безопасны.

Однако появился очень удобный тип программного инструмента, становящийся в последнее время всё более популярным, — менеджер паролей. Менеджер представляет собой систему управления учётными записями и позволяет фиксировать большое количество комбинаций логина и пароля для различных веб-ресурсов.

Для чего нужны менеджеры паролей

Менеджеры для хранения паролей делятся на две группы: встроенные в браузер и сторонние приложения. В обзоре будут представлены и те и другие.

Принцип действия таких программ заключается в том, что они сохраняют пароли ко всем сайтам пользователя, при этом позволяя использовать сложные комбинации символов и сохранять уникальные ключи для каждого веб-ресурса.

Это сильно облегчает жизнь и повышает уровень безопасности личных данных в разы, так как взлом одной учётной записи не позволяет злоумышленникам собрать данные изо всех прочих.

Встроенные в браузеры менеджеры

Для начала рассмотрим средства хранения паролей из самых популярных браузеров. Их преимуществами являются удобство использования (браузер сам предлагает сохранить пароль и позволяет посмотреть его в своём интерфейсе), возможность синхронизации между устройствами. Также пароли могут храниться зашифрованными в облаке. Перечисленные в данном обзоре браузеры бесплатны, соответственно, бесплатны и встроенные в них менеджеры паролей.

Google Chrome

Поддерживаемые ОС: Windows, macOS, Linux, Android

Встроенный менеджер паролей Chrome предлагает возможность их хранения под учётной записью Google. Он удобен, доступен и понятен каждому пользователю.

Менеджер Chrome имеет возможность генерировать пароли, но стоит отметить, что ключи, которые предлагает Chrome, не кажутся такими уж и сложными в сравнении с коммерческими аналогами. Например, отсутствует возможность задать большее количество знаков или использовать специальные символы.

В целом это — доступный и привычный инструмент, однако немногие специалисты в области информационной безопасности считают его надёжным, так как отсутствует мастер-пароль и при компрометации учётной записи есть риск, что злоумышленник сможет завладеть всеми данными.

Стоит упомянуть и о том, что основной продукт компании Google — данные пользователей, которые используются для таргетирования рекламы и прочего. Поэтому, возможно, не стоит хранить абсолютно всю информацию в одном встроенном менеджере, в том числе — особо значимую.

 

Рисунок 1. Интерфейс менеджера паролей в Google Chrome

 

Mozilla Firefox

Поддерживаемые ОС: Windows, macOS, Linux, Android, iOS

Firefox предлагает возможность шифровать пароли с помощью одного мастер-ключа. Кроме того, Firefox имеет открытый исходный код и не передаёт личные данные пользователей своей материнской компании, как это делают другие распространённые браузеры.

Функции менеджера стандартны: хранение комбинаций «логин — пароль», шифрование мастер-пароля, дополнительная возможность импорта паролей из Chrome и Internet Explorer для пользователей Windows. При шифровании применяется 256-битный алгоритм AES. В менеджер встроен генератор сложных паролей.

 

Рисунок 2. Интерфейс менеджера паролей в Mozilla Firefox

 

Opera

Поддерживаемые ОС: Windows, macOS, Linux, Android, iOS

Хотя встроенный в Opera менеджер паролей весьма примитивен (поскольку он просто хранит пароли и веб-формы), он имеет два важных преимущества перед своими конкурентами. Первое, которое упоминалось в обзоре менеджера из Firefox, — возможность добавить в браузер мастер-пароль, который всегда требуется для разблокировки паролей, находящихся в программном хранилище. Однако в случае Opera мастер-пароль — это фактически тот же, который используется для входа в компьютер. Второе — наличие встроенного VPN-сервиса SurfEasy.

Но, к сожалению, и Opera не застрахована от нарушений безопасности: в апреле 2016 года компания сообщила, что хакеры смогли украсть более 1,7 миллиона паролей Sync и данных для входа. Впрочем, маловероятно, что такая атака повторится снова, поскольку разработчики презентовали возможность добавления дополнительной парольной фразы к функции синхронизации, которая теперь может шифровать пароли или все данные, синхронизируемые между устройствами.

 

Рисунок 3. Интерфейс менеджера паролей в Opera

 

Safari

Поддерживаемые ОС: macOS, iOS

В отличие от Chrome или Edge, Apple не позволяет своему флагманскому браузеру управлять паролями независимо от операционной системы. Пароли сохраняются в связке ключей Apple iCloud, которая работает на компьютерах Mac, а также на iPhone и iPad.

Функциональных отличий от предыдущих браузеров почти нет, возможность задания мастер-пароля отсутствует. Стоит отметить достойный генератор паролей: он различает формы авторизации, регистрации и смены пароля, а также использует индивидуальные алгоритмы генерации паролей для некоторых сайтов.

Браузера Safari для компьютеров с Windows или устройств на Android нет, поэтому диспетчер паролей Safari подходит только тем, кто полностью привержен экосистеме Apple.

 

Рисунок 4. Интерфейс менеджера паролей в Safari

 

Microsoft Edge

Поддерживаемые ОС: Windows, macOS, Android, iOS

Поскольку новый Edge основан на том же ядре Chromium с открытым исходным кодом, что и Google Chrome, процедуры настройки диспетчера паролей в этих двух интернет-обозревателях очень похожи. Недавно в браузере появился генератор паролей, который выигрывает при сопоставлении с аналогичным механизмом Chrome.

Как и в случае с Google Chrome, сохранённые пароли необходимо удалять по отдельности, чтобы убрать их из Edge на других синхронизированных устройствах.

Подводя общую черту, необходимо отметить, что хотя встроенные менеджеры более понятны для обычного пользователя, их стоит рассматривать не как отдельный продукт, который нацелен на обеспечение безопасности паролей, а как удобное расширение.

Самая большая их уязвимость — в том, что если кто-то получит доступ к вашему компьютеру и зайдёт в браузер, все пароли будут скомпрометированы, так как дополнительные механизмы защиты вроде дополнительной идентификации предусмотрены далеко не везде.

 

Рисунок 5. Интерфейс менеджера паролей в Microsoft Edge

 

Коммерческие аналоги, их преимущества и недостатки

Сторонние компании-разработчики предлагают более широкие функциональные возможности менеджеров паролей. Это объясняется тем, что такие менеджеры являются мультибраузерными, имеют более совершенные механизмы генерирования паролей и дополнительные встроенные функции.

Dashlane

Цена: 0–5,99 доллара США в месяц

Поддерживаемые ОС: Windows, macOS, Android, iOS

Помимо основных функций менеджера паролей Dashlane предоставляет возможность проверить пароли в хранилище на предмет стойкости и автоматически заменить их на сложные в один «клик», если это необходимо. Имеются 1 ГБ места в безопасном хранилище с возможностью доступа сторонних пользователей к данным и безлимитный VPN.

Также Dashlane поддерживает Windows Hello — возможность входа с использованием биометрических данных, в том числе при помощи сканирования лица и отпечатка пальца — и ведёт мониторинг даркнета, позволяя отслеживать скомпрометированные адреса электронной почты, пароли и финансовые сведения. Менеджер имеет бесплатную версию, однако её возможности ограничены: в ней можно сохранить не более 50 паролей.

 

Рисунок 6. Интерфейс менеджера паролей Dashlane

 

Keeper Password Manager & Digital Vault

Цена: 2,91–6,01 доллара США в месяц

Поддерживаемые ОС: Windows, Linux, macOS, Android, iOS

Keeper предлагает лаконичный и удобный интерфейс и предоставляет безопасное хранилище объёмом в 10 ГБ. Так же как и Dashlane, он поддерживает биометрическую аутентификацию с Windows Hello. Дополнительно этот менеджер предлагает пользователю возможности механизма двухфакторной аутентификации (2FA) под названием Keeper DNA, позволяющего генерировать одноразовые пароли на мобильных устройствах. В Keeper встроены функции мониторинга даркнета и зашифрованный чат, который позволяет пользователям безопасно обмениваться файлами.

 

Рисунок 7. Интерфейс менеджера паролей Keeper

 

1Password

Цена: 3,99–7,99 доллара США в месяц

Поддерживаемые ОС: Windows, Linux, macOS, Android, iOS

Как и предыдущие менеджеры, 1Password совместим с Windows Hello и сканирует даркнет на предмет утечек информации. Зашифрованное хранилище рассчитано на хранение 1 ГБ данных. Из уникальных функций менеджера необходимо выделить семейный тариф, который позволяет присоединить одновременно до пяти пользователей с неограниченным количеством устройств, и встроенную функцию родительского контроля, которая позволяет проследить за тем, чтобы дети не смогли сменить пароли от важных ресурсов.

 

Рисунок 8. Интерфейс менеджера паролей 1Password

 

LastPass

Цена: 0–3,9 евро в месяц

Поддерживаемые ОС: Windows, macOS, Android, iOS

Бесплатная версия LastPass предлагает самый широкий спектр возможностей изо всех коммерческих менеджеров паролей, существующих на рынке: она даёт возможность сохранения неограниченного количества паролей на неограниченном количестве устройств с дополнительной возможностью предоставления доступа к ним одному пользователю. Премиум-версия позволяет давать доступ нескольким пользователям, а также обеспечивает биометрическую идентификацию, 1 ГБ пространства в хранилище и круглосуточную поддержку пользователей по электронной почте.

 

Рисунок 9. Интерфейс менеджера паролей LastPass

 

Сравнение и критерии оценки

Ниже приведена сравнительная таблица менеджеров паролей по основным характеристикам, среди которых — возможности проверки и генерации паролей, синхронизации и другие.

 

Таблица 1. Сравнение менеджеров паролей

Параметр сравнения	Chrome	Edge	Safari	Firefox	Opera	Dashlane	Keeper	1Password	LastPass
Импорт из браузера	Да	Да	Да	Да	Да	Да	Да	Да	Да
Мастер-пароль	Нет	Нет	Да	Да	Да	Да	Да	Да	Да
Двухфакторная аутентификация	Да	Нет	Нет	Нет	Нет	Да	Да	Да	Да
Автоматическая проверка сложности пароля	Да	Да	Да	Нет	Нет	Да	Да	Да	Да
Генератор сложных паролей	Да	Да	Да	Да	Нет	Да	Да	Да	Да
Совместный доступ к хранилищу	Нет	Нет	Нет	Нет	Да	Да	Да	Да	Да
VPN	Нет	Нет	Нет	Да	Да	Да	Да	Нет	Да
Синхронизация с несколькими устройствами	Да	Да	Да	Да	Да	Да	Да	Да	Да
Синхронизация с несколькими браузерами	Нет	Нет	Нет	Нет	Да	Да	Да	Да	Да
Стоимость	Бесплатно	Бесплатно	Бесплатно	Бесплатно	Бесплатно	0–5,99 доллара США в месяц	2,91–6,01 доллара США в месяц	3,99–7,99 доллара США в месяц	0–3,9 евро в месяц

 

Выводы

Подытожив всё вышесказанное, можно отметить, что использование менеджеров паролей позволяет значительно облегчить работу с веб-сервисами и обезопасить учётные записи. Данный способ хранения паролей намного надёжнее традиционных, таких как использование одного и того же пароля или комбинации символов с минимальным различием, и можно отметить, что всё больше пользователей начинают осваивать менеджеры.

Однако при выборе менеджера стоит учитывать его особенности и назначение. Например, встроенные в браузер менеджеры удобны, понятны большинству пользователей, но пока всё ещё проигрывают коммерческим аналогам по способности генерировать сложные пароли, не везде присутствует двухфакторная аутентификация, да и нет возможности переключаться между браузерами. Из-за этого большинство экспертов склоняются к тому, чтобы рассматривать такие менеджеры скорее как расширения браузеров и не хранить в подобного рода приложениях важные данные, например для банковских сервисов.

Коммерческие менеджеры обладают большим спектром возможностей, они более комплексны и работают в виде независимых приложений. С точки зрения многих специалистов они более надёжны, чем встроенные в браузеры. Но, к сожалению, немногие пока задаются вопросом информационной безопасности, поэтому для большинства пользователей более привычны и удобны именно браузерные менеджеры.

Менеджер паролей — как выбрать простой и безопасный вариант

Менеджеры паролей — это программы для хранения паролей от учётных записей и безопасной авторизации в интернете.

При регистрации на новом сайте либо в приложении указывают логин и пароль для входа. Уникальные регистрационные данные защищают аккаунт от постороннего доступа. Чем длиннее и сложнее придуманный пароль, тем труднее его взломать. 

Если на всех аккаунтах стоит одинаковый пароль, то в случае его кражи злоумышленники получают доступ ко всем учётным записям пользователя. Но придумывать для каждого аккаунта собственный пароль нереально — столько информации разом запомнить невозможно. Вот тут и пригодятся менеджеры паролей.

Для чего нужны менеджеры паролей

Сохранять пароли в одном месте

Главная функция менеджеров паролей — сохранять информацию об учётных записях пользователей. Можно применять собственный уникальный пароль для каждой отдельной учётной записи: программа сохранит и запомнит любое количество комбинаций. 

Защищать данные

Конечно, вы можете сохранять свои пароли в браузере. Большинство популярных веб-браузеров имеет встроенные администраторы паролей. К примеру, вы регистрируетесь на сайте, а Google Chrome или Microsoft Edge предлагает вам сохранить пароль. При следующем входе на этот же сайт браузер автоматически заполнит нужные данные. 

Плюс браузерных менеджеров паролей — синхронизация между разными устройствами и простота использования. Вам не нужно ничего дополнительно настраивать, достаточно дать согласие запоминать пароли. Однако безопасность сохраняется только на уровне основного приложения. Если посторонний человек получит полный доступ к браузеру, он сможет украсть сохранённые пароли или использовать их для входа в учётные записи. 

Сторонние менеджеры паролей хранят всю информацию в зашифрованном и защищённом от взлома хранилище. Доступ к нему сможет получить только непосредственный владелец. 

Автоматически заполнять формы

Приложение указывает информацию для авторизации в соответствии с сохранённым URL-адресом. Это предотвращает ошибки ввода и защищает от хакерских атак. 

Генерировать сложные пароли

Для каждой новой учётной записи можно создать собственный уникальный пароль из хаотичной комбинации знаков, букв и цифр. Сгенерированный пароль может состоять из нескольких десятков или сотен символов. 

Определять опасные сайты

Менеджер паролей определяет правильный URL-адрес для конкретного идентификатора входа и пары паролей. При несовпадении адресов и предполагаемой подмене URL ввод регистрационных данных отменяется. 

Что обеспечивает безопасность

Менеджеры паролей применяют усовершенствованный стандарт шифрования (AES), который практически не поддаётся взлому. Открыть доступ к зашифрованной информации возможно только с помощью соответствующего мастер-ключа. 

Вам нужно придумать и запомнить один-единственный пароль, который открывает доступ к остальным данным. Представьте, что все ваши пароли находятся в сейфе — менеджере паролей. А мастер-ключ — это код от этого сейфа. 

Как создать безопасный мастер-пароль: 

1. Используйте предложение. Это может быть любимая поговорка или фраза из фильма. Например — «Чтопосеешьтоипожнёшь». 
2. Применяйте разные регистры. Рандомно чередуйте строчные и прописные буквы — «ЧтоПосеешьТоИПожнёшь». 
3. Добавляйте цифры. Это может быть текущий год или памятная для вас дата — «ЧтоПосеешьТоИПожнёшь01122012». 
4. Встраивайте спецсимволы. Несколько специальных символов усложнят ваш пароль — «Что/Посеешь/То/И/Пожнёшь_01122012/».

Для усиления безопасности используйте двухфакторную аутентификацию, которую поддерживают большинство менеджеров паролей. В данном случае помимо мастер-пароля нужно ввести код, который придёт на привязанный телефон или email. Даже если мастер-ключ и вся база попадут к постороннему лицу, доступ к паролям всё равно будет закрыт до ввода дополнительного кода. 

Какие бывают менеджеры паролей

Существуют различные программы для хранения паролей. Они отличаются видом хранилища, способом шифрования информации, набором дополнительных функций. Но можно классифицировать менеджеры паролей по двум основным типам:

• Автономные утилиты. Такие программы сохраняют все данные локально на выбранном устройстве в зашифрованном хранилище. Получить доступ к базе с иного устройства нельзя. Эти утилиты подойдут людям, которые не хотят хранить свои данные в чужой сети. Но при потере устройства пропадут и все пароли. Некоторые локальные менеджеры паролей позволяют создавать несколько хранилищ на разных устройствах и при желании синхронизировать их. 
• Облачные сервисы. Облачные программы хранят данные в сети поставщика услуг, который несёт ответственность за безопасность паролей. Веб-менеджеры могут быть представлены различными вариантами — браузерное расширение, мобильное или настольное приложение. Основное преимущество в том, что вы получаете доступ к паролям с любого своего устройства. 

Существуют программы смешанного типа, которые позволяют выбрать тип хранилища (локальное или облачное) и создавать резервные копии локальной базы в облаке.  

Краткий обзор лучших менеджеров паролей

LastPass 

В бесплатной версии LastPass отсутствует ограничение на количество паролей и устройств. Пользователи платной версии могут создавать общий доступ для нескольких аккаунтов и использовать безопасное хранилище на 1 Гб.

Форма добавления паролей в кабинете пользователя LastPass

Платформа:

• ОС: Mac, Windows, Linux.
• Браузеры: Chrome, Firefox, Safari, Internet Explorer, Opera, Microsoft Edge.

Основные функции:

• Синхронизация между устройствами.
• Мультифакторная аутентификация.
• Проверка надёжности паролей.
• Цифровой кошелёк для хранения данных банковских карт.
• Генератор паролей.
• Резервное копирование в облако.

Стоимость и способ оплаты:

Бесплатно с ограничением функционала или от $3 в месяц с ежегодной оплатой.

Dashlane 

В Dashlane на любом тарифе можно менять сотни паролей в один клик. Бесплатная версия ограничена 50 паролями и одним устройством.

Раздел для добавления персональных данных в приложении Dashlane

Платформа:

• Mac, Windows.
• Android, iOS.

Основные функции:

• Двухфакторная аутентификация.
• Автозаполнение форм и платёжных данных.
• Персонализированные оповещения о безопасности.
• DarkWeb-мониторинг и оповещения.
• VPN для защиты Wi-Fi.

Стоимость и способ оплаты:

Бесплатно или от $3,33 в месяц с ежегодным выставлением счёта.

Enpass 

У Enpass есть лишь локальное хранилище данных. Однако можно синхронизировать данные с вашим облачным хранилищем. В бесплатной версии есть почти все основные функции, но присутствует ограничение до 25 паролей.

Интерфейс настольного приложения Enpass

Платформа:

• Android, iOS.
• Windows, Macos, Linux.
• Firefox, Chrome, Safari.

Основные функции:

• Локальное хранилище.
• Резервное копирование в облако.
• Автозаполнение форм.
• Синхронизация между устройствами.
• Проверка надёжности паролей.
• Хранение файлов и заметок.
• Мультифакторная аутентификация.
• Поддержка умных часов.
• Возможность входа с использованием биометрии (отпечаток пальца, распознавание лица).
• Установка на USB-накопитель.

Стоимость и способ оплаты:

Бесплатно для 25 паролей, от $1 в месяц с полугодовой или годовой оплатой, единоразовая покупка.

Sticky Password 

В Sticky Password можно создать мобильный менеджер паролей. Вы можете скопировать зашифрованные данные на USB или карту памяти и использовать их для доступа к своим аккаунтам на любом компьютере. Бесплатная версия программы не ограничивает пользователя по числу аккаунтов и устройств.

Личный кабинет в Sticky Password

Платформа:

• ОС: Windows, Mac.
• Браузеры: Chrome, Firefox, Safari, Edge (Chromium), Opera + еще 11 браузеров.
• Android, iOS (iPhone, iPad).

Основные функции:

• Автозаполнение форм.
• Генерация сложных паролей.
• Хранение данных банковских карт.
• Синхронизация между устройствами.
• USB-менеджер паролей.
• Двухфакторная и биометрическая аутентификация.
• Резервное облачное копирование.
• Безопасные заметки.

Стоимость и способ оплаты:

Бесплатно с ограничением функционала или $29.99 за годовую лицензию.

RoboForm

В RoboForm можно хранить пароли, паспортные и банковские данные, а также другую информацию, необходимую при заполнении различных форм. Приложение позволяет создать несколько наборов данных для автозаполнения форм.

Раздел настроек аккаунта в RoboForm

Платформа:

• Все основные браузеры.
• ОС: Windows, Mac.
• iOS, Android.

Основные функции:

• Автозаполнение форм.
• Автозахват и сохранение паролей в процессе серфинга.
• Синхронизация между устройствами.
• Резервное облачное копирование.
• Дополнительное локальное хранилище.
• Импорт из всех основных менеджеров паролей и браузеров.
• Генерация сложных паролей.
• Многофакторная аутентификация.
• Цифровой кошелёк.
• Безопасные заметки.
• Пароли приложений Windows.

Стоимость и способ оплаты:

Бесплатно без ограничения по количеству паролей или от $1,99 в месяц с ежегодной оплатой за расширенный функционал.

Какой менеджер паролей выбрать из нашего топа, если нужно…

Бесплатное локальное хранилище без ограничения по числу паролей и устройств.	LastPass
Быстро поменять сотни паролей и автоматически синхронизировать их на различных устройствах.	Dashlane
Хранить пароли в локальном хранилище и синхронизировать их с облаком по мере необходимости.	Enpass
Получать доступ к своим аккаунтам на любом компьютере через USB.	Sticky Password
Заполнять длинные веб-формы и безопасно делиться данными с другими пользователями.	RoboForm

Как выбрать менеджер паролей?

Объясняем, зачем нужен менеджер паролей и какими необходимыми функциями он должен обладать.

Если вы придерживаетесь базовых рекомендаций при создании надежного пароля (или используете наш генератор случайных паролей), значит у вас должно накопиться множество длинных и сложных пароле.

Хочется верить, что это так и искренне похвалить за то, что вы серьезно относитесь к безопасности ваших данных. Но где же вы храните все эти пароли? Запомнить и держать их в голове — дело хлопотное, а вариант с их записью на листе бумаги мы даже не будем рассматривать. Специально для этого существуют менеджеры паролей.

Менеджер паролей — это не просто хранилище, но и надежный сейф, которому вы можете доверить свой кошелек, личные данные и всю свою цифровую жизнь. Прошли те дни, когда менеджер паролей использовался просто для удобства. Сегодня это необходимый инструмент для защиты учетных данных, паролей, а в некоторых случаях и номеров банковских карт.

Киберпреступники используют множество автоматизированных инструментов для брутфорса — перебора тысяч комбинаций для подбора пароля. В базу для подобного перебора занесены комбинации часто используемых паролей и словарных слов. В случае персонализированной атаки в него также включаются детали из личной жизни: даты рождения, номера телефонов, клички домашних животных.

Именно поэтому рекомендуется создавать сложные пароли, которые не ассоциируются с вами. И использовать один пароль для одного сайта, ведь в случае взлома или утечки информации, скомпрометированная пара логин-пароль прогоняется по остальным популярным сервисам.

Благодаря менеджеру паролей вы можете создать для каждой учетной записи уникальный пароль, который невозможно выучить. Все, что вам нужно, — запомнить один главный пароль для входа в программу. Как только вы начнете им пользоваться, вы быстро поймете, что менеджер паролей — один из самых полезных цифровых инструментов.

Рассмотрим ключевые функции, которыми должен обладать хороший менеджер паролей.

Безопасность

Не все менеджеры паролей обладают одинаковыми функциями. Большинство из них имеют основные функции защиты, необходимые для надлежащего управления паролями, такие как обнаружение ненадежных паролей, генераторы паролей и двухфакторная аутентификация.

И хоть эти функции действительно важны, некоторые разработчики менеджеров паролей предпринимают дополнительные шаги, чтобы обеспечить более надежную защиту. Добавляются такие функции, как управление паролями для приложений, также как и для сайтов, и предупреждение об утечке данных с сайтов, на которых вы зарегистрированы. Сравнивая менеджеры паролей, учитывайте следующие функции защиты, чтобы выбрать для себя самый надежный вариант.

Многофакторная аутентификация

Чтобы подтвердить вашу личность, некоторые приложения, сайты, а также все надежные менеджеры паролей используют двухфакторную или многофакторную аутентификацию.

Смс с паролем от онлайн-банка — один из примеров такого метода.

Менеджеры паролей используют способы 2FA и MFA для усиленной защиты, как, например, бесплатный менеджер паролей Avast Passwords, который поддерживает функцию входа в учетную запись по отпечатку пальца.

Генератор безопасных паролей

Убедитесь, что в менеджере паролей предусмотрена функция генерации безопасных паролей. Эта функция достаточно распространенная, и вам стоит иметь ее в своем распоряжении.

Сегодня необходимо создавать длинные и сложные пароли. Они должны быть почти невозможными для запоминания и уникальными для каждой учетной записи. Чтобы каждый раз не мучиться, придумывая их, вы можете просто воспользоваться генератором паролей, чтобы тут же создать сложный пароль.

Безопасная синхронизация паролей

Это важная функция для всех, кто использует несколько устройств: ноутбуки, настольные компьютеры, планшеты и телефоны. Выберите менеджер паролей с функцией безопасной синхронизации на всех устройствах. Таким образом, если вы сохраните пароль для Facebook на своем ноутбуке, он автоматически сохранится и на телефоне. Если функция синхронизации не работает должным образом, это негативно скажется на удобстве и эффективности использования менеджера паролей.

Автоматическое обновление паролей

Эта функция чрезвычайно полезна, но не все менеджеры паролей ее поддерживают. Те менеджеры паролей, в которых эта функция доступна, предлагают мгновенное автоматическое обновление паролей для взломанных сайтов.

Таким образом, прежде чем злоумышленник успеет использовать украденный пароль, он уже будет изменен на новый. Avast Passwords заботится о вашей безопасности, постоянно проверяя всемирную базу данных взломанных сайтов, и предупреждает вас в случае уязвимости ваших учетных записей.

Вы можете также воспользоваться бесплатным инструментом Avast Hack Check, чтобы узнать, была ли скомпрометирована одна из ваших учетных записей.

Удобство использования

Многие менеджеры паролей имеют одни и те же функции, обеспечивающие удобство пользования. Например, автозаполнение паролей. Эта функция подставляет сохраненные пароли и освобождает вас от необходимости их запоминать.

Существует множество дополнительных функций. Найдите тот набор, который будет подходить именно вам.

Расширения для браузера

Расширение для браузера — это одна из основных функций, которой располагают популярные менеджеры паролей. Она нацелена на то, чтобы обеспечить вам максимальный комфорт и безопасность в сети.

Менеджер паролей для приложений

Многие из нас заходят в свои учетные записи через соответствующие приложения, в то время как большинство менеджеров паролей защищают ваши данные только на веб-сайтах. Разработчики продвинутых менеджеров паролей понимают это и предлагают расширенные функции для защиты паролей как на веб-сайтах, так и в приложениях.

1Password — отличный пример менеджера паролей с функцией управления паролями для приложений.

Функция «Электронный кошелек»

Не путайте с криптокошельками, которые используются исключительно для отправки и получения криптовалюты. Определенные менеджеры паролей включают в себя функцию «Электронный кошелек». Эти кошельки хранят номера ваших кредитных карт и другие платежные реквизиты в защищенном виде, автоматизируя процесс их ввода при покупке.

Dashlane, Avast Passwords и LastPass — менеджеры паролей, в которых доступна эта функция.

 

Экстренный доступ для других пользователей

В некоторых менеджерах паролей можно указать контакты на экстренный случай. Эта функция может быть полезной, поскольку позволяет членам семьи или коллегам получить доступ к важным учетным записям в случае чрезвычайной ситуации.

В связи с этим некоторые менеджеры паролей предлагают семейную подписку, которая позволяет пользоваться менеджером паролей совместно с другими пользователями для определенных учетных записей. Данная функция может пригодиться дома или на работе.

Dashlane — менеджер паролей, в котором есть функция доступа для других пользователей.

TeamsID, Dashlane, RoboForm, 1Password — менеджеры паролей, в которых есть семейная и командная подписка.

LastPass — менеджер паролей, который в платной версии предлагает функции семейного доступа.

Платформы

Как быть, если у вас есть компьютер под управлением Windows и iOS-смартфон, и вы хотите защитить оба устройства? Несколько менеджеров паролей, включая Avast Passwords, предлагают многоплатформенные решения, которые позволяют синхронизировать пароли между платформами и устройствами, включая мобильные приложения.

Некоторые менеджеры паролей поддерживают кроссплатформенную синхронизацию только в платной версии. Некоторые работают только с ОС Android, некоторые — только с macOS, а некоторые — со всеми. Выбирая менеджер паролей, убедитесь, что он будет работать с необходимыми вам платформами и устройствами.

Защитите и сохраните свои пароли прямо сейчас

Теперь, когда вы имеете представление о том, как работают менеджеры паролей, самое время приступить к выбору подходящего варианта. Поверьте, вы заметите разницу. Пользоваться интернетом становится гораздо приятнее, когда вы не тратите большую часть времени на вход в учетные записи на различных сайтах.

И хотя существует множество отличных менеджеров паролей, мы рекомендуем попробовать Avast Passwords — надежный менеджер паролей на русском языке, который к тому же еще и бесплатный. Он не ограничивает вас одним браузером или устройством.

Посмотреть дополнительную информацию, а также скачать бесплатно Avast Passwords вы можете на нашем сайте.

Роскачество определило лучшие менеджеры паролей

Эксперты Российской системы качества (Роскачество) провели сравнительный анализ приложений для централизованного хранения и управления паролями. По словам авторов исследования, необходимость в таких утилитах стала особенно важна на фоне роста киберпреступности в этом году.

Всего были протестированы 24 инструмента: 10 для iOS и 14 для Android. На обеих платформах победили одни и те же пять программ, но места распределились по-разному — в зависимости от набора функций, доступных в той или иной версии.

Приложениями-лидерами стали Kaspersky Password Manager (1 место на iOS, 2 — на Android) и Keeper (1 место на Android, 2 — на iOS). Решение от российской «Лаборатории Касперского» позволяет хранить не только пароли, но и данные банковских карт, добавлять фото с помощью камеры и генерировать безопасные кодовые фразы даже без входа в хранилище. Однако Kaspersky Password Manager для Android, отметили эксперты Роскачества, несколько проигрывает iOS-версии в плане функций, что повиляло на более низкую оценку.

В то же время Keeper является самым популярым инструментом — им пользуются более 10 миллионов человек. Программа получила высокий балл за безопасность, возможность анализа надежности и уникальности паролей, а также проверки по утекшим базам.

«Бронзу» на обеих операционнных системах взял инструмент RoboForm — его аналитики Роскачества признали самым функциональным. Менеджер обладает встроенным браузером, а его генератор паролей позволяет исключить похожие символы, что встречается довольно редко. С другой стороны, RoboForm не полностью переведен на русский язык.

На четвертой строчке (как на Android, так и iOS) расположился 1Password. В нем можно встретить редкие функции — например, возможность сохранять логин без пароля или пароль без логина, создавать несколько пар логинов и паролей для одного сайта или временно скрывать данные на устройстве.

Замкнул пятерку SafeInCloud — самый удобный, по мнению аналитиков Роскачества, менеджер паролей. Большую часть нужных действий пользователи могут выполнить за несколько нажатий. Интерфейс полностью переведен на русский язык.

С полной версией рейтинга можно ознакомиться на сайте Роскачества. Приложения можно отсортировать по критериям (функциональность, безопасность, удобство и так далее), а также сравнить друг с другом.

Менеджер паролей LastPass настраивает параметры многофакторной аутентификации

Новое приложение LastPass сочетает в себе функциональность для бизнес-клиентов и клиентов

Одним из наиболее важных шагов в обеспечении безопасности современной вычислительной среды для бизнеса является добавление многофакторной аутентификации (MFA), чтобы злоумышленник, укравший учетные данные, не мог получить доступ к защищенным ресурсам. Согласно исследованию Microsoft 2019 года, требование использования дополнительного фактора аутентификации помимо пароля блокирует 99.9% автоматических атак на облачные сервисы. В отдельном отчете Google примерно того же времени был сделан аналогичный вывод.

Этот факт объясняет, почему разработчики программного обеспечения для управления паролями устанавливают более тесные связи между своими продуктами и технологиями MFA. Последним участником является широко используемый LastPass, который сегодня объявил о выпуске нового мобильного приложения LastPass Authenticator.

Новое приложение, которое бесплатно для всех, включая клиентов LastPass с бесплатными учетными записями, объединяет функции, которые ранее были разделены на два приложения, с отдельным приложением LastPass MFA для бизнес-клиентов.По словам Ахила Талвара, директора по управлению продуктами материнской компании LastPass LogMeIn, доступность двух приложений сбивала с толку некоторых клиентов-потребителей, которые случайно загрузили не то решение.

Обновленное приложение доступно для устройств Android сегодня и должно быть доступно для устройств iOS на следующей неделе. Приложение LastPass MFA будет продолжать работать для бизнес-клиентов, которые его развернули, хотя компания ожидает, что эти клиенты со временем перейдут на новое приложение.

LastPass — не первая технологическая компания, которая сделала такой шаг. Microsoft также предложила два приложения-аутентификатора, одно для учетных записей Microsoft, а другое для корпоративных и корпоративных учетных записей, работающих в Azure Active Directory, прежде чем выпустить унифицированное приложение Authenticator в 2016 году.

Новое приложение LastPass должно быть знакомо всем, кто использовал подобные приложения, например Google Authenticator или Authy. (Обзор технологии см. В разделе «Лучше, чем лучший пароль: как использовать двухфакторную аутентификацию для повышения безопасности».»)

По сравнению с простым решением Google обновленный LastPass Authenticator предлагает несколько преимуществ удобства использования, включая возможность сортировки, поиска и фильтрации длинного списка сохраненных поставщиков MFA. Подобно Authy и Microsoft Authenticator, приложение LastPass также включает возможность резервного копирования и восстановления конфигураций и сохранения кодов резервного копирования вручную в хранилище LastPass.

Новое приложение также поддерживает вход без пароля в учетные записи, которые поддерживают язык разметки утверждения безопасности (SAML).Так, например, пользователь, который связал приложение LastPass с учетной записью Azure AD, может войти на рабочую станцию ​​Windows, ответив на запрос, а не вводя код TOTP, аналогично механизму, который использует Microsoft Authenticator.

ZDNet рекомендует

Лучший менеджер паролей

Каждому нужен менеджер паролей.Это единственный способ сохранить уникальные, трудно угадываемые учетные данные для каждого защищенного сайта, к которому вы и ваша команда ежедневно получаете доступ.

Читать далее

Для предприятий LastPass также может выступать в качестве полноценной платформы идентификации, предлагая функции единого входа в корпоративном стиле для малых предприятий, реализованные с помощью поставщика управляемых услуг. Такая настройка упрощает прием на работу новых сотрудников и безопасное отключение их доступа к защищенным ресурсам, когда они покидают компанию.

Одна функция, которую вы не увидите в новом приложении LastPass, — это комбинированный доступ к паролям и кодам MFA. Эта функция доступна в конкурирующих менеджерах паролей, таких как 1Password, и недавно дебютировала в Microsoft Authenticator. На данный момент, говорит Талвар, клиенты LastPass с подозрением относятся к объединению обеих функций в одном приложении.

менеджеров паролей: вы делаете это неправильно

(Изображение: Getty)

Если мы говорили вам однажды, мы говорили вам миллион раз — получите менеджер паролей и используйте его! Судя по финансовому успеху рынка менеджеров паролей, вы обращаете внимание.Но правильно ли вы используете свой менеджер паролей?

Стюарт Шехтер, лектор и руководитель курса по удобной конфиденциальности и безопасности Калифорнийского университета в Беркли, беспокоится о том, что это не так. Настолько, что он призвал своих аспирантов узнать, чем вы занимаетесь. На этой неделе на виртуальной конференции по безопасности RSA Шехтер и аспирант Дэвид Нг представили свои выводы.

---

Пароль мертв, да здравствует пароль

Шехтер представился тем парнем, который носил маску N95 на прошлогоднем RSAC, чудак среди моря обнаженных лиц.Он отметил, что это произошло не из-за какого-либо предвидения пандемии коронавируса, а из-за нежелания делать оптимистические предположения в отсутствие данных. Точно так же, не имея данных, он не может предположить, что потребители используют менеджеры паролей должным образом.

Шехтер вспомнил предсказание Билла Гейтса 2004 года, согласно которому мы будем все реже и реже использовать пароли. «Microsoft говорила об искоренении паролей, как если бы это была болезнь, такая как оспа», — сказал Шехтер. «Но отдельный лагерь делает ставку на то, что пароли умножатся, никуда не денутся.Он глубоко погрузился в эволюцию менеджеров паролей, наряду с такими событиями, как выпуск Microsoft CardSpace в 2006 году, предназначенный для прекращения использования паролей (этого не произошло), и его заявление о том, что Windows 10 означает конец паролей (это не так). .

Использование диспетчера паролей сопряжено с одним внутренним риском — вы положили все яйца в одну корзину. В том маловероятном случае, если команда хакеров взломает ваш менеджер паролей, у вас проблемы. Преимущества использования менеджера паролей бесчисленны, в том числе защита от фишинговых атак.

«Вы полагаетесь на свой менеджер паролей, чтобы ввести пароль, который вы даже не знаете. Если вы попадете на фишинговый сайт, менеджер паролей не заполнит его, — сказал Шехтер. «Вам придется поискать это в диспетчере паролей, и уже одно это является большим признаком того, что вас атакуют фишинг».

В более раннем исследовании Шехтер и его коллега оценивали способность людей запоминать надежные пароли. Хорошие новости? Они определили, что почти каждый может запомнить очень надежный пароль.Плохая новость заключается в том, что для этого потребовалось 20-30 тренировок с интервалом не менее получаса, и что пароль можно было забыть, если не использовать его регулярно.

Все преимущества использования диспетчера паролей зависят от трех предположений: мы предполагаем, что пользователи запомнят надежный пароль; что они будут полагаться на способность менеджера паролей генерировать случайные пароли; и что они изменят все слабые, повторно используемые или взломанные пароли. Но верны ли эти предположения? Вместо того, чтобы отдавать предпочтение оптимизму из-за отсутствия данных, Шехтер призвал своих аспирантов искать истину.

---

Данные, данные, данные

Аспирант Дэвид Нг подробно рассказал о том, как группа находила своих участников, отсеивая первоначальный пул из почти 2500 человек до примерно 100, которые использовали менеджер паролей более пяти месяцев; удалось как минимум пять паролей; и были готовы предоставить скриншот панели безопасности своего менеджера паролей.

Итак, использовали ли участники надежный мастер-пароль? Очень немногие заставляли менеджер паролей генерировать пароль, который они затем запоминали.Гораздо более многочисленная группа разработала пароль, используя какую-то мнемонику, как мы в PCMag часто предлагаем. Увы, однако, самая большая группа признала, что повторно использовала знакомый пароль в качестве главного ключа для своих менеджеров паролей.

Вы можете использовать диспетчер паролей, чтобы сохранить нажатия клавиш, оставив все свои пароли равными 12345678 или другим ужасным паролем. Правильное использование, конечно, требует, чтобы вы заменили эти ненадежные пароли на что-то, сгенерированное служебной программой паролей. Исследование показало, что едва ли пятая часть тех, кто полагается на встроенный менеджер паролей Chrome, когда-либо позволяла ему генерировать пароли.Около половины тех, кто полагается на сторонние утилиты, воспользовались этой функцией.

Рекомендовано нашими редакторами

Исследование продолжалось с целью изучения того, как (и использовали ли) участники способность функции информационной панели безопасности определять слабые, повторяющиеся и взломанные пароли. Результаты были обескураживающими. Даже те участники, которые согласились с тем, что инструмент паролей правильно определяет пароли, нуждающиеся в замене, нечасто решают проблему . Причины включали в себя то, что это было слишком много работы, или что они беспокоились, что обновление пароля может вызвать проблему.

---

Не думайте, что люди знают, что они делают

Нг завершила презентацию предупреждением для экспертов по безопасности и отдельных лиц. Наличие у людей менеджеров паролей не означает, что они полностью защищены.

«Не думайте, что люди выберут надежные мастер-пароли, — сказал он. — Не предполагайте, что они будут использовать пароли, созданные менеджером паролей. И не думайте, что они заменят слабые, повторно используемые или скомпрометированные пароли. , даже когда напомнили.”

Как насчет вас? У вас ведь есть менеджер паролей? Вы проверили его панель управления? Вы заменили эти неубедительные, легко угадываемые пароли? Если нет, то пора серьезно.

Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.

Менеджер паролей Google получает множество новых функций

(Pocket-lint) — менеджер паролей Google получает обновление с множеством новых функций, которые сделают службу намного более полезной.

В настоящее время существует система управления паролями, которую вы найдете в Android и Chrome, она связана с вашей учетной записью Google и доступна на сайте passwords.google.com.

В обновлении системы — и для того, чтобы побудить большее количество людей использовать ее — в службу будет внесено несколько изменений.

Во-первых, вы сможете импортировать пароли из других сервисов. Технически это означает, что если вы переходите с одной системы паролей на систему Google, вы легко сможете перенести все эти пароли.

Это может напугать такие сервисы, как LastPass, который недавно начал взимать плату за свою службу паролей, но еще неизвестно, перенесет ли он ваши пароли из Apple.

Хотя существовала система, предлагающая вам безопасные и уникальные пароли и запоминающая их за вас, теперь она будет намного более проактивной, сообщая вам, когда пароль был скомпрометирован из-за взлома или нарушения безопасности.

Не только это, но вы сможете использовать диспетчер паролей, чтобы изменить взломанный пароль для вас, снова сделав ваши учетные записи безопасными.

EaseUS — это самый простой способ восстановить ваши конфиденциальные данные на Mac или ПК По продвижению Pocket-lint · 21 мая 2021 года

Точно, когда появятся обновления, не было подтверждено, но похоже, что Google хочет более серьезно относиться к защите ваших учетных записей.

Написано Крисом Холлом.

Менеджер паролей Google позволит вам изменять взломанные пароли одним касанием

Google также упрощает импорт паролей из сторонних менеджеров паролей.

Google анонсировал несколько важных улучшений своего менеджера паролей, чтобы упростить его использование. Обновленный менеджер паролей станет более умным и позволит автоматически изменять взломанные пароли одним касанием с помощью технологии Google Duplex.

Google Duplex был впервые анонсирован на I / O 2018, он позволяет звонить от вашего имени и даже записываться в салон.

Google использует Duplex, чтобы сделать свой диспетчер паролей умнее

Теперь Google использует ту же технологию Duplex, чтобы упростить изменение взломанных паролей в Chrome для Android.В следующий раз, когда вы получите в Google Chrome на Android запрос на изменение взломанного пароля, просто нажмите кнопку «Ассистент» рядом с опцией Изменить пароль .

С помощью Duplex Google Assistant позволит вам изменить взломанный пароль одним нажатием.Ассистент автоматически сгенерирует новый пароль, который вы можете принять. У вас также есть возможность настроить длину сгенерированного пароля по своему усмотрению.

После того, как вы примете предложенный пароль, нажав опцию Использовать пароль , Google Assistant сделает всю тяжелую работу за вас.Вы можете вручную вмешаться в процесс в любое время. Обновленный пароль также будет сохранен в диспетчере паролей Google и синхронизирован с другими вашими устройствами.

Если один из ваших паролей был взломан, новая функция Chrome на Android может изменить его за вас всего одним нажатием.Найдите кнопку «Ассистент» рядом с поддерживаемыми сайтами в диспетчере паролей. #GoogleIO pic.twitter.com/hKgpY0SnDn

— Google (@Google) 18 мая 2021 г.

Однако, прежде чем вы будете слишком взволнованы, Google подтвердил TechCrunch, что эта функция «изначально будет работать в небольшом количестве приложений и веб-сайтов, включая Twitter, но в будущем она будет расширена на другие сайты.»Эта функция пока будет доступна только в Chrome для Android в США, а в ближайшие несколько месяцев появится поддержка для большего числа стран и веб-сайтов.

По теме: Cloud vs.Локальные менеджеры паролей: какой из них вам подходит?

Легко импортируйте свои пароли в диспетчер паролей Google

Помимо автоматизации смены скомпрометированных паролей, Google также обновляет свой менеджер паролей, чтобы упростить импорт паролей из сторонних менеджеров паролей.Это означает, что будет проще импортировать пароли в менеджер паролей Google из 1Password, LastPass или любого другого менеджера паролей, который вы используете.

Кроме того, Google продолжает углублять интеграцию своего диспетчера паролей в Chrome и Android.Это должно упростить использование диспетчера паролей Google для автозаполнения данных для входа в приложения и веб-сайты на устройствах Android.

Диспетчер паролей Google уже может выделить ваши взломанные пароли.В дальнейшем он будет автоматически предупреждать вас о взломанных паролях, чтобы вы могли быстро защитить свою учетную запись.

От Google не было ни слова о том, как и будет ли он предлагать свой улучшенный менеджер паролей пользователям iPhone и iPad или нет.Тем не менее, Google вносит серьезные улучшения в свой менеджер паролей, делая его для многих жизнеспособной альтернативой 1Password и LastPass.

Какой менеджер паролей лучше всего подходит для вашего устройства?

Какое приложение для управления паролями лучше всего подходит для вашего компьютера, смартфона или планшета? Давай выясним…

Читать далее

Об авторе Раджеш Панди (Опубликовано 153 статьи)

Раджеш Пандей начал следить за технологической сферой примерно в то время, когда устройства Android стали массовыми.Он внимательно следит за последними разработками в мире смартфонов и за тем, что делают технологические гиганты. Он любит возиться с новейшими гаджетами, чтобы увидеть, на что они способны.

Более От Раджеша Панди

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Гугл просто убил сторонние менеджеры паролей? — Phandroid

Сохранение конфиденциальности и безопасности вашей информации, такой как пароли и банковские данные, сегодня важнее, чем когда-либо прежде. Учетные записи постоянно взламывают, поэтому Google уже начал автоматически включать двухфакторную аутентификацию для любой вновь созданной учетной записи Google. Сегодня Google делает шаг вперед, когда дело доходит до создания ваших ценных паролей и управления ими.

Если у вас есть учетная запись Google, в вашем распоряжении уже есть менеджер паролей. Созданные логины синхронизируются на всех ваших устройствах благодаря мощности Chrome, и Google анонсировал еще больше улучшений во встроенном диспетчере паролей.

Первая из них — это возможность легко импортировать пароли из других приложений и служб диспетчера паролей, таких как 1Password или LastPass. Более глубокая интеграция между Chrome и Android гарантирует, что вы можете беспрепятственно входить в сайты и приложения, которые вы пытаетесь открыть, без необходимости использовать для этого другое приложение.

Chrome уже уведомляет вас, если пароль был скомпрометирован, но новые оповещения о пароле будут предупреждать вас в момент обнаружения утечки данных с одним из ваших паролей внутри. Наконец, самая интересная новая функция — это возможность исправлять потенциально взломанные пароли «простым касанием». Если веб-сайт или приложение поддерживает эту функцию, вы увидите запрос «сменить пароль» от Google Ассистента. Если этот параметр выбран, Ассистент будет рядом с вами на протяжении всего процесса смены пароля, автоматически заполняя поля, которые необходимо заполнить.

Помимо интеграции с Ассистентом, это все функции, предлагаемые различными приложениями для управления паролями, доступными в Play Store. Разница здесь в том, что все интегрировано с вашей учетной записью Google и Chrome. Бесперебойное взаимодействие, надежная конфиденциальность и безопасность, предлагаемые Google по сравнению с использованием стороннего клиента, станут ключевым отличием при принятии решения о переходе на Диспетчер паролей Google.

Google сделал свой менеджер паролей еще более полезным для Chrome и Android

Источник: Джо Маринг / Android Central

Посмотрим правде в глаза, ребята.Пароли сложны. Вы должны придумать новый, уникальный, запоминающийся пароль для каждого веб-сайта, на который вы входите, но большинство из нас в конечном итоге повторно использует старые пароли — или, что еще хуже, забывая, какой уникальный пароль мы придумали. Вот почему лучшие менеджеры паролей Android могут обходиться без взимания до ста долларов в год — или вы можете использовать Менеджер паролей Google бесплатно.

Диспетчер паролей Google, встроенный в Google Chrome, интегрирован с автозаполнением на Android, интегрирован с настольным браузером Chrome, и его стало еще проще использовать для изменения тех ужасных старых паролей, которые были обнаружены в пяти различных взломах базы данных.Выполнив развертывание Chrome для пользователей Android в США и других странах в ближайшие месяцы, вы сможете увидеть всплывающее окно Google Assistant, когда находитесь на веб-сайте с неверным паролем. Если вы нажмете на него, Google Password Manager теперь может использовать Duplex в Интернете, чтобы изменить этот плохой пароль на длинный, надежный, случайно сгенерированный пароль, который Google будет хранить для вас в безопасности.

VPN-предложения: пожизненная лицензия за 16 долларов, ежемесячные планы за 1 доллар и более

Это не будет поддерживать каждый веб-сайт при первом запуске, но, надеюсь, в ближайшие недели и месяцы будет добавлено все больше и больше сайтов.это происходит сразу после того, как Google возобновляет продвижение двухфакторной аутентификации в учетных записях Google. Кроме того, если вы еще этого не сделали, пора включить двухфакторную аутентификацию для вашей учетной записи Google.

Слушали ли вы подкаст Android Central на этой неделе?

Каждую неделю центральный подкаст Android знакомит вас с последними техническими новостями, аналитикой и горячими комментариями со знакомыми соведущими и специальными гостями.

• Подписаться в Pocket Casts: Audio
• Подписаться в Spotify: Audio
• Подписаться в iTunes: Audio

Мы можем получать комиссию за покупки, используя наши ссылки.Учить больше.

Носили ли вы на этой неделе?

9 невероятных объявлений Google I / O, которые вы могли пропустить

Google I / O принесла целую волну новых функций и улучшенных возможностей почти для всех подразделений сервисов Google. В то время как в этом году можно было легко заметить большие изменения, многие мелкие изменения и дополнения могут остаться незамеченными, если вы не будете обращать на них внимания. Эти объявления Google I / O — маленькие победы, которые могут иметь большое влияние на миллионы пользователей.

Делать ставки

Android Automotive — секретное оружие Google для победы в будущем мобильности

Google I / O был наполнен новыми подробностями о различных продуктах и ​​услугах компании, но одним из наиболее интересных было то, насколько большое значение имеет автомобильный сектор в его планах на будущее. В следующей машине, на которой вы будете ездить, может быть отпечаток Google, если ручейки станут более заметной тенденцией.

5 лучших менеджеров паролей: особенности, цены и советы

Менеджеры паролей — это овощи в Интернете.Мы знаем, что они полезны для нас, но большинству из нас больше нравится перекусить паролем, эквивалентным нездоровой пищи. Семь лет подряд это были «123456» и «пароль» — два наиболее часто используемых пароля в Интернете. Проблема в том, что большинство из нас не знает, из чего состоит хороший пароль, и в любом случае не может вспомнить сотни паролей.

Теперь, когда так много людей работают из дома, вне корпоративной сети, количество необходимых паролей, возможно, значительно увеличилось. Самый безопасный (если не самый безумный) способ сохранить их — это запомнить их все.(Убедитесь, что они длинные, прочные и надежные!) Шучу. Это могло бы сработать для Великого Мастера Памяти Эда Кука, но большинство из нас не способны на такие фантастические подвиги. Нам нужно переложить эту работу на менеджеров паролей, которые предлагают безопасные хранилища, которые могут заменить наши неисправные, перегруженные воспоминания.

Диспетчер паролей предлагает удобство и, что еще более важно, помогает создавать более качественные пароли, что делает вашу онлайн-жизнь менее уязвимой для атак на основе паролей. Обязательно ознакомьтесь с нашим руководством по поставщикам VPN, чтобы узнать больше о том, как вы можете повысить свою безопасность, а также с нашим руководством по резервному копированию ваших данных, чтобы ничего не потерять в случае непредвиденных обстоятельств.

Обновлено в марте 2021 года: мы перестали рекомендовать Lastpass, поскольку он фактически больше не является бесплатным и не предлагает особых причин для его использования. Мы добавили раздел о том, как мы тестируем.

Специальное предложение для считывателей Gear: получите годовую подписку на WIRED за 5 долларов (скидка 25 долларов) . Это включает неограниченный доступ к WIRED.com и нашему печатному журналу (если хотите). Подписки помогают финансировать нашу повседневную работу.

Если вы покупаете что-то, используя ссылки в наших историях, мы можем получать комиссию.Это помогает поддерживать нашу журналистику. Узнать больше .

Почему бы не использовать браузер?

Большинство веб-браузеров предлагают хотя бы элементарный менеджер паролей. (Здесь хранятся ваши пароли, когда Google Chrome или Mozilla Firefox спрашивают, хотите ли вы сохранить пароль.) Это лучше, чем повторное использование одного и того же пароля повсюду, но браузерные менеджеры паролей ограничены.

Причина, по которой эксперты по безопасности рекомендуют использовать специальный менеджер паролей, сводится к фокусу.У веб-браузеров есть другие приоритеты, и у них не оставалось много времени для улучшения своего менеджера паролей. Например, большинство из них не будут генерировать для вас надежные пароли, и вы вернетесь к «123456». Специализированные менеджеры паролей преследуют единственную цель и уже много лет добавляют полезные функции. В идеале это ведет к большей безопасности.

Как мы тестируем

Лучшие и наиболее безопасные криптографические алгоритмы доступны через библиотеки программирования с открытым исходным кодом.