Что такое менеджер паролей и в чём преимущество его использования? «Зачем все это», или не купить ли нам коммерческий токен. О компании SatoshiLabs
К ороткий пароль, состоящий из одних только цифр, знаменательная дата, собственное имя или имя кого-то из близких, череда удобно расположенных на клавиатуре символов типа «qwerty» или «йцукен» — залог того, что когда-то такой пароль, скорее всего, будет взломан, а аккаунт, которому тот служил, безвозвратно утерян. Использование на нескольких сайтах, в мессенджерах, прочих программных аккаунтах одного и того же пароля, сколь бы сложным тот ни был, также может когда-то обернуться потерей одного из аккаунтов, а то и всех, где этот пароль использовался.
Как правильно создавать и хранить данные авторизации, чтобы это было и безопасно, и удобно?
Многие пользователи до сих пор по привычке ещё пользуются старым проверенным способом хранения логинов, паролей и прочих идентификаторов в файле «.txt». На сайтах в Интернете практически для любого шага нужна авторизация, и работа с легковесным текстовым файлом на первый взгляд может показаться вполне приемлемым решением. Текстовый файл в блокноте всегда может быть открыт, всегда под рукой, и это никак не скажется на производительности системы в целом. Однако хранение логинов и паролей в файле «.txt» — далеко не самый удобный способ упорядочивания своих данных. Как минимум блокнот или любой другой текстовый редактор менеджерам паролей проигрывает в том, что не умеет придумывать пароли.
Менеджер паролей – это специальный тип программ, предназначенных для хранения конфиденциальных данных пользователей (почитайте про лучшие ). В довесок к удобному формату отображения данных авторизации эти программы решают за человека такой немаловажный вопрос, как придумывание сложных и надёжных паролей. Каждый стоящий менеджер паролей обустроен генератором паролей — функцией, которая в случайном порядке формирует набор нелогичных символов большей или меньшей степени сложности, зависящей от заданных пользователем параметров. Чем сидеть и ломать себе голову, какой бы пароль придумать, да так, чтобы он и не меньше 10-ти символов был, и в нём имелись как цифры, так буквы, а буквы ещё и в верхнем регистре, куда проще поручить это дело программному процессу, который выдаст результат мгновенно.
Безопасный пароль – это сложный пароль. Его, в принципе, и можно было бы со временем запомнить, но, если таких паролей много, всё это в голове хранить не удастся. А вот единожды наладить работу со своими данными авторизации, а затем поддерживать всё это в актуальном состоянии – вполне посильная задача.
Ниже рассмотрим тройку функциональных менеджеров паролей для Windows — достойных решений на рынке софта, служащих для организации и упорядочивания конфиденциальных данных пользователей.
Sticky Password
Небольшая, но продуманная программа для любителей стиля мобильных приложений. Её использование предусматривает создание интернет-аккаунта, который обеспечивает синхронизацию данных с мобильными приложениями для платформ Android и iOS.
Данные, хранящиеся в Sticky Password, защищаются так называемым мастер-паролем — единым паролем доступа к программе, который нужно вводить каждый раз не только при запуске программы, но и для разблокировки после бездействия компьютера какое-то время.
Поведение мастер-пароля настраивается – его можно отключить вовсе или сменить время автоблокировки Sticky Password.
Помимо данных авторизации, программа позволяет создавать, упорядочивать и хранить закладки интернет-сайтов, контакты людей в формате визитки, а также для фиксации важных сведений. Sticky Password изначально структурирована разделами для хранения данных авторизации интернет-аккаунтов и учётных записей приложений. Внутри этих разделов имеются группы – подразделы, где логины и пароли можно хранить каталогизировано, в соответствии со спецификой интернет-аккаунтов и приложений.
Чтобы избавить пользователя от хлопот каждый раз придумывать витиеватый пароль, программа обустроена генератором паролей.
При инсталляции в систему программа Sticky Password предлагает импорт данных с других источников – файла собственной базы данных, других программных менеджеров паролей или поддерживаемых браузеров.
Для переноса программы на переустановленную систему или другой компьютер можно воспользоваться экспортом настроек, который позволяет сохранить данные как в файлах баз данных, так и в универсальных форматах «.hml», «.html», «.txt». В качестве альтернативы, например, если со Sticky Password необходимо поработать временно на стороннем компьютере, можно создать на флешке портативную версию программы.
Sticky Password интегрируется в систему и активно «сотрудничает» с ней. Всегда активная в системном трее программа запоминает введённые логины и пароли, а также умеет их автоматически подставлять в поля форм браузера и Windows-приложений.
Sticky Password – защищённая программа, её база паролей зашифрована во избежание перехвата данных шпионским вредоносным ПО.
Sticky Password доступна в бесплатной Free-версии с основным функционалом, а также в платной Premium-версии с дополнительными возможностями.
Скачать Sticky Password: скачать
KeePass Password Safe
К россплатформенный, функциональный, легковесный, полностью бесплатный и безопасный менеджер паролей. На официальном сайте, помимо обычной версии, устанавливающейся в систему, доступна портативная версия. Программа может автоматически вводить данные авторизации в браузерах и Windows-приложениях. Более тесная интеграция KeePass Password Safe с браузерами и дополнительный функционал возможны при установке расширений.
Скачать KeePass Password Safe: скачать
Приступая к работе с KeePass Password Safe, пользователь должен сам создать базу данных программы и указать её место расположения.
KeePass Password Safe умеет проводить импорт баз данных из других менеджеров паролей и универсальных файлов хранения баз данных.
При желании сменить менеджер паролей KeePass Password Safe не будет этому препятствовать, в программе предусмотрен экспорт баз данных в популярные форматы.
Вход в программу при необходимости можно защитить не только основным паролем (мастер-паролем), но также ключевым файлом или учётной записью Windows.
В настройках KeePass Password Safe можно настроить автоблокировку программы при бездействии компьютера и время автоочистки буфера обмена.
Ячейки с логинами и паролями для удобства сортируются по тематическим группам. Вместе с данными авторизации в KeePass Password Safe можно хранить обычные закладки избранных сайтов, в том числе и импортировав их из файла «.html».
В программу встроен генератор паролей с возможностью задания гибких параметров.
KeePass Password Safe – мультиязычная программа, она изначально устанавливается на английском языке, но русскоязычный или любой другой пакет можно скачать с официального сайта и распаковать в папку с программой.
Efficient Password Manager
В серию программ Efficient входит функциональный персональный органайзер, а также его модули в отдельных программах. Потому менеджер паролей Efficient Password Manager можем использовать как отдельной программой, так и в комплексном программном пакете Efficient PIM, где в довесок ещё получим планировщик, адресную книгу, ежедневник, заметки и прочие полезные утилиты.
Efficient Password Manager не интегрируется с системой и не подставляет в браузер данные авторизации автоматически. Efficient Password Manager — это больше удобный интерфейс с гибкими настройками для упорядочивания больших объёмов данных, нежели манёвренная утилита для оперативной вставки логинов или паролей.
Efficient Password Manager внутри поделён на разделы для хранения паролей, серийных номеров ПО, учётных записей и FTP-аккаунтов. В отдельной вкладке программы можно хранить закладки избранных сайтов. Имеется возможность смены расцветки интерфейса программы.
Как и два предыдущих менеджеров паролей, Efficient Password Manager — защищённая программа. Помимо алгоритмов шифрования данных, пользователям предлагается (по желанию) придумать единый мастер-пароль – пароль, защищающий вход в саму программу и доступ к её содержимому. Традиционно, как и в прочих менеджерах паролей, в Efficient Password Manager имеется генератор паролей.
Программа предусматривает не только импорт и экспорт данных, но также их резервное копирование и восстановление.
Использовать основной функционал Efficient Password Manager можно бесплатно. За отдельную плату предоставляются дополнительные возможности в Pro-версии программы. У Efficient Password Manager, помимо обычной, есть также портативная версия.
Скачать Efficient Password Manager: скачать
Как хранить пароли к бессчетному количеству сервисов и не сойти с ума?
Как только вы доказали своей маме, что использовать при регистрации на различных сайтах один и тот же пароль не секьюрно, возникает вопрос, а где же хранить все логины-пароли? И тут на помощь приходят менеджеры паролей. Это специальные программы для безопастного хранений паролей и кодов доступа. Предлагаем рассмотреть рейтинг менеджеров паролей, их недостатки и достоинства.
LastPass
LastPass можно использовать для хранения номеров кредитных карточек, банковских счетов, паролей. Дополнительно возможен доступ к информации лиц, имеющих на это разрешение. Реализована возможность контроля паролей сотрудников организаций или членов одной семьи. Поддерживается программная и аппаратная многофакторная аутентификация. Удобное управление базой паролей через web-интерфейс на сайте LastPass. Шифрование идет по алгоритму AES-256.
Программа обеспечивает простой и удобный кросс-платформенный доступ к паролям из любого браузера. Приложение работает действительно везде: Windows, Linux, Mac, разработана мобильная версия под Андроид, iOS, Windows Phone, Blackberry.
Плюсы
- Проверка безопасности при поиске наиболее надежных паролей
- Поиск незащищенных объектов на ПК
- Автоматическая синхронизация
Минусы
- Частично русифицированный интерфейс
- Мобильные приложения реализованы только на платной основе
- В целом программа бесплатная, но за дополнительные функции нужно платить
Стоимость
- бесплатная версия на одном устройстве
- от 2$ за пользователя в месяц позволяет синхронизировать работу со всеми гаджетами
Kaspersky Password Manager
Менеджер паролей, способный хранить множество личной и цифровой информации. Кроме паролей, сохраняет паспортные данные, информацию о счетах и банковских картах. Поддерживает различные платформы: Windows, Mac OS, Android и iOS, все данные синхронизируются.
Предназначен для индивидуального использования. Импортирует все пароли, ранее сохраненные в браузерах. В программе реализована удобная поисковая система.
Плюсы
- Автоматическая проверка надежности паролей
- Генератор паролей
- Автозаполнение и автовход
Минусы
- Нет корпоративных предложений
- Нет импорта из других менеджеров паролей
- Отсутствует двухфакторная аутентификация
Стоимость
- бесплатный тестовый режим на одном устройстве с возможность хранения до 15 паролей
- от 14,99$ в год, количество устройств не ограничено
Dashlane Password Manager
Один из лидеров менеджеров паролей мониторит и изменяет пароли в один клик. После установки программа находит слабые места в безопасности, время от времени предлагает менять пароли для лучшей сохранности данных. При обнаружении взломанных сайтов предупреждает пользователя о необходимости сменить пароль. Сама процедура смены пароля укладывается в пару кликов. Программа хранит номера кредитных карт, банковских счетов и даже чеки о покупке из интернет-магазинов, детализирует расходы.
Программа имеет функцию экстренной связи. Проводит двухфакторную проверку подлинности. Позволяет изменять пароли на 160 наиболее популярных ресурсах сети (Facebook, Twitter, Amazon, Lindekln и др.). Есть возможность открыть доступ к паролю другому пользователю.
Плюсы
- Удобство смены паролей
- Уведомление об угрозе безопасности
Минусы
- Невозможность использования программы для продукции компании Apple
- Отсутствие русского языка в интерфейсе
- Автозамена некоторых вводимых символов в паролях
Стоимость
- бесплатный тариф для одного устройства (включает 30 дней премиум тарифа)
- от 3,33$ в месяц для одного пользователя для всех девайсов
1Password
Удобный менеджер для работы с паролями. Поддерживается различными оболочками: iOS, Mac, Windows, Android. Система поддерживается всеми основными браузерами. Осуществляется автоматическое заполнение формы. Синхронизируется через wifi, icloud или даже dropbox. Система мониторит попытки взлома, отслеживает и сообщает о необходимости обновления пароля.
Можно провести разделение паролей по категориям. Реализована возможность расшарить папку с паролями для третьего лица, не беспокоясь, что посторонний пользователь увидит все остальные пароли. Программа имеет мобильную версию. Шифрование ведется по алгоритму AES-256. Пароли хранятся не в облачном пространстве, а на носителе. Очистка буфера обмена проводится через определенные промежутки времени.
Плюсы
- Простота и удобство интерфейса
- Отсутствие облачного хранилища
- Генератор сложных паролей
- Кроссплатформенность
Минусы
- Высокая стоимость
- Отсутствие русскоязычного интерфейса
Стоимость
- 30 дней бесплатного пользования, а дальше - оплата
- от 2,99$ в месяц за одного пользователя
RoboForm
Один из старейших менеджеров паролей. Отличается от остальных тем, что дает возможность пользователям входить в систему сразу на несколько сайтов одновременно. Поддерживается всеми браузерами.
Хранение данных возможно в облачном пространстве или локально на одном ПК. Во втором случае пропадает возможность доступа к менеджеру паролей с мобильных устройств или других компьютеров. База зашифрована по стандарту AES-256. При использовании облачной технологии возможна синхронизация с другими устройствами. Каждая запись имеет дополнительную защиту. Необходим мастер-пароль для получения всех данных. Портативную версию программы можно хранить на флешке.
Плюсы
- Генератор паролей
- Наличие бэкапов
- Заполнение длинных форм в один клик
Минусы
- Нет бесплатной версии
- Наличие множества мелких багов
Стоимость
- бесплатный тариф
- от 895 руб в месяц за одного пользователя
- есть скидки при оплате на несколько месяцев
- есть семейный и бизнес тарифы
KeePass
Один из первых бесплатных менеджеров паролей. Имеет открытый исходный код. Совместим практически со всеми браузерами и операционными системами. Отлично подойдет для индивидуального использования. Шифрование по алгоритму AES-256. Используется для хранения и генерации паролей. Имеет ряд готовых плагинов: для шифрования, синхронизации, генерация легко запоминающихся паролей.
Используется многоходовое преобразование ключа. Это надежный ресурс для хранения паролей. Синхронизируется с помощью Dropbox. Все записи копируются, распределяются по категориям, возможен поиск по записям.
Плюсы
- Надежность
- Автоматический ввод данных
- Кнопка блокировки
Минусы
- Устаревший и сложный интерфейс
- Отсутствие многофункциональности
Стоимость
KeePass - бесплатная программа
Выбирая лучший менеджер паролей, можно ориентироваться на мнение других людей, а можно попробовать все самостоятельно. Каждый сам решает этот вопрос. Главное — не забывать о защите информации и личных данных. Список других менеджеров паролей вы можете найти .
Чтобы определить лучший менеджер паролей, мы традиционно будем опираться на мнение пользователей магазина приложений Андроид, Google Play. Это наиболее простой и объективный критерий. Как говорил Гагарин, поехали!
Важно! Мы брали только бесплатные приложения.
1. KeePassDroid – 4.6
Традиционно для подобного рода приложений здесь можно создавать группы, ставить свои пометки, даже добавлять файлы паролей и тому подобное.
Немаловажно, что есть функция генерирования сложных паролей. Благодаря KeePassDroid Вам не нужно будет придумывать надежный пароль – просто сгенерируйте его в программе. При желании можете поменять пару символов, чтобы было еще надежнее.
Также есть функция заполнения полей логина и пароля на определенных сайтах и в программах. В общем, весьма высококлассное приложение!
2. LastPass Password Manager – 4.6
Еще одно весьма надежное хранилище, которое может генерировать пароли.
Интерфейс у LastPass Password Manager более простой и приветливый, чем у KeePassDroid. Также здесь есть несколько уникальных функций, таких как собственный браузер.
Использование программы очень простое – сначала пользователь вводит один пароль для приложения, а оно, в свою очередь, ставит их везде, где может согласно данным, введенным юзером. В хранилище можно содержать не просто пароли, а полноценные аккаунты.
3. Enpass password manager – 4.6
Enpass password manager – это целая небольшая экосистема. Существуют программы для Mac, Windows и Linux. Во всех них действует одна и та же учетная запись, что очень удобно.
Нет никаких денежных сборов, зато есть автоматическое заполнение полей паролей в браузерах и других приложениях.
Немаловажно, что здесь поддерживается работа с отпечатками пальцев. Это наиболее надежный способ обезопасить себя от несанкционированного доступа.
Также имеется возможность резервного копирования всей информации, которая есть в Enpass password manager. Отличная программа!
4. PasswordSafe и менеджер – 4.6
Основной особенностью данного хранилища паролей является использование кодировки Advanced Encryption (AES) 256bit. Благодаря этому обеспечивается высокая степень надежности хранения всей Вашей информации.
Немаловажно, что в PasswordSafe вообще не предусмотрен выход в интернет. Соответственно, взломать ее можно (теоретически) только с Вашего смартфона или планшета. Получить несанкционированный доступ удаленно невозможно. А использование приложения традиционное – один пароль для программы, а она сама введет все остальные логины и пароли.
Рис. №4. PasswordSafe и менеджер
5. Dashlane Password Manager – 4.6
О данном приложении можно сказать, что оно очень быстрое. Если при использовании других менеджеров вход в аккаунты может быть слегка замедлен из-за работы программы, то здесь все происходит намного быстрее.
Имеется отдельный сервис для электронных платежей, что очень важно, ведь передача денег в интернете стала неотъемлемой частью нашей повседневной жизни.
Также есть функция генерирования паролей. Правда, есть существенный для многих недостаток – Dashlane Password Manager не переведена на русский язык. Есть только английская, испанская и французская версии. Впрочем, интерфейс достаточно простой и каждый сможет легко разобраться в нем.
6. Bitwarden - Менеджер паролей – 4.7
Очень красивое и многофункциональное приложение, которое позволяет удобно хранить все пароли в одном месте. У него есть отдельное расширение, которое интегрируется в Хром и другие программы.
Для шифрования данных юзера здесь используются алгоритмы AES-256 и PBKDF2 SHA-256. На сегодняшний день они считаются более чем надежными. При этом у Bitwarden открытый исходный код. Тем не менее, никто не может его взломать, чтобы получить доступ к информации пользователей.
Bitwarden считается одним из самых надежных приложений в данной категории.
Рис. №6. Bitwarden - Менеджер паролей
7. Менеджер паролей - SmartWho Keeper – 4.7
Еще одна действительно красивая и многофункциональная программа, которая дает возможность хранить все пароли в одном месте и настроить их автоматический ввод в соответствующие поля.
Тоже используется один общий пароль для программы, который Вам все-таки нужно будет запомнить и не терять.
В SmartWho Keeper используется шифрование AES 256. Примечательно, что есть отдельные категории и соответственно особенности хранения определенных видов данных, например, паспорт, файлы, банковская информация, номер страхования и так далее. Для всего этого есть отдельные шаблоны.
Рис. №7. Менеджер паролей - SmartWho Keeper
8. Keepass2Android – 4.7
Очень популярная программа, возможно, самая популярная в этом ТОПе. Но ее оценка не позволяет поставить Keepass2Android на первую позицию рейтинга.
У данного приложения даже есть свой собственный формат файлов – kdbx. Пользователь может записывать все свои данные в такие файлы, а татем хранить их в каком-то отдельном месте или на носителе (флешке, диске, в облаке и так далее).
С помощью kdbx можно импортировать и экспортировать данные с одного устройства на другое. Keepass2Android имеет доступ к облачным хранилищам.
Есть также Keepass2Android Offline, которая работает без подключения к интернету. Если Вам больше подходит такой вариант, а он, разумеется, надежнее, используйте его.
9. Password Saver - Храним пароли просто и надежно – 4.7
Это более «игрушечное» приложение. Конечно, оно выполняет все заявленные функции и является крайне удобным в использовании, но его интерфейс выглядит несколько мультяшно, по-детски. Кажется, что разработкой занимались начинающие разработчики, которые не привлекали к работе дизайнеров. Но это субъективное мнение. В любом случае, все пароли хранятся в очень надежном месте.
Менеджер паролей – это естественное решение проблем, связанных с использованием паролей для различных сервисов и приложений. Хороший менеджер паролей плавно интегрируется с веб-браузером, облегчая создание новых учетных записей в веб-приложениях, вход на веб-страницах, а также покупки в интернете . Какое приложение выбрать ?
На протяжении многих лет заметно изменилась функция программ для сбора и хранения паролей на компьютере. Классические менеджеры паролей были заменены инструментами, которые синхронизируют информацию об учетных данных между всеми устройствами пользователя. Эти программы постоянно развиваются, а новые функции могут значительно повысить комфорт при использовании.
Хранение конфиденциальных данных в облаке по-прежнему вызывает в пользователях ряд опасений, касающихся безопасности. Разработчики менеджеров паролей пытаются нас убедить, что базы данных шифруется и расшифровываются только на уровне устройства, а пароль и ключи шифрования никогда не передаются на серверы. Шифрование данных осуществляется по алгоритму AES-256 , который сегодня считается самым безопасным. В результате ни один поставщик, компания или агентство правительства США не имеют доступа к данным, а также не будут его иметь в будущем. По крайней мере, в теории. С другой стороны, если сам забудешь главный пароль, сохраненные данные будут безвозвратно потеряны.
В некоторых программах доступ в хранилище паролей может быть защищен путём дополнительной аутентификации. В ходе регистрации учетной записи, пользователь вводит стандартные имя и пароль, а также представляет дополнительное свидетельство личности. Это так называемая двухфакторная аутентификация .
Эксперты сходятся во мнении, что хорошая защита состоит из двух частей: того, что Вы знаете сами, то есть пароль, и того, что можно проверить через приложения в смартфоне.
Популярные программы также поддерживают механизмы биометрии в области доступа к приложениям. Неплохо работает поддержка считывателей отпечатков пальцев в Android-устройствах, нередко поддерживаются также функции Touch ID и Face ID в устройствах Apple.
Подавляющее большинство менеджеров паролей – это коммерческие проекты. Некоторые, правда, могут быть использованы бесплатно, но главным ограничением таких версий программы является поддержка только одного устройства пользователя. Другими словами, без оформления платной подписки, вы не сможете синхронизировать свои пароли на других устройствах.
Несмотря на это, если количество сервисов и онлайн услуг, которыми Вы пользуетесь исчисляется десятками, использование менеджера паролей полностью себя оправдывает.
Какой менеджер паролей выбрать
1Password
1Password позволяет создать учетную запись и хранить данные на серверах, расположенных в Канаде или на территории Европейского Союза. Программа хранит данные для входа в систему, номера кредитных карт и данные банковского счета. Также интегрируется с популярными приложениями для iOS, что позволяет получить удобный доступ к программам и веб-сайтам.
Приложение не поддерживает механизма двухфакторной аутентификации в его классическом понимании, но реализует эту идею немного другим способом. Программа создает безопасный ключ (Secret Key) , который играет важную роль в шифровании данных на устройстве. Этот ключ используется в сочетании с основным паролем для защиты базы данных пользователя. С технической стороны это уникальный 128-битный идентификатор, генерируемый локально, который никогда не покидает устройства пользователя.
1Password оснащен ещё одной интересной функцией – Travel Mode. Каждый раз, когда Вы пересекаете границы государств, все важные данные из хранилища будут удалены, кроме тех, что явно обозначены как safe for travel .
1Password является первым менеджером, который использует новый стандарт, обеспечивающий прямой доступ к системному генератору случайных чисел. Этот генератор используется в операциях шифрования. Кроме повышенной безопасности, в 10 раз ускоряется процесс шифрования.
Dashlane
Dashlane систематизирует пароли для веб-сайтов, заметки и данные на отдельных вкладках. Сохраненные объекты могут быть отнесены к категории, а встроенная поисковая система позволяет легко их находить.
Встроенный в программу модуль Secure Digital Wallet собирает информацию о дебетовых и кредитных картах, учетные данные для входа в систему банков, пароль к PayPal и другим финансовым сервисам. В процессе оплаты покупки Dashlane автоматически заполняет поля, необходимые для завершения сделки.
Dashlane позволяет выбрать один из двух уровней безопасности. Дополнительное подтверждение личности может потребоваться каждый раз, когда вы входите в сервис. Более ленивые выберут второй вариант, то есть двухфакторную аутентификацию только в момент добавления учетной записи на новом устройстве.
Dashlane поддерживает FIDO U2F YubiKey – аппаратный ключ в виде USB-ключа, который в момент подтверждения личности просто достаточно вставить в соответствующий порт компьютера. К сожалению, эта поддержка доступна только в платной версии приложения.
Уникальной функцией программы является Password Changer , которая одним нажатием кнопки позволяет изменить от одного до тысячи паролей к популярным приложениям и веб-страниц. Password Changer автоматически заменяет старые пароли новыми, гораздо более сильными, и запоминает их в базе данных. Функция работает с тысячами страниц, хотя в списке поддерживаемых сервисов преобладают представители из Соединенных Штатов. Среди популярных также в России мы нашли Netfliks, Spotify, Evernote, Vimeo, Runkeeper, а также сервис по планированию путешествий Kayak.com.
Дополнительная функция Instant Security Alerts автоматически уведомит вас о необходимости смены пароля на указанном сервисе. Так как мы постоянно слышим о взломах популярных веб-сайтов и краже миллионов паролей к аккаунтам пользователей, функция Instant Security Alerts поможет вам поддерживать высокий уровень защиты.
Dashlane имеет встроенный тест безопасности, который шаг за шагом анализирует ваши пароли и подскажет, что следует изменить, чтобы иметь возможность чувствовать себя безопасно.
KeePass
KeePass Password Safe для Windows – это один из последних менеджеров «старой школы», записи паролей хранятся в локальной базе данных. Этот тезис подтверждает аскетичный интерфейс. В KeePass пользователь просто создает базу данных со своей структурой и заполняет её данными для входа.
Благодаря этому, программа отлично подходит для хранения паролей от компьютеров, сетевых служб, учетных записей электронной почты и FTP-серверов. В базе будут сохранены также номера кредитных карт, PIN-код к входной двери или короткие заметки, которые должны оставаться конфиденциальными. KeePass по-разному справляется с запоминанием учетных данных веб-сайтов и веб-приложений. Эти функции реализуются в виде плагинов для популярных браузеров. Родная интеграция не всегда работает, как должно.
В одном KeePass имеет огромное преимущество над конкурентами. Программа разработана на основе лицензии с открытым исходным кодом, имеет большой круг преданных пользователей, и каждый может проверить, что используемый алгоритм шифрования был написан правильно и не содержит уязвимостей безопасности.
В KeePass авторы реализовали два алгоритма шифрования для базы данных: AES/Rijndalel и ChaCha20, оба с 256-битной длиной ключа, а также функцию преобразования ключа AES-KDF и Argon2. Доступ к базе данных может быть защищен паролем, ключом шифрования, учетной записью Windows или каждым из этих методов, одновременно.
Самый важный конкурент – Password Safe – кажется бедным родственником на фоне KeePass , но имеет одну важную функцию. Программа изначально поддерживает аппаратные токены YubiKey, хотя упомянутый в статье FIDO U2F не поддерживается.
LastPass
LastPass работает со всеми основными браузерами: Chrome, Firefox, Opera, Internet Explorer, Edge и Maxthon. Программа устанавливается как плагин и отображается в браузере в виде иконки на панели инструментов. Управление учетными данными происходит в облаке через специальную веб-страницу. Доступно также приложение для мобильных устройств Android, Apple и Windows Phone.
LastPass серьезно подходит к вопросу входа в систему с помощью двухфакторной аутентификации. Вторым компонентом авторизации здесь может быть код из приложения на мобильном устройстве, код программы LastPass Grid и LastPass Sesame, а также отпечаток пальца пользователя, сертификат на криптографическом устройстве или одноразовый пароль, сгенерированный на аппаратных токенах YubiKey или RSA SecureID. В числе поддерживаемых приложений для 2FA вошли Google Authenticator, Duo Security и Authy.
Программа сохраняет учетные данные, вводимые на веб-страницах, может перехватывать учетные данные, сообщения электронной почты, а также импортировать данные из других менеджеров паролей.
LastPass хорошо подходит для семейного использования. План на шесть человек стоит 4 доллара в месяц, и при этом позволяет в полной мере использовать функцию совместного доступа к паролям и аварийного восстановления.
В LastPass вы можете дать надежному другу или члену своей семьи доступ в хранилище. Вы сами решаете, кто может иметь доступ к сохраненным паролей и как долго. Аналогичные возможности предлагают все конкуренты программы.
RoboForm
RoboForm предоставляет свое программное обеспечение в версии Free (бесплатная) и Everywhere (от 19,95 долларов в год). Между бесплатной и платной версией очень много различий.
Первая предлагает основные возможности программы для одного устройства: зашифрованную базу данных, механизм запоминания учетных данных для приложений и веб-сайтов, а также модуль автоматического заполнения веб-форм.
Средства синхронизации данных между устройствами, совместное использование паролей между членами семьи и друзьями или резервное копирование в облако с доступом к паролям в браузере доступны только в платной версии Everywhere .
RoboForm имеет удобную систему организации сохраненных учетных данных вместе с функциональной поисковой системой , которая помогает находить их, когда они необходимы. Поддержка программы осуществляется с помощью браузера, но при запуске модуля Центр защиты вы получите доступ к классическому окну Windows, с уровня которого можно управлять своими логинами, закладками, учетными данными в приложение, удостоверениями, а также секретными заметками.
По сравнению с конкурентами, RoboForm предлагает десятки вариантов меню и настроек. Правда, они «хорошо спрятаны», так что не нужно их использовать, однако, если вы хотите настроить программу для удовлетворения ваших потребностей, здесь есть такая возможность. RoboForm также доступен для пользователей Linux и устройств с Chrome OS.
Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например и ), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:
- закрытый код снижает доверие и вероятность оперативного устранения уязвимостей
- для автозаполнения нужно ставить дополнительный софт
- после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах
- использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК
- автозаполнение невозможно в некоторых случаях (в bios, консоли)
Для начала мы, конечно же, прочитали весь интернет, чтобы понять, кому еще приходила в голову идея хранить и вводить пароли аппаратно, и как она была реализована. Найденные варианты можно условно разделить на следующие категории:
- шифрованные накопители, по сути - просто флешки с паролем (например, такая). Можно безопасно хранить документы, но об автоматическом вводе паролей речь не идет
- устройства с биометрической идентификацией (пример). Биометрическая идентификация выглядит привлекательно, однако она менее универсальна, чем символьный пароль (например, если надо удаленно предоставить кому-то доступ к устройству, передача отпечатка пальца станет настоящей проблемой), к тому же дополнительные датчики увеличивают стоимость изделия. В случае компроментации сложно быстро сменить отпечатки
- программные менеджеры паролей с аппаратным ключом-токеном, который дает доступ в базу (например) обладают теми же недостатками, что и программные менеджеры без ключа-токена
- устройства для ввода 1-4 паролей и их генерации (пример , ). Наиболее близкие решения. Из недостатков следует отметить ограниченное количество хранимых паролей а также управление исключительно кнопками на устройстве, что далеко не всегда удобно.
Идея
Не так давно для корпоративных задач хранения паролей вместо бумажек, браузеров и биологической памяти мы стали использовать KeePass . Вполне довольные удобством и универсальностью этого продукта, мы решили приспособить его для задач аппаратного хранения паролей, портировав на микроконтроллер.Однако, осталось огромное количество вопросов. Каким образом выбирать нужную запись в базе на устройстве? Как показать пользователю, какая запись выбрана? Стоит ли размещать на корпусе устройства кнопки? Экран? Как вообще оно должно подключаться к компьютеру? К планшету? К телефону?
От экрана отказались сразу. Если уж у пользователя возникла необходимость вводить пароль - скорее всего, экран у него уже есть. Что касается способов подключения, то мы решили не рассматривать беспроводные интерфейсы, ввиду потенциальной их уязвимости для перехвата.
Для управления мы будем использовать стандартную клавиатуру, а для непосредственного ввода сохраненных паролей в формы - эмулировать клавиатурные команды. “Перехват” управления будет происходить при вводе специальной комбинации клавиш. По умолчанию мы выбрали сочетание Ctrl + Shift + ~ , потому что оно удобно для нажатия и практически нигде не используется. Проект получил название “Pastilda” (от password, tilda), у нас оно ассоциируется с чем-то вкусным и сладким, а также помогает не забыть главное сочетание клавиш для работы с устройством.
Находясь в пассивном режиме Пастильда транслирует все сообщения от клавиатуры к ПК без изменений, ожидая нажатия специальной комбинации. После ввода комбинации устройство входит в активный режим. Если в этот момент курсор находится в поле для ввода текста - это может быть поле “Логин”, или любое другое текстовое поле - в нем появляется одно-строчное текстовое меню.
Для работы с базой KeePass, хранящейся в памяти Пастильды, пользователь вводит мастер-пароль, а затем при помощи навигационных клавиш выбирает название интересующего его аккаунта и нажимает ввод. Пастильда вводит нужные логин и пароль в соответствующие поля. При этом расшифровка базы происходит на устройстве, и целевая система не получает доступа к мастер-паролю и ко всей базе. Выход из активного режима происходит либо автоматически, после ввода пароля, либо после повторного нажатия комбинации “Shift + Ctrl + ~”. Да, кстати, комбинации можно придумать свои.
Реализация 0.1
Как всегда много чего хочется реализовать, а начать решили с малого. Ревизия 0.1 предназначена для проверки идей, удобства использования и всяческого баловства. В текущей версии запланирован следующий минимум функций:- составное USB устройство (HID+Mass Storage)
- USB host
- работа с одной базой KeePass
- однострочное меню
- FAT16.
Схема
Тут всё просто - контроллер Stm32f405, два разъема и флешка на SPI. Так же немного защиты, разъем SWD и, конечно же, RGB светодиод. Выбор компонентов не вызвал затруднений - STM мы просто любим, похоже, единственный, кто реализовал два аппаратных USB в микроконтроллере, а память взяли какая была.
Плата
Все компоненты в обычных корпусах, чтобы плата была дешевая и быстрая в производстве. Размер 40х17 мм, 4 слоя. Текущая версия платы выглядит вот так:
Софт
На данный момент реализовано:- USB host, для того чтобы распознавать подключенную к устройству клавиатуру и прокидывать сообщения от нее дальше в ПК
- составное USB устройство (msd + hid): в режиме Pastilda устройство должно уметь быть клавиатурой, кроме того, быть всегда доступным как внешний диск, для удобного добавления и удаления паролей (Попутно @anaLazareva решила проблему с usb_msc libopencm3.
- FAT для чтения данных, записанных во флеш память, чтобы мы могли ходить по директориям и брать нужный пароль
- KeePass расшифровка, работа с записями
- меню.
Что дальше?
Дальше - больше. Хочется реализовать работу с любыми устройствами, понимающими внешнюю клавиатуру. Мы уже протестировали работу нашего прототипа с Android-смартфоном через USB OTG, всё работает прекрасно. Для удобства навигации по меню при использовании Пастильды с мобильными устройствами сделаем отдельный USB-модуль с колесом-кнопкой.
Ещё одна идея - маленькая гибко-жесткая печатная плата, которая заправляется прямо в разъем USB, оказываясь между контактами host и device. Жесткий кусочек платы с компонентами наклеивается на корпус штекера device. Таким образом устройство будет довольно сложно обнаружить. Впрочем, зачем бы нам это? Просто идея.
Встроенную память Пастильды можно использовать для хранения данных (если скорость не особо важна), и тут возможны варианты: просто USB накопитель, который виден всегда, когда устройство подключено, либо шифрованный накопитель. Базы KeePass, файлы ключей и т.п. предполагается хранить на этом пространстве.
Open all
Код выложен на github , вместе с железом. Лицензия GNU GPL. Естественно, можно пилить что-то свое на основе этого проекта, нам в голову пришли такие идеи:- эмуляция kbd+mouse для гейм-читинга
- потоковое аппаратное шифрование USB-флеш.
Главная цель этой статьи - услышать ваше мнение, не стесняйтесь в комментариях!
UPD 27.06.2017:
- Репозиторий проекта Пастильда переехал сюда . Недавно был опубликован релиз 1.0.
