«Руформатор» представляет перевод статьи CNN, посвященной тому, как сохранить свои пароли в тайне.
Эксперт по криптографии Брюс Шнайер (Bruce Schneier) писал свои пароли на листке бумаги и держал их в своем бумажнике. В настоящее время он использует бесплатное ПО для Windows под названием Password Safe – он разработал его пять лет назад и выпустил в сообщество open-source.
Это приложение для ПК предлагает пользователям запомнить только один мастер-пароль для доступа к своему списку паролей. Но Шнайер по-прежнему рекомендует «бумажный метод» для людей, у которых нет своих компьютеров. «Либо написать пароли и положить их в свой кошелек, либо использовать что-то вроде Password Safe», - сказал он.Создатель PGP Фил Циммерман (Phil Zimmermann) хранит свои пароли в зашифрованном текстовом файле, который он описывает как «громоздкую ручную систему управления паролями».
Метод хакера Карстена Нола (Karsten Nohl) гораздо проще и при этом труднее: он хранит все свои пароли в голове. «Я использую нетривиальные функции по диверсификации паролей для любой задачи, - сказал Нол. - Раскрытие пароля должно стать практически невозможным. «Безопасность-через-незнание» – но только потому, что никто не может раскрыть столько шифров в моей голове».
Неформальный опрос дюжины специалистов по безопасности показывает, что некоторые из них по-прежнему полагаются на бумагу и ручку. Один из респондентов даже допускает хранение всех паролей на листочке под клавиатурой!
Буквально на прошлой неделе Mozilla отключила плагин для Firefox, который крал пароли пользователя и отсылал их на удаленный сервер.
Есть целый ряд решений для людей, которые хотят перевести свою систему типа «бумага-ручка» на современный уровень. Для тех, чей компьютер всегда под рукой, менеджер паролей, запускающийся на рабочем столе, может быть хорошим вариантом. В дополнение к Password Safe источники рекомендуют другие программы с открытым исходным кодом – например, KeePass. Для Macintosh есть 1Password ($ 39,95), о котором говорят как о «лучшем в своем классе для Mac».
Интересны менеджеры паролей на основе USB-ключа, например, MyKey ($ 29,99). Он работал хорошо, однако, у него есть некоторые недостатки - он запускается только на Windows-ПК с соответствующим программным обеспечением MyKey. Это значит, что его нельзя использовать его на домашнем Mac, если у вас на работе ПК, или на компьютерах друзей. Yubikey ($ 25), еще один аппаратный менеджер паролей, отличается тем, что работает на любом компьютере или крупной системной платформе и не требует клиентского программного обеспечения. «Это примерно как если бы вы положили пароли в ваш бумажник – вы кладете их во что-то физическое, что вы защищаете, - говорит Шнайер. - Люди могут потерять ключи или кошелек. Подумайте, что вы потеряете сначала».
Если хотите использовать менеджер паролей, который не привязан к конкретному компьютеру, то есть, например, сервисы, где хранятся пароли. Этот вариант удобнее предыдущих, но это означает, что вы предоставлены на милость системы безопасности компьютера, который используете – так что будьте осторожны при использовании интернет-киосков и других компьютеров свободного доступа. Вы также должны доверять хостеру и быть уверенным, что сервис не будет взломан или иным образом скомпрометирован. Если вы заинтересованы в бесплатных онлайн-менеджерах паролей, обратите внимание на RoboForm.
Многие люди считают, что лучше всего сохранять пароли в браузерах, чтобы они всегда были под рукой, но они не могут понять, что хакеры, получившие физический или удаленный доступ к компьютеру, могут легко увидеть, где хранятся пароли. Бесплатное расширение для Firefox, Chrome и Internet Explorer под названием LastPass шифрует пароли и сохраняет их на жестком диске. Оно работает на основных операционных системах, синхронизирует данные между несколькими браузерами, и вы можете автоматически войти на сайт одним щелчком мыши. И если вы используете какой-то еще компьютер помимо основного, то можно получить логин напрямую с сайта LastPass.
Независимо от того, как вы управляете вашими паролями, эксперты говорят, что вы должны быть осторожны: желательно выбрать такие пароли, которые имеют соответствующий уровень безопасности для использования их в зависимости от назначения на том или ином сайте. Например, вы можете сделать простой пароль для сайта, где вам нужно прочитать новости и откомментировать их. Но вы обязательно должны выбрать более сильные пароли, такие, чей смысл гораздо труднее угадать или обнаружить с помощью брутфорса, для банковских и им подобных сайтов, работающих с вашей секретной информацией, например, кредитные карты. И обязательно нужно использовать разные пароли для разных сайтов так, что если один пароль будет скомпрометирован, это не будет грозить безопасности информации на других сайтах или счетах. «Пароли работают до тех пор, пока вы правильно их используете», - заключает Шнайер.