Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Защита паролей от кибератак

Защита паролей от кибератак

Безопасное хранение паролей

 

Каждый пользователь сталкивается со сложной задачей – необходимо придумывать и запоминать большое число паролей к различным сервисам и службам: электронной почте, интернет-банку, блогам, форумам, различным веб-сервисам и т.д.

 

Проблема

Использовать одинаковые пароли нельзя – в случае если один пароль достанется злоумышленнику, он не преминет шансом попробовать воспользоваться им с этим же логином и в других сервисах. Но придумывать и запоминать разные пароли – задача непростая.

На помощь приходит целый класс программ, называемый менеджерами паролей. Это могут быть приложения для компьютера, мобильного телефона, а также веб-сервисы.

 

Утилиты для компьютера

Менеджеры паролей для ПК работают под разными операционными системами – Windows, MacOSX, Linux и прочими. Есть бесплатные приложения с закрытым или открытым исходным кодом и платные: с разовой оплатой или подпиской на определенный период. Различаются программы интерфейсом, типом шифрования паролей и методом синхронизации данных между разными компьютерами. Некоторые из них полностью автономны, другие встраиваются в браузеры для автоматического ввода пароля на нужном сайте.

Важной функцией является синхронизация данных, мало кто работает всё время на одном компьютере. Это может быть как возможность вручную перенести файл с паролями, так и автоматическая синхронизация – через собственный сервер или службы облачных хранилищ типа DropBox. Второй по важности идет функция встраивания в браузеры – менеджеры паролей, обладающие данной возможностью, автоматически заполняют формы входа на сайтах и вводят соответствующий пароль. Следующим не менее важным критерием идет возможность кросс-платформенной работы, например, если пользователь на работе использует MacOS, а дома – Windows, пароли будут синхронизироваться, не смотря на разные операционные системы. На последнем месте стоит интерфейс – требования к нему индивидуальны.

Приложение может обладать дополнительными функциями – встроенным генератором паролей, проверкой на надежность и хранение дополнительной информации об аккаунте.

Рис. 1 – Пример менеджера паролей, встраиваемого в браузер.

 1.png

Насколько безопасно использовать менеджеры паролей для компьютера? Существует следующие способы получения злоумышленником доступа к его данным:

1.       Получение доступа к файлу, в котором хранятся зашифрованные пароли и его взлом;

2.       Перехват пароля при его передаче между менеджером пароля и сайтом;

3.       Закладки в программном обеспечении, позволяющие удаленно получить незашифрованный пароль.

 

Для реализации первого способа, злоумышленник тем или иным способом получает файл с паролями. Поэтому он должен быть надежно защищен с помощью стойких алгоритмов шифрования.

Кроме того, ключом для шифрования должен быть основной пароль, которым защищаются все остальные, этот ключ называется «мастер-пароль», программа обычно просит задать его при установке, и будет требовать каждый раз при запуске менеджера. Отказываться от установки «мастер-пароля» или использовать слишком простую комбинацию символов опасно – вашу базу паролей будет легко расшифровать.

Перехват пароля при его передаче реализуется с помощью вредоносного ПО, часто называемого шпионским («spyware»), которое перехватывает буфер обмена, делает снимки экрана и отслеживает ввод текста с клавиатуры. Защищаться от этой угрозы можно антивирусным средством, а также с помощью соблюдения несложных правил – не копировать пароль через буфер обмена, а пользоваться интеграцией менеджера паролей с браузером или переносить текст с помощью перетаскивания курсором (drag-n-drop). Дополнительно не стоит отображать сохраненный пароль в открытом виде: приложения и сайты закрывают пароли звездочками или спецсимволами и не стоит отключать данную функцию – она обезопасит от утечки данных через снимок экрана.

Закладки в программном обеспечении относятся к целому классу уязвимостей, называемых «черный ход» - разработчики из корыстных целей или в результате ошибок в коде оставляют лазейки, позволяющие получить все пароли из менеджера в открытом виде. Для защиты от этой угрозы следует использовать программы от известных разработчиков с безупречной репутацией или приложения с открытыми исходными кодами – другие программисты обычно проверяют их на отсутствие уязвимостей.

 

Менеджеры паролей для смартфона

Утилиты для платформ Andoidи iOSпо набору функциональности похожи на приложения на ПК, основные классы и характеристики аналогичны. К угрозам утечки данных добавляется еще одна – хищение телефона. Для защиты паролей на украденном устройстве, необходимо соблюдать те же правила установки «мастер-пароля» - он обязан присутствовать и не должен быть простым. Для защиты от закладок и уязвимостей лучше всего пользоваться менеджерами паролей от производителя, в большинстве телефонов такая функциональность есть.

 

Рис.2 – Менеджер паролей, встроенный в программу SecurityGuard на телефоне Huawei AscendD1

 2.png

В сети

Самая рискованная группа менеджеров паролей – это онлайн-сервисы. Определенные сайты предлагают услуги по хранению паролей у себя в базе, при этом большинство из них заявляют о стопроцентной защите, надежном шифровании и множестве других плюсов их использования.

Однако данный тип хранения паролей самый ненадежный – во-первых, вы никак не можете проверить, что именно сервис делает с паролями, шифрует ли он их при хранении, не передает ли на сторону и так далее, во-вторых, уязвим сам процесс передачи пароля сервису.

Есть несколько методов перехвата сетевого трафика, начиная от вредоносного ПО на вашем компьютере и заканчивая перехватом трафика в Wi-Fi-сетях и сетях операторов передачи данных. Таким образом все ваши пароли могут быть украдены еще в процессе их передачи на хранение, поэтому никакая защита базы сервиса.

Существует только один надежный метод хранения паролей в сети – скрипты с открытым исходным текстом и шифрованием на стороне вашего браузера. Таким образом, пароль отправляется и принимается на компьютер уже в зашифрованном виде. Чтобы быть абсолютно уверенным в защите, скрипт нужно установить на свой собственный сервер. Самым популярным таким продуктом является Clipperz.

 

Рис. 3 – Внешний вид Clipperz – онлайн менеджер паролей с открытым исходным текстом

 3.png

Подводя итоги всему вышенаписанному, оптимальным является использование менеджера паролей для компьютера с открытым исходным кодом. И, при необходимости, использование стандартного приложения смартфона.

В качестве мер по защите – использование и регулярное обновление антивирусов на всех устройствах, а также установка в качестве «мастер-пароля» длинного ключа, содержащего спец-символы, цифры и буквы в разном регистре. Таким образом, решается задача безопасного хранения различных паролей, что снимает необходимость помнить их и вводить вручную.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности