Способ №2: использование программы-сейфа
Ну что ж, вот мы и подобрались к более сложным, специализированным методам хранения паролей для авторизации в онлайн-сервисах, программах и других цифровых ресурсах. Из этой части статьи вы узнаете, как хранить пароли в специальных программах-сейфах. Познакомимся поближе с топовыми продуктами из этой категории.
KeePass
Настоящий «бункер» для ключей. Не по зубам даже самым маститым хакерам. Шифрует данные пользовательского профиля актуальными, мощными алгоритмами (SHA-256, AES). Предотвращает взлом, подбор мастер-пароля для входа в базу учёток. Оснащён каталогизатором данных (поиск, сортировка, классификация, иерархия директорий) и настраиваемым генератором паролей. Поддерживает экспорт/импорт пользовательских баз. Автоматически очищает буфер обмена после копирования логинов/паролей из базы.
Чтобы воспользоваться KeePass, сделайте следующее:
1. Перейдите на официальную страничку для скачивания — http://keepass.info/download.html.
2. В поле Classic Edition (для домашнего пользования) выберите инсталллируемую или портативную версию (нижняя кнопка) дистрибутива.
3. Установите и запустите KeePass.
Внимание! Если вы хотите интегрировать утилиту в браузеры, в окне инсталлятора установите «галочку» в опции «Visit plugins web page… ».
4. Установите мастер-пароль для своей базы учётных данных.
Внимание! В этой же панели, нажав кнопку «папка» в блоке «Key File», можно указать программе путь к ранее созданной базе. После запуска она будет загружена в интерфейс.. 5
Чтобы добавить учётную пару «логин/пароль» в файл-базу, нажмите в верхней панели кнопку «ключ» (Add entry)
5. Чтобы добавить учётную пару «логин/пароль» в файл-базу, нажмите в верхней панели кнопку «ключ» (Add entry).
6. Введите данные учётной записи: имя (логин, ник), пароль, адрес сайта, идентификатор для поиска в базе (название учётки).
Примечание. Если вы только проходите регистрацию, то есть создаёте учётные данные, можно воспользоваться в панели генератором паролей. Чтобы настроить модуль создания ключа, нажмите на кнопку «ключ» в блоке «password».
eWallet
Платная утилита. Активно используется не только в Windows, но и на Mac OS X, Windows Mobile Classic, Android, BlackBerry. Также поддерживает шифровку данных устойчивыми ключами AES-256. По желанию пользователя выполняет синхронизирование базы между различными устройствами (ПК, телефон, планшет). Интегрируется в популярные браузеры (IE, FF, Google Chrome).
1Password
Комфортный в управлении менеджер. Надёжно хранит и уберегает персональную информацию. Оснащён функцией синхронизации с хранилищем Dropbox. Предотвращает кражу паролей кейлоггерами при вводе в форму. Стабильно, корректно взаимодействует с известными браузерами.
Вот и всё! На этом, уважаемый читатель, наш обзор подошёл к концу. Искренне надеемся на то, что вы выберете максимально удобное для себя решение и будете содержать пароли на ПК в полной сохранности.
Заведите цифровую карту для покупок в интернете
Банковские данные могут также украсть с помощью фишинга. Злоумышленники подделывают страницы популярных сервисов, ничего не подозревающие пользователи оплачивают покупки (часто по очень низким ценам, что и привлекает жертв), а взамен получают опустошённый банковский счёт. В этом случае не помогут никакие менеджеры паролей — люди сами указывают банковские данные, будучи обманутыми. Но минимизировать риски всё равно можно.
В тему: Как крадут деньги с банковских карт и почему банки отказываются их возвращать
Самый простой способ обезопасить себя от потери крупной суммы денег на фишинге — завести специальную карту для покупок в интернете. Для неё даже не нужен пластик. Банки предлагают оформить цифровые карты с бесплатным обслуживанием. На неё следует переводить только ту сумму, которая нужна для покупки. Даже если мошенники с помощью фишинга украдут данные, то не получат доступ к вашей основной карте. Скомпрометированную цифровую карту можно без проблем закрыть через приложение. И тут же завести новую.
Какие пароли лучше использовать
Мошенники научились перехватывать и подбирать несложные пароли, база кодов, хранящаяся на определенном сайте, может быть взломана, предоставляя злоумышленникам доступ к другим аккаунтам пользователей.
Сейчас самыми надежными считаются длинные пароли, сгенерированные случайным образом из букв разного регистра, цифр и символов. При этом пароли не повторятся при регистрации на разных сайтах. Подобрать или угадать их практически невозможно, а если лишиться одной учетки – другие не будут находиться под угрозой.
Так в macOS есть специальное приложение Связка ключей, которое умеет генерировать сложные пароли, в Windows подобное можно проделать при помощи командной строки. Есть специальные расширения для браузера или онлайн сервисы для генерации паролей.
Создать сложный код сейчас очень легко, проблема – его запомнить.
Этим и заманивают пользователей специализированные срвисы/приложения менеджеры паролей.
Как и где хранить свои пароли и логины нельзя ни в коем случае
- И в качестве логина, и в качестве пароля вбивают свои имя и фамилию
- В логине указывают имя, а в пароле фамилию
- В логине указывают имя и фамилию, а в пароле свой день рожденья или домашний телефон
Я привел самые частые и самые недопустимые варианты, думаю, вы меня поняли. Но все это полбеды, если бы не третья ошибка – хранение регистрационных данных там, где они могут легко попасть в руки посторонних людей. Этих мест, по меньшей мере, три:
1. Электронная почта. Ну, не станете же вы отрицать, что почтовые ящики частенько взламывают, даже не смотря на придуманные к ним довольно замысловатые и длинные пароли. Лично у меня пару раз такая неприятность имела место быть. И хоть сейчас почтовые сервисы умеют отслеживать подобные вещи и блокировать доступ досужих взломщиков к нашей почте, хранить там конфендициальную информацию вроде логина и пароля от админки блога или кошелька Webmoney я бы не советовал.
2. Запись в браузере. Все наверняка видели системное сообщение «вы хотите запомнить пароль к ххх сервису» и две кнопочки «Запомнить» или «Закрыть». Если выбрать первый из двух предлагаемых вариантов, то ваш пароль будет записан в специальное место вашего браузера, программы, с помощью которой вы входите в сеть интернет. «Ну, и что тут плохого?»- наивно пожмут плечами новички, — «удобно же, заходишь на нужный сайт, а редакторы для входа уже заполнены. Жми кнопку входа, и все дела». Согласен, удобно, и голову забивать всякими комбинациями из букв и цифр не надо, но есть одно большое «но», которое все видимое удобство перечеркивает. Браузер – это программа, причем работающая непосредственно в сети, где водится огромное количество всяческих вирусов, и браузер с этими вирусами довольно часто помимо своей воли тесно контактирует. Следовательно, если антивирус, стоящий на вашем компьютере, даст слабину, вирус проберется в браузер и первым делом устремиться в те места, где могут храниться регистрационные данные. Вам хочется, чтобы злой троянец отвез данные об аккаунте вашего онлайн-кошелька своему хозяину? Мне совсем нет, поэтому я всегда выбираю вариант «Закрыть», а закончив работу в том или ином из своих аккаунтов, нажимаю кнопку «Выйти».
3. В текстовом файле на жестком диске компьютера. Ребята, это вообще жесть. Мало того, что комп может заразиться вирусами из интернета, так туда часто заглядывают наши любимые чада и домочадцы. Кто-то скажет, и что мне теперь от детей и жены компьютер прятать? Нет, прятать ничего ни от кого не надо, но и складывать все логины и пароли в обычный txt или doc это тоже верх безалаберности. Даже если ваш антивирус точен, как швейцарские часы, а домашние воспитаны, как английские аристократы, есть еще масса разных случайностей, могущих попросту уничтожить ваш документ, и что тогда? В крайнем случае, если вам без альтернатив удобнее пользоваться именно этим способом хранения паролей, то хоть не оставляйте данный файл на компьютере, а переносите на специально заведенную под важные документы флешку, так все надежнее будет.
Ох, сейчас кто-нибудь наверняка ехидно усмехнется и скажет, Сань, не надо параноить, может, еще скажешь, бумажный блокнот под логины с паролями завести? А я отвечу, что бумажный носитель пока остается самым надежным из всех известных вариантом, но, к сожалению, не самым удобным. Можно, конечно, и бумажный блокнотик завести, все лучше, чем в почтовом ящике, но в наш век высоких технологий есть помощники и получше, вот некоторые из них.
Запомните пароли и банковские данные с помощью собственного алгоритма
Распространённая схема — использование базового числа. Например, пусть первыми двумя цифрами каждого ПИН-кода будет число 23. Когда вы заводите новую карту, то добавляете к 23 цифры из номера карты. Допустим, первую и последнюю или вторую и четвёртую. В таком случае ПИН-код всегда будет перед глазами. Вы знаете, что первые две цифры — это 23. А остальные значения просто смотрите в номере карты.
Когда карт много, легко перепутать ПИН-коды / Фото: life.ru
Создание собственного алгоритма решает две задачи. Во-первых, вам не нужно придумывать сложный пароль для очередного сайта или ПИН-код для новой карты. Вы используете те данные, которые уже есть. Во-вторых, не нужно запоминать сложные пароли. Фактически они всегда у вас перед глазами. Вам нужно только их воспроизвести, используя придуманный алгоритм. Запомнить базовое число и порядок его применения намного проще, чем держать в голове мастер-пароль.
Хранение паролей в браузере
Явным преимуществом этого способа является удобство, например:
- Пользователь освобождается от установки каких-либо дополнительных программ или расширений, создания защищенных архивов или запароленных документов.
- Не нужно каким-либо особым образом настраивать сам браузер — все это уже сделано за пользователя. Чтобы занести логин/пароль в хранилище браузера, достаточно нажать на одну единственную кнопку, согласившись на сохранение. Так же просто и задействовать автоматическое заполнение веб-форм.
- Пароли, сохраненные в браузере, доступны на любом устройств — компьютере, смартфоне и т.д. Для этого потребуется лишь зарегистрироваться на сайте разработчиков веб-обозревателя, а затем выполнить вход в один и тот же аккаунт на всех устройствах.
Однако по части безопасности способ хранения паролей в браузере нельзя назвать самым надежным.
Потому что:
Ваше мнение – WiFi вреден?
Да
24.2%
Нет
75.8%
Проголосовало: 10193
- По умолчанию (без предварительных настроек) пароли в браузере хранятся в «чистом» виде, т.е. незашифрованными. Чтобы увидеть и похитить все сохраненные пароли, злоумышленнику даже не нужно запускать веб-обозреватель — достаточно найти (а это несложно) специализированный файл с паролями на жестком диске.
- В качестве «заплатки» этой «дыры» в системе безопасности браузеров используется парольное шифрование того самого спецфайла с паролями. Доступ к нему невозможно будет получить без запуска браузера. При попытке использования сохраненного пароля или просмотра всех паролей потребуется ввести ранее заданный ключ дешифровки. Но вводить его нужно, как правило, всего один раз за сессию, так как база с паролями будет оставаться расшифрованной до закрытия браузера. И это еще одна «дыра» в механизме безопасности обозревателя. Если как-то вышло, что злоумышленник (или просто «приколист») — это коллега по работе, то он просто дождется, пока пользователь введет ключ дешифровки и оставит свой компьютер без присмотра на пару минут.
- Пароли, хранящиеся в одном браузере, недоступны в других, используемых пользователем. Конечно, пароли можно перенести путем экспорта файла из одного обозревателя и последующего импорта в другой. Но, опять-таки, это потребует от пользователя копаться в настройках. И еще не факт, что экспортированный файл из одного браузера будет перенесен в том же виде в другой.
- В браузерах зачастую отсутствуют дополнительные удобные инструменты по работе с паролями. К примеру, нет автоматической функции проверки сложности и надежности парольной фразы. Отсутствует или менее функционален встроенный генератор сложных паролей, например, нельзя выбрать тип используемых в пароле символов. Нельзя хранить вместе с паролями какие-либо иные данные — заметки и т.п.
В целом, где можно и где же лучше хранить пароли:
— В бумажном виде. Проще говоря, на бумаге. Вот только сложно будет найти нужный пароль, если их у Вас много, но, с другой стороны, и ваши данные не пропадут, если хранить листочек с паролями в надежном месте.
— В файле txt или в Word. В этом случае совершенно очевидны как плюсы (быстрота и легкость поиска логина и пароля), так и минусы (созданный вами файл может не открыться, да и «украсть» его легко).
— В браузере. Многие системы сейчас позволяют не отходя от сайта сохранить данные о нем в программе. Это, безусловно, очень удобно, ведь потом свой пароль можно посмотреть с любого компьютера, но вот если Вы потеряете логин к учетной записи браузера или операционная система однажды не запустится, то всё: сразу все пароли затрутся.
— В телефоне. Это удобно, потому что обычно мы носим смартфоны постоянно, и всегда можно, мельком глянув, найти нужный пароль. Риски в этом варианте тоже очевидны: смартфон может разбиться или просто не включиться. А если уж украдут, то точно все ваши сведения о паролях попадут в чужие руки!
Более того, если ваш ноутбук или телефон может «заразится» пиратским программным обеспечением, то будьте уверены, первое, что с него пропадёт, это ваши пароли.
— В программах для хранения паролей на компьютере
Для хранения паролей на компьютерах существуют и специализированные программы. Так называемые менеджеры паролей для компьютера сохраняют все вводимые вами пароли в собственную базу данных.
Рассмотрим некоторые из этих программ.
LastPass
LastPass – это программа-менеджер паролей, умеющий сохранять пароли как в локальной базе, так и в ее онлайн копии.
LastPass запоминает по выбору пользователя или все вводимые пароли, или выборочные. Программа обладает функционал автоматической смены всех хранимых данных. Вход в локальную базу паролей защищен двухфакторной аутентификацией. Также LastPass обладает удобным сервисом генерации новых паролей и умеет автозаполнять формы в браузерах, точнее говоря, подставлять в нужные поля фамилию, имя, номера телефонов, адрес проживания и т.п.
Базовая версия программы полностью бесплатна для некоммерческого использования.
KeePass
KeePass – это программа с открытым программным кодом. База данных паролей может храниться только в локальном виде, но является зашифрованной. Доступ к паролям можно получить только двумя способами: зайти с конкретного компьютера в эту базу данных или перенести ее, методом экспортирования, на флешку, установить копию программы на другой компьютер, и уже там открыть и увидеть свои данные. Бесплатный менеджер паролей имеет встроенный генератор паролей, умеющий проверять уникальность каждой пары логин-пароль.
KeePass также позволяет подключать огромно количество написанных энтузиастами плагинов, которые серьезно увеличивают функциональность программы. Например, есть дополнение, которое добавляет возможность заполнять данные в диалоговых окнах операционной системы.
RoboForm
RoboForm является настоящим комбайном по запоминанию текстовых данных. Все сохраненные данные шифруются и хранятся сразу и в онлайне, и локально. RoboForm рекомендуется пользоваться, если у вас есть три и более компьютера, за которыми Вы постоянно работаете, ведь только этот менеджер паролей позволяет устанавливать базу данных на USB-устройство.
Отметим также функционал многопрофильности, который обозначает, что в одной программе можно хранить пароли двух пользователей, например, пароли свои пароли и учетные данные мужа\жены.
Программа бесплатна до достижения лимита в 10 логинов.
1Password
1Password обладает всеми стандартными функциями менеджера паролей, однако имеет и свои уникальные черты – встроенный виртуальный кошелек, в котором можно хранить ваши кредитные карты; поддержку синхронизации через популярный сегодня icloud; поддержку доступа внешних пользователей к локальной базе данных. Программа, естественно, обладает достаточно качественным генератором паролей.
Из минусов выделим отсутствие у программы поддержки русского языка и плагинов для браузеров. Без покупки платной версии пароли также нельзя будет хранить в айфоне.
Dashlane
Программа поддерживает двухфакторную аутенфикацию и позволяет по одному клику мыши (или через определённый промежуток времени) сменить все пароли, хранящиеся в базе.
У Dashlane, к сожалению, также нет поддержки русского языка, а синхронизация базы с паролями между устройствами доступна лишь после покупки платной версии.
Хранение паролей в блокнотике
Речь идёт о простой записной книжке, в которую вы ручкой записываете пароли. И это, с моей точки зрения, самый безопасный способ хранения паролей. Наверное, у вас уже возникло два аргумента против данного способа: первый – это неудобно, второе – книжку у вас могут отобрать и все пароли окажутся у злоумышленника.
Для того, чтобы в руках злоумышленника ваша книжка была бесполезна, мы добавим к паролям небольшой секрет. Все страницы в записной книге пронумеруйте и к каждому записанному паролю при введении добавляйте вначале номер страницы, где пароль записан, а в конце – слово zhuk (секрет придумайте свой).
Что это даст? Если злоумышленник получит вашу книжку, он не будет знать о секрете и естественно, пробуя записанные вами пароли, он не сможет нигде авторизоваться. Вам в то же время не составит труда запомнить секрет и добавлять его при введении пароля.
Если вам сложно вводить длинный пароль из записной книжки, вы можете записывать там только 6 символов, остальные 15-20 копировать из менеджера паролей или документа (лучше иметь несколько вариантов для разных типов паролей). Это в совокупности будет очень безопасным решением.
Я, кстати, советую использовать в дополнении менеджер паролей даже если вам не лень вводить 25 символов из блокнотика. Это увеличит защиту от подсматривания вашего пароля, но можно ограничиться добавлением ложных нажатий вместе с прикрыванием руки при вводе.
Место сохранения паролей для программы Skype и проблемы просмотра искомых комбинаций
Достаточно часто приходится выяснять, где на компьютере хранятся пароли от установленных программ. В частности, это касается популярного приложения Skype, с которым в последнее время у многих пользователей наблюдаются проблемы входа в собственные аккаунты.
Установленное приложение хранит пользовательскую комбинаций в специальном XML-файле, где паролю соответствует значение хэша (<hash>). Да, но здесь пароль представлен в 16-ричном виде и просто так просмотреть его не получится. Поэтому для таких целей необходимо использовать HEX-редактор. Но и применение таких утилит без соответствующих знаний результата может не дать.
«Доверяй, но не пароли!»
Каждый решает сам важность сохраняемой информации. Для кого-то особое значение доступ к почте и скайпу, а кто-то устроит трагедию из-за взломанного аккаунта в сетевой игре
Кстати говоря, электронная почта – это самое слабое место в персональной системе информационной безопасности: именно на нее пользователь получает письма со всеми регистрационными данными, и далеко не все удаляют эти сведения.
Хранение паролей в электронной почте – самый ненадежный способ, особенно если тип вашего почтового ящика публичный («ЯндексПочта», Mail.ru). Если злоумышленник взломает ящик, произойдет сбой защиты или утеря пароля, то вы потеряете все остальное. Точно также, благодаря прорехам в защите от вирусов и троянских программ может возникнуть утечка паролей, хранимых в текстовом файле или в документах Microsoft Word. Эта проблема наиболее актуальна для владельцев планшетов, ноутбуков, коммуникаторов.
Программы для хранения паролей
Одним из надежных способов сберечь свои пароли от посторонних глаз или, не дай бог –кражи, являются специальные программы для компьютера.
В пользу использования программ для хранения говорит два весомых аргумента:
- Вы можете сохранить не только пароль, но и другие данные учетной записи.
- Все вводимые данные надежно шифруются, тем самым предотвращая возможность кражи.
Из минусов стоит отметить:
- Забыв пароль от программы, вы потеряете доступ ко всем своим паролям.
- При возникновении критических неполадок в операционной системе, требующих ее переустановки, вы так же лишаетесь всех данных.
В описанных выше случаях, будет уместна поговорка – «Не храните все яйца в одной корзине».
Давайте перейдем к обзору самых популярных программ.
Lastpass
Явным представителем популярных диспетчеров паролей, является «lastpass». Сервис представлен не в виде привычных всем программ для Windows, а расширениями для каждого браузера в отдельности.
Сохраненные доступы к почте, социальным сетям и другим сайтам в Lastpass, будут помещены в отдельном зашифрованном файле на вашем компьютере, а для обладателей «Premium» версии еще и в надежном облачном хранилище.
Дополнительными плюсами в использовании «Ластпасс» будут:
- Доступ к хранимым данным из любого установленного браузера. Расширение связывается с созданной учетной записью и затем с файлом на вашем ПК, хранящим пароли.
- Lastpass – позволяет заполнять формы авторизации на сайтах в один клик.
Перейдем к знакомству с предлагаемым функционалом на основе браузера Chrome.
После успешной установки, вам будет предложено завести учетную запись на сервисе.
Окончив процесс регистрации, откройте расширение, значок которого находится в правом верхнем углу браузера.
В интерфейсе расширения, во вкладке «Сайты», выберите пункт «Добавить сайт».
Перед вами откроется новое окно браузера, с формой ввода данных для сохранения. Поле «Url» необходимо для авто-заполнения форм, с остальными должно быть все понятно.
Сохраненные пароли можно найти и изменить, перейдя в «Хранилище данных».
Работа с расширением Lastpass в других браузерах, абсолютно аналогична.
Keepass password safe
Keepass – классическая программа для хранения паролей, устанавливаемая непосредственно на компьютер. В отличие от предыдущего продукта, доступ к паролям, сохраняемым в Keepass происходит через интерфейс программы, что является несомненным плюсом для безопасности.
Я рекомендую устанавливать «Portable» версию на отдельный flash носитель, так вы убережете данные от «случайной» потери, в случаях, описанных выше.
После скачивания, распакуйте файлы zip архива в отдельную папку и откройте файл «KeePass.exe».
Для надежного хранения паролей создайте «Master Password» и «Key file», необходимые для доступа к сохраняемым данным.
Для завершения операции потребуется сделать несколько движений мышью, предварительно нажав «Use mouse as Random Source».
Сохранить пароль вы можете, нажав значок, показанный на скриншоте.
Выбирая из двух рассмотренных решений, мой личный выбор остановился именно на Keepass password safe, так как он обеспечивает более надежную защиту паролей, благодаря:
- Хранению всех данных непосредственно на компьютере.
- Возможности установки программы на flash носитель.
- Доступу ко всем данным с использованием «Key file».
С программами закончили, перечислим более «традиционные» способы хранения паролей.
- Записать в ежедневнике. «Бумажный носитель» — самый распространенный и крайне надежный способ, главное записывать все на один лист и не забыть место куда его положили.
- В мобильном телефоне. Записать пароль в любое устройство, находящееся всегда с вами – хорошее решение, главное позаботится о сокрытии файла с паролями от посторонних глаз.
- Отдельная «флешка». Создав отдельный текстовый документ для своих паролей и поместив этот файл на специально купленную для этого флешку – вы надежно обезопасите данные от утери или кражи. Главным минусом такого способа, с которым столкнулся лично я, является – обновление записанных данных, вечно забываю это делать.
В конце, стоит упомянуть — когда вы думаете о том, где бы сохранить свой пароль, важно помнить несколько важных правил: никогда не оставляйте бумажки с паролями в паспорте или кошельке, т.к. это самые ненадёжные места
Не пишите пин-код на своей карте, это также небезопасно. Не забывайте, что кошелёк и паспорт — очень заманчивые предметы для воров.
И не забывайте о банальных правилах безопасности в интернете, тогда все ваши данные будут в сохранности.
Храните пароль надёжно
Память инструмент не самый надёжный, поэтому лучше использовать один из нескольких проверенных способов надёжного хранения паролей.
- Бумажный блокнот — да, даже ведущие специалисты по информационной безопасности признают этот вариант. Вот только храните такой блокнот подальше от любопытных глаз, да и пароли в нём храните в непонятном виде (об этом мы поговорим в следующий раз).
- Менеджер паролей — специальная программа, которая помнит пароли за вас, вам лишь нужно помнить один пароль для доступа к остальной базе.
- Текстовый документ — не самый удачный вариант хранения паролей, но его тоже можно использовать, если вы сможете хранить документ безопасно: в архиве под паролем, но это уже вариант менеджера паролей
Для каждого способа обязательно используйте резервное копирование!
Как НЕЛЬЗЯ хранить пароли
- На бумажке, прикрепленной к монитору или лежащей на столе под клавиатурой (есть прецеденты государственных масштабов)
- В текстовом документе на рабочем столе (или на флешке, карте памяти телефона и т.д.)
- В браузере тоже не рекомендуется хранить пароли! (Интересно, почему? Отвечу в комментариях)
В новостном репортаже показали пароль французской телесети TV5 Monde
Хакеры находят секретные данные в JavaScript-файлах
- Для отладочных целей.
- Для целей локальной разработки.
- В виде комментариев, предназначенных для тех, кто будет поддерживать проект позже.
meggf
▍Что делать?
- Минифицируйте код. Благодаря этому код обфусцируется. Подобная обработка кода обратима, но благодаря ей можно обойти многие автоматические сканеры, что уменьшает потенциальные возможности атаки.
- Оставляйте в коде только абсолютный минимум ключей и путей к API. В то время как без некоторых из них обойтись не получится, о большинстве из них сказать того же самого нельзя. Оставляйте в коде только те ключи, которым совершенно необходимо в нём присутствовать.
- Понизьте разрешения, связанные с ключами, до абсолютного минимума. Если вспомнить пример с сервисом картографической информации, то можно сказать, что ключи должны быть такими, чтобы с их помощью можно было бы делать только то, для чего они предназначены, и чтобы пользоваться ими можно было бы только там, где они должны использоваться. Удостоверьтесь в том, что эти ключи нельзя использовать для атаки на систему.
- Используйте те же инструменты для автоматического сканирования кода, которые используют хакеры. Включайте их в системы непрерывной интеграции. Особенно это касается средств для поиска строковых паттернов, которые работают очень быстро. Используйте простые инструменты вроде или для поиска строк. Такая проверка кода сродни тестам. Она позволяет убедиться в том, что разработчики не оставляют в коде дыр, которыми может воспользоваться злоумышленник для взлома системы.
- Внедрите у себя практику код-ревью. Всегда полезно, когда кто-то проверяет ваш код. Все автоматические сканеры мира не способны выявить 100% возможных проблем. Код-ревью — это отличный способ повышения качества и защищённости кода.
Хранение паролей в специализированных программах
Гораздо большими преимуществами по части безопасности обладают специализированные парольные менеджеры. Хорошим примером тут может послужить система хранения паролей MultiPassword. Состоит она из двух основных частей — защищенного облачного хранилища и конечного пользовательского ПО, куда относится настольное (десктопное) приложение и расширение для браузера.
Высокую безопасность использования MultiPassword объясняет принцип ее работы:
Доступ к удаленному хранилищу возможен только после авторизации в системе MultiPassword, для чего потребуется специальный секретный ключ и мастер-пароль. Взломать пользовательский аккаунт MultiPassword невозможно при использовании стандартных методов перебора пароля (так ка кпотребуется еще и секретный ключ). Этого, кстати, нельзя сказать о зашифрованном файле, в котором браузеры хранят пароли — здесь файлы не защищены от взлома путем перебора ключей доступа.
Вводимые в приложение/расширение MultiPassword данные перед отправкой шифруются на пользовательском устройстве и передаются на уделенный сервер в зашифрованном виде. Это исключает возможность перехвата паролей где-то посередине между компьютером или телефоном и серверами MultiPassword при использовании сниффинга и прочих методов анализа, а также перехвата сетевого трафика. Да, злоумышленники смогут перехватить какой-то трафик (особенно, если для выхода в интернет используются публичные точки доступа к сети WiFi), но он для них останется абсолютно бесполезным набором непонятных символов.
Все приложения (включая расширение для браузеров) MultiPassword по умолчанию настроены таким образом, что при длительном (несколько минут) бездействии пользователя интерфейс программы/расширения автоматически блокируется
Это снижает риски утечки паролей с компьютера/телефона по неосторожности пользователя (забыл заблокировать вручную, оставив компьютер включенным).
Вместе с более высоким (по сравнению со встроенными инструментами браузеров) уровнем безопасности парольный менеджер MultiPassword обладает и удобствами:
- Программа доступна для различных платформ (Windows, MacOS, iOS, Android и др.), что обеспечивает доступ пользователя к своим паролям с любых современных устройств.
- При использовании расширения для браузера становится возможным автоматического сохранения паролей в системе MultiPassword и автоматического заполнения полей ввода логина/пароля на веб-сайтах.
- Возможность хранения в зашифрованном виде вообще любой текстовой информации с привязкой к конкретному сайту или просто так.
- Возможность создания неограниченного количества хранилищ (каталогов) для разбивки паролей и других данных на удобные для пользователя категории.
- Возможность импорта в систему MultiPassword паролей из браузеров и других менеджеров.
- Наличие автоматической системы оценки надежности паролей и генератора парольных фраз по основным критериям (длина, тип используемых символов).
Система хранения паролей MultiPassword имеет и свои недостатки, свойственные, всем аналогичным парольным менеджерам. Программу/расширение нужно отдельно скачивать, устанавливать и настраивать (хотя все это несложно и занимает пару минут). Чтобы использовать систему MultiPassword более 30 дней (столько времени дается на опробование), придется оформить подписку. Радует, что цена собственной безопасности составляет символические 50 рублей в месяц.
Не помогло