September 25, 2019

Менеджер паролей? А вот и ДА.

Дисклеймер: данная статья не является рекламой, и написана в рамках цикла статей для Telegram-канала @kitoboyniykanal , вся описанная ниже информация является личным мнением автора, и может не совпадать с вашим.

- Привет, сколько у тебя аккаунтов? Много? Вот и у меня тоже…

- А пароли везде разные, или один но сложный? Разные? Молодчик, а как все запоминаешь?

Примерно такие вопросы могут возникнуть при разговоре двух людей, которым НЕ ВСЁ РАВНО на собственную конфиденциальность. Ведь, при её нарушении, пострадают не только личные данные, но и финансы человека, сейчас уже врядли можно найти того, чьи сбережения не завязаны на онлайн-сервисы, особенно среди нас, криптаны.

Продолжая тему защиты информации (читай - доступа к крипте) от нехороших дядек, остро возникает вопрос о доступных способах, ради которых не надо городить сложностей, и самому в них по итогу запутаться.

Одним из вариантов повышения защищённости – является использование СЛОЖНЫХ паролей (когда я говорю сложных – я не имею ввиду слово «пассворд», написанное в английской раскладке русскими буквами). Сейчас, большинство сервисов (бирж и т.д.) требуют от пользователя использования паролей не менее 8 знаков в длину, и с обязательным содержанием минимум одной цифры и заглавной буквы в себе. Это всем известно, и многие идут по пути наименьшего сопротивления, запоминая один пароль, (например, Password1) и используя его для доступа ко всем или многим сервисам, где есть аккаунт. Редко, когда пользователь удосуживается помнить более пяти различных паролей, особенно, если они по-настоящему сложные (ну вроде вот этого «Fmvh@AY3y9B_C»). Это создаёт уязвимости, которые выливаются в угрозу потери доступа ко всем аккаунтам, где пароли и почта использовались одинаковые, при взломе всего одного ресурса.

Чтобы этого не происходило, существует несколько решений, некоторые ультимативные, вроде покупки физического ключа, сертифицированного FIDO Alliance (некоммерческая организация, образованная в 2012 году в целях повышения безопасности аутентификации в онлайн), но некоторые доступны любому пользователю – в их число входят так называемые менеджеры паролей.

Менеджер паролей – это программный продукт, который даёт доступ к зашифрованной пользовательской базе данных посредством одного пароля. Другими словами, используя такую программу, можно загрузить в неё большое количество РАЗНЫХ паролей к РАЗЛИЧНЫМ сервисам, и получать доступ к ним, вводя один единственный пароль, который является Secret Key (Private Key) для расшифровки базы данных.

Тут же возникает несколько вопросов, касаемых безопасности – ведь зная только один пароль, можно получить доступ ко всем аккаунтам человека в целом. Тут немного сложнее, потому что, без зашифрованного файла базы данных, данный пароль ничем не поможет злоумышленникам, а значит – нам надо обеспечить недоступность файла «онлайн» - это ключевой момент, который позволил выбрать нужный менеджер паролей.

Мой выбор пал на программу Enpass – это один из мировых лидеров в сфере менеджеров паролей и т.н. цифровых бункеров (vault). Файл базы данных Enpass не хранится на сторонних серверах (как это делается, например в программе 1Password), файл можно забэкапить на случай поломки устройства, причём бэкапить его как физически (на флешку), так и с помощью сервисов One Drive (Microsft), Google Drive (Google), iCloud (Apple), Dropbox и т.д. Но обо всём по порядку.

Доступность

Программа хорошо адаптирована и имеет версии для всех популярных ОС в целом: Windows, MacOS, Linux, iOS, Android. Ну тут добавить нечего – юзать можно где угодно, даже расширения для браузеров присутствуют.

Безопасность

Программа использует для шифрование SQLCipher (SQLCipher – это расширение SQLite, позволяющее шифровать файлы базы данных с помощью 256-битного AES шифрования, и да, данное расширение OpenSource, кто хочет может ознакомиться), на стороне клиента, т.е. вся работа происходит без доступа в сеть Интернет.

Удобство

Программа обладает красивым, и что немаловажно удобным и понятным интерфейсом, внешний вид интерфейса на различных платформах идентичен, так что запутаться не получится.

Также в раздел удобство – я занесу шаблонизацию, доступную «из коробки». Т.е. новый юзер, только начавший пользоваться программой, может спокойно выбрать один из множества доступных шаблонов сохранения данных и не париться о полях ввода.

Ещё одно удобство, вытекает из прошлого: благодаря использованию унифицированных полей ввода в Enpass присутствует возможность автозаполнения строк «одним кликом» - это очень удобно, когда логинишься на сайт, и выбрав автозаполнение, сразу входишь в свой аккаунт.

Также, в удобство я запишу одну гениальную функцию – TOTP, простым языком TOTP известен многим, как 2FA (двухфакторная аутентификация) это система генерации одноразовых паролей, и является очень популярной на сайтах, где нужна дополнительная проверка и безопасность. До работы с Enpass, 2FA у меня генерились через программу Google Authenticator, и помимо ввода основного пароля, мне приходилось лезть в телефон, заходить в программу и вбивать оттуда полученный код. Сейчас, я, заполнив поле TOTP в Enpass получаю сразу код вместе с паролем и логином при входе на сайт. (и что немаловажно, Google Authenticator не имеет возможности экспортировать бэкапы, и для сохранения 2FA, приходилось коды инициации записывать где-то в другом месте. Сейчас же, все коды инициации для TOTP бэкапятся и шифруются в единой базе данных локально!)

Дополнительные функции

- Если вы уже пользуетесь Enpass, то при регистрации нового аккаунта, он может автоматически сохранять данные в своей базе.

- В программе есть генератор паролей с возможностью настройки сложности от 4х знаков до 100 и многими другими условиями. Причем данный пароль можно сделать как произносимый (привет фразы восстановления), так и не произносимым – обычным символьным.

- В программе есть также функция проверки ваших старых (ну или новых) паролей на нахождение в базах данных для брутфорса (такой себе функционал конечно, я скептически отношусь к этому).

Цена

Программа позиционируется как бесплатная, но по факту – у нее есть ограничения (20 паролей для мобильной версии), ну и я не привык пользоваться бесплатно отличным продуктом. Так что оплата у программы всё же есть – она проявляется в виде покупки лицензии на каждую используемую ОС (версия для Android отдельно, для iOS отдельно), и стоит 12 с копейками долларов, что очень немного.

На самом деле я описал только основные, понравившиеся мне стороны программы, функционала и возможностей у неё просто завались, бОльшинством из них я даже не пользуюсь (ну кроме синхронизации между устройствами и биометрическим входом в саму программу Enpass)

 

В заключение хочу сказать, что любой программный продукт НЕ ЯВЛЯЕТСЯ гарантией сохранности конфиденциальной продукции (да по сути и аппаратный не является, но об этом позже), но ПОВЫСИТЬ в несколько раз безопасность пользователя он вполне в состоянии.

В следующей статье я напишу об аппаратных устройствах обеспечения безопасности в онлайне и то, каким образом это можно комбинировать с Enpass.

P.S. возможно среди читателей найдутся спецы в информационной безопасности, которым мой слог и описания будут резать слух, чтож извиняйте, статья написана для обычных людей.