Пароли прочно вошли в нашу повседневную жизнь, не проходит и дня, чтобы нам не пришлось придумывать новый сложный код или несколько раз вспомнить старые.
Если лет десять назад в качестве пароля многие использовали дату своего рождения, то современные требования безопасности вынуждают придумывать более сложные сочетания цифр, букв и символов.
В одном iPhone уже может быть до пяти разных паролей и это еще без кодов для сторонних приложений.
Какие пароли лучше использовать
Мошенники научились перехватывать и подбирать несложные пароли, база кодов, хранящаяся на определенном сайте, может быть взломана, предоставляя злоумышленникам доступ к другим аккаунтам пользователей.
Сейчас самыми надежными считаются длинные пароли, сгенерированные случайным образом из букв разного регистра, цифр и символов. При этом пароли не повторятся при регистрации на разных сайтах. Подобрать или угадать их практически невозможно, а если лишиться одной учетки – другие не будут находиться под угрозой.
Так в macOS есть специальное приложение Связка ключей, которое умеет генерировать сложные пароли, в Windows подобное можно проделать при помощи командной строки. Есть специальные расширения для браузера или онлайн сервисы для генерации паролей.
Создать сложный код сейчас очень легко, проблема – его запомнить.
Этим и заманивают пользователей специализированные срвисы/приложения менеджеры паролей.
Что они предлагают
Современные утилиты для хранения паролей имеют множество возможностей. Начиная от встроенного генератора сложных кодов и заканчивая средством для удобного заполнения паролей из базы.
Пользователю нужно лишь запомнить мастер-пароль либо вовсе заменить его отпечатком пальца.
Почти все популярные сервисы имеют приложения для всех актуальных операционных систем, позволяющие более-менее удобно работать с сохраненными паролями.
Сложнее всего было сделать удобное средство для работы с закрытой iOS, но на данный момент, благодаря возможности добавлять сторонние расширения в браузер Safari, активировать менеджер паролей на iPhone можно в пару нажатий.
Данные легко сохраняются и мигрируют между устройствами через iCloud или любое другое облако.
Почему лучше не пользоваться менеджерами паролей
Я всегда скептически относился к подобным программам. Польза в них определенно есть, как есть и ряд веских причин не пользоваться такими сервисами.
1. Любой сейф рано или поздно взломают
Помните историю со взломом аккаунтов знаменитостей в iCloud? И это был не единичный случай, а ведь сервис защищен сложными алгоритмами Apple, а не какого-нибудь начинающего стартапа.
Ничто не мешает хакерам взломать сервер с базой паролей и выложить их в общий доступ или использовать в корыстных целях.
2. Все ошибаются
Разработчики не застрахованы от неудач и ошибок. Любое обновление приложения может содержать дыру или лазейку для злоумышленников, которая в дальнейшем может быть использована для получения доступа к защищенным данным.
Даже iOS, безопасность которой более десяти лет шлифуют и дорабатывают, регулярно позволяет хакерам находить уязвимости и делать джейлбрейк.
Разработчики сервисов для хранения паролей при всем желании не смогут выделить на повышение безопасности и сотой доли средств, которые на этот тратят в Купертино.
3. У каждого есть своя цена
Любой стартап создается с целью получения прибыли. Даже самые идейные разработчики по мере развития проекта начинают задумываться о финансовой выгоде.
Перспективные и популярные сервисы попадают под прицел крупных инвесторов, а через определенное время продаются вместе с накопленной базой конфиденциальной информации. Никогда не знаешь, кто выкупит базу твоих паролей и данных.
Относительно недавно отечественные разработчики популярного приложения, предлагающего хранение конфиденциальной информации, продали свое творение местному банку, после чего сервис испытал отток клиентов.
Разработчики могут банально пожелать большей прибыли и бесплатное приложение станет платным.
4. Не обязательно быть жертвой взлома
Даже если вы считаете, что взламывать вашу учетку никому не нужно, а хакеры в первую очередь будут охотиться за толстосумами и знаменитостями, представьте, что придется сделать, когда узнаете о взломе сервиса.
Нужно будет в кротчайшие сроки обновить сотни сгенерированных паролей на сайтах, формах, в приложениях и операционных системах. Просто ради безопасности, а не потому, что кто-то будет охотиться за вашими данными.
5. Мы и так ничего не помним
Сейчас все больше полезных сервисов освобождают нашу память от какой-либо информации. Нам не нужно запоминать телефонные номера (некоторые и свой с трудом назовут), фамилии и отчества коллег, дни рождения знакомых, памятные даты родственников.
Смартфоны и компьютеры напоминают нам распорядок дня, подсказывают перечень задач и запоминают мысли либо наброски.
С одной стороны верно возложить подобного рода задачи на технику, но ведь наша память с такими темпами совсем деградирует. Я не против заметок и напоминаний, телефонной книги или перечня дней рождений, но вот пароли запоминать все-таки стоит.
Это будет полезной нагрузкой для мозга и обезопасит от нежелательных потерь данных.
6. Для сторонников теории заговора
Можно представить и самый страшный сценарий. В один момент кто-то меняет пароли всех пользователей, которые хранятся в глобальной базе менеджера паролей. Так мы в миг лишаемся доступа ко многим сервисам и службам, которыми пользуемся каждый день.
Появляются сложности с совершением покупок, оплатой, выводом средств и т.д.
Мы ведь и так уже «слили» часть своей конфиденциальной информации Apple, Google и Microsoft, зачем еще отдавать часть данных другим компаниям?
50 комментариев
Форум →Для очень критичных сервисов пароли лучше запоминать. Но не использовать связку ключей для хранения паролей к 100500 всяких регистраций на не очень то и важных сайтах – лишать себя удобства и ввергать в пучину геморроя.
@joker2k2, а еще!
1. Был взломан не iCloud, а «знаменитости» использовали одинаковый логин-парорь на сторонних сайтах, от которых эти данные и утекли.
2. Скорость обновлений приложений и методы-практики разные.
3. Тут можно вообще советовать не пользоваться компьютером, переехать в деревню.
4. Пароли хранятся в зашифрованном виде. Если создатели сервиса вменяемы.
5. Человеческая память не резиновая. Вместо этого люди начнут использовать простые пароли и (1) часто на ненадежных сайтах.
6. Тут можно вообще советовать не пользоваться компьютером, переехать в деревню.
Статью не читал… только заголовки разделов. Не убедительно. Пользуюсь ласт пасс. И не собираюсь отказываться. От него пароль сложный. И нигде не записан кроме головы) пока проблем не было.
1password + связка ключей, думаю компания дорожит свои имиджем и опасаться не стоит, что косякнут
Надуманный бред из разряда «почему я ношу шапочку из фольги». С большим удовольствием пользуюсь 1Password уже лет 7 и не знаю бед.
@CIA_agent, про шапочку из фольги расскажите пользователям Вкармане, которые невольно стали “клиентами” тинькова, и никто от такого не застрахован.
@Артём Суровцев, под «клиентами» разверните ответ. Если у проекта сменился владелец, это нормально. Странно, обычно тут на сайте Тинькова хвалят!
@Phonerz, а если владельцы теряют доступ к своим же данным, в случае несогласия принять условия Тинькова и перегрузить все свои документы с устройства на его сервера, это тоже нормально?
Почитайте комменты к программе в аппсторе, всё станет ясно.
Впрочем, это скорее “бизнес по-русски”, это не показательный пример.
@Soloqub, это тоже нормально. Сменился владелец, сменились правила. Никто не заставляет. Не хотите – не пользуйтесь. С тем же успехом тоже самое могло случиться до тинькова. “бизнес по-русски” здесь никаким местом. Подобное происходит повсеместно.
@sam901, ну так об этом и пишет Артём. Не хотите чтобы у программы вместе с владельцем “сменились правила”, держите свои пароли при себе. Иначе где гарантия, что однажды их не продадут вместе с программой? :)
Хотя, повторюсь, я не силён юридически, но на мой взгляд это обман пользователей, которые платили деньги за программу и на западе их возможно было бы засудить. Хочешь продать бизнес, продавай, а данные пользователей и доступ к ним должны остаться у владельцев. Как минимум должна быть возможность их выгрузить.
А раз “такое происходит повсеместно”, приведите плз хоть пару примеров. :)
@Soloqub, да хотя бы skype. Был p2p сервис. МС выкупили и сменили на традиционную централизованную клиент-сервер архитектуру. И обоих вариантов есть свои плюсы и минусы. Для кого-то плюсы p2p были очень важны и выбора два – соглашаться на смену правил или менять сервис. Никто поддерживать старый протокол не собирается.
Ну и куча примеров, когда сервисы выкупают, закрывают и все. Нет больше данных пользователей, девайся куда хочешь. Picasa, например. И хорошо, если план миграции какой-то предусмотрен.
У меня скорее встречный вопрос, а что не так? Бизнес не обязан делать ничего сверх того, что обязывают законы. А дальше есть EULA, где все отлично прописано, кто кому и что должен. И то что старая версия перестанет работать. И то что в новой версии надо новое EULA подписать, которым даешь согласие на отправку своих данных на сервер и т.д. и т.п. Не согласен – не подписываешь и удаляешь приложение.
Выбор сервиса это всегда компромисс. Поэтому статья и выглядит довольно странно, т.к. однобокая и параноидальная. Есть выбор – есть полностью оффлайн сервисы вроде keepass. Есть облачные с разными правилами работы. lastpass, которым я пользуюсь, облачный, но на ПК хранит оффлайн версию. Даже при отсутствии интернета доступ к паролям остается, на серверах открытых паролей нет, мастер-пароль тоже не хранят у себя и т.д. Вместо паранойи и ограниченного рассмотрения вопроса, лучше бы разобрались с выбором на рынке, а не гребли всех в одну кучу.
@sam901, вы, видимо, не очень разобрались в данной ситуации. Вкармане и была полностью офлайновой программой, хранившей данные на устройствах пользователей. После выкупа Тиньков “предложил” перенести все данные к нему на сервера (теперь они будут доступны только онлайн), либо забыть о них.
Никакой возможности просто забрать своё не предоставлено. Фактически Тиньков купил не бизнес (он сомнителен), а именно данные пользователей. И тут возникают большие сомнения в законности такой покупки.
Никакого сравнения со Скайп тут быть не может. Думаю, 99% пользователей Скайп даже не заметили миграции на централизованную архитектуру. А те кто заметили, лишились возможности использовать сервис, но не лишились ничего принадлежащего им, в отличие от пользователей Вкармане.
@Soloqub, вот поэтому и стоит читать EULA. Потому что там наверняка есть строчка на согласие на обработку всех данных и еще кучу всего. Но никто же не читает, зато в суд бежать все хотят.
Что до разобраться, я вел речь про смену правил игры и это нормально и происходит повсеместно. Мне не нужно разбираться в деталях конкретной ситуации, которая аналогична по большей части.
Что до миграции скайпа, вы явно не понимаете сути такой миграции. p2p архитектура означает невозможностью владельцем сервиса записывать/прослушивать разговоры. Трафик идет напрямую от устройства к устройству. Смена архитектуры означает полный контроль МС над речевым трафиком, полный доступ к нему со стороны спецслужб, рекламных ботов и т.д. и т.п. Это существенно и не менее серьезно, чем внезапная закачка своих документов в облако.
Ну и не надо передергивать факты. Никто в вашем примере ничего не лишился. В онлайне доступно – доступно. Все.
@sam901, EULA читать, конечно, нужно, это тоже не истина в последней инстанции. Иначе, пользуясь тем что их никто не читает, туда можно было бы вписать всякое, что скачивая приложение ты передаёшь им в собственность квартиру и пр. Поэтому вопрос не только в EULA, а в принципе в законности такого действия.
И перестаньте сравнивать мягкое с солёным. Скайп никогда не позиционировал свои каналы связи как защищённые. Никто его и не использовал как таковой.
Переход к централизованной архитектуре не более чем внутренняя кухня Микрософт. Пользователи над такими вещами не задумываются, так же как не задумываются по каким роутам ходят пакеты от них до сайта iphones и обратно. Им всё равно.
Что касается Пикасы, этот сервис просто прекратил работу, притом Гугл сильно заблаговременно предупредил об этом. Пользователи не лишились фоток, которые лежали локально и были добавлены в программу, не обнаружили что эти фотки будут закачаны на сервера неизвестного банка и будут доступны только после принятия условий этого банка. Эти случаи вообще нельзя сравнивать.
И передёргиваете факты вы. Доступ к документам доступен только для тех, кто полностью принимает условия Тинькова и отдаёт ему необходимые данные, например номер телефона.
Есть отличное решение для параноиков. Ко всем паролям хранящихся в ваших программах придумать короткий ключ который будете добавлять в начале или конце каждого пароля. Например, записываете в программе qwerty***. Вместо звездочек держите в голове ваш ключ. Даже если ваши пароли взломают никто ими не сможет воспользоваться так как не известно не длина ни то куда нужно вставлять пропущенное.
@vitalson, так себе решение :)
@vitalson, предположим что один из 500 сайтов где вы зарегистрированы, подвергся взлому и базу логинов/паролей слили в сеть. Из этой базы можно будет узнать ваш “ключ” и использовать его на всех остальных сайтах.
@fenixlz, Я у мамы хакер. Видимо текст сложно дается. АЛЁ! На всех сайтах будут абсолютно разные пароли! Ключ 123. На одном сайте будет пароль 123qwerty, на втором 123hfhf78, 123cfhfhf. Что ты сольешь?? Если и взломают сайт то доступ у них будет только к 1 сайту, ключ из пароля нельзя вычленить не зная его размер и где он стоит.
@vitalson, с учетом количества слитых баз с различных сайтов, элементарно будет сравнить и найти этот ваш ключ, потому что у всех паролей будет постоянная часть. Это минимальное повышение безопасности. В криптографии подобное используется, но только вкупе с хэширование – ключ добавляется, считается хэш, получается пароль. Если сможете так, то это уже будет реальная безопасность.
@sam901, ерунду написали. Добавьте 1 символ, и никто не найдет закономерностей. Идем дальше, даже допустим узнали ваши пароли от пары сайтов, чудом выявили ключ. Дальше что? Все остальные пароли кроме общего ключа все разные. Единственный вариант как узнать ваш пароль это завладеть вашей парольной прогой и плюс к этому взломать несколько посторонних сайтов с вашими полными паролями для выявления ключа. Ну здесь уже полная паранойя, этим никто не будет заниматься, есть методы проще.
@vitalson, хватит выдумывать ерунду, которая не имеет ничего общего с безопасностью. Вы придумали эту ерунду зачем? Затем, чтобы параноики не боялись в менеджерах паролей хранить полностью все пароли, добавив к ним ключ. Изначально предполагается сценарий взлома менеджера паролей. Ваша ерундовая идея никакой дополнительной защиты не предоставляет.
Еще раз повторяю – взламывать сайты не нужно, это делается с завидным постоянством другими. Есть сайты для поиска своих аккаунтов в этих базах – у меня таких нашлось 7 штук. Простая корреляция, ключ найден, менеджер паролей ваш взломан и до свидания. Более того, эти базы всплывают наружу задолго после того, как ими воспользовались все кому не лень. Эти базы утекают тихо и так же тихо продаются.
Вам вот вопрос, а вы следите за этими базами? Делаете периодическое обновление всех паролей? Делаете обновление паролей на тех ресурсах, которые подверглись утечке данных? Если хотя бы что-то из этого “нет”, то можете заканчивать заниматься ерундой и начинать заниматься хотя бы базовыми вещами.
Корректор уже начал праздновать?
1Password всегда пользовался, и прекращать не планирую.
Небезопасно – конечно. Но хранить в голове больше сотни паролей – невозможно. А кроме того связку логин-пароль.. а скорее паролей 20-30 и уже предел…
И еще можно не доверять «облакам» хранение паролей в явном виде – сохранил в криптоконтейнер, а его уже в облако…
@Aliva, нормальные облака и не хранят пароли в явном виде. По крайней мере, на словах и судя по тем алгоритмам, которые они упоминают в своей реализации. Lastpass один из таких.
Есть вариант еще более радикальный – не поьзоваться телефоном и интернетом. А то всякое может случиться!
«Если у вас нету тети, то вам ее не потерять.
Если вы не живете, то вам и не умирать»©
Это правило было и будет всегда, важные пароли на бумаге в сейфе и в голове, регулярно меняющиеся, детворе от аккаунтов можно не заморачиваться.
@ya ne robot, пьяным не пиши больше, такой бессвязный бред получается…
@picatchy, кукарекаешь уже петушок? ))
Мягко вы написали.. Одна программа ( разрабы) продалиСЬ банку.. Да я обАлдел, когда мне код ТинЁк прислал!! ( для входа в программу после переустановки..)? Да я после этого не то, что бы «отточился»? я сбежал бегом с этой программы, удалив все данные!!! Надеюсь, тинёк их не сохранил для себя ..
Обязательно нужно пользоваться менеджером паролей, иначе все ваши пароли придут к виду 1234, ибо человек не состоянии запомнить хотя бы один 256-битный хеш.
Статья реально ни о чем. Точнее статья ради статьи. Проблема надумана и не стоит того чтобы о ней заморачиваться. Тоже пользую 1Password вот уже несколько лет и нет никаких проблем вообще.
Написано с явным непониманием того, как рабатоают менеджеры паролей. Они не идеальны, конечно, но с громадным отрывом безопасней всего остального.
Статья – хрень полная. Пользовался и буду пользоваться. Пароли короче 12-15 символов просто не использую. Сложность по максимуму. Автор не понимает о чем пишет или не пользовался менеджерами никогда.
специально ставлю простые пароли, чтоб хакери увидели мои гроши
и положи денег
Ой. Очередной бред из серии храните деньги в банке трехлитровой или под подушкой. Больше вероятность, что сами спалитесь с каким-нибудь хорошо обфусцированным кейлоггером, который вам, ваша подруга/коллега Машка отправит по электронке.
Safeincloud хранит пароли там, где я скажу (icloud, dropbox, gdisk), все зашифровано мастер-паролем. Само приложение из appstore. Чего не так?
@Y G, Если завтра программа исчезнет? Исчезнет сайт, исчезнет из апстора, исчезнет с телефона (а эпл так умеет делать). Что будете делать? Сможете ли сами расшифровать свои пароли имея лишь мастер пароль?
@fenixlz, вы бы разобрались в том, как ПО работает, прежде чем опять толкать свою религию опенсорса. safeincloud это полностью оффлайновое приложение, которое никуда у тебя не денется. Ничего самому не надо расшифровывать, если все внезапно пропадет.
Тоже самое lastpass. Он работает полностью в оффлайне и использует интернет только для синхронизации изменений. Если все пропадет – открываешь приложение, делаешь экспорт базы и переезжаешь куда хочешь.
Насчет исчезнет с телефона – сомнительная вещь. Но если исчезнет из аппстора, то это не проблема – все купленные приложения можно поставить еще раз, даже если они удалены из аппстора вместе с аккаунтом разработчика.
@fenixlz, с айфона вряд ли исчезнет, если сам не удалю. А если исчезнет – есть еще приложение на маке, которое аппле точно не сможет удалить.
Тоже не доверяю коммерческим менеджерам паролей. Кто знает в каком виде пароль хранится на сервере? Уверены ли вы на 101% что он зашифрован и разработчику невозможно получить к нему доступ?
Выход есть – некоммерческое ПО с открытым исходным кодом. Синхронизация и облако? – git-репозиторий на любом бесплатном сервисе. Пароли (или другие данные) зашифрованы, ключ только у вас.
@fenixlz, можно пойти дальше. А вы уверены в ПО с открытым кодом? Это очень модно нынче отождествлять “открытый исходный код” с безопасным, надежным, удобным [вставить еще кучу эпитетов] ПО. Прежде чем довериться подобному ПО, надо провести аудит кода. Ведь реализовать шифрование правильно не особо тривиальная задача.
Все компромисс и ПО с открытым кодом далеко не выход, а всего лишь один из вариантов с примерно такими же рисками.
@sam901, справедливости ради надо упомянуть True Crypt, у которого есть пройденный официальный аудит. И все же у открытого ПО ошибки хотя бы всплывают, а у проприетарного – живут своей жизнью.
@Sanchezzz, ошибки фиксят и там и там. Могут жить своей жизнью они и там и там. Нет здесь принципиальной разницы, хотя люди из секты FOSS любят выдумывать всякие чудные аргументы, почему опен сорс решение всех бед во всем мире.
Аудит я привел как преувеличенный пример того, что довериться такому ПО невозможно даже с открытым кодом. Нет здесь никакого принципиального преимущества перед проприетарными решениями. Разве что ты сам являешься специалистом и способен оценить адекватность реализации, что могут очень немногие люди. Преимущества открытого ПО менее очевидны и лежат в другой плоскости.
truecrypt к сабжу не при чем, но да. Это пример, когда довериться можно и иметь на руках хоть какие-то гарантии кроме репутации разработчика.
@sam901, во-первых уточню – опенсорс не всегда лучше проприетарного ПО. Я не призываю полностью переходить на открытое программное обеспечение. Да и не вижу для этого причин.
Но пароли, финансовые вопросы, всякого другого рода КРИТИЧЕСКАЯ информация должна храниться НАДЕЖНО. Проприетарное ПО этого не гарантирует – ты просто либо веришь разработчику, либо нет – полностью отдаешься в его власть. Открытое ПО ты можешь посмотреть сам, или его может посмотреть тот, кому ты доверяешь, кто пользуется твоим авторитетом.
Четыре совета:
1) Не храните пароли в не зашифрованном виде.
2) Не храните пароли в облаках.
3) Не пользуйтесь проприетарным ПО. Только open-source.
4) Не читайте эту статью.
@Sanchezzz, почему нельзя хранить шифрованный пароль в облаке?
@fenixlz, я имел в виду всякие онлайн-сервисы. В облаке можно хранить зашифрованные пароли, если они шифровались на вашем доверенном компьютере доверенным софтом. Т.е. хранить в Дропбоксе зашифрованную на вашем компьютере базу с паролями можно, а доверять эту работу стороннему онлайн-сервису – нельзя.
«кротчайшие сроки»
Это просто финиш! Автор, ищи стену, чтобы свершить над собой самосуд.
Ну не знаю, 1Pass не хранит пароли в своей базе да и в какой либо еще, он хранит базу там где пользователь скажет, например в dropbox или вообще локально на устройстве
Все аргументы статьи (за исключением тренировки памяти) решаются одним способом: использование оффлайного opensource менеджера паролей. А базу от него в зашифрованном виде уже хранить в облаке.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как на iPhone скрыть фотографии из выдачи Spotlight
Пропадают заметки на iPhone, что делать?
Как полностью отключать Wi-Fi и Bluetooth в iOS 11
Почему не передаются фото с iPhone на Mac с функцией Камера Continuity
Как установить iOS 16.4 beta 1 на iPhone и включить ввод свайпом для русской клавиатуры
Как следить за скидками на приложения в App Store
Как проверить уровень заряда AirPods на смартфоне с Android
Как на Mac поменять язык в определенном приложении, но не менять язык системы