Хотя большинство из нас понимают, что мы должны создавать разные пароли для каждого веб-сайта, сервиса или приложения, которое мы используем, однако многие люди этого не делают.
Социальные сети, электронная почта, чат-клиенты, онлайновые платежные системы, пин-коды кредитных карт … список можно продолжать и продолжать. У большинства пользователей есть тонна различных сервисов, которые они используют в Интернете. Мы все чаще используем наши компьютеры, а также мобильные устройства (смартфоны и планшеты) для покупки товаров в Интернете или подписываемся на платные онлайн услуги. Поскольку каждый сервис требует регистрации, то нам на каждом из них необходимо создавать и использовать учетные записи, а также придумывать пароли доступа к тому или иному сервису.
Для большинства пользователей существует сильный соблазн использовать один и тот же пароль для всех сервисов. К тому же, как правило, существует тенденция использовать несложные пароли, которые можно легко узнать пользуясь методами социальной инженерии.
Хотя, безусловно, помимо паролей для авторизации в интернет-сервисах все чаще используются такие технологии, как Touch ID (технология авторизации, основанная на использовании датчика отпечатков пальцев) или двухфакторная аутентификация, но, по-прежнему, основным способом авторизации для большинства пользователей остается пароль, как основной метод для доступа к интернет-магазинам, а также к другим интернет-услугам.
Password Manager (Менеджер паролей)
Используя простые повторяющиеся пароли на различных сервисах, мы становимся чрезвычайно уязвимы для взлома и использования этих сервисов без нашего согласия. Поэтому, важно иметь сложные и уникальные пароли для каждого сервиса, который пользователь использует в онлайн, без необходимости постоянно хранить и запоминать эти пароли в своей голове. В принципе, сами интернет-сервисы сегодня диктуют политику паролей, к примеру:
Ваш пароль должен быть длинной не менее 8-ми символов, а также содержать 1 заглавную букву, 1 цифру, 1 строчную букву, 1 спец. символ …
Как это все держать в голове? Выход из этой сложной и запутанной ситуации есть – это программы-менеджеры паролей.
За последние несколько лет как спрос на подобные программы, так и функциональные возможности менеджеров паролей значительно возросли. Если раньше менеджеры паролей умели лишь хранить информацию в зашифрованном виде, то сегодня они интегрируются в систему компьютера или мобильного устройства для взаимодействия с браузерами и другими программами при заполнении форм авторизации, а также безопасной облачной синхронизацией хранимых данных между различными устройствами и платформами.
Если, к примеру, в macOS App Store задать значение поиска “password manager”, то в результате поиска по данному ключевому параметру мы увидим не один десяток программных продуктов, что говорит о высоком интересе к данной проблематике, как самих пользователей, которые генерируют спрос на продукт, так и разработчиков, которые стремятся этот спрос удовлетворить, создавая все новые и новые продукты в области безопасности, при этом каждый раз заявляя, что их продукт является лучшим и уникальным на рынке. Но какой же из менеджеров паролей является лучшим? Как осуществляется формирование цены на тот или иной продукт? Попробуем в этом вопросе разобраться.
1Password
1Password, разработанный компанией AgileBits, достойный вариант для выбора менеджера паролей и один из самых популярных менеджеров, особенно среди Mac-пользователей (продукт изначально разрабатывался для яблочной платформы). Совсем недавно продукт подвергся существенной реновации как в области самих функциональных возможностей, так и в области тарифных планов для пользователей.
Из функций и нововведений, достойных внимания, следует выделить Secret Key для облачного аккаунта 1Password. Он рассматривается разработчиками продукта как еще один дополнительный уровень вашей безопасности и используется в сочетании с основным Master Password пользователя. Комбинация этих ключей и есть full encryption key. По заверениям разработчиков продукта, использование данной технологии, а именно дополнительного ключа – Secret Key лучше, чем двух факторная аутентификация (2FA). Фактически, Secret Key защищает данные пользователя в облаке, если кто-то пытается атаковать сервера 1Password методами брутфорсинга.
Режим путешествия (Travel Mode) – это еще одна интересная функция. Он защищает данные пользователя 1Password от необоснованных рисков во время путешествия. Когда пользователь включает режим путешествия, все хранилища паролей будут удалены с устройств, за исключением тех, которые помечены как «безопасные для путешествий».
Краткие итоги. С одной стороны пользователи 1Password получили множество нововведений и дополнительных функций, основанных на облачном аккаунте, с другой стороны компания изменила условия продажи (тарифные планы) данного продукта с пожизненной лицензии (Mac and Windows Bundle – $69.99) на ежемесячную подписку ($2.99 в месяц при оплате за год однопользовательская лицензия и $4.99 за Families (5 peoples)).
LastPass
LastPass, один из первых полнофункциональных инструментов для управления паролями, является чем-то вроде золотого стандарта для менеджеров паролей.
Однако, в отличии от 1Password, базовый тарифный план для одного пользователя бесплатен. Воспользовавшись LastPass Free, пользователь получит доступ к хранилищу паролей на всех устройствах, стандартный функционал менеджера паролей, а также возможность предоставить общий доступ к своим данным одному пользователю и многофакторную аутентификацию.
Возможности Premium ($2 в месяц; 1 пользователь)– это все функции Free плюс:
- Возможность предоставить общий доступ к своим данным нескольким пользователям
- Экстренный доступ
- Дополнительные варианты многофакторной аутентификации
- Приоритетная техническая поддержка
- LastPass для приложений
- Зашифрованное хранилище файлов объемом 1 ГБ
Кроме того, новинкой является тарифный план Families $4 в месяц на 6 пользователей. Продукт Families поддерживает все функции Premium, а также имеет дополнительные возможности, а именно группировка и совместное использование объектов в папках и наличие консоли семейного администратора.
Как известно, применение уникальных сложных паролей является одним из методов эффективной защиты. LastPass, используя генератор паролей, автоматически создает 12-символьные пароли, что не является чем то выдающимся по сравнению с продуктами конкурентов. Но пароли не являются чем то, вроде «сделал и забыл». Изменение паролей время от времени является дополнительной мерой предосторожности. LastPass предлагает два инструмента для эффективного менеджмента паролей. Первый – автоматическая смена пароля. Вместо ручного входа в учетную запись и изменения пароля вручную, LastPass сделает это за вас одним нажатием кнопки (этот сервис поддерживает 80 популярных сайтов, включая Facebook и Amazon). Второй – Security Challenge, который проверит ваше хранилище на наличие слабых, старых и повторяющихся паролей, а также на сайты, которые были скомпрометированы.
LastPass также недавно добавил функцию аварийного доступа (Emergency Access), которая позволяет назначать доверенных людей для доступа к вашему хранилищу, когда у вас нет возможности этого сделать.
Открывать свой кошелек или нет, получая функционал премиальной версии, решать вам. Но и так, учитывая ультрасовременные возможности, LastPass первый в очереди продуктов, на который стоит обратить внимание пользователям.
Enpass
Enpass – еще один представитель продуктов в области безопасности, который сложно обойти вниманием.
Девиз продукта: “No hidden charges, no subscription fee. Just download and use”, что переводится как “Никаких скрытых платежей, без абонентской платы. Просто загрузи и используй”.
При этом мы получаем менеджер паролей, имеющий лучшую кросплатформенность на рынке подобных продуктов, а именно наличие клиентов для таких платформ как Linux, Chromebook, Windows UWP и, даже, Blackberry. А вишенка на тортике – это Enpass Portable, что есть не что иное, как менеджер паролей на USB-носителе. В этом случае продукт не требует установки. У пользователя не требуется наличие прав администратора. Все просто и гениально: “Вставь flash. Запусти приложение. Войдите в систему. Готово.”
Кроме того, Enpass дает вам возможность синхронизировать данные по широкому диапазону облачных сервисов таких, как iCloud, Dropbox, OwnCloud, Google Диск, Onedrive или Box.
Еще одна функциональность продукта – это технология TOTP (Time-based One Time Passwords), а именно одноразовые пароли, существование которых основанно на времени жизни. Фактически приложение использует не что иное, как двухфакторную аутентификацию. Похоже, что данная технология становится стандартом отрасли для подобных приложений даже в базовом тарифном плане.
Особенностью тарифных планов данного приложения является бесплатность (пожизненная лицензия) десктопной кросплатформенной версии продукта (Mac, Windows и Linux), и плата по $9.99 за каждую мобильную платформу (iOS, Android, Windows Mobile, Blackberry). Для мобильных платформ, также предосавляется пожизненная лицензия.
Если вам интересно узнать, какие существуют еще решения, кроме рассмотреных нами в обзоре, некоторые из них мы перечислим ниже: Dashlane, pwSafe, SafeInCloud, Avast Passwords (а как же без продукта широко известной российской компании).
Мы начали с трех эталонных менеджеров паролей на рынке безопасности, но с течением времени мы будем опять и опять возращаться к этой теме. Поэтому мы не ставим точку, а скорее многоточие…