26 фев 2018

Менеджеры паролей. Безопасно ли хранить пароли в облаке? Инструкция по KeePassXC

Пароли. Пароли требуются везде. Почтовый ящик, Вконтакте, Skype, VPN, PGP и множество других программ и сервисов. Везде, где есть учетные записи, вам нужен пароль. А если аккаунт украли и пароль скомпрометирован? В интернете есть десятки магазинов, торгующих краденными аккаунтами.

Используете сложный пароль, но всего один? Это, как лететь на самолете с одним двигателем, если он откажет – пострадает всё. Для каждого отдельного сервиса, рекомендуется иметь отдельный пароль и посложнее. Но как их все запомнить? Здесь, нам на помощь и приходят менеджеры паролей. В них, вы можете хранить десятки паролей в зашифрованном виде, а для доступа к ним потребуется всего один.

 

Менеджеры паролей. Для чего нужны?

 

Теперь, нам не нужно запоминать сотни паролей – записываем их в менеджер (или генерируем в самой программе), когда нужно – копируем\вставляем или, если есть функция автоввода, настраиваете нужный пароль для нужного сайта и при входе, он будет автоматически заполнять данные за вас. Для доступа к паролям и остальным функциям, используется «Мастер-пароль». Одно кольцо, чтоб миром править…  Один ключ для всех замков.

Вездесущие пароли!

Вероятно, вы слышали о фишинг-атаках, когда хакеры имитируют страницу входа в банк в мельчайших деталях, требуя,чтобы вы вводили не только свою регистрационную информацию, но и ответы на секретные вопросы, номера кредитных карт и т. д. Большинство современных менеджеров паролей предлагают автоматически заполнять ваши данные при входе в систему. Поскольку фишинговые ссылки очень похожи на реальные URL-адреса (они обычно отличаются на одну-две буквы), пользователю трудно определить разницу, он просто вводит логин и пароль, как обычно. Менеджеры паролей не будут предлагать заполнить ваши учетные данные, если URL-адрес отличается от реального.

Теперь представьте другую ситуацию: вы начали свой собственный бизнес, и очень важно, чтобы ваши сотрудники имели доступ к некоторым вашим учетным записям, возможно, даже к банковским счетам.

Доверите ли вы им, все свои пароли?

Конечно, нет. К счастью, приличные менеджеры паролей позволяют нам делиться нашими паролями с несколькими пользователями, не раскрывая их. 

 

Виды менеджеров паролей

 

Существует два типа менеджеров паролей:

  1. Online Password Managers – онлайновые менеджеры. Нет приложений, которые вам нужно скачать или установить. Вы просто входите в свою управляющую учетную запись и они там - все ваши пароли зашифрованы и безопасно хранятся!

Менеджер паролей Keeper

Однако, онлайн-решение подразумевает целый набор проблем, отличных от автономных менеджеров, связанных с безопасностью, поскольку весь процесс осуществляется исключительно через Интернет.

Сегодня появляются новые способы защитить пароли, например Host-ProofHosting. По сути, никто, даже хозяин, не имеет доступа к вашим паролям - они зашифрованы таким образом, что никто не сможет их взломать! (Так они говорят.) Но вы бы доверились неизвестным личностям в Интернете? Куда сложнее будет получить доступ к вашим паролям, если вы храните менеджер на устройстве (НЕ на google диске или облаке), ведь сначала вам придется взломать компьютер, а затем менеджер и если вы пользуетесь современными наработками в области безопасности (Tails, Whonix, VPN, и пр.), то это, превратится в практически невыполнимую задачу.

 

Преимущества:

Не нужно ничего скачивать и устанавливать

Вы можете получить доступ к своей информации с любого устройства и везде, где есть Интернет.

 

Недостатки:

Нет Интернета - нет доступа.

Если правительству потребуются ваши пароли, они получат их по первому требованию.

 

  1. Оффлайновые менеджеры — настольные приложения, которые вам нужно скачать и установить.

 Менеджер паролей Dashlane

Преимущества:

Ваши пароли хранятся на вашем компьютере.

Вы можете получить доступ к паролям, на разных компьютерах, если храните их на USB-накопителе.

Множество дополнительных опций, помимо простого хранения и сохранения ваших паролей - цифровой кошелек, биометрическая аутентификация, автоматизация процесса смены пароля на многих сайтах и т. Д.

Намного труднее для хакеров или правительства получить ваши данные для входа, если вы используете дополнительную защиту.

 

Недостатки:

Хранение на компьютере, это также и минус, ведь ваш ПК может быть заражен различным хакерским ПО(трояны, кейлоггеры и пр.).

Если вы не регулярно создаете резервную копию файла вашего менеджера, вы рискуете потерять свою регистрационную информацию, если ваш компьютер выйдет из строя.

Достаточно распространенная проблема - вы можете потерять USB-накопитель, или он может быть украден или поврежден (если вы храните ваш менеджер паролей на вашем USB-устройстве).

 

Популярные менеджеры паролей

  1. KeePassXC — отличный оффлайн менеджер, на 100% бесплатный. Является форком KeePassX, который предустановлен в Tails. Существует уже давно и работает на всех основных системах. Подробная инструкция ниже.
  2. LastPassидет как в виде расширения для браузера, так и в виде мобильного приложения. В зависимости от ваших потребностей вы можете использовать бесплатный или премиум-вариант. Бесплатная версия программы хранит регистрационную информацию для неограниченного количества учетных записей; Он может автоматически заполнять формы, генерировать суперсильные пароли для всех ваших учетных записей и даже, автоматически менять пароли.Был взломан, более не интересен.
  3.  — оффлайн менеджер, бесплатный при использовании на 1 устройстве, для использования на нескольких устройствах, придется заплатить 895р. За год. Запускается практически на всех платформах, включая мобильные. Roboform не только надежно хранит ваши пароли, но и автоматически заполняет ваши данные на веб-сайтах.
  4. Dashlane — оффлайн менеджер, работает на всех основных платформах и со всеми браузерами. Имеет генератор паролей и электронный кошелек, который хранит и заполняет данные о вашей кредитке, когда это нужно. Dashlane — бесплатный менеджер, однако в премиум-версии есть такие функции как: хранение запасного ключа в зашифрованном виде в облаке, синхронизируется со всеми устройствами, двухфакторная аутентификация и другие. 
  5. StickyPassword — оффлайн менеджер, обе версии бесплатного и премиум-класса позволяют хранить неограниченное количество логинов, создавать надежные пароли, автозаполнение, но, для синхронизации с облаком и биометрической аутентификации вам нужен премиум аккаунт (1890руб. в год). Он прост в использовании и надежен. Спасает ламантинов.    

 

Как пользоваться KeePassXC. Пошаговая инструкция

 

  • Скачиваем инсталлятор здесь https://keepassxc.org/. Верифицируем подпись через GPG, устанавливаем.

Качаем KeePassXC с официального сайта.

 

  • Выбираем "Создать новую базу данных".

 Выбираем "Создать новую базу данных"

 

  • Придумываем название для нашего хранилища и указываем папку, где он будет храниться.

 Придумываем название для нашего хранилища и указываем папку, где он будет храниться.

 

  • Создаем Мастер-пароль, это будет единственный пароль, который вам нужно запомнить, он будет являться вашим ключом для допуска к другим паролям.

Создаем Мастер-пароль, это будет единственный пароль, который вам нужно запомнить, он будет являться вашим ключом для допуска к другим паролям.

 

Мастер-пароль –от его надежности зависит все. Можете использовать генератор паролей или попробуйте способ diceware – когда пароль состоит из ряда нескольких легко запоминающихся слов, а не сложных комбинаций цифр, знаков, больших и маленьких букв. 

Можете использовать опцию Keyfile, но если вы потеряете файл, удалите или он будет взломан — вся ваша база паролей будет скомпрометирована, поэтому сохраните ее на внешнем устройстве, где он будет в безопасности (не в облаке!).

Ультимативный способ – комбинация мастер-пароля и файла-ключа, для сверхнадежной защиты!

 

  • Жмем на ключ с зеленой стрелкой – Создать запись.
Жмем на ключ с зеленой стрелкой – Создать запись. 

В открывшемся окне заполните поля: имя пользователя должно соответствовать паролю от сайта. Можно сгенерировать пароль нажав значок черного кубика. Введите URL адрес сайта на котором пароль будет автоматически введен. Жмем ОК.

 

  • Чтобы скопировать пароль, просто нажмите правой кнопкой на вашу запись и выберите Скопировать пароль. Вставьте его в нужное поле на сайте.
Чтобы скопировать пароль, просто нажмите правой кнопкой на вашу запись и выберите Скопировать пароль. Вставьте его в нужное поле на сайте.

 

  • Выбираем Править запись – Автоввод – Включить автоввод для этой записи. Здесь также можно задать последовательность ввода пароля и логина.
Выбираем Править запись – Автоввод – Включить автоввод для этой записи.

 

  • Переходим на сайт, устанавливаем курсор в поле ввода логин, переходим в программу, правой кнопкой на нашу запись – Произвести автоввод. Готово!

 Не знаю, как это комментировать.

На самом деле у KeePassXС огромное количество разных функций, кроме описанных выше, углубиться в изучение которых, вам предлагается самим. Можете также попробовать стеганографию для хранения паролей, например, если вы используете Whonix (в нем нет предустановленных хранилищ паролей, а текущие версии популярных менеджеров, давно просрочены и не поддерживаются). 

Я специально не стал рассматривать версию KeePassX для Linux, так как она предустановлена в дистрибутив Tails, и мало чем отличается от KeePassXC. Возможно я частично рассмотрю ее в разборе TailsOS.

Автор 
Опубликовано в Мануалы
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить