Как правильно передавать пароли

В эру развития информационной безопасности почему-то большинство пользователей не обращают на неё внимание. Возможно вы замечали за собой или другими, но учетные данные передаются из рук в руки просто в мессенджерах, на бумажках или вообще в общем чате.

Почему-то многие считают, что если написать “ты только удали потом”, то ничего не будет и пароли так и останутся в сохранности. Это не так.

В этой статье мы расскажем как ваши пароли могут своровать и что вы должны делать, чтобы их обезопасить.

Как воруют пароли

Начнем с банального - зайдите к себе в сообщения ВК и вбейте в поиск “Пароль”. Сколько сообщений со скинутыми паролями он найдет? Страницы взламывают не так уж и редко, а иногда и так, что вы и сами не заметите. Пробить историю вашего общения и собрать пароли вообще не составляет труда.

Еще иногда пароли скидывают как документ и они становятся публично доступны. Найти такие пароли не особо сложно, если хорошо поискать по нужным ключевым словам в поиске по документам. Примеров по понятным причинам приводить не станем.

Ровно также проверяются и различные мессенджеры и чаты. Стоит только хоть чему-то стать взломанным - пароли станут общественным достоянием.

Давайте приведем пример обычного человека. У него есть учетная запись в Яндексе и Яндекс браузер, которые привязаны друг к другу. Все сохранения паролей и карт в этом браузере привязывается автоматически к учетной записи и если её синхронизировать с другим браузером, то это всё станет доступно и там. Смекаете к чему мы ведем?

Стоит взломать одну почту на Яндексе и догадаться синхронизировать с ней браузер, можно получить доступ не просто к паролям, но и к кредитным картам пользователя.

К слову, у меня, автора этой статьи к учетке привязано 834 пароля и три карты, если мою почту взломают - это будет печаль полная.

Кейлогеры

Второй способ свистнуть ваши пароли - кейлогеры. Кейлогер - это софт или вирус, который записывает все нажатия на клавиатуре с определенных сайтов. Потом эти данные просто передаются разработчику и все.

Как защищаться от вирусов - дело ваше. Мы просто делаем вывод, что если безалаберно относиться к антивирусной защите, то можно самостоятельно “передать” пароль злоумышленникам.

Брутфорс

Брут - это процесс подбора пароля простым методом перебора. Зачастую пользователи делают пароль “111пароль” или что-то подобное. Такие пароли брут чекает на раз и они тут же передаются разработчику софта.

Мы описываем все эти методы для того, чтобы вы понимали, что любая оплошность с вашей стороны может привести к тому, что ваши данные окажутся в других руках.

Теперь давайте думать как избежать такого развития событий.

Где хранить пароли

Вот мы и добрались до самого важного - где же лучше всего хранить пароли. Понятно, что при выборе места хранения во главе угла должна стоять безопасность, но весь мы же еще хотим периодически делиться доступами к различным сервисам и это должно быть как минимум удобно. Также стоит учесть и то, что нам нужно иметь доступ к паролям на разных устройствах и в разных местах, что тоже усложняет процесс. Последняя сложность - вариативность паролей. Например, чтобы передавать доступ к управлению хостингом нужно иметь возможность создавать дополнительные поля, ведь помимо логина и пароля тут может быть ip, ссылка на биллинг, FTP доступ и тд. Получается уже целая заметка, которую тоже хочется передать разом и безопасно.

Хранение на бумажке

Чтобы закрыть этот вопрос разом, обсудим его первым. Хранить пароли на бумажках или в записной книжке не безопасно от слова совсем. Бумага - совсем не долговечный хранитель информации, её легко намочить, порвать или потерять. Так вы потеряете свой пароль, что может обернуться проблемами. Записную книжку вы также можете потерять или она попадет в третьи руки. Для того, чтобы сфотографировать страницы с паролями достаточно не более одной минуты. Этого нельзя допускать.

Особенно, это касается стикеров с паролями на рабочих местах, которые почему-то принято лепить на монитор или под клавиатуру. Лучше всего на работе вводить штрафы за такое пренебрежение безопасностью и иногда устраивать проверки.

PS. На картинке французский телеканал, который был взломан после этого кадра. Взломан - громко сказано, злоумышленники просто ввели пароль, который увидели в кадре.

Хранение в txt-файле

Еще один вид абсолютно не безопасного хранения учетных данных. Для полной картины остается только назвать файл “Пароли”. Теперь вообще никому не составит труда найти этот файл и сфотографировать.

Обычно такие деятели делятся на два типа:

• Хранят файл на рабочем столе
• Засовывают файл в архив и паролят уже его

У вторых хоть какое-то чувство безопасности есть, однако это не решает вопрос надежной передачи, да и стоит жесткому диску или архиву выйти из строя и всё, паролей больше нет.

В общем тоже плохой способ, пользоваться им ни в коем случае нельзя.

Оффлайн-софт

Более надежный способ, по сравнению с двумя предыдущими.

Одним из самый распространенных софтов для хранения паролей оффлайн можно считать KeePass. Софт не обязательно устанавливать, его можно держать портативным на флешке или диске, что позволяет получить доступ к паролям из разных мест. Есть экспорт и импорт данных, хранение учетных данных под несколькими мастер-паролями и даже блокировка учетной записью. В общем безопасно, но не решается проблема передачи и доступа к паролям с мобильных устройств.

Также KeePass имеет более сотни дополнительных плагинов делающих из программы настоящего монстра с кучей возможностей. К слову, некоторые плагины как раз решают вопрос передачи, но только между другой программой с тем же расширением.

В общем, софт можно использовать, если вам нужны пароли к чему-то конкретному и только на одном устройстве. Например бухгалтеру, чтобы зайти в 1С на рабочем месте. Портативность обеспечивает безопасное хранение учетных данных вне Windows. Единственное, мы бы рекомендовали иногда бэкапить новые пароли на другую флешку.

Онлайн сервисы

Среди онлайн сервисов хранения паролей флагманом можно считать LastPass. Софтом пользуются более 17 миллионов пользователей по всему миру, включая такие крупные бренды как The New York Times, CNN, The Economist и другие.

Если кратко, что умеет сервис:

• Хранить пароли на своих серверах
• Давать доступ к паролям другим пользователям не показывая им сам пароль
• Хранить данные банковских карт
• Автозаполнять пароли в браузере и мобильных приложениях
• Создавать пароль во время регистрации в сервисе
• Синхронизировать веб-версию и мобильное приложение
• Сортировать пароли по любой удобной вам схеме
• Забирать доступ у определенных пользователей в один клик
• Приложение для Apple Watch
• Создавать и расшаривать целые заметки
• Он бесплатный

Сервис представлен в трех вариантах:

1. Онлайн версия
2. Расширение для браузера
3. Мобильное приложение

В целом в этом сервисе прекрасно и удобно всё, за вычетом одного момента. Вы конечно можете дать доступ сотруднику к любому сервису и он его не увидит, а заходить будет через автозаполнение плагином, но если он обладает хотя бы минимальными навыками HTML-верстки, узнать пароль не займет и десяти секунд.

В остальном сервис вполне надежный и заслуживает доверия.

Приложения для телефонов

Если вы не пользуетесь ПК, а только мобильным телефоном, то Appstore или Play Market могут предложить вам обширный спектр софтин, которые могут управлять вашими паролями. Некоторые приложения поддерживают Smart Lock от Google, но назвать его менеджером паролей всё же нельзя.

Тут вы можете воспользоваться просто одним из популярных приложений или скачать всё тот же LastPass, решать вам.

Заключение

Обязательно пользуйтесь только проверенными сервисами и способами хранения учетных данных. С каждым годом цена на пользовательские данные только растет и не стоит упрощать работу злоумышленникам, которые их воруют. Лучше один раз обезопасить себя, чем потом долгое время восстанавливать доступы или потерять деньги.

Не стоит забывать и про двойную аутентификацию. В таком случае, даже если ваши пароли своруют, этого окажется недостаточно, чтобы навредить вам. В любом удобном случае подключайте вторую аутентификацию.