пятница, 28 октября 2016 г.

пароли, пароли, пароли

Итак решил написать про то как хранить пароли от разных интернет сервисов не запоминая их.

Я конечно сисадмин и мне по долгу службы приходится иметь кучу всяких аккаунтов на разных серверах. НО! я думаю сейчас и у рядового пользователя интернета имеется не мало мест куда нужно логиниться.
Конечно двухфакторная аутентификация почти что у нулю сводит вероятность того, что к ваш аккаунт залогинится не прошенный гость.
Но не любые сервисы предоставляют двухфакторную аутентификацию. И поэтому приходится запоминать пароли от всевозможных социальных сетей, банковских интернет-кабинетов, электронной почты и прочее.

Некоторые пользователи не заморачиваются и делают один пароль для всех сервисов, но при первой же утечки пароля к злоумышленнику такие пользователи теряют сразу все свои интернет сервисы.

Придумывать пароли с датами рождения и именами родственников тоже не вариант, довольно быстро это все подбирается всякими роботами взломщиками.

Самый надежный способ это для каждого аккаунта, ящика и т.п. придумать свой не повторяющийся пароль, лучше через генератор случайных цифробукв.

Но как же это все запомнить?
Для этого существует менеджер паролей - это программа для хранения паролей в зашифрованном виде. У менеджера паролей есть один мастер пароль, который нужно хранить как зеница око. Но чтобы украсть все пароли нужно пробраться на компьютер  украсть файл с базой данных с паролями. Конечно стопроцентной защиты не существует. Но с менеджером паролей пароли могут "утечь" более вероятно в результате целенаправленной атаки. Поэтому мастер-пароль (от менеджера паролей) должен быть сложный и храниться супер секретно.

 Это действительно важно!

Ну обзор менеджеров паролей производить не буду потому что это уже сделали за меня и очень хорошо. вот например - https://habrahabr.ru/post/225053/ или вот http://www.securitylab.ru/analytics/472353.php
А вот здесь показали как можно поломать менеджеры паролей всякими хакерскими штучками:
https://xakep.ru/2014/09/08/password-manager-pentest/

И как результат на первое место выходит БЕСПЛАТНЫЙ keepass2...
Цитата: "Из всех пяти менеджеров паролей только один KeePass смог успешно противостоять всем трем атакам. Открытый код и постоянная поддержка со стороны энтузиастов сделали действительно достойный продукт"

Итак KeePass2


Эта программка работает практически на любой системе.
Интерфейс честно говоря не очень...но функционал очень удобный.




Вот посмотрите, здесь есть возможность разложить пароли по категориям. Это удобно для быстрого поиска. Кроме того я например и пины банковских карт сюда записал.
Некоторые я пароли просто не помню или даже не знаю, особенно те которые были сгенерированы сервисами, на которых я регался. Я просто скопировал этот пароль и сохранил его здесь.

Как можно безопасно пользоваться менеджером?

Ну сначала добавим наш пароль в базу:



Здесь вполне понятные поля. Сложность пароля определяется автоматически. Можете сгенерировать пароль сами. Можете указать время действия пароля (тоже повышение безопасности). Можете в вкладке auto-type настроить автоматическое заполнение формы логина, если есть какие-то особенности.
Если заполните поле URL то будет возможность заходить на сайт автоматически, просто по кнопке.

И теперь например я хочу зайти на github.com:



1. в верхнем меню выбираю "открыть  URL" (есть возможность выбрать в каком именно браузере это сделать)
2. выбираю "скопировать имя в буфер", при этом начинается обратный отсчет, если я не скопипастю имя (логин) в нужное место на страничке, логин сотрется из буфера обмена. Это дополнительная защита от проникновения в буфер обмена.
3. выбираю пункт "скопировать пароль в буфер" и опять же обратный отсчет.
Копи-паст и я вошел в нужный сервис, я даже не видел пароля и никто его не видел, даже тот кто стоит у меня за спиной.
Есть также возможность автоматически заполнить форму логина, но не везде и не всегда этот способ отрабатывает корректно, особенно где есть всякого рода капчи не получается нормально залогиниться и там где ввод имени и пароля делается на разных страницах следующих друг за другом. Но, как я писал выше, есть возможность настроить автоматическое заполнение форм.

В общем удобная штука - поковыряйтесь и найдете кучу удобных возможностей. там и поиск повторений и генерация приватных ключей и прочее.

Такс... а как же быть с тем что сохранил я этот файл на локальном компьютере , затем уехал в другой город в командировку и забыл все пароли... как быть?
Тут на помощь  приходят облачные технологии. Можно хранить файл с базам паролей в любом (но лучше в приватном) облаке.

Существуют также клиенты KeePass под Android и поэтому можно логиниться даже с телефона.

Если базы паролей локальной версии и вновь загруженной с облака получились разные сам KeePass произведет синхронизацию и слияние паролей.

В общем очень удобно рулить кучей паролей через менеджер паролей, файл базы паролей которого лежит в облаке, которое доступно вам везде.

Я лично пользуюсь своим приватным облаком на базе опенсурсного owncloud.

Забыл сказать что KeePass позволяет использовать вместо пароля любой файл хранящийся у вас на машине. Это ключевой файл, про который знаете только вы. Но здесь есть опасность ... если вы потеряли этот файл  или изменили его то он перестанет открывать базу паролей. Лучше использовать не изменяемый файл. Ну и кроме того нужно будет иметь точно этот же файл на всех устройствах где вы предполагаете пользоваться менеджером. Это не очень гибко, а если положить этот файл в облаке, то злоумышленнику не трудно будет догадаться что это иенно и есть ключевой файл. Хотя если вы его так спрячете что никто и не поймет, то возможно можно обойтись совсем без паролей.
Главное быть уверенным что файл всегда будет доступен и будет неизменным.

Всем удачи! безопасной работы!