Мениджъри на пароли

Post Syndicated from Yovko Lambrev original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление и до днес има такива. А когато кракери пробият сигурността на някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и продажни администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същия потребител, чийто имейл им е известен не използва същата парола и потребителско име и някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където съм я ползвал някога. Аз съм проследил и знам за толкова. Вероятно са повече.

За съжаление много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-а е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. Като достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано password manager е нещо като сейф за пароли.

В добавка различните такива могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли
  • анализатори и индикатори на трудността на отгатване на паролите
  • лесно въвеждане на паролите чрез различни плъгини за браузъри
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не продават паролата ви)
  • споделяне на някои пароли със семейството или колегите
  • напомняния за пароли, които не сте сменяли отдавна и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще останете без достъп до всичките ви пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици. Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло. И това са съвсем резонни тревоги.

Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е трудно постижимо по друг начин. В добавка, рискът да бъде компрометиран мениджъра ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано – хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва имате два подхода – единият е да държите само локално копие на вашето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която синхронизация в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъде криптирана. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно да е изберете това приложение, което ви предлага максимално удобство и тези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива, които имат базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация, чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко адски удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като опитате колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Идеята на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck