Безопасны ли менеджеры паролей?

В последнее время мы слышали много историй об уязвимостях среди самых известных менеджеров паролей. Кроме того, в прошлом также были некоторые бреши в системе безопасности, которые были обнаружены более чем у двух миллионов пользователей. Поэтому естественно, что перед тем, как устанавливать какие-либо менеджеры паролей, пользователи ищут информацию о их безопасности.

Что такое менеджер паролей?

Если вы не знаете, менеджер паролей — это программа, которая хранит ваши пароли и другие учетные данные в зашифрованном хранилище.

Доступ к нему можно получить только с помощью мастер-пароля. И это тот момент, когда пользователи начинают сомневаться в безопасности менеджера паролей.

Почему безопасность имеет значение?

Безопасность учетных данных, находящихся в хранилище, важна. Если мастер-пароль взломан или зашифрован непрофессионально, все остальные логины и пароли также будут скомпрометированы. Именно поэтому безопасность менеджера паролей имеет значение. Ниже перечислены ключевые факторы безопасности, которые необходимо принять во внимание, прежде чем устанавливать менеджер паролей. Конечно, существует больше факторов, которые могут оказать влияние на приватность учетных записей. Но эти пункты являются хорошей отправной точкой.

Ключевые факторы безопасности

Безопасность должна быть сбалансирована с удобством использования, а также с разнообразием функций, которые могут предложить многие менеджеры паролей. Дополнительные функции, в зависимости от того, что они собой представляют, могут означать больше уязвимостей. Однако, когда вы сомневаетесь в безопасности, убедитесь, что вы принимаете во внимание следующие моменты.

Шифрование на стороне клиента

Оно обеспечивает максимальный уровень приватности, т.к. логины и пароли уже зашифрованы перед тем, как покинут пользовательское устройство для удаленного хранения. Конфиденциальные данные шифруются локально в «хранилище», которое хранится на устройстве конечного пользователя и на серверах диспетчера паролей. В этом случае менеджер паролей имеет нулевое знание о информации, которую вы храните на своих серверах. Информация имеет значение только для вас как пользователя, т.к. ключ расшифровки находится у вас. Никто другой не сможет расшифровать данные и проверить содержимое, даже если ваш менеджер паролей будет скомпрометирован.

Мастер-пароль и его восстановление

Мастер-пароль создает ключи шифрования и проверяет подлинность доступа к вашему безопасному хранилищу. Другими словами, это шлюз для хранения ваших паролей. И поэтому важно, чтобы ваш менеджер паролей не имел никакой информации об этом. Это усложняет восстановление паролей, поскольку злоумышленник не сможет найти ваш мастер-пароль, сбросить его или создать новый. Но это также повышает уровень безопасности и уверенности в том, что сервис серьезно относится к безопасности ваших данных. Восстановление все еще возможно, но не обычным способом «введите свой адрес @почты, и мы вышлем вам пароль«. Поэтому убедитесь, что вы проверили процесс восстановления своего мастер-пароля. Если сервис может выслать вам мастер-пароль, то есть большая вероятность того, что ваши личные данные не находятся в безопасности.

Многофакторная аутентификация

Это метод подтверждения заявленной личности пользователей, который происходит с помощью комбинации двух различных факторов. Он требует информацию, к которой только вы имеете доступ, например цифровой код, чтобы проверить вашу личность перед входом в систему. В некоторых случаях вместо 2FA провайдеры используют аутентификацию вашего устройства и/или местоположения. Это обеспечивает дополнительный уровень безопасности. Провайдеры, которые поощряют своих пользователей использовать многофакторную аутентификацию — это отличный знак. Это означает, что компания следует лучшим практикам безопасности. И если злоумышленник каким-то образом обнаружит ваш мастер-пароль, маловероятно, что у него будет доступ к действительному токену 2FA. Многофакторная аутентификация сводит к минимуму вероятность несанкционированного доступа к учетной записи менеджера паролей.

Алгоритм шифрования

Это самая важная вещь, на которую пользователи должны обратить внимание – менеджеры паролей применяют шифрование для защиты хранилищ своих пользователей. Существует множество различных алгоритмов. Однако, большинство менеджеров паролей склонны придерживаться золотого стандарта — AES. AES — это симметричный алгоритм, чаще всего используемый со 128-битными ключами. Это один из наиболее широко используемых алгоритмов в службах шифрования. Однако в последнее время технические гиганты начали менять AES на никогда не используемый алгоритм — ChaCha20. Он также предлагает 128-битные ключи, поэтому так же безопасен, как и AES, но поскольку ChaCha20 основан на программном обеспечении, то он и намного быстрее.

Поделиться.