Менеджер паролей
Менеджер паролей — программное обеспечение, которое помогает пользователю работать с паролями и PIN-кодами. У подобного программного обеспечения обычно имеется местная база данных или файлы, которые содержат зашифрованные данные пароля. Многие менеджеры паролей также работают как заполнитель формы, то есть они заполняют поле пользователь и данные пароля автоматически в формах. Обычно они реализованы как расширение браузера.
Менеджеры паролей делятся на три основных категории:
- Десктоп — хранят пароли к программному обеспечению, установленному на жестком диске компьютера.
- Портативные — хранят пароли к программному обеспечению на мобильных устройствах, таких как КПК, смартфон или к портативным приложениям на USB-флеш-накопителе.
- Сетевые — менеджеры паролей онлайн, где пароли сохранены на веб-сайтах провайдеров.
Менеджеры паролей могут также использоваться как защита от фишинга. В отличие от людей, программа менеджер паролей может обращаться с автоматизированным скриптом логина невосприимчиво к визуальным имитациям, которые похожи на веб-сайты, то есть, перейдя по сомнительной ссылке на фишинговый сайт менеджер паролей не подставит логин-пароль в формы ввода, а пользователь поймёт, что сайт является подделкой. С этим встроенным преимуществом использование менеджера паролей выгодно, даже если у пользователя имеется всего несколько паролей, которые он помнит. Однако не все менеджеры паролей могут автоматически обращаться с более сложными процедурами идентификации, наложенными многими банковскими веб-сайтами.
Уязвимости
Менеджеры паролей обычно используют выбранный пользователем основной пароль, или секретную фразу (passphrase), чтобы сформировать ключ, используемый для зашифровки хранимых паролей. Этот основной пароль должен быть достаточно сложным, чтобы устоять при атаках злоумышленников (например полный перебор).
Если основной пароль будет взломан, то будут раскрыты все хранимые в базе данных программы пароли. Это демонстрирует обратную связь между удобством использования и безопасностью: единственный пароль может быть более удобен, но если он будет взломан, то поставит под угрозу все хранимые пароли.
Основной пароль может также быть атакован и обнаружен при использовании кейлоггера или акустического криптоанализа (acoustic cryptanalysis). Такая угроза может быть снижена путём использования виртуальной клавиатуры, как, например, в KeePass.
Некоторые менеджеры паролей включают генератор паролей. Сгенерированные пароли могут быть отгадываемыми, если менеджер пароля не использует криптографически безопасный генератор случайных чисел.
Менеджер паролей онлайн
Менеджер паролей онлайн — веб-сайт, который надежно хранит данные логина. Таким образом это сетевая версия обычного десктоп-менеджера паролей.
Преимущества онлайн-менеджеров паролей над десктоп-версиями — это мобильность (они могут использоваться на любом компьютере с web-браузером и интернет-соединением, без необходимости устанавливать программное обеспечение) и меньший риск потери паролей через воровство или повреждение PC. Риск повреждения может быть в значительной степени снижен, если заранее будут созданы резервные копии.
Главный недостаток онлайн-менеджеров паролей — необходимо доверие хостингу сайта. Неоднократные взломы и потери централизованно хранившейся информации на сервере не внушают доверия.
Существуют смешанные решения. Ряд ресурсов, таких как FortNotes[1], предоставляющие услуги онлайн-хранения паролей и других секретных данных, распространяют исходные коды этих систем. Возможность провести аудит кода и установить такую систему на защищенный фаерволом сервер или на сервер, не имеющий прямой выход в Интернет, позволяет решить проблему с возможной компрометацией данных.
Использование сетевого менеджера паролей — альтернатива технологии единого входа (Single Sign On), такой как OpenID или Microsoft’s Windows Live ID, и может использоваться как временная мера, пока не будет принят лучший метод.
Также существуют менеджеры паролей с барьерной защитой. В этом случае защищается интернет-аккаунт пользователя в целом. Периметр защиты строится начиная от противодействия клавиатурным и экранным шпионам, и заканчивая защитой от подмены ip-адреса сетевого ресурса. Для сетевой защиты используется Google Public DNS, а противодействие шпионам обеспечивается автоматической подстановкой авторизационных данных в web-формы.
Примечания
- ↑ FortNotes Online Password Manager . Дата обращения: 26 апреля 2012. Архивировано 27 апреля 2012 года.
Литература
- Яремчук С. Менеджеры паролей // Мой Компьютер. — 08.01.2007 — № 03 (434)
- Крупин А. Менеджеры паролей для мобильнико // Компьютерра-Онлайн. — 16 апреля 2009.