У лютому 2023 року на одному з хакерських форумів було опубліковано гігантський текстовий файл rockyou2021.txt з 8,4 мільярдами унікальних паролів користувачів інтернету зі всього світу. На той момент це стало найбільшою компіляцією викрадених та отриманих унаслідок різних витоків паролів. Тож з дуже великою вірогідністю нам з вами не пощастило, і якийсь із наших паролів давно потрапив до липких рук кібернегідників різного штибу. Добре, якщо це один пароль до одного сервісу. Дуже погано, якщо це один пароль до різних сервісів.
Згідно з дослідженням Google/Harris Poll 2019 року в США, 52 % користувачів використовували один пароль для кількох сервісів, а 13 % — взагалі один пароль для всього. І всього 24 % користувалися менеджерами паролів.
Як створювати та де зберігати паролі
Ви як кмітливий читач зрозуміли до чого ми ведемо: якнайменше паролі мають бути різні для різних сервісів, жодним чином не повторюватися; унікальні і складні для підбору; надійно зберігатися в абсолютній безпеці від чужих рук і очей. Щоб цього досягти, паролі потрібно не придумувати, а створювати; не записувати на липкі листочки чи в блокнот, а надійно зберігати в зашифрованому вигляді й водночас мати до них швидкі й безпечні доступ та спосіб їхнього введення. А ще краще мати не один, а два паролі для кожного окремого випадку.
2FA: Двофакторна автентифікація як гарантія безпеки навіть якщо пароль зламано
Звичайний пароль — це перший і часом єдиний фактор аутентифікації. Як ключ до замка у «дверях» потрібного сервісу. Але два замки краще ніж один: другий фактор аутентифікації зробить майже неможливим злам, навіть якщо ваш основний пароль потрапить до рук зловмисників.
Двофакторна автентифікація (2FA) — це використання окрім постійного ще й одноразового пароля, який генерується із допомогою застосунку на комп’ютері чи смартфоні користувача, або створюється на сервері сервісу й надсилається у СМС. Найвідоміші застосунки для 2FA — Authy, Google Authenticator, Microsoft Authenticator. Вони постійно генерують нові «ключі» до того самого другого замка.
Звісно, для створення, керування, зберігання і пошуку логінів, паролів та іншої чутливої інформації давно розроблено чимало застосунків та сервісів.
Чому користуватися менеджерами паролів безпечніше й зручніше
Менеджер паролів дозволяє нам, користувачам, сміливо й безпечно… користуватися лиш одним паролем. Такий пароль ще називається «майстер-паролем». Усе інше бере на себе застосунок.
Усе — без перебільшення. У менеджері паролів можна згенерувати надійний унікальний пароль, за потреби додати другий фактор аутентифікації, зберегти інформацію про застосунок чи вебсторінку, для якої створено зв’язку логін-пароль-2FA і будь-яка інша потрібна вам інформація. Але це пів справи (власне, те, що ви робитимете для кожного окремого випадку лише один раз).
Важливо, що хороший менеджер паролів сам вводитиме за вас логіни, паролі, коди двофакторної аутентифікації на потрібних сайтах. Не тільки зручно, а й безпечно. Наприклад, це чудовий спосіб захисту від фішингу — поширеного способу красти дані користувачів для аутентифікації. Бо на відміну від людини, спеціальний застосунок не обдуриш схожим зовнішнім виглядом сайту чи подібним до справжнього URL.
Деякі менеджери паролів вміють слідкувати за відомими «витоками» і зламами, і за потреби одразу повідомлять вам, що такий-от пароль краще змінити.
Вбудовані менеджери паролів в операційні системи та браузери
Майже всі сучасні операційки та браузери мають «вбудовані» менеджери паролів. Пам’ятаєте, Chrome люб’язно пропонував вам зберегти логін і пароль після авторизації в соцмережі? Чи Safari рекомендував складний безпечний пароль під час реєстрації в інтернет-магазині? Це воно.
Такі менеджери паролів мають низку беззаперечних переваг, але й серйозних недоліків перед окремішніми аналогами. Вони добре інтегровані в браузер або ОС, доступні одразу й безплатно — лиш користуйтесь. Вони точно працюватимуть не один рік і підтримуватимуться розробниками ОС чи браузера. Водночас такі менеджери паролів не завжди мають зручний інтерфейс користувача, можливості синхронізації між різними браузерами чи ОС, збереження іншої інформації окрім логінів і паролів, можливості двофакторної аутентифікації обмежені або відсутні.
- iCloud Keychain — безпечний хмарний менеджер паролів із глибокою інтеграцією в ОС (iOS, iPadOS, tvOS, watchOS, macOS) і з підтриманням 2FA. Виключно для «екосистеми» Apple.
- Google Password Manager — хмарний менеджер паролів для браузера Chrome, ChromeOS та Android. Без підтримання двофакторної аутентифікації, але пам’ятаєте, Google має для цього у своєму арсеналі окремий застосунок — Google Authenticator.
- Microsoft Edge має вбудований менеджер паролів, який може зберігати та автоматично заповнювати облікові дані користувача. У поєднанні з Edge можна використовувати окремий застосунок Microsoft Authenticator (2FA), який можна використовувати й окремо як менеджер паролів.
Бразуери Firefox, Vivaldi, Opera та інші також мають вбудовані менеджери паролів, які слід комбінувати із застосунками для 2AF. Вони забезпечують базовий захист і це непоганий старт для підвищення рівня цифрової безпеки.
Найпотужніше в цьому переліку виглядає iCloud Keychain — але це тому, що досі не йшлося про спеціальні застосунки та сервіси для менеджменту паролів.
Як вибрати менеджер паролів: надійні і зручні застосунки та сервіси
Ви вже знаєте про менеджери паролів усе — принаймні як користувач. Тож час обирати. Ми склали список із кількох хороших менеджерів паролів замість суб’єктивних порад і вражень. Створюючи цей перелік, ми керувалися низкою критеріїв:
- довговічність на ринку, репутація/відсутність безпекових інцидентів («що люди кажуть»)
- кросплатформенність (це коли macOS вдома, Windows на роботі, й Android у кишені)
- наявність 2FA (you shall not pass!)
- вартість (хочеться безплатно, але за гарний сервіс можна й заплатити)
- юрисдикція і країна походження (щоб ваша інформація належала вам, а не «товаріщу майору»)
- відповідність GDPR (закон ЄС, який гарантує користувачу окрім іншого «право на забуття» та інформування у випадку навіть потенційного витоку даних)
| Менеджер паролів | Безпекові інциденти | Репутація | Кросплатформенність | 2FA | Вартість | Походження та юрисдикція | Зручність | Відповідність GDPR | Посилання на сайт |
|---|---|---|---|---|---|---|---|---|---|
| 1Password | Немає | Висока | Так | Так | Підписка | Канада | Висока | Так | https://1password.com/ |
| Bitwarden | Немає | Висока | Так | Так | Безкоштовний / Підписка | США | Висока | Так | https://bitwarden.com/ |
| Keeper | Немає | Висока | Так | Так | Підписка | США | Висока | Так | https://www.keepersecurity.com/ |
| Dashlane | Немає | Висока | Так | Так | Підписка | США | Висока | Так | https://www.dashlane.com/ |
| Enpass | Немає | Висока | Так | Так | Підписка / Покупка назавжди | Індія/США | Висока | Так | https://www.enpass.io/ |
| KeePass | Немає | Висока | Так | Так | Безкоштовний | Німеччина | Середня | Так (неофіційно) | https://keepass.info/ |
| Secrets | Немає | Висока | Так | Так | Включено в Setapp | Португалія | Висока | Так | https://outercorner.com/secrets-ios/ |
Зрештою це добрий старт для пошуків — навіть якщо вам нічого із цього списку не сподобається. Обирайте мудро.
Що робити, якщо ваш пароль зламали
Гарною звичкою стане перевіряти час від часу свій email на спеціальних сервісах на кшталт haveibeenpwned.com, monitor.firefox.com чи cybernews.com Ви в списку? Не панікуйте:
- спокійно змініть паролі до всіх акаунтів на вказаних сервісах
- увімкніть двофакторну автентифікацію (2FA) де тільки можливо
- уважно слідкуйте за електронкою та СМС, уважно відкривайте посилання — це можуть бути спроби фішингу
Навіщо «хакерам» бази паролів та як це пов’язано з менеджерами паролів
Два основні типи атак, які можуть здійснюватися завдяки таким масивам даних як rockyou2021.txt — з допомогою «словника паролів» та «розпилювання паролів».
Атаки зі словником паролів: тут використовується «словник» неунікальних паролів. Зловмисник перебирає ці паролі один за одним — раптом якийсь підійде. Додаєте до вашого імені, скажімо, «решітку» й рік народження? Ці «добродії» теж — вони використовують варіації відомих паролів із числами та спецсимволами.
Атаки з розпилюванням паролів: а цей тип атаки вже використовує невелику кількість «популярних» паролів на великій кількості облікових записів. Тобто, зловмисник не пробує багато паролів на одній обліковці, а один пароль на багатьох. А це може бути ефективним, оскільки (ви вже знаєте) люди часто використовують одні й ті ж прості паролі.
Формула безпечного інтернету — захищене підключення до мережі як от з ClearVPN , надійні унікальні паролі в комбінації з двофакторною аутентифікацією (2FA), базова технічна обізнанність і здоровий глузд. Бачте, нічого складного — користуйтеся на здоров’я.