Где хранить пароли и логины на компьютере
Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему безопасности в PHP.
2. NordPass - самый безопасный и удобный интерфейс
Облачное хранилище: 3 GB
Бесплатная версия: Да
Плагины браузера: Chrome, Firefox, Safari, Opera, Brave, Vivaldi, Edge
Диспетчер паролей NordPass является частью пакета онлайн-безопасности, который включает шифратор NordLocker и NordVPN. Чем же он хорош?
Начнём с того, что научиться пользоваться NordPass очень просто. Как и все остальные, он использует мастер-пароль для защиты вашего хранилища и синхронизирует все данные между устройствами. Также есть возможность использовать Touch ID или Face ID (только для iOS). Для двухфакторной аутентификации вам понадобится приложение для аутентификации и электронное письмо, на которое будет отправлен шестизначный код.
Этот менеджер паролей может работать на Windows, macOS, Linux, Android и iOS. С браузерами — та же история. Вы можете установить расширение NordPass в Chrome, Firefox, Safari, Opera, Brave, Vivaldi и Edge.
NordPass учитывает все особенности и потребность пользователя. Вы можете генерировать пароли и оценивать их надёжность, использовать автозаполнение и автосохранение, а также делиться учётными данными для входа. Разработчики недавно добавили сканер утечек данных, который сканирует утечки баз данных на предмет ваших паролей и данных кредитной карты. Не хватает лишь облачного хранилища для конфиденциальных файлов (есть отдельное приложение NordLocker, доступного через ту же учётную запись) или альтернативы внутреннему приложению аутентификатора.
Однако у NordPass есть некоторые уникальные особенности. Вы можете упорядочить данные в папках для облегчения доступа и использовать OCR для автоматического сканирования текстовой информации с кредитных карт, документов и фотографий. Более того, автономный режим позволит вам получить доступ к своему хранилищу, даже если нет подключения к интернету.
NordPass также предлагает множество возможностей для импорта ваших паролей. Сюда входят самые популярные менеджеры паролей, кроме Zoho Vault, и самые популярные браузеры, кроме Safari. К сожалению, вам придется вручную проверять, соответствует ли экспортированный файл критериям NordPass.
Наконец, NordPass предлагает шифрование XChaCha20 следующего поколения с использованием Argon 2 для получения ключей. Хотя нет ничего плохого в 256-битном AES, используемом конкурентами, XChaCha20 легче интегрировать и он меньше подвержен ошибкам в настройке. Добавьте сюда архитектуру с нулевым доверием, и вы получите действительно безопасное приложение для управления паролями.
NordPass имеет отличную службу поддержки, которая включает в себя круглосуточный чат, электронную почту и постоянно растущую базу знаний. Остается только дождаться появления большего количества функций и NordPass бросит вызов Dashlane в борьбе за первое место в списке лучших менеджеров паролей, это лишь вопрос времени.
Бесплатная версия мощная, но позволяет использовать только одно активное устройство и не предусматривает возможность безопасного обмена и доверенных контактов. Стоит 2,49 доллара США в месяц (при покупке на 2 года), и при этом NordPass даст вам 30 дней на то, чтобы передумать. Кроме того, он также принимает AmazonPay и криптовалюту.
Плюсы
Шифрование XChaCha20 нового поколения
Мощная бесплатная версия
Вариант анонимной оплаты
Сканер утечки данных
Минусы
Нет облачного хранилища
Как хранить свои пароли, используем 8 способов
Итак, чтобы сохранить пароли в Интернете и на компьютере от чужих глаз, используйте следующие способы:
- Запомните пароль. Если у вас мало аккаунтов в Интернете, мало сервисов на которых вы работаете, то достаточно запомнить пароль. Несложные пароли легко запоминаются, вы можете в любой момент внести его на сервис от руки.
- Записываете пароли в блокнот или другую бумагу. Это тоже проверенный вариант сохранения паролей. Пишите ручкой в вашем блокноте все пароли, которые у вас есть и убирайте блокнот в то место, где никто кроме вас его не достанет.
- Переносите пароли на флешку или другие накопители. Флешка – это отличный инструмент для сохранения и переноса данных. Создаете в ней папку и текстовый документ. Далее копируйте пароли с компьютера и вставляете в подготовленном документе.
- Используйте программы – менеджер паролей. Вы можете скачать и установить на компьютер менеджер паролей, затем закинуть в программу данные и защитить их одним паролем.
- Сохраняем пароли в браузере автоматически. В любом браузере можно включить функцию автоматического сохранения паролей. В некоторых обозревателях она включена по умолчанию. Вам лишь нужно ввести пароль на каком-нибудь сайте, например, Вконтакте и он успешно сохранится. При следующих заходах, пользователю не придется вводить пароль.
- Шифруем пароли в электронном виде. Если у вас есть на компьютере какой-либо пароль, его можно зашифровать. Для этого можно поставить общий пароль на текстовый документ или защитить его паролем через архив Zip.
- Сохраняем пароли в текстовом файле. Это наиболее простой способ хранения паролей. Вы создаете текстовый документ на компьютере через правой кнопкой мыши. Далее записываете туда важные пароли и переносите файл на жесткий диск.
- Убираем из пароля символы. Если вы решили хранить пароли на компьютере, то уберите из паролей несколько символов и часть из них храните, например, в блокноте или флешке. Когда придет время вводить пароль, добавляете недостающие символы пароля и входите на нужный ресурс.
С помощью этих способов вы сохраните пароли. Они по-своему хороши, имеют плюсы и минусы. Если у вас нет своего бизнеса в Интернете , вы можете использовать программы, которые обезопасят ваши пароли. В другом случае, на компьютере нужно иметь качественный антивирус и максимальную защиту от взлома.
Программы для хранения паролей
На блоге размещалась статья, в которой показывали программы для эффективной работы ПК . Здесь мы рассмотрим лучшие утилиты по сохранению паролей:
- Программа Пассворк. Это корпоративный менеджер паролей для вашей работы за компьютером и бизнеса.
- LastPass. Эта программа сохранит ваши пароли надежно. Ее использование – бесплатно. Данная программа подойдет для личного использования и бизнеса.
- Менеджер паролей Dashlane. Сохраняет пароли любой сложности.
- Программа KeePass. Еще одна утилита, которая умеет хранить пароли. Работает в Виндовс, на Андроид и других операционных системах.
- Менеджер паролей Яндекс. Данный браузер имеет встроенный инструмент, который позволяет сохранить пароли. Вам даже не придется скачивать дополнительное ПО на компьютер.
Данные программы работают. Если они вам не понравятся, вы можете найти в Сети еще утилиты.
Синхронизация данных
Практически все популярные менеджеры паролей поддерживают синхронизацию данных через Интернет, что позволяет использовать один и тот же менеджер на разных устройствах – компьютерах, смартфонах, планшетах. Пароль, добавленный в менеджер на компьютере, будет доступен и на смартфоне.
В основном менеджеры хранят пароли и другую информацию в зашифрованном виде на собственном сервере, но некоторые позволяют делать это локально, на одном устройстве пользователя. Кое-кто считает, что данный подход безопаснее, ведь даже самый защищенный сервер может быть взломан и пароли утекут к злоумышленникам. Но вероятность подобного ничтожно мала, так что вряд ли стоит отказываться от удобства в пользу довольно сомнительного повышения безопасности.
Здесь же следует отметить, что по-настоящему удобный менеджер паролей должен быть кроссплатформенным, то есть устанавливаться на устройства с операционной системой Windows, MacOS, Linux, Android, iOS. В противном случае синхронизация данных между всеми устройствами пользователя будет невозможна.
Резервное копирование паролей:
Портативность большинства из перечисленных способов хранения паролей делает доступ к ним удобным, но не один из них не застрахован от потери или удаления. Поэтому актуальным является вопрос резервного хранения паролей. Бэкап базы данных или списка паролей рекомендуется сделать на отдельном носителе - флэшке, внешнем жестком диске, лазерном диске и т.п., которые для большей надежности, можно спрятать в сейфе или в другом укромном месте.
Резервное хранение паролей является необходимым условием в случае, если паролями пользуется не один человек, а несколько, например, системные администраторы, обслуживающие серверные системы в компаниях. Ведь специалисты могут меняться сменами или кто-то из сисадминов может уволиться , тогда вероятен риск, что бывший сотрудник случайно или умышленно прихватит с собой или удалит рабочий ключ с паролями. В таких ситуациях резервный список паролей позволит восстановить доступ к ресурсам.
Генерация и анализ паролей
Придумать безопасный пароль может не каждый пользователь, поэтому лучше всего, если это сделает сама программа. Запоминать ничего не нужно, так что пользователь не испытает никаких неудобств.
Кроме генерации паролей, некоторые программы способны анализировать существующие пароли и выдавать рекомендации по их изменению. Эта полезная функция поможет вам навести порядок в паролях и поддерживать его в дальнейшем.
Введение
Скандал с Facebook и Cambridge Analytica, утечка переписки Демократической партии США в 2016 году, нарушение безопасности данных Google в 2018 году, взлом Yahoo Voice в 2012 году — вот лишь несколько примеров крупных утечек, зафиксированных за последние несколько лет.
Информация в глобальном масштабе сегодня доступна для нас, как никогда ранее. Если не проявлять должную осторожность, информация о нас самих (в том числе сведения конфиденциального характера) тоже могут попасть в открытый доступ.
Неважно, разработкой какого именно проекта вы занимаетесь: детской игрой с открытым кодом или выполняете заказ крупного предприятия. Ваша обязанность как веб-разработчика состоит в том, чтобы обеспечить безопасность всем своим платформам. Безопасность — это очень непростой аспект.
Язык РНР предоставляет несколько инструментов и функций, которые можно задействовать для обеспечения безопасности приложения.
Двухфакторная аутентификация
Для входа во все менеджеры паролей используется так называемый мастер-пароль, который пользователь должен сам придумать и запомнить. Разработчики программ везде заявляют, что не хранят мастер-пароли, так что восстановить их практически невозможно.
Но мастер-пароль можно подобрать, особенно если он несложный. Поэтому менеджеры паролей предлагают двухфакторную аутентификацию: кроме ввода мастер-пароля, для входа в программу потребуется, например, отсканировать отпечаток пальца, вставить специальный ключ в порт USB и, наконец, самое распространенное – ввести одноразовый пароль из SMS.
Советы, как создать надежный пароль:
· Пароль должен быть сложным. Используйте не менее 8 разных символов:
буквы, цифры, чередуйте верхний и нижний регистр, добавляйте транслитерацию.
· Пароль не должен быть легко запоминающимся.
Не придумывайте слов и дат, лучше вообще задать пароль без смысловой нагрузки.
Помните, еще у Шурика было? «Операция "Ы" - чтобы никто не догадался».
· Пароли должны быть разными. Не используйте один и тот же пароль для всех сервисов. Его, конечно, легко запомнить, но при утечке такого пароля, вы ставите под угрозу сразу несколько своих аккаунтов.
· Не используйте шаблонные пароли.
А именно: 123456, password, qwerty, gfhjkm, admin, administrator и дубль логина.
Как и где хранить пароли
1. Запомнить
Способ, не требующий использования физических носителей. Его плюс состоит в том, что пароль будет известен только вам, а главный недостаток – в том, что можно его забыть. Тогда плюс данного способа становится опасным минусом.
2. Бумажный формат
Такой способ особенно предпочитает старшее поколение. Единственный плюс хранения паролей на бумаге – невозможность онлайн доступа для посторонних лиц. Однако неудобством является необходимость вручную вбивать пароли, а также существует вероятность потери листка с записями.
3. Текстовый файл на компьютере
Документ на электронном устройстве – альтернатива бумажному блокноту. Из файла удобно копировать пароли парой кликов. Но при несанкционированном доступе к вашему компьютеру, данные станут уязвимыми для кражи. Второй важный минус в том, что пароли доступны только на том компьютере, на котором хранится документ.
4. Текстовый файл на внешнем накопителе – флэшке или диске
Флэшка удобна тем, что ее можно носить с собой, и файл с паролями будет всегда под рукой. Но, как и с бумажным вариантом, данный накопитель можно потерять, что чревато не только потерей учетных данных, но и возможностью доступа к ней третьих лиц.
5. Файл в облаке
Удобство хранения документов в облаках – доступность данных с любых устройств в любом месте, где есть Интернет. Файлы с паролями можно размещать в хранилищах, например, Яндекс и Google дисках, Microsoft OneDrive или в онлайн-блокнотах вроде Evernote. Основной опасностью данного метода является возможность случайного открытия доступа посторонним лицам.
6. Автозапоминание в браузере
Функция сохранения пароля существует во многих браузерах. Разумеется, это упрощает процесс авторизации, однако пароль может быть удален при обновлении или чистке кэша. Также, несмотря на то, что разработчики постоянно совершенствуют уровень безопасности сервисов, данный вариант не исключает доступа третьих лиц к аккаунту.
7. Менеджеры паролей
Это сервисы, которые созданы специально для надежного хранения паролей. Они содержат информацию в зашифрованном виде, что затрудняет взлом паролей кибер-мошенниками.
Менеджер паролей устанавливается на компьютер или удаленный сервер для доступа в онлайн-режиме. Некоторые менеджеры паролей интегрируются в браузер пользователя в виде плагинов и имеют свои приложения для смартфонов. Для доступа к данным нужно будет запомнить всего один мастер-пароль от программы.
Наиболее популярными менеджерами считаются KeePasS, LastPass и 1Password.
Возьмем, к примеру, KeePasS.
KeePasS является бесплатной программой с открытым исходном кодом. Программа помещает все пароли в одну надежно зашифрованную базу данных, которая закрыта уникальным мастер - паролем или ключевым файлом. База данных шифруется сложными алгоритмами AES и Twofish. При этом под защитой находится не только поля паролей, а вся база данных, а это заметки, имена пользователей и т.п. База состоит лишь из одного файла, благодаря чему ее без проблем можно переносить с одного устройства на другое.
В KeePasS есть возможность экспортировать список паролей в разные форматы, такие как TXT, HTML, XML и CSV.
Программа не требует системной установки. Помимо компьютера этот менеджер паролей может запускаться с любого носителя, например, с USB флэшки или внешнего диска.
KeePasS способен противостоять различным клавиатурным и экранным шпионам, подмене ip-адреса сетевого ресурса и фишинговым программам.
Способ хранения учетных данных с помощью менеджеров паролей является наиболее предпочтительным в профессиональной среде ИТ-специалистов , которые рекомендуют и сами предпочитают данный вариант хранения паролей как наиболее надежный и безопасный.
1. Dashlane — самый универсальный менеджер паролей
Облачное хранилище: 1-5 GB
Бесплатная версия: Да
Плагины браузера: Chrome, Firefox, Safari, Internet Explorer, Edge
Возможно, кто-то сейчас начнёт ворчать, но Dashlane действительно один из лучших менеджеров паролей в 2021 году. Да, он стоит дороже, чем большинство аналогов. Но это компенсируется впечатляющим списком функций.
Например, он поддерживает три метода аутентификации, первый из которых — двухфакторная аутентификация (2FA). Это отличный способ защитить вашу учетную запись, даже если кто-то получит ваш мастер-ключ. Вторым фактором может быть информация, которую знаете только вы (PIN-код), или ваш смартфон, или биометрическая информация (например, Face ID).
Премиум-план предлагает универсальную двухфакторную аутентификацию (U2FA) . Это более безопасная версия 2FA, в которой устройство USB или NFC можно подключить к любому компьютеру для мгновенного доступа к вашим паролям. В то же время U2FA более проста в использовании, потому что вам не нужно ничего устанавливать: ваше устройство обменивается данными с компьютером по протоколу HID.
Наконец, имеется биометрический логин, который можно использовать вместо мастер-пароля. Dashlane поддерживает как Touch ID, так и Face ID, поэтому все зависит от вашего устройства. Обратите внимание: биометрический логин не заменит ваш мастер-пароль. Он понадобится вам при доступе к Dashlane с нового устройства.
Этот менеджер паролей прост в установке и использовании, работает на всех основных платформах и имеет расширения для браузеров Chrome, Firefox, Safari, Internet Explorer и Edge. Вы также можете импортировать пароли из большинства браузеров, за исключением мобильных.
Следующим в списке возможностей Dashlane идет сканер даркнета. Если вы захотите, он может использовать вашу электронную почту, чтобы проверить, нет ли утечек паролей или банковских реквизитов. Учитывая, что каждый день появляются миллионы новых записей, сканер даркнета может стать отличным инструментом для предотвращения кражи личных данных.
Также есть встроенный VPN. В целом он не столь хорош, как VPN лидеров рынка, но является хорошим инструментом для шифрования вашего трафика и сокрытия вашего IP-адреса. Вы можете подключиться к более чем 20 странам.
Попробовать большинство функций можно бесплатно. А премиум-версия стоит 4,99 доллара в месяц. Подходящая ли это цена, решать вам.
Плюсы
VPN в качестве бонуса
Минусы
Не самый дешёвый вариант
Нет импорта паролей с телефонов
Интеграция с браузерами
Практически все менеджеры паролей устанавливают в браузеры расширение, позволяющее работать с паролями прямо в браузере – запоминать их и вводить при входе в тот или иной сервис. В этом отношении работа менеджеров паролей похожа на работу браузерных хранилищ паролей. Правда, многие программы могут и больше: запоминать данные пользователя, чтобы автоматически заполнять формы при регистрации на сайтах, запоминать данные карт, счетов для быстрой оплаты в онлайн-магазинах.
Как хранить свои пароли через программу Яндекс
Итак, чтобы сохранить пароли, откройте браузер Яндекс и войдите на сервисы, сайты. Он должен автоматически их сохранить. Затем, для защиты сохраненных паролей нужно создать один сложный пароль. Это делается через менеджер паролей Яндекса.
Перед любым пользователем остро стоит вопрос безопасности личных данных.
Все мы регистрируемся на новых сайтах, заводим аккаунты в социальных сетях, создаем новые почтовые ящики, словом, ежедневно проходим различные процедуры авторизации в Интернете.
Возникает главный вопрос: как защитить персональную информацию о себе. В связи с этим актуальна задача надежного и правильного хранения паролей, чтобы данные пользователей всегда оставались в безопасности и были недоступны для третьих лиц.
Вывод
Все вышеперечисленные методы хранения паролей и рекомендации имеют право на существование при условии грамотного их использования. Но помните, что в 90% случаев компрометация паролей исходит от самих пользователей, т.е. вы сами сообщаете свои данные злоумышленникам.
Еще больше интересных и полезных статей на официальном сайте 2BService и в группе Facebook
Количество паролей, которые нужно помнить, исчисляется десятками: два-три адреса электронной почты, несколько социальных сетей, портал «Госуслуги», операционная система Windows, облачные хранилища данных – это лишь минимальный набор сервисов, который использует сегодня практически каждый из нас. Простые пароли, которые легко запомнить, так же легко могут быть взломаны, а сложные трудно запомнить. Тут-то и пригодится так называемый менеджер паролей.
Все современные браузеры предлагают хранилище паролей, но их использование не совсем удобно. Во-первых , в них можно хранить только пароли от веб-страниц, а от приложений придется держать где-то в другом месте. Во-вторых , хранилище паролей браузера трудно синхронизировать между различными устройствами и другими браузерами, поэтому при активном использовании нескольких устройств с разными браузерами и приложениями данный способ отпадает.
Есть еще один вариант замены менеджера паролей – создать текстовый файл и записывать туда пароли от всех аккаунтов. А чтобы этот файл был доступен с разных устройств, его можно поместить в какое-либо облачное хранилище. Но здесь неудобство в том, что вводить пароли от аккаунтов каждый раз придется вручную, копируя таковые из текстового файла. Кроме того, злоумышленнику достаточно будет получить пароль только от облачного хранилища, чтобы пароли от всех других аккаунтов оказались в его руках.
- Что умеют делать менеджеры паролей
- Синхронизация данных
- Генерация и анализ паролей
- Интеграция с браузерами
- Двухфакторная аутентификация
- Предоставление паролей другим пользователям
- Поиск информации в менеджере паролей
- Выбираем и сравниваем
- LastPass
- RoboForm
- Sticky Password
Менеджер паролей лишен указанных недостатков. Но все же следует помнить, что и он не дает стопроцентной гарантии от утечки конфиденциальной информации. Например, если на устройстве включена автоматическая авторизация в веб-сервисах, то не в меру любопытный приятель легко прочитает письма в почте, получив доступ к устройству. Кроме того, вся информация в менеджере паролей защищена мастер-паролем, узнав который, легко прочитать абсолютно все, что в нем хранится. И хотя немало подобных приложений предлагают двухфакторную аутентификацию, далеко не всегда ее удобно использовать. Так что менеджер паролей – это всего лишь хранилище, он не способен сделать за вас все, что полагается для защиты конфиденциальной информации.
4. Keeper — для тех, кому нужны ВСЕ функции
Облачное хранилище: 5 GB
Бесплатная версия: Нет, 30-дневная бесплатная пробная версия
Плагины браузера: Chrome, Firefox, Opera, Edge, Internet Explorer
Keeper — надёжный и безопасный менеджер паролей, использующий подход с нулевым доверием. Это означает, что ваши данные зашифрованы не на сервере, а на вашем устройстве, и только вы можете их расшифровать. Разумеется, потребуется хороший мастер-пароль, чтобы пользоваться всеми этими преимуществами.
Все менеджеры паролей имеют какую-то двухфакторную аутентификацию, а в Keeper их множество. Вы можете использовать SMS, аутентификатор Google и Microsoft (TOTP), RSA SecurID, Duo Security, U2F (YubiKey) и KeeperDNA. Последний представляет собой запатентованный вариант 2FA, который позволяет биометрическую аутентификацию с помощью смартфона или умных часов.
В Keeper есть приложения для Windows, macOS, Linux, Android и iOS. Что касается расширений браузера, они используются только для автоматического заполнения учетных данных. Естественно, это улучшает совместимость — так называемый KeeperFill работает с Chrome, Firefox, Opera, Edge и IE. Наконец, вы также можете зайти в своё хранилище с веб-сайта Keeper.
Keeper поддерживает импорт данных из Dashlane, 1Password, ZOHO и других менеджеров паролей. Что касается браузеров, вы можете импортировать их из Chrome, Firefox, Opera, Edge и даже из Internet Explorer. Доступен экспорт в файлы PDF, CSV или JSON.
Бесплатной версии нет, но вы можете попробовать Keeper в течение одного месяца, не передавая свои платежные данные. Этого должно быть достаточно, чтобы убедиться, что эти ребята серьёзно относятся к защите ваших данных, даже если вы получаете бесплатно только веб-приложение. Также существует 14-дневная бесплатная пробная версия для B2B.
Средняя цена Keeper составляет 2,91 доллара США в месяц при годовой оплате. Однако KeepChat и мониторинг Dark Web требуют дополнительных затрат. Кроме того, существуют личные, семейные, студенческие, деловые и корпоративные планы, поэтому окончательная цена зависит от того, кто вы и чего хотите от жизни.
Как хешировать пароли пользователей
Пароли в веб-приложении нужно хешировать, а не зашифровывать. Шифрование — это двухсторонний алгоритм. Шифровке подвергается последовательность, которую вы затем можете расшифровать и использовать повторно. Этот метод часто используется в разведке для получения информации от союзников.
Хеширование предполагает, что последовательность нельзя вернуть в формат незашифрованного текста. Именно это конечная цель всего процесса.
Для достижения разных целей разработано множество алгоритмов: одни отличаются высокой скоростью, другие высокой надежностью. Эта технология постоянно эволюционирует, и за последние несколько лет претерпела немало изменений. Сейчас мы рассмотрим три наиболее популярные ее разновидности в хронологическом порядке.
Это была исторически первая функция хеширования. Аббревиатура SHA-1 расшифровывается как «безопасный алгоритм хеширования», разработало его Агентство национальной безопасности США.
SHA-1 был хорошо известен и широко востребован в сфере РНР для создания 20-байтовой шестнадцатеричной строки длиной в 40 символов.
SSL-индустрия в течение нескольких лет пользовалась SHA-1 для цифровых подписей. Затем, после выявления некоторых слабых мест, в Google решили, что пора переходить на SHA-2.
Первая версия алгоритма была признана устаревшей в 2005 году. Впоследствии были разработаны и приняты к использованию новые версии: SHA-2, SHA-2 и SHA-256.
Bcrypt
Bcrypt, не являясь результатом естественного развития SHA, сумел привлечь к себе широкую аудиторию благодаря своему уровню безопасности.
Этот крайне медленный алгоритм был создан с целью создания максимально безопасных хешированных последовательностей. В процессе хеширования данных он проходит несколько циклов, что в вычислительной технике описывается показателем трудозатрат. Чем выше показатель трудозатрат, тем дороже будет для хакера заполучить пароль.
Есть и хорошая новость: в будущем мы сможем использовать более мощные машины, способные на более скоростное прохождение большего количества циклов.
Argon2
Это новый модный алгоритм в сфере хеширования, разработанный Алексом Бирюковым, Даниэлем Дину и Дмитрием Ховратовичем из Люксембургского университета. В 2015 году он стал победителем Конкурса хеширования паролей.
Argon2 представлен в 3 версиях:
- Argon2d обращается к массиву памяти, что сокращает издержки памяти и времени. Однако у него существует риск атаки по сторонним каналам.
- Argon2i является противоположностью Argon 2d. Он оптимизирован относительно атак по сторонним каналам и получает доступ к памяти в порядке, не зависящем от пароля.
- Argon2id представляет собой промежуточный вариант между двумя предыдущими версиями.
Во второй части статьи я расскажу, как использовать это хеширование в РНР, задействуя встроенные функции, а сейчас хочу пригласить всех на бесплатный онлайн вебинар «ServerLess PHP», в рамках которого мы познакомимся с концепцией Serverless, поговорим о её реализации в AWS, применимости, ценах. Разберём принципы сборки и запуска, а также построим простой TG-бот на базе AWS Lambda.
Как хранить свои пароли, чтобы они не были утеряны в будущем? В статье рассмотрим несколько способов по хранению паролей, разберем лучшие программы, которые надежно сохранят ваши пароли.
Поиск информации в менеджере паролей
Если у пользователя несколько десятков аккаунтов, то их не всегда просто найти, в таких случаях пригодится функция поиска. Полезна она и когда пользователь хранит в менеджере паролей другую информацию – секретные заметки, файлы, что позволяют делать практически все менеджеры паролей. Кроме функции поиска, они помогают удобно организовать хранящуюся информацию для быстрого перехода к нужной записи.
Говорят, что лучший менеджер паролей — это наш мозг. В этом утверждении есть смысл, но иногда приходится задействовать и внешние ресурсы. Сегодня мы хотим рассказать о лучших менеджерах паролей 2021 года, которые могут сделать вашу жизнь немного проще.
Выбрать удобный и надёжный менеджер паролей — непростая задача. Вы должны действительно доверять сервису. В конце концов, именно он будет хранить ваши секретные данные.
Мы протестировали два десятка менеджеров паролей и выбрали десять, которые являются лучшими с точки зрения функциональности, безопасности и удобства. Все оценки субъективны, конечно же.
Лучшие менеджеры паролей 2021 года. Вариант для тех, кто не хочет читать всё
Dashlane — лучший менеджер паролей в 2021 году
NordPass — самый безопасный и удобный интерфейс
1Password — лучший сервис для семьи и бизнеса
Keeper — лучший платный менеджер паролей
Enpass — один из самых гибких и безопасных менеджеров паролей
Предоставление паролей другим пользователям
Некоторыми аккаунтами пользуются одновременно несколько человек, а иногда приходится открыть доступ к своему аккаунту другу, родственнику, коллеге и т. д. Но менеджеры позволяют сделать это, не сообщая пароля: пользователь просто не увидит его, зато получит доступ к аккаунту. Эта удобная функция будет очень кстати многим пользователям.
3 правила безопасности паролей
Пароли пользователей должны оставаться неизвестными для вас.
Я до сих пор вспоминаю свои первые шаги в роли РНР-разработчика. Первым созданным мной приложением стала игра, где я вместе с друзьями играл роль строителя небоскрёбов. Каждый из нас мог залогиниться в свой аккаунт, купить строителей и каждую неделю отправлять свою бригаду на новую стройку. Я создал базовые аккаунты: добавил для каждого пользователя логин и пароль и отправил их им по е-мейлу. И только через пару месяцев я понял, насколько это было глупо.
Общее правило таково: вы не только не должны знать пароли своих пользователей — у вас не должно быть возможности узнать их. Это очень серьезный аспект, который может повлечь даже юридическую ответственность.
Методом проб и ошибок вы все равно придете к выводу, что пароли не надо хранить в формате обычного текста или в таком виде, чтобы они легко поддались расшифровке.
Не вводите ограничения на пароли
Давайте сыграем в одну игру. Попробуйте угадать пароль:
Сложно, правда? Давайте попробуем так:
Теперь вы знаете, что здесь есть заглавная буква и несколько прописных. А если вот так:
Теперь вам будет намного легче угадать пароль — ведь вы знаете, что он включает в себя заглавную букву, прописные буквы и число.
То же самое происходит в тех случаях, когда вы навязываете пользователям ограничения и маски для их паролей. Если в вашем приложении заложено требование следовать определенному шаблону, вы даете злоумышленникам намеки, которые они могут использовать против вас.
Требовать некую минимальную длину пароля — это нормально, так как длина пароля влияет на то время, которое требуется, чтобы подобрать его. Однако вместо этого будет намного полезнее узнать, как работают алгоритмы и хеширование.
Кстати, правильный ответ к приведенной выше загадке — «Porsche911» :)
Никогда не отправляйте пароли по е-мейлу в чистом виде
Одной из моих первых ошибок в роли веб-разработчика стало то, что я заблаговременно не научился управлять паролями.
Представьте, что вы клиент и вы нанимаете разработчика, чтобы он создал для вашего бизнеса симпатичный сайт электронной коммерции. Этот разработчик прислал вам е-мейл, который содержит пароль для вашего сайта. Теперь вам известно три вещи о вашем сотруднике:
- Он знает ваш пароль.
- Он хранит ваш пароль в чистом виде, не используя никакого шифрования.
- Он не испытывает ни малейшего беспокойства при пересылке паролей через интернет.
А вот как должен поступить веб-разработчик:
- Создайте в вашем веб-приложении страницу, куда пользователь сможет ввести свой е-мейл в случае, если он забыл пароль, и таким образом запросить новый пароль.
- Ваше приложение сгенерирует уникальные права доступа и привяжет его к пользователю, сделавшему запрос (лично я пользуюсь универсальным индивидуальным идентификатором).
- Приложение отправит пользователю е-мейл со ссылкой, ведущей к праву доступа.
Видите, насколько возросла безопасность приложения благодаря этим простым шагам? При желании, мы можем повысить уровень безопасности еще больше, добавив лимит времени между запросом и установлением нового пароля.
Что умеют делать менеджеры паролей
Современный менеджер паролей – не просто защищенное хранилище аккаунтов и паролей к ним, у таких программ масса и других полезных функций. Перечислим некоторые из них.
3. 1Password — сервис для семьи и бизнеса.
Облачное хранилище: 1-5 GB
Бесплатная версия: Нет
Плагины браузера: Chrome, Brave, Firefox, Edge
1Password — мощный инструмент для хранения, создания и управления вашими паролями. Он функционален и доступен по цене, хотя есть пара нюансов.
Для работы вам нужен мастер-пароль, однако вместо этого можно использовать биометрический логин, в качестве которого используется отпечаток пальца или лицо. Другой вариант 2FA — использовать ваш телефон для создания одноразового пароля.
Помимо всех основных платформ, 1Password поддерживает Chrome OS и командную строку. Что касается расширений браузера, вы можете выбрать Chrome, Firefox, Edge и Brave. Последний не поддерживается Dashlane и LastPass.
Этот менеджер паролей имеет автозаполнение и синхронизирует ваши данные на всех устройствах. Это также упрощает обмен паролями за счёт создания гостевых учётных записей. И самое приятное, 1Password не имеет ограничений на количество людей, которые могут пользоваться вашей учётной записью.
Режим путешествия — вторая функция, которую стоит упомянуть. Она нужна для сокрытия конфиденциальной информации на вашем телефоне, пока вас нет. Если вы потеряете телефон или кто-то украдет его, вы можете быть уверены, что вся личная информация в безопасности.
Перейти на 1Password очень просто. Вы можете импортировать данные из Chrome, обычного CSV и других популярных менеджеров паролей, включая LastPass и Dashlane. И хотя у него нет бесплатной версии, есть 30-дневная гарантия возврата денег, если вы передумаете.
Цена 1Passwords начинается с 2,99 доллара в месяц в год, но есть тарифный план на 5 пользователей, который стоит 4,99 доллара в месяц.
Плюсы
Проверяет взломанные пароли
30-дневная гарантия возврата денег
24/7 поддержка по электронной почте
Минусы
Нет бесплатной версии
Нет поддержки в чате
Введение
Скандал с Facebook и Cambridge Analytica, утечка переписки Демократической партии США в 2016 году, нарушение безопасности данных Google в 2018 году, взлом Yahoo Voice в 2012 году — вот лишь несколько примеров крупных утечек, зафиксированных за последние несколько лет.
Информация в глобальном масштабе сегодня доступна для нас, как никогда ранее. Если не проявлять должную осторожность, информация о нас самих (в том числе сведения конфиденциального характера) тоже могут попасть в открытый доступ.
Неважно, разработкой какого именно проекта вы занимаетесь: детской игрой с открытым кодом или выполняете заказ крупного предприятия. Ваша обязанность как веб-разработчика состоит в том, чтобы обеспечить безопасность всем своим платформам. Безопасность — это очень непростой аспект.
Язык РНР предоставляет несколько инструментов и функций, которые можно задействовать для обеспечения безопасности приложения.
Почему безопасность паролей важна
Ведь безопасность пароля важна для того, чтобы злоумышленники не использовали ваши данные в своих целях, не смогли взломать аккаунты на сервисах и так далее.
Как хранить свои пароли? Существует много способов, которые защитят ваши пароли. Они могут быть связаны с сервисами, программами и зависят от того человека, который придумал пароль.
Далее будут представлены проверенные варианты хранения паролей на компьютере и в браузере.
Читайте также: