Выбор подходящего менеджера паролей

Утечка паролей – обычное явление. Если злоумышленник заполучил пароль , который вы используете для нескольких учётных записей, то он может попробовать получить доступ ко всем этим аккаунтам. Поэтому лучше всего везде использовать уникальные пароли (и по возможности двухфакторную аутентификацию). Эту задачу упрощает менеджер паролей – программа, позволяющая создавать и хранить уникальные и надёжные пароли.

Менеджер паролей генерирует длинные уникальные пароли, хранит эти пароли в так называемом «хранилище паролей», а также может ввести имя пользователя и пароль при входе на сайт. Все пароли защищены с помощью одного «мастер-пароля», и вам нужно запомнить только один пароль вместо десятков. Но это означает, что мастер-пароль должен быть как можно более надёжным, а для доступа к самому менеджеру паролей желательно настроить двухфакторную аутентификацию. В большинстве случаев менеджер паролей также синхронизируют пароли между вашими устройствами, чтобы вы могли получить доступ к сохранённым данным учётных записей с любого из них.

Когда менеджер паролей лучше не использовать anchor link

Хороший менеджер паролей делает всё возможное для устранения потенциальных проблем безопасности, но всё же важно знать:

• Использование менеджера паролей можно сравнить со складыванием всех яиц в одну корзину.  
• Менеджер паролей является очевидной целью злоумышленников.

Поэтому у вас должен быть надёжный мастер-пароль, и по возможности должна быть включена двухфакторная аутентификация . Если вы являетесь целью такого могущественного противника, как правительственные структуры, то к выбору подходящего менеджера паролей стоит подойти особенно тщательно, а затем настроить его для обеспечения максимальной безопасности.

Если вы по какой-либо причине не хотите использовать менеджер паролей, вам всё равно необходимо использовать уникальный пароль для каждой учётной записи. Мы считаем, что записывать пароли на бумаге и хранить в надёжном месте, например в кошельке, лучше, чем пытаться запомнить их все наизусть.

Как выбрать менеджер паролей, который подходит именно вам? anchor link

Требования к менеджеру паролей у всех разные, и то, что подходит одному человеку, может не подойти другому. Практически все менеджеры паролей можно сначала просто попробовать. Это справедливо даже для платных версий, ведь они могут предлагать бесплатный пробный период. Мы рекомендуем воспользоваться этой возможностью, когда у вас будет время.

Бизнес-модель

Компания, которая стоит за менеджером паролей, должна как-то зарабатывать деньги. Источником дохода может быть плата за подписку. Или сервис может быть ориентирован на корпоративных клиентов и предлагать услуги всем остальным по низкой цене или даже бесплатно. Изучите, какие тарифные планы предлагает компания, какие функции и инструменты являются бесплатными, а какие доступны только за плату. В случае с платной подпиской будьте особенно внимательны при изучении условий тарифных планов – стоимость может резко возрастать после первого года использования. Некоторые платные менеджеры паролей могут предлагать семейные планы, по которым вы и ваша семья получаете доступ к сервису по сниженной цене. Такие планы обычно предоставляют каждому члену семьи собственное хранилище, но также имеется возможность легко обмениваться паролями. Это может быть полезно для общих учётных записей (например, для некоторых утилит или стриминговых сервисов). Имейте в виду, что менеджер семейного плана может иметь возможность восстановить (а, следовательно, заполучить) пароли членов семьи, поэтому следует убедиться, что ему можно доверять.

Поддержка двухфакторной аутентификации

Поскольку менеджер паролей защищает все ваши пароли с помощью одного мастер-пароля, лучше выбрать менеджер паролей с поддержкой двухфакторной аутентификации. В таком случае, если кто-то узнает ваш мастер-пароль, он всё равно не получит доступ к хранилищу без второго фактора. Некоторые менеджеры паролей могут также иметь собственные формы защиты, которые стоит изучить отдельно. Примером может служить «Секретный ключ» сервиса 1Password.

Расширения для браузера и поддержка разных платформ

Большинство менеджеров паролей работают на всех системах, на которых может потребоваться доступ к паролям: это приложения для Windows, Mac или Linux и мобильные приложения для Android или iPhone. Когда вы создаёте пароль на одном устройстве, он будет доступен на остальных. Большинство менеджеров паролей также имеют расширения для браузера, что позволяет менеджеру паролей автоматически вводить пароли, когда вы заходите на страницу авторизации. Если на вас нацелен могущественный противник (правительственные структуры), лучше не использовать расширения для браузера, поскольку они являются наиболее уязвимым местом менеджера паролей. Но для большинства людей функция автоматического ввода пароля с помощью расширения является не просто удобством, но и важной защитой от фишинга.

Сквозное шифрование для резервных копий

Поскольку большинство менеджеров паролей синхронизируют пароли между устройствами, они должны держать ваше хранилище у себя. Поэтому важно, чтобы компания использовала для этих хранилищ сквозное шифрование . Никто не должен иметь доступ к вашим паролям. Даже компания, создавшая менеджер паролей. Перед выбором менеджера паролей ознакомьтесь с документацией и возможностями, а также убедитесь, что известна информация о методах шифрования.

Большая часть популярных менеджеров паролей не имеет возможности отключить онлайн синхронизацию. Но есть несколько более нишевых менеджеров паролей, например KeePassXC. Это приложение предоставляет вам больше контроля и позволяет самостоятельно выбрать место для онлайн-хранилища паролей (а, также решить, должно ли оно вообще быть). Обратите внимание, что, несмотря на открытый исходный код, KeePassXC не проходил аудит безопасности. Существует множество проектов с похожими названиями (включая KeePass, KeePassX и KeeWeb), поэтому убедитесь, что вы используете правильное приложение. Ежедневное использование менеджера паролей без возможности синхронизации и резервного копирования в облако может быть довольно хлопотным.

Независимые аудиты безопасности и программы вознаграждения за нахождение уязвимостей

Некоторые популярные менеджеры паролей заказывают независимый аудит безопасности своих сервисов. Хотя данная практика не идеальна, предлагая только оценку безопасности в моменте, сам факт этих проверок сигнализируют о том, что разработчик активно работает над обеспечением безопасности своего продукта. Отчеты поведённых аудитов могут публиковаться, но это необязательно. Ещё одним хорошим показателем может быть наличие у разработчика менеджера паролей программы вознаграждения за нахождение уязвимостей (bug bounty). Это позволяет независимым исследователям безопасности получать материальное вознаграждение за сообщения о дырах в безопасности. Вот некоторые менеджеры паролей, которые регулярно проводят аудиты безопасности:

• 1Password
• Bitwarden
• Dashlane
• NordPass

Этот список не является полным и не должен рассматриваться в качестве рекомендации, но он позволяет сформировать представление о том, как обычно выглядят аудиты.

Рекомендуем поискать упоминания о менеджере паролей в новостных изданиях, чтобы убедиться, что он не связан со скандалами в связи с обнаружением брешей в системе безопасности, утечек данных, нарушений конфиденциальности или чего-либо ещё, что может заставить вас отказаться от приложения.

Регулярные обновления

Потратьте несколько минут на изучение истории обновлений мобильного приложения. Так вы сможете убедиться, что приложение регулярно обновляется и поддерживает последние операционные системы. Активная разработка – это не только добавление новых функций, но и признак постоянной работы над стабильностью и безопасностью приложения.

Возможность переноса

Любой солидный менеджер паролей позволит перенести хранилище, если вы решите сменить программное обеспечение. Хотя перемещение паролей между менеджерами паролей может показаться сложным, на самом деле это, как правило, простой процесс. Вам нужно будет экспортировать CSV-файл со всеми паролями, а затем импортировать его в новый менеджер паролей. Ознакомьтесь с документацией менеджера паролей для получения более конкретных указаний о том, как это сделать.

Что насчёт встроенного в браузер менеджера паролей? anchor link

Google, Apple и Mozilla предлагают собственные версии менеджеров паролей. Решения Google и Apple интегрированы в их браузеры (Chrome и Safari) и операционные системы (Android и ChromeOS, iOS и macOS), поэтому имеют более широкий функционал внутри собственных экосистем. Менеджер паролей Mozilla работает только в Firefox и не может быть легко интегрирован где-либо ещё. Другие веб-браузеры могут предлагать аналогичный тип менеджера паролей, но перед использованием обязательно изучите их метод шифрования данных.

Менеджеры паролей в браузерах иногда могут не иметь функций, свойственных отдельным приложениям: сохранение зашифрованных заметок и ответов на секретные вопросы (для которых вам следует использовать случайные ответы), запись того, где вы авторизовались через систему единого входа (например, вход в какой-либо сервис через аккаунт Google) и совместное использование семейных паролей.

Лучший менеджер паролей – тот, который вы будете использовать. Если вы никогда ранее не пользовались менеджером паролей, браузерные менеджеры паролей могут оказаться проще в использовании, потому что они хорошо интегрированы в операционную систему. Если для автозаполнения стандартные менеджеры паролей требуют установки расширения для браузера, создавая таким образом дополнительную угрозу, то интегрированные решения лишены этого недостатка и защитят вас от ввода пароля на фишинговом сайте. Однако уровень защиты у них различен. Связка ключей от Apple по умолчанию защищена сквозным шифрованием, а менеджер паролей Google – нет. Вместо этого Google предлагает создать кодовую фразу для включения «шифрования на устройстве». Однако эту функцию нужно включить в настройках самостоятельно, что мы и рекомендуем вам сделать. Mozilla подробно описывает, как Firefox использует шифрование .