Выбор подходящего менеджера паролей
Последнее обновление: March 06, 2025
Утечка паролей является весьма обычным явлением. Если злоумышленник заполучил пароль , который вы используете для нескольких учётных записей, то он может попробовать получить доступ ко всем этим аккаунтам. Поэтому лучше всего везде использовать уникальные пароли (и по возможности двухфакторную аутентификацию). Эту задачу упрощает менеджер паролей – программа, позволяющая создавать и хранить уникальные и надёжные пароли.
Менеджер паролей генерирует длинные уникальные пароли, хранит эти пароли в так называемом «хранилище паролей», а также может автоматически вводить имя пользователя и пароль при входе на сайт. Все пароли защищены с помощью одного «мастер-пароля», поэтому нужно запомнить только один пароль вместо десятков. Поэтому для менеджера паролей требуется придумать как можно более надёжный мастер-пароль , а также настроить двухфакторную аутентификацию для доступа к самому менеджеру паролей. В большинстве случаев менеджер паролей имеет функцию синхронизации паролей между устройствами, чтобы вы могли получить доступ к сохранённым данным учётных записей с любого из них.
Когда менеджер паролей лучше не использовать
Хороший менеджер паролей делает всё возможное для устранения потенциальных проблем безопасности, но всё же важно знать:
- Менеджер паролей становится единственным уязвимым местом для всех ваших учётных данных.
- Менеджер паролей является очевидной целью злоумышленников.
Поэтому у вас должен быть надёжный мастер-пароль и по возможности должна быть включена двухфакторная аутентификация . Если вы являетесь целью такого могущественного противника, как правительственные структуры, то к выбору менеджера паролей стоит подойти особенно тщательно, а затем необходимо настроить его для обеспечения максимальной защиты.
Если по какой-либо причине вы не хотите использовать менеджер паролей, вам всё равно необходимо использовать уникальный пароль для каждой учётной записи. Мы считаем, что записывать пароли на бумаге и хранить в надёжном месте, например в кошельке, лучше, чем пытаться запомнить их все наизусть.
Как выбрать менеджер паролей, который подходит именно вам?
Требования к менеджеру паролей у всех разные. Поэтому решение, подходящее одному человеку, может не устроить другого. Практически все менеджеры паролей можно сначала просто попробовать. Это справедливо даже для платных версий, предлагающих бесплатный пробный период. Мы рекомендуем воспользоваться этой возможностью, когда у вас будет время.
Бизнес-модель
Компания-разработчик менеджера паролей должна как-то зарабатывать деньги. Источником дохода может быть плата за подписку. Либо сервис может быть ориентирован на корпоративных клиентов и предлагать услуги всем остальным по низкой цене или даже бесплатно. Изучите, какие тарифные планы предлагает компания, какие функции и инструменты являются бесплатными, а какие доступны только за плату. В случае с платной подпиской будьте особенно внимательны при изучении условий тарифных планов – стоимость может резко возрастать после первого года использования. Некоторые платные менеджеры паролей могут предлагать семейные планы, по которым вы и ваша семья получаете доступ к сервису по сниженной цене. Такие планы обычно предоставляют каждому члену семьи собственное хранилище, но также имеется возможность легко обмениваться паролями. Это может быть полезно для общих учётных записей (например, для некоторых утилит или стриминговых сервисов). Имейте в виду, что менеджер семейного плана может иметь возможность восстановить (а, следовательно, заполучить) пароли членов семьи. Поэтому следует убедиться, что ему можно доверять.
Поддержка двухфакторной аутентификации
Поскольку менеджер паролей защищает все ваши учётные данные с помощью одного мастер-пароля, стоит выбрать тот, который поддерживает двухфакторную аутентификацию. В таком случае, если кто-то узнает ваш мастер-пароль, он всё равно не получит доступ к хранилищу без второго фактора. Некоторые менеджеры паролей могут также иметь собственные формы защиты, которые стоит изучить отдельно. Примером такой функции может служить «Секретный ключ» сервиса 1Password.
Расширения для браузера и поддержка разных платформ
Большинство менеджеров паролей работают на всех системах, на которых может потребоваться доступ к паролям: это приложения для Windows, Mac или Linux и мобильные приложения для Android или iPhone. Когда вы создаёте пароль на одном устройстве, он будет доступен на остальных. Большинство менеджеров паролей также имеют расширения для браузера, что позволяет менеджеру паролей автоматически вводить пароли, когда вы попадаете на страницу авторизации. Если на вас нацелен могущественный противник (хакерские группировки, правительственные структуры), лучше не использовать расширения для браузера, поскольку они являются наиболее уязвимым местом менеджера паролей. Для большинства же людей функция автоматического ввода пароля с помощью расширения является не просто удобством, но и дополнительной защитой от фишинга.
Сквозное шифрование для резервных копий
Поскольку большинство менеджеров паролей синхронизируют пароли между устройствами, они должны иметь ваше хранилище на своих серверах. Поэтому важно, чтобы компания использовала для этих хранилищ сквозное шифрование . Никто не должен иметь доступ к вашим паролям, даже сама компания-разработчик менеджера паролей. Перед выбором программы ознакомьтесь с её возможностями и документацией, а также убедитесь, что доступна информация об используемых методах шифрования.
Большая часть популярных менеджеров паролей не имеет возможности отключить онлайн-синхронизацию. Но есть несколько более нишевых менеджеров паролей. Например, KeePassXC предоставляет больше контроля и позволяет самостоятельно выбрать место для онлайн-хранилища паролей (а, также решить, должно ли оно вообще быть). Существует множество проектов с похожими названиями (KeePass, KeePassX и KeeWeb), поэтому убедитесь, что используете правильное приложение. Ежедневное использование менеджера паролей без возможности синхронизации и резервного копирования в облако может быть довольно хлопотным.
Независимые аудиты безопасности и программы вознаграждения за нахождение уязвимостей
Некоторые популярные менеджеры паролей заказывают независимый аудит безопасности своих сервисов. Так как оценка безопасности проводится в моменте, данная практика не идеальна. Однако сам факт этих проверок сигнализирует о том, что разработчик активно работает над обеспечением безопасности своего продукта. Отчеты проведённых аудитов могут публиковаться, но это необязательно. Ещё одним хорошим показателем может быть наличие у разработчика менеджера паролей программы вознаграждения за нахождение уязвимостей (bug bounty). Этим компания привлекает независимых исследователей безопасности и платит им материальное вознаграждение за сообщения о дырах в безопасности. Вот некоторые менеджеры паролей, которые регулярно проводят аудиты безопасности:
Этот список не является полным и не должен рассматриваться в качестве рекомендации, но позволяет сформировать представление о том, как обычно выглядят аудиты.
Рекомендуем поискать упоминания о менеджере паролей в новостных изданиях, чтобы убедиться, что он не связан со скандалами в связи с обнаружением брешей в системе безопасности, утечек данных, нарушений конфиденциальности или чего-то, что может заставить вас отказаться от использования приложения.
Регулярные обновления
Потратьте несколько минут на изучение истории обновлений мобильного приложения. Так вы сможете убедиться, что приложение регулярно обновляется и поддерживает последние версии операционных систем. Активная поддержка приложения также может обеспечить добавление новых функций и технологий безопасности, таких как ключи доступа (passkeys). Ключ доступа – это тип авторизации, который используется вместо паролей, но также может храниться в менеджере паролей, если сама программа имеет такую функцию. Активная разработка не только подразумевает добавление новых функций, но и является признаком постоянной работы над стабильностью и безопасностью приложения на всех платформах.
Возможность переноса
Любой солидный менеджер паролей позволит перенести хранилище, если вы решите сменить программное обеспечение. Хотя перемещение данных между менеджерами паролей может показаться сложным, на самом деле это, как правило, простой процесс. Вам нужно будет экспортировать CSV-файл со всеми паролями, а затем импортировать его в новый менеджер паролей. Для понимания конкретных шагов для переноса данных ознакомьтесь с документацией менеджера паролей.
Что насчёт менеджера паролей, встроенного в операционную систему или браузер?
Google, Apple и Mozilla и прочие разработчики браузеров предлагают собственные версии менеджеров паролей. Решения Google и Apple интегрированы в их браузеры (Chrome и Safari) и операционные системы (Android и ChromeOS, iOS и macOS). Поэтому они имеют более широкий функционал внутри собственных экосистем. Менеджер паролей от Mozilla работает только в Firefox и не может быть легко интегрирован куда-либо ещё. Другие веб-браузеры могут предлагать аналогичный тип менеджера паролей – перед использованием обязательно изучите их метод шифрования данных.
Менеджеры паролей в браузерах иногда могут не иметь свойственных отдельным приложениям функций: сохранение зашифрованных заметок и ответов на секретные вопросы (для которых следует использовать случайные ответы), запись того, где вы авторизовались через систему единого входа SSO (например, вход в какой-либо сервис с помощью аккаунта Google), и совместное использование семейных паролей.
Лучший менеджер паролей – тот, который вы будете использовать. Если вы никогда ранее не пользовались менеджером паролей, браузерные менеджеры паролей могут оказаться проще в использовании, потому что они хорошо интегрированы в операционную систему. Если для автозаполнения стандартные менеджеры паролей требуют установки расширения для браузера, создавая таким образом дополнительную угрозу, то интегрированные решения лишены этого недостатка и остановят вас от ввода пароля на фишинговом сайте. Однако уровень защиты у них различен. Приложение «Пароли» от Apple по умолчанию защищено сквозным шифрованием, а вот менеджер паролей Google – нет. Вместо этого Google предлагает создать кодовую фразу для включения «шифрования на устройстве». Однако эту функцию нужно включить в настройках самостоятельно, что мы и рекомендуем сделать. Mozilla подробно описывает, как Firefox использует шифрование для хранения паролей.