Playlist
  • Пользователь Apple Mac?

    Советы и способы защиты ваших данных и коммуникаций.

    Это рекомендации для пользователей Apple Mac. Вы можете узнать, как защитить свои онлайновые коммуникации и создать помехи ищейкам.

  • Оценка рисков

    В постоянных попытках защитить все свои данные сразу от всех людей в мире, вы рискуете потратить свои силы и время впустую. Однако, не стоит расстраиваться! Обеспечение безопасности данных – это процесс, в котором вы, тщательно обдумав план действий, непременно найдёте подходящее решение. Безопасность зависит не столько от количества используемых вами инструментов или скачанных программ, сколько от понимания с какими именно угрозами вы сталкиваетесь и что конкретно может вам помочь в борьбе с этими угрозами.

    В частности, угроза компьютерной безопасности – это потенциально возможное событие, которое может подвергнуть опасности сохранность или конфиденциальность ваших данных. Вы сможете успешно противостоять подобным угрозам, осознав, что конкретно вам нужно защитить и от кого именно. Данный процесс называется «моделирование угроз».

    С помощью настоящего руководства вы научитесь моделировать угрозы – оценивать риски, которым может быть подвержена ваша цифровая информация. Также вы узнаете, как определить наилучшие способы противодействия угрозам, которые подойдут именно в вашем случае.

    Так как же производится моделирование угроз? Например, если вам необходимо организовать защиту своего дома и имущества, то вам придется задать самому себе несколько вопросов:

    Что в моем доме нуждается в защите?

    • Это могут быть драгоценности, электроника, финансовые документы, паспорта или фотографии.

    От кого я хочу это все защитить?

    • Злоумышленниками могут быть воры, соседи по комнате или гости.

    Какова вероятность того, что мне придется защищать свое имущество?

    • Соседей обворовывали в недавнем прошлом? Могу ли я доверять своим соседям и гостям? Каковы возможности потенциальных злоумышленников? Какие риски я должен принять во внимание?

    Насколько серьёзны будут последствия неудачи при защите имущества?

    • Найдутся ли у меня время и деньги на замену утраченного имущества? Какое имущество я не смогу заменить вовсе? Имеется ли страховка на случай если моё имущество будет украдено?

    На что я готов пойти для того чтобы избежать подобных последствий?

    • Хочу ли я купить сейф для важных документов? Могу ли я позволить себе покупку высококачественного замка? Найду ли время арендовать ячейку в банке для хранения ценностей??

    Как только вы ответите на эти вопросы, вы сможете оценить меры, которые следует принять. Если ваше имущество ценно, но риск кражи невелик, то вы, скорее всего, не захотите потратить слишком много денег на покупку замка. Однако, если этот риск велик, то вы не только купите наилучший замок, но и задумаетесь об установке охранной сигнализации.

    Построение модели угроз поможет вам лучше понять те риски, с которыми вы можете столкнуться и оценить возможность их возникновения. Также это поможет вам определить ценность имущества и потенциальных злоумышленников, равно как и их возможности.

    Что такое моделирование угроз и с чего мне начать? Anchor link

    Моделирование угроз поможет вам выявить угрозу ценным для вас вещам и определить, от кого именно эта угроза исходит. При построении модели угроз, ответьте на следующие вопросы:

    1. Что я хочу защитить?
    2. От кого мне нужно это защитить?
    3. Что случиться плохого если мне не удастся это защитить?
    4. Какова вероятность того, что мне придется это защищать?
    5. На что я готов пойти, чтобы предотвратить потенциальные последствия

    Давайте подробно разберем каждый из этих вопросов.

    Что я хочу защитить?

    «Ресурс» - это нечто, что вам дорого и что вы хотели бы защитить. В контексте цифровой безопасности ресурсом является некая информация. Например, текст ваших сообщений электронной почты, список ваших контактов, сообщения мессенджеров, ваше местоположение и файлы. Ваше устройство также может быть ресурсом.

    Составьте список ваших ресурсов: данных, которые вы храните; мест, где они находятся; людей, имеющих к ним доступ; и того, что предотвращает несанкционированный доступ к этим данным.

    От кого мне нужно это защитить?

    Для ответа на этот вопрос важно определить тех, кто может быть нацелен на получение доступа к вашим ресурсам. Личности или организации, представляющие угрозу сохранности и конфиденциальности ваших ресурсов, являются злоумышленниками. Например, потенциальными злоумышленниками могут быть как ваш начальник, бывший партнер или конкурент в бизнесе, так и правительственные учреждения или хакер в общедоступной сети.

    Составьте список злоумышленников, или тех, кто хотел бы заполучить ваши ресурсы. В вашем списке могут оказаться как частные лица, так и правительственные организации или корпорации.

    В зависимости от того, кто станет злоумышленником в вашем случае, данный список вы, возможно, захотите уничтожить сразу после создания своей модели угроз.

    Что случится плохого если мне не удастся это защитить?

    Множеством способов злоумышленник может создать угрозу сохранности или конфиденциальности ваших данных. Например, он может прочитать вашу частную переписку при передаче через телекоммуникационную сеть, а также повредить или даже удалить ваши данные.

    Мотивы злоумышленников могут быть очень разными, как и их способы атак на ваши данные. Правительство, например, может попытаться предотвратить распространение видео, на котором запечатлён полицейский беспредел, просто удалив его или существенно снизив его доступность. А политические оппоненты могут постараться заполучить в тайне от вас некие секретные данные и опубликовать их.

    Моделирование угроз включает в себя также и осознание последствий в случае, если злоумышленник всё-таки получит доступ к вашим данным или ресурсам. Для определения последствий вам необходимо принять во внимание потенциал злоумышленников. Оператор сотовой связи, например, имеет доступ ко всем вашим телефонным разговорам. Таким образом, он сможет использовать эти данные против вас. Хакер в открытой сети Wi-Fi сможет получить доступ к данным, передающимся в открытом виде. В то же время, правительственные службы имеют гораздо большие возможности.

    Запишите, что по-вашему злоумышленник может сделать, получив доступ к вашим конфиденциальным данным.

    Какова вероятность того что мне придется это защищать?

    Риск – это вероятность того, что какая-либо конкретная угроза конкретному имуществу осуществится на самом деле. Возможность и риск нужно рассматривать в связке. Несмотря на то, что у оператора сотовой связи есть возможность получить доступ к вашим данным, риск того, что оператор выложит в сеть вашу конфиденциальную информацию, чтобы подпортить вашу репутацию, достаточно низок.

    Важно делать различие между угрозой и риском. Угроза – это прискорбное событие, которое может случиться, а риск – это вероятность наступления подобного события. Например, если существует угроза обрушения вашего здания, риск этого события будет гораздо выше если здание находится в Токио (там землетрясения – это обычное дело), а не в Москве (где они крайне редки).

    Анализ рисков – это личный, субъективный процесс. Каждый человек смотрит на угрозы и расставляет приоритеты по-своему. Множество людей не считаются с определёнными угрозами несмотря на существующий риск, поскольку считают, что простое наличие угрозы при любом уровне риска не стоит потенциальных затрат на защиту. В другом случае, люди игнорируют повышенный риск, поскольку не считают существующую угрозу проблемой.

    Запишите какие угрозы вы воспринимаете всерьёз. Также составьте список угроз, о которых можно не думать, потому что вероятность их появления достаточно низка, или с ними будет слишком тяжело и опасно бороться.

    На что я готов пойти, чтобы предотвратить потенциальные последствия?

    Ответ на этот вопрос требует проведения анализа рисков. У разных людей различные приоритеты и разные взгляды на существующие угрозы.

    Например, адвокат, представляющий клиента по делу о национальной безопасности, примет гораздо больше усилий для защиты своей корреспонденции. Для этого он станет использовать шифрование сообщений электронной почты в отличии от обычной матери, регулярно отправляющей дочке видео со смешными котами.

    Запишите что вы можете использовать для противодействия вашим угрозам. Обратите внимание на имеющиеся у вас ограничения финансового, технического или социального характера.

    Моделирование угроз на регулярной основе Anchor link

    Имейте в виду, что ваша модель угроз будет меняться вместе с изменением ситуации. Таким образом, вам лучше всего почаще проводить моделирование угроз и оценку рисков.

    Подготовьте свою модель угроз, основываясь на собственной текущей ситуации. Создайте напоминание в своем календаре. Когда этот день придёт, убедитесь, что ваша оценка рисков отражает текущую ситуацию. В случае необходимости пересмотрите свою модель угроз.

    Последнее обновление: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • Общение в сети

    Людям стало гораздо проще связываться друг с другом благодаря современным телекоммуникациям и интернету. В то же время слежка в сетях связи упростилась как никогда ранее в истории человечества. Если вы не принимаете никаких дополнительных мер для защиты своей частной жизни, любые коммуникации (телефонный звонок, текстовое сообщение, электронное письмо, строчка в чате, беседа по интернету (VoIP), сеанс видеосвязи, сообщения в социальных сетях) могут быть подвержены перехвату.

    Зачастую самым безопасным видом связи является личная встреча без компьютеров и телефонов. Но это не всегда возможно. Тогда лучшее, что можно сделать для собственной защиты при общении в сети – использовать сквозное шифрование.

    Как работает сквозное шифрование? Anchor link

    Допустим, два друга, Антон и Борис, поставили перед собой задачу защитить свои коммуникации. Каждый должен создать пару шифровальных ключей. Перед тем, как отправить письмо Борису, Антон шифрует его ключом адресата, и теперь только Борис может расшифровать послание. Если злоумышленник контролирует канал связи и даже почтовую службу Антона (в том числе имеет доступ к почтовому ящику Антона), ему в руки попадут только зашифрованные данные. Злоумышленник не сможет их прочесть. А вот Борис, получив письмо, использует свой ключ и легко преобразует шифр в читаемое сообщение.

    Сквозному шифрованию нужно научиться, но для собеседников это единственный способ обеспечить безопасность связи, не перепоручив защиту некой общей платформе. Создатели и владельцы сервисов вроде Skype иногда заявляли, что обеспечивают сквозное шифрование, а потом оказывалось, что это не так. Чтобы сквозное шифрование действительно работало, любой пользователь должен иметь возможность убедиться в подлинности ключей своих собеседников. Если программа связи не обладает таким функционалом, а правительство надавит на разработчика (провайдера), он сможет прочесть ваши шифрованные сообщения.

    Советуем почитать доклад Фонда свободы прессы (Freedom of the Press Foundation) под названием «Шифрование работает»Encryption Works»). В нём приводятся подробные инструкции по использованию сквозного шифрования мгновенных сообщений и электронной почты. В нашем руководстве эта тема освещается в следующих разделах:

    Голосовые звонки Anchor link

    Когда вы делаете звонок по стационарному или мобильному телефону, никакого сквозного шифрования по умолчанию нет. В сотовой связи ваш звонок ещё может быть (слабо) зашифрован на участке от вашего телефона до вышки связи. Но когда информация передаётся по сети, её может перехватывать оператор связи, а значит и любые правительственные и другие организации, имеющие власть над оператором связи. Самый простой способ обеспечения сквозного шифрования для голосовой связи – использование VoIP.

    Внимание! Большинство популярных сервисов VoIP (например, Skype и Google Hangouts) предлагает защиту трафика, которая не позволяет третьим лицам организовывать «прослушку», но сами провайдеры, в принципе, способны осуществлять перехват. Это может быть (или не быть) проблемой в зависимости от вашей модели угроз.

    Вот некоторые сервисы VoIP, в которых реализовано сквозное шифрование:

    Чтобы оценить преимущества VoIP и сквозного шифрования, оба участника разговора должны использовать одинаковые или совместимые программы.

    Текстовые сообщения Anchor link

    Обычные смс-сообщения не поддерживают сквозное шифрование. Если вы хотите обмениваться шифрованными посланиями по телефону, вам скорее подойдет какая-либо программа для шифрования чатов, а не смс.

    Некоторые такие программы работают по собственным протоколам. Например, пользователи Signal (iOS) могут общаться в защищённом режиме с другими людьми, которые имеют такие же программы. ChatSecure – мобильное приложение, которое шифрует поток данных с помощью OTR в любой сети с поддержкой XMPP; вы сами можете выбрать для связи какую-либо из независимых совместимых программ.

    Мгновенные сообщения Anchor link

    Off-the-Record (OTR) – протокол сквозного шифрования для обмена сообщениями в реальном времени. OTR используется в разных программах и сервисах.

    Некоторые программы, поддерживающие OTR для обмена мгновенными сообщениями:

    Электронная почта Anchor link

    Большинство сервисов эл. почты позволяет подключаться к почтовому ящику через веб-браузер (например, Firefox или Chrome). В основном, они поддерживает HTTPS (шифрование транспортного уровня). Вы можете узнать, поддерживает ли HTTPS используемый вами сервис. Для этого необходимо войти на сервис и взглянуть на URL-адрес, расположенный в верхней строке браузера (адресная строка). Вместо HTTP вы должны увидеть HTTPS (например: https://mail.google.com).

    Если провайдер поддерживает HTTPS, но не по умолчанию, попробуйте в адресной строке заменить HTTP на HTTPS и перезагрузите страницу. Чтобы страницы всегда (когда это возможно) загружались по HTTPS, скачайте дополнение HTTPS Everywhere для браузеров Firefox и Chrome.

    Примеры провайдеров веб-почты, которые используют HTTPS по умолчанию:

    • Gmail
    • Riseup
    • Yahoo

    Некоторые провайдеры веб-почты позволяют выбирать используемый по умолчанию протокол (HTTP или HTTPS) в настройках. Самым популярным сервисом, который до сих пор позволяет это делать, является Hotmail.

    Зачем нужна защита транспортного уровня? HTTPS (иногда вы также можете встретить сокращения SSL или TLS) шифрует коммуникации так, что их не могут увидеть другие люди в вашей сети – например, пользователи того же подключения по Wi-Fi в аэропорту или кафе, коллеги по работе или одноклассники, системный администратор вашего интернет-провайдера, хакеры-злоумышленники, правительство и правоохранительные органы. Если связь происходит не по HTTPS, а по HTTP, перехват и чтение всего, для чего применяется браузер, становятся простой задачей. Это касается не только веб-страниц, но и содержания электронных писем, публикаций в блогах, всевозможных сообщений.

    HTTPS – базовый уровень шифрования при просмотре сайтов в интернете. Мы рекомендуем всем применять HTTPS. Это так же необходимо, как пристёгиваться во время езды на автомобиле.

    Но у HTTPS есть ограничения. Когда вы отправляете электронное письмо, используя HTTPS, ваш провайдер электронной почты получает незашифрованную копию данных. Правительство и его органы могут, имея судебное решение, получить доступ к этой информации. В США большинство провайдеров заявляет о приверженности информировать своих пользователей при поступлении правительственных запросов на выдачу их данных, если для этого нет юридических препятствий. Однако это исключительно внутренняя инициатива компаний, и во многих случаях провайдерам юридически запрещается информировать пользователей о подобных запросах. Некоторые провайдеры, включая Google, Yahoo и Microsoft, публикуют отчёты, указывая, сколько запросов было получено, от правительств каких стран и как часто эти запросы удовлетворялись.

    Если в вашу модель угроз входит правительство или правоохранительные органы или у вас есть другие причины препятствовать возможности провайдера передавать содержимое ваших электронных писем третьим лицам, задумайтесь об использовании сквозного шифрования вашей электронной почты.

    PGP (от англ. Pretty Good Privacy) – это стандарт сквозного шифрования для электронной почты. Если его использовать правильно, можно надёжно защитить свои коммуникации. Подробнее о том, как установить и применять шифрование PGP для электронной почты, читайте в нашем руководстве:

    Ограничения сквозного шифрования Anchor link

    Сквозное шифрование защищает лишь содержание вашей переписки, но не сам факт информационного обмена. Оно не защищает метаданные, то есть всё, кроме содержания: имя адресата, адрес его эл. почты, тему письма, дату, время.

    Метаданные могут рассказать немало важного, даже если содержание письма остаётся в секрете.

    По метаданным телефонных звонков злоумышленник может узнать информацию деликатного характера. Примеры:

    • Молодой человек воспользовался услугой «секс по телефону» в 2:24 ночи и говорил 18 минут (о чём именно, злоумышленник не знает).
    • Подросток позвонил по мобильному телефону с Крымского моста по горячей линии психологической помощи (тема разговора неизвестна).
    • Мужчина сделал звонок в лабораторию по экспресс-анализу крови на ВИЧ, затем связался со своим доктором, потом со страховой компанией, и всё в течение часа. Содержание этих разговоров не раскрывается.
    • Девушка четверть часа говорила по телефону с гинекологом, потом ещё полчаса со своей мамой, затем набрала номер центра планирования семьи. Что бы это могло значить?

    Если вы звоните по мобильному телефону, информация о вашем местонахождении – тоже метаданные. В 2009 году немецкий политик из партии «зелёных» Мальте Шпитц (Malte Spitz) судился с Deutsche Telekom. Истец требовал, чтобы компания передала ему данные о его собственных телефонных звонках, которые она собирала в течение шести месяцев. Полученную информацию Шпитц опубликовал в газете. Стало очевидно, что эти данные позволяли всё время следить за перемещениями владельца телефона.

    Чтобы защитить метаданные, требуется не только сквозное шифрование, но и другие средства, такие как Tor.

    Здесь вы можете посмотреть, как Tor и HTTPS действуют вместе для защиты ваших коммуникаций и метаданных от разных злоумышленников.

    Последнее обновление: 
    2017-01-12
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Верификация ключей

    При правильной организации шифрования письмо могут прочитать только отправитель и получатель. Сквозное шифрование защищает данные от перехвата третьим лицом, но что насчёт адресата? Вы уверены, что общаетесь с нужным человеком? Узнать это поможет верификация открытых ключей. Она добавляет ещё один уровень защиты: вы и ваш собеседник можете подтвердить друг другу свои личности.

    Верификация ключей – одно из обычных свойств протоколов сквозного шифрования, таких как PGP и OTR. По сигналу, они называются "safety numbers." Чтобы без помех верифицировать ключи, рекомендуем использовать альтернативный канал связи (не тот, по которому вы передаёте шифрованную информацию). Например, для верификации отпечатков OTR в качестве такого канала можно использовать электронную почту.

    Верификация по альтернативному каналу Anchor link

    Есть несколько способов. Идеальный вариант – личная встреча, если она удобна всем участникам и не создаёт угрозы безопасности. Такая верификация часто происходит на вечеринках подписания ключей или среди коллег.

    Бывает, что личную встречу организовать нельзя. Тогда используют альтернативный канал. Например, если вы хотите верифицировать PGP-ключи, можно воспользоваться телефонной связью или OTR-чатом.

    Какая бы программа у вас ни была, вы всегда сможете определить свой ключ и найти ключ собеседника.

    Способ поиска ключа зависит от конкретной программы, а процедура верификации остаётся приблизительно одинаковой. Можно прочитать отпечаток ключа вслух (при личной встрече или по телефону) или скопировать и вставить его в чат. Что бы вы ни выбрали, настоятельно рекомендуем проверять каждую букву и цифру отпечатка.

    Совет: попробуйте верифицировать ключи с одним из ваших друзей. О том, как это сделать в конкретной программе, обратитесь к руководству по её использованию.

    Последнее обновление: 
    2017-01-13
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Руководство по OTR для Mac

    Adium – программа для обмена мгновенными сообщениями. Adium бесплатный, с открытым кодом и работает в OS X. Он позволяет переписываться с пользователями различных протоколов обмена сообщениями в режиме реального времени, включая Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ и XMPP.

    OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Не путайте OTR с функцией Google и AOL под названием «Off the record» («не для записи»), которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника. Для Mac программное обеспечение OTR поставляется в комплекте с Adium.

    Протокол OTR использует сквозное шифрование. Вы можете вести переписку в Google Hangouts, и эти компании не смогут получить доступ к содержимому ваших сообщений. Тем не менее, тот факт, что вы испытываете разговор видна поставщика.

    Зачем нужно использовать Adium вместе с OTR? Anchor link

    Если вы беседуете с помощью Google Hangouts на сайтах Google ваш чат по умолчанию уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация в пути. Но чат не защищён от Google. Компании имеют шифровальные ключи для вашего чата и могут передать их властям или использовать их для маркетинговых целей.

    После установки Adium вы можете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts, и XMPP). Adium позволяет общаться с помощью этих инструментов и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Adium.

    Adium позволяет осуществлять верификацию собеседника по альтернативным каналам, чтобы подтвердить личность собеседника и избежать атаки посредника. Для каждого разговора можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 ff10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не мешает вашей беседе. Если ключи не совпадают, вы не можете быть уверены, что вы говорите с нужным человеком. На практике, люди часто используют несколько ключей, или потерять и должны воссоздать новые ключи, так что не удивляйтесь, если у вас есть, чтобы заново проверить свои ключи с друзьями время от времени.

    Когда нет смысла использовать Adium + OTR? Anchor link

    У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Adium имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Adium обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на национальном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.

    Установка Adium + OTR на Mac Anchor link

    Шаг 1. Установка программы

    Откройте в браузере ссылку https://adium.im/. Выберите «Download Adium 1.5.9». Файл .dmg или образ диска будет скачан на ваш компьютер, скорее всего, в папку «Downloads».

    Запустите файл двойным щелчком мыши. Откроется примерно такое окошко:

    Перетащите значок Adium в папку «Applications», чтобы установить приложение. После установки найдите Adium в вашей папке программ и запустите его двойным щелчком мыши.

    Шаг 2. Настройка учётной записи

    Какие сервисы или протоколы для обмена мгновенными сообщениями вы хотите использовать при помощи Adium? Для разных протоколов настройки похожи, но не идентичны. В любом случае понадобятся имя пользователя и пароль.

    Чтобы настроить учётную запись, перейдите в меню Adium в верхней части экрана. Нажмите «Adium», затем «Preferences». Откроется окно с другим меню вверху. Выберите «Accounts», затем нажмите на значок «+» в нижней части окна. Вы увидите примерно такое меню:

    Выберите желаемый сервис. Вам будет предложено либо ввести имя пользователя и пароль, либо использовать инструмент авторизации программы Adium. Следуйте инструкциям программы.

    Защищённый OTR чат Anchor link

    После активации в Adium одной или нескольких учётных записей можно пользоваться OTR.

    Чтобы вести беседу под защитой OTR, оба собеседника должны использовать программы с поддержкой этого протокола.

    Шаг 1. Начало чата

    Выясните, кто из ваших собеседников использует OTR, нажмите на его имя дважды и начните с этим человеком беседу в Adium. Перед началом беседы обратите внимание на маленькое изображение открытого замочка в левом верхнем углу. Нажмите на эту картинку и выберите «Initiate Encrypted OTR Chat».

    Шаг 2. Проверка соединения

    После запуска чата и получения согласия от другого пользователя вы увидите, что замочек на картинке закрылся. Поздравляем, теперь ваш чат зашифрован. Впрочем, остался ещё один шаг.

    Хотя чат и зашифрован, собеседникам следует подтвердить личности друг друга (если только вы не сидите в одной комнате). О том, почему это важно, рассказывается в главе о верификации ключей.

    Итак, нажмите в Adium на изображение замочка и выберите «Verify». Появится окно с ключами обоих собеседников (ваш и вашего друга). Некоторые версии Adium поддерживают только ручное подтверждение. Тогда вам обоим придётся найти способ сверить отображённые на ваших экранах ключи и убедиться, что они полностью совпадают.

    Простейший способ – прочитать отпечатки ключей друг другу вслух, но это не всегда возможно. Есть несколько способов решить эту задачу (разной надёжности). Например, можно прочитать ключи вслух по телефону. Способ подходит, если вы способны узнать голоса друг друга. Другой вариант – передать ключи по иному каналу связи, например, по электронной почте (с PGP-шифрованием). Некоторые публикуют свои ключи на веб-сайтах, в сообщениях Twitter и даже на визитных карточках.

    Очень важно внимательно проверить ключи на полное соответствие. Все символы должны совпадать.

    Шаг 3. Отключение журнала

    Итак, вы умеете открывать зашифрованный чат и подтверждать ключи собеседников. К сожалению, по умолчанию Adium сохраняет историю разговоров. Несмотря на шифрование сеанса связи, история записывается на жёсткий диск в незашифрованном виде.

    Чтобы отключить эту функцию, выберите пункт «Adium» в верхней части экрана, затем «Preferences». В открывшемся окне выберите «General» и деактивируйте функцию «Log messages». Помните, однако, что вы не имеете контроля над человеком, с которым вы общаетесь, она может быть вход или снятия скриншотов из вашего разговора, даже если вы сами отключили регистрацию.Теперь ваши настройки должны выглядеть примерно так:

    Когда Adium уведомляет о новых сообщениях, их содержимое может сохраняться в Центре уведомлений операционной системы OS X. Получается, Adium не оставляет следов о переписке на вашем компьютере и компьютере вашего собеседника, зато операционная система может вести запись. Стоит подумать об отключении уведомлений.

    Чтобы сделать это, выберите «Events» в окне «Preferences» и найдите записи «Display a notification». Для каждой записи откройте ниспадающее меню, нажав на серый треугольник, затем выберите недавно обнаруженную запись «Display a notification» и нажмите на значок минус («-») в нижней левой части окна, чтобы удалить строку. Если вы переживаете по поводу записей, которые были сохранены ранее на вашем компьютере, советуем использовать шифрование диска. Это защитит данные от третьих лиц.

    Последнее обновление: 
    2017-01-19
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Руководство по PGP для Mac

    Чтобы использовать PGP для обмена защищёнными электронными письмами, нам понадобятся три программы: GnuPG, Mozilla Thunderbird и Enigmail. Собственно шифрование и расшифровку электронной почты осуществляет программа GnuPG. Mozilla Thunderbird – клиент электронной почты, позволяет читать и отправлять электронные письма без веб-браузера. Enigmail – плагин к Mozilla Thunderbird, который связывает две упомянутые выше программы.

    Обратите внимание: в этом руководстве мы говорим об использовании PGP с Mozilla Thunderbird, почтовым клиентом, имеющим функциональность аналогичную программе Outlook. Скорее всего, у вас уже есть любимый почтовый клиент (или вы пользуетесь веб-сервисом, например, Gmail или Outlook.com). Мы не будем останавливаться на том, как интегрировать PGP в разные программы. Вы можете установить Thunderbird и начать экспериментировать с PGP или поискать другие технические решения, которые позволят использовать PGP с вашей любимой программой. На данный момент нам неизвестно о качественном решении для других почтовых клиентов.

    При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с дополнением Enigmail дают простую возможность шифровать лишь содержимое переписки.

    Пройдём все этапы: скачаем, установим и настроим программы, а затем посмотрим, как их использовать.

    Pretty Good Privacy (PGP) – способ уберечь вашу электронную почту от посторонних глаз. В роли злоумышленников могут выступать компании, государство или преступники. С помощью PGP можно защитить сообщения в случае их перехвата, а также (хоть и в меньшей степени) от прочтения, если компьютер, на котором находится почта, оказался в чужих руках.

    PGP также пригодится для подтверждения, что письмо действительно отправлено тем, кто его подписал, а не злоумышленником (в общем случае электронное письмо очень легко подделать). Эта функция особенно важна, если вы – в группе риска, то есть можете стать жертвой слежки или дезинформации.

    Для работы с PGP нужно установить некоторые утилиты в дополнение к вашей обычной программе электронной почты. Понадобится создать секретный (закрытый) ключ, который вам предстоит надёжно оберегать. С помощью этого закрытого ключа вы будете расшифровывать приходящие сообщения и ставить собственную цифровую подпись при отправке, чтобы подтвердить свою личность. Наконец, вы научитесь распространять свой открытый ключ – небольшой фрагмент данных, который нужен, чтобы другие люди могли отправлять вам шифрованные письма, а также для проверки вашей цифровой подписи.

    Получение и установка GnuPG Anchor link

    Программу GnuPG (так же известную как GPG) для macOS можно получить, если скачать небольшой установщик с сайта GnuPG

    Щёлкните по «GnuPG for OS X» рядом с надписью «Simple installer for GnuPG modern», чтобы скачать установщик GPG.

    Вы будете переадресованы на сайт «SourceForge» для загрузки.

    Получение Mozilla Thunderbird Anchor link

    Откройте веб-сайт Mozilla Thunderbird.

    Нажмите зелёную кнопку «Free Download». Сайт определит языковые настройки вашего компьютера. Если вы хотите установить Thunderbird на другом языке, выберите его, щёлкнув по ссылке «Systems & Languages».

    Установка GnuPG Anchor link

    Откройте «Download» в панели Dock и запустите файл GnuPG-2.11-002.dmg.

    Откроется окно с индикатором прогресса.

    В следующем окне вы можете ознакомиться с содержимым установочного пакета: установочный и некоторые другие файлы. Щёлкните по значку «Install.pkg».

    Далее откроется окно установки. Нажмите кнопку «Continue».

    Установка GnuPG потребует ввода имени пользователя и пароля. Введите пароль и нажмите «Install Software».

    Появится окно с сообщением о завершении установки: «The installation was successful». Нажмите кнопку «Close».

    Установка Mozilla Thunderbird Anchor link

    Откройте «Download» в панели Dock и запустите файл Thunderbird 45.2.0.dmg.

    Откроется окно с индикатором прогресса.

    Откроется окно со значком Thunderbird и ссылкой на локальную папку Applications. Перетащите значок Thunderbird в папку Applications.

    Окно с индикатором прогресса отобразится и исчезнет после завершения установки.

    Извлеките смонтированные DMG-файлы.

    Подготовка к установке Enigmail Anchor link

    При первом запуске Mozilla Thunderbird macOS попросит вас подтвердить это действие. Приложение Mozilla Thunderbird было загружено с сайта mozilla.org и ему можно доверять. Нажмите кнопку «Open».

    Mozilla Thunderbird может интегрироваться с адресной книгой macOS. Мы оставим это на ваше усмотрение.

    При первом запуске Mozilla Thunderbird появится небольшое окно с просьбой подтвердить некоторые настройки по умолчанию. Рекомендуем нажать кнопку «Set as Default».

    При первом запуске Mozilla Thunderbird вам буден задан вопрос, хотите ли вы получить новый адрес электронной почты. Нажмите кнопку «Skip this and use my existing email». Теперь настроим Mozilla Thunderbird для отправки и получения электронной почты. Если вы привыкли пользоваться веб-интерфейсом gmail.com, outlook.com или yahoo.com, программа Mozilla Thunderbird покажется вам непривычной, но кардинальных новшеств тут нет.

    Добавление почтового адреса в Mozilla Thunderbird Anchor link

    Откроется новое окно.

    Укажите имя, адрес электронной почты и пароль. Mozilla не будет иметь доступ к вашему паролю или почтовому аккаунту. Нажмите кнопку «Continue».

    Во многих случаях Mozilla Thunderbird может автоматически определять нужные настройки.

    Иногда Mozilla Thunderbird недостаёт информации, тогда настраивать нужно вручную. Вот как это делается для учётной записи Gmail:

    • Сервер входящей почты (IMAP) – требуется SSL
      • imap.gmail.com
      • Порт: 993
      • Требуется SSL: да
    • Сервер исходящей почты (SMTP) – требуется TLS
      • smtp.gmail.com
      • Порт: 465 or 587
      • Требуется SSL: да
      • Требуется аутентификация: да
      • Те же настройки, что и для входящей почты
    •  Полное имя: [ваше имя или псевдоним]  
    • Название аккаунта / пользователя: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
    • Адрес электронной почты: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
    • Пароль: ваш пароль Gmail

    Если для Google-аккаунта у вас включена двухэтапная аутентификация (это может понадобиться – в зависимости от модели угроз), то вы не сможете использовать свой обычный пароль Gmail в Thunderbird. Чтобы получить доступ к Gmail, вам придётся создать новый пароль Thunderbird специально для этой программы. Более подробная информация содержится в справочной системе Google.

    Когда все данные аккуратно введены, нажмите кнопку «Done»..

    Mozilla Thunderbird скачает копии электронных писем на ваш компьютер. Попробуйте отправить друзьям тестовое сообщение.

    Установка Enigmail Anchor link

    Enigmail устанавливается не так, как Mozilla Thunderbird и GnuPG. Как мы уже говорили, Enigmail – плагин (дополнение) к Mozilla Thunderbird. Нажмите кнопку «Menu button» (с тремя горизонтальными линиями в правом верхнем углу окна Thunderbird) и выберите «Add Ons».

    Вы увидите вкладку «Add-ons Manager». Введите «Enigmail» в поисковую строку, чтобы найти дополнение на сайте Mozilla.

    Enigmail будет первым в списке. Нажмите «Install».

    После установки Enigmail браузер Mozilla Thunderbird предложит перезагрузиться, чтобы активировать Enigmail. Нажмите кнопку «Restart Now» и Mozilla Thunderbird перезагрузится.

    После перезагрузки Mozilla Thunderbird всплывёт дополнительное окно настройки Enigmail. Выберите предложенный по умолчанию вариант «Start setup now» и нажмите «Next».

    По нашему мнению стандартная конфигурация дополнения Enigmail является хорошим выбором. Нажмите «Next».

    Теперь приступим к созданию открытого и закрытого ключей.

    Создание открытого и закрытого ключей Anchor link

    Если у вас уже есть настроенная учётная запись электронной почты, Enigmail использует её. Для начала вам нужно выбрать надёжный пароль для своего закрытого ключа.

    Нажмите кнопку «Continue».

    Для открытого ключа установлен определённый срок действия. Когда он истечёт, ваши собеседники больше не смогут использовать этот ключ, чтобы шифровать для вас сообщения. (Никакого специального предупреждения или подсказки вы не получите). Так что сделайте пометку в своём календаре, чтобы обратить внимание на «истекающий» ключ примерно за месяц до указанной даты.

    Срок службы действующего ключа можно продлить, определив для него новую, более позднюю дату. Можно просто создать новый ключ «с нуля». В обоих случаях может понадобиться связаться с теми, кто общается с вами по электронной почте, и убедиться, что они получили ваш новый ключ. Сегодня этот процесс плохо автоматизирован на программном уровне. Поэтому создайте себе напоминание. Если управление ключом для вас проблема, можно снять ограничение по дате. Правда, в этом случае другие люди могут попытаться использовать ваш «вечный» ключ, даже если у вас больше нет парного закрытого ключа или вы вообще перестали использовать PGP.

    Enigmail создаст пару ключей. Когда этот процесс завершится, появится маленькое окно с вопросом о создании сертификата отзыва. Такой сертификат может быть полезен. Он пригодится, если возникнет необходимость отозвать прежние ключи. Обратите внимание: если вы просто удалите закрытый ключ, это не означает неработоспособность парного открытого ключа. Люди по-прежнему смогут отправлять вам зашифрованные письма, а вы будете не в состоянии их расшифровать. Нажмите кнопку «Generate Certificate».

    На этом этапе вам понадобится ввести пароль, который вы использовали при создании ключа. Нажмите кнопку «OK».

    Откроется окно сохранения сертификата отзыва. Хотя вы можете сохранить файл и на компьютере, мы рекомендуем взять для этого USB-флешку, которую вы не будете использовать где-либо ещё и станете хранить в безопасном месте. Советуем не хранить сертификат отзыва на компьютере с ключами, чтобы избежать случайного отзыва. Лучше всего хранить этот файл на отдельном зашифрованном диске. Выберите носитель/папку для записи файла и нажмите кнопку «Save».

    Enigmail сообщит дополнительные данные о сохранении сертификата отзыва. Нажмите кнопку «OK».

    Вот и всё, что касалось создания открытого и закрытого ключей. Нажмите кнопку «Done».

    Дополнительные настройки Anchor link

    Отображение идентификаторов ключей

    Следующие шаги совершенно необязательны, но могут быть полезны при использовании OpenPGP и Enigmail. Идентификатор ключа – небольшая часть отпечатка ключа, а отпечаток – лучший способ убедиться в достоверности открытого ключа. Изменив вид по умолчанию, мы сделаем отображение отпечатков более удобным. Нажмите кнопку настройки, затем «Enigmail» и «Key Management».

    Откроется окно с двумя столбцами: «Name» и «Key ID».

    Справа есть маленькая кнопка. Нажмите на неё, чтобы настроить столбцы. Снимите флажок в поле «Key ID» и активируйте опции «Fingerprint» и «Key Validity».

    Теперь будут отображаться три столбца: «Name», «Key Validity», и «Fingerprint».

    Поиск других пользователей PGP Anchor link

    Получение открытого ключа по электронной почте

    Вы можете получить открытый ключ как вложение электронной почты. Нажмите кнопку «Import Key».

    Откроется маленькое окошко импорта ключа. Нажмите кнопку «Yes».

    Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».

    Если вы заново загрузите электронное письмо, вы увидите, что расположенная сверху панель изменилась.

    Если вы снова откроете окно управления ключами Enigmail, то сможете проверить результат. Ваш ключ выделен PGP жирным шрифтом (потому что у вас есть и закрытый, и открытый ключи). Открытый ключ, который вы только что импортировали, не выделен жирным, потому что соответствующего закрытого ключа у вас нет.

    Получение открытого ключа в виде файла

    Открытый ключ часто можно получить, просто загрузив его с сайта или во время чата. Тогда, скорее всего, файл будет сохранён в папке «Downloads».

    Откройте менеджер ключей Enigmail.

    И выберите в меню «File» – «Import Keys from File».

    Открытые ключи могут называться по-разному. У них могут быть и разные расширения, например, .asc, .pgp или .gpg. Выберите файл и нажмите кнопку «Open».

    Откроется окошко импорта. Нажмите кнопку «Yes».

    Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».

    Получение открытого ключа при помощи ссылки

    Можно загрузить открытый ключ при помощи URL-ссылки.

    Откройте менеджер ключей и выберите в меню «Edit» – «Import Keys from URL».

    Введите URL-ссылку. Как правило, это доменное имя, завершающееся адресом файла.

    Например, eсли вы откроете https://www.eff.org/about/staff, вы заметите ссылки на открытые ключи сотрудников («PGP Key»). PGP-ключ Дэнни О'Брайена (Danny O'Brien) расположен по адресу: https://www.eff.org/files/pubkeydanny.txt.

    Укажите URL-ссылку и нажмите кнопку «OK».

    Появится окошко с запросом подтверждения импорта PGP-ключа. Нажмите кнопку «Yes».

    Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».

    Получение открытого ключа с сервера ключей

    Cерверы ключей – очень полезная возможность получать открытые ключи. Попробуйте поискать открытый ключ.

    Откройте менеджер ключей, выберите в меню «Keyserver» – «Search for Keys».

    Откроется небольшое окно с поисковой строкой. Можно искать по полному адресу электронной почты, по его фрагменту или по имени. Попробуем найти ключи для адреса «samir@samirnassar.com». Нажмите кнопку «OK».

    Появится окно побольше со многими опциями. Если прокрутите вниз, то увидите, что некоторые ключи выделены курсивом и серым цветом. Либо эти ключи были отозваны, либо их сроки действия истекли.

    У Самира Нассара (Samir Nassar) есть несколько PGP-ключей и мы пока не знаем какой из них стоит выбрать. Один из ключей отозван. В этом случае нам есть смысл импортировать все ключи. Галочкой выберите ключи и нажмите кнопку «OK».

    Откроется небольшое окно, в котором вас проинформируют об успешности ваших действий. Нажмите кнопку «OK»

    В менеджере ключей Enigmail появятся новые ключи:

    Обратите внимание, что из трёх импортированных ключей у одного истёк срок действия, один был отозван и один является действительным в настоящее время.

    Оповещение адресатов об использовании PGP Anchor link

    Итак, у вас есть PGP. Хорошо бы сообщить об этом другим. Тогда вы сможете обмениваться шифрованными письмами.

    При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с Enigmail дают простую возможность шифровать содержимое почты.

    Давайте рассмотрим три способа оповещения людей о том, что вы используете PGP.

    Оповещение людей об использовании PGP по электронной почте

    Вы можете просто отправить другому человеку ваш открытый ключ по электронной почте как вложение.

    Нажмите кнопку «Write» в Mozilla Thunderbird.

    Укажите адрес и тему письма, например, «Мой открытый ключ». Выберите в меню Enigmail опцию «Attach My Public Key». Если вы уже импортировали PGP-ключ адресата, изображение замочка на панели Enigmail будет подсвечено. Вы можете также нажать кнопку с изображением карандаша, чтобы подписать электронное письмо. Цифровая подпись PGP позволит получателю убедиться, что именно вы отправили письмо и его содержимое не было изменено.

    Появится окно с напоминанием о добавлении вложения. Это результат ошибки взаимодействия между Enigmail и Mozilla Thunderbird. Не беспокойтесь, ваш открытый ключ будет добавлен во вложение. Выберите «No, Send Now».

    Оповещение людей об использовании PGP через веб-сайт

    Если вы уже сообщили об этом по электронной почте, можете дополнительно разместить свой открытый ключ на веб-сайте. Загрузите файл на сервер и поставьте на него гиперссылку. В этом руководстве мы не станем вдаваться в подробности, как это сделать, но вы должны знать наверняка, как экспортировать ключ в виде файла для использования в будущем.

    Нажмите кнопку настройки, затем «Enigmail» и «Key Management».

    Выделите ключ жирным шрифтом, нажмите правую кнопку мыши для вызова контекстного меню и выберите «Export keys to file».

    Anchor link

    Появится небольшое окно с тремя кнопками. Нажмите кнопку «Export Public Keys Only».

    Откроется окно сохранения файла. Чтобы легче найти его в будущем, есть смысл использовать папку «Documents». Теперь можете использовать этот файл по вашему усмотрению.

    Осторожнее, не нажмите кнопку «Export Secret Keys». Экспорт закрытого ключа может дать злоумышленнику возможность притвориться вами (если ему удастся угадать ваш пароль).

    Загрузка ключей на сервер

    Серверы ключей облегчают поиск и скачивание открытых ключей. Большинство современных серверов ключей синхронизируются друг с другом. Таким образом, если открытый ключ загружен на один сервер, он в конечном счёте появится на всех серверах.

    Публикацию вашего открытого ключа на сервере ключей можно рассматривать как удобный способ дать людям знать, что у вас есть открытый ключ PGP. Но следует помнить о специфике работы серверов ключей: ключ, который загружен на сервер, не может быть впоследствии оттуда удалён. Вы можете только отозвать его.

    После загрузки вашего открытого ключа на сервер все будут знать, что вы используете PGP. Удалить ключ с сервера не получится. Решите, насколько это приемлемо для вас.

    Если вы решили загрузить открытый ключ на сервер ключей, вернитесь к окну «Key Management».

    Правой кнопкой мыши выберите в меню «Keyserver» действие «Upload Public Keys».

    Отправка почты, зашифрованной при помощи PGP Anchor link

    Отправим первое зашифрованное письмо.

    В главном окне Mozilla Thunderbird нажмите кнопку «Write». Откроется новое окно.

    Напишите сообщение, а чтобы тест у нас получился, выберите адресата, чей открытый ключ у вас уже есть. Enigmail обнаружит ключ и автоматически зашифрует сообщение.

    Обратите внимание: тема письма не будет зашифрована, поэтому для неё лучше выбрать что-нибудь безобидное.

    После шифрования содержимое письма будет выглядеть по-другому. Например, текст преобразуется так:

     

    Чтение почты, зашифрованной при помощи PGP Anchor link

    Посмотрим, что происходит, когда вы получаете зашифрованное письмо.

    Mozilla Thunderbird оповещает вас о новых письмах. Нажмите на сообщение.

    Откроется маленькое окно с запросом пароля к PGP-ключу. (Не вводите пароль электронной почты!) Нажмите кнопку «OK».

    Сообщение будет расшифровано.

    Отзыв PGP-ключа Anchor link

    Отзыв PGP-ключа с помощью Enigmail

    Срок действия PGP-ключей, созданных в программе Enigmail – пять лет. Если вы потеряете файлы с ключами, то рано или поздно люди попросят у вас новый открытый ключ.

    Возможно, понадобиться прекратить действие ключа до этого срока. Например, если вы захотите создать новый, более сильный PGP-ключ. Самый простой способ отозвать свой PGP-ключ в Enigmail – использовать встроенный диспетчер ключей.

    Нажмите правой кнопкой мыши на вашем PGP-ключе (выделен жирным шрифтом) и выберите опцию «Revoke Key».

    Откроется окно с информацией и запросом подтверждения. Нажмите кнопку «Revoke Key».

    Появится окно для пароля. Введите пароль от PGP-ключа и нажмите кнопку «OK».

    Появится окно с информацией, что всё в порядке. Нажмите кнопку «OK».

    В окне менеджера ключей вы заметите изменения. Обратите внимание на ваш PGP-ключ: он стал серым и выделен курсивом.

    Отзыв PGP-ключа с помощью сертификата отзыва

    Как упоминалось ранее, у вас могут появиться причины отозвать собственный ключ до истечения его срока действия. У других людей тоже могут появиться веские причины, чтобы отозвать существующий ключ. В предыдущем разделе мы говорили о том, что Enigmail генерирует и импортирует сертификаты отзыва при использовании Менеджера ключей Enigmail для отзыва ключа.

    Вы можете получить сертификат отзыва от друга в качестве уведомления о том, что ваш друг хочет отозвать свой ключ. Так как у вас уже есть сертификат отзыва, вы будете использовать его для отзыва своего ключа.

    Войдите в менеджер ключей Enigmail и выберите в меню «File» опцию «Import Keys from File».

    Откроется окно, в котором можно выбрать сертификат отзыва. Выберите файл и нажмите кнопку «Open».

    Появится сообщение о том, что сертификат был успешно импортирован, а ключ – отозван. Нажмите кнопку «OK».

    Вернитесь к менеджеру ключей. Вы увидите, что отозванный ключ стал серым и выделен курсивом.

    Теперь у вас есть все необходимые инструменты. Попробуйте самостоятельно отправить письмо, зашифрованное при помощи PGP.

    Последнее обновление: 
    2016-08-12
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Руководство по KeePassX

    KeePassX – сейф для хранения паролей к различным сайтам и сервисам. Это замечательный инструмент: он позволяет использовать устойчивые к взлому пароли для всех случаев жизни без необходимости их запоминать. Нужно помнить лишь один мастер-пароль, который служит для расшифровки базы остальных паролей. Программы этого класса удобны и позволяют организовать пароли в одном месте.

    Внимание: использовать такую программу – в какой-то степени «складывать все яйца в одну корзину». Это очевидная цель для злоумышленников и оппонентов. Известно, что многие популярные программы хранения паролей имеют уязвимости. Не забывайте об этом, когда будете решать, подходит ли вам такой инструмент.

    Как работает KeePassX Anchor link

    KeePassX работает с файлами – базами паролей. Именно так: пароли хранятся в файле, причем в зашифрованном виде. Если ваш компьютер был выключен и его украли, злоумышленник не сможет добраться до ваших паролей.

    Доступ к зашифрованной базе паролей может быть защищен тремя способами: мастер-паролем, файлом-ключом, тем и другим сразу. Рассмотрим плюсы и минусы каждого способа.

    Использование мастер-пароля Anchor link

    Мастер-пароль играет роль кода доступа. Чтобы открыть базу, нужен подходящий мастер-пароль. Без него никто не может получить доступ к паролям. Что следует знать при использовании мастер-пароля?

    • Мастер-пароль защищает все ваши пароли. Поэтому он должен быть надёжным! Плохо, если пароль сравнительно легко угадать. Конечно, пароль должен быть длинным. Чем длиннее, тем лучше. Более того: тем меньше вам нужно волноваться по поводу присутствия в нём специальных символов, заглавных букв или цифр. Пароль из шести случайных слов (все в нижнем регистре с пробелами) может быть более устойчивым ко взлому, чем 12-символьный пароль из больших и маленьких букв, цифр и специальных символов.
    • Вы должны быть в состоянии запомнить этот пароль! Он обеспечивает доступ ко всем остальным паролям, поэтому нужно запомнить его, не записывая. Это ещё один аргумент в пользу метода, известного как «diceware», когда вы используете ряд обычных, легко запоминаемых слов вместо неестественных комбинаций символов и заглавных букв.

    Использование файла-ключа Anchor link

    В качестве альтернативы для шифрования базы паролей можно использовать файл-ключ. Всякий раз, когда вы хотите открыть базу паролей, нужно указывать программе KeePassX путь к файлу-ключу. Лучше хранить этот файл на USB-носителе или на другом портативном устройстве, подключая его к компьютеру только для доступа к базе паролей. Если кто-то доберется до жёсткого диска вашего компьютера и, соответственно, до базы паролей, он не сможет расшифровать её, не имея файла-ключа, который хранится на внешнем носителе. Более того, во многих случаях взломщику будет гораздо сложнее найти файл-ключ, чем подобрать обычный пароль. Недостаток этого способа: для доступа к паролям всякий раз придется подключать внешний носитель. В случае потери или повреждения носителя вы утратите доступ к своим паролям.

    Файл-ключ похож на обычный ключ. Чтобы открыть базу паролей, нужно вставить USB-накопитель, указать путь к файлу – готово! Но если вы решите использовать файл-ключ вместо мастер-пароля, убедитесь, что ваш USB-накопитель хранится в безопасном месте: любой, кто найдёт его, сможет получить доступ к вашей базе паролей.

    Комбинация мастер-пароля и файла-ключа Anchor link

    Самый безопасный метод шифрования базы паролей – использовать и мастер-пароль, и файл-ключ. Для расшифровки базы злоумышленнику нужно знать мастер-пароль и имееть файл-ключ. Учитывайте свою модель угроз. Большинству обычных пользователей, которые просто хотят безопасно хранить свои пароли, сильного мастер-пароля должно хватить. Но если вы намерены защититься от кого-то на уровне правительства (с доступом к огромным вычислительным мощностям), лучше выбирать самое безопасное решение.

    Мы познакомились с принципом работы программы KeePassX. Начнем работу!

    Начало работы с KeePassX Anchor link

    После завершения установки запустите программу KeePassX. В меню «File» выберите пункт «New Database». Откроется диалоговое окно с запросом мастер-пароля и/или файла-ключа. Выберите желаемое. Если вы хотите видеть пароль во время ввода (вместо точек), нажмите кнопку справа в виде «глаза». В качестве файла-ключа можно использовать любой существующий файл, например, фотографию вашей кошки. Нужно быть уверенным, что выбранный файл не будет изменён. Если содержание файла изменится, он станет непригодным для расшифровки вашей базы паролей. Помните, что иногда простое открытие файла в другой программе может привести к его изменению. Лучше всего использовать этот файл только для работы с KeePassX. (Перемещение файла и смена его названия роли не играют).

    После успешного создания базы паролей нужно её сохранить. Выберите пункт «Save Database» из меню «File». (Обратите внимание: вы можете перемещать файл базы в другие папки на жёстком диске и даже на другие компьютеры. Куда бы вы его ни записали, KeePassX сможет открыть этот файл, если, конечно, у вас есть мастер-пароль и/или файл-ключ).

    Организация паролей Anchor link

    KeePassX позволяет «разложить» пароли по группам. Группы похожи на папки. Можно создать, удалить или отредактировать группу и подгруппу, перейдя в раздел «Groups» главного меню или нажав правой кнопкой мыши на одну из групп в левой части окна программы. Группирование паролей не влияет на функциональность KeePassX. Это просто удобный инструмент организации паролей.

    Хранение/генерирование/редактирование паролей Anchor link

    Для создания нового или сохранения имеющегося пароля нажмите правой кнопкой мыши на группу, в которую хотите сохранить пароль, и выберите «Add New Entry» (можно открыть раздел «Entries > Add New Entry» из главного меню). В обычном случае понадобится следующее:

    • В поле «Title» введите описательное название, по которому сможете узнать этот пароль.
    • В поле «Username» укажите имя пользователя, соответствующее паролю. (Поле можно оставить пустым, если имя пользователя не используется).
    • В поле «Password» введите пароль. Если создаёте новый пароль (например, регистрируетесь на новом сайте и хотите создать новый, уникальный, сгенерированный случайным образом пароль), нажмите кнопку «Gen» справа. Откроется окно генератора паролей. Там есть несколько опций, включая выбор длины пароля и символов, которые программа должна использовать для его создания.
      • При создании случайного пароля нет нужды запоминать (и даже знать!), как выглядит пароль! KeePassX сохранит его для вас. Каждый раз, когда вам понадобится этот пароль, можно скопировать его и вставить в соответствующую программу. В этом и заключается смысл использования сейфа для паролей: вы можете использовать разные, длинные, сгенерированные случайным образом пароли для каждого веб-сайта/сервиса, а запоминать эти пароли необязательно.
      • Вот почему мы советуем создавать настолько длинные пароли, насколько позволяет используемый сервис, и использовать как можно больше различных групп символов.
      • Если всё вас устраивает, нажмите кнопку «Generate» в нижнем правом углу. Будет создан пароль. Нажмите «OK». Пароль будет автоматически вставлен в поля «Password» и «Repeat». (Если вы используете имеющийся пароль, нужно повторно ввести его в поле «Repeat»).
    • Наконец, нажмите «OK». Новый пароль добавлен в базу. Не забудьте сохранить её, перейдя в раздел меню «File > Save Database». (Обратите внимание: если вы закроете и снова откроете файл базы паролей, все изменения будут потеряны).

    Если нужно изменить/отредактировать сохранённый пароль, можете просто выбрать группу, в которой он хранится, дважды нажать мышью на его названии в правой части окна. Появится окно со свойствами пароля.

    Обычное использование программы Anchor link

    Нажмите правой кнопкой мыши на запись и выберите «Copy Username to Clipboard» или «Copy Password to Clipboard». Перейдите к окну/веб-сайту, куда вы хотите ввести имя пользователя и пароль. Вставьте скопированный текст в соответствующее поле. (Вместо правой кнопки мыши можно дважды нажать в KeePassX на имя пользователя или пароль. Соответственно, имя или пароль будут скопированы в буфер памяти).

    Автоматическое использование программы Anchor link

    Одна из наиболее удобных функций KeePassX – автоматический ввод имени пользователя и пароля на веб-сайтах. Командой служит определённая комбинация клавиш на клавиатуре. Обратите внимание: эта функция доступна только на компьютерах под управлением ОС Linux, но другие сейфы паролей, такие как KeePass (на базе которого создан KeePassX), поддерживают эту функцию в других операционных системах и работают аналогично.

    Для активации этой функции нужно сделать следующее.

    1. Определите комбинацию «горячих» клавиш. Выберите пункт «Settings» из меню «Extras», затем перейдите в раздел «Advanced» через панель слева. Перейдите в поле «Global Auto-Type Shortcut», затем нажмите на клавиатуре комбинацию клавиш, которую хотите использовать. (Например, нажмите и удерживайте Ctrl, Alt, и Shift, а затем нажмите «p». Можно использовать любую понравившуюся вам комбинацию, но следует убедиться, что она не конфликтует с «горячими» клавишами в других приложениях. Поэтому держитесь подальше от комбинаций вроде Ctrl+X» или Alt+F4). Когда определитесь с выбором, нажмите «OK».

    2. Установите автоматический ввод для конкретного пароля. Откройте окно, куда вы хотите ввести пароль. Перейдите в программу KeePassX, найдите запись, для которой нужно активировать автоматический ввод, и двойным щелчком мыши откройте диалоговое окно «New Entry».

    3. Нажмите кнопку «Tools» (слева внизу), выберите «Auto-Type: Select target window». Появится новое окно, откройте ниспадающее меню, выберите название окна, где требуется автоматический ввод имени пользователя и пароля. Дважды нажмите «OK».

    Попробуйте. Перейдите к окну/веб-сайту, куда программа KeePassX должна ввести данные учётной записи. Убедитесь, что курсор находится в поле имени пользователя. Нажмите выбранное вами сочетание «горячих» клавиш. Если программа KeePassX запущена (даже если её окно свёрнуто или неактивно), имя пользователя и пароль автоматически переданы по назначению.

    Данная функция зависит от установок веб-сайта/окна и, возможно, не будет сразу и полностью работать корректно. (Например, программа вводит имя пользователя, но не пароль). Автоматический ввод можно настраивать, но мы рекомендуем для начала ознакомиться с документацией по программе KeePass, доступной здесь. (Между KeePass и KeePassX есть некоторые различия, но текст поможет направить ваши действия в нужное русло).

    Советуем выбрать комбинацию клавиш, которую сложно ввести случайно. Вряд ли вы хотите по неосторожности ввести пароль от банковского счёта в сообщение Facebook.

    Другие функции Anchor link

    В базе паролей можно искать данные. Наберите нужный текст в поле на панели инструментов основного окна KeePassX и нажмите клавишу ввода.

    Записи можно сортировать, нажимая на заголовки столбцов в главном окне.

    Можно «заблокировать» KeePassX, выбрав «File > Lock Workspace». Это позволит оставить программу на время, но не закрывать её. Чтобы снова получить доступ к паролям, нужно ввести мастер-пароль (и/или указать путь к файлу-ключу). Можно настроить программу KeePassX на автоматическую блокировку после определённого времени простоя. Пригодится, чтобы посторонние не имели доступ к паролям во время вашего отсутствия. Чтобы активировать эту функцию, выберите в основном меню «Extras > Settings» и откройте настройки безопасности. Отметьте галочкой пункт «Lock database after inactivity of {number} seconds».

    KeePassX позволяет сохранять не только имена пользователей и пароли. Можно создать записи для хранения другой важной информации, например, номеров счетов, ключей защиты программных продуктов, серийных номеров и так далее. Информация, которую вы вводите в поле «Password», не обязательно должна быть паролем. Записывайте туда важные данные, а поле «Username» можно оставить пустым. KeePassX безопасно сохранит важную информацию в защищённом виде.

    Программа легка в использовании и надёжна. Советуем поэкспериментировать с ней и выяснить, что ещё полезного она умеет.

    Последнее обновление: 
    2015-11-23
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
JavaScript license information