1

@sam901 , ну так об этом и пишет Артём. Не хотите чтобы у программы вместе с владельцем “сменились правила”, держите свои пароли при себе. Иначе где гарантия, что однажды их не продадут вместе с программой? :)

Хотя, повторюсь, я не силён юридически, но на мой взгляд это обман пользователей, которые платили деньги за программу и на западе их возможно было бы засудить. Хочешь продать бизнес, продавай, а данные пользователей и доступ к ним должны остаться у владельцев. Как минимум должна быть возможность их выгрузить.

А раз “такое происходит повсеместно”, приведите плз хоть пару примеров. :)

@Soloqub , да хотя бы skype. Был p2p сервис. МС выкупили и сменили на традиционную централизованную клиент-сервер архитектуру. И обоих вариантов есть свои плюсы и минусы. Для кого-то плюсы p2p были очень важны и выбора два – соглашаться на смену правил или менять сервис. Никто поддерживать старый протокол не собирается.

Ну и куча примеров, когда сервисы выкупают, закрывают и все. Нет больше данных пользователей, девайся куда хочешь. Picasa, например. И хорошо, если план миграции какой-то предусмотрен.

У меня скорее встречный вопрос, а что не так? Бизнес не обязан делать ничего сверх того, что обязывают законы. А дальше есть EULA, где все отлично прописано, кто кому и что должен. И то что старая версия перестанет работать. И то что в новой версии надо новое EULA подписать, которым даешь согласие на отправку своих данных на сервер и т.д. и т.п. Не согласен – не подписываешь и удаляешь приложение.

Выбор сервиса это всегда компромисс. Поэтому статья и выглядит довольно странно, т.к. однобокая и параноидальная. Есть выбор – есть полностью оффлайн сервисы вроде keepass. Есть облачные с разными правилами работы. lastpass, которым я пользуюсь, облачный, но на ПК хранит оффлайн версию. Даже при отсутствии интернета доступ к паролям остается, на серверах открытых паролей нет, мастер-пароль тоже не хранят у себя и т.д. Вместо паранойи и ограниченного рассмотрения вопроса, лучше бы разобрались с выбором на рынке, а не гребли всех в одну кучу.

@sam901 , вы, видимо, не очень разобрались в данной ситуации. Вкармане и была полностью офлайновой программой, хранившей данные на устройствах пользователей. После выкупа Тиньков “предложил” перенести все данные к нему на сервера (теперь они будут доступны только онлайн), либо забыть о них.

Никакой возможности просто забрать своё не предоставлено. Фактически Тиньков купил не бизнес (он сомнителен), а именно данные пользователей. И тут возникают большие сомнения в законности такой покупки.

Никакого сравнения со Скайп тут быть не может. Думаю, 99% пользователей Скайп даже не заметили миграции на централизованную архитектуру. А те кто заметили, лишились возможности использовать сервис, но не лишились ничего принадлежащего им, в отличие от пользователей Вкармане.

@Soloqub , вот поэтому и стоит читать EULA. Потому что там наверняка есть строчка на согласие на обработку всех данных и еще кучу всего. Но никто же не читает, зато в суд бежать все хотят.

Что до разобраться, я вел речь про смену правил игры и это нормально и происходит повсеместно. Мне не нужно разбираться в деталях конкретной ситуации, которая аналогична по большей части.

Что до миграции скайпа, вы явно не понимаете сути такой миграции. p2p архитектура означает невозможностью владельцем сервиса записывать/прослушивать разговоры. Трафик идет напрямую от устройства к устройству. Смена архитектуры означает полный контроль МС над речевым трафиком, полный доступ к нему со стороны спецслужб, рекламных ботов и т.д. и т.п. Это существенно и не менее серьезно, чем внезапная закачка своих документов в облако.

Ну и не надо передергивать факты. Никто в вашем примере ничего не лишился. В онлайне доступно – доступно. Все.

@sam901 , EULA читать, конечно, нужно, это тоже не истина в последней инстанции. Иначе, пользуясь тем что их никто не читает, туда можно было бы вписать всякое, что скачивая приложение ты передаёшь им в собственность квартиру и пр. Поэтому вопрос не только в EULA, а в принципе в законности такого действия.

И перестаньте сравнивать мягкое с солёным. Скайп никогда не позиционировал свои каналы связи как защищённые. Никто его и не использовал как таковой.
Переход к централизованной архитектуре не более чем внутренняя кухня Микрософт. Пользователи над такими вещами не задумываются, так же как не задумываются по каким роутам ходят пакеты от них до сайта iphones и обратно. Им всё равно.

Что касается Пикасы, этот сервис просто прекратил работу, притом Гугл сильно заблаговременно предупредил об этом. Пользователи не лишились фоток, которые лежали локально и были добавлены в программу, не обнаружили что эти фотки будут закачаны на сервера неизвестного банка и будут доступны только после принятия условий этого банка. Эти случаи вообще нельзя сравнивать.

И передёргиваете факты вы. Доступ к документам доступен только для тех, кто полностью принимает условия Тинькова и отдаёт ему необходимые данные, например номер телефона.

Записывать пароли в файл txt — уже не то. Правильные пользователи хранят секретную информацию в правильных программах. Мы подготовили обзор пяти менеджеров паролей — удобных и функциональных. Их оценка основана исключительно на личном мнении.

Мультиязычная бесплатная программа для хранения и генерации паролей с открытым кодом и рядом готовых плагинов — шифрованием, синхронизацией, генерацией произносимых и легко запоминающихся паролей.

Технологии

База паролей шифруется AES-256. Возможно использование многоходового преобразования ключа. Это увеличивает стойкость к прямым атакам — пожалуй, в этом плане KeePass надежнее других менеджеров паролей.

KeePass хранится в файле, который можно синхронизировать с помощью Dropbox.

Функции

• Создание записи.
• Дублирование записи.
• Сортировка записей — по столбцам, по тегам.
• Группы записей — дерево и сортировка.
• Поиск по записям — быстрый или расширенный.
• Копирование данных записи — двойной клик по полю для копирования, удаление из буфера обмена скопированной информации через определенный промежуток времени.
• AutoType для автоматического ввода данных в браузерах и других программах.
• Хранение дат.
• Генератор паролей, в том числе, с заданными параметрами.
• Кнопка блокировки — при повторном входе программа снова запрашивает мастер-пароль.
• Настройки базы и программы.
• Смена мастер-пароля.
• Триггеры.
• Файлы экспорта: TXT, HTML, XML, CSV.
• Файлы импорта: 35 форматов.
• Перенос базы данных.

Общее впечатление: все круто, но внешний вид — явно для любителей олдскула.

Версии

Существует в версиях для iPhone, iPad, Mac, Windows — не ниже 7. Windows-версия eWallet интегрируется с браузерами Internet Explorer, Firefox и Chrome, а версия для OS X — только с Safari. Программа платная, но есть тестовая версия на 30 дней.

Технологии

Файл базы данных зашифрован с использованием AES-256. База синхронизируется только вручную.

Функции

• Дерево категорий.
• Добавление карточки с кастомизацией.
• Кастомизация полей в карточках.
• Более 30 шаблонов — кредитные карты, пароли, банковские данные.
• Статистика по дереву — счетчики по типам информации.
• Список последних карточек.
• Генератор паролей.
• «Живые поля», например, звонок по клику на поле номера.
• Auto Pass — автоматическая подстановка логина и пароля в поле браузера.
• Smart Copy — быстрое копирование карточных номеров.

Общее впечатление: много функций, но хромает юзабилити, плюс дизайн в стиле символического кошелька с пластиковыми картами вызывает странные ощущения.

Приложение, поддерживающее 30 языков. Но нас это не особо волнует.

Версии

Windows и Mac OS X, приложения для мобильных платформ iOS, Android, BlackBerry, Windows Mobile, Palm OS и Symbian. При этом десктопная версия не предполагает импорта данных из Chrome.

Технологии

Синхронизируется с использованием облачной технологии, база зашифрована по стандарту AES-256.

Функции

• Создание записей.
• Поиск.
• Печать — логины, персоны, заметки.
• Auto Login.
• Генератор паролей.
• Дополнительная защита каждой записи. Для открытия данных требуется ввод мастер-пароля.
• Импорт введенных данных из браузера.
• Отправка записей по e-mail — требуется ввод мастер-пароля.
• Создание ярлыков на рабочем столе и в браузере.
• Интеграция с Windows Login.
• Возможность открытия нескольких окон программы.
• Администрирование: создание, редактирование групп пользователей, шаринг записей на группы пользователей, синхронизация баз при редактировании пользователями, проверка, к каким записям обращался конкретный пользователь.
• Профили разных пользователей на одной копии программы.
• Бэкапы.
• Портативная версия базы, которую можно хранить на флешке.
• Управляющие символы юникода.
• Заполнение длинных форм в интернет-магазинах одним кликом.
• Экранная клавиатура.

Общее впечатление: есть ряд мелких багов в юзабилити — например, генератор паролей в Windows запускается из панели «Пуск» или кликом по ярлыку, из самой программы запустить его невозможно. И прочие подобные мелочи — несущественные, но неприятные.

Версии

Расширение для основных браузеров — IE, Firefox, Safari, Chrome, Opera, работает только в сети. Существуют версии для мобильных устройств iPhone, iPad, Android, BlackBerry и других. Возможно управление базой паролей через web-интерфейс на сайте LastPass — это довольно удобно.

Есть портативный клиент для Windows — загружаете базу, после чего можете использовать ее офлайн.

Технологии

LastPass — облачный сервис, не требующий синхронизации. База зашифрована по алгоритму AES-256.

Функции

• Поиск.
• Автозаполнение.
• Вход одним кликом.
• Настройки — общие, безопасность и т.д.
• Многофакторная аутентификация.
• Одноразовые пароли.
• Проверка безопасности для поиска ненадёжных паролей.
• Автоматическая защита учетных данных от кражи на фишинг-сайтах.
• Поиск незащищенных объектов на компьютере.
• Импорт из предыдущего менеджера паролей.
• Запрещенные адреса.
• Обмен паролями (управление доступом).
• Автоматическая синхронизация пользователей.
• Администрирование: отчеты и управление пользователями.
• Закладки.
• Экранная клавиатура.
• Программа бесплатна, но за дополнительные функции вроде выявления слабых паролей, экранной клавиатуры, защиты от фишинга придется платить.

Общее впечатление: стойкий механизм шифрования, удобная работа с паролями в браузере.

Суровая правда жизни: излишне параноить смысла нет — если уж вас захотят взломать, то взломают. Поэтому лучше использовать хотя бы удобные менеджеры — так не будет мучительно больно, если что-то случится.

Оставляйте очень важные для нас мнения в комментариях.

За последний год было украдено 4,2 миллиарда паролей. Эта из ряда вон выходящая цифра должна обеспокоить любого, кто имеет дело с Интернетом. Федеральная торговая комиссия США проанализировала, что происходит с похищенными учетными данными. После того как украденные логины к Facebook, Google, Netflix и онлайн-банкам публикуются на хакерском форуме, в среднем проходит всего девять минут до первой попытки захода на ваш аккаунт. Поскольку двое из трех пользователей используют один и тот же пароль для нескольких служб, украденный ключ открывает сразу множество дверей.

Вышеприведенное число также демонстрирует, что теперь пароли могут быть украдены не только у отдельных пользователей, попавшихся на удочку фишингового сообщения. Хакеры нацелились на крупные сервисы, что сулит им гигантскую прибыль. На прицеле оказались крупные IT-концерны, такие как Yahoo! и Uber.

Генерация надежных паролей

Национальный институт стандартов и технологий США внес коррективы в правила создания безопасных кодов. Несколько нововведений:
Длина: Надежность зависит от длины пароля. Чем он длиннее, тем лучше.
Никакой логики: Бессмысленный набор букв надежнее, чем можно подумать. Но пароль не должен быть цифровой мешаниной.
Уникальность: Используйте пароль только один раз.
Проверка: С помощью онлайн-сервиса Pwned Passwords вы узнаете, если ваши пароли используются кем-то другим или же были опубликованы.
Изменение при необходимости: При краже пользовательских данных с серверов какого-либо сервиса, чьим клиентом вы являетесь, смените пароль.

Еще совсем недавно исследования насчитывали в среднем 20–30 аккаунтов, защищенных паролем, на одного пользователя. Последние данные говорят о гораздо большем количестве. Диспетчер паролей, используемый в корпоративных целях, хранит в среднем 191 пароль для бизнес-клиентов. Но даже те, у кого всего десять аккаунтов, практически не придерживаются основного правила обеспечения защиты: пароль нельзя использовать больше одного раза.

Защита для всех паролей

Именно эту проблему помогают решить десять протестированных нами диспетчеров паролей, выступая в качестве сейфа для безопасных паролей и работая в Android, iOS и Windows. Они хранят все пароли централизованно в одном месте. В этих продуктах для защиты сейфа используется мощное AES-шифрование с практически не взламываемой длиной ключа в 256 бита. Такую базу данных можно разблокировать лишь с помощью правильного мастер-пароля. Таким образом, пользователю не требуется помнить пароль к каждому своему аккаунту, а только мастер-пароль, открывающий сейф со всеми остальными кодами.

При этом продукты, протестированные нами, работают по двум разным принципам: восемь менеджеров, среди которых тройка лидеров LastPass, 1Password и Dashlane, представляют собой онлайн-сервисы. Зашифрованная база данных паролей хранится в вычислительных центрах провайдера сервиса.

Для пользователя это самое удобное решение, поскольку пароли используются не только на стационарном компьютере, но и на смартфонах и планшетах. В таком случае для запуска синхронизации достаточно лишь ввести логин и мас­тер-пароль. Все коды будут у вас под рукой в любое время и в любом месте. Однако такие сервисы требуют от вас доверия к провайдеру и убежденности, что ему действительно недоступен мастер-пароль и нет никакой возможности получить доступ к базе данных иным образом.

Второй принцип работы, выбранный разработчиками такой популярной открытой программы, как KeePass, а также компанией Steganos для своего диспетчера паролей, - это локальное хранение базы данных паролей.

Мы рекомендуем начать с хранилища на ПК и лишь затем подтягивать мобильные устройства. Преимущество обоих локальных решений заключается в сохранении за пользователем полного контроля над сейфом. По этой причине мы удостоили KeePass высшим баллом за категорию «Безопасность». Такой метод менее удобен, поскольку вам придется самим думать о том, как получить пароли со смартфона. Однако KeePass - это единственная программа, способная взаимодействовать с различными приложениями, считывающими данный формат баз данных.

К примеру, на тестировании мы остановили свой выбор на KeePass2Android (Android) и MiniKeePass (iOS). Все другие диспетчеры паролей уже идут в комплекте с подходящими приложениями.

Двойная защита мастер-пароля

Безопасность диспетчера паролей зиждется на мастер-пароле (см. блок справа). Поэтому нам непонятно, почему половина участников нашего тестирования принимает даже такие элементарные коды, как «1234abcd».

Лишь 1Password, Dashlane, а также продукты таких известных разработчиков антивирусов, как F-Secure, Kaspersky и Avira, требуют более сложных мастер-паролей. Не менее важно защитить свой сейф и другими средствами - в этом отношении инструменты от антивирусных экспертов откровенно халтурят.

Выбор мастер-пароля

Использование предложений. Забавная реплика из сериала Net­flix или поговорка вашей бабушки станут отличной основой для вашего пароля. Вы можете также обратиться к своему хобби. Неплохой идеей может стать фраза «I love read Chip magazine».

Использование заглавных и прописных букв. Правильная орфография -
скорее недостаток для пароля. «ILovereadChipMagazine» с позиции безопасности выглядит лучше.

Встраивание специальных символов. Можно добавить и парочку спе­циальных символов: «ILove/readChipMagazine2018$».

Двойная аутентификация. Обязательно задействуйте двухфакторную аутентификацию, чтобы дополнительно защитить доступ к диспетчеру паролей.

Во все хорошие диспетчеры интегрирована , то есть дополнительно к мастер-паролю для доступа в хранилище необходимо ввести второй фактор. В таком случае можно быть спокойным, что даже если мастер-пароль вместе с базой данных попадет в чужие руки, доступ к ней все равно будет закрыт.

Вне зависимости от этого, общая безопасность диспет­черов находится на высоком уровне. Лидеры нашего теста, LastPass, Dashlane и Keeper Security, покоряют отлично реализованными проверками надежности используемых паролей, вычисляют дубликаты и даже предлагают возможность бэкапа. Все продукты не только сохраняют учетные данные, но и создают безопасные пароли - в каждый из них интегрирован собственный генератор.

Однако на практике их технологии отличаются: LastPass, KeePass и Avira Password Manager лучше всех справляются с задачей. Их генераторы невозможно не заметить, а кроме того, они наглядно отображают длину пароля. Не столь удобно мобильное решение от Kaspersky: в мобильных приложениях генератор отсутствует, таким образом, надежные пароли можно создать лишь в настольной версии.

Учетные данные для приложений и веб-сервисов

В плане удобства управления лидируют веб-сервисы, при этом речь идет не только об упрощенной синхронизации. В частности, 1Password, LastPass и Dashlane демонстрируют, как нужно правильно создавать приложения и постоянно внедрять новейшие технологии. К примеру, все три провайдера очень быстро адаптировали свои приложения к сканеру Face ID на iPhone X. Вдобавок ко всему, биометрическая разблокировка гораздо удобнее, чем ввод длинных мастер-паролей.

Все диспетчеры паролей предлагают автозаполнение учетных данных в браузере для входа на сайт. Для программ под Windows и приложений на смартфонах и планшетах этот метод не работает. Здесь проще всего будет скопировать и вставить данные в соответствующие поля. Android, в отличие от iOS, позволяет это сделать легко. Для системы от Apple разработчикам приложений необходимо интегрировать особые функции для работы с диспетчерами паролей. Во всяком случае, для наших лидеров - продуктов LastPass, 1Password и Dashlane - существует длинный список поддерживаемых приложений, которые обходятся без буфера обмена.

У всех решений существует функция поиска для быстрого обнаружения данных. Однако лишь 1Password, KeePass и Steganos позволяют интегрировать несколько баз данных, благодаря которым пользователь может, к примеру, разделить личные и рабочие аккаунты. Очень полезна и функция «Избранное» для отображения часто используемых паролей - отмеченные таким образом данные всегда находятся наверху в списке.

Вход в Windows без пароля

Диспетчеры паролей сохраняют все учетные данные. Ситуация со входом в Windows сложнее, поскольку у вас пока нет доступа к сейфу. Компания Microsoft интегрировала в «десятку» функцию Windows Hello, благодаря которой аутентификация пользователя может осуществляться по сканированию отпечатка пальца, распознаванию лица или радужной оболочки глаза. Такие устройства, как , уже распола­гают техническими средствами, поскольку обычной веб-камеры недостаточно.

Лучше, чем браузерные хранилища

Все участники нашего теста интегрируются в браузеры Chrome и Firefox, а вот с Microsoft Edge могут совладать лишь четыре участника теста: LastPass, 1Password, Keeper Security и True Key. Кстати о браузерах: их встроенные диспетчеры представляют собой лишь хранилище, в котором отсутствуют важные дополнительные функции - например, генератор паролей. Мы советуем обратиться к специальным инструментам, чтобы не потерять покой и сон из-за ужасающих новостей о миллионах украденных учетных данных.

С тем, что количество паролей, которые надо запомнить, точно больше, чем места для них в голове, столкнулись, наверное, все активные пользователи Сети. И одно дело — пароли от сервисов и сайтов, которые вы используете каждый день, — эти как-то сами откладываются. А другое — от какого-нибудь форума, на который вы попадаете раз в пару месяцев, а то и реже. Это же вообще нереально держать в памяти!

Что делать? Можно, конечно, назначать везде один пароль — но это грозит большими проблемами с безопасностью: кто-то получил в свои руки базу какого-нибудь сервиса, где вы зарегистрированы, — и можно прощаться со всей цифровой жизнью: уведут все, начиная с почты и заканчивая учетной записью в Steam.

Хорошо, этот вариант отметаем. Тогда аккуратно записывать все пароли в текстовом редакторе и хранить в одном файле, но тут та же проблема: а если файл потеряется? Ну и его надо либо хранить в облачном сервисе, чтобы все пароли были под рукой, либо вручную синхронизировать. А ещё этот файл также случайно может попасть в руки не очень порядочным людям — а дальше вы знаете. В общем, это тоже небезопасно.

Так что же, все заучивать и помнить безумное количество паролей наизусть? Тоже не получится! Обычно пользователь запоминает только те пароли, которыми пользуется постоянно. Остальные быстро выпадают из памяти, особенно если они достаточно безопасные — со сменой регистров, цифрами и символами. В общем, для того, чтобы облегчить жизнь пользователю, существует специальный тип программ — менеджеры паролей. Основная задача такого приложения — собрать, зашифровать и надёжно хранить информацию обо всех ваших учётных записях, сделав её недоступной для злоумышленников и доступной для вас. В рамках этой статьи мы рассмотрим пять наиболее известных менеджеров паролей, которые существенно облегчают жизнь миллионам пользователей во всём мире.

⇡ LastPass

Одним из наиболее известных менеджеров паролей считается LastPass — детище американской компании LastPass Corporate. Среди удобств программы обычно отмечают её простой интерфейс, мультиплатформенность, надёжное шифрование паролей, которое происходит на вашем устройстве, и только потом данные уже в зашифрованном виде передаются на серверы компании.

Приложение работает как на Windows, так и на Linux, Mac, а также на мобильных устройствах и планшетах под iOS и Android, на смартфонах под управлением Windows Phone, BlackBerry и даже FireFox Mobile. Кроме «домашней» версии, существует и корпоративная, имеющая функцию интеграции с локальным контроллером домена и настройки политик доступа. Также она хранит данные обо всех учётных записях сотрудников в корпоративных интернет-службах. Например, с помощью LastPass возможно настроить доступ работников организации к Office 365, Google Apps for Work и прочим бизнес-сервисам в Интернете, которые использует компания.

Для начала работы с LastPass необходимо загрузить специальную программу и зарегистрироваться в системе. Скачав инсталляционный файл, запустите его, после чего откроется окно установки. Выберите опцию «Дополнительные параметры», чтобы установить настройки программы — в частности, можно задать каталог размещения приложения, указать, для каких браузеров будут установлены расширения LastPass, а также задать дополнительные параметры конфиденциальности.

После установки приложение предлагает войти в существующую учётную запись или создать новую. При регистрации в сервисе необходимо указать свой действующий адрес электронной почты и задать мастер-пароль. Согласно заявлениям разработчиков, мастер-пароль нужно очень хорошо запомнить и вводить очень внимательно . Если вы его забудете, то в лучшем случае получите фразу-напоминание. Сам пароль администрации администрация сервиса прочитать не может, о чём нас и предупреждают. Требования к мастер-паролю следующие: минимум восемь символов, также рекомендуется использовать сочетание больших и маленьких букв и цифр.

После регистрации программа найдёт пароли в хранилищах браузеров и предложит их импортировать. Просмотрите список и нажмите кнопку «Импорт», если хотите импортировать данные учётных записей. Опционально от этого можно отказаться, нажав кнопку «Нет, спасибо». Следует отметить, что при импорте пароли удаляются из хранилища браузера, и теперь авторизация в сервисах будет проходить через службы LastPass.

Теперь запускаем браузер, которым вы обычно пользуетесь, и устанавливаем дополнение. Затем проходим авторизацию — для этого щёлкните мышью на значке программы, а в открывшемся окне введите адрес электронной почты, на который вы зарегистрировались, и тот самый мастер-пароль — единственный пароль, который вам теперь потребуется помнить.

В разделе «Хранилище» находятся все данные о ваших учётных записях, для удобства рассортированные по папкам-категориям. При щелчке по папке откроется список паролей, содержащихся в ней. Каждый пароль можно посмотреть, выбрав соответствующую опцию рядом.

В окне изменения данных об учётной записи можно сменить пароль, папку размещения учётной записи, добавить заметки, а также настроить дополнительные параметры — например, можно включить автоматический вход при авторизации на сайте.

Ещё одна интересная возможность приложения, на которую хотелось бы обратить внимание, кроется в разделе «Профили заполнения форм».

Профиль: вводим личную информацию

Здесь вы можете создать и заполнить профиль пользователя, указав информацию о себе — фамилию, имя, отчество, домашний адрес, номер мобильного телефона, сведения о кредитной карте и многое другое. Теперь при регистрации на сайтах вам не нужно будет вводить все это по многу раз: достаточно лишь выбрать соответствующий профиль — и все данные заполнятся автоматически.

Автоматическое заполнение при регистрации на mail.ru

При создании пароля можно воспользоваться генератором, который предложит сложную для взлома и подбора комбинацию букв, чисел и символов — что-то типа sZoxpYi1DZY9, как показано на рисунке ниже. С помощью настроек можно установить длину пароля и то, какие символы вы хотите в нём использовать.

В премиум-версии, как упоминалось выше, есть поддержка синхронизации паролей с мобильными устройствами. После установки приложения необходимо войти в LastPass под вашим аккаунтом, после чего на ваше мобильное устройство загрузится информация обо всех ваших учётных записях, сохранённых в системе.

Также имеется возможность просмотреть информацию о каждой учётной записи, отредактировать её или перейти на сайт, для которого этот аккаунт создан, и авторизоваться.

В целом LastPass производит очень хорошее впечатление — это удобная и функциональная программа, которая имеет множество полезных возможностей. К небольшим минусам разве что можно отнести отсутствие в бесплатной версии возможности синхронизации учётных записей с планшетами и мобильными устройствами — но надо же разработчику как-то монетизировать свой сервис.

⇡ Sticky Password

Следующая программа, о которой хотелось бы рассказать, — Sticky Password от чешской компании Lamantine Software. Приложение доступно на нескольких платформах и также умеет синхронизировать ваши аккаунты с разных устройств. Согласно заявлениям разработчиков, Sticky Password умеет хранить все ваши пароли в зашифрованном хранилище, а также автоматически заполнять формы и номера кредитных карт для быстрого использования. Защищается ваша информация традиционным мастер-паролем, который и нужно запомнить. Как и в случае с LastPass, создатели системы сообщают, что не знают наш мастер-пароль, поэтому его нужно хорошенько заучить и не забывать. Из более интересных фич в программе имеется поддержка шифрования стандарта AES-256, биометрическая аутентификация и возможность синхронизации паролей ваших устройств через Wi-Fi. Также авторы обещают корректную работу приложения в четырёх наиболее популярных операционных системах и шестнадцати браузерах, включая Google Chrome, Mozilla Firefox, Safari и Internet Explorer.

Sticky Password распространяется по подписке. При первой установке программы вам предложат создать учётную запись, после чего вы получите 30 пробных дней премиума. Через месяц учётная запись Sticky Password автоматически становится бесплатной. Традиционно премиум-пользователи имеют ряд преимуществ перед обычными. Например, только платным пользователям доступна возможность синхронизации (как через Wi-Fi, так и через облачные службы компании), а также сохранение резервных копий хранилища паролей в облаке. Это удобно, если, например, вы переустанавливали операционную систему или приобрели новое устройство — все равно сможете быстро восстановить все пароли в системе. Цена премиум-аккаунта на одного пользователя составляет 1 190 рублей за один год, за бессрочную премиум-лицензию придется раскошелиться на 5 990 рублей

Установка Sticky Password не отличается особой сложностью — нужно лишь загрузить программу с официального сайта и традиционно запустить файл установки. После инсталляции приложение необходимо настроить.

На следующем шаге вам предложат войти в учётную запись или создать новую, для которой потребуются адрес электронной почты и мастер-пароль. В общем, здесь тоже всё стандартно.

В следующем окне подтверждаем мастер-пароль и ставим галочку, что этот самый мастер-пароль нигде не сохранён и его знает только пользователь. Далее программа предложит произвести синхронизацию данных через облачные службы Sticky Password. Если у вас несколько устройств, выбираем вариант с синхронизацией.

Затем нужно выбрать браузеры, в которых вы хотите использовать Sticky Password, после этого программа готова к работе.

После получения паролей из хранилища браузера программа напомнит о 30 днях бесплатной премиум-подписки, ну а затем, нажав кнопку «Старт», вы сможете прочесть небольшую инструкцию по работе с программой и запустить наконец рабочее окно приложения.

В разделе «Учётные записи Интернета» располагается список аккаунтов пользователя, обнаруженных на компьютере. Каждую запись можно редактировать или удалить, также можно добавить новую. Записи предлагается группировать по папкам. Само собой, можно создавать новые папки и копировать в них данные учётных записей.

Раздел «Учётные записи Интернета»

Еще одной примечательной особенностью программы является возможность сохранять пароли не только для сайтов, но и для приложений. Возможно выбрать программу и задать имя пользователя и пароль для входа в неё. Если программа не видна в Sticky Password, необходимо выбрать её через меню обзора.

Как и в LastPass, в приложении имеется возможность добавления персональных данных для заполнения форм — эту часть надо искать в разделе «Визитки». Нажмите кнопку «Добавить визитку» — и в открывшемся окне нужно будет заполнить информацию о себе. В дальнейшем её можно использовать для заполнения профилей при регистрации на различных ресурсах.

Раздел «Визитки»

Добавляем информацию о себе

В браузерах с установленным Sticky Password появляется расширение — с помощью его возможно быстро проходить процесс авторизации на сайтах, учётные записи к которым располагаются в вашем хранилище паролей. Для этого открываем меню опций «Учётные записи Интернета», а потом выбираем нужный сайт. После этого браузер откроет выбранный ресурс и добавит необходимые данные для входа.

⇡ Kaspersky Password Manager

Kaspersky Password Manager — совместный проект компаний «Лаборатория Касперского» и Lamantine Software. Password Manager создан на основе Sticky Password, поэтому программы очень похожи... в общем, во всем. Приложение является условно-бесплатным. Бесплатная версия может хранить только до пятнадцати учётных записей, для хранения большего количества аккаунтов необходимо приобрести платную версию. Здесь стоит заметить, что отдельно программа не продаётся, купить её возможно только в составе Kaspersky Total Security или Kaspersky Small Office Security.

Тем не менее, несмотря на то, что Password Manager входит в состав этих приложений, его также можно загрузить отдельно с сайта «Лаборатории Касперского». Установка программы, в общем, такая же, как у предыдущих: запускаем исполняемый файл и следуем указаниям мастера установки. В отличие от Sticky Password, здесь учётные записи синхронизируются с серверами «Лаборатории Касперского», и для включения синхронизации необходимо указать либо учётную запись My Kaspersky в случае домашнего использования в составе Kaspersky Total Security, либо учётную запись вашей компании на специальном портале «Лаборатории Касперского» для организаций.

В общем и целом по набору функций Password Manager практически полностью повторяет Sticky Password, поэтому мы не будем подробно рассматривать его. После установки программа также добавляет расширения для ваших браузеров. С помощью этих расширений вы можете проходить быструю авторизацию на сайтах, на которых вы зарегистрированы, и добавлять свои данные для быстрой регистрации, чтобы не вводить их каждый раз.

⇡ Dashlane

Еще один менеджер паролей, на который также хотелось бы обратить внимание, — Dashlane. С одной стороны, нельзя сказать, что в нём есть какие-либо уникальные функции, о которых не шла речь в предыдущих разделах обзора. С другой стороны, он вполне удобен и лёгок в освоении. Помимо «домашней» версии, есть и корпоративная, рассчитанная на работу в организации. Традиционно пользователям предлагается два варианта учётной записи — обычная (бесплатная) и премиум. Бесплатная версия имеет ряд ограничений — у пользователя не будет возможности синхронизировать данные учётных записей между устройствами и сделать бекап данных в облачную службу.

Чтобы начать использование программы, зайдите на её официальный сайт и скачайте приложение. Установка Dashlane довольно проста — запускаем исполняемый файл и после инсталляции увидим окно приветствия. Выбираем вариант с созданием учётной записи и вводим необходимые данные.

При создании аккаунта нам, само собой, предложат создать мастер-пароль. Программа напомнит, что знаете его только вы и пароль нужно очень хорошо запомнить. После всех подготовительных действий откроется рабочее окно Dashline.

Хранилище паролей находится в разделе Passwords. Как и в других программах, пароли можно организовывать — создавать папки-категории для последующей сортировки учётных записей. Аккаунты можно добавлять в систему двумя способами: через программу и в браузере, если вы вводите данные записи, которая ещё неизвестна системе.

Нажатие правой кнопкой мыши на значке учётной записи вызывает контекстное меню, с помощью которого возможно произвести действия над ней — изменить пароль, удалить, изменить категорию и дать доступ другому пользователю. В разделе Security Dashboard программа выставляет общий рейтинг защищённости аккаунтов и предлагает изменить пароли для учётных записей, которые, по результатам анализа, слишком просты и могут быть взломаны злоумышленниками.

В разделе Secure Notes добавляются защищённые заметки, которые, как и в аналогичных программах, будут находиться в особом разделе хранилища.

В разделе Payments размещается информация о кредитной карте или банковском счёте, кроме того, здесь возможно посмотреть историю покупок. В разделе Team находятся опции, с помощью которых можно обмениваться данными с другими пользователями, например, с семьей или коллегами. Если вы оставляете на сайтах какие-либо личные данные, следует обратить внимание на раздел IDs, где вводятся данные паспорта, водительских прав и прочих личных документов, чтобы использовать их при необходимости.

Аналогично другим приложениям, Dashlane устанавливает расширения для браузеров, с помощью которых можно авторизоваться на сайтах и добавлять новые учётные записи в систему. Плагин распознаёт, когда вы вводите учётные данные, и предлагает добавить информацию об аккаунте в программу.

К плюсам Dashline можно отнести удобный интерфейс, простоту в использовании и возможность анализа системой ваших паролей и рекомендации их замены наиболее надёжными. Но и минусы тоже есть — нет поддержки русского языка, а наиболее важные функции доступны только в премиуме, в бесплатной версии нет даже возможности синхронизации паролей между устройствами.

⇡ 1 Password

Ну а завершает наш обзор 1Password. Приложение отличается от всех перечисленных продвинутыми алгоритмами шифрования, отсутствием собственного облачного сервиса и лицензированием. 1Password распространяется по условно-бесплатной модели — вариант с подпиской здесь отсутствует. После установки вы можете использовать приложение бесплатно в течение тридцати дней, после чего единожды необходимо приобрести лицензию.

Мы рассмотрим Windows-версию программы в рамках данного обзора. Установщик программы можно скачать с официального сайта. После инсталляции запустится мастер первичной настройки. Выбираем вариант I am new to 1Password, откроется окно сохранения хранилища паролей. Выбираем папку сохранения — к слову, это может быть не только папка на локальном жёстком диске, но и сетевая директория, или, например, папка в сетевом сервисе хранения файлов (например, DropBox, OneDrive и прочие подобные службы). Также в программе есть возможность синхронизации данных через Wi-Fi — удобно, если у вас несколько устройств, между которыми необходимо синхронизировать данные учётных записей. Для синхронизации система генерирует специальный пароль, который нужно ввести на других устройствах.

1Password производит очень хорошее впечатление. К плюсам приложения, несомненно, можно отнести простой и интуитивно понятный интерфейс, надежность шифрования данных, относительно невысокую цену и возможность хранения файла паролей не в облачном сервисе, который навязывается компанией-разработчиком, а в любом хранилище по вашему выбору. Если DropBox, OneDrive и прочие аналогичные службы вызывают сомнение, то данные можно разместить, например, на корпоративном или домашнем сервере в локальной сети, открыв папку с файлом паролей для определённого пользователя (или пользователей). Мастер-пароль следует очень хорошо запомнить — данные хранятся только у вас, а значит, восстановить его будет невозможно. В целом же 1Password можно порекомендовать тем пользователям, у которых не вызывают доверия облачные службы и которые предпочитают не платить за подписку, а приобрести единовременную лицензию.

⇡ Выводы

В таблице приведены сравнительные характеристики менеджеров паролей, рассмотренных в статье. В целом они похожи, но именно приведенные ниже различия в функциональности позволят каждому сделать свой выбор.

"Windows IT Pro/re", № 7, июль, 2016
Статья с упоминанием eToken от компании "Аладдин Р.Д."

О проблеме паролей написаны тысячи статей. Но пользователи все равно выбирают самые простые. Год тому назад в сеть попали базы паролей Yandex и Mail.ru. Как показал анализ этих данных, наиболее популярными оказались самые простые для угадывания пароли (см. рисунки 1 и 2).

Как видно из приведённых диаграмм, пользователи не слишком затрудняют себя при выборе паролей, что значительно облегчает злоумышленнику взлом учётных записей. При этом все продолжают жаловаться на то, что пароли сложно запоминать.

На помощь пользователям пришли менеджеры паролей. Однако программы-менеджеры паролей подвержены все тому же недостатку. Вероятность взлома менеджера паролей зависит как от устойчивости мастер-пароля (основного пароля, с помощью которого осуществляется доступ к содержимому базы менеджера паролей), так и от наличия ошибок в программной реализации менеджера паролей. Да и от троянца-кейлоггера, с помощью которого можно перехватить пароль в момент его ввода в менеджер паролей, тоже никто не застрахован.

Именно поэтому были изобретены аппаратные менеджеры паролей. Нельзя сказать, что появились они только сегодня. Об использовании eToken от компании "Аладдин Р.Д." я писал ещё, наверное, лет 10 назад. Однако использовать его можно было только после установки соответствующего программного обеспечения, к тому же требовалось физическое подключение к конкретному компьютеру, что значительно ограничивало применение. Да и о подключении к смартфону речь тогда, безусловно, не шла. Прошло немало времени, появились новые устройства, и одно из них мы и рассмотрим в данной статье.

Беспроводной ключ Hideez Key (см. рисунок 3) предназначен для работы как с компьютером под управлением Windows, так и со смартфонами и планшетами под Android. На этот раз речь пойдет о работе под Windows.

Рисунок 3. Hideez Key

Для начала перечислим технические характеристики:

• процессор Nordic NRF52;
• связь Bluetooth 4.0 LE;
• питание: элемент питания CR2032;
• срок работы от одной батареи - до 6 месяцев;
• габариты и вес - 31х31х7,5 мм, 8 г;
• рабочая температура от -10 °C до +40 °C;
• кнопка - одна LED, два цвета: красный и зелёный.

Hideez Key предназначен для совместной работы с устройствами, отвечающими следующим требованиям:

• адаптер Bluetooth версии 4.0 и выше с поддержкой режима Low Energy.
• операционная система:

Microsoft Windows 8.1;

Microsoft Windows 10;

Android 4.3 и выше;

Подключение устройства к компьютеру

Для подключения устройства к компьютеру используется процедура стандартного подключения устройства Bluetooth. Для подключения достаточно включить устройство однократным нажатием кнопки и перейти в меню "Параметры", Bluetooth. При этом ваш компьютер перейдёт в режим обнаружения устройств (см. экран 1).

После подключения устройства вы должны установить необходимое программное обеспечение Hideez Safe. В дальнейшем вам будет предложено создать учётную запись на сайте www.hideez.com (см. экран 2).

Экран 2. Регистрация с учётной записью Hideez

После этого вы сможете настроить менеджер паролей и аутентификацию в Windows.

Аутентификация пользователя

Стандартной схемой аутентификации пользователя на компьютере под управлением Windows является применение пары из имени пользователя и пароля. Вместе с тем можно привязать электронный ключ Hideez Key к пользовательской учётной записи. Ввод пароля в окне блокировки Windows осуществляется автоматически при достижении заданного уровня сигнала. После установки приложение работает постоянно. При этом в окне приложения можно увидеть уровень приёма сигнала для ключа Hideez Key.

Для включения функции блокировки вы можете открыть в настройках закладку Locker (см. экран 3) и установить флажок Use this device to Lock/Unlock the PC, а затем задать минимальный уровень сигнала, по достижении которого компьютер будет заблокирован (по умолчанию 40%).

Экран 3. Настройка Locker

Кроме того, необходимо задать максимальный уровень сигнала, по достижении которого компьютер будет разблокирован (по умолчанию 80%), и указать имя пользователя (Get current name). После этого потребуется ввести пароль к учётной записи, который в свою очередь не будет храниться нигде, кроме Hideez Key. Учтите, что на компьютере данный пароль не хранится!

При уменьшении уровня сигнала ниже указанного компьютер будет заблокирован (что аналогично нажатию комбинации клавиш "Win + L"). При усилении сигнала компьютер будет разблокирован автоматически. Пользователь может разблокировать его и вручную, введя пароль с клавиатуры.

Менеджер паролей

При использовании менеджера паролей устройство Hideez Key позволяет хранить до 1000 паролей длиной до 16 символов. Пароли в этом случае хранятся не на компьютере, а в самом устройстве и вводятся непосредственно в поле ввода. Естественно, вы сможете вводить пароли и вручную. Программа Hideez Safe ведет список приложений, а соответствующие им пароли хранятся в зашифрованном виде в устройстве Hideez Key. Соотнесение строки из списка программ с реальным запущенным приложением выполняется по названию активного окна Windows.

Запись пароля

Для записи пароля откройте программу Hideez Safe, войдите в настройки выбранного устройства и перейдите на закладку менеджера паролей Password manager. Запустите программу или окно браузера, пароль к которому нужно записать. Вернитесь к настройкам паролей. Нажмите кнопку "Добавить пароль" (Add password) и после появления диалогового окна укажите мышкой на окно программы, ожидающей ввода пароля. Название программы будет сохранено. Введите пароль и нажмите кнопку "Записать пароль на устройство". После получения подтверждения пароль будет успешно сохранен (см. экран 4).

Экран 4. Password Manager

Редактирование, удаление и проверка списка паролей выполняются аналогично добавлению с помощью кнопок Edit и Delete. В некоторых случаях список паролей в программе Hideez Safe и в Hideez Key может различаться, например после замены или сброса настроек устройства. Для проверки соответствия списков в программе и в устройстве необходимо нажать кнопку "Проверка списка паролей". После этого можно редактировать или удалить нужные пароли в списке.

Ввод пароля из Hideez Key исключительно прост. Достаточно поместить курсор в поле ввода пароля и дважды нажать кнопку на Hideez Key. Hideez Safe проверит наличие активной программы в списке паролей, считает пароль из устройства и введёт его туда, где установлен курсор.

Использование устройства как приложения для аутентификации в двухфакторной аутентификации также возможно, например в ходе двухэтапной аутентификации Google, когда в ответ на введённый пароль служба Google присылает вам SMS с шестизначным цифровым кодом. Если у вас в руках смартфон от Apple или Google, то вы сможете использовать приложение-генератор таких кодов. Но как быть, если это смартфон с другой операционной системой, например Windows Phone? В таком случае вы сможете использовать Hideez Key, поддерживающий создание одноразовых паролей (One-time password) согласно стандарту RFC 6238. В одном устройстве Hideez Key на сегодня предусмотрена одна учётная запись для генерации пароля типа OTP.

Для использования Hideez Key в качестве такого генератора паролей необходимо создать и записать в устройство ключ (Private OTP-key). Для этого нужно сделать следующее:

1. Зайдите в настройки безопасности своей учётной записи https://accounts.google.com/b/0/SmsAuthConfig (см. экран 5).
2. Включите для своей учётной записи двухфакторную аутентификацию (для корпоративных клиентов это потребует дополнительного разрешения администратора), как показано на экране 6.
3. На ваш смартфон придёт SMS с кодом подтверждения (см. экран 7).
4. Выберите мобильное приложение как основной способ получения кодов (см. экран 8).
5. В окне "Настройка Google Authentificator" получите зашифрованный QR-код, выберите ссылку "Не могу сканировать QR-код" и получите текстовый 32-разрядный код (ваш секретный ключ учётной записи Google), как показано на экране 9.
6. В настройках Hideez Safe выберите закладку OTP, вставьте скопированный код в поле OTP Key и нажмите кнопку "Сохранить ключ на устройстве" (см. экран 10).
7. Наберите код (курсор при этом должен быть в поле "Код"), и туда будет вставлен код из устройства (см. экран 11).

Экран 11. Ввод шестизначного кода подтверждения

Если вы хотите использовать Hideez Key и Google Authenticator одновременно на двух устройствах, то вам нужно устанавливать ключ на всех устройствах.

Ложка дёгтя

Аппаратный менеджер паролей - это, конечно, замечательно. Но проблема в том, что он привязан к одному компьютеру и одному телефону. А если вы работаете не только дома (или на работе), то пароли вам в любом случае придётся хранить, как минимум, в двух местах. Ещё более неудобно использовать данное устройство как генератор ОТР. Почему? Да потому что ОТР предполагает именно переносимость. А что мы имеем на самом деле? Фактически генератор работает только для одного устройства. А ведь Google применяет концепцию доверенных устройств. То есть если я доверяю этому устройству, то вводить второй фактор (SMS, OTP) я буду однократно. И больше спрашивать меня никто не будет. А если не доверяю? Тогда проще использовать SMS, потому что Hideez Key я привязываю к конкретному устройству. И ни на чем другом использовать его не могу.