A Менеджер паролей - это компьютерная программа, которая позволяет пользователям сохранять, генерировать и управлять своими личными паролями для онлайн-сервисов.
Менеджер паролей помогает генерировать и извлекать сложные пароли, потенциально сохраняя такие пароли в зашифрованной базе данных или вычисляя их по запросу.
Типы менеджеров паролей включают:
В зависимости от типа используемого диспетчера паролей и функциональности, предлагаемой его разработчиками, зашифрованная база данных хранится либо локально на устройстве пользователя, либо удаленно через онлайн-файл -хостинг-сервис. Менеджеры паролей обычно требуют, чтобы пользователь сгенерировал и запомнил один «главный» пароль для разблокировки и доступа к любой информации, хранящейся в их базах данных. Многие приложения для управления паролями предлагают дополнительные возможности, которые повышают удобство и безопасность, например хранение информации о кредитных картах и часто летающих пассажирах, а также функцию автозаполнения.
Менеджеры паролей обычно находятся на персональном компьютере или мобильном телефоне пользователя устройство, такое как смартфоны, в виде локально установленного программного приложения. Эти приложения могут быть автономными, при этом база данных паролей хранится независимо и локально на том же устройстве, что и программное обеспечение менеджера паролей. В качестве альтернативы менеджеры паролей могут предлагать или требовать облачный подход, при котором база данных паролей зависит от онлайн-хостинга файлов и хранится удаленно, но обрабатывается программным обеспечением для управления паролями, установленным на устройстве пользователя.
Некоторым автономным менеджерам паролей не требуется разрешение на доступ в Интернет, поэтому утечки данных из-за сети не происходит. В некоторой степени полностью автономный менеджер паролей более безопасен, но может быть намного слабее по удобству и функциональности, чем онлайн-менеджер.
Онлайн-менеджер паролей - это веб-сайт, на котором безопасно хранятся данные для входа. Это веб-версия более обычного настольного менеджера паролей.
Преимуществами онлайн-менеджеров паролей перед настольными версиями являются портативность (их обычно можно использовать на любом компьютере с веб-браузером и сетевым подключением без необходимости установки программного обеспечения), и сниженный риск потери паролей в результате кражи или повреждения одного ПК - хотя такой же риск присутствует и для сервера, который используется для хранения паролей пользователей. В обоих случаях этот риск можно предотвратить, обеспечив безопасное резервное копирование.
Основными недостатками онлайн-менеджеров паролей являются требования, согласно которым пользователь доверяет хостинговому сайту, а кейлоггер не включен. компьютер, который они используют. Поскольку серверы и облако являются объектом кибератак, то, как аутентифицируются в онлайн-сервисе, и что хранящиеся там пароли зашифрованы с помощью ключа, определенного пользователем, не менее важны. Опять же, пользователи склонны обходить безопасность для удобства. Еще один важный фактор - одно или двухстороннее шифрование.
Существуют смешанные решения. Некоторые онлайн-системы управления паролями распространяют свой исходный код. Его можно проверить и установить отдельно.
Использование веб-менеджера паролей является альтернативой методам единого входа, таким как OpenID или Microsoft Учетная запись Microsoft (ранее Microsoft Wallet, Microsoft Passport,.NET Passport, Microsoft Passport Network и Windows Live ID) схема или может служить временной мерой в ожидании принятия лучшего метода.
Жетоны безопасности - это форма диспетчера паролей на основе токенов, в котором для аутентификации пользователя используется локально доступное аппаратное устройство, такое как смарт-карты или защищенные USB-флеш-устройства. вместо или в дополнение к традиционному текстовому паролю. Данные, хранящиеся в токене, обычно зашифрованы, чтобы предотвратить зондирование и несанкционированное чтение данных. Некоторым системам токенов по-прежнему требуется программное обеспечение, загруженное на ПК, а также оборудование (устройство чтения смарт-карт) и драйверы для правильного чтения и декодирования данных.
Преимущество контроля доступа на основе пароля состоит в том, что они легко встраиваются в большинство программ с использованием API-интерфейсов, доступных в многие программные продукты не требуют значительных модификаций компьютера / сервера и что пользователи уже знакомы с использованием паролей. Хотя пароли могут быть довольно безопасными, слабым местом является то, как пользователи выбирают их и управляют ими, используя:
Совершение хотя бы одной из этих ошибок типично. Это позволяет хакерам, взломщикам, вредоносным программам и кибер-похитителям легко взламывать индивидуальные аккаунты, корпорации любого размера, правительственные учреждения, учреждения и т. Д. Именно защита от этих уязвимостей делает менеджеры паролей столь важными.
Менеджеры паролей также можно использовать для защиты от фишинга и фарминга. В отличие от людей, программа диспетчера паролей может также включать сценарий автоматического входа в систему, который сначала сравнивает URL-адрес текущего сайта с URL-адресом сохраненного сайта. Если они не совпадают, диспетчер паролей не заполняет поля входа автоматически. Это сделано для защиты от визуальных имитаций и похожих сайтов. Благодаря этому встроенному преимуществу использование диспетчера паролей выгодно, даже если пользователю нужно запомнить только несколько паролей. Хотя не все менеджеры паролей могут автоматически обрабатывать более сложные процедуры входа в систему, налагаемые многими банковскими веб-сайтами, многие из более новых менеджеров паролей уже обрабатывают сложные пароли, многостраничное заполнение и многофакторную аутентификацию.
Менеджеры паролей могут защитить от клавиатурных шпионов или вредоносного ПО, регистрирующего нажатия клавиш. При использовании диспетчера паролей многофакторной аутентификации, который автоматически заполняет поля входа в систему, пользователю не нужно вводить какие-либо имена пользователей или пароли, чтобы кейлоггер мог их подобрать. В то время как кейлоггер может подобрать PIN-код для аутентификации в токене смарт-карты, например, без самой смарт-карты (то, что есть у пользователя), PIN-код не принесет злоумышленнику никакой пользы. Однако менеджеры паролей не могут защитить от атак злоумышленник, когда вредоносное ПО на устройстве пользователя выполняет операции (например, на веб-сайте банка), пока пользователь входит в систему, скрывая вредоносную активность от пользователь.
Если пароли хранятся в незашифрованном виде, обычно все еще возможно получить пароли при локальном доступе к машине.
Некоторые менеджеры паролей используют выбранный пользователем главный пароль или парольную фразу для формирования ключа, используемого для шифрования защищенных паролей. Безопасность этого подхода зависит от надежности выбранного пароля (который может быть угадан или введен методом перебора), а также от того, что сама кодовая фраза никогда не сохраняется локально, где вредоносная программа или человек могут ее прочитать. Скомпрометированный мастер-пароль делает уязвимыми все защищенные пароли.
Как и в любой системе, в которой пользователь вводит пароль, главный пароль также может быть атакован и обнаружен с помощью регистрации ключей или акустического криптоанализа. Некоторые менеджеры паролей пытаются использовать виртуальную клавиатуру, чтобы снизить этот риск - хотя это все еще уязвимо для клавиатурных шпионов, которые делают снимки экрана при вводе данных. Этот риск можно снизить с помощью устройства многофакторной проверки .
Некоторые менеджеры паролей включают генератор паролей. Сгенерированные пароли можно угадать, если менеджер паролей использует слабый генератор случайных чисел вместо криптографически безопасного.
Сильный менеджер паролей будет включать ограниченное количество ложных записей аутентификации, разрешенных до того, как менеджер паролей будет заблокирован и потребует повторной активации ИТ-служб. Это лучший способ защиты от перебора.
Менеджеры паролей, которые не предотвращают подкачку своей памяти на жесткий диск, позволяют извлекать незашифрованные пароли с жесткого диска компьютера. Отключение свопа может предотвратить этот риск.
Веб-менеджеры паролей, которые запускаются внутри браузера пользователя, особенно чреваты ловушками. Подробное исследование с использованием нескольких менеджеров паролей выявило следующие возможные недостатки внутри веб-менеджеров паролей:
Кроме того, менеджеры паролей имеют тот недостаток, что любому потенциальному хакеру или вредоносному ПО просто необходимо знать один пароль для доступа ко всем паролям пользователя и что у таких менеджеров есть стандартные места и способы хранения паролей, которые могут быть использованы вредоносными программами.
Различные высококлассные веб-сайты пытались заблокировать менеджеры паролей, часто отказываясь от публичных возражений. В число упомянутых причин входили защита от автоматических атак, защита от фишинга, блокировка вредоносного ПО или просто отрицание совместимости. Программное обеспечение для обеспечения безопасности клиентов Trusteer от IBM имеет явные возможности для блокировки менеджеров паролей.
Такая блокировка подвергалась критике со стороны специалистов по информационной безопасности за то, что пользователи менее безопасны, и это оправдание ложно. Типичная реализация блокировки включает установку autocomplete = 'off' в соответствующем пароле веб-форме. Следовательно, этот параметр теперь игнорируется в Internet Explorer 11 на сайтах https, Firefox 38, Chrome 34 и в Safari примерно из версии 7.0.2.
В статье 2014 года исследователя из Университета Карнеги-Меллона было обнаружено, что хотя браузеры отказываются выполнять автозаполнение, если протокол на текущей странице входа отличается от протокол во время сохранения пароля, некоторые менеджеры паролей могут небезопасно вводить пароли для http-версии сохраненных паролей https. Большинство менеджеров не защищали от iframe и перенаправления атак и предоставляли дополнительные пароли там, где синхронизация паролей использовалась между несколькими устройствами.