Несколько сайтов с электронной почтой, онлайн-магазины, социальные сети, интернет-банкинг. Когда мы используем Интернет в своей жизни, постепенно разрастается список ресурсов, а значит и «ключей» для доступа к ним: логинов и паролей.
Сколько ключей у вас на связке? Три, четыре, возможно пять? — Не думаю, что больше. А вот при подсчете ресурсов и программ, для доступа к которым необходимо ввести определенные данные, число соответствующих «ключей» измеряется десятками. Лично у меня их около 40.
Конечно, не всеми «ключами» мы пользуемся каждодневно, но тот факт, что доступ может потребоваться в любой момент, наталкивает на мысль, что хорошо бы всегда иметь «ключи» при себе.
Носители секретов
Может, стоит переписать все в блокнот или ежедневник? Или в текстовый файл, сохраненный на «флешке»? Первым вариантом обычно пользуются специалисты «старой школы», а второй характерен для молодых специалистов. Оба они имеют сходный недостаток: наличие риска потери носителя с данными. Это, в свою очередь, может привести к необходимости терять время на восстановление «всего, что было нажито непосильным трудом».
Не исключено также, что доступ к данным получит кто-то кроме вас. Когда вы просто забываете такой носитель дома или на работе, то оказываетесь словно без рук. Ведь все там! Если вы по забывчивости не взяли его в командировку, то начинается «увлекательный» квест с поисками того, кто срочно сможет найти и передать вам нужные данные. Врагу не пожелаешь!
В помощь
Для помощи пользователям при работе с большим объемом учетных данных, будь то логины, пароли или другие данные, существует отдельная группа программного обеспечения — менеджеры паролей. Данные, необходимые для авторизации на том или ином ресурсе, хранятся в зашифрованной базе данных. Классификация по месту хранения менеджера и базы данных предусматривает три основные группы.
- Стационарные — программа и база установлены на компьютере или мобильном устройстве пользователя.
- Портативные — программа и база установлены на портативном носителе, например «флешке», которую при необходимости можно подключить к любому компьютеру.
- Сетевые — менеджеры паролей он-лайн. Программная часть реализуется через сайт провайдера услуги. Там же хранится и база данных.
Давайте рассмотрим возможности, преимущества и недостатки наиболее популярных менеджеров паролей.
KeePass
Бесплатная программа для хранения паролей c открытым исходным кодом. Изначально программа была разработана только для операционных систем MS Windows. Далее, начиная со второй версии, она стала кроссплатформенной и работает в ОС MS Windows, Mac OS X и Linux.
KeePass поддерживает алгоритмы Advanced Encryption Standard (AES-256 бит, Rijndael) и Twofish для шифрования паролей своих баз данных. Программа может общаться с пользователем более чем на 40 языках, включая русский. Существует и портативная версия программы KeePass. Кроме того, для мобильных устройств, действующих под управлением операционных систем IOS и Android, доступно большое количество сторонних программных оболочек для работы с базами данных KeePass непосредственно на устройстве.
«Из коробки» KeePass может синхронизировать базы данных с облачным хранилищем DropBox. Синхронизация с другими облачными сервисами поддерживается с помощью сторонних модулей расширения — плагинов. С их помощью можно также существенно расширить и функционал самой программы: импорт / экспорт из / в различные форматы данных, резервное копирование, интеграция в браузеры, автоматизация и пр. Однако плагины написаны независимыми сторонними авторами, а не автором KeePass, поэтому к их использованию надо подходить с осторожностью. Они могут поставить под угрозу безопасность хранения данных.
В числе прочих недостатков упоминается, что KeePass имеет скучный дизайн интерфейса. По моему мнению здесь главное надежность и функциональность. С этим у KeePass все в порядке. Единственный момент: полностью автоматическая синхронизация, а также интеграция в браузеры требуют достаточно вдумчивой настройки, которая не всегда легко дается начинающему пользователю. Но после правильной настройки KeePass будет работать как часы.
Roboform
Первая версия менеджера паролей Roboform фирмы Siber Systems Inc увидела свет в 1999 году. Знаковым стал 2004 год, когда была представлена RoboForm2Go — одна из первых программ для хранения паролей, предназначенная для запуска со съемных носителей. Именно с нее началось мое знакомство с данным типом программ. Наличие русскоязычного интерфейса; интеграция практически со всеми браузерами; шифрование хранимых данных форм и паролей с использованием алгоритмов AES, Blowfish, RC6, 3‑DES, DES; возможность хранения заметок, содержимое которых также можно шифровать. Вставил «флешку», ввел мастер-пароль для доступа к базе, сидишь и работаешь! Удобно!
Однако со временем передо мной встал вопрос об организации хранения паролей и доступа к ним в сфере мобильного Интернета. Благо соответствующие версии Roboform были к тому моменту уже доступны не только для MS Windows, но и Mac OS X, IOS и Android. Присутствует и бесплатная версия для Linux — RoboForm Lite.
Домашний компьютер, ноутбук, смартфон, планшет, офисный компьютер. Пять устройств — пять лицензий? Конечно нет: RoboForm Everywhere. Эта лицензия позволяет использовать RoboForm на всех устройствах. Она включает в себя автоматическую синхронизацию данных с облачным хранилищем RoboForm. Единственный нюанс: лицензия является фактически годовой подпиской на программу, а значит, спустя год ее придется продлевать. Но если программа этого стоит, почему нет?
Значительных претензий к программе у меня никогда не возникало. Все работало отлично и «прямо из коробки». Таким было мое мнение до тех пор, пока я не поработал несколько месяцев с RoboForm for Android. Периодическая потеря плагинов для интеграции со сторонними браузерами, периодическое нежелание принимать правильный мастер-пароль при вводе его в стороннем браузере. Такие недостатки можно простить бесплатной программе, предоставленной по принципу «as is» (в переводе с английского «как есть»), но не коммерческому программному продукту. Оставалась надежда, что с очередным обновлением проблема уйдет, но этого не произошло. После трех лет подписки я «мигрировал» на бесплатный менеджер паролей KeePass.
LastPass
Это кроссплатформенное решение с закрытым исходным кодом было разработано компанией LastPass для хранения паролей. В отличие от предыдущих менеджеров, программа LastPass существует в виде плагинов для всех основных браузеров. Данные хранятся на сервере LastPass в зашифрованном виде. Их расшифровка производится при помощи ключа, который является хэш-функцией от мастер-пароля и e-mail и хранится локально на компьютере пользователя.
При регистрации пользователь получает бесплатный аккаунт с возможностью синхронизации данных с одним устройством. Если требуется обеспечить работу с большим количеством устройств, необходимо платить за годовую подписку.
Еще одной отличительной особенностью программы является ее высокая мобильность. Для доступа нужен лишь компьютер с интернет-браузером и интернет-соединением. Нет необходимости устанавливать дополнительное программное обеспечение, да и риск потерять данные в результате поломки или кражи устройства отсутствует.
Имеются и два недостатка. Первый: нет интернета — нет доступа к данным. Второй: существует риск взлома сайта провайдера услуги.
Dashlane
Самое свежее кроссплатформенное решение в этой категории выделяется красивым интерфейсом и достаточной простотой использования. В бесплатной версии Dashlane доступны менеджер паролей и автоматический заполнитель форм, а также совместное использование до пяти учетных записей.
Одной из интересных функций, реализованных в Dashlane, является возможность автоматизированной пакетной смены своих паролей буквально за один клик на множестве популярных сайтов: Facebook, Twitter, LinkedIn, Pinterest, Amazon, Dropbox и Evernote.
Есть и недостатки. Самый большой — крайне высокая цена платной подписки. Почти 40 $ в год. Это в 2 — 2,5 раза дороже аналогичных подписок от Roboform и LastPass. А без подписки синхронизация данных между устройствами работать не будет. Стоит отметить и отсутствие переносной версии. Присутствует возможность только стационарной установки, причем инсталлятор загружает специальная программа-загрузчик. В условиях ограничения прав доступа на установку программ на рабочем компьютере это может привести к ситуации, когда доступ к своим паролям можно будет получить только через веб-интерфейс сайта Dashlane, к тому же только в режиме read-only.
Упростить не получится
Может быть, просто установить один пароль на все? Или, возможно, два или три? Распределив их по разным ресурсам. Многие пользователи используют именно эту концепцию. Несмотря на возможность запомнить пароли наизусть, такая концепция связана с рядом недостатков.
Во-первых, используются достаточно простые пароли. Дело в том, что нам намного проще запомнить связанные между собой символы. Это может быть последовательность набора символов на клавиатуре, например, «123 456», или же определенное слово. Подобрать такой пароль для взломщика не составляет труда.
Вторым моментом является то обстоятельство, что при доступе к определенному сайту или программе их система безопасности требует определенной стойкости пароля: он должен содержать минимум восемь символов, включать произвольный набор букв и цифр. Чтобы «придумать» пароль, отвечающий подобным требованиям, многие идут на хитрость: набирают русское слово при включенной английской раскладке клавиатуры. В результате, например, название нашего издательства «Агродело» преобразуется в Fuhjltkj. Если же добавить еще одно слово и ряд цифр, то полученный пароль оказывается достаточно надежным даже для доступа к личному кабинету интернет-банкинга. При этом возникает другая проблема. Что делать с мобильными устройствами с экранной клавиатурой, отображающей лишь текущую раскладку, которая, к тому же, может отличаться от раскладки настольной клавиатуры? Переключать раскладку перед набором каждого символа — явно не лучший вариант.
Кстати, не стоит забывать и о трудностях с запоминанием «логина». Конечно, если речь идет о варианте, когда в качестве последнего используется адрес электронной почты, номер телефона или же имя, то подобной проблемы не возникает. Но при доступе на некоторые ресурсы логин является уникальным, например идентификатор пользователя в интернет-банкинге. Его просто нельзя упрощать. Да и не стоит этого делать, пожалуй. Кроме того, для доступа к некоторым государственным сервисам в качестве входных данных используются номера ИНН, СНИЛС, страховой полис и т. д. Запомнить их все наизусть вряд ли возможно, а значит, стоит задуматься о выборе «ключницы».