Несколь­ко сай­тов с элек­трон­ной поч­той, онлайн-мага­зи­ны, соци­аль­ные сети, интер­нет-бан­кинг. Когда мы исполь­зу­ем Интер­нет в сво­ей жиз­ни, посте­пен­но раз­рас­та­ет­ся спи­сок ресур­сов, а зна­чит и «клю­чей» для досту­па к ним: логи­нов и паролей.

Сколь­ко клю­чей у вас на связ­ке? Три, четы­ре, воз­мож­но пять? — Не думаю, что боль­ше. А вот при под­сче­те ресур­сов и про­грамм, для досту­па к кото­рым необ­хо­ди­мо вве­сти опре­де­лен­ные дан­ные, чис­ло соот­вет­ству­ю­щих «клю­чей» изме­ря­ет­ся десят­ка­ми. Лич­но у меня их око­ло 40.

Конеч­но, не все­ми «клю­ча­ми» мы поль­зу­ем­ся каж­до­днев­но, но тот факт, что доступ может потре­бо­вать­ся в любой момент, натал­ки­ва­ет на мысль, что хоро­шо бы все­гда иметь «клю­чи» при себе.

Носители секретов

Может, сто­ит пере­пи­сать все в блок­нот или еже­днев­ник? Или в тек­сто­вый файл, сохра­нен­ный на «флеш­ке»? Пер­вым вари­ан­том обыч­но поль­зу­ют­ся спе­ци­а­ли­сты «ста­рой шко­лы», а вто­рой харак­те­рен для моло­дых спе­ци­а­ли­стов. Оба они име­ют сход­ный недо­ста­ток: нали­чие рис­ка поте­ри носи­те­ля с дан­ны­ми. Это, в свою оче­редь, может при­ве­сти к необ­хо­ди­мо­сти терять вре­мя на вос­ста­нов­ле­ние «все­го, что было нажи­то непо­силь­ным трудом».

Не исклю­че­но так­же, что доступ к дан­ным полу­чит кто-то кро­ме вас. Когда вы про­сто забы­ва­е­те такой носи­тель дома или на рабо­те, то ока­зы­ва­е­тесь слов­но без рук. Ведь все там! Если вы по забыв­чи­во­сти не взя­ли его в коман­ди­ров­ку, то начи­на­ет­ся «увле­ка­тель­ный» квест с поис­ка­ми того, кто сроч­но смо­жет най­ти и пере­дать вам нуж­ные дан­ные. Вра­гу не пожелаешь!

В помощь

Для помо­щи поль­зо­ва­те­лям при рабо­те с боль­шим объ­е­мом учет­ных дан­ных, будь то логи­ны, паро­ли или дру­гие дан­ные, суще­ству­ет отдель­ная груп­па про­грамм­но­го обес­пе­че­ния — мене­дже­ры паро­лей. Дан­ные, необ­хо­ди­мые для авто­ри­за­ции на том или ином ресур­се, хра­нят­ся в зашиф­ро­ван­ной базе дан­ных. Клас­си­фи­ка­ция по месту хра­не­ния мене­дже­ра и базы дан­ных преду­смат­ри­ва­ет три основ­ные группы.

• Ста­ци­о­нар­ные — про­грам­ма и база уста­нов­ле­ны на ком­пью­те­ре или мобиль­ном устрой­стве пользователя.
• Пор­та­тив­ные — про­грам­ма и база уста­нов­ле­ны на пор­та­тив­ном носи­те­ле, напри­мер «флеш­ке», кото­рую при необ­хо­ди­мо­сти мож­но под­клю­чить к любо­му компьютеру.
• Сете­вые — мене­дже­ры паро­лей он-лайн. Про­грамм­ная часть реа­ли­зу­ет­ся через сайт про­вай­де­ра услу­ги. Там же хра­нит­ся и база данных.

Давай­те рас­смот­рим воз­мож­но­сти, пре­иму­ще­ства и недо­стат­ки наи­бо­лее попу­ляр­ных мене­дже­ров паролей.

KeePass

Бес­плат­ная про­грам­ма для хра­не­ния паро­лей c откры­тым исход­ным кодом. Изна­чаль­но про­грам­ма была раз­ра­бо­та­на толь­ко для опе­ра­ци­он­ных систем MS Windows. Далее, начи­ная со вто­рой вер­сии, она ста­ла крос­сплат­фор­мен­ной и рабо­та­ет в ОС MS Windows, Mac OS X и Linux.

KeePass под­дер­жи­ва­ет алго­рит­мы Advanced Encryption Standard (AES-256 бит, Rijndael) и Twofish для шиф­ро­ва­ния паро­лей сво­их баз дан­ных. Про­грам­ма может общать­ся с поль­зо­ва­те­лем более чем на 40 язы­ках, вклю­чая рус­ский. Суще­ству­ет и пор­та­тив­ная вер­сия про­грам­мы KeePass. Кро­ме того, для мобиль­ных устройств, дей­ству­ю­щих под управ­ле­ни­ем опе­ра­ци­он­ных систем IOS и Android, доступ­но боль­шое коли­че­ство сто­рон­них про­грамм­ных обо­ло­чек для рабо­ты с база­ми дан­ных KeePass непо­сред­ствен­но на устройстве.

«Из короб­ки» KeePass может син­хро­ни­зи­ро­вать базы дан­ных с облач­ным хра­ни­ли­щем DropBox. Син­хро­ни­за­ция с дру­ги­ми облач­ны­ми сер­ви­са­ми под­дер­жи­ва­ет­ся с помо­щью сто­рон­них моду­лей рас­ши­ре­ния — пла­ги­нов. С их помо­щью мож­но так­же суще­ствен­но рас­ши­рить и функ­ци­о­нал самой про­грам­мы: импорт / экс­порт из / в раз­лич­ные фор­ма­ты дан­ных, резерв­ное копи­ро­ва­ние, инте­гра­ция в бра­у­зе­ры, авто­ма­ти­за­ция и пр. Одна­ко пла­ги­ны напи­са­ны неза­ви­си­мы­ми сто­рон­ни­ми авто­ра­ми, а не авто­ром KeePass, поэто­му к их исполь­зо­ва­нию надо под­хо­дить с осто­рож­но­стью. Они могут поста­вить под угро­зу без­опас­ность хра­не­ния данных.

В чис­ле про­чих недо­стат­ков упо­ми­на­ет­ся, что KeePass име­ет скуч­ный дизайн интер­фей­са. По мое­му мне­нию здесь глав­ное надеж­ность и функ­ци­о­наль­ность. С этим у KeePass все в поряд­ке. Един­ствен­ный момент: пол­но­стью авто­ма­ти­че­ская син­хро­ни­за­ция, а так­же инте­гра­ция в бра­у­зе­ры тре­бу­ют доста­точ­но вдум­чи­вой настрой­ки, кото­рая не все­гда лег­ко дает­ся начи­на­ю­ще­му поль­зо­ва­те­лю. Но после пра­виль­ной настрой­ки KeePass будет рабо­тать как часы.

Roboform

Пер­вая вер­сия мене­дже­ра паро­лей Roboform фир­мы Siber Systems Inc уви­де­ла свет в 1999 году. Зна­ко­вым стал 2004 год, когда была пред­став­ле­на RoboForm2Go — одна из пер­вых про­грамм для хра­не­ния паро­лей, пред­на­зна­чен­ная для запус­ка со съем­ных носи­те­лей. Имен­но с нее нача­лось мое зна­ком­ство с дан­ным типом про­грамм. Нали­чие рус­ско­языч­но­го интер­фей­са; инте­гра­ция прак­ти­че­ски со все­ми бра­у­зе­ра­ми; шиф­ро­ва­ние хра­ни­мых дан­ных форм и паро­лей с исполь­зо­ва­ни­ем алго­рит­мов AES, Blowfish, RC6, 3‑DES, DES; воз­мож­ность хра­не­ния заме­ток, содер­жи­мое кото­рых так­же мож­но шиф­ро­вать. Вста­вил «флеш­ку», ввел мастер-пароль для досту­па к базе, сидишь и рабо­та­ешь! Удобно!

Одна­ко со вре­ме­нем пере­до мной встал вопрос об орга­ни­за­ции хра­не­ния паро­лей и досту­па к ним в сфе­ре мобиль­но­го Интер­не­та. Бла­го соот­вет­ству­ю­щие вер­сии Roboform были к тому момен­ту уже доступ­ны не толь­ко для MS Windows, но и Mac OS X, IOS и Android. При­сут­ству­ет и бес­плат­ная вер­сия для Linux — RoboForm Lite.

Домаш­ний ком­пью­тер, ноут­бук, смарт­фон, план­шет, офис­ный ком­пью­тер. Пять устройств — пять лицен­зий? Конеч­но нет: RoboForm Everywhere. Эта лицен­зия поз­во­ля­ет исполь­зо­вать RoboForm на всех устрой­ствах. Она вклю­ча­ет в себя авто­ма­ти­че­скую син­хро­ни­за­цию дан­ных с облач­ным хра­ни­ли­щем RoboForm. Един­ствен­ный нюанс: лицен­зия явля­ет­ся фак­ти­че­ски годо­вой под­пис­кой на про­грам­му, а зна­чит, спу­стя год ее при­дет­ся про­дле­вать. Но если про­грам­ма это­го сто­ит, поче­му нет?

Зна­чи­тель­ных пре­тен­зий к про­грам­ме у меня нико­гда не воз­ни­ка­ло. Все рабо­та­ло отлич­но и «пря­мо из короб­ки». Таким было мое мне­ние до тех пор, пока я не пора­бо­тал несколь­ко меся­цев с RoboForm for Android. Пери­о­ди­че­ская поте­ря пла­ги­нов для инте­гра­ции со сто­рон­ни­ми бра­у­зе­ра­ми, пери­о­ди­че­ское неже­ла­ние при­ни­мать пра­виль­ный мастер-пароль при вво­де его в сто­рон­нем бра­у­зе­ре. Такие недо­стат­ки мож­но про­стить бес­плат­ной про­грам­ме, предо­став­лен­ной по прин­ци­пу «as is» (в пере­во­де с англий­ско­го «как есть»), но не ком­мер­че­ско­му про­грамм­но­му про­дук­ту. Оста­ва­лась надеж­да, что с оче­ред­ным обнов­ле­ни­ем про­бле­ма уйдет, но это­го не про­изо­шло. После трех лет под­пис­ки я «мигри­ро­вал» на бес­плат­ный мене­джер паро­лей KeePass.

LastPass

Это крос­сплат­фор­мен­ное реше­ние с закры­тым исход­ным кодом было раз­ра­бо­та­но ком­па­ни­ей LastPass для хра­не­ния паро­лей. В отли­чие от преды­ду­щих мене­дже­ров, про­грам­ма LastPass суще­ству­ет в виде пла­ги­нов для всех основ­ных бра­у­зе­ров. Дан­ные хра­нят­ся на сер­ве­ре LastPass в зашиф­ро­ван­ном виде. Их рас­шиф­ров­ка про­из­во­дит­ся при помо­щи клю­ча, кото­рый явля­ет­ся хэш-функ­ци­ей от мастер-паро­ля и e-mail и хра­нит­ся локаль­но на ком­пью­те­ре пользователя.

При реги­стра­ции поль­зо­ва­тель полу­ча­ет бес­плат­ный акка­унт с воз­мож­но­стью син­хро­ни­за­ции дан­ных с одним устрой­ством. Если тре­бу­ет­ся обес­пе­чить рабо­ту с боль­шим коли­че­ством устройств, необ­хо­ди­мо пла­тить за годо­вую подписку.

Еще одной отли­чи­тель­ной осо­бен­но­стью про­грам­мы явля­ет­ся ее высо­кая мобиль­ность. Для досту­па нужен лишь ком­пью­тер с интер­нет-бра­у­зе­ром и интер­нет-соеди­не­ни­ем. Нет необ­хо­ди­мо­сти уста­нав­ли­вать допол­ни­тель­ное про­грамм­ное обес­пе­че­ние, да и риск поте­рять дан­ные в резуль­та­те полом­ки или кра­жи устрой­ства отсутствует.

Име­ют­ся и два недо­стат­ка. Пер­вый: нет интер­не­та — нет досту­па к дан­ным. Вто­рой: суще­ству­ет риск взло­ма сай­та про­вай­де­ра услуги.

Dashlane

Самое све­жее крос­сплат­фор­мен­ное реше­ние в этой кате­го­рии выде­ля­ет­ся кра­си­вым интер­фей­сом и доста­точ­ной про­сто­той исполь­зо­ва­ния. В бес­плат­ной вер­сии Dashlane доступ­ны мене­джер паро­лей и авто­ма­ти­че­ский запол­ни­тель форм, а так­же сов­мест­ное исполь­зо­ва­ние до пяти учет­ных записей.

Одной из инте­рес­ных функ­ций, реа­ли­зо­ван­ных в Dashlane, явля­ет­ся воз­мож­ность авто­ма­ти­зи­ро­ван­ной пакет­ной сме­ны сво­их паро­лей бук­валь­но за один клик на мно­же­стве попу­ляр­ных сай­тов: Facebook, Twitter, LinkedIn, Pinterest, Amazon, Dropbox и Evernote.

Есть и недо­стат­ки. Самый боль­шой — крайне высо­кая цена плат­ной под­пис­ки. Почти 40 $ в год. Это в 2 — 2,5 раза доро­же ана­ло­гич­ных под­пи­сок от Roboform и LastPass. А без под­пис­ки син­хро­ни­за­ция дан­ных меж­ду устрой­ства­ми рабо­тать не будет. Сто­ит отме­тить и отсут­ствие пере­нос­ной вер­сии. При­сут­ству­ет воз­мож­ность толь­ко ста­ци­о­нар­ной уста­нов­ки, при­чем инстал­ля­тор загру­жа­ет спе­ци­аль­ная про­грам­ма-загруз­чик. В усло­ви­ях огра­ни­че­ния прав досту­па на уста­нов­ку про­грамм на рабо­чем ком­пью­те­ре это может при­ве­сти к ситу­а­ции, когда доступ к сво­им паро­лям мож­но будет полу­чить толь­ко через веб-интер­фейс сай­та Dashlane, к тому же толь­ко в режи­ме read-only.

Упростить не получится

Может быть, про­сто уста­но­вить один пароль на все? Или, воз­мож­но, два или три? Рас­пре­де­лив их по раз­ным ресур­сам. Мно­гие поль­зо­ва­те­ли исполь­зу­ют имен­но эту кон­цеп­цию. Несмот­ря на воз­мож­ность запом­нить паро­ли наизусть, такая кон­цеп­ция свя­за­на с рядом недостатков.

Во-пер­вых, исполь­зу­ют­ся доста­точ­но про­стые паро­ли. Дело в том, что нам намно­го про­ще запом­нить свя­зан­ные меж­ду собой сим­во­лы. Это может быть после­до­ва­тель­ность набо­ра сим­во­лов на кла­ви­а­ту­ре, напри­мер, «123 456», или же опре­де­лен­ное сло­во. Подо­брать такой пароль для взлом­щи­ка не состав­ля­ет труда.

Вто­рым момен­том явля­ет­ся то обсто­я­тель­ство, что при досту­пе к опре­де­лен­но­му сай­ту или про­грам­ме их систе­ма без­опас­но­сти тре­бу­ет опре­де­лен­ной стой­ко­сти паро­ля: он дол­жен содер­жать мини­мум восемь сим­во­лов, вклю­чать про­из­воль­ный набор букв и цифр. Что­бы «при­ду­мать» пароль, отве­ча­ю­щий подоб­ным тре­бо­ва­ни­ям, мно­гие идут на хит­рость: наби­ра­ют рус­ское сло­во при вклю­чен­ной англий­ской рас­клад­ке кла­ви­а­ту­ры. В резуль­та­те, напри­мер, назва­ние наше­го изда­тель­ства «Агро­де­ло» пре­об­ра­зу­ет­ся в Fuhjltkj. Если же доба­вить еще одно сло­во и ряд цифр, то полу­чен­ный пароль ока­зы­ва­ет­ся доста­точ­но надеж­ным даже для досту­па к лич­но­му каби­не­ту интер­нет-бан­кин­га. При этом воз­ни­ка­ет дру­гая про­бле­ма. Что делать с мобиль­ны­ми устрой­ства­ми с экран­ной кла­ви­а­ту­рой, отоб­ра­жа­ю­щей лишь теку­щую рас­клад­ку, кото­рая, к тому же, может отли­чать­ся от рас­клад­ки настоль­ной кла­ви­а­ту­ры? Пере­клю­чать рас­клад­ку перед набо­ром каж­до­го сим­во­ла — явно не луч­ший вариант.

Кста­ти, не сто­ит забы­вать и о труд­но­стях с запо­ми­на­ни­ем «логи­на». Конеч­но, если речь идет о вари­ан­те, когда в каче­стве послед­не­го исполь­зу­ет­ся адрес элек­трон­ной почты, номер теле­фо­на или же имя, то подоб­ной про­бле­мы не воз­ни­ка­ет. Но при досту­пе на неко­то­рые ресур­сы логин явля­ет­ся уни­каль­ным, напри­мер иден­ти­фи­ка­тор поль­зо­ва­те­ля в интер­нет-бан­кин­ге. Его про­сто нель­зя упро­щать. Да и не сто­ит это­го делать, пожа­луй. Кро­ме того, для досту­па к неко­то­рым госу­дар­ствен­ным сер­ви­сам в каче­стве вход­ных дан­ных исполь­зу­ют­ся номе­ра ИНН, СНИЛС, стра­хо­вой полис и т. д. Запом­нить их все наизусть вряд ли воз­мож­но, а зна­чит, сто­ит заду­мать­ся о выбо­ре «ключ­ни­цы».