Как и где лучше хранить пароли от сайтов?

Опубликовано: Компьютерная техника
8 лучших менеджеров паролей для обеспечения безопасности ваших учетных записей (2022 г.)

Менеджер паролей Sticky Password

Условно бесплатная программа с более широкими возможностями при покупке премиум версии. Работает на основе Windows, MacOS, Android и iOS, а также автоматической синхронизацией между всеми гаджетами. Синхронизация не поддерживается при подключении бесплатной версии.

Программа для входа использует многократную аутентификацию, алгоритм шифрования AES-256. Вся информация о ваших данных храниться на устройстве, а не в облачном хранилище, что добавляет плюс к уровню безопасности. Программа выполняет такие функции:

К недостаткам можно отнести слишком урезанную бесплатную версию программы для запоминания паролей.

Protect – менеджер паролей Яндекс.Браузера

Несмотря на то, что браузер мог легко скопировать механизм работы с паролями из Chromium, разработчики пошли своим путём и усложнили алгоритм. Protect предполагает стойкое AES-шифрование с ключом, защищённым мастер-паролем (в обход штатных средств операционной системы). Иными словами, даже имея на руках файл хранилища и ключ от него, расшифровать злоумышленник ничего не сможет, пока не введёт пароль от ключа.

Плюсы

  • Комплексная система защиты пользователей от различных интернет-угроз.
  • Хранение и автозаполнение различных данных (номеров карт, адресов, паролей, логинов).
  • Усиленная защита хранилища паролей по сравнению с реализацией Chrome (если задан мастер-пароль, злоумышленник не сможет подсмотреть пароли даже при кратковременном доступе к устройству/браузеру).
  • Стойкое шифрование военного уровня.
  • Есть встроенный генератор паролей.
  • Поддерживается биометрическая идентификация на мобильных устройствах и двухфакторная авторизация на всех платформах.
  • Встроен в браузер (не требует установки отдельных дополнений и аккаунтов).
  • Возможно импортирование паролей из других браузеров.

Минусы

  • Менеджер паролей работает только в браузере Яндекса.
  • Ограниченные возможности управления паролями (нет деления на категории и подкатегории, можно хранить только пароли для сайтов, нет примечаний и т.п.).
  • Здесь не получится хранить пароли от приложений и ключей шифрования.
  • Если задан мастер-пароль, восстановить пароли сайтов без файлов профиля не получится даже при наличии активной синхронизации (ключ шифрования хранится оффлайн, при его утере расшифровать пароли нельзя).
  • Яндекс.Браузер пока не умеет проверять пароли на утечку, как его «старший брат» Chrome.

Стоимость

Использование браузера Яндекса и всего встроенного ПО, включая менеджер паролей – полностью бесплатное. Функционал не расходует место в облачном диске и не устанавливает каких-либо ограничений по количеству записей.

BitWarden

Бесплатный менеджер с открытым исходным кодом без проблем регистрирует российские аккаунты и поддерживает все основные функции. Программа кроссплатформенная: есть онлайн-версия, а также клиенты для Windows, Mac и Linux, мобильные приложения для обеих операционных систем и браузерные расширения.

Менеджер использует сквозное шифрование и позволяет хранить банковские карты, паспортные и другие личные данные, файлы — все можно распределить по папкам. Количество паролей и логинов не ограничено. Также есть возможность вносить защищенные от посторонних глаз заметки.

Программа периодически проверяет, не скомпрометирован ли ваш пароль и даже предлагает просканировать мастер-ключ. Генератор комбинаций и автозаполнение тоже есть, как и функции импорта и экспорта данных. Наконец, приложение позволяет включить двухфакторную аутентификацию через специальную программу или электронную почту, и это тоже бесплатно.

Премиум-подписку из России оплатить нельзя из-за блокировки карт Visa и MasterCard, но большинству пользователей она и не потребуется. В платный тариф входят дополнительные способы двухэтапной аутентификации, а также так называемая гигиена паролей, когда сервис сам следит за сроками замены шифров и присылает отчеты об утечках.

Возможности приложения

У нас есть несколько способов работы с MultiPassword:

  • С приложением, установленным на компьютер.
  • В качестве расширения для браузера.
  • Облако (веб-версия).

Рассмотрим подробнее данные способы.

Диспетчер паролей MultiPassword для компьютеров

Десктопная версия MultiPassword — простой в понимании и довольно удобный парольный менеджер, не нагруженный излишним функционалом. В список возможностей программы входит:

1. Возможность автоматического наполнения базы логинами/паролями, вводимыми на посещаемых пользователем сайтах. А также автоматическое заполнение веб-форм ранее сохраненным логином и паролем. Для работы этой функции в используемый браузер требуется установить расширение/плагин/аддон MultiPassword.

2. Быстрый переход на страницу сайта с веб-формой ввода логина и пароля (достаточно кликнуть по кнопке «Перейти на сайт» напротив записи в базе):

3. Возможность добавления к записям (логин/пароль) дополнительных текстовых полей для заметок, комментариев и т.д.

4. Наличие встроенного генератора сложных (надежных) паролей, позволяющий генерировать парольные фразы по заданным критериям (количество и тип используемых в пароле символов):

5. Наличие системы оценки уровня надежности паролей. В основной (домашней) вкладке программы наглядно отображаются соответствующие сведения: количество «Очень надежных», «Надежных» и «Слабых» паролей. Кроме того, здесь также отображается количество «Повторяющихся» парольных фраз. Если кликнуть по одному из пунктов, можно будет вывести на экран логины/пароли, относящиеся к той или иной группе:

6. Возможность создания дополнительных хранилищ для группировки/сортировки логинов/паролей и/или текстовых записей:

7. Возможность импорта паролей из других менеджеров и/или браузеров (сохраненных там в ходе веб-серфинга). Также из MultiPassword можно экспортировать все сохраненные в базе пароли в табличный CSV-файл.

8. Наличие встроенного поиска логинов/паролей по введенным пользователем символам/словам:

9. Функция автоматической блокировки программы при длительном бездействии пользователя.

Программа для Windows и MAC OS может работать в офлайн-режиме (без доступа в интернет). Все вносимые пользователем изменения будут автоматически синхронизованы с удаленным сервером при первом же подключении к интернету.

Расширение MultiPassword для браузеров

На данный момент существует поддержка для большинства популярных браузеров:

Как отмечалось выше, для возможности автоматического сохранения паролей из браузеров и их последующего автоматического ввода в веб-формы, требуется установить одноименное расширение (можно бесплатно скачать из онлайн-магазина того или иного браузера). Однако плагин MultiPassword может использоваться и самостоятельно:

Браузерный менеджер паролей MultiPassword обладает теми же функциями, что и его десктопная версия. Пользователи могут просматривать сохраненные пароли, добавлять новые, распределять их по группам и т.д.

Среди собственных возможностей расширения MultiPassword стоит отметить функцию замещения стандартного браузерного менеджера паролей. Ее можно задействовать в настройках. Включив данную функцию, пользователь разрешит плагину MultiPassword сохранять вводимые логины/пароли и заполнять ими веб-формы — все то же самое, что умеет и браузер, но более безопасно.

Веб-версия MultiPassword

При отсутствии возможности (или иным причинам) использования клиентской программы MultiPassword для ПК и расширения для браузеров пользователь всегда может просматривать, создавать и управлять паролями из личного кабинета на официальном сайте парольного менеджера.

Как и в случае с расширением MultiPassword, веб-версия менеджера обладает таким же функционалом, как и десктопная программа, за исключение того, что добавление и редактирование записей осуществляется исключительно вручную.

Менеджеры паролей для Linux

Менеджеры паролей на Linux имеют разную степень проработки, доступность кода и схему распространения. Большая их часть бесплатна или же имеет freemium версию, ограничения которой вы вряд ли заметите.

1. KeePassXC

Пожалуй, стоит начать с самого популярного менеджера паролей на Linux – KeePass, а именно его обновлённой и доработанной сообществом версии – KeePassXC. На текущий момент именно она разрабатывается наиболее активно. Если говорить о сохранности паролей, то открытый код действительно имеет значение и гарантирует отсутствие бэкдоров.

По результатам тестов было выявлено, что KeePass не подвержен основным атакам, вроде кейлоггеров и прямому взлому базы паролей.

Для установки KeePassXC можно воспользоваться командой:

2. KeeWeb

KeeWeb – это ещё одно ответвление KeePass. Оно интересно сразу по нескольким причинам. Во-первых, оно имеет современный интерфейс с несколькими темами. Во-вторых, у приложения есть онлайн версия, причём её функциональность практически полностью повторяет возможности десктопной программы. Единственным существенным ограничением является невозможность одновременной работы с базой, открыть можно, а вот сохранить изменения нельзя.

Русский язык доступен через плагины. Пока что большая часть плагинов – это локализации и темы оформления.

3. Bitwarden

Другим популярным менеджером паролей с открытым кодом является Bitwarden. Он не хранит базу локально на компьютере и для работы с программой требуется создание учётной записи. Но это не значит, что хранить в нём пароли небезопасно. Мастер-пароль, или как в данном случае пароль от аккаунта, знаете только вы, а на сервере хранится его хеш-функция. Расшифровать её обратно не представляется возможным, а следовательно, и ваша база принадлежит только вам.

Интерфейс программы заметно выигрывает у KeePass. Ещё можно отметить несколько доступных типов записей и наличие расширений для браузеров.

Bitwarden устанавливается из snap-пакета командой:

4. Encryptr

Если же вам нужен максимально простой менеджер паролей, то обратите своё внимание на Encryptr. Интерфейс имеет всего пару кнопок и строку поиска

Но даже этого достаточно для того, чтобы хранить свои пароли.

Перевода на русский язык у программы нет, но и без этого запутаться очень сложно. Существенным недостатком является система поиска. Он проводится только по значениям Item Name, поэтому к этой позиции стоит подходить со всей ответственностью.

5. Enpass

Enpass позволяет сохранить не только пароли, но и множество другой информации. По сути вы можете воспользоваться заметками, все остальное больше напоминает базу данных. Да, возможно у вас появится необходимость сохранить данные о кредите, страховке и так далее, но скорее всего из дюжины предложенных полей вы воспользуетесь всего двумя-тремя.

Как и в случае с Biwarden вам доступна не только настольная версия программы, но ещё и расширения для браузеров. Это заметно упрощает использование вашей базы для входа на сайты. База хранится локально, но её можно синхронизировать с другими устройствами через облако.

Перед установкой необходимо добавить репозиторий, поэтому потребуется ввести в консоль сразу несколько команд:

6. MYKI

Менеджер паролей MYKI появился не так давно, но это всё же плюс. Он разработан с учётом современных требований и доступных технологий. Аккаунт привязывается к номеру мобильного телефона, а доступ к базе паролей можно получить несколькими способами: в программе, в расширении браузера или же в приложении на смартфоне.

К сожалению, русского языка в приложении нет, но даже без него разобраться в программе не сложно. В наличии имеются расширения для браузеров.

Браузерные расширения

Конечно, вы можете использовать встроенный в браузер менеджер паролей, но гораздо удобнее работать в отдельном расширении. Какие-то из них функционируют самостоятельно, другие требуют наличия установленного на компьютере менеджера. Например, популярный в Windows SafeInCloud тоже имеет расширения для браузера, но работает только совместно с установленным менеджером, которого на Linux нет. Но вы можете установить расширения к вышеперечисленным программам: Bitwarden, Enpass, MYKI. Также стоит присмотреться к самостоятельным расширениям, вроде Lastpass на скриншоте выше.

Dashlane – комплексный коммерческий онлайн-сервис с VPN-тарифом

Dashlane — это наиболее простой менеджер паролей на фоне конкурентов. Но это скорее плюс, чем минус: меньше настроек, проще работа. У Dashlane нет оффлайн-клиентов (если не считать мобильные приложения и приложения для бизнес-клиентов), ведь это web-приложение. Управление аккаунтом и паролями осуществляется через web-интерфейс. Отличительная особенность, помимо бесплатного тарифа – наличие встроенного VPN-сервиса (для защиты персональных данных от перехвата).

Плюсы

  • Максимально простой и понятный интерфейс.
  • Пароли и персональные данные хранятся в «облаке» (поэтому всегда актуальны на всех устройствах).
  • Нет ограничений по количеству устройств на 1 пользователя.
  • Есть бесплатный тарифный план.
  • В подписку включён сервис VPN.
  • Пароли в хранилище автоматически проверяются на утечки, на дублирование и на устойчивость к взлому.
  • Есть возможность импорта.
  • Поддерживается семейная подписка.
  • Паролями можно безопасно поделиться (между аккаунтами Dashlane).

Минусы

  • Импорт работает только через CSV-файлы.
  • Нет оффлайн-приложений (только расширения для браузеров и мобильные приложения).
  • Интерфейс не имеет поддержки русского языка.
  • Нет возможности организации защищённого хранилища для файлов (только пароли и текстовые записи).
  • Бесплатный тариф имеет существенные ограничения – не более 50 записей и только 1 устройство.

Стоимость

Бесплатный тариф здесь нефункциональный (мало кто сможет уложиться в 50 записей). Платные подписки для личного использования: личная (от 3,33 USD/месяц), семейная на 5 человек (от 4,99 USD/месяц), бизнес-решение (от 5 USD/месяц за 1 сотрудника).

Хакеры находят секретные данные в JavaScript-файлах

  • Для отладочных целей.
  • Для целей локальной разработки.
  • В виде комментариев, предназначенных для тех, кто будет поддерживать проект позже.

meggf

▍Что делать?

  • Минифицируйте код. Благодаря этому код обфусцируется. Подобная обработка кода обратима, но благодаря ей можно обойти многие автоматические сканеры, что уменьшает потенциальные возможности атаки.
  • Оставляйте в коде только абсолютный минимум ключей и путей к API. В то время как без некоторых из них обойтись не получится, о большинстве из них сказать того же самого нельзя. Оставляйте в коде только те ключи, которым совершенно необходимо в нём присутствовать.
  • Понизьте разрешения, связанные с ключами, до абсолютного минимума. Если вспомнить пример с сервисом картографической информации, то можно сказать, что ключи должны быть такими, чтобы с их помощью можно было бы делать только то, для чего они предназначены, и чтобы пользоваться ими можно было бы только там, где они должны использоваться. Удостоверьтесь в том, что эти ключи нельзя использовать для атаки на систему.
  • Используйте те же инструменты для автоматического сканирования кода, которые используют хакеры. Включайте их в системы непрерывной интеграции. Особенно это касается средств для поиска строковых паттернов, которые работают очень быстро. Используйте простые инструменты вроде или для поиска строк. Такая проверка кода сродни тестам. Она позволяет убедиться в том, что разработчики не оставляют в коде дыр, которыми может воспользоваться злоумышленник для взлома системы.
  • Внедрите у себя практику код-ревью. Всегда полезно, когда кто-то проверяет ваш код. Все автоматические сканеры мира не способны выявить 100% возможных проблем. Код-ревью — это отличный способ повышения качества и защищённости кода.

Способы хранения паролей

Существует несколько вариантов надежного хранения паролей:

  • В облаке. Доступ к онлайн-хранилищу можно получить с любого устройства при наличии подключения к интернету. Пароли как правило хранятся в текстовом файле. Если ноутбук и смартфон украдут или сломается, то восстановить данные будет очень просто. Как правило, все данные в облачном хранилище шифруются. Достаточно будет запомнить один пароль от аккаунта облака или от файла, если он дополнительно зашифрован, или оба пароля.
  • В браузере. В этом случае все комбинации запомненных логинов и паролей будут вводиться автоматически. Вот только сохранятся они до первой неудачной переустановки браузера, а после этого восстановить их будет невозможно. Поэтому это не самый оптимальный вариант.
  • На внешнем носителе. Флешка удобна тем, что ее можно носить с собой. Но она может сломаться или попасть в руки к третьим лицам. Чтобы пароли не были моментально считаны, информацию в текстовом файле можно зашифровать с помощью специальной программы или встроенной функции редактора Microsoft Word. Все, что требуется запомнить в данном случае, — единый мастер-пароль.
  • С помощью специального приложения-хранилища. У этого способа есть множество преимуществ: к нему можно получить доступ с любого устройства, достаточно запомнить единый пароль и данные профиля.

Таким образом, наиболее оптимальным способом является применение специального приложения или флешка с зашифрованными данными.

QtPass

KeePass может быть наиболее авторитетным вариантом в этом списке, но это не значит, что это единственный инструмент, который обслуживает более техничных среди нас. Pass – это инструмент командной строки, который хранит каждый пароль в отдельном зашифрованном файле GPG.

Благодаря QtPass вы можете использовать пассивный подход к безопасности без использования терминала. QtPass – это инструмент для рабочего стола, который позволяет вам управлять своими паролями, не изучая ни одной команды. Вы можете выполнять большинство тех же функций, что и версия для командной строки.

Скачать: QtPass (бесплатно)

Место сохранения паролей для программы Skype и проблемы просмотра искомых комбинаций

Достаточно часто приходится выяснять, где на компьютере хранятся пароли от установленных программ. В частности, это касается популярного приложения Skype, с которым в последнее время у многих пользователей наблюдаются проблемы входа в собственные аккаунты.

Установленное приложение хранит пользовательскую комбинаций в специальном XML-файле, где паролю соответствует значение хэша (<hash>). Да, но здесь пароль представлен в 16-ричном виде и просто так просмотреть его не получится. Поэтому для таких целей необходимо использовать HEX-редактор. Но и применение таких утилит без соответствующих знаний результата может не дать.

Программы для хранения паролей

Одним из надежных способов сберечь свои пароли от посторонних глаз или, не дай бог –кражи, являются специальные программы для компьютера.

В пользу использования программ для хранения говорит два весомых аргумента:

  1. Вы можете сохранить не только пароль, но и другие данные учетной записи.
  2. Все вводимые данные надежно шифруются, тем самым предотвращая возможность кражи.

Из минусов стоит отметить:

  1. Забыв пароль от программы, вы потеряете доступ ко всем своим паролям.
  2. При возникновении критических неполадок в операционной системе, требующих ее переустановки, вы так же лишаетесь всех данных.

В описанных выше случаях, будет уместна поговорка – «Не храните все яйца в одной корзине».

Давайте перейдем к обзору самых популярных программ.

Lastpass

Явным представителем популярных диспетчеров паролей, является «lastpass». Сервис представлен не в виде привычных всем программ для Windows, а расширениями для каждого браузера в отдельности.

Сохраненные доступы к почте, социальным сетям и другим сайтам в Lastpass, будут помещены в отдельном зашифрованном файле на вашем компьютере, а для обладателей «Premium» версии еще и в надежном облачном хранилище.

Дополнительными плюсами в использовании «Ластпасс» будут:

  1. Доступ к хранимым данным из любого установленного браузера. Расширение связывается с созданной учетной записью и затем с файлом на вашем ПК, хранящим пароли.
  2. Lastpass – позволяет заполнять формы авторизации на сайтах в один клик.

Перейдем к знакомству с предлагаемым функционалом на основе браузера Chrome.

После успешной установки, вам будет предложено завести учетную запись на сервисе.

Окончив процесс регистрации, откройте расширение, значок которого находится в правом верхнем углу браузера.

В интерфейсе расширения, во вкладке «Сайты», выберите пункт «Добавить сайт».

Перед вами откроется новое окно браузера, с формой ввода данных для сохранения. Поле «Url» необходимо для авто-заполнения форм, с остальными должно быть все понятно.

Сохраненные пароли можно найти и изменить, перейдя в «Хранилище данных».

Работа с расширением Lastpass в других браузерах, абсолютно аналогична.

Keepass password safe

Keepass – классическая программа для хранения паролей, устанавливаемая непосредственно на компьютер. В отличие от предыдущего продукта, доступ к паролям, сохраняемым в Keepass происходит через интерфейс программы, что является несомненным плюсом для безопасности.

Я рекомендую устанавливать «Portable» версию на отдельный flash носитель, так вы убережете данные от «случайной» потери, в случаях, описанных выше.

После скачивания, распакуйте файлы zip архива в отдельную папку и откройте файл «KeePass.exe».

Для надежного хранения паролей создайте «Master Password» и «Key file», необходимые для доступа к сохраняемым данным.

Для завершения операции потребуется сделать несколько движений мышью, предварительно нажав «Use mouse as Random Source».

Сохранить пароль вы можете, нажав значок, показанный на скриншоте.

Выбирая из двух рассмотренных решений, мой личный выбор остановился именно на Keepass password safe, так как он обеспечивает более надежную защиту паролей, благодаря:

  1. Хранению всех данных непосредственно на компьютере.
  2. Возможности установки программы на flash носитель.
  3. Доступу ко всем данным с использованием «Key file».

С программами закончили, перечислим более «традиционные» способы хранения паролей.

  1. Записать в ежедневнике. «Бумажный носитель» — самый распространенный и крайне надежный способ, главное записывать все на один лист и не забыть место куда его положили.
  2. В мобильном телефоне. Записать пароль в любое устройство, находящееся всегда с вами – хорошее решение, главное позаботится о сокрытии файла с паролями от посторонних глаз.
  3. Отдельная «флешка». Создав отдельный текстовый документ для своих паролей и поместив этот файл на специально купленную для этого флешку – вы надежно обезопасите данные от утери или кражи. Главным минусом такого способа, с которым столкнулся лично я, является – обновление записанных данных, вечно забываю это делать.

В конце, стоит упомянуть — когда вы думаете о том, где бы сохранить свой пароль, важно помнить несколько важных правил: никогда не оставляйте бумажки с паролями в паспорте или кошельке, т.к. это самые ненадёжные места. Не пишите пин-код на своей карте, это также небезопасно

Не забывайте, что кошелёк и паспорт — очень заманчивые предметы для воров

Не пишите пин-код на своей карте, это также небезопасно. Не забывайте, что кошелёк и паспорт — очень заманчивые предметы для воров.

И не забывайте о банальных правилах безопасности в интернете, тогда все ваши данные будут в сохранности.

NordPass – лучший менеджер паролей

При желании вы можете вообще не использовать «облачную» синхронизацию и работать с паролями оффлайн. Помимо менеджера паролей, вы можете воспользоваться другими сервисами разработчика: VPN и NordLocker (зашифрованный облачный диск). Из дополнительных инструментов менеджера паролей предоставляются: генератор паролей, проверка их на стойкость и средство поиска утечек (разглашённых паролей).

Плюсы

  • Хранение паролей обеспечивается как на устройстве пользователя, так и в «облаке».
  • Помимо паролей, в менеджере можно хранить текстовые записи, данные карт и другие персональные сведения.
  • Есть возможность импорта паролей из разных браузеров и из других сервисов/программ.
  • Есть бесплатный тариф и тестовый период для премиум-опций.
  • Поддерживаются все популярные платформы и браузеры.
  • Есть автозаполнение.
  • Дополнительные инструменты – проверка на надёжность, генератор паролей и сервис обнаружения скомпрометированных данных.
  • Есть семейная подписка на 5 пользователей (у каждого свой аккаунт и возможность использования до 6 разных устройств для синхронизации).
  • Паролями можно безопасно «поделиться» (например, с членами семьи).

Минусы

  • Интерфейс пока не переведён на русский язык.
  • Нельзя экспортировать пароли.
  • Для автозаполнения в браузерах нужно устанавливать соответствующее расширение.

Стоимость

Если ограничения бесплатного тарифа вас не устраивают, вы можете перейти на персональный премиум-план (от 2,49 USD/месяц, синхронизация до 6 устройств пользователя) или на семейную подписку (от 3,99 USD/месяц, 5 самостоятельных аккаунтов).

Тестовый период – 7 дней, гарантия возврата платежа – 30 дней.

Похожие записи:

  1. Какой выбрать ноутбук для игр и работы в 2020 году?
  2. Обзор hp elitebook 840 g5: отличный вариант для чувствительных к безопасности предприятий
  3. Обзор ноутбука samsung galaxy book s
  4. Дорогой планшет google pixel slate — не самый мощный девайс [стоит ли покупать?]
0
Понравилась статья? Поделиться с друзьями:
X-zoom

Похожие записи:

  1. Какой выбрать ноутбук для игр и работы в 2020 году?
  2. Обзор hp elitebook 840 g5: отличный вариант для чувствительных к безопасности предприятий
  3. Обзор ноутбука samsung galaxy book s
  4. Дорогой планшет google pixel slate — не самый мощный девайс [стоит ли покупать?]
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.