Менеджер паролей

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Менеджер паролей — программное обеспечение, которое помогает пользователю работать с паролями и PIN-кодами. У подобного программного обеспечения обычно имеется местная база данных или файлы, которые содержат зашифрованные данные пароля. Многие менеджеры паролей также работают как заполнитель формы, то есть они заполняют поле пользователь и данные пароля автоматически в формах. Обычно они реализованы как расширение браузера.

Менеджеры паролей делятся на три основных категории:

  • Десктоп — хранят пароли к программному обеспечению, установленному на жестком диске компьютера.
  • Портативные — хранят пароли к программному обеспечению на мобильных устройствах, таких как КПК, смартфон или к портативным приложениям на USB флеш-накопителе.
  • Сетевые — менеджеры паролей онлайн, где пароли сохранены на веб-сайтах провайдеров.

Менеджеры паролей могут также использоваться как защита от фишинга. В отличие от людей, программа менеджер паролей может обращаться с автоматизированным скриптом логина не восприимчиво к визуальным имитациям, которые похожи на веб-сайты. С этим встроенным преимуществом использование менеджера паролей выгодно, даже если у пользователя имеется всего несколько паролей, которые он помнит. Однако не все менеджеры паролей могут автоматически обращаться с более сложными процедурами идентификации, наложенными многими банковскими веб-сайтами.

Уязвимости[править | править вики-текст]

Менеджеры паролей обычно используют выбранный пользователем основной пароль, или секретную фразу (passphrase), чтобы сформировать ключ, используемый для зашифровки хранимых паролей. Этот основной пароль должен быть достаточно сложным, чтобы устоять при атаках злоумышленников (например полный перебор).

Если основной пароль будет взломан, то будут раскрыты все хранимые в базе данных программы пароли. Это демонстрирует обратную связь между удобством использования и безопасностью: единственный пароль может быть более удобен, но если он будет взломан, то поставит под угрозу все хранимые пароли.

Основной пароль может также быть атакован и обнаружен при использовании кейлоггера или акустического криптоанализа (acoustic cryptanalysis). Такая угроза может быть снижена путём использования виртуальной клавиатуры, как, например, в KeePass.

Некоторые менеджеры паролей включают генератор паролей. Сгенерированные пароли могут быть отгадываемыми, если менеджер пароля не использует криптографически безопасный генератор случайных чисел.

Онлайн менеджер паролей[править | править вики-текст]

Онлайн менеджер паролей — веб-сайт, который надежно хранит данные логина. Таким образом это сетевая версия обычного десктоп- менеджера паролей.

Преимущества онлайн менеджеров паролей над десктоп-версиями — это мобильность (они могут использоваться на любом компьютере с web-браузером и интернет-соединением, без необходимости устанавливать программное обеспечение) и меньший риск потери паролей через воровство или повреждение PC. Риск повреждения может быть в значительной степени снижен, если заранее будут созданы резервные копии.

Главный недостаток онлайн менеджеров паролей — необходимо доверие хостингу сайта. Неоднократные взломы и потери централизованно хранившейся информации на сервере не внушают доверия.

Существуют смешанные решения. Ряд ресурсов, таких как FortNotes[1] или МоиПароли[2], предоставляющие услуги онлайн-хранения паролей и других секретных данных, распространяют исходные коды этих систем. Возможность провести аудит кода и установить такую систему на защищенный фаерволом сервер или на сервер, не имеющий прямой выход в Интернет, позволяет решить проблему с возможной компрометацией данных.

Использование сетевого менеджера паролей — альтернатива технологии единого входа (Single Sign On), такой как OpenID или Microsoft’s Windows Live ID, и может использоваться как временная мера, пока не будет принят лучший метод.

Также существуют менеджеры паролей с барьерной защитой. В этом случае защищается интернет-аккаунт пользователя в целом. Периметр защиты строится начиная от противодействия клавиатурным и экранным шпионам, и заканчивая защитой от подмены ip-адреса сетевого ресурса. Примером является Keepy Internet Password Security. Для сетевой защиты используется Google Public DNS, а противодействие шпионам обеспечивается автоматической подстановкой авторизационных данных в web-формы.

Ссылки[править | править вики-текст]

Литература[править | править вики-текст]

Примечания[править | править вики-текст]