Как и где лучше хранить пароли?

{lang: 'ru'}

Раньше этот вопрос передо мной почему-то не вставал. Наверное, потому что мест, где требовались пароли, было мало, места эти были не слишком важными и угрозы потерять что-то важное и ценное в случае утери или кражи пароля не было. Я пользовался тупо одним(!) паролем на все. Потом придумал еще несколько и начал их чередовать, а потом перебирать, потому что забывал, где и какой пароль использовал.

Однако, со временем, количество различных аккаунтов и их ценность начала расти. Причем чем дальше, тем больше. Использовать несколько запоминаемых (а потому не очень сложных) паролей стало страшно. Но пока жесткой необходимости в «новизне» еще не было. Переломным стал момент, когда на одном из ресурсов, где я был зарегистрирован, произошла «утечка базы данных», а проще говоря – кража. Тут пришлось срочно вспоминать, на каких ресурсах я использовал тот же самый пароль и придумывать, на что же его сменить теперь. А доверия к ресурсам, даже самым авторитетным, уже не было. Следовательно, необходимо было придумать индивидуальные пароли к каждому. Но придумать – это полбеды. Нужно еще и запомнить их все. Не следует также забывать, что часто и логины в разных местах могут отличаться. Да и вообще, можно забыть даже о самом факте регистрации на ресурсе и узнать об этом, уже при попытке зарегистрироваться еще раз, когда отвергают введенный e-mail, т.к. он «уже используется».

Стало быть, задача выглядит примерно так.

Дано: адреса, логины, пароли;

Цель: обеспечить их сохранность и доступность только для заданного круга лиц (например, только для себя) и не допустить «утечку» информации дальше этого круга.

Решать это можно разными способами:

1. Запомнить.

Плюсы этого способа очевидны:

1) Надежная защита от посторонних глаз, рук, даже ушей;

2) Постоянная доступность информации;

3) Нет необходимости использовать дополнительные средства.

Недостатки также не являются ни для кого секретом:

1) Ненадежность человеческой памяти как средства хранения информации;

2) Снижение её эффективности в стрессовых ситуациях;

3) Риск перепутать или забыть логины/пароли в самый ответственный момент;

4) Сложность в запоминании «стойких» длинных паролей.

Итог: Вряд ли этот способ может быть хорошо применим при большом количестве паролей.

2. Использовать блокнот для записи адресов/логинов/паролей.

Плюсы:

1) Можно легко хранить пароли произвольной сложности и длины;

2) Легко дополнять записи;

3) Для доступа не требуются электронные устройства;

4) Удобно носить с собой.

Недостатки:

1) Риск потери блокнота;

2) Незашифрованные записи могут «подсмотреть» злоумышленники;

3) Риск утраты данных из блокнота в случае пожара, воздействия воды и т.п.;

4) При большом количестве записей и неправильной их организации или недостаточного размера самого блокнота возможна путаница при добавлении новых записей и затрудненный поиск при поиске уже существующих.

Итог: Блокнот возможно использовать при среднем, но все-таки довольно небольшим количестве данных. Следует бережно к нему относиться и исключить возможность утери/кражи.

3. Использовать программные менеджеры паролей.

Плюсы:

1) Легко добавлять новые записи;

2) Удобная организация данных в программе, быстрый поиск;

3) Возможность не вводить пароль с клавиатуры, а копировать его из программы;

4) Шифрование файла с паролями на диске;

5) Возможность хранить несколько копий данных в разных местах для уменьшения риска утери;

6) Часто есть возможность синхронизации с телефоном. Следовательно, пароли всегда с собой.

Недостатки:

1) Для работы требуются электронные устройства с установленной программой;

2) Нельзя гарантировать, что на этих устройствах не будут стоять клавиатурные перехватчики и шпионы, которые смогут получить доступ к паролям;


3) Неисправность электронного устройства приводит к невозможности доступа к данным;

4) Злоумышленник может заполучить файл с паролями и попытаться его расшифровать;

5) Необходимость иметь и помнить стойкий к взлому мастер-пароль для доступа к базе остальных паролей.

Итог: Этот способ с одной стороны позволяет хранить много паролей с различной дополнительной информацией к ним, удобно их работать с ними, но имеет и свои существенные недостатки. Также к ним прибавляются недостатки первых двух способов из-за необходимости помнить/хранить мастер-пароль. Однако, при очень большом количестве паролей это – единственный удобный выход. При использовании данного способа следует особое внимание уделять информационной безопасности устройств, с которых будет осуществляться доступ к базе данных.

4. Хранение паролей вашим браузером

Плюсы:

1) Очень удобно. Не надо помнить множество паролей и вводить их постоянно. Достаточно один раз ввести, а после браузер сможет сам за вас заполнять в форме логин/пароль и даже нажимать кнопку «войти»;

2) «Подсмотреть» пароль «через плечо» невозможно (разве что только при первом вводе);

3) Над безопасностью таких «браузерных» хранилищ постоянно работают разработчики браузеров.

Недостатки:

1) Из браузера эти пароли можно «вытащить», если знать как;

2) В случае «падения» ОС, порчи жесткого диска и прочих неприятностей, связанных с потерей данных, все ваши сохраненные пароли могут быть утеряны;

3) Нет возможности сделать резервную копию парольных данных;

4) Вы не будете помнить свои пароли. Забавно, но удобство и возможность не вводить пароль каждый раз играет здесь дурную службу. Когда вам понадобится залогиниться с другого компьютера и/или браузера, вы, скорее всего, уже забудете этот пароль, потому что не было необходимости держать его в памяти. Придется хранить пароли где-нибудь еще;

5) Вытекающая из всего вышесказанного привязанность к конкретному рабочему месту, к конкретной ОС и конкретному браузеру.

5. Хранить пароли в текстовом файле

По сути своей, этот способ включает почти все плюсы и минусы хранения в блокноте. Но добавляет и несколько своих:

1) Возможность «копировать» и потом «вставлять» пароли и логины из файла, не вводя их с клавиатуры;

2) Простота в сравнении с менеджерами паролей.

Но добавляются не только плюсы, но и минусы:

1) Зависимость от электричества и электронных устройств;

2) Низкая защищенность данных (а вообще говоря – никакая).

6. Сохранять пароли в письмах на специальном почтовом ящике email

Довольно интересный и экзотический способ. Почтовый ящик выполняет функцию менеджера паролей. Поэтому их плюсы и минусы в большинстве своем схожи. Однако, у этого способа есть серьезный недостаток: он требует наличия подключения к интернету. Без него вы не узнаете ни одного своего пароля.

7. Использовать связку Dropbox+менеджер паролей.

Очень интересный способ для хранения паролей. Сочетает в себе плюсы от различных способов. Но и некоторые недостатки тоже присутствуют.

Плюсы:

1) Все достоинства от использования менеджера паролей;

2) Dropbox позволяет легко синхронизировать данные между различными устройствами, которые не поддерживают синхронизацию другими способами;

3) Очень удобно;

4) Возможность легко получить доступ к своим паролям как из дома, так и из офиса;

5) Если одно устройство выйдет из строя, это не приведет к потере доступа к базе с паролями.

Недостатки:

1) Опять-таки, все недостатки от менеджера паролей;

2) Для синхронизации необходимо подключение к Сети;

3) Необходимо иметь всегда заряженное и готовое к работе устройство для доступа к паролям;

4) Зависимость от работы сервиса онлайн-хранилища.

Итог: На мой взгляд, последний, седьмой способ, является наиболее интересным и «правильным». Он сочетает в себе удобство синхронизации с защищенностью базы паролей. Если у вас уже более 20 паролей и их число только растет, то рекомендую задуматься над подобной организацией их хранения. В ближайших публикациях я, возможно, расскажу более подробно об этом методе. Не забывайте ваши пароли ;)


Полезная статья? Их будет больше, если вы поддержите меня!