egorsokolov в О безопасности
Мальчики и девочки, леди и джентльмены, привет!
Сегодня радую вас заметкой о безопасности в интернете (и не только в нем). Начнем с истории.
Лет 5 назад я уже был жж-юзером (правда, под другим аккаунтом), пользовался асечкой, почтой, какими-то веб-сервисами. Последних было значительно меньше, чем сейчас, но и тогда это были десятки разнообразных сайтов, для использования которых необходимо было пройти процесс авторизации - то есть, ввести связку логин-пароль.
Сама по себе концепция парольной защиты достаточно надежна, однако в ситуации, когда есть 10-20-30 мест, где нужно вводить логин-пароль, большинство людей (и я не исключение) начинают использовать один и тот же или очень похожие пароли для входа в разные места. Это совершенно естественное стремление облегчить муки разума и памяти, к сожалению, очень сильно бьет по уровню безопасности всех наших аккаунтов на всевозможных сервисах - достаточно узнать пароль от одного, и дело в шляпе - все ваши аккаунты находятся в руках недоброжелателей.
К тому же, этот "универсальный" пароль достаточно редко состоит из большого количества символов, обычно это 6 букв в нижнем регистре - такой можно даже в кафе по пальцам при наборе считать.
В один прекрасный день я не смог залогиниться в свой ЖЖ. Потом мне в аську поступило предложение каким-то образом принести выгоду взломщику, после чего меня выкинуло из аськи, и, как вы можете догадаться, залогиниться в нее повторно я не смог - пароль не подходил. И аська, и ЖЖ были завязаны на один и тот же email. Когда я открыл свой почтовый клиент, и он меня порадовал сообщением о том, что вход не удался - неверный пароль. Честно говоря, я не знаю всей цепочки - был ли сначала взломан ЖЖ, аська или же почта, но с момента получения доступа к почте очень просто поменять пароли на все остальные сервисы.
Long story short - тогда я смог восстановить контроль над всеми утерянными аккаунтами, пообщавшись со службой поддержки почты, они достаточно оперативно (то есть где-то через сутки) сменили мне пароль, после чего я разобрался со всем остальным.
Из этой ситуации можно вынести как минимум три урока:
- Не используйте один и тот же пароль (или его вариации) на разных ресурсах
- Даже если вы не выполняете пункт 1, все равно установите уникальный и надежный пароль на почту. Почта - сердце вашей онлайн-безопасности
- Неочевидный, но важный урок: по возможности, не храните почту на сервере. В тот момент я пользовался Mozilla Thunderbird, и все письма, которые падали в мои ящики на рамблере, gmail и где-то еще, копировались в локальную базу данных на моем компьютере, удаляясь с почтового сервера. Почему это важно? Если ваш ящик пуст, злоумышленники не смогут узнать, в каких еще местах вы зарегистрированы (а многие недальновидные сайты еще и отправляют при регистрации на почту связку логин-пароль), и, соответственно, не смогут их взломать. О почтовых клиентах поговорим в другой раз, это тоже очень важная и полезная тема.
Обычный менеджер паролей - это приложение, в котором пользователь хранит все свои логины и пароли (под каждый ресурс в отдельной карточке), все это замешивается и сохраняется в суперзашифрованную базу данных, доступ к которой можно получить только после ввода мастер-пароля - единственного пароля, который вам необходимо помнить, он должен быть длинным и сложным.
Выглядеть менеджер паролей может по-разному, но обычно примерно так: в левом фрейме список твоих "карточек", которые можно сортировать, группировать, выделять картинками и т.п., справа - подробная информация о выбранной карточке, обычно адрес сайта, логин и пароль. На картинке ниже это иллюстрируется на примере банковской карты, под нее немного другая форма - номер, дата окончания, пин, cvc2:
Так, хорошо, но что же делать, когда ты работаешь за другим компьютером? Эта проблема существует у пользователей метода вордового файла, и обычно она либо не решается никак, либо решается размещением незашифрованного файла на dropbox/google docs/в телефоне, что, очевидно, весьма недальновидно. Для решения этой проблемы практически у каждого уважающего себя менеджера паролей есть портативная версия для iOS и android - с ней все твои пароли всегда с тобой. И в то же время, никто не сможет получить к ним доступ, даже если вы потеряете свой телефон.
Конечно, безупречных систем не бывает. Основная и практически единственная уязвимость концепции менеджера паролей заключается, очевидно, в следующем: если кто-то узнает твой мастер-пароль и получит доступ к устройству, где хранится база данных, то ты потеряешь сразу все свои аккаунты. Такой риск существует, но вероятность его реализации значительно ниже, чем в ситуациях с одним паролем для всех ресурсов или хранением паролей в текстовом файле. Ах, да, второй риск: если ты забыл мастер-пароль, то доступ к базе данных будет получить невозможно.
Однако взвесив все "за" и "против", я все-таки радостно купил себе две софтинки - под мак и под айфон, и с тех пор все пароли у меня супер-гипер-надежные и мне не приходится гадать "какой же я сюда поставил пароль?", искать пароли в почте или восстанавливать их, когда ни вспомнить, ни найти не удалось. Чего и вам желаю. Поначалу непривычно и неудобно, особенно муторная тема - первичная смена всех паролей на всех ресурсах, которые сможешь вспомнить, но это нужно сделать. Потом просто при каждой новой регистрации генерируешь пароль и создаешь для ресурса карточку, занимает секунд 10. В результате - всё в одном месте, надежно защищено, всегда с тобой.
Вариантов на рынке много - на любой вкус и карман, от $0 до $80 за связку десктоп + телефон. Я отдал за свой eWallet (это он на картинках выше) $20, 1Password (достаточно раскрученное решение) стоит в районе $60, а KeePass - бесплатен. Google вам в помощь, разница, как правило, заключается в интерфейсе, дополнительных функциях (например, интеграция с браузерами или синхронизация через облако) и цене. С основной функцией - хранением паролей - справится и бесплатное решение.
С каждым годом количество и ценность наших паролей будет только расти. Берегите свои пароли, друзья!
Жду ваших вопросов, мнений и рассказов в комментариях.
е
