Обратная сторона медали использования паролей – необходимость их надёжного хранения (запоминания). Чем сложнее и разнообразнее используемые пароли, что логично, тем сложнее организовать их хранение.
Здесь я вижу несколько путей решения проблемы:
- Связывать сервис (логин) с паролем. Например, разработать собственную систему/алгоритм хеширования, для быстрого получения уникальной последовательности из строки “логин+сервис”. Тогда проблема хранения (запоминания) пароля вообще стоять не будет. Мы просто всякий раз сможем его получить заново. Минус такого решения – необходимость надёжного алгоритма, ведь если злоумышленник его разгадает – под угрозой окажутся все ваши сервисы, пароли на которые сгенерированы таким образом.
- Использование сторонних менеджеров паролей. Это популярные приложения для сохранения паролей различных сервисов, а иные версии позволяют также автоматически вводить их на соответствующих сервисах. Менеджеры паролей скачать бесплатно можно практически любых версий. Но и тут, к сожалению, не обошлось без минуса – вероятность взлома. Например, недавно писали в “Хакер” о создании утилиты KeeFarce, которая дешифрует (а именно делает экспорт всех записей) пароли менеджера KeePass, когда тот запущен. Злоумышленникам необходимо только обеспечить доставку и исполнение инструмента в нужное место и нужному пользователю. Менеджеры паролей, встроенные в браузеры – воообще не панацея. С появлением целого класса хакерских инструментов, именуемых “стилер”. Об одном из них я писал уже в 2013 году.
- Использовать парольный блокнот. Здесь можно использовать уникальный пароль произвольной сложности для каждой учётной записи, но и минус имеется – необходимо организовать надёжное хранение этого блокнота.
- Использовать определённый (ограниченный) круг сложных паролей, которые можно запомнить. И для логина на сервисы просто перебирать их поочерёдно. Плюсы – не надо хранить, нужно запомнить всего 3-4 пароля, которые достаточно сложны. Без минусов тоже не обошлось – если мы попадём на фишинговую страницу, можем слить все наши пароли злоумышленнику, логирующему попытки ввода.
Вот примерно и все варианты (на мой взгляд) хранения парольной информации. У каждого способа есть как сильные, так и слабые стороны. Использовать их совместно – нет возможности уйти от минусов. Минимизировать риски – ну только имея заведомо сильное доверенное хранилище и (если есть возможность) дополнительные методы аутентификации.
Comments: