Стоит ли использовать менеджер паролей?

Многие эксперты по кибербезопасности настаивают на том, что использование менеджера паролей — лучший способ убедиться, что у вас есть надежный уникальный пароль для каждой онлайн-учетной записи. Но другие менее уверены в ценности этих инструментов. Для скептиков менеджеры паролей представляют собой единственную точку отказа — кладезь конфиденциальной информации, защищенной одним мастер-паролем, который сам может быть утерян, украден или взломан. Так кто же прав? Tom’s Guide поговорил с рядом экспертов по цифровой безопасности, размышляя о плюсах и минусах сегодняшних решений для управления паролями. Вот что они говорят об этих спорных технических инструментах, а также несколько советов о том, как снизить риски, связанные с хранением всех ваших паролей в одном месте.

Хвала менеджерам паролей

Не все эксперты по безопасности любят использовать менеджеры паролей, но те, кто любит, не могут представить мир без них. Показательный пример: Роберт Сицилиано, аналитик по безопасности из Бостона и генеральный директор Safr.me, который сказал, что при активном использовании более 650 паролей он просто не мог работать без диспетчера паролей. «Без диспетчера паролей потребители возвращаются. к плохим паролям без какого-либо управления », — сказал Сицилиано в электронном письме. «Они будут использовать один и тот же пароль для всех своих критически важных учетных записей и неизбежно будут взломаны». Но даже Сицилиано, который сказал, что нет ни одного законного аргумента против использования диспетчера паролей, принимает меры, чтобы снизить риск того, что все его пароли в одном месте. Он сказал, что запоминает информацию для входа в свои самые важные учетные записи (например, онлайн-банковские счета), но сохраняет остальные свои пароли в веб-менеджере паролей.

«Никто не может вспомнить каждый пароль»

Моррис Табуш, который руководит своей собственной ИТ-консалтинговой компанией Tabush Group в Нью-Йорке, также отметил уязвимости, связанные с защитой онлайн-личности только с помощью паролей. Но, по его мнению, людям нужно максимально эффективно использовать эту несовершенную реальность, защищая пароли как можно лучше. Для Табуша это означает использование диспетчера паролей. «Иметь универсальное имя пользователя и пароль невозможно, так как каждый сайт или сервис имеет свои собственные требования к паролю», — сказал Табуш по электронной почте. «Никто не может запомнить каждую комбинацию имени пользователя и пароля». Табуш сказал, что он клянется менеджерами паролей для себя и для своих клиентов, которые являются владельцами малого и среднего бизнеса с десятками онлайн-аккаунтов. Его любимым инструментом является RoboForm от Siber Systems, приложение для управления паролями для Windows и Mac, которое также доступно для мобильных устройств iOS и Android. Табушу нравится RoboForm, потому что он работает на всех его устройствах, включая его настольный компьютер, ноутбук, iPhone и iPad. Поскольку этот веб-менеджер паролей хранит пароли в виде зашифрованных файлов, даже если одно из устройств Табуша будет украдено, у вора не будет доступа к его информации для входа в систему.

Цифровая обратная сторона

Конечно, на каждого эксперта, который говорит, что он не может жить без менеджера паролей, есть другой, который говорит, что с радостью прожил бы остаток своей жизни, даже не используя его. Так обстоит дело с Терри Катлером, соучредителем и техническим директором монреальской консалтинговой компании Digital Locksmiths по вопросам кибербезопасности. «Я вообще не поклонник инструментов для управления паролями», — сказал Катлер в интервью по электронной почте. «Если инструмент будет взломан, все ваши коды будут взяты», — согласился с Катлером Тайлер Регули, менеджер по исследованиям и разработкам в области безопасности в Портленде, штат Орегон, фирме по кибербезопасности Tripwire. Он утверждал, что менеджеры паролей могут принести больше вреда, чем пользы, особенно для домашних пользователей. «Менеджеры паролей — это общественный метод переноса вредных привычек на компьютер, — сказал Регули. — Это плохой тон -« записывать »пароли, поэтому вместо этого мы» хранить их на нашем компьютере. «Магазин» — это просто цифровой эквивалент «записывать» ».

«Я не доверяю онлайн-менеджерам паролей»

Выяснить, какие инструменты безопасны, а какие нет, — задача не из легких. Как отметил Кен Вестин, директор по стратегии безопасности ReliaQuest, трудно понять, насколько на самом деле безопасны менеджеры паролей: «Лично я не доверяю онлайн-менеджерам паролей», — сказал Вестин в электронном письме. «Это не потому, что я думаю, что они небезопасны; это потому, что я не знаю, насколько они безопасны, как они хранят мою информацию и правильно ли зашифрованы мои данные». Из-за этой неопределенности Вестин сказал, что не будет хранить самую конфиденциальную информацию в веб-менеджерах паролей. Для управления паролями к финансовым счетам и учетным записям электронной почты Вестин рекомендовал использовать инструмент, не подключенный к Интернету ». Для максимальной безопасности пароли к этим службам [financial and email accounts] должны храниться в автономном зашифрованном приложении менеджера паролей, таком как KeePass, которое требует аутентификации для открытия и регулярно и надежно резервируется », — сказал Вестин. Кристофер Берджесс, генеральный директор и президент Prevendra, компании, занимающейся безопасностью и конфиденциальностью в Сиэтле, предположил, что любой, кто не доверяет менеджерам паролей, может вместо этого отслеживать пароли вручную «. Ручную систему легко реализовать [with] — две записные книжки, — сказал Берджесс. — В первую записную книжку поместите данные своей учетной записи — название службы, URL-адрес, идентификатор пользователя и серийный номер. Во второй книге рядом с серийным номером запишите пароль и примечания к аутентификации. Положите вторую книгу в надежное место и обратитесь к ней, если не сможете вспомнить свой пароль «.

Играть безопасно

Хотя некоторые из экспертов, с которыми мы говорили, имели твердое мнение о менеджерах паролей, многие эксперты по безопасности, похоже, попали где-то в середине этих дебатов. Для них менеджеры паролей — полезные инструменты, но далеко не безупречные. Как сказал в электронном письме Честер Вишневски, главный научный сотрудник международной антивирусной компании Sophos, люди, которые не выбирают свои инструменты управления паролями с умом, могут в конечном итоге передать дело » одно кольцо, которое правит ими всеми «. «Ищите хорошо известные, проверенные приложения», — сказал Вишневски. «Они должны шифровать данные локально, а не полагаться на третьих лиц для выполнения шифрования. Я лично люблю LastPass и KeePass». Седрик Жанно, основатель и генеральный директор фирмы APrivacy, занимающейся кибербезопасностью, в Ватерлоо, Онтарио, также подчеркнул важность надежного шифрования данных. при определении того, какой менеджер паролей использовать. Жаннот сказал, что если выбранный вами менеджер паролей хранит данные в облаке, а не локально на вашем компьютере, вам следует обратить пристальное внимание на то, в какой стране хранится ваша информация и кто, помимо служба управления паролями может иметь к ней доступ. Ламар Бейли, старший директор по безопасности Tripwire, сказал, что людям следует искать менеджеры паролей, которые имеют функции безопасности помимо шифрования, функции, которые могут помочь защитить личность пользователей в Интернете «. Многие менеджеры паролей предупреждают пользователей на веб-сайты, которые были взломаны, или те, которые затронуты серьезными уязвимостями безопасности, такими как Heartbleed «, — сказал Бейли в электронном письме. Следует отметить, что самое важное, о чем следует помнить при работе с менеджерами паролей, — это мастер-пароль, который вы используете для защиты этого инструмента. «Любой менеджер паролей безопасен только в качестве вашего мастер-пароля», — сказал Бейли. «Таким образом, пользователи должны всегда проверять надежность пароля к своему менеджеру паролей и часто менять его». Лучшие предложения LastPass на сегодняшний день