Менеджер паролей – это программное обеспечение, которое управляет паролями, шифрует и защищает их без вмешательства пользователя. Он интегрируется в большинство современных браузеров и может работать на телефоне, компьютере, планшете и большинстве других устройств. Менеджер паролей не сохраняет их в браузере, так как представляет собой отдельное программное обеспечение, предназначенное исключительно для защиты паролей.
Менеджеры паролей не только отслеживают учетные данные (комбинации имени пользователя и пароля) всех аккаунтов в интернете, но в большинстве своем также способны решать проблемы многофакторной аутентификации, автоматически генерируя коды. Они могут сохранять коды для резервных копий, конфиденциальную информацию, например номер социального страхования, номера кредитных карт и все, что следует держать в тайне. Менеджеры паролей также очень полезны при случайном нажатии на фишинговую ссылку, ведущую на сайт-подделку, предназначенный для кражи учетных данных. Когда пользователь переходит на сайт, для которого нет сохраненного пароля, менеджер паролей показывает пустое место, тем самым предупреждая и спасая от атаки.
Менеджеры паролей также создают случайно сгенерированные, очень длинные и сложные пароли. Взлом уникальных для каждого сайта паролей, состоящих из 64 символов, занимает очень много времени. Ко всему прочему, если произойдет утечка данных на одном из сайтов, на котором у пользователя есть учетная запись (и учетные данные станут частью утечки), будет скомпрометирована только она, поскольку злоумышленник получит только один набор учетных данных. Все остальные учетные записи пользователя останутся в безопасности.
Практически невозможно запомнить большое количество паролей, состоящих из 64 произвольных символов, но для программы это довольно простая задача. Человеку нужно помнить только один пароль – тот, который используется для входа в менеджер паролей.
Далее поговорим об этом единственном пароле – парольной фразе.
Пароли для компьютерных систем были впервые созданы в Массачусетском технологическом институте и Bell Laboratories в 1960-х годах с целью получения доступа к системам Unix. Тогда они состояли из одного слова – в то время способы защиты изобретали на ходу.
Парольная фраза – это длинное предложение, которое легко запомнить, но сложно угадать. Как правило, доступ к менеджеру паролей осуществляется через кодовую фразу, которую необходимо запомнить, не записывая.
Примерами эффективных парольных фраз являются:
• слова из песни;
• строка из шутки или стихотворения;
• выражающая что-то особенное фраза:
– У меня две дочери, и я очень люблю их обеих;
– Мою собаку зовут Спотти, и она просто прелесть!
– Майор Том, на связи Центр. Вы успешно справились с заданием;
– Почему у меня ТАК МНОГО ПАРОЛЕЙ? Слишком много!
Большинство менеджеров паролей не ограничивают парольную фразу 64 символами. По этой причине лучше делать ее максимально длинной.
Многие пользователи используют один и тот же пароль, так как это действительно облегчает управление большим количеством учетных записей. Однако злоумышленник может обратить повторное использование паролей против своих жертв посредством проведения атаки с подстановкой учетных данных.
Киберпреступники за копейки покупают взломанные учетные данные, а затем с помощью скриптов проверяют их на различных популярных онлайн-платформах, то есть осуществляют атаку с подстановкой учетных данных. Когда какой-нибудь набор учетных данных срабатывает, злоумышленники начинают обкрадывать человека. Например, они могут купить товары для себя либо заказать что-нибудь, а потом вернуть деньги за заказ, но уже на свои счета. Они могут украсть информацию или фото, чтобы затем вернуть их владельцу за деньги. Злоумышленник, обладающий учетными данными пользователя, которые подходят для входа на многие различные сайты (то есть в ситуации повторного использования пароля), имеет большую власть над жертвой и ее личностью в интернете.
Многие организации по-прежнему применяют политику ротации паролей, заставляя пользователей менять свои пароли каждые 90 дней. Из-за этого многие пользователи добавляют в конец своих паролей цифры, чтобы их было легче запомнить, но при этом соблюсти требования политики (например, «пароль1», «пароль2», «пароль3»).
Вероятно, в данный момент самым распространенным на планете является пароль, состоящий из названия текущего сезона и года (например, «лето2022»).
РОТАЦИЯ ПАРОЛЕЙ
Алиса работала в месте, где действовала раздражающая политика смены паролей каждые 90 дней. По прошествии каждого такого периода она тратила два часа на смену всех своих паролей, половину из которых забывала уже на следующий день, в результате чего еще два часа уходило на телефонные разговоры со службой поддержки. Чтобы сэкономить время, она начала записывать эти пароли на стикеры, которые затем убирала в стол, хотя знала, что так делать не стоит.
Не мучайте своих пользователей – откажитесь от ротации паролей.
К сожалению обычных пользователей, организованная преступность становится все более продвинутой в применении технологий для совершения краж в интернете и других противоправных действий. Злоумышленники поняли, как можно обернуть политику ротации в свою пользу. Атаки методом подстановки учетных данных с использованием радужных таблиц предполагают запуск скриптов не только для проверки учетных данных пользователя на популярных платформах, но и для увеличения значений в начале или в конце пароля и попыток войти в учетные записи с помощью полученных вариаций.
Например, если пользователь ставит такие пароли, как «осень2020» или «мойпарольб», то вполне вероятно, что следующим вариантом будет «зима2021» или «мойпароль7». Атаки методом подстановки учетных данных с использованием радужных таблиц учитывают эту закономерность и позволяют преступникам использовать ее в своих интересах.