Облачных сервисов становится все больше — и типичный пользователь довольно скоро начинает забывать или путать пароли. Здравый смысл диктует не использовать один и тот же пароль для разных сайтов, ведь в этом случае одна утечка дает злоумышленнику шанс завладеть аккаунтами на многих сервисах. Утечки же случаются даже у таких «китов» IT-индустрии, как Adobe (авторизационные данные 130 млн пользователей попали в открытый доступ в 2013 году), Sony (77 млн пострадавших пользователей в 2011 году), LinkedIn, Dropbox и т.д. Анализ утекших в интернет данных показывает, что чрезвычайно распространенными паролями остаются «12345», «password», «qwerty», дата рождения пользователя и другие не менее «головоломные» комбинации.
Чтобы повысить уровень безопасности, некоторые сервисы стали предъявлять специфические требования к создаваемым паролям: длина не менее определенного количества знаков, смешанный регистр, обязательное наличие цифр и/или специальных символов. Держать много сложных паролей в памяти невозможно, поэтому пользователи хранят их как умеют — например, записывают на липких бумажках, прилепленных к монитору… Если в вашей компании еще не введены правила выбора и хранения паролей, наши рекомендации помогут вам минимизировать риски.
В чем проблема?
«Да кому я нужен?» — рассуждает типичный потребитель IT-услуг в тот момент, когда заводит почтовый ящик, регистрируется в облачном хранилище или очередном b2b-сервисе — и недолго думая создает пароль, идентичный имени пользователя. В следующие пару лет он, не испытывав никаких проблем, может утвердиться в мысли, что бояться нечего. Однако объем и ценность данных, которые за это время попадают в «облако», возрастают многократно — и аккаунт становится приманкой для взломщиков всех мастей.
Одна из причин, по которым некоторые предприниматели предпочитают «облака» традиционной серверной инфраструктуре, — возможность сэкономить на штатной единице системного администратора. Но у подобной экономии есть обратная сторона: о безопасности данных теперь нужно заботиться самостоятельно. Чем грозит уязвимость личных учетных записей? В первую очередь стоит помнить о том, что внезапная утрата контроля над своим адресом, профилем активно используемого сервиса или любым другим важным аккаунтом может быть равноценна потере мобильного телефона. Речь, разумеется, не о «железе», а о том, что пользователь лишается привычного инструмента коммуникации, в определенных ситуациях становясь беспомощным. Это вдвойне неприятно, если злоумышленник причиняет вред ему и его знакомым, например, рассылая спам и вирусы с помощью доверенного аккаунта, пока последний не будет заблокирован. И отнюдь не всегда его можно будет восстановить.
Но все становится намного хуже, если в руках мошенника оказался ключ доступа к интернет-банку, виртуальному кошельку или любому другому аккаунту с привязанными к нему платежными данными — возможный ущерб от реализации этой угрозы легко понять, подсчитав, какие суммы хранятся на этих счетах.
Чужую учетную запись можно использовать и для шантажа. Так, бывший владелец редкого (состоящего из одной буквы) имени пользователя сервиса Twitter, @N недавно рассказал историю о том, как лишился этого аккаунта, который оценивался в $50 тыс. (именно за такую сумму у него хотели его выкупить до этого инцидента). Злоумышленник завладел доступом к учетной записи пользователя на сервисе регистрации доменов, изменил все данные и поставил жертву перед выбором: либо отдать подобру-поздорову уникальное имя в Twitter, либо лишиться зарегистрированных доменов.
Вымогатель, завладевший доступом к вашему аккаунту, теоретически может нанести ущерб вашей репутации, опубликовав переписку (распространенный трюк в политической и конкурентной борьбе), приватные фотографии и видеоролики, другую информацию, не предназначенную для чужих глаз. Самой болезненной утратой может стать потеря пароля от облачного сервиса электронной почты — с его помощью злоумышленник может самостоятельно сменить пароли на многих других аккаунтах, воспользовавшись системами восстановления.
Под угрозой оказываются и корпоративные учетные записи, служащие для авторизации в информационных системах с ограниченным доступом — VPN, базах финансового, кадрового и торгового учета, CRM, CMS и прочих службах. Любое проникновение чужака во внутренние службы может быть чревато серьезными последствиями, начиная от утечки персональных данных (которые компании обязаны защищать согласно российскому законодательству) и финансовой информации до вывода информационных систем из строя, хищения средств и интеллектуальной собственности предприятия.
Правила безопасности
Главное требование — пароль должен быть сложным. Что это значит? Во-первых, не следует делать своим паролем какое-либо слово или очевидную комбинацию цифр (например, дату вашего рождения). Такой пароль легко угадать путем подбора. В арсенале современных взломщиков есть «словари» популярных паролей (таких как 12345678, password, passw0rd, abc123, trustno1, letmein и др.). Поэтому рекомендуем составить абстрактную (или выглядящую таковой) комбинацию символов. Используйте одновременно цифры, буквы латинского алфавита (как заглавные, так и строчные). Эти символы поддерживаются большинством систем, в отличие от знаков препинания, подчеркиваний, букв русского алфавита и спецсимволов. Пароль должен быть достаточно длинным: если вы планируете запоминать его, то хватит восьми символов, а если записывать — то до двадцати.
Для оценки надежности комбинации существует специальная формула, позволяющая получить так называемую энтропию пароля, измеряемую в битах. Давайте посмотрим, насколько восьмизначные и шестнадцатизначные пароли, составленные по нашим правилам, будут надежнее, чем шестизначное число. Для сочетания шести цифр показатель надежности составляет 19,9. Если такое же количество символов набрать буквами латинского алфавита одного регистра, энтропия будет равняться уже 28,2 бита. Увеличив длину цифрового пароля до восьми знаков, мы получим значение 26,6, а в случае с буквенным — 37,6. Если в пароле будут не только цифры, но и буквы, то энтропия будет равна уже 41,4. Если при этом латинские буквы будут как строчными, так и заглавными, то получим уже 47,6 бита. Если же при этих условиях увеличить длину пароля вдвое, то его энтропия будет равна 95,3.
Получается, что, добавив в шестизначный цифровой пароль одну заглавную и одну строчную букву латинского алфавита, мы повысим уровень его защиты почти в два с половиной раза. А если увеличить длину такого пароля до 16 знаков, то его надежность возрастет почти в пять раз по сравнению с тем, что мы имели в самом начале. При этом следует помнить, что количество возможных комбинаций (как и время на их подбор) растет непропорционально быстрее, чем энтропия. Чтобы вычислить это значение, необходимо количество возможных символов возвести в степень их числа (длина пароля). Таким образом, шестизначных числовых паролей всего миллион, для восьмизначного пароля из цифр, заглавных и строчных английских букв существует 2,8 трлн вариантов, а когда речь идет о шестнадцатизначном сочетании (с вдвое большей энтропией), то количество возможных паролей увеличивается до 7,9 септиллионов (септиллион — единица с 24 нулями).
Второе правило безопасности учетной записи — создание уникального пароля для каждого аккаунта. Это необходимо, во-первых, в связи с тем, что на некоторых сервисах возможны утечки авторизационных данных пользователей, а во-вторых, с тем, что пользователи по-разному относятся к безопасности своих аккаунтов. Например, если к платежной системе, интернет-банку или удаленной базе 1С мы подключаемся обычно только через доверенную сеть, то зайти в социальную сеть можем и при помощи открытой публичной точки доступа Wi-Fi. Если при этом злоумышленник перехватит наш пароль, он наверняка попытается использовать его и на других, более важных аккаунтах.
Еще одно, не менее важное правило: пароль не должен быть известен третьим лицам. И дело вовсе не в том, что у кого-то из ваших коллег или членов семьи могут быть недобрые намерения — они могут просто недостаточно заботиться о защите информации. Уязвимым местом в безопасности данных может оказаться и канал передачи пароля между двумя людьми. Сюда можно отнести также случаи такого хранения авторизационных данных, при которых злоумышленник может достаточно легко получить к ним доступ, — к примеру, записанными на бумаге, если листок не хранится в надежном месте (в сейфе или хотя бы в ящике стола, запертом на ключ). Не подходит для хранения паролей и текстовый файл на компьютере, если только этот файл не выложен в зашифрованное хранилище. Однако доставать оттуда пароли не слишком удобно, да и вредоносное ПО может сделать скриншот в тот момент, когда вы открыли свои записи.
Следует помнить и о том, что даже при соблюдении всех рекомендаций специалистов утечки паролей все равно случаются — свою роль в этом играют как человеческий фактор, так и уязвимость отдельных каналов связи или сервисов. Поэтому настоятельно советуем вам регулярно, не реже чем раз в полгода, менять все пароли.
Записать нельзя запомнить
Выполняя требования, необходимые для обеспечения безопасности паролей, пользователь неизбежно столкнется с рядом нетривиальных проблем. Необходимо составлять сложные пароли, состоящие из различных символов, а затем хранить их таким образом, чтобы воспользоваться ими можно было с минимальным риском попадания личных данных в чужие руки.
Пользователи, предпочитающие запоминать пароли, как правило, составляют эти комбинации сами. Однако если ваш пароль состоит, например, из цифр даты рождения и латинских букв, располагающихся на тех же клавишах, которыми набирается фамилия в русской раскладке, — он будет не самым надежным. Несмотря на высокую энтропию, такое сочетание относительно легко угадать.
К недостаткам запоминания паролей можно отнести также и то, что невозможно удержать в памяти множество разных комбинаций символов, если они отвечают требованиям надежности. Как правило, человек, предпочитающий запоминать пароли, пользуется либо множеством простых паролей, либо одним-двумя сложными. Еще один существенный минус такого подхода в том, что велик риск забыть пароли к тем сервисам, которые используются нечасто.
Одним словом, если PIN-коды банковских карт и мобильных устройств действительно предпочтительнее держать в памяти, то для паролей к учетным записям этот способ не подходит. Можно, конечно, записать их на бумаге. Однако в этом случае, как уже упоминалось выше, сохраняется вероятность попадания авторизационных данных в чужие руки. Чтобы этого не произошло, нужно либо всегда носить свои записи с собой (хотя и в этом случае никто не гарантирует, что у вас не украдут, например, бумажник, где лежит листок с паролями), либо хранить в очень надежном месте. Но тогда вы не сможете воспользоваться паролями на компьютере, расположенном далеко от места их хранения.
Чтобы избавиться от проблем, связанных с хранением такой важной информации в аналоговом виде или в собственной памяти, приходится обращаться к цифровым средствам. Существует немало программных решений, позволяющих обеспечить надежное хранение всех ваших паролей.
Менеджеры паролей
Самый простой, но отнюдь не самый безопасный способ хранения авторизационных данных — сохранять их по предложению браузера. Так поступают многие пользователи. И действительно, удобно ведь: не нужно ничего устанавливать, программа сама предлагает сохранить пароль, который больше не придется вводить, — а значит, можно его не запоминать.
Однако такое решение имеет массу недостатков. Во-первых, пароли привязаны к одному компьютеру — воспользоваться ими с помощью другого устройства, не запоминая или не записывая, невозможно. Во-вторых, велик риск потерять все авторизационные данные в случае сбоя системы, требующего ее переустановки, порчи жесткого диска, действий вредоносного ПО. В-третьих, если у постороннего человека появится физический доступ к вашему компьютеру, он сможет воспользоваться вашими паролями. К тому же далеко не все браузеры шифруют сохраняемые авторизационные данные. Например, браузер Chrome хранит их в открытом виде. Таким образом, ценная информация становится уязвимой перед атаками через сеть и программами-шпионами.
Проблему безопасного хранения авторизационных данных призвана решить целая группа программ, которые называют менеджерами паролей. Эти приложения различаются по своей функциональности и возможностям настройки, однако все они обеспечивают следующие опции: зашифрованное хранение данных, защищенный доступ к данным (как правило, с помощью мастер-пароля), возможность синхронизации (автоматической или «ручной»). Большинство менеджеров паролей имеют функции автоматического заполнения форм с защитой от действий шпионских программ, которые могут оказаться на компьютере и отсылать злоумышленнику данные о том, какие символы были введены с клавиатуры или из буфера обмена. Многие также интегрируются в браузер с помощью плагинов, что делает их использование весьма удобным. Приведем в качестве примера несколько популярных программ (см. таблицу).
Особенность LastPass в том, что это облачный сервис. С одной стороны, это удобно: можно не беспокоиться о том, что файл с паролями будет потерян в случае сбоя системы или неисправности жесткого диска. С другой стороны, не все пользователи морально готовы доверить хранение паролей третьим лицам — и небезосновательно. Был зафиксирован случай, когда владельцы сервиса массово обращались к пользователям с просьбой сменить мастер-пароли — согласно слухам, это произошло после взлома базы LastPass хакерами. То есть потенциально сервис может стать еще одним узким местом в системе безопасности. К услугам тех, кто готов рискнуть, — интеграция с браузерами Safari, Chrome, IE, Opera, Firefox. Владельцам премиум-аккаунтов ($1 в месяц) также доступны приложения для iOS, Android и других мобильных платформ. Среди других преимуществ платной версии — возможность авторизации с помощью USB-ключа, использования веб-версии без установки плагина браузера, отсутствие рекламы, техподдержка.
1Password — приложение для хранения важной информации (пароли, ключи лицензий на использование ПО и т.д.). Разработано изначально для Mac OS, но не так давно обзавелось Windows-версией, а также клиентами для iOS и Android. База паролей хранится локально в зашифрованном файле, может быть синхронизирована через Dropbox. Платить за продукт нужно единожды, правда, для каждой платформы придется докупать свою версию — лицензия на них не общая.
Менеджер паролей RoboForm — сервис, для комфортного пользования которым нужно оплачивать годовую подписку, однако, в отличие от LastPass, база хранится локально (синхронизация через «облако» доступна как опция). Плагины для браузеров Chrome и Firefox (как и приложения для мобильных платформ) доступны только подписчикам.
KeePass, по мнению многих, на данный момент является наилучшим решением для защищенного хранения паролей. Во-первых, это проект с открытым исходным кодом — таким образом, исключается наличие «бэкдоров» (недокументированных функций, позволяющих получить несанкционированный доступ к данным). Проект развивается с 2003 года, поэтому все уязвимости в коде уже давно были замечены и устранены сообществом программистов. Во-вторых, файл базы хранится локально, поэтому пользователь сам может решить, синхронизировать ли его с помощью облачного сервиса (например, Dropbox) или нет. Кроме того, официальные клиенты, как и большинство сторонних (характерная особенность Open Source), являются бесплатными не в ущерб функциональности. Об этом продукте мы расскажем более подробно, предложив рекомендации по его использованию.
Кроссплатформенное использование KeePass
На данный момент с официального сайта keepass.info можно скачать приложения версии 1.26 (только для Windows) и 2.25 (для Windows, Linux и MasOS с помощью библиотеки классов Mono). Следует иметь в виду, что файлы, созданные в программе версии 2.хх, нельзя открыть в 1.хх. Поэтому, устанавливая приложение на разные операционные системы, нужно следить за тем, чтобы они поддерживали один формат базы. На сайте производителя можно найти инструкции по установке KeePass 2.25 на Mac OS с использованием Mono, но это по силам скорее продвинутым пользователям, да и стабильную работу такого приложения гарантировать нельзя. Поэтому самые доступные варианты для пользователей Mac OS — неофициальные (созданные сторонними разработчиками на основе открытого кода) программы KeePassX (1.xx) или платная KyPass Companion (2.xx). Тем, кто имеет еще и компьютер под Windows, достаточно выбрать официальную версию KeePass, поддерживающую тот же формат базы. На Linux можно установить как «родной» клиент 2.25, так и альтернативный KeePassX.
Как быть с мобильными приложениями? Среди клиентов для iOS можно выбрать как платные, так и абсолютно свободно распространяемый MiniKeePass — он позволяет работать с базами обеих версий, так что проблем с совместимостью не возникнет. На Android существует несколько приложений, лучший рейтинг из которых у KeePassDroid и KeePass2Android: первое поддерживает оба формата файлов, хранящих пароли, второе — только 2.xx. Оба приложения бесплатны.
Защита и синхронизация базы паролей
Доступ ко всем паролям, хранимым в зашифрованном файле, можно защитить несколькими способами — мастер-паролем, ключевым файлом или одновременно двумя этими средствами. Разумеется, наиболее безопасным является последний вариант, который мы и рекомендуем. Если с мастер-паролем все более или менее ясно (это просто один сложный и длинный запоминаемый пароль, который открывает доступ ко всем остальным), то по поводу ключевого файла необходимо дать пояснения. Ключевым может быть любой файл — как созданный программой (и имеющий свой специальный формат), так и произвольный документ, изображение или даже видеозапись. Имя и расширение файла можно менять (путем простого переименования без какой-либо конвертации), но его содержание должно оставаться строго неизменным — иначе он уже не будет распознан программой как ключевой. Наиболее разумный вариант — выбрать среди личных документов, хранящихся где-нибудь в «облаке», тот файл, который вы точно не будете редактировать, затем скопировать его на переносной носитель, переименовать, изменить расширение и назначить ключевым. Таким образом, флешка с этим файлом превратится в аппаратный ключ для разблокировки базы, а при ее утере ключевой файл можно будет восстановить из «исходника», известного только пользователю. Разумеется, после этого следует войти в базу и задать другой файл (созданный на базе другого документа), чтобы сделать утерянный ключ недействительным.
Файл базы можно хранить на встроенном накопителе или на съемном носителе, однако при использовании на разных платформах и нескольких устройствах неизбежно встает вопрос об удобстве синхронизации. Для этого вполне допустимо использовать Dropbox или аналогичное облачное файловое хранилище, автоматически синхронизирующее локальные копии файлов. Переживать по поводу того, что все ваши пароли будут храниться на удаленном сервере, не стоит: даже если злоумышленники доберутся до файла базы, они не смогут извлечь из него пароли, не имея ключа и мастер-пароля. Для пущей безопасности «исходник» ключевого файла стоит хранить в другом облачном сервисе (например, Google Drive) — тогда вы получите полностью автоматическую синхронизацию изменений между ПК-версиями менеджера паролей. Для мобильных приложений придется обновлять данные вручную через клиент облачного хранилища.
Текст: Алексей Иванов