О парольной защите и полезных утилитах для ее организации

Светлана Шляхтина

Правила, которые стоит соблюдать при организации парольной защиты

Классы утилит для организации парольной защиты

Обзор перспективных менеджеров паролей

AI RoboForm 6.9.91

Password Manager XP 2.3.444

Handy Password 4.3

Sticky Password 3.2

KeePass Password Safe 1.13

Comodo i-Vault 3.0.0.1

 

Несмотря на активное развитие новых технологий идентификации личности (биометрической аутентификации, USB-токенов и пр.), для домашних пользователей практически единственным способом аутентификации сегодня остается обычная парольная защита. Увы, данный вид защиты далеко не всегда оказывается достаточно надежным. В большинстве случаев в этом виноваты сами пользователи, которые для своего удобства нарушают правила безопасности: предпочитают использовать тривиальные и недостаточно длинные пароли, хранят их на видном месте и в незащищенном виде, пренебрегают необходимостью регулярного изменения паролей и применяют одни и те же пароли для доступа к множеству ресурсов.

Подобная халатность оказывается на руку хакерам, которые все активнее прибегают к краже персональных данных (включая информацию о банковских вкладах и номерах кредитных карт). Неизбежным следствием этого является лавинообразный рост числа преступлений, связанных с разнообразными финансовыми мошенничествами, и уже не приходится удивляться все новым сообщениям об опустошении банковских счетов обычных граждан. Конечно, не для всех российских пользователей угроза таких финансовых потерь актуальна, поскольку процент тех, кто оплачивает в Интернете товары по кредитным карточкам и использует Всемирную сеть для оплаты счетов и совершения других банковских операций, в России пока слишком мал. Но зато практически каждый рунетчик пользуется электронной почтой и разнообразными онлайновыми сервисами (например, хранит снимки в приватных папках на фотохостинговых ресурсах, использует файлообменные сервисы для обмена с друзьями большими файлами и т.п.), и вряд ли кого-то из пользователей устроит, если к их документам получат доступ другие лица.

Так что организация парольной защиты даже для домашних пользователей — задача весьма актуальная и не совсем тривиальная. В данной статье мы рассмотрим, как решить ее наиболее эффективным и надежным образом.

Правила, которые стоит соблюдать при организации парольной защиты

Для предотвращения получения другими лицами доступа к вашим персональным данным, хранящимся на компьютере либо в онлайне, стоит придерживаться ряда важных правил.

  1. Создавайте достаточно длинные и сложные пароли. Согласно рекомендациям Microsoft (http://www.microsoft.com/protect/yourself/password/create.mspx), оптимальная длина пароля составляет от 8 до 14 символов. Что касается сложности, то тут следует иметь в виду следующие моменты. Пароли не должны быть тривиальными — то есть представлять собой слова из словаря, тем более в роли пароля нельзя использовать ваше имя, фамилию, дату рождения и т.п. Кроме того, пароли должны включать не только символы конкретного алфавита, но также цифры и прочие знаки, в том числе пробелы, если применение последних допустимо. Помимо этого повысить уровень криптостойкости пароля можно, набирая буквы в разных регистрах (то есть чередуя строчные и прописные буквы). Пример надежного пароля — ”5Poi1 edRa10>”.
  2. Если вы не убеждены в том, что сможете придумать надежный пароль, то лучше воспользоваться генератором паролей, который сформирует криптостойкий пароль в считаные секунды.
  3. Не используйте один и тот же пароль (даже если он сформирован в соответствии с требованиями безопасности) для разных сервисов, поскольку уровень их надежности может оказаться различным — в итоге хакеры, узнав пароль на менее надежном сервисе, с успехом могут воспользоваться им на другом. Гораздо разумнее, если на каждом из сервисов будет задействован свой пароль.
  4. Если вы вводите в онлайне финансовые данные, то регулярно (один или два раза в месяц) меняйте пароли — это снизит риск стать жертвой мошенников.
  5. Не храните пароли на компьютере в незашифрованном виде (например, в текстовых файлах), к чему прибегают очень многие пользователи.

Классы утилит для организации парольной защиты

На практике любому пользователю приходится иметь дело с множеством паролей, количество которых в случае активного использования Интернета существенно возрастает, ведь пароли требуются для доступа к электронной почте, форумам, чатам, новостной подписке, онлайновым хранилищам, FTP-серверам и т.п. Запомнить множество паролей, представляющих собой случайные комбинации букв, цифр и знаков, для большинства пользователей совершенно нереально. А хранить их на компьютере в файле недопустимо, ведь тогда данная информация может оказаться доступной злоумышленникам. Можно, конечно, записать (а не распечатать из файла) все логины и пароли на листе бумаги и хранить последний рядом с компьютером, но этот вариант подойдет далеко не всем пользователям даже дома (а про рабочий компьютер и говорить не стоит). Кроме того, в случае хранения паролей на бумаге их каждый раз придется набирать с клавиатуры, что очень утомительно.

В итоге рано или поздно перед любым пользователем (особенно активным интернетчиком, которому приходится иметь дело с большим количеством паролей) встают две проблемы: где и в каком виде пароли хранить и как их быстро вводить. Разрешить их без специального ПО, обеспечивающего надежное хранение паролей и быстрый доступ к ним, не удастся.

Подобное ПО включает утилиты, которые можно разбить на две большие группы. Первую образуют программы — хранители паролей, предназначенные для хранения логинов и паролей в зашифрованной базе данных. С их помощью можно организовать удобное управление паролями и несколько упростить их ввод в формы веб-страниц и приложений путем копирования через буфер обмена.

Утилиты второй группы — так называемые менеджеры паролей — обладают более широкой функциональностью и дополнительно умеют генерировать криптостойкие пароли, автоматически запоминать пароли/логины при первоначальном заполнении форм пользователем и в дальнейшем могут самостоятельно находить нужные данные в базе и автоматически вводить их в соответствующие поля форм веб-страниц и приложений при их открытии. В итоге пользователю уже не придется ни запоминать данные, ни даже вводить их вручную.

Конечно, автоматически запоминать и вводить пароли умеют и некоторые приложения, в частности интернет-браузеры (Internet Explorer и его клоны, Firefox и др.), но сохраненные в них пароли могут оказаться доступными другим пользователям, ведь они хранятся в открытом виде. В то же время пароли, запомненные в специализированных парольных утилитах, надежно скрыты, поскольку хранятся в базах данных, защищаемых криптостойкими алгоритмами. Получить доступ к такой базе обычно можно, лишь зная главный пароль, реже — через USB- или Bluetooth-устройство (тогда ввод главного пароля не требуется), при этом доступ к базе обычно автоматически блокируется в случае неактивности компьютера. Преимущество подобного подхода налицо — пользователю достаточно помнить всего один пароль (а не множество), что уже не так сложно. Более того, при использовании парольных утилит пароли не вводятся пользователем с клавиатуры (исключение — главный пароль) и в открытом виде никогда не отображаются на экране монитора, то есть узнать их через кейлоггер либо путем подглядывания не получится. Помимо этого многие менеджеры паролей имеют специальные портативные версии, предназначенные для установки на USB-диски, — это обеспечивает дополнительную безопасность, поскольку база паролей вообще не хранится на стационарном компьютере и позволяет всегда иметь все пароли под рукой. Конечно, исключить возможность кражи такого диска нельзя, но даже в этом случае получить доступ к данным злоумышленники не смогут, ведь главный пароль им неизвестен. Так что менеджеры паролей существенно повышают надежность обычной парольной защиты и упрощают работу пользователя, поскольку избавляют его от выполнения утомительных операций аутентификации и экономят тем самым немало времени.

Обзор перспективных менеджеров паролей

Сегодня на рынке предлагается очень много менеджеров паролей — мы остановились на четырех платных (AI RoboForm Pro, Password Manager XP, Handy Password и Sticky Password) и двух бесплатных (KeePass Password Safe и Comodo i-Vault) решениях. Все они успешно выполняют свою главную задачу — создание надежно защищенной базы паролей. Конечно, уровень надежности защиты в рассмотренных утилитах различен и зависит от используемого криптографического алгоритма и длины ключа, однако для домашних пользователей подойдет любое из этих решений.

Данные утилиты существенно различаются в плане удобства запоминания и извлечения паролей, степени разнообразия форм для хранения данных и наличия/отсутствия возможности изменения списка полей см. таблицу. Сразу отметим, что платные решения в плане возможностей и удобства намного опережают бесплатные, хотя функциональности последних вполне достаточно для обеспечения более-менее комфортного доступа ко многим онлайновым сервисам.

Так, во всех платных решениях удобно реализовано запоминание новых записей, однако наиболее предпочтительный вариант автоматического запоминания новых логинов и паролей сразу после заполнения форм — в AI RoboForm Pro, Password Manager XP и Handy Password. При этом во всех трех утилитах имеется поддержка папок, предлагается большое разнообразие встроенных форм данных и допускается изменение списка полей в формах по желанию пользователя, можно даже создавать свои поля. А вот создать новые записи с данными на основе стандартных баз, используемых браузерами для автозаполнения форм, можно только в AI RoboForm Pro и Sticky Password. Зато менеджер Sticky Password более надежен в плане безопасности, поскольку в нем имеется виртуальная клавиатура, исключающая возможность перехвата главного пароля при вводе. При этом на AI RoboForm стоит остановиться тем пользователям, кому часто приходится заполнять большие регистрационные и платежные формы. Менеджерам Password Manager XP и Handy Password разумно отдать предпочтение при необходимости работы нескольких пользователей с одной и той же базой паролей. А Sticky Password окажется незаменимым для интернетчиков, предпочитающих ведущим браузерам альтернативные, например клоны Internet Explorer, поскольку данный менеджер поддерживает наибольшее количество интернет-браузеров.

Что касается бесплатных решений, то у каждого из них тоже есть свои плюсы и минусы. Так, в KeePass Password Safe список полей в формах минимален, зато поддерживаются многие интернет-браузеры, предусмотрена возможность запуска приложения с USB-диска, да и заполнять формы гораздо удобнее. В Comodo i-Vault возможности автозаполнения ограниченны, а из браузеров поддерживается только Internet Explorer, зато список запоминаемых полей в записях зависит от выбранного типа данных (причем перечень типов очень широк) и возможно проведение резервирования.

AI RoboForm 6.9.91

Разработчик: Siber Systems, Inc.

Сайт программы: http://www.roboform.com/

Размер дистрибутива: 2,8 Мбайт

Работа под управлением: Windows (все версии)

Способ распространения: shareware (30-дневная демо-версия — http://www.roboform.com/download.html)

Цена: 29,95 долл.

AI RoboForm — менеджер паролей и заполнитель веб-форм, представленный в двух версиях: бесплатной Free и платной Pro (в бесплатной версии имеются ограничения на количество разного типа данных). Он позволяет создавать для каждой учетной записи Windows своего RoboForm-пользователя, при необходимости базы одного и того же RoboForm-пользователя могут использоваться в разных учетных записях Windows. Для доступа к базе паролей требуется ввести главный пароль, возможна автоматическая выгрузка паролей из памяти после определенного периода отсутствия активности на компьютере. Предусмотрены установка приложения на USB-диск (требуется специальная редакция RoboForm2Go) и встроенная синхронизация данных с Palm и PocketPC (требуются специальные редакции RoboForm для Palm и RoboForm для Pocket PC).

Общая база персональных данных представляет собой объединение трех баз: пасскарт (наборов из логина и пароля) — рис. 1 и 2, персон (данные из них используются для заполнения больших форм, не содержащих пароли: регистрационных форм, форм заказа и пр.) и заметок (применяются для хранения фрагментов текста). Записи каждой из баз могут быть размещены в сложной иерархической структуре папок. Список полей можно регулировать. Пасскарты обычно запоминаются автоматически при заполнении форм (имеется возможность генерирования криптостойких паролей), персоны и заметки создаются вручную, список полей для всех трех типов объектов строго определен. Авторизация на сайтах может производиться автоматически, а для заполнения даже очень больших регистрационных и платежных форм достаточно одного щелчка мышью. Предусмотрен импорт логинов и паролей из Internet Explorer и Mozilla Firefox и контактов из Microsoft Outlook. Реализована возможность резервирования базы данных по требованию.

 

Рисунок

Рис. 1. Доступ к базе пасскарт через системный трей в AI RoboForm

Рисунок

Рис. 2. Работа с пасскартами в редакторе пасскарт AI RoboForm

Password Manager XP 2.3.444

Разработчик: CP-Lab.com

Сайт программы: http://www.cp-lab.com/

Размер дистрибутива: 2,07 Мбайт

Работа под управлением: Windows 95/98/Me/NT 4/2000/XP/2003 Server/Vista

Способ распространения: shareware (30-дневная демо-версия — http://www.cp-lab.com/download.html)

Цена: 29,95 долл.

Password Manager XP — менеджер паролей и заполнитель веб-форм и форм приложений. Позволяет создавать под одним Window-акаунтом несколько баз данных. Каждая из баз может быть доступна для определенных пользователей, причем для любого пользователя допускается регулирование прав доступа и привилегий (рис. 3). Для доступа к базе паролей требуется ввести главный пароль; по истечении заданного времени простоя компьютера доступ к базе автоматически блокируется. Возможна установка приложения на USB-диск или КПК (требуется специальная редакция Password Manager XP Mobile).

 

Рисунок

Рис. 3. Добавление нового пользователя с ограниченными правами
в Password Manager XP

Каждая база (рис. 4) представляет собой множество вложенных папок, структуру которых можно формировать по своему желанию. Список полей в записях регулируется пользователем, а введенные в родительской папке поля могут быть унаследованы всеми входящими в нее подпапками. Ввод новых данных в базу обычно осуществляется автоматически, предусмотрена возможность генерирования криптостойких паролей. Поля форм в открываемых веб-страницах и окнах приложений также чаще всего заполняются автоматически. Возможен экспорт/импорт паролей в файлы форматов CSV и TXT. Реализовано автоматическое резервирование базы паролей. Дополнительно в целях повышения безопасности предусмотрено информирование пользователя при обнаружении программ — мониторов буфера обмена.

 

Рисунок

Рис. 4. Работа с базой в Password Manager XP

Handy Password 4.3

Разработчик: Novosoft LLC

Сайт программы: http://www.handypassword.com/

Размер дистрибутива: 2,62 Мбайт

Работа под управлением: Windows 2K/XP/2003/Vista

Способ распространения: shareware (30-дневная демо-версия — http://www.handypassword.com/HandyPassword.exe)

Цена: 29,92 долл.

Handy Password — менеджер паролей и заполнитель веб-форм. Позволяет использовать множеству пользователей одну и ту же базу паролей. При этом администратор может видеть всю информацию базы, а для остальных пользователей доступно лишь автозаполнение веб-форм (сами пароли они увидеть не смогут). Для доступа к базе паролей требуется ввести главный или User-пароль (полный доступ к базе обеспечивается лишь главным паролем); по истечении заданного времени простоя компьютера доступ к базе автоматически блокируется. Предусмотрена установка приложения на USB-носитель (требуется специальная редакция Handy Password USB).

Каждая база представляет собой иерархическую структуру папок. Список запоминаемых в записях полей зависит от типа данных и может регулироваться пользователем. Новые данные в базе обычно запоминаются автоматически по окончании заполнения формы, однако возможна также запись данных по соответствующей команде, вызванной из панели Handy Password, которая появляется в браузере после установки утилиты. Предусмотрена возможность генерирования криптостойких паролей (рис. 5). Заполнение форм производится автоматически либо одним кликом мыши по нужной команде вышеуказанной панели (рис. 6). Экспорт/импорт паролей в файлы не предусмотрен, однако возможно сохранение базы паролей не только на локальном компьютере, но и удаленно — на email-сервере, с которого ее потом и можно будет открыть.

 

Рисунок

Рис. 5. Генерирование пароля в Handy Password

Рисунок

Рис. 6. Заполнение формы через меню Handy Password

Sticky Password 3.2

Разработчик: Sticky Password

Сайт программы: http://ru.stickypassword.com/

Размер дистрибутива: 6,38 Мбайт

Работа под управлением: Windows (все версии)

Способ распространения: shareware (30-дневная демо-версия — http://ru.stickypassword.com/download.html)

Цена: 24,95 долл.; для русскоязычных пользователей — 10 долл.

Sticky Password — менеджер паролей и заполнитель веб-форм и форм приложений. Создает для каждого пользователя, имеющего свой аккаунт в Windows, свою базу паролей. Доступ к базе осуществляется после ввода главного пароля (для предотвращения перехвата главного пароля кейлоггерами можно использовать виртуальную клавиатуру); по истечении заданного времени простоя компьютера доступ к базе автоматически блокируется. Предусмотрен также альтернативный метод авторизации с USB- или Bluetooth-устройств, при котором вводить главный пароль не требуется. Возможна установка утилиты на USB-накопитель либо CD-диск (необходима специальная портативная редакция).

Каждая база представляет собой набор записей, хранящихся в одной общей папке, что при большой базе паролей неминуемо усложнит ориентацию. Запоминание новых данных в базу может производиться несколькими способами: через меню в окне браузера, всплывающую кнопку или меню в системном трее, предусмотрен также ввод данных прямо в менеджере (рис. 7) и сохранение данных из установленных интернет-браузеров. Имеется инструментарий для генерирования криптостойких паролей. Вставка паролей и логинов в формы веб-страниц и окна приложений обычно осуществляется автоматически. Возможен экспорт/импорт паролей в файлы форматов CSV, HTML и TXT. Реализовано автоматическое резервирование базы паролей. Дополнительно в целях повышения безопасности предусмотрено отслеживание попыток компьютерных программ/библиотек получить доступ к другим приложениям и информирование об этом пользователя.

 

Рисунок

Рис. 7. Ввод новой записи в Sticky Password

KeePass Password Safe 1.13

Разработчик: Dominik Reichl

Сайт программы: http://keepass.info/

Размер дистрибутива: 1,34 Мбайт

Работа под управлением: Windows 98/98SE/Me/NT/2000/XP/2003/Vista

Способ распространения: freeware (http://keepass.info/download.html)

Цена: бесплатно

KeePass Password Safe — менеджер паролей и заполнитель веб-форм. Позволяет создавать под одним Windows-акаунтом несколько закрытых разными паролями баз данных. Для доступа к базе паролей требуется ввести главный пароль и/или подключить ключевой файл, который может быть записан на дискете, флэшке или компакт-диске. Предусмотрено автоматическое блокирование доступа к базе в случае переключения пользователя, перехода в спящий режим либо неактивности компьютера. Возможна установка приложения на USB-диск.

База данных может иметь сложную структуру и включать многочисленные папки с подпапками. Список запоминаемых полей в записях строго фиксирован. Ввод новых записей в базу и редактирование уже имеющихся осуществляются только из утилиты (рис. 8), предусмотрена функция генерации криптостойких паролей. Заполнение форм может быть реализовано несколькими способами: перетаскиванием данных в окно браузера, открытием соответствующей страницы с авторизацией через контекстное меню или копированием пароля/логина через буфер обмена (в целях защиты от программ — мониторов буфера обмена допускается лишь однократная вставка, а буфер обмена будет очищен через указанное число секунд). Возможен экспорт/импорт базы паролей в файлы форматов TXT, HTML, XML и CSV.

 

Рисунок

Рис. 8. Редактирование записи с данными в KeePass Password Safe

Comodo i-Vault 3.0.0.1

Разработчик: Comodo, Inc.

Сайт программы: http://www.comodo.com/products/i-vault/

Размер дистрибутива: 7,9 Мбайт

Работа под управлением: Windows 2K/XP

Способ распространения: freeware (http://as3.download.comodo.com/civ/download/setup.exe)

Цена: бесплатно

Comodo i-Vault — менеджер паролей и заполнитель веб-форм. Позволяет создавать под одним Window-акаунтом несколько закрытых разными паролями баз данных. Доступ к базе паролей возможен только после ввода главного пароля, предусмотрено автоматическое блокирование доступа к базе в случае неактивности компьютера.

База данных может включать папки с подпапками, количество вложений которых не ограничено. Список запоминаемых полей в записях зависит от выбранного типа данных, перечень поддерживаемых типов весьма внушителен. Ввод новых данных в базу и редактирование уже существующих производятся только непосредственно из утилиты (рис. 9), для получения криптостойких паролей несложно воспользоваться встроенным генератором. Автоматическое заполнение форм не предусмотрено (можно лишь копировать пароли и логины из базы), зато утилита умеет самостоятельно устанавливать связь с имеющимися в базе сайтами и автоматически проходить авторизацию через защищенные соединения. Предусмотрены экспорт данных базы в текстовый файл и возможность резервирования базы по требованию.

 

Рисунок

Рис. 9. Корректировка записи с данными в Comodo i-Vault

 

В начало В начало

КомпьютерПресс 11'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует