4 sposoby przechowywania haseł do witryn internetowych - wady i zalety

Kwestia bezpiecznego przechowywania loginów i haseł z witryn jest obecnie bardzo istotna. Liczba oszustów internetowych i różnych hakerów rośnie z każdym rokiem, a najlepszą ochroną przed nimi jest odpowiedzialne (przynajmniej przed sobą) i ostrożne korzystanie z komputerów i gadżetów podłączonych do sieci. Bezpieczne przechowywanie haseł z witryn jest jednym z głównych środków ostrożności.

Jak przechowywać hasła z witryn

Rzućmy okiem na 4 sposoby przechowywania haseł, które są używane przez większość użytkowników Internetu.

  1. Lokalne (na komputerze / telefonie) przechowywanie w chronionym hasłem pliku tekstowym lub dowolnym dokumencie cyfrowym w formacie biurowym (DOCX, PDF, XLSX itp.). Pliki tekstowe mogą być na przykład zaszyfrowane w archiwum (ZIP, RAR itp.), Chronione złożonym hasłem. A w przypadku dokumentów biurowych można je zaszyfrować w samym edytorze podczas zapisywania pliku - w tym samym programie Microsoft Word i Excel jest taka funkcja. Metoda jest niezawodna, jeśli ustawisz skomplikowane hasło, ale całkowicie niewygodna - możesz zapomnieć o automatycznym wypełnianiu formularzy logowania / hasła na stronach internetowych.
  2. Przechowywanie haseł w zaszyfrowanej pamięci masowej w chmurze na serwerze zdalnym, co jest również dość bezpieczne, ale znowu doskonale wygodne z tych samych powodów. Jednak w przeciwieństwie do pierwszej metody dostęp do haseł można uzyskać z dowolnego miejsca na świecie. Jednak zaszyfrowany plik można również umieścić w chmurze lub w inny wyrafinowany sposób.
  3. Przechowywane bezpośrednio w przeglądarce za pomocą odpowiedniej wbudowanej funkcji dowolnej nowoczesnej przeglądarki internetowej. Wręcz przeciwnie, ta metoda jest najwygodniejsza, ale nie najbardziej niezawodna. Jeśli mówimy np. O hasłach z banków internetowych, to lepiej nie polegać na wbudowanych mechanizmach bezpieczeństwa przeglądarki.
  4. Przechowywanie w specjalnych programach lub rozszerzeniach (wtyczkach) do przeglądarek - menedżerów haseł. Ta metoda łączy w sobie wygodę i niezawodność. Ale są też wady. Dla wielu użytkowników korzystanie z menedżera haseł nie jest łatwym zadaniem, ponieważ wymaga pobrania, zainstalowania i wstępnej konfiguracji tego programu lub rozszerzenia. Ponadto w większości przypadków będziesz musiał rozwidlić się, aby korzystać z menedżerów haseł, ale na szczęście jest to całkowicie niedrogie, szczególnie w przypadku programów krajowych.

Do najpopularniejszych należą sposoby przechowywania haseł z witryn w przeglądarce lub specjalnych menedżerów haseł (w tym rozszerzeń przeglądarki). Porozmawiajmy o nich.

Przechowywanie haseł w przeglądarce

Wyraźną zaletą tej metody jest wygoda, na przykład:

  • Użytkownik jest zwolniony z instalowania jakichkolwiek dodatkowych programów lub rozszerzeń, tworzenia chronionych archiwów lub dokumentów chronionych hasłem.
  • Nie ma potrzeby specjalnego konfigurowania samej przeglądarki - wszystko to zostało już zrobione za użytkownika. Aby wprowadzić swoją nazwę użytkownika / hasło do pamięci przeglądarki, wystarczy kliknąć jeden przycisk, wyrażając zgodę na zapisanie. Równie łatwo jest używać automatycznego wypełniania formularzy internetowych.
  • Hasła zapisane w przeglądarce są dostępne na każdym urządzeniu - komputerze, smartfonie itp. Aby to zrobić, wystarczy zarejestrować się na stronie twórców przeglądarek internetowych, a następnie zalogować się na to samo konto na wszystkich urządzeniach.

Jednak pod względem bezpieczeństwa sposób, w jaki przeglądarka przechowuje hasła, nie jest najbezpieczniejszy.

Ponieważ:

  • Domyślnie (bez wstępnych ustawień) hasła w przeglądarce przechowywane są w „czystej” formie, tj. niezaszyfrowane. Aby zobaczyć i ukraść wszystkie zapisane hasła, atakujący nie musi nawet uruchamiać przeglądarki internetowej - wystarczy znaleźć (i nie jest to trudne) wyspecjalizowany plik z hasłami na dysku twardym.
  • Jako „łatka” tej „dziury” w systemie bezpieczeństwa przeglądarek zastosowano szyfrowanie hasłem bardzo specjalnego pliku z hasłami. Nie będzie można uzyskać do niego dostępu bez uruchomienia przeglądarki. Jeśli spróbujesz użyć zapisanego hasła lub wyświetlić wszystkie hasła, będziesz musiał wprowadzić wcześniej ustawiony klucz odszyfrowywania. Ale musisz go wprowadzić z reguły tylko raz na sesję, ponieważ baza danych z hasłami pozostanie odszyfrowana do momentu zamknięcia przeglądarki. I to jest kolejna „dziura” w mechanizmie bezpieczeństwa przeglądarki. Jeśli w jakiś sposób okaże się, że napastnik (lub po prostu „zabawny”) to kolega w pracy, to po prostu zaczeka, aż użytkownik wprowadzi klucz deszyfrujący i przez kilka minut pozostawi swój komputer bez nadzoru.
  • Hasła przechowywane w jednej przeglądarce nie są dostępne w innych używanych przez użytkownika. Oczywiście hasła można przenosić, eksportując plik z jednej przeglądarki, a następnie importując go do innej. Ale znowu będzie to wymagało od użytkownika zagłębienia się w ustawienia. I nie jest faktem, że wyeksportowany plik z jednej przeglądarki zostanie przeniesiony w tej samej formie do innej.
  • W przeglądarkach często brakuje dodatkowych wygodnych narzędzi do haseł. Na przykład nie ma automatycznej funkcji sprawdzającej złożoność i siłę hasła. Brakuje wbudowanego generatora złożonych haseł lub jest on mniej funkcjonalny, na przykład nie można wybrać rodzaju znaków używanych w haśle. Nie możesz przechowywać żadnych innych danych razem z hasłami - notatkami itp.

Przechowywanie haseł w specjalistycznych programach

Dedykowani menedżerowie haseł mają znacznie większe korzyści w zakresie bezpieczeństwa. Dobrym przykładem jest system przechowywania haseł MultiPassword. Składa się z dwóch głównych części - bezpiecznego przechowywania w chmurze i oprogramowania użytkownika końcowego, które obejmuje aplikację komputerową (komputerową) i rozszerzenie przeglądarki.

rozszerzenie multipassword

Wysokie bezpieczeństwo korzystania z MultiPassword tłumaczy się zasadą jego działania:

  1. Dostęp do magazynu zdalnego jest możliwy tylko po autoryzacji w systemie MultiPassword, która wymaga specjalnego tajnego klucza i hasła głównego. Włamanie się do konta użytkownika MultiPassword nie jest możliwe przy użyciu standardowych metod brute-force (ponieważ potrzebujesz również tajnego klucza). Nawiasem mówiąc, nie można tego powiedzieć o zaszyfrowanym pliku, w którym przeglądarki przechowują hasła - pliki tutaj nie są chronione przed włamaniem przez brutalne klucze dostępu.
  2. Dane wprowadzone do aplikacji / rozszerzenia MultiPassword są szyfrowane na urządzeniu użytkownika przed wysłaniem i przesłaniem do zdalnego serwera w postaci zaszyfrowanej. Eliminuje to możliwość przechwytywania haseł gdzieś pośrodku między komputerem lub telefonem a serwerami MultiPassword przy użyciu sniffingu i innych metod analizy, a także przechwytywania ruchu sieciowego. Owszem, atakujący będą mogli przechwycić część ruchu (zwłaszcza jeśli do dostępu do Internetu zostaną wykorzystane publiczne punkty dostępu WiFi), ale dla nich pozostanie to kompletnie bezużyteczny zestaw niezrozumiałych symboli.
  3. Wszystkie aplikacje MultiPassword (w tym rozszerzenie przeglądarki) są domyślnie skonfigurowane w taki sposób, że po dłuższej (kilkuminutowej) bezczynności użytkownika interfejs programu / rozszerzenia jest automatycznie blokowany. Zmniejsza to ryzyko wycieku hasła z komputera / telefonu w wyniku zaniedbania użytkownika (zapomniałem go ręcznie zablokować, pozostawiając włączony komputer).

Oprócz wyższego (w porównaniu do wbudowanych narzędzi przeglądarki) poziomu bezpieczeństwa, menedżer haseł MultiPassword posiada również następujące udogodnienia:

  • Program jest dostępny na różne platformy (Windows, MacOS, iOS, Android itp.), Dzięki czemu użytkownik ma dostęp do swoich haseł z dowolnego nowoczesnego urządzenia.
  • W przypadku korzystania z rozszerzenia przeglądarki możliwe staje się automatyczne zapisywanie haseł w systemie MultiPassword oraz automatyczne wypełnianie pól loginu / hasła na stronach internetowych.
  • Możliwość przechowywania dowolnych informacji tekstowych w postaci zaszyfrowanej w odniesieniu do konkretnej witryny lub tak po prostu.
  • Możliwość tworzenia nieograniczonej liczby magazynów (katalogów) w celu rozbicia haseł i innych danych na przyjazne dla użytkownika kategorie.
  • Możliwość importowania haseł z przeglądarek i innych menedżerów do systemu MultiPassword.
  • Dostępność automatycznego systemu oceny siły haseł oraz generatora haseł według głównych kryteriów (długość, rodzaj użytych symboli).

Witryna z wieloma hasłami

System przechowywania haseł MultiPassword ma swoje wady, które są wspólne dla wszystkich podobnych menedżerów haseł. Program / rozszerzenie należy pobrać, zainstalować i skonfigurować osobno (choć to wszystko nie jest trudne i zajmuje kilka minut). Aby korzystać z systemu MultiPassword przez ponad 30 dni (tyle czasu poświęcamy na wypróbowanie), będziesz musiał się zapisać. Cieszę się, że cena własnego bezpieczeństwa to symboliczne 50 rubli miesięcznie.