Стоит ли использовать менеджер паролей? Взвешиваем преимущества и риски.

Многие эксперты по кибербезопасности считают, что использование менеджера паролей — лучший способ обеспечить себе безопасность. Надежный и уникальный пароль Для каждого из ваших онлайн-аккаунтов. Хотя некоторые недооценивают ценность этих инструментов.

Для злоумышленников менеджеры паролей представляют собой главную уязвимость — они представляют собой сокровищницу конфиденциальной информации, защищенную одним главным паролем, который можно потерять, украсть или взломать.

• Лучшее программное обеспечение для управления паролями Для обеспечения безопасности ваших онлайн-аккаунтов.
• LastPass, 1Password и другие менеджеры паролей можно взломать: что делать?

Так кто же прав? Команда Tom's Guide пообщалась с рядом экспертов по цифровой безопасности и расспросила их о плюсах и минусах современных решений по управлению паролями.

Вот что они говорят об этих противоречивых технических инструментах, а также несколько советов о том, как снизить риски, связанные с хранением всех паролей в одном месте.

Эксперты по безопасности хвалят программное обеспечение для управления паролями

Не все эксперты по безопасности отдают предпочтение менеджерам паролей, но те, кто от них в восторге, не представляют себе мир без них. Яркий пример — Роберт Сицилиано, бостонский аналитик по безопасности и генеральный директор Safr.me, который заявил, что, имея более 650 активно используемых паролей, он просто не может обойтись без менеджера паролей.

«Без менеджера паролей пользователи возвращаются к слабым паролям, не имея возможности их контролировать», — написал Сицилиано в электронном письме. «Они будут использовать один и тот же пароль для всех своих важных учётных записей и неизбежно будут взломаны». Это подчёркивает важность использования надёжных менеджеров паролей для защиты конфиденциальных данных.

Но даже Сицилиано, подчёркивающий, что нет никаких логических аргументов против использования менеджера паролей, принимает меры, чтобы снизить риск хранения всех своих паролей в одном месте. Эти меры предосторожности крайне важны для повышения информационной безопасности.

Он объяснил, что запоминает данные для входа в самые важные учётные записи (например, для онлайн-банкинга), но хранит остальные пароли в веб-менеджере паролей. Такой баланс между запоминанием и хранением представляет собой сбалансированную стратегию безопасности.

«Никто не может запомнить все пароли».

Моррис Табуш, владелец собственной консалтинговой ИТ-фирмы Tabush Group в Нью-Йорке, указывает на риски, связанные с использованием только паролей для защиты данных. Ваша цифровая личностьОн считает, что пользователи должны делать все возможное, чтобы защитить свои пароли в этой сложной реальности.

Для Табуша лучшим решением будет использование менеджера паролей.

«Невозможно использовать одно имя пользователя и пароль для всех сайтов и сервисов, поскольку у каждого сайта или сервиса свои требования к паролям», — объясняет Табош по электронной почте. «Никто не может запомнить каждую комбинацию разных имён пользователей и паролей».

Табош подчёркивает важность менеджеров паролей для себя и своих клиентов, которые часто являются владельцами малого и среднего бизнеса с десятками онлайн-аккаунтов. Он предпочитает RoboForm от Siber Systems — приложение для управления паролями, доступное для Windows и Mac, а также для мобильных устройств на iOS и Android.

Tapush RoboForm — идеальный выбор, поскольку он работает на всех устройствах, включая настольные компьютеры, ноутбуки, iPhone и iPad. Этот веб-менеджер паролей хранит пароли в зашифрованных файлах, поэтому даже в случае кражи одного из устройств Tapush вор не сможет получить доступ к вашим учетным данным. Это обеспечивает дополнительный уровень защиты от взлома аккаунтов и кражи данных.

Темная сторона цифровых технологий

Конечно, на каждого эксперта, утверждающего, что не может жить без менеджера паролей, найдётся тот, кто предпочёл бы провести остаток жизни без него вообще. Такое разделение мнений отражает обоснованные опасения по поводу безопасности данных.

Такого мнения придерживается Терри Катлер, соучредитель и технический директор Digital Locksmiths, консалтинговой фирмы по кибербезопасности из Монреаля.

В интервью по электронной почте Катлер заявил: «Я вообще не фанат менеджеров паролей. Если один из них будет скомпрометирован, весь ваш код будет украден». Катлер считает, что потенциальные риски перевешивают преимущества, особенно учитывая, что кибератаки становятся всё более изощрёнными.

Тайлер Реголи, директор по исследованиям и разработкам в сфере безопасности компании Tripwire, специализирующейся на кибербезопасности в Портленде, штат Орегон, согласен с Катлером. Он утверждает, что менеджеры паролей могут принести больше вреда, чем пользы, особенно для домашних пользователей, у которых может не быть опыта их безопасной настройки.

«Менеджеры паролей — это способ, которым общество переносит вредные привычки на компьютер», — добавляет Реголи. «Неприемлемо „записывать“ пароли, поэтому вместо этого мы „храним“ их на своих компьютерах. „Хранилище“ — это просто цифровой эквивалент „записывания“». Реголи объясняет, что использование одного менеджера паролей создаёт центральную точку уязвимости, делая его привлекательной целью для злоумышленников. Вместо этого он советует применять более эффективные методы безопасности, например, использовать надёжные, уникальные пароли для каждой учётной записи и по возможности включать двухфакторную аутентификацию.

«Я не доверяю онлайн-менеджерам паролей».

Определить, какие инструменты безопасны, а какие нет, не всегда просто. Как отмечает Кен Уэстин, директор по стратегии безопасности в ReliaQuest, сложно определить, насколько на самом деле безопасны менеджеры паролей.

«Лично я не доверяю онлайн-менеджерам паролей», — написал Уэстин в электронном письме. «Не потому, что считаю их небезопасными, а потому, что не знаю, насколько они безопасны, как они хранят мою информацию и надёжно ли шифруются мои данные».

Из-за этих сомнений Уэстин заявил, что не будет хранить самую конфиденциальную информацию в веб-менеджерах паролей. Для управления паролями к финансовым аккаунтам и электронной почте Уэстин рекомендовал использовать офлайн-инструмент, полагая, что безопасность конфиденциальных паролей требует изоляции от потенциальных рисков.

«Для максимальной безопасности пароли к этим сервисам [финансовым аккаунтам и учётным записям электронной почты] следует хранить в зашифрованном автономном менеджере паролей, например, KeePass, который требует аутентификации для открытия и регулярно и надёжно резервируется», — заявил Уэстин. Это гарантирует надёжную защиту доступа к этой важной информации.

Кристофер Берджесс, генеральный директор Prevendra, компании из Сиэтла, занимающейся безопасностью и конфиденциальностью, предложил всем, кто не доверяет менеджерам паролей, отслеживать пароли вручную. Этот метод обеспечивает полный контроль над конфиденциальными данными.

«Ручную систему легко реализовать [с помощью] двух блокнотов», — сказал Берджесс. «В первый блокнот запишите данные своей учётной записи — название сервиса, URL-адрес, идентификатор пользователя и серийный номер. Во второй блокнот, рядом с серийным номером, запишите пароль и любые примечания по аутентификации. Сохраните второй блокнот в надёжном месте и обращайтесь к нему, когда не сможете вспомнить пароль». Этот подход, несмотря на свою простоту, представляет собой приемлемую альтернативу для тех, кто предпочитает напрямую контролировать безопасность своих паролей.

Необходимо принять меры безопасности

Хотя многие из опрошенных нами экспертов имеют твёрдое мнение о менеджерах паролей, многие эксперты по безопасности, похоже, занимают золотую середину. Они считают эти программы полезными инструментами, но не идеальными и не поддающимися взлому.

Как отметил в электронном письме Честер Вишневски, старший научный сотрудник многонациональной антивирусной компании Sophos, те, кто не подходит к выбору менеджеров паролей с умом, в конечном итоге могут отказаться от «единственного кольца, управляющего всеми».

Вишневский рекомендует искать «известные и надёжные приложения. Эти приложения должны шифровать данные локально, а не полагаться на сторонние сервисы шифрования. Лично мне нравятся LastPass и KeePass».

Седрик Джено, основатель и генеральный директор APrivacy, компании по кибербезопасности из Ватерлоо, Онтарио, также подчеркнул важность надежного шифрования данных при выборе менеджера паролей.

Джино объяснил, что если выбранный вами менеджер паролей хранит данные в облаке, а не локально на вашем компьютере, вам следует обратить пристальное внимание на страну, в которой хранится ваша информация, кто может иметь к ней доступ, а также на службу менеджера паролей.

Ламар Бейли, старший менеджер по безопасности компании Tripwire, считает, что следует искать менеджеры паролей, которые обладают функциями безопасности, выходящими за рамки шифрования, и которые могут помочь защитить идентификационные данные пользователей в сети.

«Многие менеджеры паролей предупреждают пользователей о веб-сайтах, которые были взломаны или подвержены серьезным уязвимостям, таким как Heartbleed», — добавил Бейли в электронном письме.

Бейли продолжил: «Самое важное, что следует помнить, когда речь идет о менеджерах паролей, — это главный пароль, который вы используете для защиты инструмента».

Бейли подчеркнул, что «любой менеджер паролей настолько надёжен, насколько надёжен ваш главный пароль. Поэтому пользователям следует всегда следить за надёжностью пароля своего менеджера паролей и регулярно его менять».