Чи безпечно зберігати всі мої паролі в одному місці?

Так, якщо це належним чином розроблений менеджер паролів із надійним головним паролем і ввімкненою 2FA. Ризик злому менеджера набагато менший, ніж ризик повторного використання пароля, яким користуються майже всі атаки із підкиданням облікових даних. Математика в переважній більшості надає перевагу використанню менеджера.

Який найбезпечніший менеджер паролів?

Серед хмарних менеджерів 1Password, Bitwarden і Proton Pass мають міцну репутацію. Тільки для локального використання KeePassXC є стандартом з відкритим кодом. Вбудовані в браузер менеджери від Apple, Google і Mozilla також є розумним вибором — менш багаті функціями, але добре розроблені.

Що робити, якщо я забув свій головний пароль?

Без варіантів відновлення ви втрачаєте доступ до кожного запису. Поважні менеджери пропонують завантаження екстреного комплекту, соціальне відновлення або відновлення на основі біометричних даних/пристроїв. Налаштуйте принаймні один, перш ніж він вам дійсно знадобиться. Без відновлення архітектура з нульовими знаннями означає, що навіть постачальник не зможе вам допомогти.

Чи варто довіряти вбудованим у браузер менеджерам паролів?

Вони кращі, ніж повторне використання. Основні обмеження: ви прив’язані до одного браузера, інтеграція з небраузерними програмами погана, функції аудиту слабші, а синхронізація між платформами залежить від облікового запису постачальника браузера. Для більшості звичайних користувачів прийнятний менеджер браузера; для тих, хто має серйозні моделі загроз або багато облікових записів, краще спеціальний менеджер.

Чи може VPN замінити менеджер паролів?

Ні — вони вирішують різні проблеми. VPN приховує вашу мережеву ідентифікацію від сайтів; Менеджер паролів захищає ваш обліковий запис на сайтах. Використовуйте обидва. Деякі постачальники VPN об’єднують менеджер паролів (NordPass із NordVPN, Proton Pass із Proton VPN); об'єднання зручне, але межі конфіденційності між продуктами все ще незалежні.

Пояснення менеджерів паролів: як вони працюють, чому головні паролі важливі та яка модель вам підходить

Менеджер паролів замінює неможливе завдання запам’ятати 200 унікальних надійних паролів здійсненним завданням запам’ятати один. Рішення полягає не в тому, чи використовувати її — це вирішено, — а в тому, яка архітектура відповідає вашій моделі загроз: синхронізована з хмарою, лише локальна чи вбудована в браузер.

Повний текст статті подано англійською мовою нижче.

A менеджер паролів — це зашифроване сховище облікових даних, доступ до якого здійснюється за допомогою головного пароля (і в ідеалі — другого фактора). Менеджер генерує надійні випадкові паролі на вимогу, автоматично заповнює їх у формах входу та підтримує їх синхронізацію на ваших пристроях. Весь стек базується на одному припущенні: головний пароль і його похідний ключ залишаються в таємниці.

Архітектура

Кожен сучасний менеджер паролів використовує той самий шаблон шифрування:

Головний пароль запускається через повільну функцію виведення ключа (PBKDF2, Argon2 або scrypt), яка створює головний ключ. Навмисно повільно — мільйони ітерацій — щоб зробити вгадування методом грубої сили дорогим.
Мастер-ключ шифрує ключ шифрування для кожного сховища.
Ключ шифрування обгортає окремі записи за допомогою AES-256-GCM або подібного автентифікованого шифрування.
Зберігається шифртекст сховища локально та (для хмарних менеджерів) синхронізовано із сервером.

Сервер ніколи не бачить головний пароль або розгорнуте сховище. Це називається «нульовим знанням» — постачальник не може розшифрувати ваші дані, навіть якби він цього хотів або був змушений.

Cloud проти локального чи браузера

Три архітектури:

Cloud-синхронізація (1Password, Bitwarden, Dashlane, LastPass) — синхронізація сховищ через сервер провайдера. Ви отримуєте доступ із різних пристроїв, спільні сховища для сімей/команд і варіанти відновлення. Ви також довіряєте інфраструктурі та коду постачальника.
Лише локально (KeePassXC, KeePass, Strongbox) — сховище — це файл на вашому пристрої. Ви вручну синхронізуєте його через Dropbox, Syncthing або USB-накопичувач. Максимальний контроль, більше тертя.
Вбудований браузер (Chrome, Firefox, Safari, Edge) — паролі зберігаються в браузері, синхронізуються з хмарою постачальника (Google/Mozilla/Apple/Microsoft). зручно. Менш багатофункціональний; прив’язаний до одного браузера.

Уроки LastPass

LastPass — колись домінуючий хмарний менеджер паролів — зазнав серйозного злому, який був розкритий у 2022 році. Зловмисник викрадав зашифровані сховища разом із метаданими, такими як URL-адреси, які охоплювали кожен запис. Зашифровані сховища залишалися зашифрованими, але витік метаданих допоміг зловмисникам визначити пріоритети, які сховища атакувати в автономному режимі, а слабкі головні паролі можна було вгадати. Цей епізод встановив три принципи для решти індустрії:

A довгий випадковий головний пароль не підлягає обговоренню.
Ключ шифрування сховища має використовувати надійний KDF із великою кількістю ітерацій.
Навіть порушення зашифрованого сховища мають значення; Відкриття метаданих справді шкодить.

Що робить головний пароль надійним

Довжина перемагає складність. Випадкова парольна фраза з 5 слів (у стилі Diceware — «правильна губка для скріпки акумуляторної батареї») має більшу ентропію, ніж «P@ssw0rd1!» і його набагато легше друкувати. Прагніть отримати принаймні 70 біт ентропії, що приблизно відповідає 4-6 випадковим словам зі списку із 7000 слів або 16 випадковим символам. Найкорисніша інвестиція в безпеку, яку може зробити користувач, — це заміна слабкого головного пароля на надійний.

Другий фактор у самому менеджері

Кожен сучасний менеджер паролів підтримує додавання другого фактора автентифікації для розблокування. Використовуйте це. Найбільш безпечні варіанти:

Апаратний токен (YubiKey, Solo, Titan) — захищений від фішингу. Програма автентифікації
TOTP (Aegis, Raivo, власний пароль 1Password).
Push-повідомлення через програму автентифікації — зручно, але важче audit.

SMS 2FA на основі менеджера паролів є прийнятним, але найслабшим варіантом через атаки обміну SIM-картою.

Перехід ключа доступу

Паролі (облікові дані FIDO2, якими керує ОС або менеджер паролів) поступово замінюють паролі для багатьох сайтів із високим трафіком. Сучасні менеджери паролів зберігають і синхронізують ключі доступу разом із паролями. Середньострокове майбутнє: паролі для застарілих сайтів, ключі доступу для нових, обидва керуються в одному сховищі. Головний пароль не зникає; він залишається основою довіри.

Поширені режими збоїв

Три шляхи зламу користувачів менеджера паролів:

Фішинг головного пароля. Підроблена сторінка входу фіксує його. Другий фактор апаратного токена повністю запобігає цьому.
Зловмисне програмне забезпечення на пристрої. Кейлоггер фіксує головний пароль під час його введення. Не існує лише програмного виправлення; ось чому гігієна кінцевої точки має значення навіть із менеджером паролів.
Втрата доступу. Забутий головний пароль, втрата єдиного пристрою, параметри відновлення не налаштовано. Налаштуйте надрукований набір для екстреного відновлення та зберігайте його фізично.

Що хороший менеджер паролів робить для вас поза межами зберігання

Створює надійні паролі для кожного сайту з настроюваним набором символів і довжиною
Аудит існуючих записів для повторного використання, слабкі паролі та відомі порушення (через HaveIBeenPwned k-anonymity API)
Заповнює облікові дані лише на відповідних доменах, перешкоджаючи більшості спроб фішингу
Зберігає захищені нотатки, платіжні картки, документи, що посвідчують особу, в одному зашифроване сховище
Надає спільні сховища для сімей або команд без розголошення індивідуальних паролів

Навіть безкоштовний рівень будь-якого авторитетного менеджера значно кращий, ніж повторне використання паролів або записування їх у блокноті.

Часті запитання

Чи безпечно зберігати всі мої паролі в одному місці?: Так, якщо це належним чином розроблений менеджер паролів із надійним головним паролем і ввімкненою 2FA. Ризик злому менеджера набагато менший, ніж ризик повторного використання пароля, яким користуються майже всі атаки із підкиданням облікових даних. Математика в переважній більшості надає перевагу використанню менеджера.
Який найбезпечніший менеджер паролів?: Серед хмарних менеджерів 1Password, Bitwarden і Proton Pass мають міцну репутацію. Тільки для локального використання KeePassXC є стандартом з відкритим кодом. Вбудовані в браузер менеджери від Apple, Google і Mozilla також є розумним вибором — менш багаті функціями, але добре розроблені.
Що робити, якщо я забув свій головний пароль?: Без варіантів відновлення ви втрачаєте доступ до кожного запису. Поважні менеджери пропонують завантаження екстреного комплекту, соціальне відновлення або відновлення на основі біометричних даних/пристроїв. Налаштуйте принаймні один, перш ніж він вам дійсно знадобиться. Без відновлення архітектура з нульовими знаннями означає, що навіть постачальник не зможе вам допомогти.
Чи варто довіряти вбудованим у браузер менеджерам паролів?: Вони кращі, ніж повторне використання. Основні обмеження: ви прив’язані до одного браузера, інтеграція з небраузерними програмами погана, функції аудиту слабші, а синхронізація між платформами залежить від облікового запису постачальника браузера. Для більшості звичайних користувачів прийнятний менеджер браузера; для тих, хто має серйозні моделі загроз або багато облікових записів, краще спеціальний менеджер.
Чи може VPN замінити менеджер паролів?: Ні — вони вирішують різні проблеми. VPN приховує вашу мережеву ідентифікацію від сайтів; Менеджер паролів захищає ваш обліковий запис на сайтах. Використовуйте обидва. Деякі постачальники VPN об’єднують менеджер паролів (NordPass із NordVPN, Proton Pass із Proton VPN); об'єднання зручне, але межі конфіденційності між продуктами все ще незалежні.