Менеджеры паролей — овощи интернета. Мы знаем, что они полезны, но большинству из нас приятнее перекусывать парольным эквивалентом нездоровой пищи. На протяжении почти десяти лет такими паролями были «123456» и «password» — два наиболее часто используемых пароля в Интернете. Проблема в том, что большинство из нас не знает, что является хорошим паролем, и в любом случае не в состоянии запомнить сотни таких паролей.
Самый надежный (если не самый безумный) способ хранения паролей — запомнить их все. (Убедитесь, что они длинные, надежные и безопасные!) Шутка. Это может сработать для гроссмейстера памяти Эда Кука, но большинство из нас не способны на такие фантастические подвиги. Мы должны переложить эту работу на менеджеры паролей, которые предлагают надежные хранилища, способные заменить нашу память.
Менеджер паролей обеспечивает удобство и, что более важно, помогает создавать более качественные пароли, что делает вашу жизнь в Интернете менее уязвимой для атак на основе паролей. Ознакомьтесь с нашим руководством по VPN-провайдерам, чтобы узнать, как повысить уровень своей безопасности, а также с нашим руководством по резервному копированию данных, чтобы ничего не потерять в случае непредвиденных обстоятельств.
Все способы, которыми Эверест может убить вас
Обновлено в октябре 2023 года: Мы изменили наш главный выбор на Bitwarden и отметили некоторые обновления в других наших подборках.
Специальное предложение для читателей Gear: Получите WIRED всего за $5 (скидка $25). Это включает в себя неограниченный доступ к сайту WIRED.com, полное освещение событий в Gear и рассылку новостей только для подписчиков. Подписка помогает финансировать нашу ежедневную работу.
Если вы покупаете что-либо по ссылкам в наших статьях, мы можем получить комиссионное вознаграждение. Это помогает поддерживать нашу журналистику. Узнать больше.
- Почему бы не воспользоваться браузером?
- Passkeys, FIDO и «смерть пароля»
- Лучший вариант для большинства людей
- Лучшая модернизация
- Лучший полнофункциональный менеджер
- Другой вариант
- Лучшие варианты «сделай сам» (самостоятельное размещение)
- Почетные упоминания
- Что касается LastPass?
- Как мы проводим испытания
- Основы работы с менеджерами паролей
Почему бы не воспользоваться браузером?
Большинство веб-браузеров предлагают хотя бы рудиментарный менеджер паролей. (Именно здесь хранятся ваши пароли, когда Google Chrome или Mozilla Firefox спрашивают, хотите ли вы сохранить пароль). Это лучше, чем использовать один и тот же пароль повсюду, но возможности браузерных менеджеров паролей ограничены. В последние годы компания Google усовершенствовала встроенный в Chrome менеджер паролей, и он стал лучше остальных, но он все еще не настолько полнофункционален и широко поддерживается, как специализированные менеджеры паролей, например, описанные ниже.
Причина, по которой эксперты по безопасности рекомендуют использовать специализированный менеджер паролей, сводится к целенаправленности. У веб-браузеров есть другие приоритеты, которые не оставляют времени на совершенствование менеджера паролей. Например, большинство из них не будут генерировать для вас надежные пароли, оставляя вас снова на «123456». Специализированные менеджеры паролей преследуют единственную цель и годами добавляют полезные функции. В идеале это приводит к повышению уровня безопасности.
Читатели WIRED также спрашивали о менеджере паролей Apple для macOS, который синхронизируется через iCloud и имеет неплохую интеграцию с веб-браузером Safari. В системе Apple нет ничего плохого. Более того, в прошлом я использовал Keychain Access на компьютерах Mac, и она отлично работает. В ней нет некоторых дополнительных возможностей, которые предоставляют специализированные службы, но она обеспечивает защиту паролей и их синхронизацию между устройствами Apple. Основная проблема заключается в том, что если у вас есть устройства, не относящиеся к Apple, вы не сможете синхронизировать с ними свои пароли. Всецело отдаете предпочтение Apple? Тогда этот бесплатный встроенный вариант стоит рассмотреть.
Passkeys, FIDO и «смерть пароля»
Целенаправленные усилия по избавлению от паролей начались примерно через два дня после того, как пароль был изобретен. Пароли — это боль, с этим не поспоришь, но в обозримом будущем от них не избавиться. Последняя попытка отказаться от пароля исходит от FIDO Alliance, отраслевой группы, занимающейся стандартизацией методов аутентификации в Интернете.
Apple реализовала протоколы FIDO в так называемых пропускных ключах. Passkeys — это сгенерированные криптографические ключи, управляемые вашим устройством. Вам не нужно ничего делать. Apple будет хранить их в связке ключей iCloud, чтобы они синхронизировались между устройствами, и они работают в веб-браузере Apple Safari. Ключи Passkeys доступны с iOS 16 и macOS Ventura, но имеют некоторые ограничения. Веб-сайты и сервисы должны поддерживать протоколы FIDO Alliance, а большинство из них на данный момент этого не делают. Мы ожидаем, что в скором времени ситуация изменится. Компания Google уже развернула поддержку Passkey в Android и Chrome. В перспективе Passkey будут также работать с системами Microsoft, Meta и Amazon.
Поскольку вместо паролей в Passkeys генерируются пары ключей, запоминать ничего не нужно. Если вы знакомы с ключами GPG, то они в некоторой степени похожи: есть открытый и закрытый ключи; веб-сайт, на котором вы хотите войти в систему, имеет открытый ключ и отправляет его на ваше устройство. Устройство сравнивает его с имеющимся у него закрытым ключом, и вы входите в систему (или не входите, если ключи не совпадают). Хотя pass-ключи не являются радикальным отступлением, они все же являются улучшением, поскольку уже предустановлены для людей, которые не собираются читать эту статью и сразу же подписываться на одну из перечисленных ниже служб. Если миллионы людей вдруг перестанут использовать 12345678 в качестве пароля, это будет победой для безопасности.
В то же время у предложенной FIDO Alliance концепции есть ряд существенных недостатков. Самый большой из них заключается в том, что вам придется класть все яйца в одну корзину. Ключи доступа управляются вашим устройством, а значит, и технологической компанией, которая стоит за вашим устройством — Apple, Google и Microsoft. Это единая точка отказа, что в мире технологий исторически не сулит ничего хорошего. Мы надеемся, что FIDO расширит свой текущий план и позволит третьим сторонам также генерировать и управлять ключами.
А пока, если вы читаете эту статью, мы советуем вам использовать хороший менеджер паролей. Большинство из них в любом случае поддерживают логины Passkey, так что вы не будете отставать от жизни только потому, что не ухватились за первую подвернувшуюся возможность использования Passkey.
Лучший вариант для большинства людей
Bitwarden безопасен, имеет открытый исходный код и бесплатен без каких-либо ограничений. Приложения отточены и удобны, что делает сервис оптимальным выбором для большинства пользователей. Я уже упоминал, что это открытый исходный код? Это означает, что код, на котором работает Bitwarden, находится в свободном доступе, и любой желающий может его изучить, найти недостатки и исправить. Теоретически, чем больше людей следят за кодом, тем более герметичным он становится. Кроме того, Bitwarden прошел аудит 2022 года третьей стороной, что гарантирует его безопасность. Вы можете установить его на свой собственный сервер, что упрощает самостоятельное размещение, если вы предпочитаете использовать собственное облако.
Существуют приложения для Android, iOS, Windows, macOS и Linux, а также расширения для всех основных веб-браузеров. Bitwarden также поддерживает Windows Hello и Touch ID в своих настольных приложениях для Windows и macOS, обеспечивая дополнительную безопасность биометрических систем аутентификации. Недавно Bitwarden представила поддержку беспарольной аутентификации, что означает возможность входа в систему с помощью одноразового кода, биометрической аутентификации или ключа безопасности. Кроме того, поддерживаются Passkeys, функция безопасного обмена файлами (так называемая Bitwarden Send), а также чрезвычайно активное и полезное сообщество.
Мне нравится полуавтоматический инструмент Bitwarden для заполнения паролей. При посещении сайта, для которого вы сохранили учетные данные, в значке браузера Bitwarden отображается количество сохраненных учетных данных с этого сайта. Щелкните на значке, и он спросит, какую учетную запись вы хотите использовать, а затем автоматически заполнит форму входа. Это позволяет легко переключаться между именами пользователей и избежать «подводных камней» автозаполнения, о которых мы упомянули в конце данного руководства. Если же вам просто необходимо иметь полностью автоматизированную функцию заполнения формы, Bitwarden поддерживает и ее.
Bitwarden предлагает платный апгрейд аккаунта. Самый дешевый из них, Bitwarden Premium, стоит 10 долларов в год. За это вы получаете 1 ГБ зашифрованного файлового хранилища и двухфакторную аутентификацию с помощью таких устройств, как YubiKey, FIDO U2F и Duo, а также отчет о гигиене паролей и состоянии хранилища. Кроме того, платная учетная запись обеспечивает приоритетную поддержку клиентов.
После регистрации загрузите приложение для Windows, macOS, Android, iOS или Linux. Существуют также расширения для браузеров Firefox, Chrome, Safari, Edge, Vivaldi и Brave.
Лучшая модернизация
Что отличает 1Password от остальных вариантов в этом списке, так это количество дополнительных возможностей, которые он предлагает. Как и другие менеджеры паролей, 1Password имеет приложения, которые работают практически везде, в том числе на macOS, iOS, Android, Windows, Linux и ChromeOS. Есть даже инструмент командной строки, который работает везде. Существуют также плагины для вашего любимого веб-браузера, что позволяет легко генерировать и редактировать новые пароли «на лету».
Ранее приложение 1Password было нашим лучшим выбором, но последняя версия приложения 1Password уже не обеспечивает того надежного опыта, который был в предыдущей версии. У меня возникли проблемы с неработающим автозаполнением, а также с тем, что комбинации клавиш перестают работать, пока я не перезапущу браузер. Я не думаю, что сам сервис стал хуже, чем раньше. 1Password по-прежнему является хорошим и надежным выбором, просто приложения BitWarden мне кажутся более удобными.
Однако у 1Password есть несколько дополнительных возможностей, которые могут оказаться полезными для некоторых пользователей. Если вы часто путешествуете через государственные границы, вы по достоинству оцените мою любимую функцию 1Password: Режим путешествий. Этот режим позволяет удалять конфиденциальные данные с устройств перед поездкой, а затем восстанавливать их одним щелчком мыши после пересечения границы. Таким образом, никто, даже сотрудники правоохранительных органов на границе, не сможет получить доступ к вашему полному хранилищу паролей.
Помимо менеджера паролей, 1Password может выступать в качестве приложения для аутентификации, например Google Authenticator, а для обеспечения дополнительной безопасности он создает секретный ключ к используемому ключу шифрования, то есть никто не сможет расшифровать ваши пароли без этого ключа. (Недостатком является то, что если вы потеряете этот ключ, то никто, даже 1Password, не сможет расшифровать ваши пароли).
1Password также предлагает тесную интеграцию с другими мобильными приложениями. Вместо того чтобы копировать и вставлять пароли из менеджера паролей в другие приложения (при этом пароль хотя бы на мгновение оказывается в буфере обмена), 1Password интегрирован со многими приложениями и может осуществлять автозаполнение. Это более заметно на iOS, где взаимодействие между приложениями более ограничено.
После регистрации загрузите приложение для Windows, macOS, Android, iOS, Chrome OS или Linux. Существуют также расширения для браузеров Firefox, Chrome, Brave и Edge.
Лучший полнофункциональный менеджер
Впервые я познакомился с Dashlane несколько лет назад. Тогда он был таким же, как и его конкуренты, и ничем не выделялся. Однако со временем обновления добавили несколько полезных функций. Одной из лучших является функция оповещения о нарушениях на сайте, которую с тех пор добавили и другие службы. Dashlane активно следит за темными уголками Интернета в поисках утечки или кражи персональных данных, а затем предупреждает вас о том, что ваша информация была скомпрометирована.
Установка и переход с другого менеджера паролей просты, а для шифрования паролей используется секретный ключ, подобно тому, как это делается в BitWarden. На практике Dashlane очень похож на другие продукты из этого списка. Компания не предлагает приложение для настольных компьютеров, но я все равно использую пароли в основном в браузере, а у Dashlane есть дополнения для всех основных браузеров, а также приложения для iOS и Android. Если для вас важно наличие настольного приложения, то на это стоит обратить внимание. Dashlane предлагает 30-дневную бесплатную пробную версию, так что вы можете опробовать ее, прежде чем принять решение.
После регистрации загрузите приложение для Android и iOS, а также установите расширения для браузеров Firefox, Chrome и Edge.
Другой вариант
NordPass предлагает приложения для всех основных платформ (включая Linux), браузеров и устройств. Бесплатная версия NordPass ограничена одним устройством, синхронизация отсутствует. Существует 30-дневная бесплатная пробная версия Premium, позволяющая протестировать синхронизацию устройств. Но чтобы получить ее навсегда, необходимо перейти на тарифный план стоимостью 36 долларов в год.
NordPass использует технологию «нулевого знания», при которой все данные шифруются на устройстве перед отправкой на сервер компании, как в наших подборках выше. Среди других приятных особенностей — поддержка двухфакторной аутентификации для входа в учетную запись и встроенный генератор паролей (который имеет множество опций для работы с плохо продуманными сайтами, предъявляющими странные требования к паролю). Также имеется функция хранения личной информации, позволяющая хранить адрес, номер телефона и другие персональные данные в безопасности, но с легким доступом.
NordPass также предлагает функцию аварийного доступа, которая позволяет предоставить другому пользователю NordPass аварийный доступ к вашему хранилищу. Она работает так же, как и аналогичная функция в 1Password, позволяя доверенным друзьям или родственникам получить доступ к вашему счету в случае, если вы не можете этого сделать.
После регистрации загрузите приложение для Windows, macOS, Android, iOS или Linux. Существуют также расширения для браузеров Firefox, Chrome и Edge.
Лучшие варианты «сделай сам» (самостоятельное размещение)
Хотите сохранить контроль над своими данными в облаке? Синхронизируйте свое хранилище паролей самостоятельно. Перечисленные ниже службы не хранят ваши данные на своих серверах. Это означает, что злоумышленникам не на что нападать. Вместо хранения паролей эти сервисы используют локальное хранилище для хранения данных, которое затем синхронизируется с помощью сервисов синхронизации файлов, таких как Dropbox, NextCloud или рекомендованный Эдвардом Сноуденом сервис SpiderOak. В этом сценарии необходимо отслеживать работу двух служб, что несколько усложняет задачу. Но если вы уже используете службу синхронизации файлов, это может быть хорошим вариантом.
Enpass не хранит никаких данных на своих серверах. Синхронизация осуществляется с помощью сторонних сервисов. Enpass не занимается синхронизацией, но предлагает приложения для всех платформ. Это означает, что после настройки синхронизации она работает так же, как и любой другой сервис. Кроме того, вы можете не беспокоиться о том, что Enpass взломают, поскольку ваши данные не находятся на его серверах. Enpass поддерживает синхронизацию через Dropbox, Google Drive, OneDrive, iCloud, Box, Nextcloud или любой другой сервис, использующий WebDAV. Увы, SpiderOak в настоящее время не поддерживается. Также можно синхронизировать данные через локальную сеть WLAN или Wi-Fi.
Здесь есть все функции, которые вы ожидаете от менеджера паролей: автогенерация паролей, мониторинг взломов, биометрический вход (для устройств, которые его поддерживают), автозаполнение паролей, возможность хранения других типов данных, например, кредитных карт и идентификационных данных. Также имеется функция аудита паролей, позволяющая выявить слабые или дублирующиеся пароли в хранилище. Особенно мне нравится возможность пометить пароли для более удобного поиска. Кроме того, Enpass позволяет легко настроить синхронизацию с выбранным вами сервисом.
Enpass можно бесплатно использовать в операционных системах Windows, Mac и Linux. Мобильная версия бесплатно синхронизирует до 25 элементов в одном хранилище. Для большего количества необходимо подписаться на платный сервис.
После регистрации загрузите приложение для Mac, Windows, Linux, Android и iOS, а также расширения для браузеров Chrome, Vivaldi, Edge и Firefox.
KeePassXC работает аналогично вышеописанному Enpass. Он хранит ваши пароли в зашифрованном цифровом хранилище, которое обеспечивает безопасность с помощью мастер-пароля, ключевого файла или того и другого. Вы сами синхронизируете этот файл базы данных с помощью службы синхронизации файлов. После того как файл окажется в «облаке», вы сможете получить к нему доступ с любого устройства, на котором установлен клиент KeePassXC. Как и Bitwarden, KeepassXC имеет открытый исходный код, а значит, его код может быть проверен и уже проверялся на наличие критических недостатков. Если вы опытный пользователь и готовы самостоятельно решать проблемы и оказывать поддержку, KeePassXC — отличный выбор.
Недостатком KeePassXC является то, что у него нет официальных мобильных клиентов. Существуют сторонние приложения как для iOS, так и для Android.
Загрузите настольное приложение для Windows, macOS или Linux и создайте свое хранилище. Существуют также расширения для Firefox, Edge и Chrome. Официальных приложений для телефона у проги нет. Вместо этого проект рекомендует KeePass2Android или Strongbox для iPhone.
Почетные упоминания
Менеджеры паролей не являются универсальным решением. Наши лучшие варианты охватывают большинство случаев использования и являются оптимальным выбором для большинства людей, но ваши потребности могут быть иными. К счастью, существует множество хороших менеджеров паролей. Вот некоторые из них, которые мы протестировали и которые нам понравились.
- Keeper Password Manager (35 долл. в год за неограниченное количество): Keeper предлагает множество инструментов для обеспечения безопасности, включая менеджер паролей. Keeper работает так же, как 1Password и другие, храня только зашифрованные данные, и предлагает двухфакторную аутентификацию для входа в учетную запись. Как и Dashlane, Keeper имеет множество дополнительных функций, включая мониторинг «темной паутины», то есть проверяет данные, размещенные в открытом доступе, чтобы убедиться, что ваши данные недоступны.
- Roboform (24 долл. в год, 48 долл. в год для семейного плана на пять пользователей): Roboform обладает большинством тех же функций, что и остальные продукты из этого списка, но ему не хватает некоторых вещей, которые отличают наши лучшие продукты, например, открытого исходного кода Bitwarden или функций для путешествий 1Password. Я тестировал бесплатный тарифный план в течение некоторого времени и не столкнулся с какими-либо проблемами. Есть приложения для всех распространенных платформ, и они просты в использовании. Недавно компания Roboform провела независимый аудит безопасности и получила хорошие результаты.
- Pass (бесплатно): Pass представляет собой обертку командной строки для GPG (GNU Privacy Guard), т.е. предназначен только для самых «ботанических» пользователей. В нем есть поддержка управления зашифрованными .gpg-файлами в Git, а также сторонние мобильные приложения. Это определенно не для всех, но поскольку люди постоянно спрашивают, я использую именно его .
Что касается LastPass?
Раньше LastPass был нашим любимым бесплатным менеджером паролей, но затем он изменил свой бесплатный тарифный план, и теперь вы ограничены одним устройством. Если вы ищете бесплатный сервис, Bitwarden — гораздо лучший выбор. Что еще более тревожно, в LastPass было зафиксировано больше нарушений безопасности, чем в любом другом сервисе на этой странице, что заставило нас исключить его из списка лучших. Мы не рекомендуем использовать LastPass.
Как мы проводим испытания
Все лучшие и наиболее безопасные криптографические алгоритмы доступны через библиотеки программирования с открытым исходным кодом. С одной стороны, это замечательно, поскольку любое приложение может использовать эти шифры и обеспечить безопасность ваших данных. К сожалению, любое шифрование настолько сильно, насколько сильно его самое слабое звено, и криптография сама по себе не сможет обеспечить безопасность ваших паролей.
Именно на это я и проверяю: Каковы наиболее слабые звенья? Отправляется ли ваш мастер-пароль на сервер? Все менеджеры паролей утверждают, что нет, но если проследить за сетевым трафиком во время ввода пароля, то иногда можно обнаружить, что да, отправляется. Я также изучаю работу мобильных приложений: Например, оставляют ли они хранилище паролей незакрытым, но требуют введения PIN-кода для входа обратно? Это удобно, но слишком сильно снижает уровень безопасности. Ни один менеджер паролей не является идеальным, но приведенные выше — лучшие из тех, что я тестировал. Они максимально защищены и при этом просты в использовании.
Основы работы с менеджерами паролей
Хороший менеджер паролей хранит, генерирует и обновляет пароли нажатием одной кнопки. Если вы готовы потратить несколько долларов в месяц, менеджер паролей может синхронизировать ваши пароли на всех ваших устройствах. Вот как они работают.
Необходимо запомнить только один пароль: Чтобы получить доступ ко всем своим паролям, достаточно запомнить один пароль. Когда вы вводите его в менеджер паролей, он открывает хранилище, содержащее все ваши реальные пароли. Запоминание только одного пароля — это здорово, но это означает, что от него многое зависит. Позаботьтесь о том, чтобы он был хорошим. Если у вас возникли проблемы с выбором пароля, который должен быть лучше всех, ознакомьтесь с нашим руководством по повышению надежности паролей. Также можно воспользоваться методом Diceware для создания надежного мастер-пароля.
Приложения и расширения: Большинство менеджеров паролей представляют собой полноценные системы, а не отдельные программные продукты. Они состоят из приложений или расширений для браузеров на каждом из устройств (Windows, Mac, телефоны Android, iPhone и планшеты), которые содержат инструменты, помогающие создавать надежные пароли, безопасно хранить их и оценивать степень защиты существующих паролей. Вся эта информация отправляется на центральный сервер, где пароли шифруются, хранятся и передаются между устройствами.
Исправление скомпрометированных паролей: Хотя менеджеры паролей могут помочь вам создать более надежные пароли и защитить их от посторонних глаз, они не могут защитить ваш пароль в случае взлома самого сайта. Однако это не означает, что они не помогут в этом случае. Все рассматриваемые нами «облачные» менеджеры паролей предлагают инструменты, предупреждающие о возможной утечке паролей. Кроме того, менеджеры паролей позволяют быстро сменить скомпрометированный пароль и провести поиск по паролям, чтобы убедиться, что вы не использовали скомпрометированные коды.
Необходимо отключить автоматическое заполнение форм: Некоторые менеджеры паролей автоматически заполняют и даже отправляют веб-формы за вас. Это очень удобно, но для дополнительной безопасности мы рекомендуем отключить эту функцию. Автоматическое заполнение форм в браузере в прошлом делало менеджеры паролей уязвимыми для атак. По этой причине наш любимый менеджер паролей, 1Password, требует отказаться от этой функции. Мы рекомендуем не делать этого.
Не паникуйте по поводу взлома: В программном обеспечении есть ошибки, даже в менеджере паролей. Вопрос не в том, что делать, если станет известно, что менеджер паролей имеет недостатки, а в том, что делать, когда станет известно, что менеджер паролей имеет недостатки. Ответ: во-первых, не паниковать. Обычно ошибки находят, сообщают о них и исправляют до того, как они начинают использоваться в широких масштабах. Даже если кому-то удастся получить доступ к серверам менеджера паролей, с вами все будет в порядке. Все перечисленные нами сервисы хранят только зашифрованные данные, и ни один из них не хранит ключ шифрования, а значит, все, что получит злоумышленник, взломав их серверы, — это зашифрованные данные.
Источник: https://www.wired.com/story/best-password-managers/