Менеджеры паролей — овощи интернета. Мы знаем, что они полезны для нас, но большинство из нас с удовольствием перекусывают парольным эквивалентом нездоровой пищи. На протяжении почти десятилетия такими паролями были «123456» и «password» — два наиболее часто используемых пароля в Интернете. Проблема в том, что большинство из нас не знает, что делает пароль хорошим, и в любом случае не в состоянии запомнить сотни таких паролей.
Самый безопасный (если не самый безумный) способ хранения паролей — запомнить их все. (Убедитесь, что они длинные, надежные и безопасные!) Шутка. Это может сработать для великого мастера памяти Эда Кука, но большинство из нас не способны на такие фантастические подвиги. Мы должны переложить эту работу на менеджеры паролей, которые предлагают надежные хранилища, способные заменить нашу память.
Менеджер паролей обеспечивает удобство и, что более важно, помогает вам создавать лучшие пароли, что делает ваше существование в Интернете менее уязвимым для атак на основе паролей. Прочитайте наше руководство по VPN-провайдерам, чтобы узнать, как повысить уровень безопасности, а также наше руководство по резервному копированию данных, чтобы ничего не потерять в случае непредвиденных обстоятельств.
Обновлено в марте 2023 года: Мы реорганизовали это руководство, добавили несколько заметок о том, почему самосинхронизация может быть лучшим вариантом, и отметили еще одну брешь в системе безопасности LastPass.
Специальное предложение для читателей Gear: Получите годовую подписку на WIRED за $5 (скидка $25). Она включает неограниченный доступ к сайту WIRED.com и нашему печатному журналу (если хотите). Подписка помогает финансировать работу, которую мы делаем каждый день.
Если вы покупаете что-то по ссылкам в наших рассказах, мы можем получить комиссионные. Это помогает поддерживать нашу журналистику. Узнайте больше.
Почему бы не воспользоваться браузером?
Большинство веб-браузеров предлагают хотя бы элементарный менеджер паролей. (Именно здесь хранятся ваши пароли, когда Google Chrome или Mozilla Firefox спрашивают, хотите ли вы сохранить пароль). Это лучше, чем использовать один и тот же пароль повсюду, но возможности менеджеров паролей в браузерах ограничены. В последние годы Google усовершенствовал встроенный в Chrome менеджер паролей, и он стал лучше остальных, но он все еще не настолько полнофункционален и широко поддерживается, как специализированные менеджеры паролей, такие как приведенные ниже.
Причина, по которой эксперты по безопасности рекомендуют использовать специальный менеджер паролей, сводится к целенаправленности. У веб-браузеров есть другие приоритеты, которые не оставляют много времени для улучшения менеджера паролей. Например, большинство из них не будут генерировать для вас надежные пароли, оставляя вас снова на «123456». Специализированные менеджеры паролей преследуют единственную цель и добавляют полезные функции на протяжении многих лет. В идеале это приводит к повышению безопасности.
Читатели WIRED также спрашивали о менеджере паролей Apple для macOS, который синхронизируется через iCloud и имеет несколько хороших интеграций с веб-браузером Safari от Apple. В системе Apple нет ничего плохого. На самом деле, я использовал Keychain Access на компьютерах Mac в прошлом, и он отлично работает. В ней нет некоторых приятных дополнений, которые можно получить в специализированных сервисах, но она обеспечивает защиту ваших паролей и синхронизацию их между устройствами Apple. Основная проблема заключается в том, что если у вас есть устройства не от Apple, вы не сможете синхронизировать с ними свои пароли, поскольку Apple не выпускает приложений для других платформ. Всецело отдаете предпочтение Apple? Тогда этот бесплатный встроенный вариант стоит рассмотреть.
Passkeys, FIDO и «смерть пароля»
Согласованные усилия по избавлению от паролей начались примерно через два дня после того, как пароль был изобретен. Пароли — это боль — вы не будете спорить, но мы не видим, чтобы они исчезли в обозримом будущем. Последняя попытка отказаться от пароля исходит от FIDO Alliance, отраслевой группы, нацеленной на стандартизацию методов аутентификации в Интернете.
Это еще только начало, но Apple внедрила протоколы FIDO в то, что компания называет пропускными ключами. Passkeys — это сгенерированные криптографические ключи, управляемые вашим устройством. Вам не нужно ничего делать. Apple будет хранить их в связке ключей iCloud, чтобы они синхронизировались между устройствами, и они работают в веб-браузере Safari от Apple. Passkeys доступны с iOS 16 и MacOS Ventura, но есть некоторые ограничения. Веб-сайты и сервисы должны поддерживать протоколы FIDO Alliance, а на данный момент большинство из них этого не делают. Мы ожидаем, что ситуация быстро изменится. Google уже развернул поддержку Passkey в Android и Chrome. В конечном итоге Passkeys также будет работать с системами Microsoft, Meta и Amazon.
Поскольку Passkeys — это сгенерированные пары ключей, а не пароли, запоминать ничего не нужно. Если вы знакомы с ключами GPG, они несколько похожи: есть открытый и закрытый ключ; веб-сайт, на который вы хотите войти, имеет открытый ключ и отправляет его на ваше устройство. Ваше устройство сравнивает его с имеющимся у него закрытым ключом, и вы входите в систему (или не входите, если ключи не совпадают). Хотя пасскейты не являются радикальным отступлением, они все же являются улучшением, поскольку предустановлены для людей, которые не собираются читать эту статью и немедленно регистрироваться для использования одного из перечисленных ниже сервисов. Если миллионы людей вдруг перестанут использовать 12345678 в качестве пароля, это будет победой для безопасности.
Тем не менее, есть некоторые существенные недостатки в том, что FIDO Alliance придумал на данный момент. Самый большой из них заключается в том, что вам придется положить все яйца в одну корзину. Passkeys управляются вашим устройством, что означает технологическую компанию, стоящую за вашим устройством — а именно Apple, Google и Microsoft. Это единая точка отказа, что исторически в мире технологий не сулит ничего хорошего. Мы надеемся, что FIDO расширит свой нынешний план и позволит третьим сторонам также генерировать и управлять ключами.
А пока, если вы достаточно подкованы, чтобы читать эту статью, мы советуем вам использовать хороший менеджер паролей. Большинство из них постепенно расширяют поддержку логинов Passkey, так что вы не будете отставать от жизни только потому, что не воспользовались первой подвернувшейся возможностью Passkey.
Лучший в целом
Что отличает 1Password от остальных вариантов в этом списке, так это количество дополнительных возможностей, которые он предлагает. Он не самый дешевый (см. наш следующий выбор), но помимо управления паролями, он предупредит вас, если пароль слабый или был взломан (путем проверки по отличной базе данных Have I Been Pwned Троя Ханта).
Как и другие менеджеры паролей, 1Password имеет приложения, которые работают практически везде, в том числе на MacOS, iOS, Android, Windows, Linux и Chrome OS. Есть даже инструмент командной строки, который будет работать везде. Есть плагины и для вашего любимого веб-браузера, что позволяет легко генерировать и редактировать новые пароли на лету.
Компания 1Password недавно анонсировала новую версию своего приложения, 1Password 8, и у меня сложилось неоднозначное впечатление о ней. С одной стороны, оно наконец-то работает на ноутбуках с Windows, работающих на архитектуре ARM. Но на MacOS Monterey у меня были проблемы с тем, что автозаполнение не работало, а комбинации клавиш останавливались, пока я не перезапускал браузер, среди прочих проблем. Проблем пока недостаточно, чтобы заставить меня изменить наш лучший выбор, но это определенно то, за чем я слежу. Компания также недавно сократила бесплатный пробный период с 30 до 14 дней.
Если вы часто путешествуете через государственные границы, вы оцените мою любимую функцию 1Password: Режим путешествия. Этот режим позволяет удалить все конфиденциальные данные с ваших устройств перед поездкой, а затем восстановить их одним щелчком мыши после пересечения границы. Это не позволит никому, даже правоохранительным органам на международных границах, получить доступ к вашему полному хранилищу паролей.
Помимо функции менеджера паролей, 1Password может выступать в качестве приложения для аутентификации, как Google Authenticator, а для дополнительной безопасности он создает секретный ключ к используемому ключу шифрования, что означает, что никто не сможет расшифровать ваши пароли без этого ключа. (Недостатком является то, что если вы потеряете этот ключ, никто, даже 1Password, не сможет расшифровать ваши пароли).
1Password также предлагает тесную интеграцию с другими мобильными приложениями. Вместо того чтобы копировать и вставлять пароли из менеджера паролей в другие приложения (при этом ваш пароль оказывается в буфере обмена, по крайней мере, на мгновение), 1Password интегрирован со многими приложениями и может осуществлять автозаполнение. Это более заметно на iOS, где взаимодействие между приложениями более ограничено.
После регистрации загрузите приложение для Windows, macOS, Android, iOS, Chrome OS или Linux. Существуют также расширения для браузеров Firefox, Chrome, Brave и Edge.
Лучший бесплатный вариант
Bitwarden является безопасным, с открытым исходным кодом и бесплатным без ограничений. Приложения отполированы и удобны в использовании, что делает сервис лучшим выбором для тех, кому не нужны дополнительные функции 1Password.
Я уже упоминал, что он с открытым исходным кодом? Это означает, что код, на котором работает Bitwarden, находится в свободном доступе для всех желающих, которые могут его изучить, найти недостатки и исправить. В теории, чем больше глаз на код, тем более герметичным он становится. Bitwarden также прошел аудит на 2020 год третьей стороной, чтобы убедиться в его безопасности. Он может быть установлен на вашем собственном сервере для простого самостоятельного хостинга, если вы предпочитаете использовать собственное облако.
Существуют приложения для Android, iOS, Windows, MacOS и Linux, а также расширения для всех основных веб-браузеров. Bitwarden также поддерживает Windows Hello и Touch ID в своих настольных приложениях для Windows и MacOS, обеспечивая дополнительную безопасность этих биометрических систем аутентификации. Недавно Bitwarden представил поддержку беспарольной аутентификации, что означает, что вы можете войти в систему с помощью одноразового кода, биометрической аутентификации или ключа безопасности.
Мне нравится полуавтоматический инструмент Bitwarden для заполнения паролей. Если вы посещаете сайт, для которого вы сохранили учетные данные, значок браузера Bitwarden показывает количество сохраненных учетных данных с этого сайта. Нажмите на значок, и он спросит, какую учетную запись вы хотите использовать, а затем автоматически заполнит форму входа. Это упрощает переключение между именами пользователей и позволяет избежать подводных камней автозаполнения, о которых мы упомянули в конце этого руководства. Если вам просто необходимо иметь полностью автоматизированную функцию заполнения формы, Bitwarden поддерживает и это.
Bitwarden предлагает платный апгрейд аккаунта. Самый дешевый из них, Bitwarden Premium, стоит $10 в год. Это дает вам 1 ГБ зашифрованного файлового хранилища, двухфакторную аутентификацию с помощью таких устройств, как YubiKey, FIDO U2F, Duo, а также отчет о гигиене паролей и состоянии хранилища. Заплатив, вы также получаете приоритетную поддержку клиентов.
После регистрации загрузите приложение для Windows, macOS, Android, iOS или Linux. Существуют также расширения для браузеров Firefox, Chrome, Safari, Edge, Vivaldi и Brave.
Лучший полнофункциональный менеджер
Впервые я столкнулся с Dashlane несколько лет назад. Тогда он был таким же, как и его конкуренты, без каких-либо выдающихся качеств. Но последние обновления добавили несколько полезных функций. Одна из лучших — оповещение о взломе сайта, которую с тех пор добавили и другие сервисы. Dashlane активно следит за темными уголками Интернета в поисках утечки или кражи личных данных, а затем предупреждает вас, если ваша информация была скомпрометирована.
Установка и переход с другого менеджера паролей очень просты, и вы будете использовать секретный ключ для шифрования ваших паролей, подобно процессу установки 1Password. На практике Dashlane очень похож на другие продукты из этого списка. Компания не предлагает настольного приложения, но я все равно использую пароли в основном в браузере, а у Dashlane есть дополнения для всех основных браузеров, а также приложения для iOS и Android. Если для вас важно наличие приложения для настольных компьютеров, это то, о чем следует знать. Dashlane предлагает 30-дневную бесплатную пробную версию, так что вы можете опробовать ее, прежде чем принять решение.
После регистрации загрузите приложение для Android и iOS, а также расширения для браузеров Firefox, Chrome и Edge.
Другой вариант
NordPass — это относительно новый ребенок в блоке менеджеров паролей, но он исходит от компании со значительными полномочиями. NordVPN — известный поставщик VPN, и компания привнесла в свой менеджер паролей ту легкость и простоту, которая сделала ее предложение VPN популярным. Процесс установки и настройки проходит без проблем. Есть приложения для всех основных платформ (включая Linux), браузеров и устройств.
Бесплатная версия NordPass ограничена одним устройством, и синхронизация отсутствует. Существует семидневная бесплатная пробная версия премиум-класса, которая позволяет протестировать синхронизацию устройств. Но чтобы получить ее навсегда, вам придется перейти на тарифный план стоимостью 36 долларов в год. (Как и VPN-сервис, NordPass принимает оплату в криптовалютах).
NordPass использует систему «нулевого знания», при которой все данные шифруются на вашем устройстве перед отправкой на серверы компании, как в наших подборках выше. Среди других приятных особенностей — поддержка двухфакторной аутентификации для входа в аккаунт и встроенный генератор паролей (который имеет множество опций для работы с теми плохо продуманными сайтами, которые предъявляют странные требования к паролю). Также есть функция хранения личной информации, позволяющая хранить адрес, номер телефона и другие личные данные в безопасности, но с легким доступом.
NordPass также предлагает функцию экстренного доступа, которая позволяет предоставить другому пользователю NordPass экстренный доступ к вашему хранилищу. Эта функция работает так же, как и аналогичная функция в 1Password, позволяя доверенным друзьям или родственникам получить доступ к вашему аккаунту в случае, если вы не можете этого сделать.
После регистрации загрузите приложение для Windows, macOS, Android, iOS или Linux. Существуют также расширения для браузеров Firefox, Chrome и Edge.
Лучшие варианты DIY (самостоятельный хостинг)
Хотите сохранить больший контроль над своими данными в облаке? Синхронизируйте свое хранилище паролей самостоятельно.
Перечисленные ниже службы не хранят ваши данные на своих серверах. Это означает, что злоумышленникам не на что нападать. Вместо хранения паролей эти сервисы используют локальное хранилище для хранения ваших данных, а затем вы синхронизируете это хранилище с помощью службы синхронизации файлов, например Dropbox, NextCloud или рекомендованной Эдвардом Сноуденом службы SpiderOak.
В этом сценарии необходимо отслеживать две службы, что делает его немного более сложным. Но если вы уже используете службу синхронизации файлов, это может быть хорошим вариантом.
Enpass не хранит никаких данных на своих серверах. Синхронизация осуществляется с помощью сторонних сервисов. Enpass не занимается синхронизацией, но предлагает приложения для всех платформ. Это означает, что после настройки синхронизации она работает так же, как и любой другой сервис. И вам не нужно беспокоиться о том, что Enpass может быть взломан, поскольку ваши данные не хранятся на его серверах. Enpass поддерживает синхронизацию через Dropbox, Google Drive, OneDrive, iCloud, Box, Nextcloud или любой другой сервис, использующий WebDAV. Увы, SpiderOak в настоящее время не поддерживается. Вы также можете синхронизировать данные через локальную сеть WLAN или Wi-Fi.
Здесь есть все функции, которые вы ожидаете от менеджера паролей, включая автоматическую генерацию паролей, мониторинг взломов, биометрический вход (для устройств, которые его поддерживают), автоматическое заполнение паролей и возможность хранения других типов данных, таких как кредитные карты и идентификационные данные. Есть также функция аудита паролей, позволяющая выявить слабые или дублирующиеся пароли в вашем хранилище. Мне особенно нравится возможность пометить пароли для более удобного поиска. Enpass также позволяет легко настроить синхронизацию с выбранным вами сервисом.
Enpass можно бесплатно использовать в Windows, Mac и Linux. Мобильная версия бесплатно синхронизирует до 25 элементов в одном хранилище. Для большего количества нужно подписаться на платную услугу (на первый год действует 50-процентная скидка).
После регистрации загрузите приложение для Mac, Windows, Linux, Android и iOS, а также расширения для браузеров Chrome, Vivaldi, Edge и Firefox.
KeePassXC работает так же, как и Enpass выше. Он хранит ваши пароли в зашифрованном цифровом хранилище, которое обеспечивает безопасность с помощью главного пароля, ключевого файла или обоих. Вы сами синхронизируете этот файл базы данных с помощью службы синхронизации файлов. Когда ваш файл находится в облаке, вы можете получить к нему доступ на любом устройстве, где есть клиент KeePassXC. Как и Bitwarden, KeepassXC имеет открытый исходный код, что означает, что его код может быть проверен и уже проверялся на наличие критических недостатков. Если вы продвинутый пользователь, которому удобно самостоятельно решать свои проблемы и оказывать поддержку, KeePassXC — отличный выбор.
Недостатком KeePassXC является то, что у него нет официальных мобильных клиентов. Существуют сторонние приложения как для iOS, так и для Android.
Загрузите настольное приложение для Windows, MacOS или Linux и создайте свое хранилище. Существуют также расширения для Firefox, Edge и Chrome. Официальных приложений для телефона нет. Вместо этого проект рекомендует KeePass2Android или Strongbox для iPhone.
Почетные упоминания
Менеджеры паролей не являются универсальным решением. Наши лучшие варианты охватывают большинство случаев использования и являются оптимальным выбором для большинства людей, но ваши потребности могут отличаться. К счастью, существует множество хороших менеджеров паролей. Вот некоторые из них, которые мы протестировали и которые нам понравились.
- Keeper Password Manager ($35 в год за неограниченное количество): Keeper предлагает множество инструментов, связанных с безопасностью, включая менеджер паролей. Keeper работает так же, как 1Password и другие, храня только ваши зашифрованные данные, и предлагает двухфакторную аутентификацию для входа в вашу учетную запись. Как и Dashlane, Keeper имеет множество дополнительных функций, включая мониторинг темной паутины, то есть он проверяет данные, размещенные в открытом доступе, чтобы убедиться, что ваши данные недоступны.
- Roboform ($24 в год, $48 в год для семейного плана на пять пользователей): Roboform обладает большинством тех же функций, что и остальные в этом списке, но ему не хватает некоторых вещей, которые отличают наши лучшие предложения, например, функция путешествий у 1Password или аспект открытого исходного кода у Bitwarden. Я тестировал бесплатный тарифный план в течение некоторого времени и не столкнулся с какими-либо проблемами. Есть приложения для всех распространенных платформ, и они просты в использовании. Тем не менее, Roboform не опубликовал полный независимый аудит безопасности.
- Pass (бесплатно): Pass — это обёртка командной строки вокруг GPG (GNU Privacy Guard), то есть это программа только для самых занудных пользователей. В нем есть поддержка управления зашифрованными файлами .gpg в Git, а также доступны сторонние мобильные приложения. Это определенно не для всех, но поскольку люди постоянно спрашивают, я использую именно его.
Что насчет LastPass?
Раньше LastPass был нашим любимым бесплатным менеджером паролей, но затем он изменил свой бесплатный тарифный план, и теперь вы ограничены одним устройством. Если вы ищете бесплатный сервис, Bitwarden — гораздо лучший выбор. Что еще более тревожно, LastPass имеет больше серьезных нарушений безопасности, чем любой другой сервис на этой странице, что заставило нас исключить его из нашего списка лучших. Мы не рекомендуем использовать LastPass.
Как мы тестируем
Лучшие и наиболее безопасные криптографические алгоритмы доступны через библиотеки программирования с открытым исходным кодом. С одной стороны, это здорово, так как любое приложение может использовать эти шифры и сохранить ваши данные в безопасности. К сожалению, любое шифрование прочно лишь настолько, насколько прочно его самое слабое звено, и одна лишь криптография не обеспечит безопасность ваших паролей.
Вот на что я проверяю: Каковы самые слабые звенья? Отправляется ли ваш главный пароль на сервер? Все менеджеры паролей утверждают, что нет, но если проследить за сетевым трафиком во время ввода пароля, то иногда можно обнаружить, что да, отправляется. Я также изучаю работу мобильных приложений: Оставляют ли они, например, ваше хранилище паролей незапертым, но требуют ввести пин-код, чтобы войти обратно? Это удобно, но это слишком большая жертва безопасности. Ни один менеджер паролей не является идеальным, но приведенные выше — лучшие из тех, что я тестировал. Они настолько безопасны, насколько это возможно, и при этом просты в использовании.
Основы работы с менеджером паролей
Хороший менеджер паролей хранит, генерирует и обновляет пароли для вас одним нажатием кнопки. Если вы готовы потратить несколько долларов в месяц, менеджер паролей может синхронизировать ваши пароли на всех ваших устройствах. Вот как они работают.
Нужно помнить только один пароль: Чтобы получить доступ ко всем своим паролям, вам нужно запомнить только один пароль. Когда вы вводите его в менеджер паролей, он разблокирует хранилище, содержащее все ваши реальные пароли. Помнить только один пароль — это здорово, но это означает, что от этого пароля многое зависит. Убедитесь, что он хороший. Если вам трудно придумать тот самый пароль, который должен быть лучше всех, ознакомьтесь с нашим руководством по повышению безопасности паролей. Вы также можете воспользоваться методом Diceware для создания надежного главного пароля.
Приложения и расширения: Большинство менеджеров паролей представляют собой полноценные системы, а не отдельные программы. Они состоят из приложений или расширений для браузера для каждого из ваших устройств (Windows, Mac, телефоны Android, iPhone и планшеты), которые имеют инструменты, помогающие вам создавать надежные пароли, безопасно хранить их и оценивать безопасность существующих паролей. Вся эта информация затем отправляется на центральный сервер, где ваши пароли шифруются, хранятся и передаются между устройствами.
Исправление скомпрометированных паролей: Хотя менеджеры паролей могут помочь вам создать более надежные пароли и уберечь их от посторонних глаз, они не смогут защитить ваш пароль в случае взлома самого сайта. Однако это не значит, что они не помогут в этом случае. Все рассматриваемые нами облачные менеджеры паролей предлагают инструменты для оповещения о потенциально взломанных паролях. Менеджеры паролей также облегчают быструю смену скомпрометированного пароля и поиск по вашим паролям, чтобы убедиться, что вы не использовали скомпрометированные коды.
Вам следует отключить автоматическое заполнение формы: Некоторые менеджеры паролей автоматически заполняют и даже отправляют веб-формы за вас. Это очень удобно, но для дополнительной безопасности мы советуем вам отключить эту функцию. Автоматическое заполнение форм в браузере в прошлом делало менеджеры паролей уязвимыми для атак. По этой причине наш любимый менеджер паролей, 1Password, требует, чтобы вы отказались от этой функции. Мы рекомендуем вам этого не делать.
Не паникуйте по поводу взломов: У программного обеспечения есть ошибки, даже у вашего менеджера паролей. Вопрос не в том, что делать, если станет известно, что ваш менеджер паролей имеет недостаток, а в том, что делать, когда станет известно, что ваш менеджер паролей имеет недостаток. Ответ: во-первых, не паниковать. Обычно ошибки находят, сообщают о них и исправляют до того, как они становятся достоянием общественности. Даже если кому-то удастся получить доступ к серверам вашего менеджера паролей, с вами все будет в порядке. Все перечисленные нами сервисы хранят только зашифрованные данные, и ни один из них не хранит ваш ключ шифрования, а значит, все, что получит злоумышленник, взломав их серверы, — это зашифрованные данные.
Источник: https://www.wired.com/story/best-password-managers/