Главное свойство менеджера паролей — сочетание удобства и высокой степени безопасности.
Безопасность
Действительно надежные сервисы защищают ваши пароли с помощью стойких алгоритмов шифрования. Например, симметричного AES-256, который создает каждый раз для защиты новый случайный ключ или асимметричного RSA. Благодаря ему ваши пароли в явном виде можете увидеть только вы. Также используются алгоритмы шифрования PBKDF2 и SHA-256, взломать которые достаточно сложно.
Для дополнительной защиты уже повсеместно введена двухфакторная аутентификация, а также аутентификация по протоколу SRP 6A (Secure Remote Password). Она позволяет авторизоваться без риска перехвата данных.
Также в хорошем сервисе обычно есть генератор длинных и сложных для подбора паролей. Кроме того, некоторые сервисы предлагают журнал функций, чтобы вы могли просмотреть все изменения, внесенные в пароли. Для повышения надежности такого инструмента некоторые решения могут использовать технологию блокчейна, чтобы все изменения точно фиксировались.
Если у вашей компании строгая политика хранения данных, можно настроить менеджер так, чтобы безопасно хранить все пароли в собственном частном облаке или на физическом сервере.
Удобство
Частая причина уязвимости пароля — обычный человеческий фактор. Людям просто неудобно, сложно и лень каждый раз придумывать новые надежные пароли. В хороших менеджерах паролей эта особенность учтена. Примеры специальных функций, которые повышают удобство:
- поиск паролей, в том числе через фильтры по конкретным символам и датам добавления/изменения;
- группировка по свойствам с помощью тэгов. Например, «сайты», «приложения», «Wi-Fi-сети» и другие;
- удобная и надежная отправка паролей другим людям;
- автосохранение с помощью плагина в браузере. Удобно, если неудобно вводить все в менеджер вручную;
- добавление новых членов команды, управление их доступом и сброс паролей;
- добавление гостей — подрядчиков, клиентов, фрилансеров и других в свою команду, чтобы делиться с ними паролями безопасным способом;
- импорт и экспорт для удобного перехода с другого менеджера паролей;
- автозаполнение форм в интернет-сервисах.
Конкретные решения
Среди ПО, которое используют Managed Services провайдеры можно назвать, например, PassCamp. Его ценят за простоту, удобство и надежность. Единственный минус — отсутствие мобильного приложения.
Также можно назвать SolarWinds PassPortal. Среди плюсов — впечатляющая функциональность с доступом ко многим функциям прямо из плагина браузера, а также понятная и подробная документация. Из минусов — несколько шероховатостей в интерфейсе.
Еще одно решение — QuickPass. Преимущества: продукт постоянно дорабатывается исходя из желаний клиентов, можно сбрасывать пароли, находясь физически где угодно, хорошая служба поддержки, легкость в использовании. Из минусов — только цена, которая может показаться высокой.
В целом, менеджер паролей — это обязательный отраслевой стандарт, чтобы обеспечить в организации необходимый уровень безопасности и обезопаситься от атак извне. И именно поэтому их используют Managed Services-провайдеры для защиты сервисов клиентов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
- Информационная безопасность в 2021 году. Угрозы, отраслевые тренды
- АНБ утверждает, что российские хакеры атакуют платформы VMware
- Популярные сайты все еще уязвимы для массовой DDoS-атаки
- Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом
- Страх перед автоматизацией работы и другие тренды в мировой и российской кибербезопасности
v1000
Понравилось решение от Эппл, когда менеджер паролей предупреждает, что сохраненные пароли могли украдены. Еще один повод делать сложные пароли — легче отследить по базам, что он мог быть украден.
AndreyYu
Поскажите, что за решение от эппл?
v1000
Связка ключей iCloud
AndreyYu
Видимо, не обращал внимание на подобные предупреждения, либо им просто не от чего было появляться. Спасибо!
remzalp
Аналогично гугл предупреждает, если в хроме пароли синхронизируются.
Но это не на видном месте находится.
Hait
Гугл рассылает письма, когда новые пароли скомпрометированы. И видел оповещение (на телефоне, вроде)
Catslinger
Та же штука есть в Brave, в LastPass. Да везде она уже есть. Не удивлюсь если на бэкенде одна компания на всех это обеспечивает.
Mur81
have i been pwned??
dartraiden
Ну и KeePass туда же
github.com/andrew-schofield/keepass2-haveibeenpwned
github.com/mihaifm/HIBPOfflineCheck