Введение в пароли
Пароли являются неотъемлемой частью нашей повседневной цифровой жизни. Мы используем их для защиты наших учетных записей, наших устройств и наших секретов. Несмотря на то, что они часто являются единственным, что отделяет нас от злоумышленника, который охотится за нашей личной информацией, им не придают особого значения, что часто приводит к тому, что люди используют пароли, которые можно легко угадать или взломать методом перебора.Лучшие практики
Используйте уникальные пароли для каждой услуги
Представьте себе: вы регистрируете учетную запись с одним и тем же адресом электронной почты и паролем на нескольких онлайн-сервисах. Если один из этих поставщиков услуг является вредоносным или в его сервисе произошел взлом данных, который раскрывает ваш пароль в незашифрованном формате, все, что нужно сделать злоумышленнику, это попробовать эту комбинацию адреса электронной почты и пароля на нескольких популярных сервисах, пока он не получит результат. Неважно, насколько надежен этот пароль, потому что он у него уже есть.Это называется
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, и это один из самых распространенных способов, с помощью которых ваши учетные записи могут быть скомпрометированы злоумышленниками. Чтобы избежать этого, убедитесь, что вы никогда не используете свои пароли повторно.Используйте случайно сгенерированные пароли
Никогда не полагайтесь на себя при выборе надежного пароля! Рекомендую использовать случайно сгенерированные пароли или парольные фразы Diceware с достаточной энтропией для защиты ваших учетных записей и устройств.Все рекомендуемые менеджеры паролей включают в себя встроенный генератор паролей, которым вы можете воспользоваться.
Смена паролей
Вам следует избегать слишком частой смены паролей, которые вам необходимо помнить (например, главного пароля вашего менеджера паролей), если только у вас нет оснований полагать, что он был скомпрометирован, поскольку слишком частая смена подвергает вас риску забыть его.Когда дело доходит до паролей, которые вам не нужно помнить (например, пароли, хранящиеся в вашем менеджере паролей), если ваша модель угроз требует этого, мы рекомендуем проверять важные учетные записи (особенно учетные записи, которые не используют многофакторную аутентификацию) и менять их пароли каждые пару месяцев, на случай, если они были скомпрометированы в результате утечки данных, которая еще не стала публичной. Большинство менеджеров паролей позволяют вам устанавливать дату истечения срока действия вашего пароля, чтобы упростить управление.
Проверка на предмет утечек данных
Если ваш менеджер паролей позволяет вам проверять пароли на предмет взлома, обязательно сделайте это и немедленно измените любой пароль, который мог быть раскрыт в результате утечки данных. В качестве альтернативы вы можете следить за
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
с помощью новостного агрегатора .Создание надежных паролей
Пароли
Многие сервисы устанавливают определенные критерии, когда дело касается паролей, включая минимальную или максимальную длину, а также то, какие специальные символы, если таковые имеются, могут быть использованы. Вам следует использовать встроенный генератор паролей вашего менеджера паролей, чтобы создавать пароли, которые будут настолько длинными и сложными, насколько это позволяет сервис, включая заглавные и строчные буквы, цифры и специальные символы.Если вам нужен пароль, который вы легко запомните, мы рекомендуем использовать парольную фразу Diceware .
Пароли Diceware
Diceware — это метод создания паролей, которые легко запомнить, но трудно угадать.Парольные фразы Diceware — отличный вариант, когда вам нужно запомнить или вручную ввести свои учетные данные, например, главный пароль менеджера паролей или пароль шифрования вашего устройства.
Примером парольной фразы для Diceware является viewable fastness reluctant squishy seventeen shown pencil.
Чтобы создать кодовую фразу для игры в кости с использованием настоящих игральных костей, выполните следующие действия:
Примечание
Эти инструкции предполагают, что вы используете
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
для генерации парольной фразы, что требует пяти бросков кубиков на слово. Другие списки слов могут потребовать больше или меньше бросков на слово и могут потребовать другого количества слов для достижения той же энтропии .- Бросьте шестигранный кубик пять раз, записывая число после каждого броска.
- В качестве примера предположим, что вы выбросили 2-5-2-6-6. Просмотрите большой список слов EFF на предмет слова, соответствующего 25266.
- Вы найдете слово encrypt. Запишите это слово.
- Повторяйте этот процесс до тех пор, пока ваша парольная фраза не будет содержать необходимое количество слов, которые следует разделять пробелом.
Если у вас нет доступа к настоящим игральным костям или вы предпочитаете не использовать их, вы можете воспользоваться встроенным генератором паролей вашего менеджера паролей, поскольку большинство из них имеют возможность генерировать пароли для игральных костей в дополнение к обычным паролям.
Мы рекомендуем использовать большой список слов EFF для генерации ваших паролей Diceware, так как он обеспечивает ту же безопасность, что и исходный список, при этом содержит слова, которые легче запомнить. Также есть
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, если вы не хотите, чтобы ваша парольная фраза была на английском языке.Хранение паролей
Менеджеры паролей
Лучший способ хранить пароли — использовать менеджер паролей. Они позволяют хранить пароли в файле или в облаке и защищать их одним мастер-паролем. Таким образом, вам нужно будет запомнить только один надежный пароль, который позволит вам получить доступ к остальным.Есть много хороших вариантов на выбор, как облачных, так и локальных. Выберите один из наших рекомендуемых менеджеров паролей и используйте его для установки надежных паролей для всех ваших учетных записей. Мы рекомендуем защитить ваш менеджер паролей с помощью кодовой фразы Diceware, состоящей как минимум из семи слов.
Не помещайте свои пароли и токены TOTP в один и тот же менеджер паролей.
При использовании кодов TOTP в качестве многофакторной аутентификации наилучшей практикой безопасности является хранение кодов TOTP в отдельном приложении .
Хранение токенов TOTP в том же месте, что и пароли, хотя и удобно, сводит учетные записи к единственному фактору в случае, если злоумышленник получит доступ к вашему менеджеру паролей.
Кроме того, мы не рекомендуем хранить одноразовые коды восстановления в вашем менеджере паролей. Их следует хранить отдельно, например, в зашифрованном контейнере на офлайн-устройстве хранения.
Резервные копии
Вам следует хранить зашифрованную резервную копию ваших паролей на нескольких устройствах хранения или у поставщика облачного хранилища. Это может помочь вам получить доступ к вашим паролям, если что-то случится с вашим основным устройством или сервисом, который вы используете.Менеджеры паролей позволяют безопасно хранить и управлять паролями и другими учетными данными с помощью мастер-пароля.
Встроенные менеджеры паролей в программном обеспечении, таком как браузеры и операционные системы, иногда не так хороши, как специализированное программное обеспечение для управления паролями. Преимущество встроенного менеджера паролей заключается в хорошей интеграции с программным обеспечением, но часто он может быть очень простым и не иметь функций конфиденциальности и безопасности, которые есть в автономных предложениях.Например, менеджер паролей в Microsoft Edge вообще не предлагает E2EE . Менеджер паролей Google имеет опциональный E2EE , а Apple предлагает E2EE по умолчанию.
Облачные
Эти менеджеры паролей синхронизируют ваши пароли с облачным сервером для легкого доступа со всех ваших устройств и защиты от потери устройства.
Bitwarden использует
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
в качестве алгоритма функции деривации ключа (KDF) по умолчанию. Он также предлагает
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, который более безопасен, в качестве альтернативы. Вы можете изменить алгоритм KDF вашей учетной записи в веб-хранилище.- Выберите Настройки > Безопасность > Ключи > Алгоритм KDF > Argon2id.
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, поэтому, если вы не хотите использовать облако Bitwarden, вы можете легко разместить свой собственный сервер синхронизации Bitwarden.Vaultwarden — это альтернативная реализация сервера синхронизации Bitwarden, написанная на Rust и совместимая с официальными клиентами Bitwarden, идеально подходящая для самостоятельного размещения, когда запуск ресурсоемкой официальной службы может быть неидеальным. Если вы хотите самостоятельно разместить Bitwarden на своем сервере, вы почти наверняка захотите использовать Vaultwarden вместо официального кода сервера Bitwarden.
После приобретения SimpleLogin в апреле 2022 года компания Proton предложила функцию «скрыть мой адрес электронной почты», которая позволяет создать 10 псевдонимов (бесплатный тарифный план) или неограниченное количество псевдонимов (платные тарифные планы).
Мобильные приложения Proton Pass и расширение для браузера прошли аудит, который проводила компания Cure53 в течение мая и июня 2023 года. Компания по анализу безопасности пришла к следующему выводу:
Все проблемы были рассмотрены и устранены вскоре после
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
.
Традиционно 1Password предлагал лучший пользовательский интерфейс менеджера паролей для людей, использующих macOS и iOS; однако теперь он достиг паритета функций на всех платформах. Клиенты 1Password могут похвастаться множеством функций, ориентированных на семьи и менее технически подкованных людей, таких как интуитивно понятный пользовательский интерфейс для простоты использования и навигации, а также расширенные функциональные возможности. Примечательно, что почти каждая функция 1Password доступна в его собственных мобильных или настольных клиентах.
Ваше хранилище 1Password защищено как вашим главным паролем, так и рандомизированным 34-значным ключом безопасности для шифрования ваших данных на их серверах. Этот ключ безопасности добавляет уровень защиты вашим данным, поскольку ваши данные защищены с высокой энтропией независимо от вашего главного пароля. Многие другие решения для управления паролями полностью полагаются на надежность вашего главного пароля для защиты ваших данных.
Критерии
Прежде чем выбрать проект, и провести собственное исследование, чтобы убедиться, что это правильный выбор, рекомендую ознакомиться с этим списко:Минимальные требования
- Необходимо использовать надежную, основанную на стандартах/современную технологию E2EE .
- Необходимо иметь тщательно документированные методы шифрования и безопасности.
- Необходимо иметь опубликованный аудит от авторитетной независимой третьей стороны.
- Вся необязательная телеметрия должна быть необязательной.
- Не следует собирать больше персональных данных , чем необходимо для выставления счетов.
Лучший вариант
Критерии наилучшего случая представляют то, что мы хотели бы видеть в идеальном проекте в этой категории. Рекомендации могут не включать некоторые или все эти функции, но те, которые включают, могут быть ранжированы выше других на этой странице.- Телеметрия должна быть включена по желанию (отключена по умолчанию) или не собираться вообще.
- Должен иметь открытый исходный код и быть достаточно автономным.
Локальное хранилище
Эти параметры позволяют вам управлять зашифрованной базой данных паролей локально.
P.S. Я лично пользуюсь ProtonPass, в пределах пакета Unlimited, до этого Bitwarden
Останнє редагування:
