Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Как сохранить свои пароли?
Статьи

Как сохранить свои пароли?

автор: Administrator | 20 июля 2010, 08:46 | Просмотров: 13559
теги: пароли, СТАТЬИ, Безопасность



Как сохранить свои пароли? Создать, выбрать, сохранить, запомнить и изменить пароли — пожалуй, это одни из наиболее важных и часто повторяющихся вещей который должен сделать практически любой пользователь, причём не важно, заботиться он о безопасности персональных данных или просто создал новую учётную запись на каком-нибудь веб-сайте.

Для того чтобы сохранить свои пароли, Эксперт по криптографии Брюс Шнайер (Bruce Schneier) писал свои пароли на листке бумаги и держал их в своем бумажнике. В настоящее время он использует бесплатное программное обеспечение для Windows под названием Password Safe — он разработал эту программу пять лет назад и выпустил в сообщество open-source. Это приложение для персонального компьютера предлагает пользователям запомнить только один мастер-пароль для доступа к своему списку паролей. Но Шнайер по-прежнему рекомендует «бумажный метод» для людей, у которых нет своих компьютеров. «Либо написать пароли и положить их в свой кошелек, либо использовать что-то вроде Password Safe», - сказал он.

Создатель PGP Фил Циммерман (Phil Zimmermann) хранит свои пароли в зашифрованном текстовом файле, который он описывает как «громоздкую ручную систему управления паролями».

Метод хакера Карстена Нола (Karsten Nohl) гораздо проще и при этом труднее: он хранит все свои пароли в голове. «Я использую нетривиальные функции по диверсификации паролей для любой задачи, - сказал Нол. - Раскрытие пароля должно стать практически невозможным. «Безопасность-через-незнание» – но только потому, что никто не может раскрыть столько шифров в моей голове».

Неформальный опрос дюжины специалистов по безопасности показывает, что некоторые из них по-прежнему полагаются на бумагу и ручку. Один из респондентов даже допускает хранение всех паролей на листочке под клавиатурой!

Буквально на прошлой неделе Mozilla обнаружила вредоносный плагин под названием "Mozilla Sniffer", который перехватывал введенные на любом сайте конфиденциальные данные (логин и пароль) и отсылал их злоумышленникам на удаленный сервер. "Mozilla Sniffer" был загружен на сервере addons.mozilla.org 6-ого июня этого года и до 12-ого июля данный плагин был скачан пользователями около 1800 раз...

Есть целый ряд решений для людей, которые хотят перевести свою систему типа «бумага-ручка» на современный уровень. Для тех, чей компьютер всегда под рукой, менеджер паролей, запускающийся на рабочем столе, может быть хорошим вариантом. В дополнение к Password Safe источники рекомендуют другие программы с открытым исходным кодом — например, KeePass. Для Macintosh есть 1Password ($39,95), о котором говорят как о «лучшем в своем классе для Mac».

Интересны менеджеры паролей на основе USB-ключа, например, MyKey ($29,99). Он работал хорошо, однако, у него есть некоторые недостатки — он запускается только на Windows-ПК с соответствующим программным обеспечением MyKey. Это значит, что его нельзя использовать его на домашнем Mac, если у вас на работе ПК, или на компьютерах друзей. Yubikey ($25), еще один аппаратный менеджер паролей, отличается тем, что работает на любом компьютере или крупной системной платформе и не требует клиентского программного обеспечения.

«Это примерно как если бы вы положили пароли в ваш бумажник — вы кладете их во что-то физическое, что вы защищаете, — говорит Шнайер. — Люди могут потерять ключи или кошелек. Подумайте, что вы потеряете сначала».

Если хотите использовать менеджер паролей, который не привязан к конкретному компьютеру, то есть, например, сервисы, где хранятся пароли. Этот вариант удобнее предыдущих, но это означает, что вы предоставлены на милость системы безопасности компьютера, который используете — так что будьте осторожны при использовании интернет-киосков и других компьютеров свободного доступа. Вы также должны доверять хостеру и быть уверенным, что сервис не будет взломан или иным образом скомпрометирован. Если вы заинтересованы в бесплатных онлайн-менеджерах паролей, обратите внимание на RoboForm.

Многие люди считают, что лучше всего сохранять пароли в браузерах, чтобы они всегда были под рукой, но они не могут понять, что хакеры, получившие физический или удаленный доступ к компьютеру, могут легко увидеть, где хранятся пароли. Бесплатное расширение для Firefox, Chrome и Internet Explorer под названием LastPass шифрует пароли и сохраняет их на жестком диске. Оно работает на основных операционных системах, синхронизирует данные между несколькими браузерами, и вы можете автоматически войти на сайт одним щелчком мыши. И если вы используете какой-то еще компьютер помимо основного, то можно получить логин напрямую с сайта LastPass.

Независимо от того, как вы управляете вашими паролями, эксперты по информационной безопасности говорят, что вы должны быть осторожны: желательно выбрать такие пароли, которые имеют соответствующий уровень безопасности для использования их в зависимости от назначения на том или ином сайте. Например, вы можете сделать простой пароль для сайта, где вам нужно прочитать новости и откомментировать их.

Но вы обязательно должны выбрать более сильные пароли, такие, чей смысл гораздо труднее угадать или обнаружить с помощью брутфорса, для банковских и им подобных сайтов, работающих с вашей секретной информацией, например, кредитные карты. И обязательно нужно использовать разные пароли для разных сайтов так, что если один пароль будет скомпрометирован, это не будет грозить безопасности информации на других сайтах или счетах. «Пароли работают до тех пор, пока вы правильно их используете», — заключает Шнайер.

Для тех кто не хочет создать сложные пароли и думают что легкий пароль это не опасно, рекомендую анализировать список паролей, скорее всего, Вы найдёте там свои любимые пароли. А для тех кто действительно хочет создать безопасные пароли, рекомендую генератор паролей, который будет сгенерировать для Вас, безопасные и надёжные пароли.



источник:
ruformator.ru
@ WIRTEL
26 августа 2010, 08:50 | |  
Аватар пользователя WIRTEL
карма:
комментариев: 0
новостей: 0
группа: Гости
Использовал различные генератор паролей, всё время забывал пароли, потом решил сделать свои генератор паролей основанный на тэгах и теперь счастлив.

Сам генератор естественно в онлайн — http://psw.wirtel.ru/

Фишка в тэгах, вводятся статистические и динамические тэги.

Под статистические попадают все тэги (ключевые слова) которые Я никогда не забуду, например: день рождения, цвет своих глаз, своё имя. В динамические тэги (ключевые слова) попадают изменяющиеся данные, например: адрес сайта или его название.

Затем всё просто надо знать схему тэгов и можно спокойно восстанавливать сложные пароли.
@ Administrator
26 августа 2010, 11:31 | |  
Аватар пользователя Administrator
карма: +4673.126
комментариев: 239
новостей: 1005
группа: SysOp
WIRTEL,
Лично я, не рекомендую использовать такие методы генерации паролей, так как взломать их очень легко. В принципе, это тоже самое что указать ответ на вопрос для восстановление пароля, ведь, злоумышленники прекрасно понимают какие теги являются ”статистическими” и которые ”динамическими”. Более того, достаточно взломать такой пароль для одного аккаунта, как все остальные Ваши учётные записи становиться уязвимыми.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.