Методы безопасного хранения паролей: от простых приемов до использования менеджеров паролей

У любой информационной системы есть легитимный способ доступа, и его использование всегда проще для злоумышленника, чем, например, эксплуатация уязвимостей.

Именно поэтому менеджменту паролей, как для обычных пользователей, так и для работников различных организаций необходимо уделять достаточное внимание.

Также о важности грамотно хранить пароли говорят нам нормативные документы, включая:

• 21 приказ ФСТЕК (содержит требования для операторов персональных данных, которыми являются любые юридические лица, ИП, которые обрабатывают ФИО, телефон, почту и любую другую подобную информацию о людях, в том числе о своих работниках)
• ГОСТ Р 57580.1 (с требованиями для финансового сектора: банков, страховщиков, брокеров, дилеров, ломбардов)

Ранее наша команда проводила исследование и пришла к выводу, что более 65% пользователей защищают свои учетные записи ненадежными паролями, которые можно взломать всего за одну минуту методом машинного перебора.

И в данном материале Мария Некрасова, младший консультант по информационной безопасности в RTM Group, расскажет, как на самом деле нужно хранить пароли и что нужно делать, чтобы их не взломали злоумышленники.

Как нельзя хранить пароли

• Самым небезопасным методом хранения паролей является запись данных на листочке, размещенном на виду (например, на рабочем столе).

Так ваши аутентификационные данные всегда находятся в «открытом доступе» для всех сидящих рядом коллег, пока вы выходите из кабинета. И даже в блокноте в ящике держать их не стоит. Есть реальные случаи, когда недобросовестные коллеги находили эти записи и получали доступ к системам бухгалтерии, например.

• Вторым плохим способом хранения паролей являются заметки в телефоне.

Ведь устройство может быть украдено или потеряно, и тогда сложно будет войти в свои аккаунты. Кроме того, злоумышленники могут проникнуть в ваш телефон через вредоносные программы и получить доступ к конфиденциальной информации. Также стоит учитывать, что заметки могут быть случайно удалены или потеряны из-за сбоев в работе устройства.

• К плохим способам хранения паролей мы так же можем добавить «браузерные» менеджеры.

Некоторые из них хранят данные в зашифрованном виде на устройствах пользователя в папках, путь до которых можно легко найти. Более надежные решения содержат пароли в облаке, но риск утечки данных все же остается.

Например, злоумышленник с помощью вредоносного ПО может получить доступ к компьютеру жертвы и найти ту самую папку, где хранятся зашифрованные пароли.

Как мы рекомендуем хранить пароли. Плюсы и минусы различных вариантов

В заархивированном документе

Плюсы:

1. Безопасность
   Заархивированный документ обычно защищен паролем, что делает доступ к хранимым записям более безопасным.
2. Удобство
   Все пароли могут быть легко организованы и хранятся в одном месте.
3. Мобильность
   Заархивированный документ можно легко перемещать и хранить на различных устройствах.

Минусы:

1. Потеря данных
   Если заархивированный документ будет удален или утерян, все хранимые сведения также будут утрачены.
2. Небезопасность
   Если посторонние лица получат доступ к заархивированному документу, они смогут легко получить доступ к данным, в нем содержащимся.
3. Усложненный доступ
   Каждый раз при необходимости использования или обновления пароля придется открывать заархивированный документ, что может быть неудобно.

В криптоконтейнере

Функционал криптоконтейнера намного больше обычного заархивированного файла. Он может содержать не только логины и пароли, но и другие конфиденциальные данные, такие как кредитные карты, ключи шифрования и т.д.

Данный метод обеспечивает более высокий уровень безопасности, так как данные хранятся в зашифрованном виде и доступ к ним возможен только с помощью специального пароля или ключа шифрования.

Плюсы:

1. Безопасность
   Криптоконтейнер обеспечивает надежное хранение паролей, защищенных алгоритмами шифрования.
2. Удобство
   Все пароли хранятся в одном зашифрованном месте, что делает управление ими более удобным.
3. Мобильность
   Криптоконтейнер можно легко перемещать с устройства на устройство, что обеспечивает доступ к паролям в любое время и в любом месте.

Минусы:

1. Зависимость от криптоконтейнера
   В случае утери доступа к нему, вы можете потерять все ваши пароли.
2. Риск взлома
   Хранение всех паролей в одном месте может увеличить риск их кражи, если контейнер не защищен должным образом.

С использованием менеджеров паролей

Чтобы упростить процесс входа на сайты и избежать необходимости запоминать множество паролей, их можно хранить в менеджере. Такая программа автоматически вводит необходимые пароли после подтверждения личности с помощью «мастер-пароля».

Плюсы:

1. Безопасность
   Менеджеры паролей обеспечивают защиту от кражи паролей или их перехвата злоумышленниками.
2. Удобство
   Не нужно запоминать и вводить множество различных паролей, менеджер автоматически заполняет их при необходимости.
3. Генерация сложных паролей
   Менеджеры паролей могут генерировать случайные и сложные пароли для обеспечения большей безопасности.

Минусы:

1. Риски безопасности
   Если менеджер паролей будет взломан или у вас украдут мастер-пароль, все ваши секретные данные будут скомпрометированы.
2. Не всегда доступен
   В случае отсутствия доступа к интернету или проблем с работой программы, возможны проблемы с доступом к вашим паролям.
3. Зависимость
   При использовании менеджера паролей важно не забывать мастер-пароль и поддерживать его в безопасности, так как без него доступ к вашему аккаунту будет закрыт.

Однако использование менеджеров паролей является одним из наиболее надежных и удобных способов безопасного хранения паролей.

При выборе такого инструмента мы рекомендуем убедиться, что он обладает надежным уровнем шифрования и не имеет известных уязвимостей.

Также следует регулярно обновлять программное обеспечение менеджера паролей, чтобы минимизировать риск возможных атак.

В каком все таки виде хранить пароли? Рекомендации RTM Group

В данной статье были представлены различные методы безопасного хранения паролей – от простых приемов до использования специализированных инструментов.

Те, кто прячет секретные комбинации символов «под клавиатурой», рискуют стать жертвами киберпреступников.

Кража паролей может привести к утечке личной информации, финансовым потерям, взлому аккаунтов и другим негативным последствиям.

Поэтому мы рекомендуем хранить конфиденциальные данные максимально безопасно.

И вне зависимости от того, какой вы выберете, важно также не забывать следить за их актуальностью и регулярно менять секретные комбинации для предотвращения возможных утечек информации.

Вот наши рекомендации, которые помогут снизить вероятность получения доступа злоумышленниками к вашим конфиденциальным данным:

1. Если вы выбрали способ хранения паролей в криптоконтейнере, то рекомендуем вам придумать пароли, которые содержат:
   • 8 и более символов
   • Верхний и нижний регистр
   • Специальные символы

2. Использовать разные пароли для своих учетных записей для различных интернет-ресурсов, сервисов и приложений.
3. Производить смену паролей хотя бы один раз в год, ведь это обезопасит ваши данные в случае утечки данных.
4. При выборе менеджера пароля использовать тот, что обладает надежными алгоритмами шифрования.