Защитите ваши деньги: как хранить пароли и не дать их своровать

Утечки личный данных клиентов сначала Сбербанка, потом Билайна, обнаруженные на прошлой неделе, подняли вопрос: а так ли хорошо защищены все, кто оставляет свои имена, номера телефонов и платежных карт в приложениях для смартфонов, доверяет частным компаниям и госорганизациям? Как защитить деньги, когда люди много лет как привыкли оформлять платные подписки, прикреплять банковские счета к интернет-магазинам, пользоваться онлайн-банками?

Там, где есть опасность — есть спрос на способы борьбы с опасностью. Если верите, что ваши личные данные уже утекли к злоумышленникам — имеет смысл задуматься о защите с помощью сложных паролей, надежных мест для хранения паролей и двухфакторной аутентификации.

Поскольку защита персональных данных — общемировая проблема, обратимся к тем, кто столкнулся с ней раньше россиян и уже осмотрелся по сторонам в поисках решения.

«123456» или «password», что же выбрать?

Взломщики периодически выкладывают свои коллекции скомпрометированных пар логин-пароль — за три месяца накапливается примерно 3,5 млрд пар весом в 1 Гб текстовых файлов. В 42% случаев утечки происходят при использовании слабых паролей, состоящих только из букв или только из цифр, рассказывают в российской компании разработчиков систем борьбы с утечками данных DeviceLock. 20% скомпрометированные паролей содержат менее семи символов. И только в 3% случаев страдают сложные пароли из цифр, букв и символов.

Чем больше сложных паролей приходится придумывать, тем они становятся (а) однообразнее, (б) плохо запоминающимися.

На рынке цифровых решений много лет как существуют генераторы и хранители паролей. Для начала — это ваш интернет-браузер. Подавляющее большинство, все популярные вроде Chrome или Firefox имеют встроенный менеджер для хранения данных о входе в разнообразные аккаунты. Это реально удобно, минус только один — у разработчиков браузеров много других задач кроме доработки и обновления парольного менеджера, поэтому используемые технологии, считается, уступают специальным программам, заточенным под оберегание ваших данных. Поэтому стоит отключать автоматическое заполнение форм, каким бы удобным это ни казалось.

Топ-5 лучших специальных приложений для хранения паролей опубликовало в конце сентября американо-британское издание об интернет-технологиях The Wired.

Менеджер паролей: как это работает

Хороший менеджер паролей — тот, что хранит, генерирует и обновляет их одним нажатием кнопки. Если вы готовы тратить на защиту данных несколько сотен рублей в месяц/год, менеджер паролей будет синхронизировать логины-пароли на всех ваших устройствах. Запоминаете только один пароль от хранилища паролей — и больше не напрягаете свою память.

Лучший, в общем и целом

1Password

1Password

Созданное под устройства Apple, приложение сейчас работает также на Android, Windows, ChromeOS, Linux, как плагин — для браузеров Firefox, Chrome и Edge.

Вместо того, чтобы копировать/вставлять логины-пароли из ваших приложений в 1Password — менеджер может интегрироваться с ними напрямую и заполнять поля автоматически.

1Password создает секретный ключ, не зная которого, расшифровать ваши пароли теоретически невозможно. Однако если потеряете этот ключ, больше никто, даже 1Password не сможет расшифровать их для вас.

Имеется «Режим путешествия»: удаляем в нужный момент конфиденциальные данные со всех ваших устройств — а затем восстанавливаем одним щелчком мыши. Это препятствует доступ любым нежелательным личностям, даже представителям правоохранительных органов получить доступ к вашему хранилищу паролей.

Есть 30-дневная бесплатная пробная версия, дальше — по 699 рублей за месяц.

Лучший из бесплатных

Bitwarden

Bitwarden

Это популярный выбор среди сторонников программного обеспечения с открытым исходным кодом. Менеджер бесплатен и достаточно удобен. Имеется полуавтоматический инструмент ввода паролей. Если посещаете сайт, для которого сохранили учетные данные, значок Bitwarden в браузере показывает количество сохраненных учетных данных с этого сайта. Нажмите на значок и сразу входите. Это облегчает переключение между именами пользователей.

За платный функционал, около 600 рублей в год вы получите 1 ГБ хранилища зашифрованных файлов, двухфакторную аутентификацию, отчет о гигиене паролей и работоспособности хранилища, приоритетную клиентскую поддержку.

Работает на iOS, MacOS, Windows, Android и Linux или как плагин для браузеров Firefox, Chrome, Safari, Edge, Vivaldi и Brave.

Лучший полнофункциональный

Dashlane

Dashlane

Десктопный клиент прост в навигации, мобильное приложение позволяет быстро получать ваши данные, его легко настроить. Используется секретный ключ для шифрования, как у 1Password. Хотя синхронизация между разными устройствами невозможна без покупки версии Premium (от 300 рублей в месяц). Бесплатный тестовый период — 30 дней.

Функция Site Breach Alerts позволяет выискивать утечку или украденные личные данные, предупреждать вас о взломе.

Лучшее безоблачное решение для телефонов

Myki

Myki

Myki использует совершенно другой подход к управлению паролями: для хранения данных используются не облачные серверы, а ваше собственное устройство. Вы настраиваете учетную запись через смартфон или планшет, затем система синхронизирует ваши пароли с расширением браузера Myki, запущенным на рабочем столе вашего компьютера.

Вместо мастер-пароля для доступа к мобильному приложению — шестизначный PIN-код или отпечаток пальца или Face ID. Единственный реальный способ скомпрометировать Myki — это попробовать взломать потерянный вами телефон. Зато если сами потеряете телефон — у вас настоящие проблемы. Если никто не сможет получить доступ к вашим данным, то и вы тоже. Спасение — регулярно через браузер делать зашифрованные резервные копии ваших паролей.

Платная подписка требуется только для семейного и корпоративного планов.

Лучший вариант «Сделай сам»

KeepassXC

KeePassXC

Решение для тех, кто любит сам все контролировать. Десктопное приложение KeePassXC хранит зашифрованные версии всех ваших паролей в зашифрованном цифровом хранилище, которое вы защищаете мастер-паролем, файлом ключа или и тем и тем сразу. Вы синхронизируете базу данных самостоятельно, используя собственное облачное хранилище вроде Dropbox или, например, рекомендованной Эдвардом Сноуденом службы SpiderOak.

Всего два слова: двухфакторная аутентификация

Эти слова можно услышать от представителей очередной крупной компании, когда ее клиенты обнаруживают очередную утечку своих логинов-паролей. Мол, надо было использовать двухфакторную аутентификацию. Например, Facebook. Или Сбербанк.

New York Times несколько месяцев тому на волне утечек, напоминающих недавние российские, поговорила со службой безопасности Google. Компания одной из первых в свое время попробовала принуждать пользователей два раза удостоверять свою личность.

«Очень, очень сложно заставить пользователя регистрироваться, когда ему это кажется слишком утомительным», — говорит глава службы безопасности Google Гэмми Ким.

Двухфакторная — означает, что аутентификацию надо пройти дважды. Первый шаг: вы вводите свое имя пользователя и пароль, чтобы войти в онлайн-кабинет банка. Второй шаг: банк отправляет на ваш телефон текстовое сообщение с временным кодом, который необходимо ввести, прежде чем сайт позволит вам войти в систему. Таким образом, вы подтверждаете свою личность, имея доступ к вашему телефону и присланному коду.

Звучит просто и безопасно? Оказывается, далеко не все этим пользуются. В Google говорят, что менее 10 % пользователей согласились на двухфакторную аутентификацию для таких служб, как электронная почта, календарь или хранилище фотографий.

А вы беспокоитесь за свой аккаунт в Instagram? Может, там и нет 100 тысяч подписчиков, но только представьте, что не сможете больше никогда зайти на страничку…

Instagram

iOS

В приложении откройте настройки, нажмите «Конфиденциальность и безопасность» и выберите двухфакторную аутентификацию. Введите свой номер телефона. Вы получите текстовое сообщение, содержащее шестизначный код. Введите код.

Отныне, когда входите в свою учетную запись Instagram, всегда будете получать текстовое сообщение с временным кодом.

ВКонтакте

В приложении или на странице сайта откройте настройки, выберите «Безопасность».

В самой верхней секции » Подтверждение входа» выберите «Подключить». Откроется всплывающее окно, информирующее о том, что при включении двухфакторной аутентификации для доступа к вашему аккаунту будет использоваться номер мобильного телефона. Нажмите кнопку «Приступить к настройке». Полученный на телефон код вводим в поле, жмем «Подтвердить». Теперь при входе в ВК с неизвестного устройства будет приходить СМС с временным кодом доступа.

Плюсы: метод прост, вам не нужно устанавливать дополнительные приложения. Минусы: телефонные номера и СМС подвержены угону со стороны спецслужб или хакеров.

Facebook и другие соцсети

Еще один способ использовать двухфакторную аутентификацию — получать временный код через приложение-аутентификатор.

Откройте на своем смартфоне магазин приложений и загрузите бесплатное приложение для аутентификации, такое как Google Authenticator или Authy.

Затем на сайте Facebook перейдите к настройкам безопасности. Нажмите «Использовать двухфакторную аутентификацию», затем «Начните». После повторного ввода пароля выберите в качестве метода безопасности приложение аутентификации. Затем следуйте инструкциям на экране.

Отныне, когда входите в Facebook, вам придется открыть приложение для проверки подлинности и посмотреть временный шестизначный код, созданный для вашей учетной записи Facebook. Введя код, сможете войти.

Плюсы: украсть ваш временный код из приложения-аутентификатора очень сложно.

Минусы: если потеряете смартфон или купите новый, придется потратить время на восстановление доступа к учетной записи.

Gmail (и другие сервисы Google)

На Gmail. com перейдите в настройки своей учетной записи и нажмите «Безопасность». Выберите «Двухэтапное подтверждение», а затем нажмите «Добавить приглашение Google».

Нажмите «Начать» и выберите свой смартфон.

На вашем телефоне откройте приложение Google или Gmail. Google покажет устройство, пытающееся войти в вашу учетную запись. Нажмите «Да» в запросе.

С этого момента, когда вы входите в свою учетную запись, приложение Gmail или Google будет спрашивать, являетесь ли вы человеком, который ищет доступ. Нажав «Да», вы войдете в систему.

Плюсы: это легко, требуется только подключение к интернету. Минусы: не у всех приложений и сайтов вроде Google есть подобный метод подсказок. Например, у Сбербанка для подтверждения операции без вариантов — временный код на телефон.