Защита с использованием паролей

Protect: шифрование паролей — Браузер. Помощь

Защита с использованием паролей

Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.

Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.

Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.

Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:

  • кражи хранилища паролей с компьютера;
  • потери паролей из-за изъятия или утери компьютера;
  • хранения синхронизированных данных на сервере Яндекса (шифрование организовано так, что даже Яндекс не сможет расшифровать ваши пароли).

Этот вариант защиты менее надежен, потому что:

  • Любой человек, открыв Яндекс.Браузер на вашем компьютере, сможет легко просмотреть пароли в менеджере.
  • Ключ шифрования защищается средствами операционной системы, а не мастер-паролем. Получив доступ к компьютеру, хакеры могут украсть и расшифровать ваши пароли.
  • При синхронизации Яндекс может получить доступ к паролям.

Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.

Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.

Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.

  1. В блоке Пароли и карты не зашифрованы нажмите Создать мастер-пароль.
  2. Если вы используете пароль для вашей учетной записи на компьютере, введите его в окне запроса системного пароля.
  3. Введите мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  4. Для подтверждения введите мастер-пароль повторно.
  5. Чтобы восстановить доступ к хранилищу, если вы забудете мастер-пароль, создайте запасной ключ шифрования.

Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на компьютере, ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.

  1. Введите текущий мастер-пароль.
  2. В блоке Пароли и карты зашифрованы нажмите Сменить мастер-пароль.
  3. В открывшемся диалоговом окне введите текущий мастер-пароль.
  4. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  5. Введите мастер-пароль еще раз для подтверждения.

После этого зашифрованный с помощью мастер-пароля ключ шифруется заново и при ближайшей синхронизации передается на другие устройства. Мастер-пароль не сохраняется ни на компьютере, ни на сервере.

  1. Введите текущий мастер-пароль.
  2. В блоке Пароли и карты зашифрованы нажмите Удалить мастер-пароль.
  3. В открывшемся диалоговом окне введите мастер-пароль для подтверждения.

После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.

Браузер запрашивает мастер-пароль при сохранении новых паролей, автоматической подстановке паролей в формы авторизации, а также при попытках открыть хранилище паролей. Вы можете отрегулировать частоту запроса мастер-пароля браузером:

  1. Введите текущий мастер-пароль.
  2. В поле Запрашивать мастер-пароль для доступа к паролям и картам выберите нужную частоту: после перезапуска браузера, после блокировки компьютера, раз в час или раз в 5 минут. Чем чаще запрашивается мастер-пароль, тем надежнее защита хранилища.
  3. В открывшемся диалоговом окне введите мастер-пароль для подтверждения.

Вы также можете отключить запрос мастер-пароля. Для этого отключите опцию Запрашивать мастер-пароль для доступа к паролям и картам. В результате браузер перестанет запрашивать мастер-пароль для доступа к хранилищу паролей. При этом:

  • Мастер-пароль не удаляется, а записывается в базу данных в зашифрованном виде. Ключ шифрования сохраняется на компьютере и защищается средствами операционной системы.
  • Сохраненные ранее пароли остаются зашифрованными мастер-паролем. При сохранении нового пароля или расшифровке старого браузер использует старый мастер-пароль, не запрашивая его у пользователя.
  • В процессе синхронизации все пароли отправляются на другие устройства в зашифрованном виде. На других устройствах эти пароли будут подставляться в формы авторизации, и для их расшифровки вам потребуется ввести мастер-пароль.
  • Отключать запрос мастер-пароля на каждом из ваших устройств придется вручную. Так сделано из соображений безопасности — чтобы, например, пароли на устройстве, к которому имеет доступ кто-то посторонний, не стали ему доступны без вашего ведома.

Если вы забыли мастер-пароль и у вас есть запасной ключ шифрования:

  1. В форме ввода мастер-пароля нажмите Не помню пароль.
  2. В открывшемся диалоговом окне установите переключатель в положение Сбросить мастер-пароль. Нажмите Продолжить.
  3. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  4. Введите новый мастер-пароль еще раз для подтверждения. Нажмите Продолжить.
  5. На странице Яндекс.Паспорта введите пароль вашей учетной записи на Яндексе.
  6. После этого мастер-пароль обновится, а все пароли в хранилище будут перешифрованы.

Если вы забыли мастер-пароль и запасного ключа шифрования у вас нет, браузер не сможет восстановить ваши пароли. Он перестанет их подставлять в формы авторизации, и вы не сможете просмотреть их в менеджере.

Вам останется только удалить все пароли вместе с ключом шифрования. При этом, если вы используете пароль для вашей учетной записи на компьютере, его надо будет ввести, чтобы подтвердить права на удаление паролей.

Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.

Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.

В процессе восстановления доступа вы должны будете ввести пароль от вашего аккаунта на Яндексе. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от аккаунта на Яндексе, низка.

Чтобы создать запасной ключ шифрования:

  1. Введите текущий мастер-пароль.
  2. В блоке Пароли и карты зашифрованы нажмите Включить возможность сброса мастер-пароля.
  3. Введите текущий мастер-пароль и нажмите Продолжить.
  4. В открывшемся диалоговом окне нажмите Включить. Примечание. Если синхронизация в браузере была отключена, на экране появится диалоговое окно для ее включения. Введите логин и пароль вашего аккаунта на Яндексе и нажмите Включить синхронизацию.

Браузер сообщит о том, что создан запасной ключ шифрования.

Чтобы удалить запасной ключ шифрования, в настройках менеджера паролей нажмите Выключить возможность сброса мастер-пароля.

Была ли статья полезна?

Предыдущая

Менеджер паролей

Следующая

Синхронизация паролей

Источник: https://yandex.by/support/browser/security/passwords-management.html

Защита от несанкционированного доступа к информации

Защита с использованием паролей

Существует несколькоспособов защиты информации от несанкционированного доступа.

На этом уроке мы с вамирассмотрим защиту с использованием паролей и биометрические системы зашиты.

Начнём с защиты сиспользованием пароля.

Защита паролем – это первый этап по обеспечениюбезопасности информации на вашем компьютере.

Для начала давайтеответим на вопрос: «Для чего вообще нужно использовать пароль на компьютере?».

В первую очередь, этозащита от несанкционированного доступа. То есть мы защитим этим наш компьютеркак от человека, который решил включить ваш компьютер и узнать нужную емуинформацию, так и от попыток залезть на ваш компьютер по сети другимипользователями, например, при желании скачать ваш сделанный вариант контрольнойработы по информатике.

Ещё одна причина, покоторой стоит использовать пароль – это защита от некоторых (но не оченьмногих) вирусов и троянских программ.

К таким программамотносятся, так сказать, «хулиганящие» программы, которые могут передаватьсячерез локальную сеть или же Интернет.

Но если же выполнятьнекоторые условия безопасности, то можно обойтись и без пароля. К такимусловиям относятся следующие:

·       Выуверены в том, что в ваше отсутствие никто не включит компьютер без вашеговедома.

·       Вашкомпьютер не подключён к сети, или же вы уверены в том, что все находящиеся всети не позволят себе зайти на ваш компьютер без вашего разрешения.

·       Вашкомпьютер не имеет выхода в Интернет. Что в нашем обществе является крайнередким.

Если же хотя бы одно изэтих условий не выполняется, то всё-таки стоит позаботиться о защите информациина вашем компьютере при помощи пароля.

И это будет первым,несложным и эффективным шагом для защиты вашей информации.

При установке паролякомпьютер будет давать доступ только тем людям, для которых был создан списокпользователей и только под правильным паролем. Такжедля некоторых пользователей можно ограничить доступ к определённым файлам ипапкам.

Сам же пароль можно устанавливать как до загрузки операционной системы, так ипри загрузке операционной системы.

Для установки пароля дозагрузки операционной системы нужно задать соответствующие параметры в BIOS.

В BIOS можно ставитьпароль как на саму загрузку операционной системы, так и на BIOS, чтобынежелательные визитёры не смогли зайти в него и изменить параметры загрузки имногое другое.

Для начала рассмотрим,как поставить пароль на сам BIOS.

В первую очередь, призагрузке компьютера заходим в BIOS. Для того, чтобы зайти в BIOS на компьютере,нужно использовать специальные горячие клавиши или их комбинации. Различныеварианты таких комбинаций обусловлены тем, что каждый производитель каккомпьютера, так и BIOS, по собственному усмотрению назначает тип и количествоклавиш, которые нужно нажать для того, чтобы попасть в настройки.

После этого находим строчку «BIOS Setting Password» или же «Set Supervisor Password».

Это, по сути, одно и тоже, но зависит от версии BIOS.Нажимаем клавишу «Enter».Стоит помнить, что по BIOSмыможем перемещаться только при помощи стрелок управления курсором. Мышь здесь неработает. Итак, после нажатия клавиши «Enter», у нас появится окно для вводанового пароля.

Вводим его и снованажимаем «Enter».

Подтверждаем новый парольи снова нажимаем «Enter».

После этого выбираемвкладку «Advanced BIOSFeatures».

Снова нажимаем «Enter». Теперь ищем пункт «Password Check».

Напротивнего должно быть установлено «Always».

Это говорит о том, чтопароль будет проверяться всегда.

Сохраняем наши настройкии выходим из BIOS.Обычно для сохранения используется клавиша «F10».

Теперь при входе в BIOS компьютербудет запрашивать у нас пароль.

Для входа необходимоввести пароль и нажать клавишу «Enter».

Для установки паролянепосредственно на загрузку операционной системы необходимо снова выбрать пункт«Set User Password» в BIOS.

Теперь вводим дваждыновый пароль.

После чего сохраняемнастройки и выходим из BIOS. В этом случае при запуске будет сначалазапрашиваться пароль.

И только после верноговвода пароля будет происходить непосредственно сама загрузка операционнойсистемы.

Преодолеть такую защитуочень сложно. Но следует помнить, что в случае, если вы забудете пароль от BIOSили загрузки ОС, то могут возникнуть большие проблемы с доступом к данным.

А сейчас давайтерассмотрим, как поставить пароль при загрузке операционной системы.

Для начала рассмотрим,как поставить пароль на примере операционной системы Windows7.

Открываем меню «Пуск» инажимаем на картинку своей учётной записи. Так мы быстро перейдём к настройкамсвоей учётной записи.

У нас откроется окно, вкотором мы должны выбрать «Создание пароля своей учётной записи».

После этого у насоткроется окно, в котором мы и будем устанавливать пароль. В первую строкувводим пароль, во второй повторяем его. После чего вводим подсказку – ключевоеслово или фразу, которая в случае, если вы забыли пароль, поможет вам еговспомнить. Подсказку можно и не использовать. Нажимаем «Создать пароль».

При перезагрузкекомпьютера, чтобы зайти в систему, нужно будет ввести пароль и нажать клавишу «Enter» или на стрелочку «вправо».

Чтобы изменить илиудалить пароль, нужно снова зайти в настройки своей учётной записи и выбратьнужный вам пункт – «Изменение своего пароля» или «Удаление своего пароля».

При изменении паролянужно будет сначала ввести старый пароль, а затем два раза ввести новый пароль.

При удалении пароля нужнобудет 1 раз ввести текущий пароль.

А сейчас рассмотрим, какустановить или изменить пароль в операционной системе Linux.

Сначала рассмотрим, какнеобходимо создавать новый пароль. Для этого нужно в командной строке ввестиследующую команду: «passwd».

Далее, после того какпоявится фраза «Enternew UNIX password:», нужно ввести пароль.

На экране символы небудут отображаться. Если пароль слишком простой, то система выдастсоответствующее сообщение. После ввода пароля на экране появится сообщение «Retype new UNIX password:».

Это говорит о том, чтонужно повторно ввести ваш пароль. Если вы всё сделали верно, то система выдастследующее сообщение: «passwd: password updated successfully».

И программа завершитработу.

Если первый и второйпароли не совпадают, то система выдаст такое сообщение: «Sorry,passwords do not match». И будет сновапредложено ввести пароль.

В операционной системе Linux есть такая возможность, как работа с полномочиями суперпользователя или же, другими словами, администратора.При этом вы сможете изменить пароль не только своей учётной записи, но и всехостальных, которые зарегистрированы на этом компьютере, например, если кто-тозабыл свой пароль для входа в систему.

Для того, чтобы изменитьпароль другого пользователя, нужно в командной строке ввести следующую команду:«sudo bash». И ввести дляначала пароль суперпользователя.

Об этом будетсвидетельствовать знак решётки. Затем нужно будет ввести такую команду: «Passwd User 2», где «Имя_пользователя»– это логин пользователя, пароль которого нужно изменить.

После чего системапопросит дважды ввести новый пароль.

При установке пароля,чтобы он был надёжным и трудным для взлома, необходимо соблюдать некоторыеправила. Основным же правилом является то, что пароль не должен легкораскрываться, а подбор пароля должен быть максимально сложным. В основе паролянедолжно быть вашего имени, даты рождения, клички животного и так далее.

Также при задании пароля,например, в операционной системе Windows есть своихитрости. По утверждению специалистов, в Windowsлучше всего защищены от взлома пароли длиной 7 и 14 символов. Кроме этогорекомендуется использовать в пароле специальные знаки: «*», «#», «_» и прочие;причём желательно, чтобы один из этих символов присутствовал среди знаковпароля со 2 по 6.

А вот, например, всистемах Windows, Linux и Unix советуют использовать строчные ипрописные буквы поровну и вперемешку, так как эти системы очень чувствительны крегистру. Но такие пароли очень сложно запомнить.

В то же время не стоиткуда-либо записывать свой пароль, ну или хотя бы, если так произошло, то стоитдержать его при себе, но никак не рядом с компьютером.

Также при вводе пароляследует обращать внимание на язык, на котором вводите пароль, а также включенаклавиша «CapsLock»или нет.

От несанкционированногодоступа также можно защитить отдельные папки и файлы локального компьютера. Дляэтого нужно нажать на объекте правой кнопкой мыши и в контекстном меню выбратьпункт «Свойства».

В появившемся окне, вовкладке «Безопасность» выбрать необходимые для вас настройки.

Здесь мы можем открытьполный доступ или разрешить изменение либо только чтение, или же запись в этупапку и многое другое. Для различных пользователей можно устанавливатьразличные права доступа.

Это что касается защитыинформации на компьютере при помощи пароля.

Также существуютбиометрические системы защиты.

Биометрические системызащиты – это системы аутентификации, использующие дляудостоверения личности людей их биометрические данные.

Биометрические данные– это физические и биологические особенности человека, на основании которыхможно установить его личность. Такие данные мы также применяем и в повседневнойжизни. Например, мы можем узнать человека по голосу, походке, лицу и так далее.

В наше время мы можемставить различные системы блокировки на свой телефон. К таким относятся такжезащита по отпечатку пальца, вводу кода, распознаванию голоса.

В системах доступа кинформации биометрические технологии имеют значительные преимущества передостальными методами. К примеру, пароль человек может сообщить кому-либо иливообще забыть, потеряв тем самым доступ к информации. Или же человек может,например, потерять карту, или же она может быть скопирована. Биометрические жеданные однозначно идентифицируют самого человека.

Характеристики, которыеиспользуются в биометрических системах, являются неотъемлемыми, а главное,уникальными качествами личности человека. Такие данные практически невозможноподделать.

К биометрическим системамзащиты информации относятся системы идентификации по отпечаткам пальцев, похарактеристикам речи, по радужной оболочке глаза, по изображению лица и погеометрии ладони рук.

Давайте рассмотрим этисистемы идентификации более подробно.

При идентификации поотпечаткам пальцев происходит считывание отпечатков при помощи оптическогосканера, после чего полученная информация преобразуется в цифровой код исравнивается с той, которая имеется в памяти компьютера.

Такие системы ставятся наноутбуки, смартфоны, мыши, клавиатуры, флэш-диски, а также применяются в виде отдельныхвнешних устройств и терминалов, например, в аэропортах и банках.

В случае, если узоротпечатка пальца не совпадает с узором допущенного к информации пользователя,то доступ к информации не будет открыт.

С развитием ыхинтерфейсов, появляется идентификация по характеристикам речи. У каждогочеловека есть индивидуальная частотная характеристика каждого звука (фонемы).

Такая проверкаидентификации является бесконтактной.

В случае, если наосновании частотного анализа происходит несовпадение, то доступ к информации небудет открыт.

Следующий способидентификации – по радужной оболочке глаза. Радужная оболочка глаза– это одна из уникальных биометрических характеристик для каждого человека.

Она формируется в первыеполтора года жизни и остаётся практически неизменной в течение всей жизни. Приидентификации по радужной оболочке глаза изображение самого глаза выделяется изизображения лица, после чего на него накладывается специальная маскаштрих-кодов. В результате будет получена матрица, которая индивидуальна длякаждого человека.

Для такой идентификациииспользуются специальные сканеры, которые подключены к компьютеру.

Идентификация поизображению лица. Для такой идентификации необязательно, чтобы человекнаходился напротив сканера или камеры, подключённой к компьютеру. Такая системаможет распознавать лица на расстоянии, не требуя от человека дополнительнойтраты времени.

Как вы, наверное, знаете,по лицу можно многое узнать, например, чем болеет человек, что ему нравится илине нравится, какие эмоции он испытывает, лжёт или говорит правду и многоедругое.

При идентификацииучитываются форма лица, его цвет, а также цвет волос. К важным признакамотносятся координаты точек лица в местах, соответствующих смене контраста(брови, глаза, нос, уши, рот и овал).

Этим способом оченьудобно, например, обнаруживать преступника на улице или в магазине, везде, гдеесть камеры.

В настоящее время выдаютсязагранпаспорта, в микросхеме которых хранится цифровая фотография владельца.

И заключительный способидентификации – по ладони руки. Для такой идентификации необходимоположить руку на специальный сканер.

При сканированииучитывается простая геометрия руки – размеры и форма, а также некоторыеинформационные знаки на тыльной стороне руки (например, образцы на сгибах междуфалангами пальцев, узоры расположения кровеносных сосудов).

Такие сканеры установленыв некоторых аэропортах, банках и атомных электростанциях.

Пришла пора подвестиитоги урока. Сегодня мы с вами познакомились со способами защиты информации припомощи пароля на компьютере. В частности, при установке пароля на BIOS, назагрузку операционной системы, а также на вход в саму систему.

Узнали, какие существуютспособы биометрической защиты, а также рассмотрели, как они работают.

Источник: https://videouroki.net/video/6-zashchita-ot-nesankcionirovannogo-dostupa-k-informacii.html

Защита информации с помощью паролей

Защита с использованием паролей

Пароли являются классическим средством защиты информации от чужих глаз. Неизвестно  кто появился раньше,  пароль или презерватив, но это довольно схожие по смыслу вещи: давно и успешно применяются во всех сферах деятельности, легки в обращении и  становятся совершенно бесполезной штукой,  из-за не соблюдения простых истин.

Чтобы основательно погрузиться  в проблему, вернемся на десять лет назад.

Эволюция самых популярных паролей.

В 2003 году Infosecurity провели небольшое исследование, с целью выявления самых популярных паролей. Было опрошено 152 участника и получены следующие результаты:

  • 16% использовали собственное имя;
  • 12% использовали слово «password»;
  • 11% использовали название любимой спортивной команды;
  • 8% использовали дату рождения.

Прошло десять лет (с). В начале 2013 году в Лаборатории Касперского провели свое исследование с тем же вопросом, но уже в 25 странах. Картинка немного изменилась:

  • 16% используют собственную дату рождения;
  • 15% используют сочетание цифр «123456»;
  • 6% используют слово «password» на местном языке;
  • 6% используют кличку домашнего животного.

Отклонения от данных в 2003 года в пределах статистической погрешности.

А в конце 2013 года у Adobe произошла утечка данных 150 миллионов паролей, чем не преминули воспользоваться исследователи информационной безопасности.

 Компания SplashData проанализировала миллионы паролей в свободном доступе и составила список самых популярных паролей 2013 года. В итоге получилось интересно и предсказуемо:

  • 123456
  • password
  • 12345678
  • qwerty
  • abc123
  • 123456789
  • 111111
  • iloveyou
  • adobe123
  • 123123
  • Admin1234
  • password1

Картина предстает печальной, за десять лет ничего не изменилось. Более того, все намного трагичнее, чем кажется.

Интернет не стоит на месте, количество сервисов растет в геометрической прогрессии и большинство пользователей используют повторяющийся пароль для всех сервисов.

Я встречал немало случаев, когда корпоративный пароль подходит ко всем социальным сетям и наоборот.  Самая болезненная уязвимость пароля это пользователь. Он или не не умеет/не хочет/не желает. Рассмотрим три случая более подробно.

Простые правила составления паролей

  1. «Один пароль — один ресурс»  — это хорошее правило. Но опять же в силу современных условий — неудобное. Необходимо разделять ресурсы на корпоративные, чувствительные и мусорные. Для корпоративных и чувствительных ресурсов пароли следует следовать принципу «один ресурс — один пароль».  Для мусорных и одноразовых интернет-ресурсов, можно применять  отдельный либо временный почтовый ящик и более ли менее защищенный пароль.
  2. Как и в 2003 году требования на минимальную длину в 15 символов остаются актуальными и на сегодняшний день. Раньше это было связано с одной полезной особенностью, что пароли более 15 символов некорректно сохранялись в LM хэше, что  существенно затрудняло его подбор. Сегодня все намного прозаичнее: распределенные вычисления и проброс вычислительной мощности на GPU, что позволяет перебирать около пары миллиардов значений в минуту.
  3. Не сохраняйте пароли, храните cookies и сессии до закрытия браузера. Так например существовала уязвимость в Safari, которая хранила пароли не зашифрованными.
  4. Стандартные правила составления паролей:
  • пароль не должен содержать части пользовательского имени;
  • символы латинского алфавита в разных регистрах;
  • цифры от 0-9;
  • специальные символы;
  • буквы вместо цифр. Популярное  решение сокращения букв из эпохи SMS: «F»-«4» и так далее.

       5. Регулярная смена паролей. На чувствительных ресурсах раз в месяц, на остальных  — раз в два месяца.       6. Пароль — это ваша личная тайна. Проблема запоминания паролейНе могу запомнить — основная отмазка/проблема всех пользователей, и как результат: «записывание и приклеивание». Когда у моего брата, нехорошие люди вскрыли аккаунт в одной из популярных российских социальных сетей, я спросил у него про  пароль. Ответом был вышеприведенный популярный список и фраза «Я не могу запомнить». Некоторые системные администраторы этому всячески способствуют, выдавая зубодробительные варианты из генератора паролей. Если на системного администратора повлиять сложно — рабочие инструкции, то в обычной жизни крайне удобным способом являются парольные фразы.  Далеко ходить не нужно, только в песненке «В лесу родилась елочка»  содержится 24 парольные фразы. Добавьте еще пару цифр и букв разными регистрами  и получится отличный пароль.  Так что любимая песня или стихотворение станут отличным подспорьем. Для тех у кого плохая память или плотно сидящая на шее лень, существует специальное программное обеспечение — парольный менеджер. Задачей парольного менеджера служит создание криптоконтейнера с доступом по одному, так называемому мастер паролю. На рынке таких программ достаточно много, как для Windows, OS X, Linux.  Обзоров парольных менеджеров делать не буду ибо они, все как на одно лицо: криптоконтейнер, напоминания о смене пароля, генератор паролей по заданному алгоритму, автозаполнение форм, автологин.  Поэтому приведу описания тех которыми пользовался:

  • Kaspersky Password Manager. Однозначно нужная вещь для техноманьяков. Доступ к паролям с помощью мастер-пароля, USB-токена, bluetooth устройство. Стоит недорого, сам использую при работе с Windows.
  • Norton Password Manager&Online Identify Security. Американское изделие для простых пользователей.  Попроще, но зато бесплатное. Есть мобильное приложение и возможность хранения в облаке, чего делать определенно не стоит.
  • 1Password. Самый популярный парольный менеджер для OS X и iOS. Существует версия для каноничного PowerPC, начиная с Tiger 10.4 и плагины для встраивания в браузер. Есть мобильная версия.
  • Очумелые ручки. Если мучает паранойя или не охота платить, то пользователи OS X могут создать шифрованный .dmg, а пользователи Windows/Linux  шифрованный TrueCrypt  образ диска. Запускаем Office/LibreOffice, ставим пароль на открытие созданного файла и самодельный парольный менеджер готов.
  • Пользователям Linux парольный менеджер не нужен ибо осиливший консоль, осилит остальное.

Следует помнить, что у всех парольных менеджеров, есть один существенный недостаток — при раскрытии мастер пароля или утери USB-токена , все пароли в криптоконтейнере окажутся скомпроментированным. Поэтому корпоративные пароли и пароли для чувствительных ресурсов заучить все же придется. 3. Отсутствие желания защищатьсяСуществуют такие персонажи, которым все «по барабану». Обычно аргументируется это тем, что: мне нечего скрывать / я честный человек / я не несу никаких потерь. Эти аргументы не заслуживают никакого внимания или уважения. Попытайтесь донести человеку то, что в его контакт-листе или в списке адресатов,  ни он один.  Намеренно подставляя себя, он подставляет и раскрывает остальных друзей, близких.  В повседневной жизни общение с человеком можно свести к телефону или скайпу. Гораздо хуже, если такой персонаж заводится в компании.  «Законных» методов решения этой проблемы не существует. Если сотрудник является обычный офисным мусором, то пары предупреждений с последующим увольнением будет достаточно. Но в жизни случается так, что попадается особо ценный сотрудник, которого толкования, о данном аспекте,  тоже упорно не желают беспокоить.У меня было пару подобных случаев и решились они методом предупреждения с «подставой», в виде «раскрытия информации по контрактам» или раскрывался не особо чувствительный кусок служебно-личной переписки с интересными подробностями рабочей жизни персонажа. Человек морально садился в лужу и ситуация для него, уже не казалась не заслуживающей внимания. Один раз после такого сценария, на всех парах примчался молодой гений продаж и попросил поставить все, начиная от отдельного шифрованного раздела сетевого диска, заканчивая USB-токеном на загрузку.  Если и это не срабатывало, то увольнение.В общем, такой вот интересный способ лечения, однако не стоит раскрывать подробности личной среды персонажа ибо статья. Двухфакторная аутентификацияС развитием интернет-сервисов и глобального внедрения становится модной и актуальной двухфакторная аутентификация. Работает эта технология довольно просто. Ваш аккаунт сервиса привязывается к телефонному номеру, вводится логин/пароль и на указанный номер приходит дополнительный «уникальный пароль». Такое решение позволяет значительно усилить защиту аккаунта.  Но если,  под рукой не будет смартфона или резервных кодов на бумаге, то в доступе будет отказано. Как видно,  все эти надоевшие и нашумевшие проблемы с парольной защитой решаются просто. Не хотите запоминать пароли — используйте программное обеспечение, не хотите платить или желаете полностью себя обезопасить —  парольные фразы или двухфакторная аутентификация к вашим услугам.

Источник: https://tosaithe.wordpress.com/2014/02/12/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8-%D1%81-%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9/

Работа с паролями: как защитить свои учетные записи (мнения специалистов)

Защита с использованием паролей
Недавно стало известно об «уязвимости» в системе для корпоративных клиентов такси-сервиса Gett. Как выяснили исследователи, всем им по умолчанию выдавались одинаковые пароли (естественно, многие из них никто потом не меняет). В итоге, зная один пароль, злоумышленники могли попасть в множество аккаунтов сразу (среди клиентов Google Россия, «», Ozon и другие компании).

Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно — только за прошедшие пару лет в сеть утекали пароли пользователей таких крупных компаний, как Adobe, популярных почтовых сервисов, хакеры взламывали даже сами сервисы для хранения паролей.

Исследования также показали, что одними из главных проблем безопасности онлайн-банков являются авторизация и аутентификация.

Чтобы повысить уровень защищенности своих пользователей, многие компании публикуют советы о том, как можно обезопасить свои учетные записи (вот пост «Яндекса» на Хабре и материал стартапа Buffer или специальные страницы Microsoft и Google). Создатели популярных комиксов XKCD посвятили один из выпусков вопросам парольной защиты:

Мы решили опросить представителей ИТ-компаний, чтобы узнать, как они работают с паролями и каким из рекомендаций по обеспечению безопасности следуют сами:

Алексей Шевелев (@Boomburum), менеджер проектов компании «Тематические Медиа»

Сейчас использую 1password — нравится, что есть клиент для смартфона, планшета и нуотбука. Удобно и красиво, вроде даже безопасно. Внутри всё аккуратно разложено и заполнено, иногда меняю пароли на всех записях — дело муторное, но того стоит. Чаще всего использую генератор паролей, который генерирует длинные сложные пароли. Собственно, давно отказался от лёгких паролей. На айфоне до недавнего времени работал TouchID, который перестал работать после замены кнопки — пришлось перейти на обычный пароль. Там можно использовать простой 4-значный код из цифр или более сложный (с буквами). Если же включить сложный пароль и использовать в коде только цифры, например, 137900 (6 цифр), то вместо qwerty-клавиатуры будет всё равно цифровая — это и удобно и более безопасно (6 цифр сложнее подобрать чем 4). Впрочем, в новой версии iOS вроде можно использовать более длинные коды.
Аркадий Прокудин, эксперт по информационной безопасности, автор и ведущий подкаста «Открытая безопасность» Для создания паролей я использую два метода и никаких программных продуктов. Первый — это старая школа: malen'kaya latinica+BOL'WAYA+спецсимволы@&)+цифры135 Такой пароль сложно запомнить. Но если найти в быту какую-нибудь замысловатую комбинацию, будет проще. Например: MicrosoftSilverlightBeta3.5a, Nokia3310, и т.д. Второй метод: использовать в качестве пароля, строку одного из стихотворений в английской раскладке. Например «В траве сидел кузнечик» — D nhfdt cbltk repytxbr/.
Григорий Матвиевич, ведущий iOS-разработчик Redmadrobot Сколько об этом ни говорят, но большинство людей использует совсем слабые пароли: qwerty, 12345, 11111. Часть людей усложняют пароли — составляют их из двух слов, добавляют цифры. Но на самом деле это не добавляет сильной стойкости. Все они достаточно быстро перебираются на современных вычислительных мощностях. Есть программы и алгоритмы, есть словари. Сильный пароль должен быть длинным, «случайным», содержать в себе буквы разного регистра, цифры и, желательно, символы. Для сложного пароля я обычно придумываю какую-нибудь бессмысленную фразу или стишок: «рыба трактор 33 йогурт насос», и выдираю из каждого слова по букве. Потом запоминаю на каких-либо ассоциациях, и пароль готов. Еще бы я посоветовал иметь несколько паролей, потому что если вы регистрируетесь на каком-нибудь левом сервисе с таким же паролем, как и в вашем интернет-банке, то это может плохо кончиться для вашего кошелька.
Андрей Прозоров, руководитель экспертного направления в компании Solar Security В последние несколько лет я стал слишком ленивым для запоминания паролей. Дело в том, что различных сервисов, на которых я зарегистрировался становится все больше и больше, пароли для них лучше выбирать стойкие (длинные, с цифрами и символами) и уникальные. При этом классические идеи типа «используете ассоциативные парольные фразы» уже не работают. Для себя я пришел к использованию специального ПО для хранения и генерации паролей. Я использую клиент 1Password для iPhone, периодически делаю резервную копию. Мои пароли сложны и уникальны, а общая база зашифрована. Мне удобно, риски такого хранения считаю минимальными.
Дмитрий Евтеев, технический директор компании HeadLight Security Практика показывает, что большинство пользователей не столь изобретательны в контексте выбора паролей. Как правило пароли содержат имена, даты и иную, близкую человеку информацию из его реальной жизни. В совокупности с тем, что запоминалка у среднестатистического обывателя не слишком велика, большинство пользователей используют 2-3 пароля для всех своих систем, в которых требуется проходить аутентификацию с использованием парольной фразы. В корпоративных системах, где политика безопасности требует регулярной смены пароля также распространена ситуация, при которой люди либо записывают сложные пароли на бумажке и хранят ее поближе к клавиатуре, либо используют какую-то простую логику при создании пароля. Например, добавляют к некоему корню цифры, указывающие на дату смены пароля, или вообще используют счетчик (увеличивая в пароле цифры). В подобных случаях обладая знаниями о предыдущем пароле атакующий может легко определить логику его создания, и весь смысл данного действа в таком случае теряется — злоумышленник сможет каждый раз угадывать новый пароль. Как в случае частных пользователей, так и в корпоративной среде, обычно все пароли привязаны к одному email-аккаунту, взломав который хакер может получить доступ к различным системам и сервисам — наличие подобной чувствительной системы является отдельной проблемой информационной безопасности. В целом, пароли — это очень плохо. Я сам каждый день сталкиваюсь с необходимостью помнить множество паролей от множества систем. В этом плане одноразовые пароли, отправляемые, скажем, по SMS — это крайне удобно. Однако и тут существуют свои подводные камни (те же SMS можно перехватить), но сама концепция одноразовых паролей позволяет значительно усложнить реализацию атаки. К сожалению пока не существует возможности привязки какого-то токена к глобальной системе аутентификации (хотя большой брат двигается в этом направлении), чтобы затем уже получать одноразовые пароли и прозрачно проходить авторизацию в большинстве интернет сервисов. При этом в корпоративной среде подобная система легко реализуема, но тут можно уткнуться носом в бюджет, ведь подобная система будет стоить недешево. Что касается программ для хранения паролей, то их вполне можно применять, и я сам использую одну бесплатную программулину (не скажу какую) — иначе запомнить все свои пароли я бы просто не смог. При этом я не доверяю облачному софту для хранения паролей — при всем его удобстве в нем могут быть допущены ошибки (что уже было доказано успешными атаками на популярные сервисы), которые в свою очередь могут позволить злоумышленнику стянуть базу паролей всех пользователей и при успешном раскладе звезд узнать мастер-пароль, в таком случае последствия атаки будут крайне интересными… для атакующего.
Макс Крайнов, CEO Aviasales У нас все просто: Roboform / OnePass или аналогичные системы. Пароли, содержащие меньше 16 символов с кучей кракозябр, вообше не рассматривается. Когда передаем пароли в чатах, сразу после подтверждения их стираем. Что касается доступа к данным, то у нас применяется политика need to know basis (доступ к данным, необходимым для работы, и не более — прим. ред.), если человек увольняется — меняем пароли. При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.
Дмитрий Скляров, старший аналитик Positive Technologies Чтобы пароль остался только Вашим секретом, обычно достаточно следовать трем простым правилам:

  • не пытаться придумать короткие легко запоминающиеся пароли;
  • не использовать одинаковые пароли на разных ресурсах;
  • не вводить пароли на компьютерах, которым нельзя доверять.

Чтобы не запоминать много длинных сложных паролей, можно использовать любой приличный Password Keeper. В нем же можно генерировать случайные пароли заданной стойкости. Для защиты базы с паролями придется запомнить один надежный пароль. Как вариант – использовать парольную фразу длиной 20-30 символов. Если Password Keeper поддерживает двухфакторную аутентификацию с помощью смарт-карты или USB Security Token – это повышает уровень безопасности и сужает «окно возможностей» для атакующего. Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать. Сейчас многие программы для хранения паролей имеют версии под мобильные операционные системы и предлагают синхронизацию через облако. Это, безусловно, удобно, но удобство почти противоречит безопасности… Мой выбор – KeePass на доверенных компьютерах, база защищена длинной парольной фразой. И никаких хранилищ паролей в облаках или на мобильных устройствах. А вот, что по теме защите паролей думают зарубежные эксперты:

Джеспер Йоханссон, главный инженер по ИБ в Amazon

В некоторых компаниях есть политика безопасности, запрещающая сотрудникам записывать пароли на бумажки. Я считаю, это абсолютно неправильно (это заявление Йоханссон сделал еще будучи сотрудником Microsoft).

Все должно быть наоборот — в политике должно быть сказано, что вы должны записывать свой пароль. У меня 68 разных паролей для разных систем.

Если мне нельзя будет ничего из этого записать, угадайте, что я сделаю? Я просто буду использовать везде один и тот же пароль.

До сих пор встречаются системы, которые не дают использовать «нормальные» пароли, поэтому я выберу самый простой и плохой из всех возможных вариантов. В то же время, если записать их на бумажку (и спрятать ее в надежное место), то тут проблем нет. Таким образом можно сохранить больше паролей и сделать их более сильными.
Брюс Шнайер, эксперт и автор книг по информационной безопасности и криптографии Обычно пароль состоит из корня и суффикса. Корень может не обязательно быть словарным словом, но чаще всего, это что-то, что можно произнести, к чему добавляются разные суффиксы (в 90% случаев) или префиксы (в 10% случаев). Программы для подбора паролей используют словари (английский и другие языки), заменяют буквы похожими на них символами ($ вместо s и т.п.). Для подбора паролей может также использоваться информация из адресной книги, важные даты и другие персональные данные. Чтобы создать сильный пароль, нужно сделать что-то, что затруднит этот процесс подбора. Я предлагаю использовать предложения, которые превращаются в пароль. Например, «This little piggy went to market» («маленькая хрюшка пошла на рынок») можно сделать что-то типа «tlpWENT2m». Пароль из девяти символов, которого не будет ни в каком словаре. После того, как я его опубликовал, конечно, конкретно этот использовать не надо, но суть ясна. Если вы не можете запомнить все свои пароли, то запишите их на бумажке и носите в кошельке. Но писать надо не сам пароль, а исходное предложение, а лучше — какую-то подсказку, которая поможет его вспомнить. Или можно использовать Password Keeper, в этом ничего такого нет, многие не могут запомнить все свои пароли.
Брайан Кребс, ИБ-исследователь, автор блога Krebs on Security Есть несколько советов по созданию сильных паролей, лучше проверить свои пароли на соответствие им. Пароль должен состоять из комбинации слов, чисел, символов и букв в верхнем и нижнем регистре. В качестве пароля нельзя использовать свое же имя пользователя или легко угадываемые слова («password»), словарные слова и очевидные комбинации символов («azdzxs»). Также не стоит выбирать пароль на основе данных, которые могут быть не такими уж и конфиденциальными (номер телефона, дата рождения, имена членов семьи). Нельзя использовать пароль для электронной почты (если там есть что-то важное) на любом другом сайте. Если кто-то взломает интернет-магазин, где вы делали покупки, то сможет прочесть и ваши письма. Раньше я считал, что хранить пароли в записанном где-то виде не стоит. Однако теперь я все же согласем с Брюсом Шнайером в том, что можно хранить пароли в записанном виде, главное, чтобы это был не сам пароль, а нечто, что поможет его вспомнить.

При использовании Firefox важно включить и настроить мастер-пароль для всех паролей, иначе любой, у кого есть физический доступ к компьютеру, сможет увидеть пароли в plain text, сделав пару кликов.

Также есть несколько хороших облачных менеджеров паролей (LastPass, DashLane, 1Password), но если вы не хотите доверять такие данные облаку, то можно воспользоваться локальным менеджером (Roboform, PasswordSafe, Keepass).

Главное выбрать сильный мастер пароль, который к тому же потом можно будет вспомнить (если вы его забудете, то тогда начнутся проблемы).

Источник: https://habr.com/post/263101/

Booksm
Добавить комментарий