На этой неделе хакеры взломали популярный менеджер паролей LastPass. В связи с этим возникает целый ряд вопросов. Если сервис, который вы используете для защиты ваших паролей, был взломан, то стоит ли использовать его далее? Действительно ли безопасно хранить пароли в облаке?
Вы не идиот!
Прежде всего хотелось бы сказать, что вы не идиот, если используете менеджер паролей. Более того, использовать менеджер паролей намного безопаснее, чем просто использовать один и тот же пароль ко всем ресурсам или использовать пароль, легкий для запоминания и подбора. Вы, вероятно, понимаете, что нуждаетесь в сложных, длинных и уникальных паролях, и рассматриваете менеджер паролей как средство их запомнить. Уж лучше использовать менеджер паролей, чем самый популярный в прошлом году пароль «123456».
Менеджеры паролей, такие как LastPass, 1Password, KeePas, реализуют одну и ту же основную модель. Они хранят пароли в одном безопасном месте. Кроме, естественно, вашего основного пароля, позволяющему вам получить доступ к сервису.
LastPass и другие сетевые менеджеры паролей фактически хранят ваши пароли в зашифрованном виде в облаке, которое фактически может быть уязвимым, в то время как KeePass и 1Password по умолчанию хранят вашу зашифрованную базу паролей локально в виде файла на устройстве (вашем ПК, смартфоне или планшете). Локальное хранение, безусловно, гораздо безопаснее, но менее удобно.
Многие менеджеры паролей могут генерировать для вас сложные пароли и контролируют их стойкость, удаляя слабые пароли. Но основным удобством, определяющим использование менеджера паролей, является то, что вам нужно запомнить по сути один пароль к вашему хранилищу паролей, называемый мастер-паролем. Естественно, он должен быть длинным и стойким.
Но-но-но
Стоит отметить, что большинство менеджеров паролей - посредственная опция, чтобы защитить себя. Да, вы получаете способ генерировать стойкие пароли, но вам не кажется, что вы помещаете все яйца в одну корзину? Ведь теперь все зависит от того, насколько безопасен ваш сервис менеджера паролей, не так ли?
Обратим внимание на взлом LastPass. На сегодня это один из самых популярных и уважаемых сервисов в этой области. И отнюдь не какая-то устаревшая разработка.
В LastPass уверены, что хакеры не получили доступ к пользовательским хранилищам пароля, потому что для шифрования используется устойчивая система криптографии. Тем не менее, первое что сделали менеджеры LastPass после того, как сервис подвергся нападению и некоторая информация все же попала под угрозу компрометации - разослали «письма счастья» пользователям с рекомендацией сменить свои мастер-пароли.
Сомнения в надежности сервиса конечно есть, ведь это уже второй взлом LastPass за четыре года. Плюс к этому исследователи нашли несколько критических дефектов в LastPass и в других сетевых сервисах менеджеров паролей, таких как PasswordBox, RoboForm, My1Login и NeedMyPassword, причем дефекты в последнем были наиболее серьезными. На сегодня эти дефекты устранены.
Стоит отметить, что вы всегда берете на себя риск использования менеджера паролей, но такой сервис снижает риски использования слабых паролей. И пока ни в одном из основных менеджеров, таких как LastPass или 1Password, фактически е были взломаны хранилища паролей пользователей. Таким образом у данных сервисов все же действительно приличный послужной список.
Пароли - неудобство!
Использование паролей - на сегодня основная проблема онлайн-аутентификации. Вы нуждаетесь в уникальном пароле для каждого сетевого сервиса, но человеческий мозг не в состоянии запомнить огромное количество длинных, уникальных и сложных паролей, а простые чрезвычайно легко взломать.
Нас ставят в классическую ситуацию выбора «меньшего из двух зол». Если вы не собираетесь записывать свои пароли вручную и физически хранить их, вам придется использовать менеджер паролей. Нравится это вам или нет.
Получается, чтобы избежать проблем с паролями, вы должны использовать двухфакторную аутентификацию, несмотря на то, что ее использование обойдется существенно дороже.
Тема: настройка и установка плагина LastPass Password Manager.
Это расширение (или дополнение, плагин) предназначено для удобного и безопасного хранения в браузерах учётных записей, логинов, паролей… вероятно, вы уже слышали, что хранить пароли в браузере — небезопасно! Вот как раз — LastPass — для нас всех оптимальное решение…
В зависимости от настроек — достаточно запомнить только один мастер пароль и, используя его, войти в основное приложение LastPass — и — у нас с вами под рукой все требуемые секретные данные. На всех устройствах (браузерах), на которых установлено приложение LastPass… (а можно запомнить в браузере и основной пароль, но это не очень правильно!)
Ну, давайте по порядку… всё это дело настроим:
Текст по пунктам:
чем замечательно приложение:
Предположим, мы открываем браузер, заходим на интересную страничку (аккаунт соцсети)… нам нужно ввести свои данные: пароли и пр. учётные данные… Всё здорово! с расширением Ластпасс не нужно больше открывать никаких записных книжек, блокнотов и прочих сторонних программ (к которым, к слову сказать, частенько требуются различные добавочные плагины, для синхронизации с браузерами, а это — времязатратно!!).
Теперь же, с приложением LastPass Password у нас всё требуемое (тайное) всегда под рукой! Приложение автоматически запомнит нужные странички и подготовит все необходимые данные, а нам с вами останется только разрешить «приложению» авторизоваться.
установка и настройка расширения LastPass Password
Переходим на страничку LastPass Password Manager и устанавливаем приложение…
//addons.mozilla.org/ru/firefox/addon/lastpass-password-manager/
Я рассказываю на примере Фаерфокс… хотя, настройки описанные в статье замечательно подойдут ко всем браузерам.
Скопируйте имя LastPass приложения и введите в соответствующее окно поиска дополнений… в любом ином браузере…
Итак: на страничке расширения (скрин ниже) кликаем — добавить в Firefox…
Через мгновение расширение будет установлено в любимом браузере… Где-нить в правом верхнем местечке окна браузера появится иконка приложения LastPass.
Если кликнуть по иконке, то всплывёт окно авторизации, и коли у вас уже есть учётка в системе LastPass, то нужно просто войти.
А если мы впервые пробуем менеджер паролей, то необходимо создать свою учётную запись — страничку, где и откроется масса возможностей, настроек…
В этом же окошке «иконке», в самом низу, кликаем «создать учётную запись»…
создадим учётную запись LastPass
Вводим свою эл/почту… (желательно такую, которую вы помните без всяких копирований в ) потому что проще будет работать с учёткой на каких-то гаджетах.
На этом этапе, вероятно, подсказки будут на английском… не переживайте, я поясню…
То есть вводите свои новые регистрационные данные, кликайте на кнопку «Войти!… «Log in»
На этом этапе настроек LastPass Password достаточно кликнуть по «Открыть моё хранилище»…и…
настройки — создание и сохранение паролей в LastPass
…нас перебросит на страничку личных настроек: здесь вы можете создавать папки, а в них подпапки с именами сайтов и прочего… Всё это в автоматической режиме запомнит, и вовремя подскажет расширение, когда окажемся на нужном сайте!!
Я не знаю, наверное вряд ли стоит углубляться и рассказывать примеры создания папок: в недрах настроечной странички всё просто и понятно…
Жмёте «Плюсик» (т.е добавить новую запись) …
Заполняете необходимые поля!… URL — это адрес странички (её ссылка!!) копируется!саму ссылку» в адресном окошке браузера — на той странице, где требуются авторизоваться. Ну а остальное всё, думаю, ясно…
После сохранения своих данных у меня, например, получилось вот такое чудо:
Приблизительно так будет выглядеть наша с вами первая запись. Кстати сказать, перейти на сохранённый сайт возможно прямо отсюда — из учётки! и так далее…
А если вы открыли страницу требуемого сайта прямо из закладок, то — на страничке входа — останется выбрать требуемую учётку… приблизительно вот так:
Чтобы войти на сайт, достаточно кликнуть по «имя…».
И ещё: если у вас были запомнены какие-то пароли в браузере — не стоит переживать, будто б придётся поновому все их перезаписывать… НЕТ! —
расширение вовремя ласково спросит: «не нужно ли, мол, запомнить этот пароль?»… как только вы зайдёте куда-то на сайт для авторизации…
Вот так всё просто!
…Уверена, когда более подробно для себя разберётесь с этим расширением — не разочаруетесь))
...А мне остаётся только раскланяться... и пожелать полезной работы в сети
Если что-то не ясно и остались вопросы, делитесь ими в комментариях...
Длительное время я пользовался для хранения своих паролей к сайтам и заполнения веб-форм для регистрации на различных сайтах программой Roboform (устраивало в ней все, кроме одного того, что она платная).
Но как-то надоело, постоянно перед переустановкой операционной системы, предварительно сохранять папку указанной программы, которая отвечает за хранение информации с логинами и паролями к моим сайтам.
Потом после переустановки опять искать новую её версию и проводить манипуляции с заменой файлов и папок. И вот случилось непредвиденное, после отказа операционной системы, потерял доступ ко всем данным.
Специалистом по восстановлению информации с жёсткого диска я себя не считаю, поэтому восстанавливать ничего не стал, а поставил себе 2 задачи: 1 – найти бесплатный и надёжный менеджер паролей; 2- иметь доступ ко всем своим паролям и логинам из любого места, где есть подключение к интернету.
Занявшись поисками альтернативного менеджера паролей, я нашёл дополнение к браузерам (Firefox, Google Chrome, Opera) под названием LastPass Password Manager с всеми функциями, что мне нужны (запоминание логинов и паролей, заполнение веб-форм, генератором паролей) и причем за эти функции не надо платить.
Плюс ко всему, данные хранятся в зашифрованном виде, доступ к которым имеете только вы. Дополнение показало отличную работу на протяжении более полугода. Займемся установкой на примере интернет-браузера Firefox.
LASTPASS
После установки перезапускаем браузер нажатием ссылки “Перезапустить сейчас”.
Браузер перезагружен и появляется окно с началом процедуры настройки LastPass, где первое что нам нужно, это выбрать язык и нажать кнопку “Создать учётную запись”.
В следующем окне вводим действующий адрес электронной почты, самый главный мастер-пароль (его нужно обязательно запомнить или где-то записать, если страдаем забывчивостью. Он будет нужен нам для получения доступа ко всем своим паролям и панели управления менеджера.
Создаем напоминание к паролю (не обязательно), ставим обязательно отметку в поле “Я прочитал и согласен с Условиями использования”. Далее ставим отметку в поле “Я понимаю, что мои зашифрованные данные будут отправлены LastPass”. Выбираем остальные пункты по желанию и кликаем на “Создать учётную запись”.
Читаем крайне важную информацию, вводим свой главный мастер-пароль ещё раз и жмём “Создать учётную запись”.
Импортируем или нет (по желанию) свои логины и пароли с других хранилищ конфиденциальной информации на компьютере и кликаем на кнопку “Продолжить”.
Можно настроить сразу информацию для заполнения веб-форм.
На последнем шаге принимаем Поздравления об успешной установке и нажимаем на кнопку “Продолжить”.
PASSWORD MANAGER
Автоматически попадаем в онлайн-хранилище вашего аккаунта.
В правом углу браузера появляется фирменная кнопка менеджера с нужными нам функциями.
Для максимально удобного использования менеджера паролей я рекомендовал бы зайти в настройки, снять галочку в пункте “Использовать компактную панель инструментов”.
У нас получится удобная панель управления сверху на всю строку в браузере. Теперь при вводе логина и пароля на любом сайте LastPass будет предлагать сохранять информацию.
Теперь для доступа к любому нужному вам веб-сайту можно использовать раскрывающийся список с названиями веб-сайтов в верхней панели управления менеджера.
Удобной функцией является импорт всех логинов и паролей с различных популярных менеджеров.
Стоит упомянуть прекрасно настраиваемый генератор паролей.
Теперь после переустановки операционной системы, будь то Windows или Linux, вам нужно будет всего лишь установить дополнение LastPass Password Manager и все ваши конфиденциальные данные опять с вами.
В заключение скажу, что в браузере Google Chrome, его версия почему-то имеет меньше настроек (в частности я не нашёл, как выключить компактную панель инструментов для отображения менеджера во всю строку браузера). Также упомяну, что тестирование этого менеджера паролей не проводилось в Opere.
Вы являетесь активным пользователем интернета и знаете, как часто для посещения того или иного сайта требуется зарегистрироваться, а затем запомнить вводимые данные. Если вы уже начали путаться в своих логинах и паролях, то вам просто необходимо обзавестись программой Lastpass, которая за вас не только запомнит все данные авторизации, но и самостоятельно их заполнит.
Вначале следует загрузить программу на свой компьютер. Для этого перейдите по ссылке и скачайте ту версию Lastpass, которая соответствует установленной операционной системе и браузеру. Сохраните exe-файл в папку и запустите его. Выберите русский язык меню и нажмите “Дополнительные параметры” для того, чтобы изменить параметры установки. Обязательно поставьте галочки в разделе “Параметры конфиденциальности” напротив трех пунктов.
Вся информация о данных хранится на сервере Lastpass. Любителям мобильных версий предоставляется такая же программа, но уже за деньги.
Начнем с самого начала. Для чего вообще нужны менеджеры паролей? Мы каждый день пользуемся множеством онлайн-сервисов: почта, месенжеры, социальные сети, блоги, форумы, платежные системы, знакомства, развлечения и т.п. Для каждой системы требуется отдельный эккаунт и свой пароль.
Использовать для простоты один и тот же пароль крайне небезопасно, так как, взломав один из ваших эккаунтов, сработает принцип домино, и злоумышленники получат доступ и к остальным эккаунтам. Запомнить множество разных паролей в принципе нереально. Существует вариант формирования паролей по какому-то известному только вам принципу, но это также не всегда безопасно и удобно.
На помощь приходят менеджеры паролей – программы, которые безопасным образом собирают и хранят ваши пароли. Ваша задача сводится лишь к тому, чтобы запомнить один главный пароль от самого менеджера (так называемый мастер-пароль). Очень удобно!
Именно поэтому последнее время все персональные «антивирусные комбайны» (программы класса Internet Security и выше) снабжаются подобным функционалом. Но такие продукты не всем подходят и не всем по карману, поэтому интересно присмотреться к приличным бесплатным менеджерам паролей, которые, как оказалось, существуют.
LastPass – это полностью бесплатный индивидуальный менеджер паролей, который предназначен для создания, хранения и управления паролями к различным интернет-сайтам. Работать с другими программами кроме браузеров LastPass не умеет, поэтому далее мы будем для ясности называть его браузерным менеджером паролей.
Итак, посмотрим, что это за зверь. После установки программы с сайта www.lastpass.com к браузерам Mozilla Firefox и Microsoft Internet Explorer добавляются специальные плагины и тулбары. Сразу скажу, что на сайте производителя указана поддержка Google Chrome, но на деле ее нет (по крайней мере, на Windows 7 x64 и Google Chrome 5.0 не работает).
Важной особенностью LastPass является то, что программа хранит все ваши пароли «в облаке», т.е. на удаленном сервере вендора в специальном персонифицированном хранилище Vault. По своей сути LastPass – это даже не программа, а сервис. В это есть свои большие плюсы, а также большие минусы.
Плюсы состоят в том, что вы можете пользоваться хранимыми LastPass паролями на любом компьютере, где есть доступ в Интернет. Не нужно думать о резервировании базы, экспортом и импортом на другие компьютеры, синхронизацией и т.п. действиями, которые сводят на нет все удобство от использования менеджера паролей.
Минусы, естественно, состоят в отсутствии контроля над удаленным хранилищем и рисках того, что сервер или ваша главная учетная запись (мастер-пароль) будет взломан, а все пароли оптом уйдут на черный рынок.
Важно! При регистрации установите максимально стойкий мастер-пароль, который будете гарантировано помнить.
В LastPass есть функция экспорта сохраненных паролей из браузеров, что позволяет экспортировать сохраненные пароли из браузеров после установки.
Посмотрим теперь программу в действии на нескольких примерах. При регистрации на каком-либо веб-сайте LastPass автоматически определяет поля паролей (по атрибуту тега ) и предлагает сгенерировать и сохранить в своей базе безопасный пароль для него. Существует опция выбора варианта пароля, а также тонкие настройки генерации (кол-во символов и их тип).
Если вы вводите пароль вручную на каком-либо сайте, то LastPass автоматически предлагает сохранить пароль в своей базе данных. При необходимости можно отказаться от сохранения пароля, что актуально, например, для интернет-банкинга (эти пароли лучше не доверять никому и ничему).
В итоге ваш персональный LastPass Vault через какое-то время будет выглядеть примерно так. Там же при необходимости можно сделать заметки к паролям, экспортировать или импортировать пароли и т.п.
При заходе на сайт, требующий авторизации, пароль от которого был ранее сохранен, менеджер паролей предложит залогиниться или сделает это автоматически (есть специальная опция). Эта возможность помимо удобства дает большее. Вы не набираете пароли с клавиатуры и минимизируются риски того, что они будут перехвачены вредоносной программой.
Настройки LastPass вполне достаточны. Можно настроить внешний вид программы, функции оповещения и некоторые важные функции безопасности (см. рисунки ниже).
Интересной функцией LastPass является встроенный аудит надежности используемых паролей. При генерации паролей их надежность показывается на специальном шкале (см. выше), но можно быстро проверить надежность всех паролей, включая старые.
Результаты анализа надежности паролей приводятся в виде % от идеального, в моем случае получилось почти 69% - есть над чем поработать.
Далее приводятся некоторые статистические данные по средней длине пароля, повторным паролям, слабым паролям и т.д. Можно посмотреть анализ надежности для каждого пароля отдельно в специальной таблице, но по понятным причинам я ее приводить здесь не буду:)
В заключение могу сказать, что лично для меня функциональность LastPass оказалась достаточна. Тестирование в течение нескольких месяцев не выявило никаких существенных недостатков (кроме отсутствия поддержки Google Chrome). Большинство паролей моих паролей связаны именно с веб-сервисами, и браузерный менеджер паролей оптимизирует работу с ними и существенно экономит время. Функции автоматического логина на сайты, генерации стойких паролей, автозаполнения форм по шаблонам, экспорт/импорт базы данных и анализа надежности всех паролей в целом оказываются очень полезными.
Еще раз хочу обратить внимание, что сохраненные в LastPass пароли хранятся на удаленном сервере. Плюсы и минусы этого были описаны мной выше. Если вы по какой-то причине не доверяете «облачным сервисам», то вам стоит подыскать какой-то другой менеджер паролей.
Обсуждение менеджеров паролей ведется на нашем форуме .
Можно посмотреть продукт в действии, правда с комменратиями на анг. языке.