НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Где лучше хранить пароли

Здравствуйте уважаемые читатели блога www.ithabits.ru. Хороший, то есть строгий, или сильный пароль считается основой безопасности любой компьютерной системы. Тем более, если речь идет о ресурсе, доступном через глобальную сеть Интернет.

Спорить с этим бессмысленно, но.., как хорошо известно, любая палка о двух концах, а у любой медали две стороны. Имеет эту вторую сторону и строгий пароль.

Предположим, что вы выполнили все рекомендации и создали отличный стойкий пароль, состоящий из случайного набора букв в разных регистрах, цифр и специальных символов, длиной этак символов в двадцать.

К слову сказать, выбор оптимальной длины пароля в политиках безопасности домена реальной офисной сети был и остается весьма непростой задачей. С одной стороны, чем длиннее пароль, тем он лучше, но чем он длиннее, тем сложнее его запомнить.

Стоит чуть — чуть переборщить с длиной и набором символов, и эффект окажется прямо противоположным – сотрудники начнут писать свои пароли на бумажки, а бумажки эти оставлять в верхнем ящике стола, под клавиатурой, наклеивать на монитор, и т.д. Ну, какая уж тут безопасность? Настоящая беда.

Цивилизованно бороться с этим явлением можно. В серьезных компаниях, где безопасности корпоративных данных уделяется должное внимание, можно сделать двухфакторную аутентификацию. Например, отправлять на телефон сотрудника, привязанный к его учетной записи, СМС с дополнительным кодом, или что-то еще такого типа. Но это в серьезных…

Я, если честно, просто ограничивал требование к длине пароля в доменных политиках 6-ю символами. Хотя пароли такой длинны хорошими, а уж тем более строгими назвать нельзя, пользы от такого решения было значительно больше, чем вреда.

Итак, ассоциаций с придуманной, или сгенерированной последовательностью символов, которую предполагается использовать в качестве нового пароля, никаких. И что делать с этим великолепием дальше? Запомнить его практически нереально, значит надо где-то записать? Где?

Обсудим вопрос, где и как лучше хранить пароли.

Необходимо отметить, что одной из рекомендаций по созданию безопасных паролей, является — никогда и никуда не записывать пароли. Я хоть и поддерживаю в душе такое начинание, но полностью согласиться с ним не готов. Тот, кто хоть раз не смог получить доступ к своим данным из-за забытого пароля, который еще неделю назад казался «незабываемым», думаю, со мной согласится.

Хранить пароль в открытом виде на компьютере – очень плохая идея. Думаю, что сегодня это понимают все. Можно, конечно, записать на бумажке, или даже завести для этой цели специальный блокнот. Уже лучше. Если компьютер стационарный и вокруг все свои, то можно и в блокнот. А если работать приходится с разных компьютеров? Или в поездке?

Для пользователей домашних компьютеров можно предложить несколько хороших решений этой задачи. Возьму на себя смелость порекомендовать один из них. Он хоть и не лишен недостатков (а у кого их нет?), зато является очень простым, прозрачным и эффективным методом безопасного хранения конфиденциальной информации, в том числе, паролей.

Использование шифрованного диска TrueCrypt для хранения паролей

Речь пойдет об использовании шифрованных дисков, которые позволяет делать замечательная и бесплатная программа TrueCrypt. О самой программе я расскажу в другой раз, сегодня поговорим только о ее применении для безопасного хранения паролей.

Шифрованный диск

Идея очень проста. Делаем шифрованный диск TrueCrypt. Физически такой диск представляет собой шифрованный файл, который достаточно безопасно можно размещать в любом доступном и удобном для вас месте: на жестком диске компьютера, на флешке, в конечном счете, в облачном файловом хранилище, например, в DropBox, Google Drive или любом другом.

Если по поводу безопасности размещения сугубо конфиденциальных данных в облачных хранилищах есть сомнения, а они обязательно будут у многих, то существуют способы эту безопасность кардинально повысить. Но об этом чуть ниже.

Шифрованный файл создается в интерфейсе программы TrueCrypt, после чего он может быть смонтирован, то есть, подключен через нее на основе выбранного пароля. После монтирования в системе появляется новый жесткий диск, с которым можно работать как с обычным носителем.

Из сказанного выше становится понятно, что без создания, запоминания и записи во внешнем блокноте одного единственного строгого пароля не обойтись. В силу того, что пароль этот будет являться «мастером», то есть ключом ко всем остальным, он должен быть действительно хорошим и длинным.

На шифрованном диске TrueCrypt создаем один или несколько файлов, в которых и будем хранить все пароли. На мой взгляд, мудрить с форматом файлов здесь особого смысла не имеет и можно использовать обычные текстовые файлы (*.txt).

Настройка TrueCrypt

Для удобства использования созданный том добавляем в «Избранные» и назначаем на монтирование избранных томов любое понравившееся клавиатурное сочетание («Горячие клавиши») >

Truecrypt_hot_key

В «Параметры TrueCrypt» настраиваем «Автоматическое размонтирование». Включение этой опции позволит в случае “забывчивости” не держать излишне долго конфиденциальные данные в открытом виде >

Truecrypt_param

Таким образом, с одной стороны, мы надежно «спрятали» наши конфиденциальные данные на шифрованном диске TrueCrypt, с другой стороны, организовали к ним очень удобный и быстрый доступ.

Если шифрованный файл с образом диска TrueCrypt разместить в папке DropBox, то доступ к данным при необходимости можно получить практически с любого компьютера, в том числе, и чужого, при условии что он имеет выход в Интернет.

Разумеется, это относится не только к паролям доступа, но и к любой информации, размещенной на «закрытом» диске. Я всегда предусматриваю такую возможность во время дальних поездок на случай возможных нештатных ситуаций.

Способы повышения безопасности использования шифрованного диска TrueCrypt

  • Ключевые файлы

Кардинально повысить криптостойкость шифрованного диска TrueCrypt можно добавив к паролю ключевой файл, или несколько ключевых файлов. То есть, для успешного монтирования шифрованного диска TrueCrypt помимо пароля нужно указать путь к ключевому файлу (файлам).

В качестве ключевых могут быть использованы любые файлы. Например, .txt, .exe, .mp3, .avi. Однако, для этой цели рекомендуется использовать сжатые форматы файлов, такие как .mp3, .jpg, .zip, и др. Кроме того, в интерфейсе TrueCrypt можно создать специальные ключевые файлы,  содержащие случайные данные.

Использование ключевых файлов делает подбор пароля к шифрованному диску TrueCrypt практически неосуществимой задачей. Если хранить их на диске локального компьютера или на usb-накопителе, то можно смело размещать файл с образом шифрованного диска TrueCrypt в облачном хранилище. Наилучшим решением для размещения ключевого файла является токен или смарт-карта, работа с которыми также поддерживается в TrueCrypt.

В принципе, если использовать ключевые файлы, то требования к длине и сложности самого пароля к диску TrueCrypt можно слегка ослабить. Но лучше  все же этого не делать.

  • Двухфакторная аутентификация в DropBox

Если сомнения в безопасности размещения файлов с конфиденциальной информацией в облачном хранилище все еще остались, то можно дополнительно, или наоборот, в первую очередь, воспользоваться сервисом двухфакторной аутентификации, который не так давно начал предоставлять DropBox. Включается она в настройках аккаунта на сайте DropBox >

dropbox_security

Далее по предложенным шагам. Все достаточно просто и очевидно. На мой взгляд, очень полезная опция. Я сразу включил, как только обнаружил.

Итак, на первый взгляд все замечательно, но это только на первый. Враг может оказаться не где-то там далеко в облаках, а вполне даже под самым носом. Я имею в виду вирусы из категории кейлоггеры, то есть клавиатурные шпионы, и clipboard logger — регистраторы буфера обмена.

Пока том TrueCrypt не смонтирован, все хорошо, но как только мы его подключили, наши конфиденциальные данные становятся открытыми и доступными вредоносному ПО, которое, не дай бог, конечно, может оказаться на вашем компьютере.

Дальше как повезет. Если у вас засел кейлоггер, то может спасти copy/paste из файла, если clipboard logger, то как раз наоборот – непосредственный ввод с клавиатуры.

Конечно, такую ситуацию нельзя считать допустимой. Не думаю, что имеет смысл повторять прописные истины об использовании только лицензионного ПО, незамедлительной установке всех обновлений безопасности, наличии на компьютере с операционной системой Windows антивирусного ПО с регулярно обновляемой базой и др.

Даже после выполнения всех рекомендованных требований сомнения в чистоте системы компьютера могут остаться. Так или иначе, в наше неспокойное цифровое время всегда есть вероятность стать жертвой уязвимости нулевого дня.

  • Использование изолированной системы на платформе Linux

Для доступа к особо ответственным ресурсам можно порекомендовать использовать отдельную систему с ОС Linux. Ее можно создать, например, в виртуальной машине. По крайней мере пока, вредоносного ПО, созданного для этой системы, несравнимо меньше, чем для Windows.

Альтернативным способом повысить безопасность процесса аутентификации является использование менеджеров паролей. Самой известной программой из этого класса сегодня можно считать Keepass.

Не смотря на то, что судя по отзывам многие пользователи опасаются доверять свои идентификационные данные некой сторонней программе, предполагая, что в ней могут оказаться закладки, Keepass представляется  весьма разумным вариантом. Однако, даже если все опасения оставить позади, эта программа требует настройки. И пока это не сделано, шифрованный диск TrueCrypt будет хорошим и надежным решением.

Комментарии: 9. Присоединяйтесь к обсуждению!

  1. Читая до самого конца, думал, как же автор может не знать про KeePass(X) + Андройд модификации…

    Дочитал, ан нет, автор в теме.

    А про раскрытие темы TrueCrypt спасибо, как раз, то что нужно.

    • Спасибо за отзыв. С точки зрения безопасности в момент использования пароля Keepass, конечно, лучше. Но, во-первых, его надо настраивать под конкретные приложения — заложенная дефолтная логика подстановки «логин» > Tab > «Пароль» работает далеко не всегда. Во-вторых, кроме паролей постоянно требуется «спрятать» и другую информацию.
      Вот что еще нужно было сказать о TrueCrypt, так это то, что его можно даже не инсталлировать, а просто запускать с переносного носителя. Это позволяет, при необходимости, получить доступ к своим паролям и другой скрытой информации с чужого компьютера.

  2. Алексей:

    Знаете, если использовать файловое хранение паролей как метод максимально облегчить жизнь пользователей и себя, любимого, то лично мне в первую очередь приходит на ум просто архив WinRAR или ZIP без сжатия под паролем. И архивчик держать на флешке, вот и все дела.
    Единственная проблема будет, если будешь заходить с планшета или смартфона, но это случай редкий. Но однозначно — с TrueCrypt’ом пользователям будет слишком много ге… сложностей)

    • Алексей плюсы KeePass(X) это ещё и то, что он помещает в буфер пароль очень не надолго. Плюс там есть автоблокировка базы при бездействии.

      Про Zip-Rar слышал, что вроде не стойкие они, может быть это не так.

      Кстати Keepass(Х) вариации есть на смартофонах (android и apple, blackberry) и версия для Java — т.е. запустить можно на холодильнике с Java :-)

  3. Алексей:

    balamutick:
    Стойкие-стойкие, вполне надёжно. С трукриптом у нас в компании многие работают, но используют контейнеры как хранители информации, чтоб вынуть-вставить пароль это слишком усложнённо, пользователи не будут так заморачиваться. К тому же ещё вопрос, откуда они будут брать пароль, если забыли свой из AD даже для входа в рабочий комп :) Это уже вопрос физических токенов, скорее.
    В общем, даже я бы не стал так делать, слишком много телодвижений. KeePass или Keeper рабочие, конечно, вещи, но чем-то они всё же сомнительны. Куда проще держать архивный файлик с табличкой внутри, которую можно положить в том числе и в облако.

    • Ага, Keepass — вариации, очень сомнительны, например открытым кодом :), что снижает вероятность шпионажа за вашими паролями ББ например.

      Про файлик я не понял, т.е. это на каждом компьютере должен быть WinRar, Winzip или хотя бы 7zip, потом мы разорхивируем, потом открываем там эксель и готово ?

      Вы KeepassX пользовались сами, чтобы «сомнительно» было ? Там и хоткеи и весь интерфейс, идеально заточен под паролизацию, категории, картинки категорий, поиск — всё это работает НА УДОБСТВО.

      Ну знаете, конечно, если у человека 10 паролей от вконтактика то да, может ему табличкой и удобно, но когда у вас их 100-1000…

  4. Алексей:

    balamutick:
    Да, архиватор 7Zip бесплатный, например, архивчик можно и не распаковывать, прямо с него открывать. Чем проще метод, тем он эффективнее, и не надо ставить дополнительного ПО.
    Keepass и Keeper я пользуюсь, ещё не определился, что из них удобнее. Действительно конфиденциальные пароли, прям дико-критичные, я бы им не доверил, потому что мало ли, вдруг и их базу ломанут — у Keepass,по-моему, такое уже случалось.
    Ну и мы же говорим о пользователях, а они по-умолчанию смотрят на компьютер как на волшебную коробочку, которая им что-то «сама должна». Метод с архивчиком они поймут, он прост и надёжен.

    • >>> потому что мало ли, вдруг и их базу ломанут — у Keepass,по-моему, такое уже случалось <<<
      Ой-ли, а не померещилось ли вам в ночи ? Можно эту ссылочку с "по-моему" ? Сударь, это очень весомый выпад, готовьте ссылку!
      Перебор пароля из 6 цифр, или взлом аналогичного имеющего смысл, по словарям — за взлом не считаем.

      Кстати, хабр нам говорит про KeePass: "Возможно использование многоходового преобразования ключа, за счет чего время, необходимое для расшифровки базы, увеличивается; это увеличивает устойчивость к brute-force аттакам."

      Добавим сюда ещё возможность дополнительного ключа, который можно таскать на флешке и (и ещё пару для резерва хранить в сейфе) — и уровень параноика обеспечен.

      Кстати, 7zip это _дополнительная_ программа ещё как.

      Метод с Keepass пользователи тоже прекрасно поймут, это не AutoCAD.

      Создать запись, сохранить, копировать пароль(Ctrl+c), вставить пароль (Ctrl+v), в том числе это можно делать привычно мышкой.

      Киипасс, ещё лишает нас возможности просрать свои пароли, когда кто-то стоит за спиной. У меня сотрудник открывает список своих личных паролей, как раз из архивчика с паролем, и всему офису кто сзади окажется, предоставляется возможность запомнить или сфоткать все его пароли… У К-сь везде звёздочки(можно отключить, если очень мешает).

      Плюс при генерации паролей можно задать произвольность путём сбора энтропии.

  5. Современные архиваторы: WinRar старше 3-й версии, WinZip, начиная с версии 9.0 и 7-Zip, используют для шифрования хорошо известный и проверенный алгоритм AES. Так что теоретически использовать архиваторы для хранения тех же паролей можно. Однако, для подбора паролей к архивам существует огромное количество как платных, так и бесплатных программ, а это уже настораживает. С ростом вычислительных мощностей современных процессоров и особенно GPU, которые активно задействуются в этих «вскрывалках», подбор короткого пароля уже не представляет собой некую сверхзадачу. Т.е. для того, чтобы быть уверенным в сохранности данных, пароль надо делать достаточно длинным.
    А вот о программах для подбора паролей к TrueCrypt я что-то до сих пор не слышал.
    Главное я не понял, чем использование архиватора проще TrueCrypt? Разве их не надо устанавливать? Надо. В статье я описал свой многолетний опыт использования этой замечательной программы. Поверьте, достаточно лишь назначить комбинацию клавиш на монтирование избранного тома (это описано в статье) и все становится проще некуда.
    В офисе, кстати, я тоже активно использовал TrueCrypt (как замену PGP) для нужд самых разных категорий пользователей, включая и генерального директора. Никаких проблем и ни одной неприятности с данными за все время.

Написать комментарий

Subscribe without commenting