Passwordstate взломали, пора забыть о менеджерах паролей?

29.04.2021

Вернуться к списку статей

Стало известно о компрометации менеджера паролей Passwordstate, им пользуются 29 тыс. компаний по всему миру. Снова встал вопрос: что же делать, если паролей столько, что их уже не запомнить, а сервисы для хранения, как показывает инцидент, – небезопасны?

То, что менеджеры паролей окажутся не такими защищенными, как заявляли производители – не новость, а данность, с которой надо считаться. Это всего лишь риск, который стоит учитывать и не пользоваться менеджерами паролей бездумно. То есть логины и пароли от самых критичных сервисов лучше запомнить, не доверять их сервису. «Мастер-пароль» от сервиса должен быть самым сложным. Самыми надежными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие цифр, символов и прописных букв, конечно, только усилит пароль.

Но эффективнее всего для каждого ресурса иметь свою уникальную пару логин-пароль, лучше – не словарную, а криптостойкую. Каким бы хорошим ни был пароль, он все равно уступает комбинациям «пароль + СМС», либо «пароль + одноразовый код», либо «пароль + криптоключ».

Безопасность не зависит от бренда. Выбирать платный сервис или бесплатный – это больше вопрос вкуса. Могут попадаться хорошие бесплатные и плохие платные продукты. Но независимый аудит, который позволяет сделать компания, это всегда хорошо. Есть энтузиасты и сообщества, у которых существует экспертиза, они могут посмотреть, как продукт реально работает. Открытый исходный код этому лишь способствует, тогда еще больше человек может быть вовлечено в этот аудит безопасности.

В любом случае хранение паролей в специальном сервисе безопаснее, чем на листочке. Однако чаще всего логины и пароли у людей бывают собраны в «специальном файлике», который не просто хранится на компьютере, но и активно пересылается при необходимости. Наши менеджеры внедрения даже в шутку спорят с клиентами, найдется ли такой в компании при тестировании защитного ПО?! И да, такой файл обязательно находится.
 


ИБ-практика Утечка данных Алексей Дрозд


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними