Большая ошибка, или как точно не стоит хранить пароли

Отключить сохранение паролей в Google Chrome

Chrome по умолчанию предлагает сохранять пароли. Вы можете отключить или включить эту опцию в любой момент.

На компьютере:

1. Нажмите меню Chrome в правом верхнем углу окна.
2. Выберите Параметры.
3. Внизу страницы нажмите Показать дополнительные настройки.
4. В разделе Пароли и формы снимите флажок Предлагать сохранение паролей-сайтов.

Чтобы включить её снова, просто установите флажок в этом поле.

На мобильном устройстве:

1. Откройте приложение Chrome.
2. Нажмите меню Chrome.
3. Нажмите Настройки → Сохранять пароли.
4. С помощью синего ползунка в верхней части экрана, включить или отключить эту функцию.

Включить сохранение пароля для сайта

Если Вы указали браузеру Google Chrome, чтобы он никогда не сохранял пароль для конкретного сайта, но передумали, можно вернуть эту опцию.

На странице входа в систему веб-сайта:

1. Откройте страницу входа в систему веб-сайта, в которую вы хотите войти.
2. Нажмите на значок ключа в конце адресной строки.
3. Нажмите Отменить под сообщением.

В меню Настройки:

1. Нажмите меню Chrome в правом верхнем углу окна.
2. Нажмите Параметры.
3. Внизу страницы нажмите Показать дополнительные настройки.
4. Нажмите на ссылку Управление паролями в разделе Пароли и формы.
5. Выберите веб-сайт в разделе Не сохраняются.
6. Нажмите × в конце строки, соответствующей этому сайту.
7. Нажмите Готово.

№2. LastPass – современный дизайн и юзабилити

Есть бесплатная версия, но она имеет существенные ограничения, в частности, не поддерживает синхронизацию на нескольких устройствах.

Для начала работы необходимо создать учётную запись LastPass, которая и будет являться основой защиты вашей базы паролей.

Главным преимуществом этого продукта является его внешняя привлекательность и довольно продуманный интерфейс, который подкупает многих пользователей.

После установки дополнения и регистрации учётной записи необходимо ввести логин и пароль в соответствующее поле.

№5. Вход в учётную запись LastPass

Управлять своими паролями можно как через веб-интерфейс, так и через меню дополнения. В данной статье будет рассматриваться второй вариант, как наиболее популярный.

Работать с паролями через этот менеджер очень удобно: при вводе данных в соответствующие поля авторизации пользователю будет предложено сделать запись в базе данных.

Также к полям логина и пароля будут прикреплены специальные кнопки, дающие доступ к некоторым функциям.

№6. Запись пароля в базу LastPass

Совет! Несмотря на то что версия на русском языке как бы присутствует, качество перевода оставляет желать лучшего. Некоторые пункты меню переведены неточно, а часть и вовсе подписаны только на английском. Поэтому если вы хотите в полной мере разобраться с функционалом программы, хотя бы поверхностное знание английского языка будет весьма кстати.

Как развивался сервис 1Password

Сервис 1Password был запущен в далеком 2006 году компанией AgileBits Inc. На тот момент разработкой и продвижением новой услуги занималась группа из четырех энтузиастов

Они создали простое и понятное приложение для хранения паролей, номеров банковских карт, ключей для лицензионного ПО и прочей важной конфиденциальной информации

Для защиты выбрали надежный алгоритм шифрования AES 256 GCM. Ключевой фишкой являлась возможность получить доступ ко всей сохраненной базе кодов при помощи всего одного мастер-пароля.

Изначально утилита была выпущена для Mac, а вскоре появилось отдельное приложение для iPhone. Позже были выпущены расширения для всех популярных браузеров с функцией автозаполнения и генерации сложных паролей. Для расширения аудитории компания разработала приложения для Android и Windows.

За несколько лет сервис стал практически эталонным. Приложения постоянно совершенствовались и поддерживали все ключевые для своего направления фишки iOS и macOS. Так в 1Password появилась облачная синхронизация через iCloud, поддержка Touch ID/Face ID, удобная интеграция со встроенным браузером на iPhone и Mac.

На начало текущего года клиентская база 1Password составляла более 1 млн пользователей, куда входили около 50 тысяч корпоративных клиентов. С сервисом активно сотрудничают такие компании, как IBM, Slack и Dropbox.

Как и любой долгосрочный проект, 1Password столкнулся с нехваткой финансирования. Поток новых пользователей постепенно снижался, а платить за развитие и содержание сервиса нужно постоянно. Так появились ключевые платные апдейты приложений.

С выходом новой iOS от Apple (или просто в определенный момент времени) разработчики выпускали новую версию 1Password, а поддержку старой прекращали. Покупатели еще какое-то время могли пользоваться приобретенным ПО, а затем упирались в несовместимость версий или отсутствие важных фишек.

Из года в год появлялись платные обновления, которые не предусматривали скидку для старых пользователей сервиса, а цены на программное обеспечение постепенно росли. Так утилита, которая в былые времена стоила на уровне $3-5, продавалась уже с ценником в $40-50.

При этом сервис уже отлично работал и не нуждался в каких-то сложных ключевых доработках. Апдейты часто меняли дизайн программы и добавляли несколько мелких бесполезных фишек. Обновляться и приобретать новую версию ПО никто не заставлял, но старые приложения не поддерживались и быстро упиралось в ограничения новых iOS или macOS.

В 2018 году 1Password освоил популярную среди разработчиков и ненавистную среди пользователей модель распространения по подписке. Тогда еще была возможность приобрести старую версию приложения с пожизненной лицензией, но без регулярных обновлений.

Пользователи, которые уже неоднократно оплачивали ключевые апдейты, отнеслись к нововведению без особого энтузиазма. Когда уже отдал разработчикам несколько тысяч рублей за покупку обновленных приложений, оплачивать еще и ежемесячную подписку хотелось не всем.

В следующем 2019 году AgileBits Inc смогли привлечь более $200 млн. инвестиций в сервис 1Password. Показатели в 90 тысяч платных подписок (это менее 10% пользователей) и выручка $120 млн в год, видимо, не строили новых инвесторов и сервис начал развиваться в еще более агрессивной манере.

Так пожизненной лицензии на приобретение ПО без регулярных обновлений больше не осталось, а возможности бесплатного использования сервиса были сведены к минимуму.

На данный момент пользователям приходится платить от 329 рублей в месяц за индивидуальнее подписку до 549 рублей в месяц за семейную (до 5 человек). Предусмотрена скидка при оплате на год.

Сохраненные пароли Microsoft Edge

В Microsoft Edge:

Перейдите в Параметры / Параметры / Посмотреть дополнительные параметры / Управление паролями.

В данном меню расположены все сохранённые браузером пароли.

Но, кликнув дважды по сохранённому паролю, вы можете лишь удалить или изменить, но не просмотреть его.

Так как Edge – это встроенный в систему браузер, с интегрированной системой безопасности и многими другими параметрами Windows, то и учётные данные его хранятся отдельно в системе.

Чтобы увидеть их:

Чтобы посмотреть любой пароль, кликните по стрелочке напротив нужного сайта и выберите «Показать», напротив пункта Пароль. Для этого потребуется также ввести пароль вашего пользователя, тот под которым вы входите в систему.

Чтобы удалить один из паролей, нажмите ссылку «Удалить» под ним, в Диспетчере учётных данных.

Чтобы удалить все сохранённые логины и пароли, перейдите в Параметры Edge и нажмите кнопку «Выберите, что нужно очистить». Выберите «Пароли» и нажмите кнопку очистить.

Политика управления паролями

Чтобы компания была в безопасности, необходимо внедрить строгую политику управления паролями. Большинство IT-систем и серверов позволяют сетевым администраторам определять, насколько сложным должен быть каждый используемый пароль и как часто его значение необходимо менять.

При настройке этих параметров важно найти золотую середину между безопасностью и степенью сложности, с которой пользователи смогут совладать. Национальный институт стандартов и технологий США (NIST) некоторое время назад пересмотрел свои рекомендации по реализации политики управления паролями

Самые актуальные советы:

Национальный институт стандартов и технологий США (NIST) некоторое время назад пересмотрел свои рекомендации по реализации политики управления паролями. Самые актуальные советы:

Все для удобства пользователя

Модели управления паролями должны быть удобными для пользователей, а основная нагрузка должна лежать на верификаторах паролей.

Чем больше, тем лучше

Рекомендации определяют минимальное количество символов – 8, а максимальное – 64 символа. При этом значения паролей могут содержать печатные символы ASCII, Unicode (включая эмодзи).

Забудьте о правилах создания пароля

Не следует задавать шаблоны комбинаций символов в пароле. Пускай пользователи выбирают пароль свободно. Просто поощряйте использование более длинных значений.

Никаких подсказок

Часто люди используют очевидные подсказки для напоминания паролей, а это слишком рискованно.

Скажите «нет» истечению срока использования пароля

Теперь NIST утверждает, что пароли могут быть сброшены, только если на это есть действительно веская причина. Например, если пользователь забыл пароль, или система подверглась фишинговой атаке.

Не используйте SMS для двухфакторной аутентификации

SMS не должны использоваться в двухфакторной аутентификации 2FA. Это небезопасно: вредоносные программы могут перенаправлять текстовые сообщения, атаковать сети мобильной связи.

При разработке стратегии управления паролями учитывайте следующее:

Просмотр сохраненных данных для входа на компьютере для Google Chrome

Отвечая на вопрос, где сохраненные пароли в Гугл Хром, следует учитывать, что они сохраняются также в специальной папке. Если не получилось найти информацию для авторизации на определенном сайте, следует проделать последовательные шаги на ПК:

1. Зайти в раздел «Мой компьютер».
2. Открыть «Локальный диск C», на котором хранятся системные файлы.
3. Перейти в папку «Пользователи» (она может также носить английское название «Users»).
4. Затем раскрыть каталог с заданным именем пользователя (может именоваться как «admin»).
5. Далее проследовать по такому пути в файловой системе: «AppData», затем –  «Chrome», потом – «User Data» и «Default».
6. В последнем папке необходимо найти файл с сохраненными паролями – «Login Data».

Все содержимое с регистрационными данными для сайтов хранятся в этом папке. Чтобы увидеть passwords от Гугл Хрома, придется выполнить еще несколько шагов. Ведь требуемая папка закрыта от общего доступа.

Для этого потребуется зайти в меню «Пуск», и на боковой панели найти раздел «Панель инструментов». Здесь содержится папка «Параметры Проводника». В нее нужно зайти, чтобы поменять настройки отображения скрытых файлов.

Теперь остается пометить соответствующую строку, чтобы получить доступ к «спрятанной» папке. После этого необходимо кликнуть по кнопке «Применить», чтобы привнесенные корректировки вступили в силу.

Все же, получить доступ к паролям из Хрома достаточно сложно, поскольку Гугл использует специальный алгоритм шифрования данных. Поэтому просмотр информации с использованием текстового редактора не подойдет.

Если понадобилось просмотреть содержимое «Login Data», придется установить стороннюю утилиту. Это позволит считать конфиденциальные данные. Программа называется DB Browser for SQLite. После скачивания и запуска софта следует нажать на кнопку «Открыть базу данных» и указать нужный файл для прочтения данных – «Login Data».

Для этого потребуется пройти по ранее проложенному пути. После распаковки файла откроется таблица, где будут видны коды доступа, логины и URL сайтов.

Автонабор (автозаполнение) в KeePass

При автонаборе (автозаполнении) не будет использоваться клавиатура, таким образом, будет происходить защита от программ-шпионов кейлоггеров, которые считывают набираемые данные на клавиатуре.

Осуществлять защиту от кейлогеров должен установленный на вашем компьютере антивирус.

Автозаполнение вызывается комбинацией клавиш клавиатуры «Crtl» + «V», или из контекстного меню «Начать автонабор», после выделения соответствующей записи в программе.

По умолчанию, при автонаборе в программе KeePass выполняется такая последовательность действий, которая имитирует ручной ввод данных:

{USERNAME}{TAB}{PASSWORD}{ENTER}

Сначала вы устанавливаете курсор мыши в поле «логин», потом автоматически вводится имя, затем имитируется нажатие клавиши «Tab», далее автоматически вводится пароль, затем имитируется нажатие клавиши «Enter».

Вам можно будет изменять последовательность вводимых тегов для использования команд в разной последовательности на определенных сайтах.

Для перехода к нужному сайту можно будет использовать пункт контекстного меню «Ссылки» для открытия данной ссылки в браузере, естественно в том случае, если ссылка была добавлена в соответствующую запись.

В некоторых случаях, автозаполнение может не работать.

Что обеспечивает безопасность

Менеджеры паролей применяют усовершенствованный стандарт шифрования (AES), который практически не поддаётся взлому. Открыть доступ к зашифрованной информации возможно только с помощью соответствующего мастер-ключа. 

Вам нужно придумать и запомнить один-единственный пароль, который открывает доступ к остальным данным. Представьте, что все ваши пароли находятся в сейфе — менеджере паролей. А мастер-ключ — это код от этого сейфа. 

Как создать безопасный мастер-пароль: 

1. Используйте предложение. Это может быть любимая поговорка или фраза из фильма. Например — «Чтопосеешьтоипожнёшь». 
2. Применяйте разные регистры. Рандомно чередуйте строчные и прописные буквы — «ЧтоПосеешьТоИПожнёшь». 
3. Добавляйте цифры. Это может быть текущий год или памятная для вас дата — «ЧтоПосеешьТоИПожнёшь01122012». 
4. Встраивайте спецсимволы. Несколько специальных символов усложнят ваш пароль — «Что/Посеешь/То/И/Пожнёшь_01122012/».

Как работает менеджер паролей?

Как правило, есть два способа, где менеджер паролей защищает ваши пароли. Либо в автономном режиме и локально на вашем устройстве или онлайн в облаке . Вы можете получить доступ к своему паролю безопасно через расширение браузера на вашем ПК или Mac или через приложение на вашем мобильном устройстве.

Легко объяснил

Представьте себе это так: вы запираете что-то ценное в небольшом сейфе, который можно открыть только вашим ключом . Теперь вы отдаете сейф в банк, чтобы сохранить содержимое в безопасности. Банк не знает, что находится в сейфе, и не может открыть сейф. Если вам нужно что-то из сейфа, идите в банк, откройте сейф ключом, достаньте то, что вам нужно, и снова заприте его.

Насколько безопасен менеджер паролей?

Менеджеры паролей хранят и хранят ваши пароли с безопасным 256-битным шифрованием в качестве отраслевого стандарта на собственных серверах компании в облаке или локально на вашем устройстве.

Большинство сервисов также помогают вам создать безопасный пароль при создании новых учетных записей. Он состоит из случайной последовательности букв, прописных и строчных букв, цифр и специальных символов.

Мастер — пароль позволяет получить доступ к «безопасному» сохраненным паролям , поэтому вы должны помнить только один пароль для управления всех счетов.

Выберите особенно надежный и уникальный пароль здесь .

Вы можете дополнительно обезопасить свою учетную запись, активировав двухфакторную аутентификацию Затем вы получите код при входе в систему через SMS или приложение для аутентификации, которое вы также должны ввести, чтобы получить доступ к хранилищу.

Советы по безопасному мастер-паролю

Однако ваше хранилище надежно защищено только настолько, насколько надежен ваш пароль. Чтобы защитить себя от атак методом перебора, вы должны использовать в пароле не только буквы, но также прописные и строчные буквы, цифры и специальные символы.

Компьютеру требуется всего около четырех минут, чтобы опробовать все комбинации семизначного пароля в нижнем регистре.

Современному компьютеру требуется более 750 лет для всех комбинаций 11-значного пароля, состоящего из 62 возможных символов, а также прописных и строчных букв.

Ваш пароль не должен быть случайной строкой. Вы можете легко запомнить свой пароль с помощью ослиного моста.

Например, просто возьмите свое любимое высказывание:

И у вас уже есть безопасный пароль. Поскольку вам нужно запомнить только одну вещь, она может быть немного более абстрактной.

Конечно, это только пример, вы можете украсить свой пароль специальными символами, прописными и строчными буквами и leetspeak, главное, что вы все еще можете его запомнить. И даже если вы забудете об этом, вы все равно сможете восстановить его

Функции безопасности, за которыми нужно следить

• Двухфакторная аутентификация: текстовое сообщение или приложение аутентификации отправит вам код при входе в систему, который вы должны ввести, чтобы получить доступ к учетной записи
• Избегайте дублирования паролей: большинство служб уведомят вас, если вы используете пароли более одного раза
• Проверка пароля: проверяет существующие пароли и советует усилить их при необходимости
• Zero-Knowledge-Security, провайдер не имеет доступа к вашим данным

К счастью, почти все менеджеры паролей имеют эти функции.

Подробности

Начать, пожалуй, с того, что все введенные учетные данные (аккаунты, адреса, банковские карты и т. д.) по умолчанию сохраняются в отдельное хранилище. Проверить его работу можно так:

1. Открываем Yandex Browser и кликаем ЛКМ по кнопке в виде трех горизонтальных линий.
2. В системном меню кликаем на пункт «Настройки».
3. В верхней части окна выбираем вкладку «Пароли и карты».
4. Переходим к разделу «Настройки» в левом блоке.
5. Проверяем, все ли активно.

Также тут имеются следующие параметры для коррекции:

• Возможность создать универсальный мастер-ключ, которым будет актуален для 90% заполняемых форм авторизации.
• Наладка автоматического входа на сайты, выдача разрешений на автоматическое сохранение паролей и логинов в Яндекс.Браузере для упрощения повседневного серфинга.
• Пункт «Выключить менеджер…» приостанавливает деятельность вышеназванного алгоритма.
• По умолчанию пункт «Включить менеджер карт» неактивен, и система не сохраняет реквизиты для заполнения пустых полей во время оплаты услуг или товаров.

Пользователи часто спрашивают: «Как показать в обозревателе Яндекс мои логины и пароли?». Предлагаем простой вариант:

1. На той же самой странице переходим к верхнему разделу в левом блоке.
2. Щелкаем ЛКМ по желаемой учетке.
3. Изучаем нужную информацию.

Добавление новой записи

Теперь давайте посмотрим, как добавить новый пароль в уже существующий перечень. Для претворения задуманного в жизнь достаточно:

1. В том же самом разделе щелкнуть ЛКМ по кнопке «Добавить».
2. Заполнить пустые поля: «URL сайта» (речь о ссылке на сайт), «Логин», «Пароль», «Примечание» (по необходимости).
3. Подтвердить серьезность намерений кнопкой «Сохранить».
4. Пронаблюдать за появлением новой записи в списке уже существующих записей.

Разумеется, есть и более привычный вариант:

Заполните форму авторизации на сайте и кликните по опции входа.
Обратите внимание на всплывшее окошко в правой верхней части экрана.
Щелкните мышкой по кнопке «Хорошо».

Редактирование

Перейдем непосредственно к управлению паролями в Яндекс.Браузере, которые уже были добавлены. Наиболее востребованная процедура – их удаление. Осуществляется она так:

1. Опять же открываем ранее указанную страницу.
2. Наводим курсор мыши на нежеланный аккаунт.
3. Отмечаем маркером форму, которая появится вместо иконки сайта.
4. Кликаем на кнопку «Удалить».

Пользователь может не только добавлять новые записи, но и редактировать существующие, удалять их и перемещать. Для этого:

1. Переходим на уже знакомую нам страничку.
2. Ищем нужный объект, кликаем на строку ПКМ, тем самым вызывая контекстное меню.
3. Остается только выбрать соответствующее действие, подтвердить серьезность намерений.

Система автоматически внесет необходимые изменения, перезагружать программу вовсе необязательно.

Неправильное отношение к паролям

Если вы давно в IT-бизнесе, то сталкивались с клиентами, которые несерьезно относятся к безопасности. Порой даже некоторые директора компаний настаивают на том, чтобы все пароли  были одинаковыми у всех сотрудников.

Если у вас есть такие клиенты, то приведенный ниже список «плохих паролей» станет отличным контраргументом для убеждения. Перечень часто используемых «плохих» паролей 2018 года, составленный SplashData:

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10. iloveyou
11. princess
12. admin
13. welcome
14. 666666
15. abc123
16. football
17. 123123
18. monkey
19. 654321
20. !@#$%^&*

Kaspersky Password Manager

После установки приложения от Лаборатории Касперского вам предоставляется возможность бесплатно хранить 15 записей, все остальное — за 900 рублей в год. Тогда вы получаете все основные функции менеджера, в том числе синхронизацию, автозаполнение, генерацию и проверку паролей. Правда, одна незадача — некоторые функции пока работают лишь на компьютерах Windows и Mac, а в мобильные версии их только обещают добавить.

Все интересные функции KasperskyPasswordManager предлагает только в платной версии

Kaspersky Password Manager хранит не только пароли, но и данные паспортов, банковских карт, изображения документов. Автозаполнение, которое работает лишь для десктопа, можно отключать вручную на некоторых сайтах — это удобно, если вы не хотите, чтобы с вашего смартфона кто-то заходил в аккаунты на определенных ресурсах.

Рейтинг ZOOM	ОС	Ограничения бесплатной версии	Цена платной версии в месяц
1. Dashlane	Windows, Linux, Mac, iOS, watchOS, Android, ChromeOS	1 устройство, до 50 паролей	От $3,33 (ок. 245 руб.)
2. LastPass	Windows, Linux, Mac, iOS, watchOS, Android, ChromeOS, WindowsPhone	1 устройство	От $3 (ок. 220 руб.)
3. Keeper	Windows, Linux, Mac, iOS, watchOS, Android, ChromeOS, WindowsPhonet, Blackberry	Пробный период 30 дней	От $2,91 (ок. 214 руб.)
4. 1Password	Windows, Linux, Mac, iOS, Android, ChromeOS	Пробный период 14 дней	От $3,99 (ок. 300 руб.)
5. NordPass	Windows, Linux, Mac, iOS, watchOS, Android, ChromeOS	1 устройство	От $1,49 (ок. 110руб.)
6. oneSafe	Mac, iOS, watchOS, Android	Отсутствует	От 179 руб.
7. Kaspersky Password Manager	Windows, Linux, Mac, iOS, Android	15 паролей	900 руб. в год
8. Bitwarden	Windows, Linux, Mac	Нет расширенной двухфакторной аутентификации	10$ (ок. 740 руб.) в год

Когда возможно и невозможно посмотреть пароли в Гугл Хром

Просмотр пароля возможен в большинстве случаев, ведь такую возможность заложили сами разработчики Google. Однако, есть исключения из правила, тогда посмотреть пароли в Гугл Хром не получится. Если конкретной ситуации нет в списке, все ключи доступа можем прочитать.

Случаи, в которых недоступен просмотр паролей в Гугл Хром:

• Отсутствует доступ к системе, в которой установлен браузер. Если нет прямого или виртуального доступа к ОС, узнать интернет-пароли не получится. И это хорошо, ведь значительно повышает конфиденциальность пользователей. Вряд ли кто-то хочет, чтобы его пароли были доступны посторонним лицам.
• Неизвестен ключ авторизации. Для отображения паролей в Гугл Хром нужен код доступа к системе, если в ней стоит блокировка.
• Пароли были удалены. Их восстановить в целом реально, но на практике редко удаётся. Единственный рабочий метод – воспользоваться функцией отката Windows.

• Коды доступа не были сохранены. Узнать ключ можем только через средство восстановления пароля на сайте или найти записи с данными: на почте, в блокноте и т.п.
• Каталог, где сохраняются пароли в Гугл Хром, защищён паролем или полностью скрыт через специальное ПО. Без устранения средства защиты узнать содержимое не получится.

Если применены средства блокировки, защиты или удаления, посмотреть запомненные пароли в Google Chrome невозможно (за редкими исключениями). В остальных случаях никаких препятствий нет.