Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Менеджер паролей — хороший способ повысить уровень безопасности своей работы, сохранив все коды доступа в одном надежном месте. Без такого инструмента сложно удержаться от соблазна пользоваться во всех сервисах одними и теми же паролями (или их вариациями), что серьезно повышает вероятность успешного взлома. К слову, об «успехе»: по статистике, в мире каждые 39 секунд происходит одна кибератака.
Главное свойство менеджера паролей — сочетание удобства и высокой степени безопасности.
Действительно надежные сервисы защищают ваши пароли с помощью стойких алгоритмов шифрования. Например, симметричного AES-256, который создает каждый раз для защиты новый случайный ключ или асимметричного RSA. Благодаря ему ваши пароли в явном виде можете увидеть только вы. Также используются алгоритмы шифрования PBKDF2 и SHA-256, взломать которые достаточно сложно.
Для дополнительной защиты уже повсеместно введена двухфакторная аутентификация, а также аутентификация по протоколу SRP 6A (Secure Remote Password). Она позволяет авторизоваться без риска перехвата данных.
Также в хорошем сервисе обычно есть генератор длинных и сложных для подбора паролей. Кроме того, некоторые сервисы предлагают журнал функций, чтобы вы могли просмотреть все изменения, внесенные в пароли. Для повышения надежности такого инструмента некоторые решения могут использовать технологию блокчейна, чтобы все изменения точно фиксировались.
Если у вашей компании строгая политика хранения данных, можно настроить менеджер так, чтобы безопасно хранить все пароли в собственном частном облаке или на физическом сервере.
Частая причина уязвимости пароля — обычный человеческий фактор. Людям просто неудобно, сложно и лень каждый раз придумывать новые надежные пароли. В хороших менеджерах паролей эта особенность учтена. Примеры специальных функций, которые повышают удобство:
Среди ПО, которое используют Managed Services провайдеры можно назвать, например, PassCamp. Его ценят за простоту, удобство и надежность. Единственный минус — отсутствие мобильного приложения.
Также можно назвать SolarWinds PassPortal. Среди плюсов — впечатляющая функциональность с доступом ко многим функциям прямо из плагина браузера, а также понятная и подробная документация. Из минусов — несколько шероховатостей в интерфейсе.
Еще одно решение — QuickPass. Преимущества: продукт постоянно дорабатывается исходя из желаний клиентов, можно сбрасывать пароли, находясь физически где угодно, хорошая служба поддержки, легкость в использовании. Из минусов — только цена, которая может показаться высокой.
В целом, менеджер паролей — это обязательный отраслевой стандарт, чтобы обеспечить в организации необходимый уровень безопасности и обезопаситься от атак извне. И именно поэтому их используют Managed Services-провайдеры для защиты сервисов клиентов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
Главное свойство менеджера паролей — сочетание удобства и высокой степени безопасности.
Безопасность
Действительно надежные сервисы защищают ваши пароли с помощью стойких алгоритмов шифрования. Например, симметричного AES-256, который создает каждый раз для защиты новый случайный ключ или асимметричного RSA. Благодаря ему ваши пароли в явном виде можете увидеть только вы. Также используются алгоритмы шифрования PBKDF2 и SHA-256, взломать которые достаточно сложно.
Для дополнительной защиты уже повсеместно введена двухфакторная аутентификация, а также аутентификация по протоколу SRP 6A (Secure Remote Password). Она позволяет авторизоваться без риска перехвата данных.
Также в хорошем сервисе обычно есть генератор длинных и сложных для подбора паролей. Кроме того, некоторые сервисы предлагают журнал функций, чтобы вы могли просмотреть все изменения, внесенные в пароли. Для повышения надежности такого инструмента некоторые решения могут использовать технологию блокчейна, чтобы все изменения точно фиксировались.
Если у вашей компании строгая политика хранения данных, можно настроить менеджер так, чтобы безопасно хранить все пароли в собственном частном облаке или на физическом сервере.
Удобство
Частая причина уязвимости пароля — обычный человеческий фактор. Людям просто неудобно, сложно и лень каждый раз придумывать новые надежные пароли. В хороших менеджерах паролей эта особенность учтена. Примеры специальных функций, которые повышают удобство:
- поиск паролей, в том числе через фильтры по конкретным символам и датам добавления/изменения;
- группировка по свойствам с помощью тэгов. Например, «сайты», «приложения», «Wi-Fi-сети» и другие;
- удобная и надежная отправка паролей другим людям;
- автосохранение с помощью плагина в браузере. Удобно, если неудобно вводить все в менеджер вручную;
- добавление новых членов команды, управление их доступом и сброс паролей;
- добавление гостей — подрядчиков, клиентов, фрилансеров и других в свою команду, чтобы делиться с ними паролями безопасным способом;
- импорт и экспорт для удобного перехода с другого менеджера паролей;
- автозаполнение форм в интернет-сервисах.
Конкретные решения
Среди ПО, которое используют Managed Services провайдеры можно назвать, например, PassCamp. Его ценят за простоту, удобство и надежность. Единственный минус — отсутствие мобильного приложения.
Также можно назвать SolarWinds PassPortal. Среди плюсов — впечатляющая функциональность с доступом ко многим функциям прямо из плагина браузера, а также понятная и подробная документация. Из минусов — несколько шероховатостей в интерфейсе.
Еще одно решение — QuickPass. Преимущества: продукт постоянно дорабатывается исходя из желаний клиентов, можно сбрасывать пароли, находясь физически где угодно, хорошая служба поддержки, легкость в использовании. Из минусов — только цена, которая может показаться высокой.
В целом, менеджер паролей — это обязательный отраслевой стандарт, чтобы обеспечить в организации необходимый уровень безопасности и обезопаситься от атак извне. И именно поэтому их используют Managed Services-провайдеры для защиты сервисов клиентов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
- Информационная безопасность в 2021 году. Угрозы, отраслевые тренды
- АНБ утверждает, что российские хакеры атакуют платформы VMware
- Популярные сайты все еще уязвимы для массовой DDoS-атаки
- Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом
- Страх перед автоматизацией работы и другие тренды в мировой и российской кибербезопасности