Насколько надежен ваш менеджер паролей?

Разбираемся, как защищены от взлома парольные менеджеры и как максимально усилить защиту ваших паролей.

Как безопасно хранить все пароли в одном месте

В ушедшем году мы наблюдали настоящий шквал новостей об утечках персональных данных из различных онлайн-сервисов и даже из популярных менеджеров паролей. Пользователь подобного цифрового хранилища после прочтения таких новостей легко может вообразить самый кошмарный сценарий: злоумышленники получили доступ ко всем его аккаунтам, пароли к которым были сохранены в его парольном менеджере.

Насколько оправданы подобные страхи? Рассказываем, как устроена многоуровневая защита менеджеров паролей и как вы сами можете ее усилить — на примере Kaspersky Password Manager.

Общие принципы работы

Для начала вспомним, для чего вообще нужны парольные менеджеры. Количество интернет-сервисов, которыми мы пользуемся, постоянно растет, что приводит к необходимости заводить множество логинов и паролей. Запоминать их сложно, записывать где попало — небезопасно. Возникает вполне логичная идея: сохранить все логины и пароли в одном надежном месте, а само это хранилище закрыть одним ключом. В этом случае вам нужно будет запомнить только один главный пароль.

При первом запуске Kaspersky Password Manager предлагает вам создать тот самый мастер-пароль, с помощью которого вы будете открывать свой цифровой сейф. Затем вы можете записать в хранилище данные для каждого интернет-сервиса, которым пользуетесь: адрес сайта, логин и пароль. Сделать это можно вручную, а можно установить браузерное расширение менеджера паролей и специальной командой перенести в хранилище все сохраненные в браузере пароли. Кроме паролей, вы можете добавить в безопасное хранилище данные банковских карт и личные документы — например, скан паспорта, страховки, важные фотографии.

Когда вам нужно зайти на какой-то сайт, вы открываете хранилище, после чего можете либо вручную скопировать нужные данные в форму логина, либо разрешить менеджеру паролей автоматически подставить сохраненные логин и пароль для этого сайта. После этого остается только заблокировать хранилище.

Шифрование хранилища и автоблокировка

Теперь перейдем к механизмам защиты. Файл хранилища зашифрован с помощью симметричного алгоритма на базе стандарта Advanced Encryption Standard (AES-256), он успешно применяется во всем мире для защиты конфиденциальных данных. Для доступа к хранилищу используется ключ на основе вашего мастер-пароля. Если пароль сложный, злоумышленникам понадобится очень продолжительное время, чтобы взломать такой шифр без ключа.

При этом наш менеджер паролей автоматически блокирует доступ к хранилищу после указанного пользователем периода бездействия. Если ваше устройство попало в чужие руки и злоумышленник смог, обойдя защиту операционной системы, добраться до файла хранилища — он все равно не сможет прочесть его содержимое без мастер-пароля.

Но правильной настройкой автоблокировки должен озаботиться сам пользователь. По умолчанию в приложении может стоять довольно большой срок бездействия, после которого хранилище заблокируется. Но если вы пользуетесь ноутбуком или смартфоном в сомнительном месте, вы можете настроить автоблокировку так, чтобы она происходила даже через минуту.

Возможна и еще одна лазейка: если злоумышленник подбросил вам трояна или любым иным способом установил на вашем компьютере средство удаленного доступа, он может попытаться добыть пароли из хранилища, пока вы в нем залогинены. В 2015 году была создана именно такая хакерская утилита для менеджера паролей KeePass. Она дешифровала и сохраняла отдельным файлом весь архив с паролями, будучи запущена на компьютере с открытым KeePass.

Однако менеджер паролей Kaspersky Password Manager обычно распространяется вместе с Kaspersky Premium, и это значительно сокращает вероятность того, что менеджер паролей будет запущен на зараженном компьютере.

Нулевое разглашение

Зашифрованный файл с паролями может быть сохранен не только на пользовательском устройстве, но и в облачной инфраструктуре «Лаборатории Касперского» — это позволяет вам использовать хранилище с разных устройств, включая и домашние компьютеры, и мобильные телефоны. Специальная опция в настройках активирует синхронизацию данных на всех ваших устройствах с установленным Kaspersky Password Manager. Можно также воспользоваться веб-версией менеджера паролей через сайт My Kaspersky с любого устройства.

Каковы возможности утечки данных в случае облачного хранилища? В первую очередь надо понимать, что здесь работает принцип «нулевого разглашения». Суть его в том, что для «Лаборатории Касперского» ваше хранилище паролей остается таким же зашифрованным, как и для всех остальных. Сотрудники компании не смогут прочитать этот файл, открыть его может только пользователь, который знает мастер-пароль.

Аналогичный принцип шифрования исповедуют многие (хотя и не все) современные сервисы, связанные с хранением паролей и других секретов. Поэтому, если вы видите новость об утечке данных из подобного облачного хранилища, это еще не значит, что злоумышленники смогли расшифровать украденные данные. Это как вынести из банка бронированный сейф, но не иметь к нему ключа.

Ключом в данном случае является ваш мастер-пароль. И здесь нужно упомянуть еще один важный принцип безопасности: менеджер паролей Kaspersky Password Manager не хранит ваш мастер-пароль на ваших устройствах или в облаке. Даже если хакер получил доступ к вашему компьютеру или к облачному хранилищу, он не сможет похитить ваш мастер-пароль из самого продукта. Этот пароль знает только пользователь.

Сложный мастер-пароль

Однако и утечка зашифрованного файла с паролями может создать проблемы. Получив такое хранилище, злоумышленники могут попытаться взломать его.

Есть два основных варианта атаки. Первый — это грубый подбор пароля (brute force). В общем случае эта задача очень трудоемкая. Если ваш пароль представляет собой дюжину случайных символов с использованием нижнего и верхнего регистра, цифр и спецсимволов, то для перебора всех комбинаций необходимо проделать более секстиллиона операций (число с 21 нулем).

Однако если вы решили упростить себе жизнь и использовали слабый пароль, например одно слово или простой набор цифр типа 123456, он будет подобран автоматическим сканером менее чем за секунду — ведь в этом случае перебор производится не по отдельным символам, а по словарю популярных комбинаций. Невзирая на это, многие пользователи до сих пор применяют словарные пароли — сочетания символов, которые уже давно есть в словарях хакерских сканеров.

Именно о такой возможной проблеме в декабре 2022 года предупредили пользователей менеджера паролей LastPass. Аккаунт одного из разработчиков этой компании был взломан, в результате хакеры получили доступ к облачному хостингу, которым пользуется компания LastPass. Среди данных, попавших в руки злоумышленников, оказались и бэкапы пользовательских хранилищ паролей. Компания сообщила пользователям, что если они следовали всем рекомендациям по созданию сложного и уникального мастер-пароля, то им ничего не грозит — для подбора такого пароля «потребуются миллионы лет». Но тем, кто использовал пароли попроще, было рекомендовано их срочно поменять.

К счастью, сейчас многие менеджеры паролей, в том числе и Kaspersky Password Manager, автоматически проверяют сложность вашего мастер-пароля. Если сложность низкая или средняя, менеджер паролей покажет вам предупреждение, и его не нужно игнорировать.

Уникальный мастер-пароль

Второй вариант взлома базируется на том, что люди зачастую используют одни и те же логины и пароли в разных интернет-сервисах. Если в каком-то сервисе случилась утечка, злоумышленники запускают автоматический перебор полученных пар «логин-пароль» в других сервисах, и зачастую такая атака (credential stuffing) оказывается успешной.

Предупреждение о такой атаке получили в январе пользователи менеджера паролей Norton Password Manager. Компания NortonLifeLock (ранее известная как Symantec) заявила, что в ее собственной инфраструктуре никаких утечек не было. Однако в начале декабря 2022 года были зафиксированы массовые попытки захода в аккаунты Norton Password Manager с помощью паролей, которые были получены хакерами в результате утечки из какого-то другого сервиса. Расследование, проведенное компанией NortonLifeLock, выявило, что с помощью этой атаки хакерам действительно удалось получить доступ к аккаунтам некоторых ее клиентов.

Очевидная истина, которой учит эта история, — не применять один и тот же пароль в разных местах. Что касается технических средств защиты от таких атак, то Kaspersky Password Manager предлагает две полезные проверки вашей базы паролей. Во-первых, проверка на уникальность: приложение предупредит пользователя, если один из его сохраненных паролей используется в нескольких аккаунтах.

Во-вторых, наш менеджер паролей проверяет, фигурируют ли ваши пароли в базах утечек. При этом для безопасной проверки паролей используется алгоритм криптографического хеширования SHA-256. Это значит, что приложение не отправляет сами пароли на проверку: вместо этого оно вычисляет для каждого пароля контрольную сумму и сравнивает эти хеши с контрольными суммами в базе скомпрометированных паролей. Если контрольные суммы совпадают, приложение предупреждает вас, что пароль скомпрометирован и лучше его сменить.

Однако еще раз уточним: эти проверки проводятся только с паролями, которые вы сохраняете в хранилище. Что же касается мастер-пароля, за его уникальностью вы должны следить самостоятельно: он известен только вам и он не должен совпадать с другими вашими паролями.

Запоминаемый мастер-пароль

Есть и другие возможности для утечки мастер-пароля, где работает пресловутый человеческий фактор. Например, некоторые граждане записывают свой мастер-пароль там, где его можно украсть — в незашифрованном файле на десктопе, а то и вовсе на стикере, прилепленном к стене офиса.

Что ж, не будем записывать, постараемся запомнить. Но правила безопасности требуют, чтобы пароль был длинным и сложным — иногда нам даже предлагают сгенерировать в качестве пароля случайный набор из 12 или 16 символов. Запомнить такое довольно трудно. Именно поэтому многие люди стараются использовать пароли попроще — и становятся жертвами взлома.

Как же сделать мастер-пароль и сложным, и запоминаемым? Составьте его из трех-четырех секретных слов. Например, вы можете взять название города, где вы провели свой лучший отпуск, приписать к нему название лучшего бара, который посетили в этом отпуске, а затем добавить название и количество выпитых коктейлей. Такой пароль будет достаточно длинным и уникальным, при этом его будет нетрудно вспомнить — если вы, конечно, до сих пор помнили все перечисленные факты по отдельности.

Советы