где лучше хранить пароли и коды безопасности
Безопасное хранение паролей
Интернет прочно вошёл в нашу жизнь. Все мы, даже совсем неблизкие к IT люди, пользуемся большим количеством самых разнообразных сервисов, начиная от почты и заканчивая социальными сетями. Практически все сервисы требуют регистрации. Но для обеспечения безопасности использовать нужно разные пароли, состоящие из многих символов. Ну большинство людей, пользующихся интернетом, знают о требованиях к безопасным паролям. Но тут возникает одна небольшая проблема: как запомнить все эти множества паролей?
Недавно я и задался таким вопросом. Потерять, например, аккаунт от почты для меня было бы очень трагично. Записывать пароли в файл? Появляется риск подарить все свои аккаунты разом. Записывать на бумажку? Риск потерять бумажку и как следствие все пароли сразу. Плюс я задумался о доступности своих паролей в любом месте земного шара. И тут я вспомнил о своём любимом редакторе emacs. А в частности об Org-mode и EasyPG в emacs. Описывать как работать в org-mode я не буду, это сделали до меня (ссылки: Введение в Org-mode; Руководство по Org-mode).
Так в чём же заключается хитрость? А всё элементарно. Вместо файла filename.org, необходимо создать файл filename.org.gpg. Emacs автоматически откроет файл в Org-mode. Затем записать в этот файл пароль, лучше воспользоваться генератором паролей (я, например, использую однострочник на bash: ), и, конечно, не забыть написать от чего пароль и логин. А потом просто сохранить файл. Emacs сам предложит варианты действий: использовать ключ для ассиметричного шифрования или нажать OK для симметричного шифрования с вводом пароля. Здесь уже на выбор пользователя, но я предпочитаю использовать симметричное, потому что одним из требований являлся доступ к файлу не только с домашнего компьютера, а таскать с собой приватный ключ мне не очень нравится.
Конечно, я не говорю, что этот способ единственен и правилен. Но для меня этот способ оказался очень удобен. Надеюсь он пригодится не только мне. Берегите свои пароли. ;^)
Где и как хранить пароли от аккаунтов так, чтобы их не украли
Запоминаемость или сложность?
Хранение на локальных носителях
Запоминание паролей в браузере
Облачное хранение
Менеджеры паролей
Резервное копирование паролей
Резюме
Берегите себя и свою личную информацию!
Реклама в TikTok: руководство по применению Статья
Словоеб: руководство по применению Статья
Что такое Яндекс.Взгляд и как с ним правильно работать Статья
Как избавиться от нецелевых кликов своими руками: 2 эффективных приема с инструкцией Статья
5 лучших техник реферального маркетинга Статья
Что умеют голосовые боты, как выбрать сервис интеграции и проверить эффективность внедрения Статья
Семантика в Яндекс.Директе: этапы, инструменты, чек-лист по оптимизации Статья
6 примеров от Semantist, которые показывают, как можно поднять продажи с помощью семантики Статья
Тошнота текста: что это, как уменьшить её с помощью сервисов и писать без переспама? Статья
Как хранить пароли и пины, чтобы не потерять деньги
Почему хранить на бумажке небезопасно
Андрея взломали в Одноклассниках: увели весь урожай с фермы и поставили всем бывшим одноклассницам единицы на фотографии — теперь на встрече выпускников ему не рады.
У Андрея 5 карт разных банков. Запомнить все пароли и коды от карт он не может, поэтому пароли он хранил на бумажке под клавиатурой и никому не говорил. Если правда не говорил, остается только одно: хакеры научились взламывать бумажки с паролями.
Пин нельзя записывать на бумажке и хранить ее в кошельке вместе с картами: если кошелек украдут, вор сможет снять все деньги. Тем более нельзя писать пин на карте: это равносильно подписи на приговоре о своем финансовом расстреле.
Специалисты по информационной безопасности рекомендуют создавать разные пароли для каждого сайта. Это не должен быть пароль из простого слова, даты или qwerty123.
Запомнить все это сложно, но реально. У меня уникальный пароль для каждого сайта, а для каждой карты свой пин. Я их нигде не записываю и даже не помню некоторые наизусть, но всегда ввожу с первого раза. Я освоил техники, которые позволяют упростить жизнь и освободить память для более важных вещей.
Расскажу, как освободить свой разум и помнить все.
Если вы не хотите запоминать кучу паролей, можно завести программу, дополнение к браузеру или приложение для телефона, которое будет за вас придумывать сложные пароли — например, 29Gsf!&Rjjx292)(2424r — а потом подставлять их на сайтах.
Оно даже запомнит, какой у вас логин на тематическом форуме: kisa1956 или allaivanovna56. Достаточно запомнить мастер-пароль и вводить его при запуске программы. Однако если забыть мастер-пароль, то восстановить доступ к менеджеру паролей будет практически нереально.
Заставить телефон помнить данные карт за вас
Тут даже запоминать ничего не придется, пароль всегда с вами: это отпечаток пальца или ваше лицо, если у вас Айфон Х. Многие приложения поддерживают оплату через «Гугл-пэй» или «Эпл-пэй», не нужно вводить реквизиты карты, телефон все сделает сам. В магазинах можно платить, прикладывая к терминалу телефон вместо карты, но при покупке свыше 1000 Р все же придется ввести пин.
Не запоминать одноразовые пароли
Некоторые сайты и приложения предлагают настроить дополнительную проверку личности: ее называют двухфакторной аутентификацей. Обычно это код, который приходит на телефон в смс после ввода пароля, или письмо со ссылкой, на которую нужно нажать. Я советую включать такую проверку при любой возможности, особенно если у вас везде один и тот же пароль или вы пытаетесь сберечь что-то ценное. Пароль может быть везде простой и одинаковый, а коды для проверки будут всегда разные.
Как не попасться на удочку хакеров
Пин может находиться прямо на вашей карте, но его будете видеть только вы. Секрет прост: нужно придумать алгоритм генерации пина с помощью номера карты. Я делаю так: беру значимое для меня двузначное число 42 — ответ на вопрос жизни, вселенной и всего такого. Это мой якорь и первые две цифры моего пина. А вторые две цифры я беру с карты: четвертую и вторую с конца номера.
Как безопаснее платить в магазинах и кафе
Вы можете придумать свою систему: выбрать другой якорь и брать другие цифры — например, месяц срока годности или первую из месяца и последнюю из номера карты. В итоге для каждой карты пин будет разным. Даже не помня его наизусть, но помня алгоритм, вы посмотрите на карту и освежите код в памяти.
Придумать легкий, но сильный пароль для каждого сайта
Для всех сайтов у меня разные пароли из 14 и больше символов, но я всегда ввожу их с первого раза. Все потому, что у меня есть алгоритм, позволяющий генерировать пароль из адреса сайта и не запоминать его:
Пароль для сайта yandex.ru — 2VivaLaFranceya, а для google.com — 3VivaLaFrancego. Можно усложнить алгоритм как угодно: писать цифры буквами, брать больше букв из имени сайта в определенном порядке и тому подобное. Все это сделает пароль еще сложнее и крепче, но главное, чтобы он был длинным.
Иногда мне нужно поставить пин куда-нибудь, кроме карты: на телефон, мобильное приложение, сейф. Тогда я, не мудрствуя лукаво, составляю код из первых чисел какой-нибудь последовательности. Можно брать последовательность чисел Фибоначчи, простых чисел, числа пи после запятой — если вы, конечно, все это помните. Эти ряды бесконечны, можно использовать комбинацию любой длины.
Использовать память рук
Долгое время я не мог вспомнить свой код от домофона, но каждый раз спокойно его набирал. Пальцы запомнили последовательность движений и сами тянулись к нужным кнопкам. Я не мог продиктовать номер мамы, но пальцы сами набирали его, стоило лишь открыть на смартфоне панель вызова.
Но для этого нужно время, гораздо проще открыть перед собой панель вызова и начать набирать нужную последовательность цифр: пин, номер страховки, телефона, дату рождения племянника. Тренируйтесь время от времени, а когда придет пора вспоминать — откройте панель набора и позвольте вашим пальцам самим набрать нужное число.
Рекорд по запоминанию числа пи — 30 млн знаков после запятой. Я таким результатом похвастаться не могу, но могу научить, как после небольшой тренировки запоминать номера телефонов или пинов.
Дело в том, что наш мозг не предназначен для эффективного запоминания цифр, но хорошо запоминает истории и события. Превратим число в историю. Например, пин 4232.
В четыре часа утра Васю разбудил стук в дверь. Вася открыл, а на пороге стояло два мужика. Они протянули ему три розы и сказали: «Поздравляем с двумя годами трезвости».
Звучит бредово, но в этом суть. Бредовые и сюрреалистические истории наш мозг запомнит даже лучше обычных. Легко представить себе эту историю в голове и собрать из ключевых элементов пин — 4232. Как-то раз я смотрел передачу про американца, который мог запомнить таким образом больше сотни цифр: он писал в голове рассказ, вплетая числа в ключевые элементы сюжета. Правда, после каждой новой цифры ему было нужно время, чтобы что-нибудь сочинить.
Ассоциировать цифры с буквами и составлять слова
Это более продвинутый вариант предыдущего способа. Каждой цифре ставится в соответствие буква по легко запоминаемому ассоциативному правилу: 0 = «н», потому что слово начинается с буквы «н», 8 = «в», так как в ней тоже два кружочка и тому подобное. Необходимо будет составить табличку, содержащую только согласные буквы и запомнить ее наизусть.
Добавляя к согласным гласные, можно составлять слова, обозначающие числа: « го ро д» обозначает число 192, а « де ре вня» — 2980. Составляя из таких слов предложения, можно запоминать длинные последовательности чисел. Номер телефона 8 800 555-77-78 можно конвертировать во фразу «Вова ныне папа без засова». Если вызубрить таблицу и наловчиться переводить согласные в цифры, то из фразы можно быстро извлечь нужный номер.
В книге рекомендуется брать заранее заготовленные и заученные слова для быстрого составления ассоциаций и фраз.
Не можете запомнить, когда у начальника день рождения — 05.04 или 04.05? Зато сможете запомнить фразу «На обои пролили щи» и поздравлять его в апреле. А с помощью фразы «Из Оки торчат усы» вы сможете запомнить номер его кабинета — 37.
РНР-безопасность: где и как хранить пароли. Часть 1
Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему безопасности в PHP.
Введение
Скандал с Facebook и Cambridge Analytica, утечка переписки Демократической партии США в 2016 году, нарушение безопасности данных Google в 2018 году, взлом Yahoo Voice в 2012 году — вот лишь несколько примеров крупных утечек, зафиксированных за последние несколько лет.
Информация в глобальном масштабе сегодня доступна для нас, как никогда ранее. Если не проявлять должную осторожность, информация о нас самих (в том числе сведения конфиденциального характера) тоже могут попасть в открытый доступ.
Неважно, разработкой какого именно проекта вы занимаетесь: детской игрой с открытым кодом или выполняете заказ крупного предприятия. Ваша обязанность как веб-разработчика состоит в том, чтобы обеспечить безопасность всем своим платформам. Безопасность — это очень непростой аспект.
Язык РНР предоставляет несколько инструментов и функций, которые можно задействовать для обеспечения безопасности приложения.
3 правила безопасности паролей
Пароли пользователей должны оставаться неизвестными для вас.
Я до сих пор вспоминаю свои первые шаги в роли РНР-разработчика. Первым созданным мной приложением стала игра, где я вместе с друзьями играл роль строителя небоскрёбов. Каждый из нас мог залогиниться в свой аккаунт, купить строителей и каждую неделю отправлять свою бригаду на новую стройку. Я создал базовые аккаунты: добавил для каждого пользователя логин и пароль и отправил их им по е-мейлу. И только через пару месяцев я понял, насколько это было глупо.
Общее правило таково: вы не только не должны знать пароли своих пользователей — у вас не должно быть возможности узнать их. Это очень серьезный аспект, который может повлечь даже юридическую ответственность.
Методом проб и ошибок вы все равно придете к выводу, что пароли не надо хранить в формате обычного текста или в таком виде, чтобы они легко поддались расшифровке.
Не вводите ограничения на пароли
Давайте сыграем в одну игру. Попробуйте угадать пароль:
Сложно, правда? Давайте попробуем так:
Теперь вы знаете, что здесь есть заглавная буква и несколько прописных. А если вот так:
Теперь вам будет намного легче угадать пароль — ведь вы знаете, что он включает в себя заглавную букву, прописные буквы и число.
То же самое происходит в тех случаях, когда вы навязываете пользователям ограничения и маски для их паролей. Если в вашем приложении заложено требование следовать определенному шаблону, вы даете злоумышленникам намеки, которые они могут использовать против вас.
Требовать некую минимальную длину пароля — это нормально, так как длина пароля влияет на то время, которое требуется, чтобы подобрать его. Однако вместо этого будет намного полезнее узнать, как работают алгоритмы и хеширование.
Кстати, правильный ответ к приведенной выше загадке — «Porsche911» 🙂
Никогда не отправляйте пароли по е-мейлу в чистом виде
Одной из моих первых ошибок в роли веб-разработчика стало то, что я заблаговременно не научился управлять паролями.
Представьте, что вы клиент и вы нанимаете разработчика, чтобы он создал для вашего бизнеса симпатичный сайт электронной коммерции. Этот разработчик прислал вам е-мейл, который содержит пароль для вашего сайта. Теперь вам известно три вещи о вашем сотруднике:
А вот как должен поступить веб-разработчик:
Видите, насколько возросла безопасность приложения благодаря этим простым шагам? При желании, мы можем повысить уровень безопасности еще больше, добавив лимит времени между запросом и установлением нового пароля.
Как хешировать пароли пользователей
Пароли в веб-приложении нужно хешировать, а не зашифровывать. Шифрование — это двухсторонний алгоритм. Шифровке подвергается последовательность, которую вы затем можете расшифровать и использовать повторно. Этот метод часто используется в разведке для получения информации от союзников.
Хеширование предполагает, что последовательность нельзя вернуть в формат незашифрованного текста. Именно это конечная цель всего процесса.
Для достижения разных целей разработано множество алгоритмов: одни отличаются высокой скоростью, другие высокой надежностью. Эта технология постоянно эволюционирует, и за последние несколько лет претерпела немало изменений. Сейчас мы рассмотрим три наиболее популярные ее разновидности в хронологическом порядке.
Это была исторически первая функция хеширования. Аббревиатура SHA-1 расшифровывается как «безопасный алгоритм хеширования», разработало его Агентство национальной безопасности США.
SHA-1 был хорошо известен и широко востребован в сфере РНР для создания 20-байтовой шестнадцатеричной строки длиной в 40 символов.
SSL-индустрия в течение нескольких лет пользовалась SHA-1 для цифровых подписей. Затем, после выявления некоторых слабых мест, в Google решили, что пора переходить на SHA-2.
Первая версия алгоритма была признана устаревшей в 2005 году. Впоследствии были разработаны и приняты к использованию новые версии: SHA-2, SHA-2 и SHA-256.
Bcrypt
Bcrypt, не являясь результатом естественного развития SHA, сумел привлечь к себе широкую аудиторию благодаря своему уровню безопасности.
Этот крайне медленный алгоритм был создан с целью создания максимально безопасных хешированных последовательностей. В процессе хеширования данных он проходит несколько циклов, что в вычислительной технике описывается показателем трудозатрат. Чем выше показатель трудозатрат, тем дороже будет для хакера заполучить пароль.
Есть и хорошая новость: в будущем мы сможем использовать более мощные машины, способные на более скоростное прохождение большего количества циклов.
Argon2
Это новый модный алгоритм в сфере хеширования, разработанный Алексом Бирюковым, Даниэлем Дину и Дмитрием Ховратовичем из Люксембургского университета. В 2015 году он стал победителем Конкурса хеширования паролей.
Argon2 представлен в 3 версиях:
Во второй части статьи я расскажу, как использовать это хеширование в РНР, задействуя встроенные функции, а сейчас хочу пригласить всех на бесплатный онлайн вебинар «ServerLess PHP», в рамках которого мы познакомимся с концепцией Serverless, поговорим о её реализации в AWS, применимости, ценах. Разберём принципы сборки и запуска, а также построим простой TG-бот на базе AWS Lambda.
Как и где хранить пароли от сайтов
Вопрос, где хранить пароли от сайтов, чтобы ими не смогли воспользоваться другие пользователи, имеющие доступ к ПК, имеет несколько вариантов решения. Доступ к данным должен быть достаточно защищён — так, чтобы другой человек не смог получить информацию, просто сев за компьютер. В то же время логины и коды доступа должны оставаться доступны для владельца — так, чтобы не приходилось каждый раз вводить сведения вручную. Не рекомендуем оставлять данные на листочке возле компьютера или приклеенной на монитор записке — это сводит безопасность на нет.
Из статьи от «Службы добрых дел» вы поймёте, как лучше хранить пароли. Мы привели несколько хороших надёжных методов — выбирайте свой и сохраняйте сведения безопасно!
Текстовый документ с паролями
Самый лёгкий, незамысловатый и в то же время в силу автономности самый надёжный вариант хранения кодов доступа и логинов — создание текстового файла. Вы можете оставить его на жёстком диске, в глубоко спрятанной папке — или носить с собою на флешке.
Создайте, при помощи встроенного в Windows «Блокнота», обычный файл, и впишите в нём, в каждой строке отдельно, адрес сайта, логин и код доступа.
Если собираетесь хранить пароли и логины на компьютере в таком формате, советуем присвоить файлу имя, не подразумевающее, что в нём хранятся важные сведения; например, «Список покупок».
Недостаток метода — невозможность зашифровать данные без применения дополнительных приложений, что осложняет процесс. Если другой пользователь получит доступ к вашему текстовому документу, он автоматически узнает сохранённые пароли — поэтому незащищённый файл рекомендуем носить с собой на съёмном накопителе, а не оставлять на ПК.
Текстовый документ плюс шифрование
Недостаток первого способа компенсируется шифрованием документа, в котором вы создаёте хранилище кодов доступа. Советуем создать файл для сохранения данных в MS Excel:
Преимущества метода — простота создания, редактирования и дополнения таблицы, а также качество шифрования. Взломать файл методом перебора практически невозможно — это очень надёжный способ хранения паролей. Кроме того, документ совершенно автономен: вы можете носить его на флеш-карте или оставить на жёстком диске.
Недостаток — необходимость помнить (или хранить отдельно) код от самой таблицы Excel. И всё же проще запомнить один шифр, чем беспокоиться о сохранности десятков других.
Хранилище веб-браузера
Данные для входа на сайт сохраняются, когда вы даёте на это согласие, в вашем браузере. Метод позволяет вводить логины и коды автоматически, без постоянного копирования из стороннего документа. На примере Mozilla Firefox управление сведениями выглядит так:
В таком состоянии данные остаются открыты для всех пользователей, знающих, где их искать. Вы можете задать мастер-пароль — чтобы получить информацию о кодах, теперь сначала потребуется ввести придуманный вами «общий» код.
Преимущества способа — лёгкость сохранения сведений и доступа к ним, а также возможность автозаполнения форм веб-сайтов. Такое хранение логинов и паролей имеет и недостатки: вы оставляете данные открытыми для просмотра — или вынуждены будете помнить или хранить иным образом мастер-код, открывающий доступ к защищённой информации.
Программы и сервисы-менеджеры
Предлагаемые нами в этом разделе способы хранения паролей подразумевают применение сторонних сервисов, с платными или бесплатными регистрацией и обслуживанием. Вы копируете данные в программную среду, где они надёжно сохраняются; получить доступ к кодам может только владелец аккаунта или лицо, которому были сообщены сведения для входа.
На примере онлайн-сервиса Evernote процесс выглядит так:
Также правильно хранить пароли будет в сервисе MultiPassword. Это связка из клиента для компьютера, в котором вы вводите свои данные, и серверного хранилища для ваших кодов.
Преимущества метода — простота ввода данных, невозможность получить сведения без входа в аккаунт — и, в зависимости от продукта, шифрование передаваемых на сервер сведений. Недостатки — необходимость устанавливать дополнительное приложение, регистрироваться в системе — и иметь доступ в интернет, чтобы узнать свои данные.
Облачные хранилища
Хранение паролей в облаке — несложный способ, подразумевающий перенос файла с данными в облачное хранилище, доступ к которому будете иметь только вы и ваши доверенные лица. На примере Google Drive сохранение выглядит так:
Преимущества метода — простота сохранения и надёжность копирования файлов. Недостаток — необходимость стабильного интернет-подключения для доступа к скопированным в «облако» данным.
Остались вопросы? Звоните и пишите в «Службу добрых дел» — мы проведём дистанционную консультацию и расскажем, как обеспечить полную безопасность вашей информации!