Так, я тут, щоб сказати вам прямо, що я ніколи раніше не користувався менеджером паролів. Це не те, що я ніколи не думав про те, щоб зареєструватися. Мене постійно спокушають спробувати різні варіанти, але частина мене завжди відчуває свербіж від того, щоб покласти все яйця в одному кошику, особливо коли витоки даних постійно нагадують нам, як це може бути погано ідея. Я знаю, що я не один на цьому човні, тому що старі звички важко вмирають. Я подумав, що буду «безпечнішим», якщо запам’ятаю свої паролі або десь їх занотую. Але зі зростаючим списком облікових записів в Інтернеті я нарешті намагаюся створити унікальні та надійні паролі для кожного з них. Тож моя технічна резолюція у 2023 році полягала в тому, щоб дати можливість менеджерам паролів, тож ось ми тут.
Вибір хорошого менеджера паролів може бути непростим, і велика кількість доступних варіантів не полегшує його. Я багато чому навчився під час своєї подорожі, і сподіваюся, що ці поради також допоможуть вам.
Шукайте потрібні функції
Більшість менеджерів паролів роблять набагато більше, ніж просто заповнюють ваші паролі у формі входу. Наприклад, Keeper — це надзвичайно багатофункціональний менеджер паролів, який також може зберігати інформацію про вашу кредитну картку, блокувати файли та фотографії в безпечному сховищі, допомагати вам ділитися своїми паролями та багато іншого. 1Password також має багато наворотів і може виконувати додаткові завдання, наприклад видаляти секрети з буфера обміну та сповіщати про порушення безпеки.
Важливо розуміти, чого ви хочете від свого менеджера паролів, якщо ви не хочете пройти нескінченний шлях, наповнений різними варіантами. Зрештою, немає сенсу платити за всі додаткові можливості, якщо ви не збираєтеся ними користуватися. Можливо, у вас уже є захищена папка на вашому смартфоні, щоб заблокувати важливі файли та фотографії, або вам не потрібно платити за такі новинки, як Dark Web Monitoring і сповіщення. Натомість шукайте важливі для вас корисні функції.
Ось важливі функції, на які я рекомендую звернути увагу:
- Кросплатформна підтримка для доступу та керування збереженими паролями на будь-якому пристрої чи платформі
- Багатофакторна аутентифікація щоб захистити своє сховище паролів
- Офлайн-доступ щоб ви зберегли свій пароль, навіть коли ви не в мережі
- Підтримка розширення для браузера щоб переконатися, що ви можете отримати доступ до свого пароля незалежно від веб-браузера, який ви використовуєте
Наприклад, я шукав менеджер паролів, який би допоміг мені уникнути повторного використання тих самих паролів у різних облікових записах. Я дійшов до моменту, коли почав повторно використовувати деякі зі своїх паролів, тим самим залишаючи двері відкритими для зловмисників, щоб зламати кілька облікових записів. Коротше кажучи, я надав перевагу простому та безпечному генератору паролів, а не генератору паролів із фантастичними функціями, щоб не витрачати більше, ніж хотів як новий клієнт. Однак ваш пробіг може відрізнятися.
Шифрування з «нульовим знанням» є важливим
Більшість менеджерів паролів також використовують безпечне шифрування, наприклад AES 256-bit і XChaCha20, щоб заблокувати ваш пароль, перш ніж вони залишать ваш пристрій. Отже, навіть якщо ви користуєтеся службою диспетчера паролів, яка зберігає ваш пароль на віддаленому сервері, він може бути не відразу доступним для хакерів, які намагаються його викрасти. Усі надійні менеджери паролів використовують складні методи шифрування, щоб захистити ваше сховище, тому ви не будете в невіданні, передаючи важливу інформацію.
Bitwarden, наприклад, використовує 256-бітове шифрування AES-CBC для ваших даних сховища та PBKDF2 SHA-256 для отримання вашого ключа шифрування. Усі ваші дані шифруються або хешуються перед надсиланням на віддалені сервери, і їх можна розшифрувати лише за допомогою ключа, отриманого з вашого головного пароля. NordPass, з іншого боку, використовує XChaCha20, який є швидшим і легшим у застосуванні, ніж стандартні методи.
Я рекомендую вибирати лише ті, які використовують рішення для шифрування з нульовим знанням, тобто вони не можуть читати вашу конфіденційну інформацію чи ділитися нею. Звичайно, неможливо забезпечити 100% безпеку в Інтернеті, але це допоможе, якщо ви охопите основи.
Вибирайте менеджери паролів із безпечними резервними копіями
Також важливо вибрати менеджери паролів, які дозволять вам створити резервну копію всіх ваших зашифрованих паролів на той випадок, якщо віддалений сервер, що містить усі ваші паролі, вийде з ладу. Деякі менеджери паролів створюють резервну копію зашифрованого пароля, а інші просто дозволяють створити резервну копію розшифрованих даних у форматі, зрозумілому людині. У будь-якому випадку, важливо створити резервну копію на випадок, якщо ви втратите доступ до свого сховища через якась помилка сервера, і ви опинитеся в ситуації, коли ви більше не можете отримати доступ до своїх облікових записів онлайн.
Дивлячись на нещодавня невдача LastPass і як він впорався з ситуацією, я знаю, що ніколи не залишаю резервну копію своїх паролів в Інтернеті, навіть якщо вони зашифровані. Ви завжди можете створити резервну копію вручну та завантажити копію всіх своїх паролів, але переконайтеся, що ви переміщуєте та зберігаєте її безпечно, щоб запобігти її потраплянню в чужі руки.
Перевірте біометричні дані та інші способи входу
Багатофакторна автентифікація (MFA), як я вже згадував раніше, є однією з найважливіших функцій, на які варто звернути увагу в менеджері паролів. Ви повинні поєднати надійний пароль із двофакторною автентифікацією (2FA) або навіть біометричною автентифікацією, такою як сканування відбитків пальців або обличчя. Біометричний захист зазвичай діє як додатковий рівень, тому вам все одно доведеться використовувати свій головний пароль і будь-який увімкнений двоетапний вхід. Немає такої речі, як забагато рівнів безпеки, особливо коли лише один пароль/ключ може розблокувати сховище, повне конфіденційних даних.
Також варто зазначити, що налаштування MFA або біометричної аутентифікації не альтернатива головному паролю. Вам все одно знадобиться головний ключ для розшифровки даних сховища перед доступом до них після проходження додаткових рівнів. Технічно вам потрібно буде ввести головний пароль лише один раз для кожного пристрою, оскільки дані сховища з сервера потім автоматично завантажуються та зберігаються локально. Це також підводить мене до мого наступного — і, мабуть, найважливішого — пункту.
Не забудьте свій головний пароль!
Майже всі сучасні менеджери паролів працюють із нульовим шифруванням, тому вони не можуть прочитати чи отримати ваш головний пароль. Деякі з них пропонують вам інструменти для відновлення пароля, якщо ви його забули, але ви не можете використовувати їх, якщо ви попередньо не авторизували ці параметри. Деякі з цих варіантів включають:
- Підказка до пароля: Ваш менеджер паролів надішле вам підказку до пароля (якщо ви її налаштували) електронною поштою.
- Доступ за допомогою екстреного контакту: Якщо у вашому обліковому записі ввімкнено опцію екстреного доступу, ви можете зв’язатися зі своїм екстреним контактом, щоб відновити доступ до свого сховища.
- Скидання пароля адміністратора: ті, хто має корпоративний обліковий запис, можуть звернутися до своїх адміністраторів, щоб скинути налаштування та відновити доступ до своїх облікових записів.
Параметри відновлення, згадані вище, працюватимуть, лише якщо ви їх авторизували раніше. Деякі менеджери паролів, такі як Dashlane, також дозволяють отримати головний пароль за допомогою біометричної автентифікації, але навіть це працюватиме, лише якщо ви ввімкнули його, перш ніж забути головний пароль.
Усі сучасні менеджери паролів працюють із нульовим шифруванням, тому вони не можуть прочитати або отримати ваш головний пароль.
Якщо жоден із цих варіантів не дає вам доступу, у вас немає іншого вибору, як видалити свій обліковий запис і створити новий. Це також означає, що ви втратите елементи, що зберігаються у вашому сховищі, тому вам доведеться скинути дані для входу для кожного облікового запису.
Початок роботи новачка
Я був так само приголомшений, як і ви зараз, прочитавши все. Якщо вам не зручно налаштовувати менеджер паролів для всіх ваших облікових записів, то чому б не почати використовувати його для деяких простих або випадкових облікових записів? Знаєте, ті, які ви, можливо, створили, щоб перевірити безкоштовну пробну версію або прочитати статтю за платним доступом.
Я також рекомендую перевірити воду за допомогою безкоштовних менеджерів паролів, перш ніж підписатися на преміум-підписку. Як новачок у світі менеджерів паролів, я почав використовувати Bitwarden, щоб ознайомитися з обліковими записами з низьким рівнем ризику. Bitwarden поставляється з усім необхідним і не блокує нічого важливого під платним доступом. Він також повністю відкритий, тобто ви можете переглядати, перевіряти та робити внески в код Bitwarden на GitHub.
Я також знаходжу спокій, знаючи, що можу ігнорувати хмарне сховище Bitwarden і весь стек інфраструктури хоста на платформі, яку я виберу. Знову ж таки, це зводиться до функцій, які ви хочете, тому обов’язково шукайте різні варіанти та виберіть той, який, на вашу думку, найкраще підходить для вашого випадку використання. Ви завжди можете перевірити наш колекція кращих менеджерів паролів як тільки ви дізнаєтесь про тонкощі та будете готові кинутися.