60. Менеджеры паролей. Теория.

У каждого из современных пользователей есть свой сборник паролей к разным сайтам и сервисам. Естественно что необходимо заботиться не только о безопасном хранении этих данных, но и обеспечить к ним лёгкий и быстрый доступ. Как это всё работает - далее в материале.

Как обычно, сначала немного теории.

Для чего вообще нужны менеджеры паролей? Можно подумать что рядовой домашний пользователь не может быть целью для злоумышленников, а значит все пляски с бубном вокруг этого вопроса могут показаться излишеством.

К сожалению, известны случаи, когда похищались крупные суммы денег. Например был взломан личный аккаунт человека, с которого был отправлен мэйл (якобы сейчас почему-то рабочий аккаунт не подключается) коллеге с просьбой утвердить и оплатить счёт фирме посреднику за оказание выполненных услуг, . Понятно что в этом случае никаких посредников и выполненных работ не было.

Сегодня существует множество социальных сетей и других сервисов для общения. При наличии навыков, есть вероятность получить данные к одному аккаунту взломав другой, или цепочку аккаунтов. Отсюда вытекает вероятность что взломанный аккаунт может быть использован в другой цепочке противоправных действий. И именно поэтому всегда и везде рекомендуется использовать для каждого сервиса свой отдельный сложный пароль. А в идеале ещё и обновлять их каждые несколько месяцев.

Исходя из всего вышеперечисленного, становится понятно что запомнить  даже один пароль из 12 символов* может быть проблемой. Не говоря уже о множестве таких паролей.  

*рекомендуемый минимум: заглавные+прописные+цифры+спец.символы

Очевидное решение - это менеджер паролей.

Некая база, в которой все данные хранятся в зашифрованном виде, для доступа к которым надо помнить только один мастер пароль.

Например, менеджер паролей паролей от Гугл, который много кто использует. Удобно и просто. Те же пароли и на компе и на смартфоне, всё вроде бы прозрачно и доступно. Однако давайте копнём чуть глубже и посмотрим как это всё работает.

Имеется служба, сервера которой разбросаны на специальных площадках по всему миру. Когда пользователь создаёт в этой службе новую учётную запись или заходит в уже имеющуюся, то ему становятся доступны разные сервисы предоставляемые этой службой. Одна из них это менеджер паролей. Т.к. все данные всех сервисов хранятся на тех самых серверах, то и пароли в учётной записи менеджера паролей будут храниться там же. Другими словами, данные для входа на любимые сайты не хранятся в браузере или смартфоне, а всего лишь синхронизированы с ними. Т.е. копируются и обновляются с "облака".

Гугл приведён только в качестве примера. Служб, предлагающих подобные решения и работающих по схожему принципу, сегодня очень много.

Наверняка ни у кого из пользователей не будет положительного ответа на следующие вопросы:

• Можете ли вы быть на 100% уверены что ваши пароли не могут быть использованы, прочитаны или переданы третьей стороне? Причём даже не организацией в целом, а просто кем-то из её недобросовестных сотрудников.
• Можете ли вы быть на 100% уверены что третья сторона не исчезнет (закроется) в одночасье, и ваши пароли останутся где-то там, на пылящихся и выключенных серверах?

Т.к. речь идёт об очень важном виде данных, то и выбирать решения обеспечивающие защиту этих данных необходимо максимально критично.

Самым надёжным "сейфом" для хранения паролей является устройство (стационарный компьютер или ноутбук) максимально изолированное от внешнего мира. НО!

Очень велика вероятность что будет необходимо иметь доступ к паролям не будучи подключенным не только к той же сети что и сервер, а так же например на мобильном устройстве находясь, где угодно.

Отсюда следует список требований к такому устройству:

1. Конечно же безопасность этого компьютера должна быть настроена надлежащим образом:

а именно:

    - получать во время необходимые обновления.

    - не быть подключенным к незнакомым сетям.

    - иметь защищённое соединение.

    - данные должны храниться в зашифрованном виде.

2. Конечно же необходимо производить резервное копирование базы данных с паролями куда-то ещё, на случай выхода из строя как самого компьютера, так и диска, на котором хранится база.

3. Конечно же обеспечить синхронизацию паролей между компьютером и любым другим мобильным устройством в таком случае очень проблематично.

Исходя из всего вышеперечисленного, приходим к созданию селф-хостед системы.

Самоуправляемый (self-hosted) сервис или сервер - это система, которая размещается и поддерживается вашей собственной организацией или лично вами. Она позволяет вам хранить данные, запускать приложения и предоставлять услуги, не завися от сторонних поставщиков облачных услуг. Это дает вам больший контроль над данными, безопасностью и настройками, но требует больше усилий по управлению и обслуживанию.

Продолжая тему виртуализации из предыдущих статей, становится ясно что в принципе можно разместить на своём мини сервере (при наличии вычислительных мощностей конечно же) подобное решение. Тем более что такая система не должна быть особо прожорливой к ресурсам.

Т.е. по факту, речь идёт о собственном облаке с блэкджеком и менеджером паролей.

На этом теоретический экскурс окончен. К практике перейдём в следующей статье.