Менеджеры паролей, которые не хранят пароли
Менеджеры паролей — один из лучших вариантов для управления информацией учетной записи. Они бывают двух основных разновидностей: локальное хранилище и удаленное хранилище, которые обладают как преимуществами, так и недостатками.
Решения для локального хранения, такие как KeePass или Enpass хранить зашифрованный файл базы данных паролей в локальной системе, тем самым удаляя облачное хранилище и сетевой трафик как вектор атаки. Решения для удаленного хранения, такие как LastPass или Dashlane с другой стороны, упростить задачу, если вы используете несколько устройств, и они также могут размещать информацию в Интернете через веб-интерфейс.
Оба используют зашифрованные базы данных паролей, которые разблокируются мастер-паролем пользователя.
Существует третий вид диспетчеров паролей, который приобрел известность сравнительно недавно: те, которые вообще не хранят пароли. Их называют менеджерами паролей без сохранения состояния или детерминированными менеджерами паролей.
Примеры Приложение с мастер-паролем, доступный для различных настольных и мобильных операционных систем, а также веб-приложения, и Forgiva, коммерческое решение для паролей для различных настольных операционных систем.
Менеджеры паролей, которые не хранят пароли
Менеджеры паролей, такие как Master Password App, не хранят пароли, а генерируют их на лету, когда они нужны.
Например, для этого конкретного приложения пароли генерируются с использованием имени, сайта, для которого установлен пароль, и главного пароля.
Вот как это работает более подробно:
- Вы вводите свое имя и мастер-пароль, чтобы войти в менеджер паролей.
- Интерфейс генерации пароля и поиска идентичен. По сути, чтобы создать или отобразить пароль, вы просто вводите имя сайта — или любое другое имя, если на то пошло.
- Затем вы можете скопировать пароль на сайт, чтобы войти в свою учетную запись или зарегистрировать учетную запись.
Forgiva расширяет этот базовый подход, добавляя визуальные подтверждения шаблонов, различные алгоритмы получения ключей и систему сертификации.
Общим для обоих является то, что пароли генерируются с использованием информации, которая либо вводится пользователем, либо создается во время начальной настройки.
Основное преимущество, которое они предлагают перед обычными менеджерами паролей, заключается в том, что злоумышленники не могут выгружать файл базы данных менеджера паролей, атакуя локальное устройство или компанию, которая хранит данные в облаке.
Кроме того, поскольку пароли не хранятся в базе данных, синхронизация для получения доступа к паролям между устройствами не требуется. Все, что требуется, — это доступ к приложению, мастер-пароль и, возможно, другие данные в зависимости от продукта, чтобы получить доступ ко всей информации.
Предостережения
Хотя детерминированные менеджеры паролей избавляются от хранилища, они так же уязвимы для определенных форм атак, чем обычные менеджеры паролей.
Поскольку пользователям необходимо каким-то образом получить пароль, отображаемый в программах, и ввести их на веб-сайте или в приложении, это означает, что они будут либо скопированы в буфер обмена, либо введены вручную с клавиатуры.
В зависимости от уровня сложности услуги получение мастер-пароля может дать вам доступ ко всем паролям, если продукт не использует другие меры безопасности (например, Forgiva).
Обновление пароля также может быть проблемой, если служба не предлагает такую возможность. Кроме того, в зависимости от функциональности эти менеджеры паролей могут не предлагать опции для хранения дополнительных данных, например ответов на секретные вопросы.
Вывод
Детерминированные менеджеры паролей предлагают интересный подход к управлению паролями. Хотя они отказываются от хранения паролей, они не защищены от атак и могут быть ограничены с точки зрения того, какие еще данные — если таковые имеются — могут быть ими сохранены.
Теперь ваша очередь : Вы пользуетесь менеджером паролей? Если да, то что и почему?
