Безопасное хранение паролей. Как и где правильно хранить пароли Где сохранены пароли на компьютере

Если верить книге Rock Breaks Scissors, каждый сотый пароль в мире представляет собой комбинацию qwerty, password, 123456 или 12345678. При таком раскладе статистика Dashlane , согласно которой в прошлом году было взломано более 2,5 миллиарда аккаунтов, уже не кажется столь преувеличенной.

Быть может, пора уже перестать забивать на элементарные правила информационной безопасности и наконец-то установить надёжные пароли? Сейчас Лайфхакер научит вас создавать комбинации, на взлом которых потребуются тысячелетия, и безопасно их хранить.

Каким должен быть надёжный пароль

Когда-то приемлемым считался пароль наподобие Pa55w0rd. Сейчас такие комбинации подбираются моментально. Позже к рекомендациям по созданию надёжных паролей добавилось включение специальных символов, но и это давно не помогает. Комбинация P@$5w0rd подбирается за несколько часов.

Проверить надёжность своих паролей можно на сайте наподобие How Secure is My Password . Если вы боитесь, что этот сервис уведёт ваши аккаунты, просто вводите похожие комбинации вместо реальных.

Главное в таком сервисе - это возможность понять, что именно влияет на надёжность пароля. Начните удлинять комбинации, добавляя к ним дополнительные символы, и наблюдайте за изменением ожидаемого времени на подбор.

Получается, чем длиннее пароль, тем он надёжнее. Подбор простой, но длинной комбинации из 12 случайных цифр и букв займёт 24 года. Добавьте к ней всего один символ, и злоумышленнику потребуется уже тысяча лет. 14 символов - 42 тысячи лет. 15 символов - 2 миллиона лет. Пароль из 16 букв и цифр подбирается за 74 миллиона лет. Остаётся пожелать взломщикам удачи и терпения.

Как создавать надёжные пароли

Очевидно, что даже очень длинная комбинация, состоящая из единичек, вскрывается на раз-два. Сложнее всего угадать математически случайные наборы символов, но человеческий мозг не силён в этом деле. Пытаясь придумать что-то сложное, но при этом простое для запоминания, мы неизбежно обращаемся к каким-то датам, событиям и подобным известным комбинациям.

Проще говоря, человек мыслит предсказуемо, а вот специальные машинные алгоритмы умеют генерировать по-настоящему случайные комбинации.

Для создания длинных надёжных паролей отлично подходит Password Generator от Random.org.

Обратите внимание на факты и советы, размещённые на странице сервиса:

• Генерируемые пароли передаются в ваш браузер по защищённому протоколу.
• Генерируемые пароли не сохраняются на серверах сервиса.
• Использование онлайн-сервисов подходит для генерации паролей к чему-то не слишком важному.
• Никогда не используйте онлайн-сервисы для генерации паролей к критически важным аккаунтам.

Получается, самые важные пароли всё-таки нужно придумывать самому.

Как хранить пароли

Проблема длинных паролей в сложности их запоминания. Вряд ли вы удержите в голове пару десятков комбинаций, состоящих из 14 и более знаков и включающих спецсимволы.

Решением может стать использование специального приложения-хранилища. Грубо говоря, это цифровой защищённый сейф, в котором лежат все ваши пароли. Чтобы открыть сейф, нужен мастер-пароль. Соответственно, вместо десятков комбинаций вам нужно будет держать в голове только одну, открывающую доступ ко всем остальным.

При таком подходе важно помнить о правиле цепи, согласно которому надёжность всей системы равна надёжности её самого слабого звена. Проще говоря, мастер-пароль должен быть действительно сложным и длинным, а беречь его нужно особенно тщательно.

Если вы вообще не доверяете приложениям, то попробуйте «ПарольКарту».

Это карточка с набором символов, которую нужно распечатать , а затем самостоятельно разработать понятный для себя алгоритм создания паролей.

Интернет прочно вошёл в нашу жизнь. Все мы, даже совсем неблизкие к IT люди, пользуемся большим количеством самых разнообразных сервисов, начиная от почты и заканчивая социальными сетями. Практически все сервисы требуют регистрации. Но для обеспечения безопасности использовать нужно разные пароли, состоящие из многих символов. Ну большинство людей, пользующихся интернетом, знают о требованиях к безопасным паролям. Но тут возникает одна небольшая проблема: как запомнить все эти множества паролей?

Недавно я и задался таким вопросом. Потерять, например, аккаунт от почты для меня было бы очень трагично. Записывать пароли в файл? Появляется риск подарить все свои аккаунты разом. Записывать на бумажку? Риск потерять бумажку и как следствие все пароли сразу. Плюс я задумался о доступности своих паролей в любом месте земного шара. И тут я вспомнил о своём любимом редакторе emacs. А в частности об Org-mode и EasyPG в emacs. Описывать как работать в org-mode я не буду, это сделали до меня (ссылки: ; Руководство по Org-mode).

Так в чём же заключается хитрость? А всё элементарно. Вместо файла filename.org, необходимо создать файл filename.org.gpg. Emacs автоматически откроет файл в Org-mode. Затем записать в этот файл пароль, лучше воспользоваться генератором паролей (я, например, использую однострочник на bash: $cat /dev/urandom | head -1 | tr -d -c "a-zA-Z0-9!@#$%^&*()"|fold -w 25| head -1), и, конечно, не забыть написать от чего пароль и логин. А потом просто сохранить файл. Emacs сам предложит варианты действий: использовать ключ для ассиметричного шифрования или нажать OK для симметричного шифрования с вводом пароля. Здесь уже на выбор пользователя, но я предпочитаю использовать симметричное, потому что одним из требований являлся доступ к файлу не только с домашнего компьютера, а таскать с собой приватный ключ мне не очень нравится.

Но тут появляется новая проблема: нужно помнить пароль от зашифрованного файла. И опять же использовать простой пароль для данного файла мы просто не имеем права. Слишком большая вероятность его потерять, особенно если постоянно носить с собой на флешке копию этого файла. И опять мы сталкиваемся с проблемой запоминания данного пароля. Но есть выход. Если мы не можем запомнить пароль, то нужно сделать так, чтобы мы могли этот пароль восстановить. А делается это просто: мы берём отрывок из любой книги, например, один абзац. Помещаем этот отрывок в текстовый файл. file.txt. И считаем MD5 или SHA1 данного файла. $ echo "любой отрывок текста из любой книги" > file.txt $ md5sum file.txt | fold -10 | head -1 95584f1920 $ rm file.txt
В результате мы получаем надёжно зашифрованный текстовый файл с надёжными паролями. Можно скопировать данный файл на флешку и носить с собой или скопировать на удалённую машину к которой есть доступ из сети, что обеспечит доступность паролей в любой точке мира. А при забывчивости мы всегда сможем восстановить пароль от этого файла затратив небольшие усилия. Плюс ещё в том, что емакс кроссплатформенный. А даже при отсутствии оного, файлы.org представляют из себя plaintext, благодаря чему мы можем расшифровать файл утилитами gpg и открыть файл любым текстовым редактором. И напоследок, данным способом можно хранить любую приватную информацию.

Конечно, я не говорю, что этот способ единственен и правилен. Но для меня этот способ оказался очень удобен. Надеюсь он пригодится не только мне. Берегите свои пароли. ;^)

Здравствуйте!

Не так давно у меня возникла идея о создании своей личной программы для бэкапа паролей Google Chrome. Да, в интернете очень много подобных программ, но результат паранойи (что пароли сливаются на чей то сервер «про запас»), да и желание узнать, чем дышит любимый браузер - перевесили чашу весов.

Рассказывать буду на основе ОС Windows 7.

Начну с того - где хранится файл с паролями. Этот файл - "Login Data " в папке "C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\ ".

Это база данных SQLite.

В ней есть 14 колонок. Нас же интересуют только 3: origin_url (ссылка на сам сайт), username_value (логин), password_value (пароль). Среди других колонок есть так же: страница авторизации, название элемента ввода для логина и пароля и другие. Все данные незашифровыванны (видно на скрине), кроме поля password_value .
В поле с паролем находится байтовый массив. Выглядит он следующим образом.

Способ шифрования выбран очень удобный для разработчиков. Они использовали Data Protection Application Programming Interface (), который использует Windows.
Подробнее информация в ссылке, тем более эта система шифрования заслуживает отдельной темы. Вкратце скажу, что эта система работает в одном из 2 режимов.

1. С использованием машинного ключа.
   Ключ уникален для текущей системы. Но он позволяет разным программам работать с зашифрованными данными без передачи ключа друг - другу, но исключая утечку данных за пределы машины, а точнее пользователя.
2. С использованием ключа пользователя.
   Без комментариев.

В конце статьи есть исходный код программы. Основные её моменты мы сейчас разберем.

Итак - начнем!

Объявим нужные нам объекты и переменные:

Теперь осталось только вытащить нужную информацию из неё и записать в файл. На этом этапе файл уже не используется - работа ведется только с объектом DataTable:

В итоге у нас есть HTML-документ с нашими логинами-паролями, которые можно хранить на своем мобильном телефоне, или распечатать и положить в конверт… При желании можно записывать больше полей, но лично мне хватает выше упомянутых трех.

Если есть вопросы - с удовольствием отвечу. Большое спасибо за внимание!

P.S. Если у Вас 64-битная операционная система, то Вам следует заменить файл библиотеки на тот, что находится в корневой папке архива. Я не гарантирую, что данная программа будет работать на Windows XP, или других ОС. Так как проверялось только на Windows 7.

Здравствуйте, мои любимые читатели!

В современном мире компьютерных технологий пароли нужны практически во всем.

А чтобы защитить эти самые данные от ненужных глаз, мы снова и снова придумываем новый password. Как же запомнить такое количество паролей и не перепутать их?

Давайте поговорим о том, как и где хранить пароли, чтобы злоумышленники не смогли к ним подобраться.

Запомнить

Это самый безопасный способ для людей с отличной памятью. Разберем его плюсы и минусы.

К плюсам без сомнения относится следующее:

• Посторонние люди, программы и машины его не узнают. Конечно, если вы не сообщите.
• Информация всегда вам доступна, где бы вы ни были. Password всегда в вашей голове;
• Никаких ПО не нужно. Все необходимое вам дано природой.

Но и минусы имеются. Человеческая память - предмет не надежный.

Во время стресса и в самый неподходящий момент можно попросту забыть или перепутать пароли. Ну а самый надежный и безопасный длиннющий набор символов запомнить вообще не каждому под силу (особенно если их несколько)

Получается, что при большом количестве паролей рассчитывать только на память крайне сложно, а скорей всего и невозможно.

Завести блокнот

Старые добрые блокноты, стикеры и прочие бумажные носители по-прежнему актуальны в некоторых случаях.

• ключи любой длинны и сложности не будут забыты, если, конечно, не потерять носитель;
• всегда можно добавлять логины и пароли в списки. Ограничение лишь в количестве страниц;
• не нужны никакие электронные носители;
• блокнот/тетрадь легко взять с собой.

К минусам же относятся:

• риск потерять все данные сразу;
• такие записи обычно не шифруются, поэтому не составит труда подсмотреть их и пустить в дело;
• возможность утраты блокнота при непредвиденных обстоятельствах - пожар, затопление, дети разрисовали и прочее;
• если данных много, становится проблематичным отыскать нужные.

Значит, этот вариант лучше надежды на собственную память, но только при наличии небольшого количества паролей.

Текстовые файлы

Практически тоже самое, что и хранить информацию на бумажном носителе, но есть и свои особенности. К плюсам можно отнести:

• возможность копирования ключей без использования клавиатуры;
• работать проще, чем с менеджером паролей.

Минусы тоже имеются:

• привязанность к электронному устройству, на котором размещен файл;
• никакой защиты.

Программные менеджеры

Очень многие юзеры считают самым оптимальным вариантом – программные менеджеры. Давайте рассмотрим и этот вариант.

• удобный поиск и организация данных;
• простота внесения новой инфы;
• можно не набирать password, а копировать из программы;
• файл с сохраненными данными автоматически шифруется на жестком диске;
• . Можно хранить несколько копий во избежание утери данных (например, на компьютере и на андроид-устройстве);
• в основном, возможна синхронизация с телефоном, так что важные символы всегда в кармане.

• требуется устройство с установленной программой;
• вирусы все же являются опасностью (например, перехватчики);
• файл все же может попасть не в те руки и быть расшифрован;
• все же один password запомнить придется. Мастер-пароль, который открывает доступ ко всем данным.

В итоге получаем - для хранения большого количества информации вариант хороший. Можно ставить пометки и прочее. Но помнить или записать основной ключ необходимость остается.

Одной из популярных программ является KeePass Password Safe. Данный менеджер использует передовые алгоритмы шифрования, поэтому обеспечивает максимальную безопасность.

Еще могу посоветовать Скарабей. Это простой и понятный менеджер, который имеет встроенный генератор паролей.

Браузер

Когда вы впервые вводите свой password на том или ином сайте, спрашивает: сохранить его или нет. Если вы соглашаетесь, тогда при повторном входе на тот же сайт, вам не придется снова вводить свои пароль и логин.

• данные вводятся вручную только один раз. Затем их вводит система автоматически;
• никто не сможет подсмотреть password, даже стоя за вашей спиной;
• такие хранилища постоянно дорабатываются.

Но и минусов в такой системе хватает:

• кому нужно, тот все равно может узнать ваш пароль;
• в случае смены браузера, падения или переустановки системы все данные будут утеряны. Но этого кстати можно избежать, если заблаговременно подготовиться. Читайте об этом ;
• нет резервного копирования;
• поскольку пароли вводить не нужно, они попросту забываются. Так, желая войти в свой аккаунт с другого устройства или через другой браузер, есть риск столкнуться с трудностями;

Облачное хранилище + менеджер паролей

Плюсы очевидны:

• все плюсы из списка менеджера паролей;
• файлы с любого подлежат синхронизации с любыми устройствами. Резерв можно сохранить и в айфоне;
• доступ к файлам из любого места. При поломке собственного устройства доступ к нужным данным можно получить с любого девайса.

Но есть и минусы:

• все минусы менеджера;
• нужно подключение к Сети, чтобы синхронизация стала возможной;
• привязка к девайсу с выходом в Интернет для доступа к собственным данным;
• зависимость от работы сервиса.

Самым популярным сервисом является LastPass . Он хранит все пароли в «облаке» на удаленном сервере в специальном персонифицированном хранилище.

Особенность LastPass — это наличие функции экспорта паролей из браузера (все пароли, введенные на сайтах, предлагается отправить в хранилище LastPass).

Как видите, любой из предложенных вариантов имеет свои положительные и отрицательные стороны. Решайте сами, что выбрать. Весомыми факторами для правильного выбора являются количество и важность ключей.

К примеру, если их очень много (больше 20) или же они крайне важны (пароли от банковских карт, электронных кошельков и прочего), то конечно стоит позаботиться о надежности защиты данных.

К сожалению, с покупкой компьютера не выдается пособие по его эффективному использованию. А ведь хранение данных очень важно, и не так-то просто разобраться во всем многообразии предложений. С этим может помочь обучающий курс «Секреты продуктивной работы за компьютером ».

В 15 уроках курса Е. Попов подробно раскрывает эту тему. Такая информация будет полезна не только людям, работа которых тесно связана с компьютером, но и рядовым пользователям.

Вот и все, что я хотел вам рассказать. Подписывайтесь на новостную рассылку моего блога, делитесь ссылкой на эту статью в соц. сетях и скоро увидимся.

С уважением! Абдуллин Руслан

Требует авторизации по паролю. Ставить одинаковый пароль на все сервисы очень не рекомендуется. И это понятно. Осталось решить, что делать, если у вас этих паролей, допустим, от 5 и до бесконечности. Ведь запомнить все это просто нереально или требует значительных усилий и сверхпамяти. К счастью, можно не прибегать к услугам стороннего программного обеспечения (хотя программ для множество) - даже в штатном браузере Internet Explorer есть подобных механизм. Давайте рассмотрим его подробнее, чтобы ответить на вопрос, где хранятся пароли в этом еще достаточно популярном браузере, и главное, в каком виде. Снобы от IT возмутятся - "это же прошлый век, использовать это решето, надо же ставить качественный сторонний браузер!" Но следует отметить, во-первых, что и в Windows можно настроить достаточно высокий уровень безопасности, используя хороший антивирус и учетную запись с ограниченными правами. А во-вторых, это самый простой способ хранения, исключающий установку дополнительного программного обеспечения. Чем проще система, тем она надежней.

Настройки хранителя паролей можно найти на вкладке "Содержание" (кнопка "Автозаполнение") иконки панели управления". Храниться там могут пароли к сайтам (в том числе запоминаемые методом автозаполнения) и информация для автозаполнения (логины). Не забудьте поставить галочку "Запрос на сохранение удобно задать, набрав его в блокноте, и с помощью операции "вырезать" перенести в соответствующее поле открытого сайта. Internet Explorer спросит сохранить ли пароль, ответить надо положительно. Тогда при следующем заходе на страничку авторизации и щелчке левой кнопкой мыши, система предложит вам выбрать логин, а поле пароль будет заполнено самостоятельно. Несмотря на популярные заблуждения о ненадежности хранения паролей в Internet Explorer, они шифруются в отличие от того же Google Chrome. Разумеется, уже существуют многочисленные специальные утилиты для их расшифровки. Место хранения - каталог Cookies в папке пользователя, под которым вы сохраняли пароль, прямо в Documents & Settings. Это самый простой и надежный метод хранения, по крайней мере, лучше, ведь некоторые сервисы предлагают хранение паролей в интернет, что очень ненадежно. А что если вам удобно пользоваться другим браузером или вы хотите улучшить удобство? Для этого в браузерах Opera и Firefox тоже предусмотрен механизм автозаполнения.

Давайте посмотрим, каким образом можно настроить сохранение паролей в опере. Просто открываем меню, схожее с Windows-ким пуском и выбираем там "Общие настройки". Ищем заметную вкладку "Формы" и ставим галку "Включить управление паролями". В результате этих манипуляций при следующей установке паролей в верхней части появится специальная панель, предлагающая сохранить введенный пароль в базе данных Opera. Ответ на вопрос где хранятся пароли прост, найти все пароли оперы можно в файле wand.dat, расположенном в папке (находится в профиле пользователя)/IOpera/Opera. В Windows 7/Vista в каталоге Appdata\Roaming\Opera\Opera.

Существует менеджер паролей и в Сохранение паролей в этом браузере производится по умолчанию, файл их находится в профиле, так что ответ на вопрос, где хранятся пароли, для этого браузера прост. Копию профиля желательно сохранить вместе с бэкапом системы.

Следует отметить, что все вышеприведенные способы хранения секретной информации сравнительно неудобны. Все-таки надо самому каждый раз придумывать пароль, а это чревато тем, что злоумышленники легко подберут его методом перебора по словарю. Так что если по роду вашей профессиональной деятельности приходится сохранять действительно много персональных данных, поможет утилита Roboform Lite, походящая для всех распространенных браузеров и платформ (включая Linux и Mac), которая не даст злоумышленникам понять, где хранятся пароли, а если у них и получится узнать, то воспользоваться они ими не смогут (так как они зашифрованы).