Какой из способов хранения пароля?
Как и где хранить пароли, чтобы их не украли?
Пароли давно стали привычной и обыденной частью нашей жизни, вроде бы простой, но от этого не менее эффективной и полезной. Хотите включить компьютер, проверить почту, снять деньги в банкомате — введите пароль. Вы должны помнить свой пароль от почтового ящика, а если у вас их несколько, то вам, конечно, приходится помнить их несколько, а это, согласитесь, не очень легко.
Конечно, хорошо было бы, если бы пароли состояли из одного знака, например. Но тогда бы они не были столь эффективны. Чем он длиннее и сложнее, тем больше гарантия того, что никто не доберётся до вашей личной информации и не воспользуется вашей картой.
Место хранения пароля — личное дело, поэтому не ждите, что кто-то расскажет вам о своём способе, ведь это всё равно что поделиться сокровенной тайной.
Но я не буду скупиться и попробую помочь вам в этом: расскажу немного о том, где и как их следует хранить.
Программы для хранения паролей
Одним из надежных способов сберечь свои пароли от посторонних глаз или, не дай бог –кражи, являются специальные программы для компьютера.
В пользу использования программ для хранения говорит два весомых аргумента:
- Вы можете сохранить не только пароль, но и другие данные учетной записи.
- Все вводимые данные надежно шифруются, тем самым предотвращая возможность кражи.
Из минусов стоит отметить:
- Забыв пароль от программы, вы потеряете доступ ко всем своим паролям.
- При возникновении критических неполадок в операционной системе, требующих ее переустановки, вы так же лишаетесь всех данных.
В описанных выше случаях, будет уместна поговорка – «Не храните все яйца в одной корзине».
Зачем надежно хранить – ненадежные пароли? Читайте нашу инструкцию по созданию взломо-устойчивых паролей — hyperione.com/pridumat-parol/
Зачем надежно хранить – ненадежные пароли? Читайте нашу инструкцию по созданию взломо-устойчивых паролей — hyperione.com/pridumat-parol/Давайте перейдем к обзору самых популярных программ.
Lastpass
Явным представителем популярных диспетчеров паролей, является «lastpass». Сервис представлен не в виде привычных всем программ для Windows, а расширениями для каждого браузера в отдельности.
Сохраненные доступы к почте, социальным сетям и другим сайтам в Lastpass, будут помещены в отдельном зашифрованном файле на вашем компьютере, а для обладателей «Premium» версии еще и в надежном облачном хранилище.
Дополнительными плюсами в использовании «Ластпасс» будут:
- Доступ к хранимым данным из любого установленного браузера. Расширение связывается с созданной учетной записью и затем с файлом на вашем ПК, хранящим пароли.
- Lastpass – позволяет заполнять формы авторизации на сайтах в один клик.
Перейдем к знакомству с предлагаемым функционалом на основе браузера Chrome.
Для установки расширения, перейдите на официальный сайт — www.lastpass.com/ru и выберите тариф «Free».
После успешной установки, вам будет предложено завести учетную запись на сервисе.
Окончив процесс регистрации, откройте расширение, значок которого находится в правом верхнем углу браузера.
В интерфейсе расширения, во вкладке «Сайты», выберите пункт «Добавить сайт».
Перед вами откроется новое окно браузера, с формой ввода данных для сохранения. Поле «Url» необходимо для авто-заполнения форм, с остальными должно быть все понятно.
Сохраненные пароли можно найти и изменить, перейдя в «Хранилище данных».
Работа с расширением Lastpass в других браузерах, абсолютно аналогична.
Keepass password safe
Keepass – классическая программа для хранения паролей, устанавливаемая непосредственно на компьютер. В отличие от предыдущего продукта, доступ к паролям, сохраняемым в Keepass происходит через интерфейс программы, что является несомненным плюсом для безопасности.
Скачивание и установка происходит исключительно со страницы на официальном сайте — keepass.info/download.html.
Я рекомендую устанавливать «Portable» версию на отдельный flash носитель, так вы убережете данные от «случайной» потери, в случаях, описанных выше.
После скачивания, распакуйте файлы zip архива в отдельную папку и откройте файл «KeePass.exe».
Для надежного хранения паролей создайте «Master Password» и «Key file», необходимые для доступа к сохраняемым данным.
Key file – дополнительная защита от несанкционированного доступа, его лучше сохранить на отдельном носителе.
Для завершения операции потребуется сделать несколько движений мышью, предварительно нажав «Use mouse as Random Source».
Сохранить пароль вы можете, нажав значок, показанный на скриншоте.
Выбирая из двух рассмотренных решений, мой личный выбор остановился именно на Keepass password safe, так как он обеспечивает более надежную защиту паролей, благодаря:
- Хранению всех данных непосредственно на компьютере.
- Возможности установки программы на flash носитель.
- Доступу ко всем данным с использованием «Key file».
С программами закончили, перечислим более «традиционные» способы хранения паролей.
- Записать в ежедневнике. «Бумажный носитель» — самый распространенный и крайне надежный способ, главное записывать все на один лист и не забыть место куда его положили.
- В мобильном телефоне. Записать пароль в любое устройство, находящееся всегда с вами – хорошее решение, главное позаботится о сокрытии файла с паролями от посторонних глаз.
- Отдельная «флешка». Создав отдельный текстовый документ для своих паролей и поместив этот файл на специально купленную для этого флешку – вы надежно обезопасите данные от утери или кражи. Главным минусом такого способа, с которым столкнулся лично я, является – обновление записанных данных, вечно забываю это делать.
В конце, стоит упомянуть — когда вы думаете о том, где бы сохранить свой пароль, важно помнить несколько важных правил: никогда не оставляйте бумажки с паролями в паспорте или кошельке, т.к. это самые ненадёжные места.
Не пишите пин-код на своей карте, это также небезопасно. Не забывайте, что кошелёк и паспорт — очень заманчивые предметы для воров.
И не забывайте о банальных правилах безопасности в интернете, тогда все ваши данные будут в сохранности.
Как и Где Лучше Хранить Пароли от Сайтов?
Вопрос о безопасном хранении логинов и паролей от сайтов в настоящее время очень актуален. Количество интернет-мошенников и разнообразных хакеров с каждым годом растет, и лучшая защита от них — ответственное (хотя бы перед самим собой) и осторожное использование компьютеров и гаджетов с выходом в сеть. Безопасное хранение паролей от сайтов — одна из главных мер предосторожности.
- О способах хранения паролей от сайтов
- Хранение паролей в браузере
- Хранение паролей в специализированных программах
О способах хранения паролей от сайтов
Кратко рассмотрим 4 способа хранения паролей, которыми пользуется большинство интернет-пользователей.
- Локальное (на компьютере/телефоне) хранение в запароленном текстовом файле или каком-нибудь цифровом документе офисного формата (DOCX, PDF, XLSX и т.д.). Текстовые файлы можно, например, зашифровать в архив (ZIP, RAR и др.), защитив тот сложным паролем. А в случае с офисными документами, то их можно зашифровать в самом редакторе при сохранении файла — в тех же Microsoft Word и Excel присутствует такая функция. Способ надежный, если задать сложный пароль, но совершенно неудобный — про автоматическое заполнение форм ввода логина/пароля на сайтах можно забыть.
- Хранение паролей в зашифрованном облачном хранилище на удаленном сервере, что также довольно надежно, но опять-таки совершенно удобно по тем же самым причинам. Зато, в отличие от первого способа, доступ к паролям можно получить из любой точки мира. Впрочем, зашифрованный файл можно также разместить в облаке или изощриться каким-либо иным способом.
- Хранение прямо в браузере при использовании соответствующей встроенной функции любого современного веб-обозревателя. Этот способ, наоборот, самый удобный, но не самый надежный. Если речь идет, к примеру, о паролях от онлайн-банков, то лучше не полагаться на встроенные механизмы безопасности браузера.
- Хранение в специальных программах или расширениях (плагинах) для браузеров — менеджерах паролей. Данный способ сочетает в себе и удобство, и надежность. Но есть и недостатки. Для многих пользователей использование парольного менеджера — не самая простая задача, так как она требует скачивания, установки и предварительной настройки данной программы или расширения. К тому же, в большинстве случаев для использования менеджеров паролей потребуется раскошелиться, но, к счастью, это совершенно недорого, особенно при использовании отечественных программ.
Из рассмотренных выше наиболее популярными являются способы хранения паролей от сайтов в браузере или специальных парольных менеджерах (в т.ч. расширений для браузеров). О них и поговорим.
Хранение паролей в браузере
Явным преимуществом этого способа является удобство, например:
- Пользователь освобождается от установки каких-либо дополнительных программ или расширений, создания защищенных архивов или запароленных документов.
- Не нужно каким-либо особым образом настраивать сам браузер — все это уже сделано за пользователя. Чтобы занести логин/пароль в хранилище браузера, достаточно нажать на одну единственную кнопку, согласившись на сохранение. Так же просто и задействовать автоматическое заполнение веб-форм.
- Пароли, сохраненные в браузере, доступны на любом устройств — компьютере, смартфоне и т.д. Для этого потребуется лишь зарегистрироваться на сайте разработчиков веб-обозревателя, а затем выполнить вход в один и тот же аккаунт на всех устройствах.
Однако по части безопасности способ хранения паролей в браузере нельзя назвать самым надежным.
Потому что:
- По умолчанию (без предварительных настроек) пароли в браузере хранятся в «чистом» виде, т.е. незашифрованными. Чтобы увидеть и похитить все сохраненные пароли, злоумышленнику даже не нужно запускать веб-обозреватель — достаточно найти (а это несложно) специализированный файл с паролями на жестком диске.
- В качестве «заплатки» этой «дыры» в системе безопасности браузеров используется парольное шифрование того самого спецфайла с паролями. Доступ к нему невозможно будет получить без запуска браузера. При попытке использования сохраненного пароля или просмотра всех паролей потребуется ввести ранее заданный ключ дешифровки. Но вводить его нужно, как правило, всего один раз за сессию, так как база с паролями будет оставаться расшифрованной до закрытия браузера. И это еще одна «дыра» в механизме безопасности обозревателя. Если как-то вышло, что злоумышленник (или просто «приколист») — это коллега по работе, то он просто дождется, пока пользователь введет ключ дешифровки и оставит свой компьютер без присмотра на пару минут.
- Пароли, хранящиеся в одном браузере, недоступны в других, используемых пользователем. Конечно, пароли можно перенести путем экспорта файла из одного обозревателя и последующего импорта в другой. Но, опять-таки, это потребует от пользователя копаться в настройках. И еще не факт, что экспортированный файл из одного браузера будет перенесен в том же виде в другой.
- В браузерах зачастую отсутствуют дополнительные удобные инструменты по работе с паролями. К примеру, нет автоматической функции проверки сложности и надежности парольной фразы. Отсутствует или менее функционален встроенный генератор сложных паролей, например, нельзя выбрать тип используемых в пароле символов. Нельзя хранить вместе с паролями какие-либо иные данные — заметки и т.п.
Хранение паролей в специализированных программах
Гораздо большими преимуществами по части безопасности обладают специализированные парольные менеджеры. Хорошим примером тут может послужить система хранения паролей MultiPassword. Состоит она из двух основных частей — защищенного облачного хранилища и конечного пользовательского ПО, куда относится настольное (десктопное) приложение и расширение для браузера.
Высокую безопасность использования MultiPassword объясняет принцип ее работы:
- Доступ к удаленному хранилищу возможен только после авторизации в системе MultiPassword, для чего потребуется специальный секретный ключ и мастер-пароль. Взломать пользовательский аккаунт MultiPassword невозможно при использовании стандартных методов перебора пароля (так ка кпотребуется еще и секретный ключ). Этого, кстати, нельзя сказать о зашифрованном файле, в котором браузеры хранят пароли — здесь файлы не защищены от взлома путем перебора ключей доступа.
- Вводимые в приложение/расширение MultiPassword данные перед отправкой шифруются на пользовательском устройстве и передаются на уделенный сервер в зашифрованном виде. Это исключает возможность перехвата паролей где-то посередине между компьютером или телефоном и серверами MultiPassword при использовании сниффинга и прочих методов анализа, а также перехвата сетевого трафика. Да, злоумышленники смогут перехватить какой-то трафик (особенно, если для выхода в интернет используются публичные точки доступа к сети WiFi), но он для них останется абсолютно бесполезным набором непонятных символов.
- Все приложения (включая расширение для браузеров) MultiPassword по умолчанию настроены таким образом, что при длительном (несколько минут) бездействии пользователя интерфейс программы/расширения автоматически блокируется. Это снижает риски утечки паролей с компьютера/телефона по неосторожности пользователя (забыл заблокировать вручную, оставив компьютер включенным).
Вместе с более высоким (по сравнению со встроенными инструментами браузеров) уровнем безопасности парольный менеджер MultiPassword обладает и удобствами:
- Программа доступна для различных платформ (Windows, MacOS, iOS, Android и др.), что обеспечивает доступ пользователя к своим паролям с любых современных устройств.
- При использовании расширения для браузера становится возможным автоматического сохранения паролей в системе MultiPassword и автоматического заполнения полей ввода логина/пароля на веб-сайтах.
- Возможность хранения в зашифрованном виде вообще любой текстовой информации с привязкой к конкретному сайту или просто так.
- Возможность создания неограниченного количества хранилищ (каталогов) для разбивки паролей и других данных на удобные для пользователя категории.
- Возможность импорта в систему MultiPassword паролей из браузеров и других менеджеров.
- Наличие автоматической системы оценки надежности паролей и генератора парольных фраз по основным критериям (длина, тип используемых символов).
Система хранения паролей MultiPassword имеет и свои недостатки, свойственные, всем аналогичным парольным менеджерам. Программу/расширение нужно отдельно скачивать, устанавливать и настраивать (хотя все это несложно и занимает пару минут). Чтобы использовать систему MultiPassword более 30 дней (столько времени дается на опробование), придется оформить подписку. Радует, что цена собственной безопасности составляет символические 50 рублей в месяц.
6 самых надежных способов хранения паролей
Чтобы обезопасить свою личную информацию, необходимо не только создать сложную комбинацию, но и выбрать самый надежный способ хранения пароля. Только так можно обезопасить себя от взлома и утечки важных файлов.
Встроенные в браузеры менеджеры паролей
Дополнительная сложность, связанная с созданием паролем, – придумать место его хранения. Ведь сотни сайтов требуют обязательную регистрацию, а иногда код необходимо обновлять, все это приводит к тому, что пользователь владеет большим набором доступов. В голове сложно сохранить эту информацию, поэтому существуют разные способы ее хранения.
Проще всего хранить доступы непосредственно в браузере, ведь можно сохранить их сразу же после авторизации, помимо этого, есть возможность автозаполнения. Браузер будет автоматически подставлять логин с ключом безопасности на соответствующем сайте. Это очень удобно, если вы владеете большим количеством учетных записей на различных сайтах.
Обратной стороной такого простого способа является слабая защита личных данных. Такие ключи обычно чаще всего взламываются и используются злоумышленниками, но ничего не поделаешь.
| Плюсы | Минусы |
|---|---|
| Простота и удобство; | Ненадежность. |
| Автоматическая подставка учетной информации. |
Сторонние программы–менеджеры паролей
В сети можно найти множество специализированного софта, который генерирует коды, а также обеспечивает их хранение. Весь алгоритм их работы мы описывать не будем, так как у каждой программы он уникален, однако стоит отметить, что это надежный способ, так как для хранения используют сложные коды шифрования.
Но при скачивании необходимо использовать официальные источники, так как можно подцепить вирус. Учтите, что некоторые программы платные.
| Плюсы | Минусы |
|---|---|
| Надежность хранения; | Платная основа при использовании лицензированных версий. |
| Генерация сложных кодов. |
Плагины для браузеров
Еще один универсальный способ, который может обезопасить ваши данные, – специальные плагины для браузеров. Они сохраняют удобство встроенных менеджеров, но по надежности данный вариант можно сопоставить со сторонними программами. Помимо этого, можно синхронизировать свои гаджеты, чтобы доступ открывался с разных устройств, но для этого необходимо на каждый гаджет установить данный плагин.
| Плюсы | Минусы |
|---|---|
| Простое использование; | Не обнаружено. |
| Автозаполнение учетных полей; | |
| Надежность. |
Онлайн-блокноты
Если вы подыскиваете способ, где хранить пароли, тогда можете попробовать скачать себе онлайн-блокноты. В большинстве случаев они бесплатные, и одновременно в них можно хранить множество других данных. Вся сохраненная информация будет размещаться на онлайн-сервисе, таким образом, можно получить к ней доступ с любого устройства, если, конечно же, будете помнить все данные для входа. Также пользователь может предоставлять доступ к файлам другим людям.
Относительно безопасности, то здесь весьма все неплохо, используются сложные алгоритмы для шифрования, правда, некоторые пользователи сообщают, что утечки бывают.
| Плюсы | Минусы |
|---|---|
| Можно хранить разную информацию; | Уровень безопасности – средний. |
| Доступ с разных устройств. |
Простой текстовый файл
Это один из старых способ хранения такой информации – пользователь может создать текстовый файл в виде блокнота у себя на рабочем столе. Также некоторые используют Exel- таблицы, где создается три столбика, куда заносится: название сайта, логин и ключ безопасности. Чтобы дополнительно себя обезопасить, можно поставить пароль на сам файл, однако и его потребуется запомнить.
Помимо этого, в случае атаки системы вирусами или сбоя в работе, файл можно утратить, поэтому рекомендуется дополнительное хранение на флешке или в виртуальной области. Что также может доставить неудобство при частом создании учетных записей.
| Плюсы | Минусы |
|---|---|
| Удобное расположение информации; | Посредственная надежность; |
| Легкое создание файлов. | Неудобное использование. |
На бумаге
Завершают список способов хранения кодов записи в рукописном виде. Для этого метода необходимо проделать самое малое – приобрести тетрадь или блокнот и записывать туда все необходимое. В плане безопасности это самый надежный метод, однако есть риск потерять записи, тогда появятся настоящие трудности.
Такой вариант подойдет для тех, кому не нравится хранение паролей на компьютере.
| Плюсы | Минусы |
|---|---|
| Простой и легкий способ занесения информации; | Можно потерять записи, тогда информацию не восстановить. |
| Очень надежный. |
Как создавать надежные пароли?
Обычная комбинация из одной цифры – легкая мишень для любого взломщика, куда сложнее взломать случайную комбинацию из большого количества цифр. Однако человеческий мозг не может создать такой алгоритм и тем более его запомнить, таким образом, для создания используются важные даты. Умелый хакер может также легко вычислить и такой ключ, если будет анализировать ваши персональные данные.
Однако существуют программы для генерации ключей, которые используют специальные математические алгоритмы. Но при использовании таких сервисов обратите внимание на указанные рекомендации:
- Полученные пароли передаются по защищенному каналу;
- Комбинации не сохраняются в браузерах или сервисах;
- Можно использовать генераторы для максимальной степени защиты.
Почему пароли нужно периодически менять?
Даже если для безопасности вы использовали генератор, то хакер может вычислить такой ключ буквально за несколько часов. Это делается специальными алгоритами. Еще хуже, если вы используете одну и ту же комбинацию для многих сайтов, тогда информация перейдет в руки злоумышленников. Поэтому необходимо использовать разные комбинации длиною в 14 символов. Помимо этого, пароли их периодически обновлять, так как при частой атаке вирусами может произойти взлом. Особенно если в систему попала вражеский файл и он анализирует все комбинации.
В целом же пароль – это главный залог безопасности личной информации. Поэтому необходимо сделать его не только сложным, но и обеспечить надежное сохранение. Для хранения паролей используют различные программы и плагины, они отличаются большей эффективностью, так как используют специальное шифрование. Также старайтесь применять различные комбинации для разных сервисов.
Как и где хранить пароли?
Десятки почтовых ящиков, сотня авторизаций на сайтах и сервисах. Как хранить все 200 паролей? Давайте разбираться!
Вариант 1: в голове
Самое надежное место для хранения паролей – ваша голова, ведь отсюда их точно никто не украдет. Для того чтобы запомнить множество паролей от разных аккаунтов, можно воспользоваться системой, о которой мы рассказывали ранее. Приятный «побочный эффект» такого метода – развитие воображения и памяти.
Вариант 2: в блокноте
По старинке можно зафиксировать всю информацию в блокноте или записной книжке, но достаточно велика вероятность того, что рано или поздно вы этот блокнот потеряете. Конечно, вы можете завести сразу три таких блокнота, но даже в этом случае риски большие. Хотя, если вы организованный человек и у вас в учете даже все-все носочки, то можно и остановиться на таком варианте.
Вариант 3: в блокноте/документе/таблице на компьютере
Бабушка моей подруги хранит пароли в Excel-таблице. Довольно удобно, все под рукой, однако представьте ситуацию, что вы забыли пароль от самого компьютера. Или же оказались в другом городе без личного устройства… А если компьютер будет заражен вирусом и хакеры получат доступ к данным… Ну, вы знаете.
Вариант 4: во встроенных менеджерах паролей браузера
Пожалуй, большинство пользователей Интернета так и хранят свои пароли в браузерах. Удобно, особенно если учитывать возможность автозаполнения – вам не приходится заново вводить эти пароли. Однако такой способ хранения является одним из самых ненадежных.
Вариант 5: приложения и сервисы
Более современный способ — приложения для смартфонов и сервисы для компьютера. Они довольно хорошо зарекомендовали себя на рынке и в принципе не имеют кардинальных отличий друг от друга, поэтому пользователи чаще ориентируются на дизайн и удобную конфигурацию. Сервисы способны синхронизировать данные на всех устройствах.
Существуют два способа хранения паролей в приложениях и сервисах. Первый способ позволяет прятать их в Сети, а второй — хранить на вашем компьютере или телефоне. В данном случае в основе выбора — ваше доверие. Если вы не зациклены на том, что, возможно, злоумышленники взломают сайт или сервис и получат доступ ко всем данным, можете со спокойной душой хранить все пароли в Интернете. Но все же не советуем хранить здесь данные кредитных карт и документов.
Если вы храните учетные данные локально, возможность взлома также не исключается на 100%, так как довольно легко зацепить вирус по вредоносной ссылке, не говоря уже про кражу телефона. Вывод из этого только один — ваши учетные данные защищены настолько, насколько защищена выбранная вам система хранения.
5 удобных и надежных сервисов для хранения паролей
1. Zoho Vault
Бесплатный менеджер паролей, который может сохранять бесконечное количество паролей, заметок и документов. Если не знаете, какой пароль задать, программа вам его сгенерирует. Его преимущества – способность отслеживать историю доступа к паролям и активность, а также простая конфигурация.
2. Last Pass
У этого приложения две версии: бесплатная и платная (от 1200 руб. в год). Обе версии могут хранить неограниченное количество паролей, имеют функцию автозаполнения и используют мультифакторную авторизацию. Платная версия синхронизирует данные между устройствами и позволяет делиться секретными папками с другими людьми. Стоит отметить также хороший генератор неугадываемых паролей.
3. Dashlane
Одно из самых функциональных приложений в этой сфере. Бесплатная версия поддерживает те же основные функции, что и премиум (2600 руб. в год): менеджер паролей, который хранит их в зашифрованном виде, автозаполнение и что-то новенькое – функцию электронного кошелька. Dashlane хранит данные карт для быстрого заполнения полей при совершении покупок. Историю того, куда вы снова потратили половину зарплаты, он тоже сохраняет.
4. RoboForm
Столь же популярный сервис, как и предыдущие, но если вы хотите синхронизацию со смартфоном, вам придется платить за подписку – 895 руб. в год. Приложение позволяет не только обезопасить свои аккаунты от лёгких паролей и, соответственно, кражи, но также и от фишинга.
5. Sticky Password
Над этим приложением работали профессионалы, создавшие бесплатный антивирус AVG. Базовые возможности у Sticky Password те же, что и у конкурентов, — поддержка множества платформ, портативная USB-версия, синхронизация между устройствами, причём даже по локальной сети. Разработчики Sticky Password за максимальную надежность просят 1890 руб. в год.
РНР-безопасность: где и как хранить пароли. Часть 1
Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему безопасности в PHP.
Введение
Скандал с Facebook и Cambridge Analytica, утечка переписки Демократической партии США в 2016 году, нарушение безопасности данных Google в 2018 году, взлом Yahoo Voice в 2012 году — вот лишь несколько примеров крупных утечек, зафиксированных за последние несколько лет.
Информация в глобальном масштабе сегодня доступна для нас, как никогда ранее. Если не проявлять должную осторожность, информация о нас самих (в том числе сведения конфиденциального характера) тоже могут попасть в открытый доступ.
Неважно, разработкой какого именно проекта вы занимаетесь: детской игрой с открытым кодом или выполняете заказ крупного предприятия. Ваша обязанность как веб-разработчика состоит в том, чтобы обеспечить безопасность всем своим платформам. Безопасность — это очень непростой аспект.
Язык РНР предоставляет несколько инструментов и функций, которые можно задействовать для обеспечения безопасности приложения.
3 правила безопасности паролей
Пароли пользователей должны оставаться неизвестными для вас.
Я до сих пор вспоминаю свои первые шаги в роли РНР-разработчика. Первым созданным мной приложением стала игра, где я вместе с друзьями играл роль строителя небоскрёбов. Каждый из нас мог залогиниться в свой аккаунт, купить строителей и каждую неделю отправлять свою бригаду на новую стройку. Я создал базовые аккаунты: добавил для каждого пользователя логин и пароль и отправил их им по е-мейлу. И только через пару месяцев я понял, насколько это было глупо.
Общее правило таково: вы не только не должны знать пароли своих пользователей — у вас не должно быть возможности узнать их. Это очень серьезный аспект, который может повлечь даже юридическую ответственность.
Методом проб и ошибок вы все равно придете к выводу, что пароли не надо хранить в формате обычного текста или в таком виде, чтобы они легко поддались расшифровке.
Не вводите ограничения на пароли
Давайте сыграем в одну игру. Попробуйте угадать пароль:
Сложно, правда? Давайте попробуем так:
Теперь вы знаете, что здесь есть заглавная буква и несколько прописных. А если вот так:
Теперь вам будет намного легче угадать пароль — ведь вы знаете, что он включает в себя заглавную букву, прописные буквы и число.
То же самое происходит в тех случаях, когда вы навязываете пользователям ограничения и маски для их паролей. Если в вашем приложении заложено требование следовать определенному шаблону, вы даете злоумышленникам намеки, которые они могут использовать против вас.
Требовать некую минимальную длину пароля — это нормально, так как длина пароля влияет на то время, которое требуется, чтобы подобрать его. Однако вместо этого будет намного полезнее узнать, как работают алгоритмы и хеширование.
Кстати, правильный ответ к приведенной выше загадке — «Porsche911» 🙂
Никогда не отправляйте пароли по е-мейлу в чистом виде
Одной из моих первых ошибок в роли веб-разработчика стало то, что я заблаговременно не научился управлять паролями.
Представьте, что вы клиент и вы нанимаете разработчика, чтобы он создал для вашего бизнеса симпатичный сайт электронной коммерции. Этот разработчик прислал вам е-мейл, который содержит пароль для вашего сайта. Теперь вам известно три вещи о вашем сотруднике:
- Он знает ваш пароль.
- Он хранит ваш пароль в чистом виде, не используя никакого шифрования.
- Он не испытывает ни малейшего беспокойства при пересылке паролей через интернет.
В ответ ничего не остаётся, как уволить такого сотрудника.
А вот как должен поступить веб-разработчик:
- Создайте в вашем веб-приложении страницу, куда пользователь сможет ввести свой е-мейл в случае, если он забыл пароль, и таким образом запросить новый пароль.
- Ваше приложение сгенерирует уникальные права доступа и привяжет его к пользователю, сделавшему запрос (лично я пользуюсь универсальным индивидуальным идентификатором).
- Приложение отправит пользователю е-мейл со ссылкой, ведущей к праву доступа.
Как только пользователь перейдет по ссылке, приложение подтвердит правильность доступа и даст пользователю возможность поменять пароль.
Видите, насколько возросла безопасность приложения благодаря этим простым шагам? При желании, мы можем повысить уровень безопасности еще больше, добавив лимит времени между запросом и установлением нового пароля.
Как хешировать пароли пользователей
Пароли в веб-приложении нужно хешировать, а не зашифровывать. Шифрование — это двухсторонний алгоритм. Шифровке подвергается последовательность, которую вы затем можете расшифровать и использовать повторно. Этот метод часто используется в разведке для получения информации от союзников.
Хеширование предполагает, что последовательность нельзя вернуть в формат незашифрованного текста. Именно это конечная цель всего процесса.
Для достижения разных целей разработано множество алгоритмов: одни отличаются высокой скоростью, другие высокой надежностью. Эта технология постоянно эволюционирует, и за последние несколько лет претерпела немало изменений. Сейчас мы рассмотрим три наиболее популярные ее разновидности в хронологическом порядке.
Это была исторически первая функция хеширования. Аббревиатура SHA-1 расшифровывается как «безопасный алгоритм хеширования», разработало его Агентство национальной безопасности США.
SHA-1 был хорошо известен и широко востребован в сфере РНР для создания 20-байтовой шестнадцатеричной строки длиной в 40 символов.
SSL-индустрия в течение нескольких лет пользовалась SHA-1 для цифровых подписей. Затем, после выявления некоторых слабых мест, в Google решили, что пора переходить на SHA-2.
Первая версия алгоритма была признана устаревшей в 2005 году. Впоследствии были разработаны и приняты к использованию новые версии: SHA-2, SHA-2 и SHA-256.
Bcrypt
Bcrypt, не являясь результатом естественного развития SHA, сумел привлечь к себе широкую аудиторию благодаря своему уровню безопасности.
Этот крайне медленный алгоритм был создан с целью создания максимально безопасных хешированных последовательностей. В процессе хеширования данных он проходит несколько циклов, что в вычислительной технике описывается показателем трудозатрат. Чем выше показатель трудозатрат, тем дороже будет для хакера заполучить пароль.
Есть и хорошая новость: в будущем мы сможем использовать более мощные машины, способные на более скоростное прохождение большего количества циклов.
Argon2
Это новый модный алгоритм в сфере хеширования, разработанный Алексом Бирюковым, Даниэлем Дину и Дмитрием Ховратовичем из Люксембургского университета. В 2015 году он стал победителем Конкурса хеширования паролей.
Argon2 представлен в 3 версиях:
- Argon2d обращается к массиву памяти, что сокращает издержки памяти и времени. Однако у него существует риск атаки по сторонним каналам.
- Argon2i является противоположностью Argon 2d. Он оптимизирован относительно атак по сторонним каналам и получает доступ к памяти в порядке, не зависящем от пароля.
- Argon2id представляет собой промежуточный вариант между двумя предыдущими версиями.
Эта функция насчитывает 6 параметров: последовательность пароля, salt, memory cost, time cost, фактор параллелизма (максимальное разрешенное число параллельных потоков), длина хеша.
Во второй части статьи я расскажу, как использовать это хеширование в РНР, задействуя встроенные функции, а сейчас хочу пригласить всех на бесплатный онлайн вебинар «ServerLess PHP», в рамках которого мы познакомимся с концепцией Serverless, поговорим о её реализации в AWS, применимости, ценах. Разберём принципы сборки и запуска, а также построим простой TG-бот на базе AWS Lambda.
