Кто будет охранять охранников: как выбрать надежный менеджер паролей?
безопасность данных
утечка данных
Блог с Евгением Питолиным
Кто будет охранять охранников: как выбрать надежный менеджер паролей?
- 08:49, 27 Января
- 66
На фоне последней утечки данных из менеджера паролей LastPass, начинаешь поневоле задумываться, а крепкие ли сапоги носят сапожники из мира безопасности.
Скандал с компанией начался еще в августе 2022 года обычным постом об обнаруженном проникновении в сеть компании. Но дальше серия постов превратила все это в кошмар.
Что происходило с LastPass?
Первоначальный пост был опубликован 25 августа, в нем говорилось, что произошла брешь, но это было не так уж плохо, потому что у них не было доступа к данным клиентов или хранилищам паролей. Затем, 15 сентября, они объявили о том, что, по их мнению, было завершением расследования, отметив, что нападавшие не получили доступ к любым данным клиентов или зашифрованным хранилищам паролей. Затем, 30 ноября, они обновили тот же блог, сообщив, что преступники действительно получили некоторые данные о клиентах, но никаких хранилищ паролей. И, наконец, в последнем обновлении они показали, что преступники получили хранилища паролей.
Зачем вообще нужен менеджер паролей?
Надежный, уникальный пароль для каждой учетной записи является обязательным в эпоху постоянных утечек данных, но запомнить все ваши учетные данные для входа практически невозможно, если только вы не придумали свою, безопасную методику запоминать оригинальные пароли. Хороший менеджер паролей хранит ваши учетные данные и помогает вам повысить безопасность, генерируя новые случайные пароли.
Как выбрать и протестировать менеджеры паролей?
Чтобы использовать менеджер паролей, вы должны быть уверены, что компания-производитель оперативно предупредит клиентов, если ваши учетные данные компрометированы. Ранее, типичные обзоры такого софта основывались в первую очередь на функциональности приложения, простоте использования и уникальных функциях. В 2023 году я предлагаю вам иной подход — изучать условия сбора данных, изложенные в политике конфиденциальности (на чем запалилось так много производителей VPN), и отмечая прозрачность компании после наступивших инцидентов безопасности.
На что смотрим по умолчанию?
- Как он собирает и подставляет учетные данные;
- Как сохраняются данные в его хранилище;
- Как и откуда заполняются веб-формы?
- Каким образом создаются новые уникальные пароли;
- Какова политика генерации паролей по умолчанию?
- Дополнительные функции и эстетика приложения;
- Цена приложения по сравнению с аналогичными товарами в категории.
Что стоит смотреть в 2023 году, с учетом утечек и всех последних событий в отрасли:
- Опции многофакторной аутентификации продукта;
- Политика безопасности данных компании и технические документы;
- Публичная реакция компании на прошлые инциденты безопасности.
Короче говоря, если менеджер паролей фиксирует учетные данные и управляет ими, но мало что делает для защиты ваших паролей или не предупреждает вас, когда ваши данные утекли, такой софт вам не помощник.