Брелок для ключей

Автор: Денис Ковалкин

Опубликовано на Digimedia.Ru

Любимый блог, социальная сеть, почтовый ящик (и не один), а еще электронные магазины, а еще форумы по интересам – любой из нас, ведущий в Сети более-менее активную жизнь, обрастает логинами-паролями также верно, как корабль — ракушками. И где прикажете держать все это постоянно растущее и весьма ценное хозяйство? Так, чтобы всегда и всегда под рукой, и недоступно для чужих глаз, и без риска потерять все в один миг?


Самый простой вариант решения – собственная память. Пароли, которые вы храните в собственной голове, всегда под рукой, никакой злоумышленник их не украдёт, и … Собственно, на этом плюсы заканчиваются, и начинаются минусы. Случай склероза не берем в расчет, простой забывчивости хватает, чтобы доставить нам немало проблем. Плюс к этому действительно стойкие пароли представляют собой беспорядочную мешанину букв и цифр, и чтобы запомнить такую последовательность, необходима определенная тренировка.
 
Верная записная книжка тоже не выход. Во-первых, если вспомнить, мы и не такие вещи теряли. Во-вторых … полагать, что никто чужой не сунет туда излишне любопытный нос – определенная наивность, не так ли? Сказать по правде, пароли в ней будут в безопасности ровно до того момента, пока они кого-нибудь не заинтересуют. И уж тогда – не обессудьте. Есть другой вариант: воспользоваться одной из многочисленных программ для хранения паролей. Правда, подходить к выбору стоит с умом. Во-первых, необходима программа, которая запускается с флэшки – не будешь же инсталлировать хранилище на каждой машине, с которой потребовалось зайти на Одноклассников? Во-вторых, найдя в Сети бесплатный дистрибутив, хорошо бы проверить, не завалялось ли там же столь же бесплатной программы-взломщика для него? Ломать, как говорится, не строить …
 
Есть и еще один вариант – онлайн-сервис для хранения паролей. С одной стороны, звучит как неудачная шутка: хранить свои пароли на чужом компьютере, да и еще открытом для доступа из Сети … С другой – а почему бы и нет? Да, опасность хакерской атаки, или нечистого на руку сотрудника, который сольет на сторону базу данных за соответствующий куш, действительно существует. Зато, с другой стороны, исчезает опасность кражи базы паролей с вашего компьютера, а она, если прикинуть, едва ли не больше. Также исключаем вероятность потери (кражи) флэшки, или сбоя на жестком диске с единственной копией базы. Нет, потеря данных в результате технических проблем вероятна и для онлайн-сервиса; просто его администраторы создают резервные копии регулярно, в отличие от нас, простых смертных.
  
Первый из подобных веб-сервисов – Agatra (http://www.agatra.com/). Характерные черты этого хранилища паролей: простота, функциональность и аскетичность. Ничего сверх необходимого для работы с паролями, никаких лишних функций и страниц; пять пунктов в меню сайта — «Home» с перечнем паролей, «Add account» для ввода новых логина-пароля, «Manage Accounts» для управления списком сайтов, «Options» с парой чекбоксов настройки и «Logout» для выхода. Всё.  Добавить новую запись проще простого: вводим название сервиса, логин и пароль. Если Agatra знакома с этим сервисом, в списке на главной странице напротив его названия будет стоять стрелочка, а сам вход на сервис будет осуществляться простым щелчком по ссылке. Если в списках Agatra сервис не значится, щелчок по ссылке выведет на экран логин и пароль.
 
Кстати, в меню «Options» есть возможность переключить сервис в режим для опытных пользователей. В этом режиме появляется возможность настраивать вход на те веб-сервисы, которые изначально не поддерживаются системой. Работает эта возможность просто – мы просто копируем html-код формы для входа на нужный сайт, чистим ее от всего лишнего, и указываем системе, куда вводить логин и пароль. Любопытства ради я проверил эту возможность на Одноклассниках.Ру. Всё получилось с первого раза. Также, помимо перечисленного, есть возможность получить список своих логинов-паролей, сохраненных на сайте, в формате *.csv. 
  
Насколько безопасна Agarta? Создатели пишут об использовании технологии шифрования blowfish, одного из самых стойких на сегодняшний момент бизнес-алгоритмов шифрования. Данные, полученные от пользователей, хранятся на сервере в зашифрованном виде, так что даже сотрудники веб-сервиса не имеют доступа к ним. Следствие этого – если вы забудете пароль к Agatra, попрощайтесь с сохраненными там данными навеки. Сотрудники не будут заниматься взломом шифра ради вас. А проверочных вопросов типа «Как зовут мою любимую крысу?» на сайте не предусмотрено, и правильно. Какой смысл во всех мерах безопасности, если пароль добывается перебором нескольких десятков часто используемых слов? Кстати, такой же вопрос можно задать многим нашим почтовым сервисам, в которых выбор контрольного вопроса-ответа необходим для регистрации.
  
Полная противоположность аскетичной Agatra – онлайновое хранилище паролей Clipperz (http://www.clipperz.com/). Типичный представитель эпохи Web 2.0, Clipperz вываливает нам море дополнительной информации: тут и блог, и форум, и видео-уроки для пользователей, и многое-многое еще. Но что же Clipperz может предложить в плане базовых функций? Во-первых, более широкие возможности для хранения секретных данных: не только логинов-паролей, но и банковских аккаунтов, данных кредитных карт, контактов адресной книги. Каждая из этих записей имеет настраиваемый список полей – добавить новые, или удалить ненужные поля не составит никакого труда. Во-вторых: автоматизированную функцию прямого входа на нужный ресурс. В Agatra, если веб-сервис был не знаком системе, нам приходилось самим искать в HTML-коде его странички форму для регистрации и копировать ее в специальное поле, подставляя в нужные места значения логина и пароля. Ничего сложного, в принципе, но требует знания HTML. Clipperz предлагает установить в браузер специальный букмарклет; зайдя, к примеру, на сайт ЖЖ, и щелкнув по нужной иконке, мы получаем код для прямого доступа к данному сайту. Остается лишь скопировать этот код в специальное поле учетной карточки на Clipperz, и указать те ее поля, значения которых содержат логин и пароль.
 
В-третьих, Clipperz предлагает широкие возможности для импорта-экспорта записей с паролями. Самое интересное, помимо экспорта в формате для печати, есть вариант эскпорта в виде оффлайн-версии в JSON-формате. В этом случае вы получаете своего рода оффлайн-копию хранилища Clipperz, со всеми вашими данными, хранящимися в зашифрованном виде! Кстати, используемая сайтом технология шифрует введенные вами данные еще до стадии отправки, что существенно повышает общий уровень безопасность. Небольшое, но приятное дополнение к этому – рабочее окно Clipperz можно «залочить», отходя от компьютера, и можно не беспокоиться, что в ваше отсутствие кто-то покопается в ваших персональных данных. Название алгоритма шифрования создатели не сообщают, но, по их словам, он обеспечивает 128-битный уровень безопасности. Это обеспечивает вполне приемлемый уровень защиты данных на текущий момент. Кстати, на Clipperz действует то же самое правило, что и на Agarta – восстановление паролей невозможно. Абсолютно всю информацию веб-сервис получает в уже зашифрованном виде; и его владельцы гарантируют полную анонимность хранимых данных. Разумеется, никаких «контрольных вопросов» не предусмотрено.
  
Настоящий бич любых защищенных систем – программы-кейлоггеры, отслеживающие каждое нажатие клавиши и отправляющие полученный лог своим хозяевам. Не имеет значения, насколько сложен ваш пароль, если злоумышленник все равно увидит его, просмотрев такую запись. А ведь нередки случаи, когда приходится выходить в Сеть из интернет-кафе, из почтового отделения, из любого другого места публичного доступа. И каких только вирусов на подобных машинах не встречается! Но создатели Clipperz предусмотрели этот вариант. «One-time passphrases» — или «одноразовые пароли» — их список вы может получить и распечатать на сайте. Каждый такой пароль, как следует из названия, подходит для одного сеанса работы с Clipperz; после выхода из сеанса система вычеркивает его из списка, и усилия кейлоггера пропадают втуне. Но конечно, если вы решите добавить в свой перечень новую запись, работая с небезопасного компьютера, одноразовый пароль не сможет уберечь вводимые данные от подобной кражи. Экранная клавиатура со случайным расположением клавиш могла бы помочь пользователю избежать этих проблем, но создатели сайта решили обойтись без нее. Впрочем, они и так сделали немало для соблюдения нашей безопасности.
  
Описанные выше варианты – лишь один из способов решения проблемы с множеством аккаунтов. Второй вариант – использование идентификатора OpenId (http://openid.net/). Суть проста – вместо регистрации на множестве сервисов вы регистрируетесь на сайте провайдера OpenId (их несколько, и можно выбрать любой из них), получая свой уникальный идентификатор. В дальнейшем вы просто вводите его на тех сайтах, где возможен вход по OpenId (в настоящее время их порядка десяти тысяч, и это число постоянно увеличивается). Если вы уже авторизовались на сайте провайдера, последний спросит – доверяете ли вы тому сайту, на который хотите войти. Утвердительный ответ подтвердит вашу авторизацию. Если вы еще не прошли авторизацию на сайте вашего OpenID-провайдера, последний сначала запросит ваш пароль. Любопытный факт – регистрируясь на ряде ресурсов, например на LiveJournal.com, Flickr.com и т.п., вы автоматически получаете OpenId, совпадающий с именем вашего аккаунта. В дальнейшем вы можете свободно пользоваться им на любых сайтах, поддерживающих эту технологию.
 
К сожалению, технология OpenId содержит ряд подводных камней, о которых нельзя не сказать пару слов.

  • Провайдер OpenId может получить доступ к аккаунту пользователя в любой поддерживающей вход по OpenId системе. Таким образом, взлом провайдера, или его недобросовестность могут обернуться для вас серьезными проблемами.
  • Провайдер OpenId может отслеживать посещение пользователем различных OpenID-сайтов.
  • В OpenId не встроена защита от фишинга. Пользователя для ввода пароля к OpenId легко могут направить на страницу, имитирующую страничку провайдера. Впрочем, ряд провайдеров и некоторые дополнительные программы предоставляют защиту от этого.
  • Не так много русскоязычных сайтов поддерживают OpenId. Хотя возможно, в будущем ситуация изменится.

Подведем итоги. Использовать ли что-нибудь из перечисленных выше вариантов или нет – решать вам. С одной стороны, число паролей на душу среднестатистического интернет-пользователя постоянно растет. Но параллельно растут и веб-сервисы, укрупняясь, сливаясь, предлагая постоянно расширяющийся набор услуг. Кто знает, возможно, в недалеком будущем, нам будет хватать одного единственного пароля – от Яндекса, или от Google. Лично я пока предпочитаю всем внешним хранилищам собственную память. Но, быть может, в дальнейшем еще изменю свой выбор.