Хранение паролей в онлайн-сервисах — безопасно или нет?

Опубликовано Cyber Max Авг 25, 2015 | нет комментариев

Из всех бессмертных в живых должен остаться только один. Так гласит народная шотландская мудрость применительно к “миру горцев”, показанному в одноименном фильме и сериале. Бессмертным не грозят ни болезни, ни травмы, убить их можно лишь путем отделения головы от туловища. Коннор, а потом и Дункан из рода МакЛаудов прилежно выполняли свою миссию в конце своих фильмов, ломая тем самым многофакторную защиту своих врагов.

Каждый из персонажей, ведущих “бессмертную войну», свято верит в собственную неуязвимость. До недавнего времени столь же уверенными в защите своих паролей были пользователи специализированных онлайн-сервисов. Если хранение паролей миллионов людей — основная задача онлайн-сервиса, то его собственная защита должна быть максимально непробиваемой. Посмотрим, так ли это.

Обозреватель сайта xakep.ru в сентябре прошлого года задался целью проверить безопасность менеджеров паролей. Для проверки использовались два способа:

• атака через вызов API SendMessage c параметром WM_GETTEXT (не распознается многими антивирусами как потенциально опасное действие);
• DLL Hijacking — загрузка вредоносной библиотеки.

Из пяти проверенных сервисов два удостоились оценки «плохо», два — «удовлетворительно» и один — «хорошо».

Сервис был взломан в 2015

Особняком в списке менеджеров паролей находится браузерное приложение «LastPass», потому что хранит данные «на облаке». На начало 2015-го года в рейтинге популярного издания «Lifehacker» сервис занимал первое место среди себе подобных. Облачное хранение паролей действительно удобно для пользователей — через браузер пароли можно синхронизировать на всех компьютерах и девайсах. Но при этом гораздо сложнее защитить и контролировать удаленное хранилище, чем данные, записанные на локальный диск. И в середине июня 2015-го года злоумышленники этим воспользовались. Сама компания отрицает факт кражи зашифрованных данных из хранилищ паролей, но заявляет: «Стоит учесть, что атакующие смогли украсть адреса электронной почты и хеши аутентификации. В связи с этим рекомендуется всем, кто использует службу, установить новый мастер-пароль для своих хранилищ».

Другой популярный сервис — файлообменник «Dropbox» взломали еще в 2012-м, и администрация в целях усиления безопасности предложила ввести двухфакторную аутентификацию — в дополнение к паролю предлагался временный код, отправляемый на телефон пользователя.

Сервис был взломан в 2012

Почему отправка кода на телефон — слишком простое решение для того чтобы быть сильным, читайте в отдельной статье по этому поводу. Но сама мысль о двухфакторной аутентификации — здравая. Конечно, три года назад еще не были столь популярными токены — гаджеты, которые генерируют одноразовый пароль, действующий на протяжении ограниченного отрезка время.

Сегодня такое решение стало доступнее. Например, сервис двухфакторной аутентификации «Protectimus» предлагает недорогой, проверенный и надежный способ защиты любых данных. Это очень актуально, например, в банковской сфере, где информация равна определенной сумме денег, и это не метафора. В случае сервиса «Protectimus» доступен выбор: использовать софт на «облаке» или установить платформу в существующую инфраструктуру защиты данных.

При выборе любого варианта в помощь желающим — гибкий интерфейс прикладного программирования. Гарантийный срок работы токена — 12 месяцев (на практике работает он пять лет), его стоимость — в районе десяти долларов, обслуживание (в зависимости от количества сотрудников в кампании, которым требуется защита) — менее доллара в месяц за токен. Более того, партнерская программа «Protectimus» позволяет не тратить, а зарабатывать деньги на использовании и распространении продукции.

Во времена, когда слагались сказы о горцах, ни о чем подобном люди, конечно, не помышляли. С точки зрения безопасности информации времена меняются к лучшему, и сказка становится былью. Возможно, кому-то из современников, чахнущим над златом, двухфакторная аутентификация спасет жизнь.