Большая ошибка, или как точно не стоит хранить пароли
В рамках этого раздела у нас будет блок статей, посвященных различным способам хранения паролей, их плюсам и минусам. В зависимости от степени безопасности способа мы будем рекомендовать его вам в той или иной мере, но есть один способ, который мы вам настоятельно рекомендуем не использовать... но сначала небольшая история из моей жизни.
Один мой хороший приятель подозревал свою вторую половинку в неверности и, зная, что я неплохо понимаю в инструментах для тайного контроля за компьютером, попросил поставить на ее Mac какой-нибудь легальный ратник (от слова RAT-Remote Access Toolkit - средство удалённого управления).
Я отказался ставить на компьютер инструменты для кибершпионажа, однако сказал, что смогу посмотреть информацию, если она даст свой iPhone или Mac. Уже на следующий день он заехал ко мне с ее новеньким iPhone 8.
Мне никогда не казалась его подруга очень умной, однако историю браузера она удалила, как и приложения для обмена сообщениями. Единственное, чего она не знала, это что удаления истории недостаточно, и через минуту мой приятель не только получил список сайтов знакомств, на которых сидела подруга, но и связки логин/пароль к ним.
Как? Если вы пользуетесь техникой Apple с настройками по умолчанию, то все ваши пароли сохраняются в iCloud и, зная пароль, их можно посмотреть с любого вашего устройства. Например, на своем iPhone или iPad зайдите в Настройки > Учетные записи и пароли > Пароли программ и сайтов. При нажатии на любую запись вы можете увидеть сохраненный пароль в открытом виде. Подобные системы есть у Android, Windows, многих браузеров, менеджеров паролей, и если вы их не отключили, у меня для вас есть плохие новости.
Ваши пароли хранятся у третьих лиц в облаке. Передавать свои пароли третьим лицам весьма неразумный шаг, но для объективности предлагаю начать с плюсов данного способа хранения паролей.
Плюсы хранения паролей в облаке
Просто и удобно
Это действительно удобно. Например, в случае с iCloud вы сохраняете пароль на своем Mac, затем, заходя на этот же сайт со своего iPhone или iPad, без проблем авторизуетесь. При смене компьютера достаточно лишь авторизоваться в учетной записи iCloud – и все пароли снова с вами.При утере устройства вы не теряете пароли
Если у вас украдут ноутбук или телефон, вам не составит труда восстановить утерянные с ними пароли, и это безусловно плюс. Все, что вам будет нужно, ‒ авторизоваться на новом устройстве.Это безопасно
Но только в том случае, если пароли шифруются на уровне вашего устройства и расшифровать их можно только с помощью ключа (пароля), который хранится исключительно у вас.Но в этом случае при утрате пароля (мастер-пароля, как его часто называют) вы потеряете доступ ко всем паролям. Если возможность восстановить утерянный пароль есть, например с помощью ссылки, присланной на электронную почту, значит, сервис всегда может получить доступ к вашим данным, и ни о какой безопасности речи идти не может.
Больше плюсов у данного способа я не нашел, в отличие от минусов, которых достаточно много.
Минусы хранения паролей в облаке
Говоря о минусах, не могу не отметить, что само по себе облачное хранение может сильно отличаться. Например, если в облаке хранится только зашифрованный файл с ключами для синхронизации между устройствами – это одно. В данном случае сервис участвует больше в синхронизации данных, которые хранятся на вашем устройстве, у него также есть ваши IP-адреса, но к вашим паролям получить доступ он не может, даже его закрытие не приведет к существенным проблемам.Другое дело, когда у владельца сервиса хранятся ваши пароли. Таким образом работают iCloud, LastPass и многие другие сервисы, и вот именно этот способ хранения паролей несет в себе массу рисков и угроз, о которых мы расскажем ниже.
Приведенные ниже минусы относятся не ко всем сервисам облачного хранения паролей.
Владелец облака имеет доступ к вашим данным
Даже если он убеждает, что хранит их в зашифрованном виде и у сотрудников компании нет доступа к пользовательским данным, пути получить их у сервиса всегда есть, и как минимум у него есть ваши IP-адреса.Бывший «Король спама», создатель ботнет-сети Kelihos Петр Левашов, нынче экстрадированный в США, был арестован в Барселоне по запросу американских властей. Естественно, Левашов был большим профессионалом и заботился о своей анонимности, однако и великие хакеры иногда теряют концентрацию и допускают ошибки...
Для Левашова такой ошибкой стал облачный сервис от компании Apple iCloud. Правоохранительные органы длительное время следили за его аккаунтом iCloud, благодаря IP-адресам подключений получали данные о его местонахождении. А Apple охотно, и главное тайно, передавала данные правоохранительным органам.
Безусловно, компания Apple действовала в рамках закона, я их не осуждаю, а лишь указываю на возможность, о которой вам точно стоит знать.
Сохраняя пароли в облаке, вы передаете их в третьи руки. Ваши пароли, логины или как минимум список используемых сайтов могут быть выданы третьей стороне, ваш IP-адрес может логгироваться при каждом обращении к облаку.
Вы зависите от компании, которая хранит ваши пароли
Еще один минус заключается в вашей зависимости от сервиса: если компания потеряет ваши данные, вы тоже рискуете потерять их. Можно, конечно, делать резервные копии, но много ли кто делает резервные данные паролей, хранимых в облаке?Большинство паролей вы, конечно, сможете восстановить через восстановление пароля в сервисах, но часть данных может быть утеряна безвозвратно. Особенно опасно хранить таким образом пароли к зашифрованной информации, где не будет возможности восстановить их в случае утери.
И хотя автору не известно примеров утери данных облачными сервисами хранения паролей, такой риск исключать нельзя, особенно, если вы используете услуги небольшой компании. Мне известны истории хостингов, которые теряли данные своих клиентов, например, популярный британский хостинг 123-reg в один из дней случайно удалил все виртуальные сервера клиентов… и все клиенты, не имеющие резервных копий, оказались в незавидном положении, потеряв сайты и все хранимые там данные.
Помимо полной утери сервис может быть просто временно недоступен, и вы не сможете получить к нему доступ в необходимый момент.
Даже если вы решите хранить пароли в облаке, делайте резервную копию.
Компании могут продавать информацию о вас
Нередко компании, предлагающие услуги облачного хранения паролей, занимаются сбором статистики о посещаемых пользователями сайтах для дальнейшей продажи.Особенно опасны бесплатные продукты, не имеющие ясной модели монетизации, иными словами, не понятно, на чем зарабатывают владельцы.
Владельцы таких сервисов знают ваш email, какие сайты и как часто вы посещаете, по IP-адресу и по языкам сайтов могут предположить ваш регион – это достаточно ценная информация, которую можно успешно продавать.
Самое неприятное, что владельцы облачных сервисов хранения паролей, синхронизированных с браузером, могут не только узнать список посещенных вами сайтов, но и конкретные страницы: узнать ваши профили в социальных сетях и получить данные, какие видео вы смотрели или какие запросы вводили в поисковой системе.
Сложно поверить? Может быть, автор курса погряз в собственной паранойе и все не так плохо? Давайте возьмем для аналогии пример VPN: многие VPN-сервисы собирают и продают информацию о пользователях, приходящих к ним за приватностью, и это мы знаем точно. Данные пользователей собирали и продавали такие крупные сервисы, как Opera VPN, Hotspot Shield и Hola, никак это не афишируя. В итоге, правда, Opera VPN закрылся, против Hola выступило интернет-сообщество, и репутация сервиса была уничтожена, а Hotspot Shield получил массовый судебный иск.
Сервисы облачного хранения паролей могут собирать информацию о вас для дальнейшей ее продажи.
Утечка данных
Данные третьим лицам необязательно могут передаваться на законных основаниях. Иногда компании могут быть взломаны, а данные похищены хакерами, часто работающими на какое-либо правительство.И хорошо, если компания поступит честно, как поступил менеджер паролей LastPass, предупредив пользователей о возможной утечке и рекомендовав сменить мастер-пароль, но чаще бывает, как в случае с Yahoo, когда миллиарды аккаунтов оказались в руках хакеров, а руководство молчало.
Молчало, потому что последствия такого взлома могут стоить слишком дорого. Yahoo не стала исключением, сильно потеряв в цене в результате этой истории. Компаниям невыгодно рассказывать об утечках данных пользователям, хотя последнее европейское законодательство строго обязывает их делать это.
Фишинговые атаки
Хакеры регулярно придумывают различные инструменты для фишинговых атак на находящиеся в облаке данные. Ежегодно разлетаются новости о массовых фишинговых атаках на тот же iCloud, облачные сервисы Google; не стоит недооценивать эти угрозы, профессиональные фишинговые атаки даже профессионалы отличают с трудом.К сожалению, многие считают, что фишинговая атака – это сообщение из серии «ваш аккаунт заблокирован, если вы не перейдете по этой ссылке, он будет удален». Это и правда фишинг, хотя и очень примитивного уровня, ориентированный, как правило, на массовость. Но бывает и другой фишинг, когда подмену можно обнаружить только при пристальном изучении.
Особо стоит отметить атаку LostPass на менеджер паролей LastPass. Это очень эффективная фишинговая атака, распознать которую простому пользователю было почти нереально. О ней много написано в интернете, вы можете подробнее с ней ознакомиться и оценить, как не просто было жертве.
При этом в результате удачной фишинговой атаки с высокой долей вероятности у злоумышленника на руках будут логины и пароли ото всех ваших сервисов. Конечно, при наличии на сайтах двойной аутентификации связки логин и пароль не достаточно, но во всех остальных сервисах злоумышленник сможет авторизоваться.
Завершая материал, еще раз хочу отметить, что сервисы облачного хранения сильно различаются и описанные выше минусы могут относиться к одним из них и не относиться к другим.