Логин, пароль или с чем тебя едят / Песочница / Хабр
По мотивам темы на Хабре.Да, это было давно. Базу vkontakte дампнули еще в 2011-2012 году. Тогда эти данные были лишь у единиц и ими пользовались в корыстных целях. Но после утечки базы в открытый доступ, она будто превратилась в бесполезный набор символов. Пароли от учетных записей были сменены службой безопасности автоматически. Стала обязательной привязка телефона, двухфакторная аутентификация, бла-бла-бла и т.д.
Но обеспечило ли это безопасность пользователя? Попробуем дать подробный анализ.
Как правило, пароль должен быть у человека в памяти, чтобы знал его только он и никто больше! Для этого пароль должен быть легко запоминаем, а также «уникальным». Но мы просто вынуждены менять пароли каждый n-период. Так как в нашей памяти уже заложен базовый пароль, то мы будем отталкиваться именно от него, придумывая различные вариации. Скажем, есть пароль типа «qwerty«. Вам сказали, что он очень простой. Вы подумали, провели математический анализ и пришли к выводу, что пароль будет «
Что ж, не плохо. Теперь у брута просто не будет шансов вас взломать. Хм, однако, нет! Есть много типов взлома, как точечные — нацеленные на конкретную жертву, так и массовые, где не важно — кто, а, главное, как можно больше!
Так вот, взломанные базы различных сайтов обеспечивают хакеров жизненно важным лекарством, без которого им просто не жить. Скажем, у вас был пароль из 16 символов, где есть заглавные буквы, цифры и специальные символы. Вы считаете, что обеспечили себя безопасностью на всю жизнь, но стоит вам зарегистрироваться на каком-нибудь однодневном форуме, а на следующий день вы уже не можете войти в свой почтовый ящик.
Все это понятно, все это просто. Давайте посложнее!
Почти все топовые сервисы подвергались взлому и дампу базы данных. Я не буду упоминать их, но поведаю о вэка точка ком, на основе той самой взломанной базы.
Вы знали, что на при регистрации официального паблика первого канала — vk.com/1tv — пароль администратора был «xt,ehfirf«, а почта — [email protected]? (кстати, сейчас это почему-то mail.1tv.ru). Защита, кули…
Окей, пароль сменили, скажем, на какой-нибудь xt,ehfirf
Конечно, в базе находятся не все данные. Как говорилось ранее, это всего 100 млн пользователей, которым принадлежали id до 100.000.000. Так им образом, эксплуатация этой базы заключается в поиске страниц, чей id не выше 100млн. А далее — найти его пароль/почту/телефон.
И тут очень важный момент! Хакеры не все преступники, но я задену тему преступников. Зная лишь номер телефона пользователя, можно получить прямой доступ к его страничке, даже если мы не знаем пароль. Данный способ работает по сей день и будет работать долгое время, пока наша страна не изменит парочку законов в кодексе, но да ладно. Кстати, я описывал этот метод вкратце в своей первой статье о социальной инженерии.
Есть много способов эксплуатации данной базы, поэтому я не буду показывать вам целую кучу сообществ вконтакте, данные администраторов которых находятся в базе. А расскажу я именно про эти самые способы эксплуатации, конечно же, вкратце.
Есть сервисы, позволяющие узнать администратора группы вконтакте. Для этого достаточно лишь указать id группы. В основном, создатели сообществ — мертвые аккаунты, которые были зарегистрированы для создания группы и для передачи прав другим страницам, которые должны будут модерировать эти самые паблики.
mail.ru, yandex, rambler — заблокировали автоматически все ящики после утечки данных vkontakte.
Но разблокировать их нам ничего не мешает, выдав себя за владельца.
Почту мы знаем
Имя и фамилию мы знаем ( от самой страницы)
Секретный вопрос — ответ. Что ж. Это будет сложнее, но для этого есть СИ, есть сбор информации с других источников.
Исходя из моего примера, я нашел страницу в вк, которая была онлайн последний раз в 2013 году. Зарегистрирована она была в 2013. Ясно было, что это страница однодневка. Но эта страница являлась администратором/создателем паблика, онлайн которого превышал 1 миллион пользователей. Из самой базы у меня были имя, фамилия, почта и старый пароль. Я сделал заявку на восстановление почты. Велся активный диалог со службой безопасности, в ходе которого мне приходилось отвечать на различные вопросы, на которые я с легкостью правильно отвечал. Когда вопрос дошел до контрольного: «Какой IP вы использовали при последнем успешном входе», то я «засмущался».
Не буду рассказывать дальше, чем все это закончилось, скажу, что мне просто крупно повезло, совпадение, удача и тд. А, может, и нет.
В сети настолько много взломанных и слитых в открытый доступ баз, что вы можете еще лишь придумывать свой пароль, а он уже есть в сети.
Следующий способ взлома будет весьма деликатным. Как отменный повар хакерского ремесла я скажу, что это очень изощренный метод, однако, он работает! Эврика!
Предположим, вы забыли свой пароль, почту, да даже номер телефона! Ну, всякое бывает, знаете ли.
И тут начинается фан! Если страница не была в онлайне очень давно, то это вам на руку! Если же страница онлайн, то тут уже сложнее.
Однако, я остановлюсь на том, что страничка давно не эксплуатировалась. И так, мы жмякаем «забыли пароль».
Введя ссылку на нужную нам страничку, мы получим форму для восстановления данной страницы.
Нам предстоит сфотографироваться на фоне нашего компуктера, где в браузере открыта данная страничка. Хм. Задача не из простых, однако это решаемо. Если вы опытный фотошопер, то вам ничего не стоит — взять лицо и „приклеить“ его к рядом стоящему монитору. Ну, вы поняли — ножницы, маска, масштаб, штамп, свет, тени, цветокоррекция и т.д. — дает вам результат. Главное здесь, это взять лицо нашей жертвы, ведь если у нее лишь одна загруженная автарака на страничке, то это плохо, подумаете вы! Но нет! Есть ведь замечательные научные сервисы, типа searchface, с которым кстати суд с вконтакте, что они не сливают ничьи данные. Но да ладно. Они не сливают же ничего прямо, они сливают их абстрактно. Хех.
Есть такие сервисы как badoo и прочие, где можно найти своего двойника, загрузив фото.
В общем, найти похожее фото — не проблема.
По заявке далее — vk предлагает загрузить наш паспорт, как бы ставя под удар всякие там законы о защите каких-то там персональных данных, но подчеркивают, что им хватит имени, фамилии и фотографии.
Что ж. Тогда, мы можем также нарисовать паспорт, замазать серию, номер паспорта и прочие данные, кроме ФИО. Что же за глупость глупейшая. Но да ладно. Делаем фейк нашего паспорта с замазанной серией и номером, что уже не есть паспорт, а какая-то бумажка, но да ладно.
Далее все просто. Мы указываем свой номер, на который будет привязана „наша“ страница. Просто ждем. Через сутки другие нам будет прислан ответ — либо да/либо нет.
Если вам интересен ответ, то набираем классы, подписываемся на мой канал, ставим лайки, комментируем и тогда я выложу этот способ в действии. Прям как блогер себя чувствую, но нет. Я просто показываю, как делать нельзя, ведь лучше знать все и уснуть чуть позже, чем спать крепче и лишиться всего, если ты меньше знаешь.
Как узнать пароль от ВК через код страницы, зная логин и не только
Главная / FAQ / Как узнать пароль
30. 01.2023
Защитой социальной сети от несанкционированного входа является логин и пароль, который выбирает пользователь при регистрации. При утере этой личной информации совершить вход невозможно. В такой ситуации стоит задуматься, как узнать пароль от ВК.
В настройках браузера
Наиболее простой способ – просмотр сохраненной информации через браузер.
Через Гугл
- Следует перейти в настройки сайта – просто нажмите на 3 точки (они находятся справа в верхнем углу) и выберите там пункт «Настройки»;
- Появится новое окно, внизу выберите «Дополнительные»;
- Перед глазами откроется обширное меню, в котором требуется нажать на пункт «Настроить»;
- Справа наверху появится поисковая строка, где нужно ввести ссылку на социальную сеть;
- Напротив ссылки на сайт, найденной поисковиком, появятся 3 точки, нажав на них, следует кликнуть «Показать» после чего отобразятся данные для входа.
После того, как вы узнаете искомую информацию, Вы сможете поменять пароль от страницы на более простой для запоминания для Вас вариант, чтобы в дальнейшем использовать для восстановления именно его.
Через Яндекс
- В верхнем углу рядом с кнопкой «Свернуть» нажмите на 3 горизонтальных полоски;
- Необходимо прокрутить страницу до конца, ниже выбрать «Показать дополнительные настройки»;
- Далее следует нажать на «Управление»;
- Через поиск требуется найти сайт Вконтакте, далее отобразить личные данные.
Через Опера
- Кликните в левом верхнем пункте по меню «Настройки»;
- Здесь нужно кликнуть на «Безопасность»;
- Следующий критерий, который требуется выбрать – «Управление сохраненными паролями»;
- Теперь в истории необходимо найти сайт, и напротив него кликнуть «Показать».
Через Мозила
- Выберите в меню «Настройки»;
- В появившемся списке жмем на «Защита»;
- В нижней части нового окна следует выбрать «Сохраненные логины»;
- Далее откроется список сайтов, из них нужно выбрать именно сайт Вконтакте.
Через Файерфок
- Нажмите на 3 горизонтальные полоски, располагающиеся справа наверху;
- Выберите в нем «Настройки»;
- В появившемся окне с левой части экрана нажмите «Защита», затем «Сохраненные логины»;
- Откроется список всевозможных сайтов, из которых требуется выбрать Вконтакте.
Обратите внимание: личные данные будут отображаться в браузере только в том случае, если они были сохранены при заполнении формы для входа.
Через код страницы
Многих пользователей интересует вопрос о том, как узнать пароль от ВК если заходили с моего компьютера? Если есть доступ к компьютеру человека, то удобнее всего посмотреть его через код страницы. Для этого необходимо:
- Зайти на стартовую страницу с формой для входа;
- Нажать левой кнопкой вашей мыши по окну с сохраненными данными для входа;
- В появившемся окне найти «Просмотр кода элемента»;
- Отредактировать строку, нужно заменить «password» на «text».
После таких изменений вместо звездочек на стартовой странице появится числовая комбинация. Стоит заметить, что многие пользователи знают, как узнать свой пароль в ВК через код страницы, поэтому не стоит сохранять данные в браузере при входе с чужого компьютера.
Метод подбора пароля (если известен логин)
Теперь расскажем, как узнать пароль от вк, зная логин – через привязанный к странице номер. Требуется выполнить эти действия:
- Нажать на «Забыли пароль»;
- В появившейся строке ввести номер телефона и нажать «Далее».
- Потом написать свою фамилию, указанную в аккаунте;
- Нажать на «Получить код».
- В новом окне ввести код, который придет на ваш телефон.
Далее можно создать новые данные для входа.
Обратите внимание, что Вы можете привязать страницу и к другому номеру телефона, если по каким-то причинам больше не можете использовать старый.
Создание сайта-двойника
Если информацию не удалось узнать, то можно создать двойник аккаунта с точным повторением основной информации, но другими данными для входа.
Важно: в интернете можно найти множество приложений, позволяющих справиться с такой задачей, как узнать логин и пароль чужой страницы в ВК для входа. На самом же деле, это лишь красивая приманка мошенников.
Как сделать это с телефона?
Аналогичным образом это можно сделать через системные функции, далее расскажем, как узнать свой пароль от ВК на телефоне Андроид. Для этого нужно:
- Сначала зайдите в настройки браузера;
- Выбрать «Сохраненные пароли»;
- Найти искомый сайт;
- Рядом со звездочками нажать на нужный значок (он похож на глаз).
Чтобы не возникало подобных проблем, запоминайте данные для входа или храните их в записной книжке. Не знаете, как узнать пароль от В Контакте, если страница открыта? Для этого требуется зайти в настройки социальной сети, найти строку со звездочками и увидеть, когда были внесены последние изменения. Возможно, это поможет вспомнить личную информацию.
ПопулярноеНовости5 лучших менеджеров паролей (2022 г.): функции, цены и советы
Менеджеры паролей — это овощи Интернета. Мы знаем, что они полезны для нас, но большинству из нас больше нравится перекусывать эквивалентом паролей нездоровой пищи. В течение почти десяти лет это были «123456» и «пароль» — два наиболее часто используемых пароля в Интернете. Проблема в том, что большинство из нас не знает, что такое хороший пароль, и в любом случае не в состоянии запомнить сотни таких паролей.
Самый безопасный (хотя и самый безумный) способ сохранить пароли — запомнить их все. (Убедитесь, что они длинные, прочные и безопасные!) Шучу. Это может сработать для Великого Мастера Памяти Эда Кука, но большинство из нас не способны на такие фантастические подвиги. Нам нужно переложить эту работу на менеджеров паролей, которые предлагают безопасные хранилища, которые могут заменить нашу память.
Менеджер паролей предлагает удобство и, что более важно, помогает вам создавать более надежные пароли, что делает ваше существование в Интернете менее уязвимым для атак на основе паролей. Прочтите наше руководство для провайдеров VPN, чтобы узнать больше о том, как вы можете повысить свою безопасность, а также наше руководство по резервному копированию ваших данных, чтобы убедиться, что вы ничего не потеряете, если произойдет непредвиденное.
Обновлено в марте 2023 г. Мы реорганизовали это руководство, добавили некоторые примечания о том, почему варианты самосинхронизации могут быть лучшим выбором, и отметили еще одно нарушение безопасности LastPass.
Специальное предложение для читателей Gear: получите годовую подписку на WIRED за 5 долларов (скидка 25 долларов) . Это включает в себя неограниченный доступ к WIRED. com и наш печатный журнал (если хотите). Подписки помогают финансировать работу, которую мы делаем каждый день.
Если вы покупаете что-то по ссылкам в наших историях, мы можем получить комиссию. Это помогает поддерживать нашу журналистику. Узнать больше.
Почему бы не использовать ваш браузер?
Большинство веб-браузеров предлагают хотя бы простейший менеджер паролей. (Здесь хранятся ваши пароли, когда Google Chrome или Mozilla Firefox спрашивают, хотите ли вы сохранить пароль.) Это лучше, чем повторное использование одного и того же пароля везде, но возможности менеджеров паролей на основе браузера ограничены. В последние годы Google улучшил менеджер паролей, встроенный в Chrome, и он лучше, чем остальные, но он по-прежнему не так полнофункционален или широко поддерживается, как специализированный менеджер паролей, подобный приведенным ниже.
Причина, по которой эксперты по безопасности рекомендуют использовать специальный менеджер паролей, сводится к следующему. У веб-браузеров есть другие приоритеты, которые не оставили много времени для улучшения их менеджера паролей. Например, большинство из них не будут генерировать для вас надежные пароли, оставляя вас сразу на «123456». Выделенные менеджеры паролей имеют единственную цель и годами добавляют полезные функции. В идеале это приводит к большей безопасности.
Читатели WIRED также спрашивали о менеджере паролей Apple для MacOS, который синхронизируется через iCloud и хорошо интегрирован с веб-браузером Apple Safari. В системе Apple нет ничего плохого. На самом деле, я использовал Keychain Access на Mac в прошлом, и он отлично работает. В нем нет некоторых приятных дополнений, которые вы получаете с помощью специальных сервисов, но он обеспечивает защиту ваших паролей и их синхронизацию между устройствами Apple. Основная проблема заключается в том, что если у вас есть какие-либо устройства не от Apple, вы не сможете синхронизировать с ними свои пароли, так как Apple не делает приложений для других платформ. Ва-банк на Apple? Тогда это жизнеспособный, бесплатный встроенный вариант, который стоит рассмотреть.
Ключи доступа, FIDO и «Смерть пароля»
Приблизительно через два дня после того, как был изобретен пароль, начались согласованные усилия по избавлению от паролей. Пароли — это боль — здесь вам не поспоришь, — но мы не видим, что они исчезнут в обозримом будущем. Последняя попытка устранить пароль исходит от FIDO Alliance, отраслевой группы, нацеленной на стандартизацию методов аутентификации в Интернете.
Еще рано, но Apple внедрила протоколы FIDO в то, что компания называет ключами доступа. Парольные ключи — это сгенерированные криптографические ключи, которыми управляет ваше устройство. Вам не нужно ничего делать. Apple будет хранить их в связке ключей iCloud, чтобы они синхронизировались между устройствами и работали в веб-браузере Apple Safari. Ключи доступа доступны начиная с iOS 16 и MacOS Ventura, но есть некоторые ограничения. Веб-сайты и сервисы должны поддерживать протоколы Альянса FIDO, которые в настоящее время не поддерживаются большинством из них. Мы ожидаем, что это быстро изменится. Google уже внедрил поддержку пароля в Android и Chrome. Ключи доступа в конечном итоге также будут работать с системами Microsoft, Meta и Amazon.
Самые популярные
Поскольку пароли генерируются парами ключей вместо паролей, запоминать нечего. Если вы знакомы с ключами GPG, они чем-то похожи в том, что есть открытый и закрытый ключ; веб-сайт, на который вы хотите войти, имеет открытый ключ и отправляет его на ваше устройство. Ваше устройство сравнивает это с закрытым ключом, который у него есть, и вы вошли в систему (или нет, если ключи не совпадают). Хотя ключи доступа не являются радикальным отклонением, они все же являются улучшением в силу того, что они предварительно установлены для людей, которые не собираются читать эту статью и сразу же регистрироваться для использования одной из услуг ниже. Если миллионы людей внезапно перестанут использовать 12345678 в качестве пароля, это станет победой для безопасности.
Тем не менее, у FIDO Alliance есть некоторые существенные недостатки. Самый большой из них заключается в том, что вы как бы складываете все яйца в одну корзину. Ключи доступа управляются вашим устройством, то есть технической компанией, стоящей за вашим устройством, а именно Apple, Google и Microsoft. Это единственная точка отказа, которая исторически в мире технологий не сулит ничего хорошего. Мы надеемся, что FIDO расширит свой текущий план, чтобы третьи лица также могли генерировать ключи и управлять ими.
Тем временем, если вы достаточно сообразительны, чтобы читать эту статью, мы рекомендуем вам использовать хороший менеджер паролей. В любом случае, большинство из них постепенно внедряют поддержку входа в систему с паролем, поэтому вы не будете отставать только потому, что не ухватились за первую пропущенную возможность с паролем.
Лучший в целом
1Password
Предоставлено 1Password
$ 36 в год (одиночный) $ 60 в год (семья)
Что отличает 1PASSWORD, помимо остальных вариантов в этом списке, это количество предоставляющих дополнительные данные. Это не самый дешевый (см. наш следующий выбор), но в дополнение к управлению паролями он предупредит вас, когда пароль ненадежен или был скомпрометирован (проверив превосходную базу данных Troy Hunt Have I Been Pwned).
Как и в других менеджерах паролей, в 1Password есть приложения, которые работают практически везде, включая MacOS, iOS, Android, Windows, Linux и Chrome OS. Есть даже инструмент командной строки, который будет работать где угодно. Также есть плагины для вашего любимого веб-браузера, которые позволяют легко генерировать и редактировать новые пароли на лету.
Самые популярные
1Password недавно анонсировала новую версию своего приложения 1Password 8, и у меня были смешанные впечатления с ним. С одной стороны, он наконец-то работает с Windows-ноутбуками, работающими на архитектуре ARM. Но в MacOS Monterey у меня были проблемы с неработающим автозаполнением и остановкой сочетаний клавиш, пока я не перезапущу браузер, среди прочего. Пока что проблем недостаточно, чтобы заставить меня изменить наш лучший выбор, но я определенно слежу за этим. Компания также недавно сократила период бесплатной пробной версии с 30 до 14 дней.
Если вы часто путешествуете за границу, вам понравится моя любимая функция 1Password: Режим путешествий. Этот режим позволяет вам удалить любые конфиденциальные данные с ваших устройств перед поездкой, а затем восстановить их одним щелчком мыши после пересечения границы. Это не позволит никому, даже правоохранительным органам на международных границах, получить доступ к вашему полному хранилищу паролей.
Помимо управления паролями, 1Password может действовать как приложение для аутентификации, такое как Google Authenticator, и для дополнительной безопасности создает секретный ключ для используемого ключа шифрования, что означает, что никто не сможет расшифровать ваши пароли без этого ключа. (Недостаток в том, что если вы потеряете этот ключ, никто, даже 1Password, не сможет расшифровать ваши пароли.)
1Password также обеспечивает тесную интеграцию с другими мобильными приложениями. Вместо того, чтобы копировать и вставлять пароли из вашего менеджера паролей в другие приложения (что помещает ваш пароль в буфер обмена хотя бы на мгновение), 1Password интегрирован со многими приложениями и может автоматически заполнять. Это более заметно на iOS, где взаимодействие между приложениями более ограничено.
1Password Стоимость 3 доллара в месяц (36 долларов в год, 60 долларов в год для семей)
После регистрации загрузите приложение для Windows, MacOS, Android, iOS, Chrome OS или Linux. Существуют также расширения браузера для Firefox, Chrome, Brave и Edge .
Лучший бесплатный вариант
Bitwarden
Фотография: Bitwarden
Бесплатно (для одного пользователя) 40 долларов в год (для семьи)
Bitwarden — это безопасный, открытый исходный код и бесплатный без ограничений. Приложения отточены и удобны для пользователя, что делает сервис лучшим выбором для тех, кому не нужны дополнительные функции 1Password.
Я упоминал, что это открытый исходный код? Это означает, что код, на котором работает Bitwarden, находится в свободном доступе для всех, кто может проверить, найти недостатки и исправить. Теоретически, чем больше внимания уделяется коду, тем герметичнее он становится. Bitwarden также был проверен третьей стороной на 2020 год, чтобы убедиться в его безопасности. Его можно установить на ваш собственный сервер для удобного самостоятельного размещения, если вы предпочитаете использовать собственное облако.
Самые популярные
Существуют приложения для Android, iOS, Windows, MacOS и Linux, а также расширения для всех основных веб-браузеров. Bitwarden также поддерживает Windows Hello и Touch ID в своих настольных приложениях для Windows и MacOS, что обеспечивает дополнительную безопасность этих систем биометрической аутентификации. Bitwarden недавно представил поддержку аутентификации без пароля, что означает, что вы можете войти в систему с помощью одноразового кода, биометрической аутентификации или ключа безопасности.
Мне нравится полуавтоматический инструмент ввода пароля Bitwarden. Если вы посещаете сайт, для которого вы сохранили учетные данные, значок браузера Bitwarden показывает количество сохраненных учетных данных с этого сайта. Щелкните значок, и он спросит, какую учетную запись вы хотите использовать, а затем автоматически заполнит форму входа. Это упрощает переключение между именами пользователей и позволяет избежать ловушек автозаполнения, о которых мы упоминаем в конце этого руководства. Если вам просто необходима полностью автоматизированная функция заполнения форм, Bitwarden также ее поддерживает.
Bitwarden предлагает платное обновление учетной записи. Самый дешевый из них, Bitwarden Premium, стоит 10 долларов в год. Это дает вам 1 ГБ зашифрованного хранилища файлов, двухфакторную аутентификацию с такими устройствами, как YubiKey, FIDO U2F, Duo, а также отчет о гигиене паролей и состоянии хранилища. Плата также дает вам приоритетную поддержку клиентов.
Bitwarden бесплатно (40 долларов в год для семей)
После регистрации загрузите приложение для Windows, MacOS, Android, iOS или Linux. Так же есть расширения для браузера Firefox, Chrome, Safari, Edge, Vivaldi и Brave .
Лучший полнофункциональный менеджер
Dashlane
Предоставлено Dashlane
42 доллара в год (одиночка) 90 долларов в год (семья)
Впервые я столкнулся с Dashlane несколько лет назад. Тогда он был таким же, как и его конкуренты, без выдающихся качеств. Но недавние обновления добавили несколько полезных функций. Одним из лучших является оповещение о взломе сайта, которое с тех пор добавили и другие сервисы. Dashlane активно отслеживает самые темные уголки сети, ищет утечку или украденные личные данные, а затем предупреждает вас, если ваша информация была скомпрометирована.
Настройка и миграция из другого менеджера паролей просты, и вы будете использовать секретный ключ для шифрования ваших паролей, так же, как процесс установки 1Password. На практике Dashlane очень похож на другие в этом списке. Компания не предлагает настольное приложение, но я все равно использую пароли в основном в веб-браузере, а у Dashlane есть надстройки для всех основных браузеров, а также приложения для iOS и Android. Если настольное приложение важно для вас, об этом нужно знать. Dashlane предлагает 30-дневную бесплатную пробную версию, так что вы можете протестировать ее, прежде чем совершать.
Дополнительные расходы Dashlane $3,49 в месяц ($42 в год)
После регистрации загрузите приложение для Android и iOS и установите расширения браузера для Firefox, Chrome и Edge .
Другой вариант
NordPass
Предоставлено NordPass
Бесплатно (с ограничениями) 36 долларов в год (премиум) . NordVPN — известный провайдер VPN, и компания привнесла в свой менеджер паролей простоту использования и простоту, которые сделали ее предложение VPN популярным. Процесс установки и настройки не вызывает затруднений. Существуют приложения для всех основных платформ (включая Linux), браузеров и устройств.
Бесплатная версия NordPass ограничена одним устройством, и синхронизация недоступна. Существует семидневная бесплатная пробная версия премиум-версии, которая позволяет протестировать синхронизацию устройств. Но чтобы получить это навсегда, вам придется перейти на план за 36 долларов в год. (Как и VPN-сервис, NordPass принимает оплату в криптовалютах.) Настройка, при которой все данные на вашем устройстве шифруются перед их загрузкой на серверы компании, как наши выборы выше. Другие приятные функции включают поддержку двухфакторной аутентификации для входа в вашу учетную запись и встроенный генератор паролей (у которого есть множество опций для работы с плохо спроектированными сайтами, которые предъявляют странные требования к вашему паролю). Существует также функция хранения личной информации, позволяющая сохранить ваш адрес, номер телефона и другие личные данные в безопасности, но с легким доступом.
NordPass также предлагает функцию экстренного доступа, которая позволяет предоставить другому пользователю NordPass экстренный доступ к вашему хранилищу. Она работает точно так же, как та же функция в 1Password, позволяя доверенным друзьям или членам семьи получить доступ к вашей учетной записи, если вы не можете этого сделать.
NordPass является бесплатным, но мы рекомендуем план Premium (36 долларов в год)
После регистрации загрузите приложение для Windows, MacOS, Android, iOS или Linux. Так же есть расширения для браузера Firefox, Chrome и Edge .
Лучшие варианты «сделай сам» (самостоятельный хостинг)
Хотите сохранить больший контроль над своими данными в облаке? Синхронизируйте хранилище паролей самостоятельно.
Указанные ниже службы не хранят ваши данные на своих серверах. Это означает, что злоумышленникам нечего нацеливаться. Вместо того, чтобы хранить ваши пароли, эти службы используют локальное хранилище для хранения ваших данных, а затем вы синхронизируете это хранилище с помощью службы синхронизации файлов, такой как Dropbox, NextCloud или службы, рекомендованной Эдвардом Сноуденом, SpiderOak.
В этом сценарии нужно отслеживать две службы, что делает его немного более сложным. Но если вы уже используете файловую службу синхронизации файлов, это может быть хорошим вариантом.
Enpass
Предоставлено Enpass
24 доллара в год (один) 48 долларов Семейный
Enpass не хранит никаких данных на своих серверах. Синхронизация осуществляется через сторонние сервисы. Enpass не выполняет синхронизацию, но предлагает приложения для каждой платформы. Это означает, что после настройки синхронизации она работает так же, как и любая другая служба. И вам не нужно беспокоиться о взломе Enpass, потому что ваших данных нет на его серверах. Enpass поддерживает синхронизацию через Dropbox, Google Drive, OneDrive, iCloud, Box, Nextcloud или любую службу, использующую WebDAV. Увы, SpiderOak в настоящее время не поддерживается. Вы также можете синхронизировать данные через локальную сеть WLAN или Wi-Fi.
Все функции, которые вы ожидаете от диспетчера паролей, здесь, включая автоматическое создание паролей, мониторинг взлома, биометрический вход (для устройств, которые его поддерживают), автоматическое заполнение паролей и опции для хранения других типов данных, таких как кредит карты и идентификационные данные. Существует также функция аудита паролей, чтобы выделить любые слабые или повторяющиеся пароли в вашем хранилище. Еще одна особенность, которая мне особенно нравится, — это возможность помечать пароли для облегчения поиска. Enpass также упрощает настройку синхронизации через выбранный вами сервис.
Самые популярные
Enpass можно использовать бесплатно в Windows, Mac и Linux. Мобильная версия бесплатно синхронизирует до 25 элементов в одном хранилище. Более того, вы захотите подписаться на платную услугу (скидка 50% в первый год).
После регистрации загрузите приложение для Mac, Windows, Linux, Android и iOS и установите расширения для браузера на Chrome, Vivaldi, Edge и Firefox .
KeePassXC
Предоставлено KeePassXC
KeePassXC является бесплатным
KeePassXC работает как Enpass выше. Он хранит ваши пароли в зашифрованном цифровом хранилище, которое защищает вас с помощью мастер-пароля, файла ключа или того и другого. Вы сами синхронизируете этот файл базы данных с помощью службы синхронизации файлов. Как только ваш файл окажется в облаке, вы сможете получить к нему доступ на любом устройстве, на котором установлен клиент KeePassXC. Как и Bitwarden, KeepassXC имеет открытый исходный код, что означает, что его код может быть проверен и проверен на наличие критических недостатков. Если вы опытный пользователь, которому удобно решать свои проблемы и оказывать поддержку, KeePassXC станет отличным выбором.
Недостатком KeePassXC является отсутствие официальных мобильных клиентов. Сторонние приложения есть как на iOS, так и на Android.
Загрузите настольное приложение для Windows, MacOS или Linux и создайте хранилище. Существуют также расширения для Firefox , Edge и Chrome . У него нет официальных приложений для вашего телефона. Вместо этого проект рекомендует KeePass2Android или Сейф для iPhone .
Почетные упоминания
Предоставлено Keeper
Менеджеры паролей не являются универсальным решением. Наши лучшие варианты охватывают большинство вариантов использования и являются лучшим выбором для большинства людей, но ваши потребности могут отличаться. К счастью, есть много хороших менеджеров паролей. Вот еще несколько, которые мы протестировали и которые нам понравились.
Самые популярные
- Менеджер паролей Keeper (35 долларов США в год за безлимитный доступ) : Keeper предлагает множество инструментов, связанных с безопасностью, включая менеджер паролей. Keeper работает так же, как 1Password и другие, сохраняя только ваши зашифрованные данные, и предлагает двухфакторную аутентификацию для входа в вашу учетную запись. Как и Dashlane, Keeper имеет множество дополнительных функций, в том числе мониторинг темной сети, что означает, что он будет проверять общедоступные данные, чтобы убедиться, что ваши данные недоступны.
- Roboform (24 долл. США в год, 48 долл. США в год для семейного плана на пять пользователей) : Roboform обладает большинством тех же функций, что и остальные в этом списке, но ему не хватает некоторых вещей, которые отличают наши лучшие варианты, например Функция путешествий 1Password или открытый исходный код Bitwarden. Я тестировал бесплатный план некоторое время и не сталкивался с какими-либо проблемами. Есть приложения для каждой распространенной платформы, и ими легко пользоваться. Тем не менее, Roboform не опубликовал полный независимый аудит безопасности.
- Pass (бесплатно) : Pass — это оболочка командной строки для GPG (GNU Privacy Guard), то есть она предназначена только для самых занудных пользователей. Он поддерживает управление зашифрованными файлами .gpg в Git, а также доступны сторонние мобильные приложения. Это определенно не для всех, но поскольку люди всегда спрашивают, это то, что я использую.
Как насчет LastPass?
Раньше LastPass был нашим любимым бесплатным менеджером паролей, но затем он изменил свой бесплатный тарифный план, и теперь вы ограничены одним устройством. Если вы ищете бесплатный сервис, Bitwarden — гораздо лучший выбор. Еще больше беспокоит то, что в LastPass было больше серьезных нарушений безопасности, чем в любой другой службе на этой странице, что привело к тому, что мы удалили ее из списка лучших. Мы не рекомендуем использовать LastPass.
Как мы тестируем
Все лучшие и самые безопасные криптографические алгоритмы доступны в библиотеках программирования с открытым исходным кодом. С одной стороны, это здорово, так как любое приложение может использовать эти шифры и сохранять ваши данные в безопасности. К сожалению, любое шифрование настолько надежно, насколько надежно его самое слабое звено, и одна только криптография не обеспечит безопасность ваших паролей.
Вот что я проверяю: каковы самые слабые звенья? Ваш мастер-пароль отправлен на сервер? Каждый менеджер паролей говорит, что это не так, но если вы наблюдаете за сетевым трафиком во время ввода пароля, иногда вы обнаружите, что это так. Я также копаюсь в том, как работают мобильные приложения: они, например, оставляют ваше хранилище паролей разблокированным, но требуют пин-кода, чтобы вернуться? Это удобно, но слишком сильно жертвует безопасностью. Ни один менеджер паролей не идеален, но приведенные выше представляют собой лучшее из того, что я тестировал. Они настолько безопасны, насколько это возможно, оставаясь при этом простыми в использовании.
Основы диспетчера паролей
Хороший менеджер паролей сохраняет, генерирует и обновляет пароли одним нажатием кнопки. Если вы готовы тратить несколько долларов в месяц, менеджер паролей может синхронизировать ваши пароли на всех ваших устройствах. Вот как они работают.
Запомните только один пароль : Чтобы получить доступ ко всем своим паролям, вам нужно запомнить только один пароль. Когда вы вводите это в менеджер паролей, он разблокирует хранилище, содержащее все ваши фактические пароли. Необходимость помнить только один пароль — это здорово, но это означает, что от этого пароля зависит многое. Убедитесь, что он хороший. Если у вас возникли проблемы с придумыванием одного пароля, чтобы управлять ими всеми, ознакомьтесь с нашим руководством по повышению безопасности паролей. Вы также можете рассмотреть возможность использования метода Diceware для создания надежного мастер-пароля.
Самые популярные
Приложения и расширения : Большинство менеджеров паролей представляют собой полные системы, а не отдельные части программного обеспечения. Они состоят из приложений или расширений браузера для каждого из ваших устройств (Windows, Mac, телефонов Android, iPhone и планшетов), в которых есть инструменты, помогающие создавать безопасные пароли, безопасно хранить их и оценивать безопасность существующих паролей. Затем вся эта информация отправляется на центральный сервер, где ваши пароли шифруются, хранятся и передаются между устройствами.
Исправление скомпрометированных паролей : хотя менеджеры паролей могут помочь вам создать более безопасные пароли и защитить их от посторонних глаз, они не могут защитить ваш пароль, если сам веб-сайт взломан. Это не значит, что они не помогают в этом сценарии. Все облачные менеджеры паролей, которые мы обсуждаем, предлагают инструменты для предупреждения вас о потенциально скомпрометированных паролях. Менеджеры паролей также упрощают быстрое изменение скомпрометированного пароля и поиск ваших паролей, чтобы убедиться, что вы не использовали повторно скомпрометированные коды.
Вам следует отключить автоматическое заполнение форм : Некоторые менеджеры паролей автоматически заполняют и даже отправляют веб-формы за вас. Это очень удобно, но для дополнительной безопасности мы предлагаем вам отключить эту функцию. Автоматическое заполнение форм в браузере в прошлом делало менеджеры паролей уязвимыми для атак. По этой причине наш любимый менеджер паролей 1Password требует, чтобы вы согласились на эту функцию. Мы предлагаем вам не делать этого.
Не паникуйте из-за взлома : В программном обеспечении есть ошибки, даже в вашем менеджере паролей. Вопрос не в том, что вам делать , если станет известно, что ваш менеджер паролей имеет недостаток, а в том, что вы будете делать , когда станет известно, что ваш менеджер паролей имеет недостаток. Ответ: во-первых, не паникуйте. Обычно ошибки обнаруживаются, сообщаются и исправляются до того, как они будут использованы в реальных условиях. Даже если кому-то удастся получить доступ к серверам вашего менеджера паролей, с вами все равно все будет в порядке. Все сервисы, которые мы перечисляем, хранят только зашифрованные данные, и ни один из них не хранит ваш ключ шифрования, а это означает, что все, что злоумышленник получает от компрометации своих серверов, — это зашифрованные данные.
Лучший менеджер паролей 2023 года
Наш мозг недостаточно приспособлен для хранения и запоминания десятков сложных уникальных паролей для всех наших онлайн-аккаунтов. Запоминание даже одного сложного пароля само по себе является подвигом. Вот почему многие люди прибегают к небезопасной и рискованной практике повторного использования одного и того же часто слабого, легко запоминаемого пароля в своих онлайн-аккаунтах.
Злоумышленникам так же легко взломать слабый пароль, как и вам его запомнить. Как только ваш пароль был скомпрометирован, вы уязвимы для атак с подменой учетных данных, которые могут привести к взлому многих ваших учетных записей в Интернете. В этот момент вы также можете опубликовать в Твиттере все свои учетные данные для входа в систему.
Менеджер паролей — это онлайн-служба, предоставляющая зашифрованное хранилище, в котором вы можете хранить учетные данные для входа в систему для всех своих сетевых учетных записей, чтобы вам не приходилось их запоминать. Вам нужно только запомнить один мастер-пароль для доступа к зашифрованному хранилищу, из которого вы можете получить доступ ко всем другим паролям, которые вы сохранили. Службы управления паролями обычно предлагают удобные веб-интерфейсы, приложения или расширения браузера, с помощью которых вы можете получить доступ к зашифрованному хранилищу, используя свой мастер-пароль.
Лучшие менеджеры паролей являются кросс-платформенными и могут автоматически синхронизировать все ваше хранилище на всех ваших устройствах. Это означает, что после того, как вы введете свои пароли в менеджер паролей на одном устройстве, они автоматически появятся на всех других ваших устройствах, на которых вы установили приложение, независимо от того, используете ли вы Windows, MacOS, Linux, iOS, Android или расширение для браузера. Имейте в виду, что по своей природе менеджеры паролей являются чрезвычайно привлекательными целями для киберпреступников, поэтому важно, чтобы вы выбрали тот, у которого есть послужной список в плане безопасности и прозрачности.
Зачем нужен менеджер паролей
По оценкам NordPass, средний пользователь Интернета имеет от 70 до 80 паролей. Практически невозможно запомнить каждый отдельный сложный пароль, который вы должны создавать для каждой учетной записи, а это означает, что вам нужен другой механизм, чтобы отслеживать их все.
Использование менеджера паролей — гораздо более эффективный и удобный механизм для отслеживания ваших паролей. Вы можете использовать его для создания надежных уникальных паролей, которые экспоненциально труднее взломать, чем что-то вроде Fido19. 86. И если вы не знаете, как создать надежный пароль, хороший менеджер паролей всегда будет включать функцию генератора надежных паролей, которая создаст их для вас. Диспетчер паролей может даже помочь защититься от фишинговых атак, потому что, если менеджер паролей не распознает URL-адрес, по которому вы вводите свои учетные данные для входа (например, если вы находитесь на фишинговом сайте), его функция автозаполнения не предложит заполнить учетные данные.
У менеджеров паролей есть преимущества не только для хранения паролей. Вы можете использовать свой менеджер паролей для безопасного хранения других элементов, включая номера кредитных карт (для автоматического заполнения в интернет-магазинах), документы, удостоверяющие личность, проездные документы, медицинские записи, PIN-коды, номера банковских счетов и защищенные заметки. Многие из лучших менеджеров паролей также предлагают дополнительные функции, такие как облачное хранилище и вложения, отчеты о работоспособности паролей, уведомления об утечке данных и мониторинг темной сети (который предупреждает вас, если какая-либо ваша личная информация была обнаружена в темной сети). Вы также можете использовать свой менеджер паролей для безопасного обмена паролями и другими элементами с членами семьи, друзьями или другими доверенными контактами.
Лучшие менеджеры паролей 2023 года
Другие менеджеры паролей, которые я тестировал
Enpass
Enpass уникален тем, что позволяет хранить хранилище в любом месте по вашему выбору. У него нет централизованных серверов, на которых хранятся ваши данные. Вы можете хранить свое хранилище на самих своих устройствах или в своем личном облачном хранилище, таком как Dropbox или iCloud. Если вы не храните его на своем собственном устройстве, вам нужно будет доверять сторонней облачной службе, которую вы используете, так же, как вам нужно доверять своему хранилищу любому другому диспетчеру паролей. Но с вашим хранилищем, хранящимся локально на вашем устройстве, вы можете получить доступ к своим элементам хранилища в автономном режиме или в областях с ограниченным доступом в Интернет.
Enpass — отличный вариант для всех, кто хочет получить полный контроль над хранилищем своих хранилищ менеджера паролей, а также для всех, кого раздражает то, что LastPass не смог защитить пользовательские хранилища. Если это вы, и вы не возражаете против использования приложения, которое немного устарело и неуклюже, но все еще полнофункционально, взгляните на Enpass. Также есть множество вариантов настройки, так что это хороший вариант для более техничной толпы или тех, кто любит возиться. Enpass стоит 24 доллара в год для физических лиц или 36 долларов в первый год (затем 48 долларов в год) для семейного плана, включающего шесть лицензий. Вы также можете приобрести пожизненный индивидуальный план за 100 долларов.
См. Enpass
KeePass
Программа KeePass полностью бесплатна и полностью открыта. Это мощный менеджер паролей, но ориентированный в первую очередь на технарей. Интерфейс устарел и неудобен для навигации по сравнению с тем, что предлагают другие менеджеры паролей. KeePass оптимизирован для использования на компьютерах с Windows, но неофициальные порты для других платформ, включая MacOS, Linux, Android и iOS, доступны для загрузки на сайте. Но если у вас есть много технических ноу-хау и вам нужен бесплатный менеджер паролей с открытым исходным кодом и широкими возможностями настройки, то KeePass может быть для вас вариантом.
См. на KeePass
Связка ключей Apple iCloud
Встроенный менеджер паролей Apple для компьютеров Mac и iOS, вероятно, уже знаком большинству пользователей Apple. Это безопасное и удобное решение для управления паролями, которое бесплатно предоставляется вместе с вашим Apple ID. Он включает в себя основные функции, такие как хранение и автозаполнение ваших паролей, а также другие элементы, такие как номера кредитных карт и пароли. А с выпуском iOS 17 этой осенью Apple позволит вам делиться паролями и ключами доступа с доверенными контактами. Вы сможете создавать группы общего доступа и выбирать набор учетных записей, которыми хотите поделиться с другими, с возможностью удалить кого-либо из группы в любое время. Тем не менее, iCloud Keychain от Apple не имеет всего спектра возможностей, предлагаемых другими решениями для управления паролями премиум-класса. Вы также можете настроить связку ключей iCloud на компьютере с Windows, но вам нужно будет инициировать процесс с вашего устройства Apple. Так что это действительно жизнеспособное (хотя и очень простое) решение для управления паролями, если у вас уже есть устройство Apple.
Подробную информацию о связке ключей iCloud см. на веб-сайте Apple
ExpressVPN Keys
ExpressVPN, выбранный редакцией CNET как лучший в целом VPN, вступает в игру с новым решением для управления паролями под названием Keys. Менеджер паролей в настоящее время находится в стадии бета-тестирования и доступен только для избранного числа пользователей ExpressVPN, но позднее он будет развернут более широко и будет включен во все учетные записи ExpressVPN. Хотя Keys все еще находится в стадии бета-тестирования, он уже является многофункциональным менеджером паролей, интуитивно понятным и удобным для пользователя. Keys предлагает многие функции, которые предлагают другие ведущие менеджеры паролей, включая настраиваемый генератор паролей, отчеты о работоспособности паролей, 2FA, автосинхронизацию и автозаполнение. Express также только что добавил функцию аутентификации в Keys, которая может генерировать шестизначные одноразовые пароли на основе времени (TOTP), которые меняются каждые 30 секунд. В настоящее время функция TOTP доступна только для избранных пользователей Android, но в ближайшем будущем она будет развернута повсеместно, сообщает Express.
Ключи будут доступны в качестве расширения браузера для Chrome, Edge, Opera, Brave и Vivaldi, а также включены в приложения ExpressVPN для iOS и Android. Как только ключи будут доступны всем пользователям, они станут идеальным менеджером паролей для пользователей ExpressVPN. Пока что я впечатлен сервисом, и очевидно, что команда Express постоянно работает над улучшением предложения и добавлением новых функций. Но на данный момент он не входит в число лучших, потому что он все еще находится в стадии бета-тестирования и пока не доступен для всех пользователей ExpressVPN, не говоря уже о людях, которые не используют ExpressVPN. После того, как он будет широко распространен среди всех пользователей ExpressVPN, было бы неплохо, если бы ключи стали доступны и для тех, кто не является пользователем, в духе NordPass.
См. на ExpressVPN
Как насчет LastPass?
LastPass — один из самых известных и популярных менеджеров паролей на рынке, который, по данным компании, насчитывает более 33 миллионов личных пользователей и 100 000 бизнес-пользователей. Однако в свете своей долгой истории инцидентов с безопасностью, включая утечку данных в конце 2022 года, когда «неуполномоченная сторона» украла информацию об учетной записи клиента и конфиденциальные данные хранилища, CNET не может с чистой совестью рекомендовать LastPass нашим читателям.
Несмотря на то, что LastPass завершил расследование инцидента и после взлома отдал приоритет «инвестициям в безопасность, конфиденциальность и передовые методы работы», диспетчер паролей на данный момент остается вне списка CNET. Тревожный характер этой последней утечки данных серьезно подорвал доверие к инструменту безопасности компании для отдельных потребителей и предприятий.