Вторник, 9 Октября 2012 года, 9:48Просмотров: 3472 шт.
Hi-Tech → О хранении паролей
При хранении различных паролей, например, к ftp-серверам, к учетным записям в интернете и др. возникает опасность, что пароль может быть сворован злоумышленником. Как можно защитится?
— Не хранить пароли в файлах в не зашифрованном виде
— В ftp-клиенте включить шифрование паролей с помощью мастер-пароля (Total Commander) и резервную копию файла ftp-паролей wcx_ftp.ini хранить в безопасном месте
— В браузере либо отключить опцию "хранить пароли" либо включить режим "Использовать пароль для защиты сохраненных паролей" (Opera).
— Шифровать пароль к учетным записям Windows: утилита syskey (WIN-R -> syskey) позволяет шифровать пароли учетных записей и хранить их как на локальном диске так и на дискете. Позволяет задать ключ для запуска Windows.
— Пароли к сайтам можно хранить в почтовом ящике, например Gmail, либо в "Документах Google", которые доступны через защищенный протокол https.
— Используем менеджеры паролей - специальные программы, например Secure Data Manager, Password Commander, KeePass Password Safe.
— Не забываем регулярно везде менять пароли.
— Исключаем социальный способ воровства: знакомства, красивые девушки/мальчики, общение по icq и др.
— Боремся с программами-шпионами
*****
Все это усложнит процесс воровства ваших паролей.
Предположим, Хакер знает ваш e-mail и, соответственно, может захотеть его взломать. "Ну и пусть, у меня суперпароль" - скажете вы. Позвольте вам возразить, существует множество способов не просто взломать, а обойти пароль. Самый простой из них - воспользоваться существующей опцией "Восстановление пароля через секретный вопрос", такая опция предоставляется крупными почтовыми сервисами, такими как Mail.ru и Yandex.Почта. Как правило, пользователь в строку "Ответ на секретный вопрос" пишет любимое блюдо, девичью фамилию матери или имя домашнего животного. Эту информацию с недавних пор стало проще простого найти на странице пользователя в его любимой социальной сети: наверняка у него мама в друзьях, есть фото домашнего любимца или пельменей.
Отдельно поговорим о хранении паролей в браузере:
Большинство из нас сохраняет пароли к сайтам с помощью встроенных в браузер функций.
Каждый браузер хранит и шифрует эти данные по-разному. Так, например, FireFox для хранения использует алгоритм Triple-DES, а ключ находится в файле key3.db. При этом пароли хранятся в signons.sqlite. Ныне популярный Chrome хранит пароли в файле Login Data в формате SQLite. В файле — 14 колонок: origin_url (ссылка на сайт для которого сохранён пароль), username_value (логин), password_value (пароль). Среди других колонок есть так же: страница авторизации, название элемента ввода для логина и пароля и другие. Все данные не зашифрованы, за исключением поля password_value. Для шифрования используется Data Protection Application Programming Interface, который использует Windows. Стоит отметить, что эту же систему безопасности использует всем известный IE версии 7 и старше. Защита в ней устроена ещё на порядок выше, чем у Google Chrome. Опера хранит пароли в файле wand.dat.
Для шифрования, опера использует алгоритм 3DES и мастер-пароль в качестве ключа шифрования, которым также защищены личные сертификаты и данные wand (если конечно вы задали мастер-пароль).
Для своевременного обнаружения уязвимостей и багов в Опере, к примеру, предусмотрена возможность отправки сообщений об ошибках в Opera Software. По сведениям компании Secunia, специализирующейся на компьютерной и сетевой безопасности, в Opera 9.x было выявлено 13 уязвимостей, все они к настоящему времени устранены. Для сравнения, в Firefox 2.0.x было выявлено 23 уязвимости, из которых до сих пор не устранены 4, в Internet Explorer 7.x остаются незакрытыми 8 из 24, а в Safari 3.x одна из трёх найденных уязвимостей. Однако эти данные уже достаточно устаревшие, буду благодарен за более актуальные верссии браузеров и уязвимости, с ними связанные
Google Chrome, к слову, при шифровании использует машинный ключ, уникальный для текущей системы (компьютера). Если у Вас просто украдут файл паролей, то смогут прочитать только логины и сайты, где Вы регистрировались. Но Ваши пароли злоумышленники получить не смогут. Для большей защиты старайтесь везде где это возможно использовать мастер-пароль.
Для заметки — FireFox, в отличии от Хрома, не привязан так к машине. Как и Opera. Но у FF и Opera есть возможность ставить мастер-ключ, тогда придется злоумышленнику подбирать его (при сложном ключе — это практически невозможно). Но мастер ключ может быть украден у Вас кейлогером. Так что запускайте приложения ТОЛЬКО из проверенных источников.
Но помните: Идеальной защиты нет. Просто будьте осторожны, внимательно проверяйте то, что Вы запускаете — тогда проблем не будет.
А для борьбы с вирусами рекомендую регулярно проверять компьютеры при помощи антивирусного сканера или лечащей утилиты Dr.Web CureIt! от компании «Доктор Веб» или AVZ от Касперского.