Сервис для безопасного хранения паролей подвергся хакерской атаке. Об утечке предупредили создатели программы Passwordstate. Ей пользуются около 30 тыс. компаний по всему миру. Злоумышленники разослали вредоносное обновление клиентам сервиса и получили доступ к их данным. В компании подчеркнули, что информация закодирована, но ее можно расшифровать. Разработчики уже выпустили исправление, которое устраняет уязвимость. Менеджер паролей позволяет хранить информацию для входа в различные учетные записи и создавать сложные комбинации.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Можно ли доверять таким программам? И как защитить свои данные? На эти вопросы “Ъ FM” ответил руководитель аналитического центра компании Zecurion Владимир Ульянов: «Популярность подобных сервисов или приложений, которые устанавливаются локально, растет. Связано это с тем, что у нас появляется все больше и больше аккаунтов. Количество учетных записей слишком велико для того, чтобы можно было адекватно работать без каких-то специальных внешних инструментов. Запомнить несколько десятков аккаунтов невозможно.
Менеджер паролей — это тоже не панацея.
Если его взломают и заберут мастер-пароль, это чревато потерей всех остальных аккаунтов. Но это более безопасно, нежели хранение в отдельном файле в незашифрованном виде.
Логин и пароль к самым важным аккаунтам лучше все-таки запомнить. Есть две разновидности менеджеров паролей: первая — устанавливается локально, данные хранятся так же. Вторая разновидность — это сетевые сервисы, когда пароли находятся где-то в облаке, и пользователь при необходимости подтягивает их по сети. При этом, конечно, обе схемы уязвимы. Если системы построены корректным образом и данные шифруются уже на уровне локальной рабочей станции, то хранение становится безопасным».
Хранить пароли в специальных сервисах может быть рискованно, подтверждает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд. Но есть простой способ защитить свои аккаунты.
«Есть известная дилемма: либо безопасно, либо удобно. То есть эффективнее всего для каждого ресурса иметь свою уникальную пару логин-пароль, лучше — не словарную, а криптостойкую. Каким бы хорошим ни был пароль, он все равно уступает комбинациям "пароль плюс СМС", либо "пароль плюс одноразовый код", либо "пароль плюс криптоключ". Менеджерами паролей пользоваться можно. То, что они окажутся не такими защищенными, как заявляли производители, это данность, тот риск, который стоит учитывать. Безопасность не зависит от бренда.
Правилом хорошего тона будет менеджер паролей с открытым исходным кодом.
Платно, бесплатно — это, скажем так, вкусовщина. Могут попадаться хорошие бесплатные и плохие платные продукты. Но независимый аудит, который позволяет сделать компания, это всегда хорошо. Есть энтузиасты и сообщества, у которых существует экспертиза, они могут посмотреть, как продукт реально работает. Открытый исходный код этому лишь способствует, тогда еще больше человек может быть вовлечено в этот аудит безопасности»,— отмечает Алексей Дрозд.
Недавно специалисты по кибербезопасности предупреждали о масштабной атаке на счета россиян во время майских праздников. В начале весны в даркнете продавался доступ к уязвимости, которая позволяет перехватить звонки и СМС, в том числе из банков. Сообщения также могут использоваться для входа в соцсети и мессенджеры. Эксперты, опрошенные “Ъ FM”, считают, что банки смогут отразить атаку. Но использовать СМС как единственный способ входа, например, в Telegram все же небезопасно.