Наверное, сегодня ни для кого не является секретом тот факт, что парольная защита не соответствует современным требованиям информационной безопасности. Основная проблема заключается в том, что она слишком сильно зависит от пользователей, точнее, от того, какие ключевые слова они используют и как они их хранят. Некоторые люди применяют слишком простые или осмысленные пароли. В этом случае злоумышленники могут легко их подобрать. Другие предпочитают запомнить одно-два действительно сложных ключевых слова и использовать их везде. Однако такой подход тоже связан с опасностью. Дело в том, что не все сервисы одинаково надежны. И, узнав пароль в одном из них, злоумышленник сможет получить доступ и к другим защищенным ресурсам. Так что лучше все-таки следовать всем рекомендациям и использовать качественные пароли. Однако тут возникает вопрос с их хранением. Дело в том, что человеку очень сложно запомнить один или два десятка случайных комбинаций из 8-12 символов. То есть люди вынуждены записывать их в свои блокноты или сохранять в обычных текстовых файлах на жестких дисках, что, конечно же, очень плохо.
То есть получается, что парольная защита - вещь довольно ненадежная. А поэтому лучше использовать другие способы аутентификации, основанные на применении USB-токенов или биометрических сканеров. Однако в некоторых случаях, например в Интернете, такой вариант просто-напросто невозможен. Кроме того, далеко не все фирмы, не говоря уже о домашних пользователях, готовы приобретать необходимые для этого устройства. Хорошим выходом из сложившейся ситуации является специальное программное обеспечение - так называемые менеджеры паролей. По своей надежности они занимают промежуточное положение между простой парольной защитой и имущественной или биометрической аутентификацией. Ярким примером программы этого класса является продукт Sticky Password, разработанный специалистами украинской компании Lamantine Software. Именно о нем мы с вами, уважаемые читатели, и поведем сегодня разговор.
Программа Sticky Password - менеджер паролей. То есть эта утилита предназначена для надежного хранения и удобного управления ключевыми словами пользователя. Принцип ее работы довольно прост. Сначала Sticky Password создает в указанной папке файл специального формата. В нем будут храниться все необходимые для ее работы данные: логины, пароли, ссылки на веб-сайты, информация о других приложениях и т. п. Причем записываются они в этот файл только в зашифрованном виде. Для этого может использоваться любой из реализованных в утилите криптографических алгоритмов: AES (ключ 256 бит), Blowfish (ключ 448 бит), Diamond II (ключ 2048 бит), FROG (ключ 1000 бит), Ghost (ключ 256 бит), Sapphire II (ключ 8192 бит), SCOP (ключ 384 бит), Twofish (ключ 256 бит). Причем для каждого человека, имеющего аккаунт в Windows, создается собственная база паролей. Таким образом, с одной копией программы может работать несколько человек. При этом конфиденциальность информации не будет нарушаться. После запуска программы база паролей заблокирована. Это значит, что никакую информацию из нее получить невозможно. Для того чтобы разблокировать данные, необходимо ввести так называемый мастер-пароль - строку символов, которые пользователь задал в настройках утилиты. Причем для этого можно использовать не только обычную клавиатуру, но и виртуальную - специальное окошко с нарисованными кнопками, по которым надо кликать мышью. Использование этого инструмента позволяет пользователю обезопасить себя от всевозможных кейлоггеров и другого шпионского ПО.
Таким образом, при использовании продукта Sticky Password мы получаем следующую ситуацию. Программа сохраняет в своей базе всю аутентификационную информацию, необходимую для доступа к любым приложениям или веб-сайтам. Поскольку пользователю не нужно это делать самостоятельно, то он может использовать любые, сколь угодно сложные, оригинальные для каждого сервиса пароли. Ну а для того чтобы получить доступ ко всем этим данным, необходимо запомнить всего лишь одно ключевое слово. Надежность всей системы зависит от его выбора и способа хранения. То есть здесь лучше использовать действительно качественный пароль, состоящий минимум из 12 случайных символов. Причем его не нужно никуда записывать, лучше просто держать в памяти. Тем более что запомнить одно ключевое слово, пусть даже и сложное, по силам любому человеку. Впрочем, на всякий случай его можно и записать, но бумажку с ним или носитель с файлом необходимо хорошо спрятать: положить в сейф или отдать на хранение в банк. Таким образом, мы получаем не только более надежную, но и более удобную, нежели стандартное использование паролей, защиту. Конечно, она уступает имущественной или биометрической аутентификации, но зато и затраты на внедрение ее в эксплуатацию гораздо меньше: от 5 до 10 долларов за каждую лицензию.
Ну а теперь давайте посмотрим, как осуществляется работа пользователей с программой Sticky Password. Итак, допустим, человек установил программу, осуществил ее первоначальную настройку и разблокировал базу данных. Теперь необходимо заполнить ее. Собственно говоря, это удобнее всего делать прямо в процессе эксплуатации по мере открытия нужных сервисов. Для этого в программе Sticky Password реализован оригинальный инструмент. Он представляет собой специальную мишень, которую можно перетащить мышкой прямо на диалоговое окно или веб-страницу для ввода логина и пароля. При этом программа сама автоматически создаст новый аккаунт в базе данных и запишет в него всю необходимую информацию об указанной пользователем цели. Впрочем, аккаунты можно создавать и вручную. Вот только для указания приложения или веб-страницы лучше все-таки пользоваться прицелом.
Для создания паролей в программе Sticky Password реализован встроенный генератор. Принцип его работы очень прост. Пользователь должен лишь указать число символов и нажать на кнопку, чтобы программа сама создала ключевое слово и автоматически вписала его в нужное поле аккаунта. При этом на экране в открытом виде ключевое слово вообще не появляется. То есть получается, что ни всевозможные кейлоггеры, ни программные шпионы, ни простое подглядывание злоумышленникам не помогут.
При создании любого аккаунта пользователь может задать последовательность действий, которые будет выполнять программа при открытии данного приложения или веб-страницы. Фактически это позволяет полностью автоматизировать процесс аутентификации практически в любой программе. Sticky Password может устанавливать в нужные положения различные переключатели, активировать указанные чекбоксы, вводить в нужные поля определенные данные и нажимать на кнопки.
В результате процесс работы с программой Sticky Password выглядит следующим образом. Утилита постоянно находится в памяти компьютера. Пользователь может в любой момент по своему желанию заблокировать или, наоборот, разблокировать доступ к базе данных. Кстати, файл с паролями автоматически закрывается при бездействии человека в течение определенного времени. Это необходимо для защиты паролей, в случае если пользователь отошел от компьютера, забыв заблокировать Sticky Password.
В процессе своей работы рассматриваемая программа самостоятельно отслеживает все открываемые окна и веб-сайты и проверяет наличие в своей базе аккаунтов, с ними связанных. В случае если таковые отыщутся, утилита произведет описанные пользователем действия и укажет аутентификационную информацию. То есть человек получает в свое распоряжение уже готовый сервис и может не думать о необходимости ввода логина и пароля. Такое решение помимо очевидного удобства имеет еще одно преимущество. Дело в том, что сегодня все большее и большее распространение получает фишинг. Суть его заключается в заманивании жертв на поддельные сайты, которые имитируют известные веб-серверы. Попав на такую приманку, человек вводит свои логин и пароль, которые попадают в руки злоумышленников. При использовании же программы Sticky Password такого не случится. Она запоминает точные адреса веб-сайтов, и обмануть ее не получится. Так что отслеживание и автоматическое заполнение форм ввода аутентификационной информации - большой плюс, который реализован далеко не в каждом менеджере паролей.
Ну а теперь давайте скажем хотя бы несколько слов о дополнительных функциях рассматриваемой утилиты. Наиболее важной из них является резервирование базы данных. Осуществляется оно автоматически при внесении каких-либо изменений хотя бы в один аккаунт. Таким образом, владелец информации может не бояться потерять все свои пароли из-за какого-либо сбоя. Другой весьма полезной возможностью является функция автоматического создания аккаунтов на основе стандартных баз, использующихся браузерами для автозаполнения форм. С ее помощью пользователь может буквально за несколько секунд получить почти полностью настроенную программу. Кроме того, в утилите Sticky Password реализован контекстный поиск аккаунтов (он может пригодиться при большой базе паролей) и экспорт данных в текстовые файлы.
Вот, пожалуй, и все, что можно сказать о менеджере паролей Sticky Password. Эта программа действительно может существенно увеличить надежность обычной парольной защиты. Кроме того, она облегчает работу пользователя, избавляя его от постоянного выполнения рутинных операций аутентификации. Все это в сочетании с удобным многоязычным интерфейсом делает рассмотренный продукт весьма и весьма привлекательным.
