Где-то с полгода назад я озаботился проблемой моей секьюрити. Дело в том, что суммы потихоньку росли, и риск быть обкраденым рос прямо пропорционально моему доходу. А раньше, собственно, никогда не задумывался над этим вопросом, было три пароля на все сайты и мылы, чтоб не забыть и сё :)

Первый серьезный шаг к обеспечению защищенности доступа заключался в том, что я начал использовать манагер паролей. Прога очень удобна, хотя я пользуюсь процентов на 20 от всех ее функций. Но, обо всем по-порядку..

Итак, типичный пример — есть компутер дома, есть рабочий комп, и, возможно, есть ноутбук. И вообщем-то везде идет работа — заходы в партнерские акки, на различные сайты, на ФТП к хостеру, в админки, работа с почтой, киперами и пр..

Что хочется — золотая середина между достаточной безопасностью от краж паролей и прежним удобством работы. Для меня этой серединой является невозможность стырить пароли человеку, имеющему доступ к моему компу (любому) в неограниченном объеме. Поясню:

  • рабочий комп — к рабочему компьютеру имеют полный доступ как минимум все администраторы домена, а как максимум — все, кто с вами работает, причем возможен удаленный доступ.
  • домашний комп — думаете, к нему-то уж точно никто левый не сядет? Ха, наивные. Приведет ваша подружка/жена/брат/отец в ваше отсутствие свою подружку/друга показать клевую игруху/распечатать реферат и всё, пиздец вашей домашней секьюрити. Или в то же ваше отсутствие придет какойнить «инженер из интернет компании» и скажет домочадцам «изза вашего компа у всех инета нет, дайте-ка я его посмотрю».. В конце концов, дядя Вася с соседней квартиры, ночью, когда комп включен, а все спят, отрежет кабель, воткнет в свой девайс, настроит сетку и зайдет по ней на ваш комп. Вариантов тьма.
  • ноут — тут банально его можно потерять/оставить/быть обкраденым.

Представьте, у плохого человека оказывается ваш txt-файлик с именем gfhjkb, запрятанным в папку c:\windows\system\, в котором вы хранили все ваши пароли и сцали от радости, типа, какой вы ниибаца секьюрный способ нашли. Пароли от почты, от хостингов, от доменов, от кипера (наверняка, и ключик на компе держим, угу), от аськи, от форумов…. Представьте, что везде, где идет ввод пароля — ресурс вам уже не принадлежит… ну как, страшна? :) Воо, и мне.

Вот те программы, которые я использую для обеспечения защиты:

  • Вышеупомянутый Password Commander. Всех прелестей не перечислишь. Разработчики грамотно подошли к обеспечению безопасности. И даже если забываешь, отходя ненадолго, залочить комп на работе, то, даже при запущенном pascom, злоумышленник не сможет раскрыть программу из трея, не зная к ней пароля. Все, что нужно знать — один главный пароль для запуска программы. Его уж придется сделать длинным и сложным. И запомнить его. На флешке можно таскать как сам запароленый профиль, так и всю программу с профилем (это если часто ктото работает на разных компах). Объяснил хреново, но уверяю, попробуете ее в действии — вам понравица :)
  • TrueCrypt — программа для шифрования «на лету». Позволяет создавать зашифрованную папку или целый раздел диска любого размера, с большим выбором отношений: сила шифрования/скорость работы. Все, что связано с паролями и приватной информацией — храню там. Очень много возможностей, можно создать раздел и скрыть его (и только сама программа может его обнаружить), можно зашифровать имеющийся логический диск (флешку), можно создать виртуальный диск и он будет хранится как файл.. Все программы, где хранятся пароли, я устанавливаю на этот диск. Или, если невозможно (или неудобно) ставить программы туда — вытаскиваю профайл/файл с паролями-установками и кидаю на этот шифрованный виртуальный диск.

Диск может шифроваться различными алгоритмами, а также последовательностью алгоритмов, соответственно, чем сильнее зашифрован диск, тем медленнее он работает. Я не рекомендую шифровать рабочие (системные) диски, т.к. будет замедление работы. У меня при загрузке винды загружается и truecrypt. Хавает он около 10 мег оперативки, что совсем немного. Ну и при работе с шифрованной областью сжирает CPU на 1-2%. (при размере шифрованной инфы в пару мегабайт и одним алгоритмом шифрования).

Что у нас получается. У нас есть два хранилища паролей — одно мобильное (pascom), другое — стационарное (truecrypt). Первое я ношу с собой на флешке, и вношу все новые и измененные пароли туда, независимо от того, где нахожусь. Таким образом, у меня всегда с собой актуальные данные (ресурс/логин/пароль). Садясь за комп (домашний/рабочий/лапик), при необходимости, я обновляю забитый в прогу пароль, который хранится на шифрованном диске, беря его из pascom.

По сути, нужно знать всего 2 пароля — от pascom и от truecrypt. Естественно, сделать их сложными. И желательно их периодически менять.

Теперь про всякие неожиданности:

  • Сдохла/потеряли флешку. Ничего страшного, бэкап последней версии вашего профайла со всеми паролями сохранен на том компе, где вы последний раз редактировали этот профайл.
  • флешка/профайл pascom попала в руки злоумышленника. Если вы догадались зайти на сайт производителя и скачать нестандартный алгоритм шифрования, а также придумали хороший пароль (от 12 символов, цифры/буквы/кракозябры), то бояться нечего — его не взломают.
  • Сдох винт/ошибка чтения у домашнего/рабочего компа или лапика.. Фигня, у вас все пароли сохранены на флешке, в pascom
  • Забыли флешку на работе/дома — гавно-вопрос, идем в папку с бэкапами профайла, берем самый последний — не факт, что это будет самая актуальная версия профайла, возможно, последних записей там нет, но остальными можно пользоваться, пока не вернется флешка.
  • Комп захватили злоумышленники — неважно, как — доступ чрз сетку, спиздили ноут, етс.. Если все пароли под шифровкой — пусть даже они стырят файл с виртуальным диском — ничего не вытащат, если, опять же, у вас хороший пароль.
  • Последний пункт, самый страшный — если вы забыли пароль от truecrypt или pascom. Если от truecrypt — то, вообщем-то, можно выжить — все пароли мы храним в pascom, придется переставить те программы, которые были установлены в шифрованную область или прописать на вновь созданный шифрованный диск пароли. Если посеяли пароль от pascom`а — жопа. Есть несколько способов избежать, ну или хотя бы упростить положение:
    • Не забывайте пароль:), лучше поставить такие настройки в проге, чтоб его нужно было чаще набирать.
    • В pascom есть возможность задать подсказку. Лучше, конечно, не прямой вопрос, ответ на который является паролем. Что-нибудь ассоциативное, то, что может натолкнуть на пароль только вас.
    • Пароли от основных почтовых ящиков очень желательно знать наизусть. Обычно, имея доступ к основным ящикам, можно восстановить большинство паролей, имеющих отношение интернету — сайтам, сервисам.

Бонус:

Где хранит каждая прога пароли: тотал-коммандер хранит пароли от фтп в файле c:\windows\wcx_ftp.ini, миранда — в файле .dat, который может находится в разных местах в зависимости от настройки при установке, опера хранит «жезловые» пароли в файле wand.dat, который находится в профайле, который также в зависимости от установок, может лежать в разных местах (в профайле юзера, в папке, куда установлена прога, в указанной папке при инсталляции). thebat — по умолчанию в папке MAIL, которая находится в зависимости от установок (см перечень выше).

У хороших программ есть возможность задавать в настройках путь к профайлу. Пользуйтесь этим.

И еще пожелание — не пользуйтесь программами, которые хранят пароли в реестре.