Мне часто приходится пользоваться генераторами паролей, причем не только для создания паролей, но и, например, для розыгрышей, когда нужно случайное число. Встроенные инструменты браузеров далеко не всегда удобны, а на некоторых сайтах и вовсе нет нормальной разметки полей паролей. За время работы у меня накопился целый список сервисов, которыми я действительно доволен, и я готов поделиться ими с вами.

Без долгих вступлений — мой личный топ.

1. Ur1s генератор паролей

Относительно свежая находка, но сразу же стал фаворитом. Здесь есть всё: от стандартных паролей до генерации фраз и игровых ключей.

Плюсы:

• Гибкая настройка: длина пароля от 3 до 64 символов, количество паролей от 1 до 100.

• Возможность включать/отключать цифры, буквы (заглавные и строчные), пробелы и спецсимволы.

• Исключение похожих и повторяющихся символов.

• Запись паролей в TXT-файл.

• Поддержка генерации парольных фраз (русский и английский языки).

• Высокий уровень безопасности: генерация происходит локально, даже без интернета.

Минусы:

• Иногда встречаются баги, но исправляются быстро.

• Дизайн можно улучшить.

2. PassGen

Один из первых генераторов, которые я использовал. Простой, русскоязычный, не требует регистрации.

Плюсы:

• Удобство в использовании.

• Поддержка паролей длиной от 6 до 64 символов.

• Гибкие настройки включения цифр, букв и спецсимволов.

• Можно исключить повторяющиеся символы.

Минусы:

• Отсутствие расширенных функций вроде проверки надежности пароля.

• Устаревший интерфейс.

3. Randomus

Этот генератор знаком многим, но по сравнению с лидерами рейтинга кажется слегка устаревшим.

Плюсы:

• Гибкие настройки.

• Поддержка длины пароля до 100 символов.

• Генерация нескольких паролей одновременно.

• Встроенная оценка надежности.

Минусы:

• Куча рекламы.

• Иногда зависает при генерации слишком длинных паролей.

4. Proton Pass

Менеджер паролей от Proton с высоким уровнем безопасности. Открытый исходный код, сквозное шифрование.

Плюсы:

• Генерация паролей от 4 до 64 символов.

• Можно включать заглавные буквы, цифры, спецсимволы.

• Есть генератор фраз (только английский).

• Удобный интерфейс.

• Повышенная безопасность.

Минусы:

• Меньше настроек, чем у конкурентов.

• Для полной функциональности нужно установить приложение.

• Присутствует небольшая реклама продуктов Proton.

5. OnlinePasswordGenerator.ru

Минималистичный сервис для быстрой генерации паролей с базовыми настройками.

Плюсы:

• Интуитивный интерфейс.

• Поддержка паролей длиной до 100 символов.

Минусы:

• Нет массовой генерации.

• Отсутствует проверка надежности.

• Дизайн остался неизменным с 2010 года.

• Довольно много рекламы.

6. Genpas.narod.ru

Этот сервис — настоящая ретро-классика, которая до сих пор работает.

Плюсы:

• Возможность массовой генерации.

• Можно использовать офлайн, если сохранить страницу.

Минусы:

• Очень старый дизайн.

• Минимальный функционал.

Вот такой список лучших генераторов паролей на мой взгляд. Если у вас есть другие любимые сервисы — пишите!

Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.

Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их. Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).

KeePass

Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.

Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).

Vault

Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH. Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.

У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.

По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.

Пассворк

Как мне кажется, Пассворк — это первый выпущенный в России корпоративный менеджер паролей.

Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.

Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.

Стоимость стандартной версии на 100 пользователей —  132 000 рублей, но существенная часть функционала доступна только в расширенной версии.

ОдинКлюч

Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.

У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира.

В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” —  пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей.

Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.

Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.

TeamDo

Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.

Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.

В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.

BearPass

Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).

Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.

Сравнение менеджеров паролей

У всех описанных решений имеется:

• Установка On-Premise

• Двухфакторная аутентификация (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через интеграцию с внешними системами) 

• Поддержка хранения истории паролей (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через версии секретов)

• Аудит действий пользователей

По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч.

По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то — ОдинКлюч.

По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.

По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование.

Как выбрать лучший менеджер паролей?

Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить.

Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость.

Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.

Первая часть практического руководства по созданию эффективных паролей от коллектива иностранных авторов, переведённого экспертами Origin Security специально для наших читателей

1. Примечание переводчика

Оригинальный материал и этот перевод находятся под действием лицензии
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International.

Пароли повсеместно используются в современном мире. Если у вас есть учетная запись на компьютере, то наверняка будет хотя бы один пароль. Пароли использовались в компьютерах с момента появления вычислительной техники. Первой операционной системой с реализованным механизмом аутентификации на основе пароля стала Compatible Time-Sharing System (CTSS), представленная в Массачусетском технологическом институте в 1961 году.

Пароли – это самая простая форма реализации информационной безопасности. В течение многих лет эксперты пробовали сделать пароли более сложными для взлома, применяя различные правила создания и использования паролей (т.н. парольные политики).

Однако, при всей технической простоте реализации, парольная политика нередко оказывает спорное влияние на уровень безопасности информационных систем. Необоснованно завышенные требования к сложности и сменяемости паролей часто приводят к тому, что пользователи их просто забывают, после чего надоедливо отвлекают безопасников просьбами сменить пароль. Распространенными среди пользователей практиками являются также запись сложного пароля на стикере, который виден всем окружающим, или изменение только последнего символа пароля при появлении требования об установке нового пароля.

Поэтому, чтобы эффективно противодействовать злоумышленнику, парольная политика должна иметь реальное обоснование и не приводить пользователей в замешательство и расстройство. Некоторые крупные игроки в области стандартизации информационных технологий (NIST, Microsoft и пр.) недавно разработали новые парольные политики, основанные на двух базовых принципах:

2. Облегчение пользователям создания, запоминания и использования надежных паролей (учет человеческого фактора).

Цель этого документа – не изобретать велосипед, но объединить новые руководства по парольной политике в одном месте. Создать универсальную парольную политику, которую можно использовать везде, где это потребуется.

Каким бы стойким ни был пароль, эффективная защита может быть достигнута только при комплексном подходе с применением разнообразных механизмов. Подходы к реализации парольной политики можно ранжировать следующим образом (от более предпочтительных к менее):

МФА – это самый эффективный метод защиты, и, хотя в руководстве ему посвящён отдельный раздел, здесь он заслуживает особого упоминания. МФА должна быть приоритетным вариантом при проектировании системы аутентификации для всех пользователей и везде, где это возможно. Особенно она необходима для безопасности доступа администраторов и других привилегированных учетных записей. Понятно, что МФА сама по себе не является панацеей хотя бы потому, что далеко не во всех информационных системах возможна её техническая реализация. Кроме того, даже при использовании МФА иметь стойкий пароль полезно, поскольку он используется как один из факторов.

Инструмент позволяет создавать и хранить уникальные и сложные пароли для каждой учетной записи. Использование менеджеров паролей может значительно повысить безопасность и удобство авторизации пользователей.

Этот подход наиболее полно описан в данном руководстве, поскольку он является самым распространенным в настоящее время. Вместе с тем, большая часть рекомендаций актуальна для всех трех методов.

Краткое описание рекомендаций по парольной политике представлено в таблице ниже. Детальная информация по каждой рекомендации раскрыта в главе 5.

Общая цель эффективной парольной политики – позволить пользователям легко создавать достаточно надежные пароли для доступа к системе, а затем отслеживать и ограничивать попытки доступа для обнаружения/предотвращения их несанкционированного использования.

Ввиду повсеместного использования паролей для доступа к компьютерным системам всех типов, очевидно, что пароли очень важны. Но существует ли компромисс между безопасностью и удобством использования? Не привели ли попытки разработать политику, чтобы сделать более безопасными применяемые пароли, к фактическому снижению уровня безопасности системы из-за человеческого фактора? В известной статье Алекса Вайнерта (Microsoft) «Your Pa$word doesn’t matter» приведено описание реальных атак на пользовательские пароли, развеяны распространенные мифы о надежности паролей и поведении пользователей. Обобщенная информация представлена в следующей таблице:

Из всех распространенных атак, перечисленных выше, надежность пароля имеет значение только в двух случаях:

✧ проводимые офлайн: перебор паролей, взлом (brute force, database extraction, cracking).

Давайте рассмотрим их подробнее.

Password Guessing или Hammering – это систематический подбор пароля злоумышленником к одной целевой учетной записи. Перебор проводится преимущественно по словарям и по утечкам, найденным в Интернете.

Password Spraying – это вариант атаки, при котором злоумышленник использует те же списки паролей, но нацеливается на множество общедоступных или легко определяемых (например, общий формат имени учетной записи) учетных записей пользователей.

В случае с Password Guessing кажется, что здесь важна надежность пароля, но на самом деле гораздо важнее мониторинг и ограничение неудачных попыток входа. При наличии разумных ограничений и мониторинга тот факт, что современные технологии позволяют перебирать миллиарды паролей в секунду, не имеет значения, поскольку учетная запись будет заблокирована, а администратор безопасности – уведомлен об инциденте. Именно поэтому более распространенной формой атаки стал Password Spraying, но чтобы он был эффективным, злоумышленнику необходимо избегать блокировки учетных записей. Добиться этого можно, если узнать формат имени учетной записи, принятый в целевой организации. В таком случае атака заключается в переборе ограниченного словаря паролей, но в отношении множества учетных записей, что не приводит к их блокировке и позволяет злоумышленнику не попадать в поле зрения команды защитников.

Даже в этих случаях более сложный пароль не является лучшим решением. Гораздо более эффективным и простым для пользователей вариантом будет использование более длинных, сложных и разнообразных имен учетных записей. Действенным способом обнаружения атак типа Password Spraying является использование специальных сигнальных учетных записей. Это действительные аккаунты с минимальными привилегиями, которые соответствуют принятой парольной политике, но не предназначены для доступа. Попытки авторизации с их помощью свидетельствуют о компьютерной атаке, расследование которой позволяет администраторам информационной безопасности заранее обнаружить угрозу и не допустить компрометации паролей настоящих учетных записей.

Это единственный вариант, когда сложность пароля по-настоящему имеет значение. При такой атаке злоумышленник уже завладел базой данных учетных записей/паролей целевой компании, в которой пароли хранятся в хэшированном виде (вместо обычных текстовых паролей, что было бы слишком просто). В дальнейшем злоумышленник восстанавливает настоящие пароли из найденных хэш-сумм методом перебора с применением одного из множества свободно распространяемых инструментов (например, John the Ripper или L0phtCrack) или специальной программой, разработанной для этого самим злоумышленником.

Мы не будем подробно описывать принцип работы этих программ (существует множество открытых источников по взлому паролей), но в общем случае злоумышленник может сделать следующее:

2. Перебрать все возможные пароли. При использовании майнера и предположении, что мощность словаря пароля составляет 96 символов, бездумное перебирание всех вариантов пароля займёт следующее время:

3. Ускорить перебор, используя дополнительные техники и знания:

✧ изучив целевую организацию, злоумышленник может выяснить алгоритм хэширования и специфичные для неё правила генерации паролей (минимальная/максимальная длина, сложность и т. д.);

✧ использовать списки паролей, полученные в результате предыдущих взломов (огромное количество паролей уже находятся в свободном доступе). После хеширования проводится проверка на совпадение с хэшами в целевой базе данных. По статистике, это позволяет взломать около 70% паролей пользователей;

✧ если это не сработает, злоумышленник может составить список всех популярных фраз, текстов песен, заголовков новостей, частых запросов поисковых систем, википедии, популярных статей и т.д. Или взять готовый — подобные списки доступны в различных сообществах «хэшбрейкеров». Таким образом можно подобрать еще 5-7% паролей пользователей;

✧ наконец, злоумышленник может использовать предугаданные шаблоны (например, пароль всегда начинается с заглавной буквы, затем 3-6 строчных букв, 2-4 цифры и восклицательный знак в конце) и подобрать более длинные пароли (до 12 символов). Это позволяет вскрыть еще 5-7% пользовательских паролей.

4. В случае использования «соли» для хранения паролей в базе (применения к хэшу дополнительного преобразования, усложняющего автоматический перебор), данные техники применяются не для всех хэшей, а для одного. Вместе с тем, атака проводится с высокой вероятностью успеха почти в 85% и за относительно короткий промежуток времени, что позволяет злоумышленнику перейти к следующей учетной записи и последовательно перебрать их все.

Здесь стоит отметить следующее:

✧ если база данных учетных записей/паролей, полученная злоумышленником, не относится к цели, то взломанный пароль все равно нужно попробовать на реальной учетной записи в целевой системе;

✧ человек вряд ли сможет создать надежный пароль, который выдержит описанные попытки взлома. Если противодействие им необходимо, используйте длинный и сложный пароль, сгенерированный автоматически. Например, созданный и управляемый менеджером паролей;

✧ технические возможности для взлома хэшей постоянно растут. Неужели мы будем постоянно гнаться за ними, делая пароли всё длиннее, сложнее и труднее для запоминания, пытаясь справиться с одним-единственным сценарием атаки? Очевидно, будет лучше использовать более комплексный подход.

Таким образом, необходимости использования паролей со сложностью выше определенного разумного уровня нет. Так почему бы не разработать политику, поощряющую достаточно надежные пароли, которые легко создавать, запоминать и использовать? Данное руководство призвано помочь с этим, и мы продолжим в следующей части

Перевод: Аделина Любимова, Origin Security

Ссылка на первоисточник

Кто все же решится апгрейднуть каменный век на парольный менеджер - делюсь своим решением. Зовется оно Bitwarden. Синхронизируется централизованно на винде, маке, иосе и андроиде. Прекрасно интегрируется в браузеры на вышеназванных платформах. Стоит копейки. В качестве плюшек имеет прикольные встроенные тулзы типа прочекать все пасы на дубли или на дырявость. Хранение на внешнем стороннем серве на первый взгляд не внушает спокойствия (утечки с манагеров имели место ни раз), однако за бесшовную синхронизацию на всех девайсах приходится платить. Помнить надо лишь один мастер-пароль, остальное за вас сделает софтина.

Сам файлик с пасами хранится не в открытом виде, а в зашифрованном контейнере, который расшифровывается при вас на время доступа к нему. Т.е. если мастер-пароль у вас не кличка вашего кота, а 30-символьный монстр со спец. символами (загуглите технику генерации и запоминания сложных паролей - там надо понять секрет), то злодей, даже вскрыв серв, получит разве что перспективу ближайшие пару жизней посвятить перебору пароля к вашему контейнеру. С другой стороны, проебав мастер-пароль, можете попрощаться с контейнером. Навсегда. Потому что мастер-пароль никто нигде не хранит, и ссылку для его сброса, как на мейлрушечке, вам никто не вышлет. Такова цена вашей безопасности.

По поводу «хранить или не хранить на внешнем серве». В открытом виде (в виде табличной базы данных с доступом к аккаунту через пароль) - однозначно не хранить. В зашифрованном - почему нет? В обмен мы получаем реально крутецкую синхру со всеми девайсами, не напрягаемся перебросами файлика туды-сюды, спокойно на каждый сервис генерим лютые пасы на 30-60 символов одним движением. При любом неудобстве же мы начинаем сачковать, вбивать пасы по принципу «ну это временный, я позже сменю, как до компа дойду», и пошло поехало.

Все помнят, как долго живут «крутые незапоминающиеся пасы» на листочках на мониторе. И как потом плавно они трансформируются в даты рождения детей и телефоны. Чем удобнее ваш парольный манагер, чем проще вам будет генерить и доставать сложные пасы, тем спокойнее вы будете спать. А похерить мастер-пароль можно и без внешних хранений, просто поймав через торрент сниффер вводимых символов с клавиатуры, специально заточенный под спизд как раз парольных манагеров.

Каких-то божественных гарантий сохранности ваших паролей не существует. Одно известно точно: чем неудобнее вам оперировать сложными паролями, тем призрачнее шансы, что вы не скатитесь к паре-тройке односложных паролей на всех своих аккаунтах, а в одно условно прекрасное утро не обнаружите взломанными добрую половину из них (с тонной утекшей приватной инфы, а возможно и пачкой кредитов на себя и своих родственников).