<aside> 💡 tags: информационная безопасность, password, security
</aside>
Материал рассчитан на не подготовленную аудиторию.
Пришлось как то стать участником обсуждения, можно ли хранить пароли в таких облачных записных книжках как Evernote, Notion и им подобным. Обсуждение началось со статьи https://forklog.com/hakery-ukrali-300-000-usdt-u-investorov-hranivshih-privatnyj-klyuch-v-evernote/
Поэтому решил поделиться своими мыслями на эту тему, т.к. я в этой теме хоть немного разбираюсь.
Не буду делать сравнительные обзоры тех или иных продуктов. Этой информации полно уже в ваших Интернетах, например, https://lifehacker.ru/10-luchshix-xranilishh-parolej/. Суть обсуждения не в конкретных продуктах, а в правильном выборе подхода к хранению приватных данных.
Почему вообще люди допускают ошибки. Ответ на этот вопрос очень прост, их никто не научил как правильно, или не объяснил какие есть риски.
Вот например, выдали пенсионерке банковскую карту с пин-кодом. В ее жизни такого не было, ей сложно, она записывает пин-код на карте и пользуется картой. А почему она так делает? Потому что ей так удобно и она боится потерять пин-код. Но она не знает, какие могут быть последствия, если она потеряет свою карту или ее украдут. Ключ к карте — на самой карте.
Хотя конечно надо отметить, что некоторые осознанно в угоду удобства игнорируют правила безопасности.
И так, какие ошибки в хранении приватных данных часто встречаются.
Можно встретить такие случаи, когда пароли хранят в GoogleDocs, Evernote, Dropbox paper, ЯндексДиск и подобных сервисах.
Аргументом выступает утверждение, что ведь только я имею туда доступ по паролю. А в некоторых сервисах есть даже двухфакторная авторизация, что сильно усложняет доступ к этим данным.
Во-первых, в таких сервисах иногда есть функция share, которая делает документ или файл открытым всему миру, это даже можно сделать по ошибке. В Google можно найти много открытых документов, которые открыты по ошибке.
Во-вторых, никто не гарантирует, что работники облачного сервиса не могут получить данные к вашим записям и файлам, или это станет возможно из-за ошибки в их программном обеспечении.
Сегодня пожалуй все браузеры умеют и предлагают сохранять пароли прямо у них, и это типа безопасно. Google имеет специальную страницу, для управления всеми своими паролями https://passwords.google.com/
Но в безопасности этого метода есть большие сомнения. по словам разработчиков Google Chrome, доступ к вашим паролям в браузере ограничен только доступом к учетной записи ОС на вашем компьютере. Следовательно, если кто-то сломает вашу учетную запись на вашем компьютере, то он получит доступ ко всем вашим паролям. Это может быть даже вирус.
Есть еще один рубеж, это мастер пароль, но мало кто его использует, а следовательно этот способ создает иллюзию безопастности.