VII Международная студенческая научная конференция Студенческий научный форум - 2015

Введение

Быстрый рост технического прогресса сказался на уменьшении размеров вычислительной техники. Это привело к появлению персональных компьютеров и мобильных средств связи. Развитие сферы связи ознаменовалось появлением сети интернет, доступной в данный момент посредством проводных и беспроводных технологий. В настоящее время практически у каждого человека есть возможность доступа в глобальную сеть. Доступность интернета привела, в частности, к созданию множества социальных сетей и персонализированных сервисов. У одного человека может быть от нескольких до нескольких десятков учетных записей. Для примера, у автора этой работы существуют учетные записи в следующих сетевых сервисах: Вконтакте, Last.FM, Twithc, Picarto.TV, Радикал, MySpace, FaceBook, Google+, Instagram, anidub.com, Pikabu, Coub, Tumblr, Kinopoisk, LiveInternet, Нигма.РФ, Ulmart, Mail.ru, Yandex.ru, Rambler.ru, YouTube, Beon, geometria, mjv-art, bittorrent.org, qip.ru, icq, Skype, TeamViewer, Evernote. В среднем же каждый человек зарегистрирован как минимум в двух социальных сетях, двух сервисах общения, одном почтовом сервисе и одной мобильной службе (в зависимости от платформы телефона). В основном большинство людей регистрируют все сервисы на одну электронную почту и используют для этого один логин и пароль, что является крайне небезопасным, поскольку упрощает злоумышленникам получение доступа к ним.

В идеале, для каждой учетной записи должны использоваться различные логины и пароли. Использование различных паролей предотвращает возможность поиска учетных записей пользователя на различных ресурсах, что уменьшает вероятность использования на человеке методов социальной инженерии. Использование разных паролей предотвращает простой доступ злоумышленника к найденным учетным записям определенного пользователя. Кроме того, чем сложнее пароль (а в идеале ближе к шумовой последовательности), тем сложнее его взломать с помощью средств подбора паролей.

Создание и запоминание большого количества сложных паролей для большинства пользователей является непосильной задачей. Запись паролей на бумажный носитель опасно для пользователя отсутствием криптографической защиты и простым доступом к информации посторонних лиц. В то же время использование текстовых документов, заархивированных с использованием пароля, усложняет работу с ними и увеличивает время доступа к необходимой информации.

Одним из эффективных решений данной проблемы может стать использование специализированного инструмента - менеджера паролей.

Менеджеры паролей – это программы или сетевые средства, обеспечивающие работу пользователя с набором его ключевой и парольной информации.

Отличительными характеристиками менеджеров паролей являются защищенное хранилище паролей и дополнительное средство аутентификации пользователя в сервисе – например, мастер-пароль. Средства аутентификации позволяют ограничить доступ к информации пользователя. Защищенность хранилища обусловлена шифрованием или шифрованием информации содержащемся в нем. Кроме того, большинство менеджеров паролей предоставляют возможности генерации паролей с использованием криптографических и математических методов, что усиливает надежность парольной защиты.

1. Функции менеджеров паролей

1.1. Генерация паролей

Проблема создания паролей заключается в том, что пользователь выбирает пароль, который легко запомнить. Чтобы создать запоминающийся пароль, пользователи обычно используют данные из окружающей их среды. При достаточном знании и анализе жизни пользователя есть возможность подобрать его пароль.

Генератор паролей, используемый в менеджерах паролей, выдает случайную, настраиваемую, криптоустойчивую последовательность символов, которую практически невозможно запомнить, но точно так же практически невозможно подобрать.

Настройки генератора паролей в основном заключаются в изменении длины пароля и выбора символов, используемых при генерации.

1.2 Аутентификация пользователя

Одна из основных задач менеджера паролей заключается в том, чтобы снять с пользователя обязанность запоминать пароли, что становится более проблематично при использовании генератора паролей. Пароли хранятся в хранилище, и надежность их сохранения во многом зависит от надежности аутентификации пользователя в менеджере паролей, поскольку если злоумышленник получит доступ к базе пользователя, то все пароли и ключи пользователя будут скомпрометированы.

Для ограничения доступа к хранилищу обычно используется мастер-пароль, с помощью которого можно аутентифицировать личность пользователя.

Аутентификация пользователя с помощью мастер-пароля может оказаться ненадежной, в связи с тем, что мастер-пароль создается пользователем. Для повышения достоверности аутентификации могут быть использованы дополнительные технические средства и методы.

Многофакторная аутентификация заключается в использовании нескольких факторов, удостоверяющих личность пользователя, такими факторами могут являться usb-ключ, смарт-карта, биометрические данные пользователя (отпечатки пальцев, сетчатка глаза, рисунок кровеносной системы), файл-ключ и т.д.

Методы многофакторной аутентификации чаще используются локальными менеджерами паролей.

Многошаговая аутентификация заключается в выполнении последовательности действий, которые может выполнить пользователь. Например, после ввода мастер-пароля, ввод одноразового пин-кода, высланного на мобильный телефон пользователя.

Методы многошаговой аутентификации чаще используются сетевыми сервисами.

1.3. Хранение данных пользователя

Условно, менеджеры паролей можно разделить на две группы: локальные и сетевые.

У локальных менеджеров паролей хранилище находится непосредственно на ПК пользователя, у сетевых – на удаленном сервере.

При использовании локальных менеджеров паролей хранилище должно находиться непосредственно на самом ПК пользователя или на съемном носителе, подключенном к ПК. Часть менеджеров поддерживает возможность работы с хранилищем по FTP соединению. Положительной стороной использования данного типа менеджеров, является возможность создания неограниченного числа копий хранилища. При большом количестве копий (ПК, usb-носитель, файлобменник) становится проблематично синхронизировать данные хранилищ, кроме того, повышается риск доступа злоумышленника к одной из копий.

Сетевые менеджеры паролей отличаются тем, что хранилище пользователей находится на удаленном сервере. Это позволяет использовать настройки доступа по региональным характеристикам (например, блокировка доступа для IP-адресов, находящихся за границей). При использовании сетевых менеджеров паролей необходдимость в синхронизации отпадает, так как работа ведется с одним хранилищем.

Таким образом, можно так сформулировать отличия между двумя способами организации менеджеров паролей:

• Локальные менеджеры паролей – много хранилищ, одно средство доступа.

• Сетевые менеджеры паролей – одного хранилище, множество средств доступа.

2. Обзор существующих решений

Рассмотрим наиболее интересные реализации менеджеров паролей.

2.1. LastPass

Тип менеджера

Данный менеджер доступен как дополнение к браузерам либо как отдельное приложение для мобильных ОС.

Поддерживаемые ОС

Менеджер доступен на следующих ОС: Windows, Linux, Mac OS, Android, BlackBerry, IOS, Windows Phone, Symbian, Windows Mobile.

Расположение хранилища

LastPass является сетевым сервисом, данные пользователя хранятся на серверах сервиса, для повышения стабильности используется несколько зеркальных серверов, так же на ПК пользователя находятся резервные копии данных на случай отсутствия связи с сервером сервиса.

Алгоритм шифрования

В LastPass применяется AES-256, ключом является хеш SHA-256 полученный из значений логина (e-mail) и пароля: KEY = SHA256(EMAIL + PASSWORD).

Аутентификация пользователя

Для входа в приложение необходимо ввести один мастер пароль. Для аутентификации используется хеш полученный из значения ключа шифрования и пароля для авторизации: AUTH_HASH = SHA256(KEY+PASSWORD).

Дополнительные средства аутентификации

В LastPass есть возможность использования многофакторной и многошаговой аутентификации пользователя.

К многофакторной аутентификации относятся использование USB-ключа YubiКеу и таблицы аутентификации.

Таблица аутентификации — это набор строк, пронумерованных от 0 до 9 и столбцов от A до Z, заполненная случайными последовательностями цифр и латинских букв. Для аутентификации с неизвестного компьютера, пользователю необходимо ввести в ответ на запрос сервера, последовательность из 4 символов таблицы.

К многошаговой аутентификации относится сервис GOOGLE AUTHENTICATOR SUPPORT. При использовании этого сервиса при каждом входе в приложение, на мобильный телефон пользователя, указанный в Google аккаунте высылается одноразовый пароль.

Сбор данных

Так как приложение доступно в виде дополнения к браузерам, то сбор данных происходит в слеующих поддерживаемых браузерах: Google Cgrome, FireFox, Opera, Safari, Internet Explorer; FireFox mobile, Dolphin Browser на ОС Android.

Автозаполнение форм

LastPass поддерживает возможность создания нескольких профилей автозаполнения форм. Приложение поддерживает возможность создания профилей в ручную или на основе введенных данных при регистрации на сетевом ресурсе.

Данные в профиле автозаполнения разделены на вкладки: Личное (Название профиля, Имя, Отчество, Фамилия, Имя пользователя, Пол, Дата рождения, Номер ИНН), Адрес (Название организации, Адрес – дом, улица, квартира; Город, Округ, Область, Почтовый индекс, Страна, Временная зона), Контакт (Адрес электронной почты, четыре номера телефона), Кредитная карта (Имя на карте, Номер кредитной карты, Дата начала, Дата истечения, Защитный код, Номер выдачи), Счет в банке (Название банка, Номер счёта, Номер маршрутизации).

Генерирование паролей

Генератор паролей имеет следующие настройки: длина пароля (от 4 до 100 символов), используемые символы (верхний и нижний регистр латинских букв, цифры, специальные символы), минимальное количество цифр в пароле, запрет использования неоднозначных символов.

При генерировании пароля на странице браузера, в хранилище LastPass создается запись содержащая адрес страницы и сгенерированный пароль.

Синхронизация

Данные пользователя записываются и считываются с сервера LastPass, поэтому в синхронизации нет необходимости.

Импорт и экспорт

LastPass поддерживает возможность импорта паролей из браузеров Internet Explorer, FireFox, Google Chrome, Safari и Opera, а так же из менеджеров паролей 1Password, Clipperz, eWallet, FireForm, KeePass, McAfee SafeKey, RoboForm и прочих.

Экспортируемые данные из базы LastPass сохраняются в html-файл, имеющий следующую структуру: url,username,password,extra,name,grouping,fav.

Способ распространения

LastPass распространяется бесплатно, с возможностью покупки дополнительных возможностей за отдельную плату.

Дополнительные возможности

LastPass предоставляет возможность управления доступом к сохраненным паролям. Для этого необходимо верифицировать учетную запись электронной почты. На почтовый ящик будет выслано письмо с гиперссылкой для подтверждения почты. Далее необходимо добавить почтовый адрес (он же логин LastPass) человека, с которым пользователь хочет поделиться сохраненным паролем. Сервис предоставляет два варианта предоставления общего доступа: Share и Give. При использовании первого варианта пароль к учетной записи, которой предоставили квоты, остается недоступным, при использовании второго варианта пользователь или группа пользователей, которым был открыт доступ к сохраненной учетной записи, имеют полный доступ с возможностью просмотра и изменения данных. Все учетные записи, для которых был открыт общий доступ, доступны в основном окне LastPass на вкладке «Общий доступ», сортированные по пользователям, которым был выделен соответствующий пароль.

Недостатки

Не шифруемые передаваемые данные

Политикой компании оговорен тот момент, что на сервер LastPass в не зашифрованном виде передается часть информации, например, адрес сайта, на котором была произведена регистрация. Это объясняется тем, что для каждого пользователя составляется рекламный профиль.

Нестабильная работа автозаполнения форм

При использовании LastPass были замечены некоторые неточности работы.

При автозаполнении формы на странице регистрации Google был изменен целевой язык страницы.

Таким образом, можно сделать следующие выводы по работе с сервисом.

Плюсы:

• Хорошо проработанная система авторизации и аутентификации.

• Достаточно низкая цена Premium версии по сравнению с аналогами (1$ в месяц).

Минусы:

• Необходимость наличия подключения к сети Internet для актуальности БД и дальнейшей синхронизации.

• Передача чисти данных в незашифрованном виде.

• Мелкие недоработки автозаполнения форм.

2.1 KeePass

Тип менеджера

Локальное приложение.

Поддерживаемые ОС

Менеджер доступен на следующих ОС: Windows, Linux, Mac OS.

Существуют портированные версии приложения для мобильных платформ: Android, IOS, Windows Phone, PocketPC, BlackBerry, Palm OS.

Хранилище

Расположение хранилища

База данных, содержащая пользовательские данные хранится на ПК и может быть скопирована на любой цифровой носитель.

Алгоритм шифрования

В приложении, по умолчанию, используется алгоритм шифрования AES-256. Возможно использование алгоритма Twofish при подключении дополнительных модулей.

Дополнительные средства защиты хранилища

Для дополнительной защиты хранилища могут быть использованы файл-пароль и привязка к учетной записи Windows.

Файл-пароль дополняет мастер-пароль, им может быть любой файл. Файл-пароль можно создать в самом приложении двумя способами: ввести произвольную последовательность символов или хаотично двигать мышкой в обозначенной области. При изменении файла-пароля хранилище пользовательских данных будет недоступно.

Привязка к учетной записи Windows позволяет открывать хранилище только на той ОС, в которой она была создана.

Аутентификация пользователя

Для входа в приложение пользователю необходимо ввести мастер-пароль, которым зашифрованы пользовательские данные.

Дополнительные средства аутентификации

Приложение поддерживает многофакторную аутентификацию с помощью Usb-ключа YubiКеу. На мобильных версиях приложения доступна возможность использования биометрической защиты (отпечатков пальцев).

Сбор данных

Ввод данных пользователя в приложение осуществляется вручную. При установке дополнительных модулей приложения и расширений для браузеров есть возможность сбора данных

Автозаполнение форм

Приложение не поддерживает автозаполнение форм. В KeePass реализована функция AutoType – автоподстановка пароля и логина на странице авторизации.

Генерирование паролей

Генератор паролей поддерживает возможность создания профилей и имеет следующие настройки: длина генерируемого пароля (от 1 до 30000 символов), выбор используемого набора символов (прописные и строчные латинские буквы, цифры, скобки, спецсимволы, верхние ANSI-символы, символы, добавленные пользователем), использование шаблона, использование собственного алгоритма генерации,

Синхронизация

Синхронизация данных пользователя проводится вручную. Присутствует возможность синхронизации с удаленным файлом по FTP соединению.

Импорт и экспорт

Приложение KeePass поддерживает до 35 форматов импортируемых данных, так же, при желании, пользователь может расширить количество используемых форматов загрузив соответствующий модуль.

KeePass имеет возможность экспорта базы данных в форматах TXT, XML, HTML и CSV. При необходимости количество форматов экспорта может быть увеличено при загрузке необходимого модуля.

Дополнительные возможности

Приложение является модульно-расширяемым. Все модули можно скачать с официального сайта KeePass.

Недостатки

При использовании автонабора, на сайтах где необходимо выбирать дополнительную информацию к логину пользователя, например, доменного имени на почте mail.ru, необходимо изменять дополнительные настройки автонабора записи.

Выводы:

Плюсы KeePass:

• Возможность создания неограниченного количества баз данных пользователя;

• Ввод паролей любого типа;

• Мощная система генерирования паролей;

• Портативность (возможность переноса приложения на USB носитель);

• Модульность.

Минусы KeePass:

• Отсутствие поддержки автозаполнения форм;

• Отсутствие возможности подхвата данных введенных в форме авторизации;

• Сложная система интеграции в браузеры.

2.3. RoboForm

Тип менеджера

Локальное приложение.

Поддерживаемые ОС

Приложение доступно для следующих ОС: Windows, Linux и Mac OS; так же для мобильных платформ: Android, IOS и BlackBerry, Palm OS и Symbian.

Хранилище

Расположение хранилища

Данные пользователя находятся на ПК пользователя. Присутствует возможность хранения данных на сервере RoboForm за дополнительную плату.

Алгоритм шифрования

В приложении используется алгоритм AES-256. Так же приложение поддерживает следующие алгоритмы шифрования: DES, 3DES, RC6, BlowFish.

Дополнительные средства защиты хранилища

При создании новой записи, есть возможность защитить ее паролем. При запуске приложения доступ к защищенных записям будет доступен только после ввода мастер-пароля, информация в незащищенных записях будет доступна.

Аутентификация пользователя

Аутентификация проводится путем ввода одного мастер-пароля.

Сбор данных

RoboForm поддерживает сбор данных во всех приложениях ПК. Присутствует возможность создания исключений, для приложений, в которых не будет производиться сбор данных.

Автозаполнение форм

В бесплатной версии RoboForm доступно создание одного профиля автозаполнения.

Генерирование паролей

Генератор пароля имеет следующие настройки: размер пароля: минимальная длина – 1 символ, максимальная – 512. Выбор используемых символов: строчные и прописные латинские буквы, цифры и дополнительные символы. Генерирование шестнадцатеричных паролей: A-F, 0-9.

Синхронизация

В платной версии приложения доступна синхронизация через сервер RoboForm.

Импорт и экспорт

Доступен импорт из браузеров: IE, Opera, Google Chrome, FireFox; CSV-файлов импорта менеджеров LastPass, KeePass и SplashID.

Дополнительные возможности

Отправка записей по e-mail

В приложении все записи можно отправлять по электронной почте, для этого необходимо выбрать необходимую запись и выбрать в меню отправку по e-Mail. После этого необходимо ввести пароль для шифрования передаваемой записи. Файл зашифрованной записи будет прикреплен в почтовом клиенте. Пользователю надо будет ввести адрес получателя.

Недостатки

Приложение содержит две вкладки для создания форм: Контакты и Персоны. Разница между этими двумя видами форм практически отсутствует.

Выводы:

Плюсы RoboForm:

• Глобальная интеграция.

Минусы RoboForm:

• Неудобная система каталогизации сохраненных данных.

2.4. 1Password

Тип менеджера

Локальное приложение.

Поддерживаемые ОС

Приложения доступны для следующих ОС: Windows, Mac OS; мобильные платформы: Android и IOS.

Хранилище

Расположение хранилища

Хранилище пользовательских данных находится на ПК пользователя.

Алгоритм шифрования

В приложении используется алгоритм AES-128.

Аутентификация пользователя

Аутентификация производится путем ввода мастер-пароля.

Дополнительные средства аутентификации

На мобильных версиях приложения поддерживается возможность аутентификации через сканер отпечатков пальцев.

Сбор данных

При использовании дополнения к браузеру возможен захват данных авторизации на сайте. По умолчанию поддерживаются браузеры: IE, FireFox, Google Chrome, Apple Safari.

Автозаполнение форм

Поддерживается создание профилей автозаполнения. Данные профиля разбиты на группы «Идентификация», «Адрес», «Телефон» и «Интернет профили». Каждая группа содержит следующие данные: идентификация – Имя, Отчество, Фамилия, Пол, Дата рождения, Компания, Профессия; Адрес – Страна, Область, Улица, Город, Индекс; Телефон – Домашний, Рабочий, по умолчанию; Интернет профили – Имя пользователя, Дополнительный вопрос, Ответ на дополнительный вопрос, Электронная почта, Вебсайт, ICQ, Skype, MSN. Поддерживается добавление тегов к каждому профилю.

Генерирование паролей

Генератор пароля имеет следующие настройки: размер пароля от 1 символа до 64, используемые символы, количество цифр в пароле.

Синхронизация

Синхронизация проводится вручную, так же доступна возможность синхронизации через DropBox.

Импорт и экспорт

Приложение поддерживает импорт из файлов CSV, HTM и 1pif. Экспорт паролей поддерживается в файлы TXT.

Дополнительные возможности

Приложение поддерживает возможность доступа к сохраненной информации через файл 1Password.html, расположенный в хранилище agilekeychain.

Замечания

Приложение изначально было разработано для Mac OS.

Выводы:

Плюсы 1Password:

• Доступ к хранилищу через html файл.

Минусы 1Password:

• Необходимость наличия учетной записи ICloud, для облачной синхронизации.

2.5. Выводы

Сведем в таблицу результаты анализа.

	LastPass	KeePass	RoboForm	1Password
Тип менеджера	Сервис	Локальное	Локальное	Локальное
Поддерживаемые ОС	Windows, Linux, Mac OS	Windows, Linux, Mac OS	Windows, Linux, Mac OS	Windows, Mac OS
Алгоритм шифрования	AES-256	AES-256, Twofish	AES-256, DES, 3DES, RC6, BlowFish	AES-128
Расположение хранилища	Сервер	ПК	ПК	ПК
Сбор данных	Браузер	-	Глобальный	Браузер
Синхронизация	Автоматическая	Вручную	DropBox	iCloud
Генерирование паролей	+	+	+	+
Автозаполнение форм	+	-	+	+
Многофакторная аутентификация	YubiКеу	YubiКеу		Биометрическая защита

Заключение

В ходе исследования были показаны причины использования менеджеров паролей. Были рассмотрены существующие менеджеры паролей, их основные характеристики и возможности. На основании полученной информации нельзя сделать однозначный вывод о том, какой подход к решению вопроса о хранении пользовательских данных является лучшим. Выбор, какой менеджер паролей использовать, необходимо принимать, исходя из поставленных задач и возможности подключения к интернету. На мой взгляд, необходимо создать менеджер совмещенного типа, использующего сетевое хранилище для синхронизации локальных данных, но не требующего подключения к интернету для функционирования. Также можно реализовать возможность настройки запрета на синхронизацию определенных учетных записей и определенных локальных хранилищ. Возможно реализовать возможность коллективного распространения паролей, это будет удобно, например, для организаций, нанимающих для работы фрилансеров. В данном случае, сам менеджер паролей и учетная запись, добавленная администратором, будут являться одним из факторов аутентификации самого фрилансера.

Список литературы

1. lastpass.com: Сайт производителя менеджера паролей LastPass

[Электронный ресурс]. – Режим доступа: https://lastpass.com/ru/, свободный – Загл. с экрана.

1. Keepass.info: Сайт производителя менеджера паролей KeePass

[Электронный ресурс]. – Режим доступа: http://keepass.info/, свободный – Загл. с экрана.

1. Roboform.com: Сайт производителя менеджера паролей LastPass

[Электронный ресурс]. – Режим доступа: http://www.roboform.com/ru, свободный – Загл. с экрана.

1. Agilebits.com: Сайт производителя менеджера паролей LastPass

[Электронный ресурс]. – Режим доступа: https://agilebits.com/onepassword, свободный – Загл. с экрана.

Код для цитирования: Скопировать