Немного о практике защиты паролей

В продолжение темы об использовании решений Open Source для решения задач информационной безопасности рассмотрим практический пример создания системы защиты паролей пользователей.

Cегодня пользователю приходится запоминать множество паролей - это и пароли для компьютера, электронной почты, локальной сети, для домашней веб-страницы, для доступа по FTP, пароли интернет-сервисов (интернет-банкинг, аккаунты на форумах, веб-сайтах, мессенджерах) и т.д. и т.п.

Если добросовестно выполнять требования службы информационной безопасности, то пользователю, а тем более администратору необходимо предоставить инструмент, который бы позволял достаточно просто создавать и хранить пароли для приложений и сервисов в защищенном виде и в то же время иметь возможность легко ими оперировать.

Использование в таких случаях облачных сервисов хранения паролей не всегда удобно, а с другой стороны, и не совсем безопасно - в последнее время участились сообщения о взломе облачных сервисов по хранению паролей. Соответственно, службе информационной безопасности требуется найти золотую середину в решении задачи «безопасность-функционал-стоимость».

Попробуем сформулировать минимальные требования по информационной безопасности к такому инструменту:

• Должна быть обеспечена защита паролей от посторонних.
• Ресурс должен быть защищен от доступа.
• Должен быть удобный и оперативный доступ к паролям.
• Все логины, пароли, URL и т.д. должны храниться в одной защищенной базе данных.
• Логины и пароли должны храниться в зашифрованном виде, база данных должна полностью шифроваться.
• Для доступа к базе данных должен использоваться мастер-пароль и дополнительные средства защиты.
• База данных должна храниться на защищенном носителе.
• Относительно невысокая стоимость решения.

Еще раз подчеркиваю, что это минимальные требования, которые позволяют обеспечить выполнение парольных политик пользователями и обеспечить защиту самих паролей. Безусловно мы помним закон № 1 из 10-ти основополагающих законов безопасности "Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер"

Рассмотрим один из вариантов решения задачи с помощью менеджера паролей KeePass и флешки с аппаратным шифрование от SAFEXS. Это работающее решение, достаточно гибкое, удобное и проверенное многолетним использованием в корпоративном секторе и в личном применении.

KeePass Password Safe поддерживает алгоритмы шифрования Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish. Имеется портативная версия, которую не нужно устанавливать и можно хранить на флешке, что важно будет для нашего решения. Кроме того, имеется открытый код программы  для его анализа и сам интерфейс программы переведен на 40 языков. Помимо этого программа поддерживает экспорт базы паролей в разные форматы TXT, HTML, PDF и т.д., а также импорт из разных форматов.

Теперь о решении по аппаратной защите этой базы данных. Поскольку выбиралась решение с минимальной ценой, то остановились на SAFEXS [http://bit.ly/2HCxMGn]. Понятно, что можно использовать и защищенные флешки от других производителей – Sandisk, Kingston, Transcend и др.

Safexs Protector поддерживает Windows, Mac и Linux, оснащен встроенной программой ShareProtect для безопасного резервного копирования и удаленного доступа, а также снабжен функцией Password Rescue, что позволяет пользователю восстановить забытый пароль.

Возможности и преимущества Safexs Protector XT:

• 256-битное AES-шифрование в режиме XTS - аппаратное шифрование. Соответствие FIPS 197.
• Служба Password Rescue - Функция восстановления пароля без риска для данных (ели она активирована).
• Резервное копирование данных - создание зашифрованной и защищенной паролем резервной копии данных на компьютере, NAS или облаке.
• Share Protect - портативное решение безопасности для обмена данными, которое позволяет легко зашифровать файлы, чтобы делиться ими с коллегами и партнерами.
• Функция самоуничтожения – возможность установить время и дату, по всплытии которых данные на устройстве будут автоматически уничтожены.
• Скорость - перемещение данных происходит с помощью USB 3.0.
• Защита от брутфорс-атаки (перебор всех комбинаций пароля с помощью специальных хакерских программ). Для ввода пароля предоставляется только 10 попыток, при превышении этих ограничений все данные на устройстве автоматически удаляются.
• Антивирусная защита (годовая продляемая подписка).
• Способность к обновлению - регулярно появляются новые прошивки, содержащие новые функции.
• Сверхпрочный корпус - сделан из чрезвычайно прочного сплава, Safexs Protector XT предназначен для использования в экстремальном окружении.

Что может быть интересным с точки зрения дополнительной защиты информации, которая реализована в SAFEXS – это функция таймера и функция бэкапирования и обмена данными. Защищенная область флешки закрывается по истечении установленного времени неактивности пользователя. Полезная функция для тех, кто любит оставлять флешку в компьютере. Данная функция позволяет автоматически закрыть защищенную область по истечении тайм-аута, блокировать компьютер, осуществить выход пользователя, выключить компьютер.
Функция бэкапирования и обмена данными (Backup And Share) дает еще одну сервисную возможность  – это создание зашифрованного архива с базой паролей и шифрованных файлов, при необходимости обмена конфиденциальными данными между пользователями. Шифрование файлов достаточно востребованная функция в работе не только простых пользователей, но и системных администраторов. В этом плане SAFEXS позволяет иметь готовый инструмент всегда под рукой.

Очень интересная, с точки зрения службы информационной безопасности, функция автоматического уничтожения данных по истечению установленной временной точки (Auto-Destruct) - позволяет автоматически уничтожить все конфиденциальные данные, если установленные дата и время истекли.

Таким образом, объединяя два решения – сервис для хранения паролей KeePass (Open Source) с программным шифрованием и аппаратную защиту (SAFEXS) можно обеспечить возможность безопасного хранения паролей пользователей.

При этом стоит помнить, что при правильных настройках KeePass взломать хороший, трудный пароль с помощью брутфорса (перебора паролей) достаточно сложно. Единственный вариант у злоумышленника - задействовать клавиатурный шпион для перехвата мастер-пароля или использовать методы социальной инженерии.