НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

«КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ»

ННК «ІПСА»

Кафедра системного проектування

РОЗРАХУНКОВО-ГРАФІЧНА РОБОТА

з дисципліни

"Технології захисту інформації"

на тему: Аналіз ефективності парольного захисту, апаратних та

програмних засобів зберігання та вводу складних паролів

Вступление
Аутентификация пользователей, т.е. подтверждение их подлинности,
обеспечивается в первую очередь путем использования парольной защиты. 
Слабая парольная защита является одной из основных причин уязвимости
компьютерных систем к попыткам несанкционированного доступа. В 2008
году 84 % компьютерных взломов были осуществлены вследствие
несовершенства парольной защиты.

По данным опросов, проведенных по заказу устроителей международной

выставки Infosecurity Europe более 70 % британцев признались, что отдали
бы постороннему пароль от своего компьютера в обмен на плитку шоколада,
а некоторые и без какой бы то ни было материальной компенсации. Кроме
того, по результатам другого опроса 79 % жителей Великобритании хоть раз
отдавали посторонним лицам информацию, которая могла бы быть
использована для кражи персональных данных, необходимых для
незаконных операций с кредитными карточками и другими финансовыми
инструментами.

По результатам опроса, проведенного в апреле 2006 г. компанией Sophos, 41

% респондентов используют один и тот же пароль во всех случаях, из них 75
% используют не только один и тот же пароль во всех случаях но он является
простым, легко угадываемым. Следовательно, 31 % пользователей (75 % от
41 %) не обладают учетными записями с надежно защищенными паролями
доступа.
Председатель правления Microsoft Билл Гейтс в одном из своих выступлений
еще в 2006 г. предсказал гибель традиционным паролям, так как они не в
состоянии с должной надежностью обеспечить информационную
безопасность. Для замены традиционного пароля перспективными являются
биометрические системы контроля доступа. Такие системы, основанные на
аутентификации по отпечатку пальца, голосу, рисунку радужной оболочки
глаза и др. уже достаточно широко используются, но до замены ими
символьного пароля еще далеко. Широкое использование в ближайшем
будущем для идентификации пользователей смарт-карт и электронных
ключей является более реальным. Но пока символьный пароль – самый
распространенный способ аутентификации и еще очень долго будет им
оставаться.

ПАРОЛЬНАЯ ЗАЩИТА

 Определение понятия парольной защиты

Самая распространенная защита компьютерной информации - защита на
основе пароля. При реализации парольной защиты вход в систему, запуск
приложения, запрос на доступ к данным сопровождается запросом пароля и
последующим сравнением введенного пароля с оригиналом.

Пароль – это некая последовательность символов некоторого алфавита и

специальных знаков. Последовательность должна удовлетворять
ограничению на наименьшую и наибольшую длину. 

Можно заметить, что парольная защита может быть рекомендована только

для использования при защите информации, предназначенной для узкого
круга пользователей. При широком использовании, например, программ,
защищенных таким образом, очень велика вероятность того, что хотя бы
один законный пользователь сообщит пароль злоумышленнику, этого будет
достаточно для того, чтобы сделать защищенное приложение
общедоступным.
Следует обратить внимание на то, что процесс ввода пароля поддается
наблюдению, даже в том случае, если отсутствует режим «эхо». Человек,
находящийся рядом с пользователем, вводящим пароль, наблюдая за
процессом набора на клавиатуре, может зафиксировать вводимые символы.
Кроме того, существует множество специальных программ типа «троянский
конь», которые через перехват соответствующего прерывания читают и
сохраняют пароли, набираемые на клавиатуре.
Хорошая система защиты организована таким образом, что, во-первых, не
позволяет пользователю бесконечно вводить неправильный пароль, а
ограничивает число попыток. Во-вторых, между двумя неудачными
попытками ввода пароля специально вводится временная задержка с целью
уменьшить количество попыток взлома системы защиты за некоторый
промежуток времени.
Очевидно, что оригинальный пароль необходимо хранить в месте, доступном
защищенному приложению и малодоступном злоумышленнику.
Следовательно, основная задача автора, использующего парольную защиту, -
как можно лучше «спрятать» оригинальный пароль.

На практике для хранения эталонного пароля используются следующие

способы:
1)  эталон хранится непосредственно в защищенной программе;
2)  эталон хранится в отдельном специально предназначенном файле;
3)  эталон хранится в системных областях (в свободных, зарезервированных
или редко используемых областях дисков, системных базах данных).
Например, при защите Windows-приложений разработчики часто хранят
оригинальный пароль в системной базе данных Registry (системный
реестр).
           
Даже начинающим программистам известно, что нельзя хранить пароль в
открытом виде.
Так как, например, в случае хранения пароля непосредственно в защищаемой
программе злоумышленник может легко найти эталонный
пароль, либо просмотрев дамп файла, в котором хранится программа, либо
даже с помощью специальной программы, распечатывающей все текстовые
строки. 
В основном авторы защит либо шифруют пароль известными или
собственными криптографическими методами, либо применяют хэш-
функции (хэш-коды) для преобразования пароля.

Хеширование

Хеширование или хэширование (англ. hashing) — преобразование массива

входных данных произвольной длины в (выходную) битовую строку
установленной длины, выполняемое определённым алгоритмом. Функция,
воплощающая алгоритм и выполняющая преобразование, называется «хеш-
функцией» или «функцией свёртки». Исходные данные называются входным
массивом, «ключом» или «сообщением». Результат преобразования
(выходные данные) называется «хешем», «хеш-кодом», «хеш-суммой»,
«сводкой сообщения».
Например, мы можем подать на вход 128-битной хеш-функции роман Льва
Толстого в шестнадцатеричном виде или число 1. В результате на выходе мы
в обоих случаях получим разные наборы псевдослучайных
шестнадцатеричных цифр вида: «c4ca4238a0b923820dcc509a6f75849b».

При изменении исходного текста даже на один знак, полностью меняется

результат хеш-функции.
Это свойство хеш-функций позволяет применять их в следующих случаях:
1. при построении ассоциативных массивов;
2. при поиске дубликатов в сериях наборов данных;
3. при построении уникальных идентификаторов для наборов данных;
4. при вычислении контрольных сумм от данных (сигнала) для
последующего обнаружения в них ошибок (возникших случайно или
 внесённых намеренно), возникающих при хранении и/или передаче
данных;
5. при сохранении паролей в системах защиты в виде хеш-кода (для
восстановления пароля по хеш-коду требуется функция, являющаяся
обратной по отношению к использованной хеш-функции);
6. при выработке электронной подписи (на практике часто подписывается
не само сообщение, а его «хеш-образ»);
В общем случае (согласно принципу Дирихле) нет однозначного
соответствия между исходными (входными) данными и хеш-кодом
(выходными данными). Возвращаемые хеш-функцией значения (выходные
данные) менее разнообразны, чем значения входного массива (входные
данные). Случай, при котором хеш-функция преобразует несколько разных
сообщений в одинаковые сводки, называется «коллизией». Вероятность
возникновения коллизий используется для оценки качества хеш-функций.

Существует множество алгоритмов хеширования, отличающихся

различными свойствами. Примеры свойств:

 разрядность;
 вычислительная сложность;
 криптостойкость.

Выбор той или иной хеш-функции определяется спецификой решаемой
задачи. Простейшим примером хеш-функции может служить «обрамление»
данных циклическим избыточным кодом (англ. CRC, cyclic redundancy code).

Метод хэширования пароля заключается в хранении в качестве эталона не

собственно пароля, а результата определенных автором защиты
математических преобразований (именно эти преобразования и называются
хэш-функцией или хэшированием) над символами пароля. При запуске
приложения введенный пользователем пароль подвергается хэшированию и
сравнению полученного результата с эталоном.
Предварительно отметим, что в большинстве случаев как защита, основанная
на простом хранении пароля, так и на хэшировании пароля, может быть
легко «обойдена» злоумышленником. Как любят говорить взломщики, -
путем изменения в программе всего лишь одного байта!
Хорошо зарекомендовал себя метод шифрования пароля.
 Очевидно, что в случае хранения зашифрованного пароля необходимо
особое внимание уделить защите программы от исследования алгоритма
шифрования-дешифрования. 
Подчеркнем, что независимо от вида, в котором хранится оригинальный
пароль (открытый, хеш-функция или зашифрованный код), при реализации
механизма защиты происходит сравнение пароля, вводимого пользователем,
с оригиналом (ключом).
Таким образом, парольная защита относится к методам ключевого сравнения.

Шифрование паролей
Суть подхода
Лучший подход к хранению паролей (и единственная обоснованная
альтернатива, если пользователям надо иметь возможность восстанавливать
пароли) – шифрование паролей перед их сохранением.

Данный подход основан на обладании тайной. Тайной является алгоритм

шифрования или ключ, используемый вместе с современным алгоритмом
шифрования.

Шифрование паролей – обратимая операция. Тайна используется для

искажения пароля, и та же самая тайна может быть использована для
восстановления оригинального пароля. Когда пользователь задает пароль,
сохраненный пароль расшифровывается с помощью тайны, и пароли
сравниваются. Альтернативный подход – зашифровать предоставленный
пароль с помощью тайны и сравнить две искаженные версии – совпадение
показывает, что предоставлен правильный пароль1.

Если пользователю надо восстановить пароль, сохраненный пароль

расшифровывается и доставляется пользователю (обычно по электронной
почте).

Плюсы шифрования с помощью тайны

1. Забытый или утерянный пароль можно восстановить.

2. Только одну тайну (алгоритм или ключ) надо хранить безопасно.

3. Для многопользовательских распределенных приложений при

использовании шифрования надо передавать незашифрованный пароль (для
проверки) или надо передавать тайну для выполнения аутентификации в
клиенте.

Минусы шифрования паролей

1. Если тайна скомпрометирована, все пароли скомпрометированы. Если у
кого-то есть доступ к тайне и к хранилищу паролей, все пароли могут быть
расшифрованы!

2. Только доступа к хранилищу паролей достаточно, чтобы предоставить

информацию о паролях, так как все пароли шифруются с помощью
одинакового алгоритма. Если два пользователя имеют одинаковый
зашифрованный пароль, они также должны иметь одинаковый пароль.
Хитрые хакеры с доступом к хранилищу паролей могут создать
пользователей с известными паролями и проверить на наличие других
пользователей с таким же паролем. Такой тип атаки является
разновидностью атаки с известным открытым текстом. Такие атаки можно
остановить с помощью соли (смотри ниже).

3. При использовании блочного шифра длина пароля должна храниться в

составе зашифрованного пароля. Надо хранить длину, потому что блочные
1
Панасенко С.П. Алгоритмы шифрования. Специальный справочник.
шифры всегда дают блок зашифрованного текста фиксированного размера.
Если длина пароля не зашифрована (например, если хранится как столбец в
таблице), информация очень полезна для взломщиков паролей. Знание
точной длины пароля сильно упрощает угадывание пароля.

Приемлемо ли такое решение хранения паролей?

Если восстановление утерянного пароля обязательно, то да – это
единственное приемлемое решение. Несколько рекомендаций:

• Храните тайну в защищенном месте. Жесткое задание тайны в коде

приложения – плохое решение. Хранение тайны в файле (даже в файле
web.config) – ужасная идея. Если надо использовать тайну, храните ее в базе
данных (ограничение доступа путем требования аутентифицированного
подключения) или в ключе реестра с ограниченным доступом.

• Используйте надежный алгоритм шифрования (примеры ниже), не

создавайте свой собственный и не используйте тривиальный алгоритм
шифрования. Если вы не знаете, что именно делаете, ваш собственный
алгоритм может быть очень легко взломать.

• Используйте соль, чтобы не дать двум пользователям с одинаковым

паролем иметь одинаковый зашифрованный пароль.

• Выходные данные шифрования двоичные и должны быть закодированы,

если хранятся как текст. Если хранение двоичных данных приемлемо,
кодирование не требуется, но если зашифрованные пароли должны
храниться как текст, обдумайте использование RADIX64 для преобразования
двоичных данных в текст. RADIX64 использует символ для каждых 6 битов,
увеличивая выходные данные на 33%.

Менеджер паролей

Менеджер паролей — программное обеспечение, которое помогает

пользователю работать с паролями и PIN-кодами. У подобного программного
обеспечения обычно имеется местная база данных или файлы, которые
содержат зашифрованные данные пароля. Многие менеджеры паролей также
работают как заполнитель формы, то есть они заполняют поле пользователь и
данные пароля автоматически в формах. Обычно они реализованы как
расширение браузера.

Менеджеры паролей делятся на три основных категории:

o Десктоп — хранят пароли к программному обеспечению,

установленному на жестком диске компьютера.
o Портативные — хранят пароли к программному обеспечению на
мобильных устройствах, таких как КПК, смартфон или к портативным
приложениям на USB-флеш-накопителе.
o Сетевые — менеджеры паролей онлайн, где пароли сохранены на веб-
сайтах провайдеров.

Менеджеры паролей могут также использоваться как защита от фишинга. В

отличие от людей, программа менеджер паролей может обращаться с
автоматизированным скриптом логина невосприимчиво к визуальным
имитациям, которые похожи на веб-сайты, то есть, перейдя по сомнительной
ссылке на фишинговый сайт менеджер паролей не подставит логин-пароль в
формы ввода, а пользователь поймёт, что сайт является подделкой. С этим
встроенным преимуществом использование менеджера паролей выгодно,
даже если у пользователя имеется всего несколько паролей, которые он
помнит. Однако не все менеджеры паролей могут автоматически обращаться
с более сложными процедурами идентификации, наложенными многими
банковскими веб-сайтами.

Портативные менеджеры паролей

Особый интерес преставляют портативные менеджеры паролей, которые

могут изготавливаться в виде токенов - локально доступных устройств, таких
как смарт-карты или защищены флэш-носители с интерфейсом USB, которые
проверку подлинности пользователя вместо или в дополнение к
традиционным текстовых паролей. Данные, которые хранятся в токене,
обычно зашифрованы для защиты от несанкционированного чтения.
Некоторые системы, выполненные на токенах, требуют дополнительного
программного обеспечения (драйверов) для того, чтобы правильно прочитать
или декодировать данные.

Рисунок 1 – Внешний вид смарт-карты

Достоинства менеджеров паролей

Преимуществами разграничения доступа на основе паролей является то, что
оно легко встраивается в большинство программного обеспечения с
использованием доступного API, поэтому не требует сложных модификаций
компьютеров / серверов, и то, что пользователи уже знакомы с паролями.
Тогда как пароли могут быть безопасными, источником опасности является
то, как пользователи обращаются с паролями:
 o простые пароли - короткие, со словами из словарей, без совместного
использования символов различных типов (цифры, знаки препинания,
буквы в верхнем и нижнем регистрах) или легко вгадуеми по другим
причинам;
o пароли, которые легко могут быть найдены другими - на наклейках на
мониторах, в блокноте у компьютера, в документе на компьютере,
смартфоне в виде открытого текста и тому подобное;
o одинаковый пароль - использование одинакового пароля многих
сайтов, отсутствие изменения паролей и т.д.;
o совместное использование паролей - пользователи рассказывают
другим пароли, присылают незашифрованную электронную почту с
паролями и тому подобное;
o входы к с административными учетными записями там, где должны
использоваться ограничены (пользовательские) учетные записи или
o администраторы, которые позволяют пользователям с одинаковыми
ролями входить под единым паролем.

Указанные ошибки являются типичными. Их наличие делает очень легким

злом индивидуальных учетных записей, корпораций и правительственных
учреждений для злоумышленников и вредоносного программного
обеспечения. Защита от перечисленных угроз делает менеджеры паролей
дуже важными.

Менеджеры паролей также могут быть использованы для защиты от

фишинга и фарминга. В отличие от людей программа менеджера паролей
может включать скрипты входа, которые сначала сравнивают URL текущего
сайта с URL, который хранится в базе данных. Если эти два URL не
совпадают, менеджер паролей не заполняет автоматически поля формы ввода
и вход не происходят. Это является мерой защиты от использования
визуально подобных сайтов.
Менеджеры паролей могут защитить от кейлоггеров или вредоносного
программного обеспечения, которое записывает нажатия клавиш. При
использовании многофакторной аутентификации менеджер паролей
автоматически заполняет поля формы входа, поэтому у пользователя не
возникает потребности в нажатии клавиш для ввода любых весил данных,
которые может перехватить кейлоггер. Хотя кейлоггер может перехватить
PIN доступа к смарт-карты, без самой смарт-карты (чего, чем владеет
пользователь), он не является полезным.

Тем не менее менеджеры паролей не могут защитить от атаки человек-в-

середине или случаев, когда вредоносное программное обеспечение
выполняет операции (в том числе на банковском сайте) когда пользователь
уже осуществил вход.

Недостатки менеджеров паролей

Если пароли хранятся в незашифрованном форме, они могут быть получены
при локальном доступе к персональному компьютеру.

Некоторые менеджеры паролей используют выбранный пользователем

мастер-пароль для формирования ключа шифрования защищенных паролей.
Защищенность такого подхода зависит от устойчивости избранное мастер-
пароля (который может быть подобран в результате атаки грубой силой).
Мастер-пароль не должен никогда храниться локально там, где он может
быть доступен вредоносному программному обеспечению или
злоумышленнику. Компрометация мастер-пароля ставит под угрозу все
защищены ним пароли.

Как и во всех других системах, использующих ввода пароля пользователем, в

менеджерах паролей мастер-пароль может быть атакован с использованием
кейлоггера или перехвата звуков клавиш (т. Н. Акустического
криптоанализа). Некоторые менеджеры паролей пытаются использовать
виртуальные клавиатуры для уменьшения этого риска, хотя остаются
уязвимыми к кейлоггеров с функцией снятия скриншотов при вводе данных.
Этот риск может быть смягчен за счет использования многофакторного
проверяющего устройства.

Некоторые менеджеры паролей включают в себя генератор паролей.

Сгенерированные пароли могут быть вгадуемимы, если менеджер паролей
использует слабый генератор случайных чисел вместо криптографически
стойкого.

Устойчивый менеджер паролей должен включать ограниченное число

неудачных попыток аутентификации перед тем, как блокируется и требовать
вмешательства ИТ-персонала для повторной активации. Это лучшая защита
от атак грубой силой.

Менеджеры паролей, которые не предотвращают сбросу своей памяти на

диски, позволяют получить незашифрованные пароли с жесткого диска
компьютера. Выключение своп-файла позволяет предотвратить это риска.

Детальное изучение онлайн-менеджеров паролей, которые выполняются

внутри веб-браузера пользователя, разоблачило следующие возможные
недостатки:

o Недостатки авторизации: Неправильное понимание аутентификации и

авторизации. В частности эти недостатки позволяли пользователям
делиться своими учетными данными с другими пользователями.
o Недостатки Букмарклет: онлайн-менеджеры паролей в общем случае
возлагаются на Букмарклет для входа пользователей. Тем не менее,
если они несоответствующим образом реализованы, преступный сайт
может воспользоваться этим для похищения паролей. Основная
причина таких уязвимостей в том, что окружение JavaScript
вредоносных веб-сайта не является доверенным.
o Недостатки в интерфейсе пользователя: Некоторые онлайн-менеджеры
паролей предлагают пользователю осуществить вход через iframe. Это
 учит пользователя вводить мастер-пароль когда URL, который
отображается веб-браузером, не является URL онлайн-менеджера
паролей. Злоумышленник с помощью фишинга может создать
поддельный iframe и для перехвата данных входа пользователя. Более
безопасно открывать новую вкладку для, где пользователь вводит
учетные данные для входа в онлайн-менеджера паролей.
o Веб-недостатки: Классические веб-уязвимости также могут
присутствовать в онлайн-менеджерах паролей. В частности,
уязвимости XSS и CSRF могут быть эксплуатируемые хакерами для
получения паролей пользователей.

Блокировка менеджеров паролей

Различные сайты пытались блокировать менеджеры паролей, часто отступая
при публично обжаловании. [5] В качестве причин назывались защита от
автоматизированных атак, защита от фишинга, блокирование вредоносных
программ или просто отказ от совместимости. Клиентское программное
обеспечение Trusteer от IBM имеет отдельную функцию блокировки
менеджеров паролей.

Такое блокирование было раскритиковано специалистами по защите

информации, как такое, что делает пользователей менее защищенными.
Типичная реализация блокировки включает установление свойства
autocomplete = 'off' в соответствующей веб-форме ввода пароля. Поэтому это
свойство игнорируется с Internet Explorer 11 на сайтах, доступных по HTTPS,
Firefox 38, Chrome 34, и в Safari от 7.0.2.

В научной работе 2014 исследователь из Carnegie Mellon University

обнаружил, что в то время как браузеры отказываются автозаполнения, если
протокол на текущей странице входа отличается от протокола в то время,
когда пароль был сохранен, некоторые менеджеры паролей выполняют
опасное заполнения паролей, сохраненных версии сайта, доступной по
HTTPS, в версии сайта, доступной по HTTP. Большинство менеджеров
паролей не защищают от атак с использованием iFrame и перенаправления, и
показывают дополнительные пароли, если включена синхронизация паролей
между устройствами.

Средства хранения и ввода сложных паролей

Углубляясь в вопрос выбора системы хранения паролей, можно столкнуться

с двумя разными подходами. Один тип инструментов позволяет вам хранить
ваши пароли в сети, другие же хранят их локально, на вашем компьютере.
Выбор из этих двух подходов должен основываться на том, чему вы больше
доверяете. Так, например, менеджер паролей OneLogin недавно был взломан.
Разработчики заявили, что хакерам удалось получить доступ к таблицам базы
данных, которые содержат информацию о пользователях, приложениях и
различных типах ключей. Если пользователю предстоит выбор онлайн-
менеджера паролей, ваши учетные данные могут быть украдены
злоумышленниками, нацеленными на его сайт. Аналогичным образом, если
вы храните свои учетные данные локально, вы не можете исключить
возможность взлома. Вывод из этого только один — ваши учетные данные
защищены настолько, насколько защищена выбранная вам система
хранения2.

Ханить пароли в простом текстовом виде не следует. Стоит использовать

шифрование. Большинство доступных инструментов используют AES-256.

Все менеджеры паролей так или иначе предлагают функцию автозаполнения.

Безусловно, это удобно, ибо вам не нужно вводить свои пароли, программа
сделает это за вас. Однако с точки зрения безопасности эта функция
представляет определенный риск. Злоумышленники в процессе фишинг-
атаки могут использовать эту функцию, в результате чего ваш браузер
выдаст ваши банковские реквизиты, ваш пароль в Facebook и тому подобное.
Известный веб-разработчик Вильями Куосманен (Viljami Kuosmanen)

2
Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996. – 336с.
обнаружил серьезную уязвимость в наиболее популярных браузерах,
включая Chrome, Opera и Safari, а также и во многих плагинах (например,
LastPass). Эта брешь существовала из-за наличия функции автозаполнения и
могла быть легко использована для кражи учетных данных. В тот момент,
когда пользователь заполняет форму, например, указывая адрес своей
электронной почты, браузер заполняет все остальные формы другими
учетными данными автоматически, даже если эти формы не отображаются на
экране. Таким образом, злоумышленники могли собрать данные, используя
невидимые формы, в которые браузер сам подставлял данные. Вы можете
отключить функцию автозаполнения в настройках вашего браузера.

Dashlane

Рисунок 2 – Интерфейс Dashlane

Одно из самых интересных и функциональных приложений в этой сфере —

Dashlane. Подписка на него стоит 40 долларов США в год, но есть и
бесплатная версия, которая поддерживает все основные функции. Однако,
нет ничего зазорного в том, чтобы платить за сохранность абсолютно всех
ваших пар «логин-пароль».

У Dashlane есть клиенты для самых популярный операционных систем:

Windows, macOS, Andorid, iOS — а также плагины для распространённых
браузеров, помогающие мгновенно авторизовываться на сайтах. Все ваши
пароли вы сможете синхронизировать между компьютерами и мобильными
девайсами, поэтому никогда не останетесь «сидеть под дверью» какого-
нибудь срочно понадобившегося приложения или сервиса.

Кроме того, Dashline также облегчает интернет-покупки. Он может хранить

данные банковских платежных карт для быстрого заполнения, а также
позволяет сохранять историю покупок.

KeePass

Рисунок 3 – Интерфейс программы KeePass

KeePass подойдет всем поклонникам бесплатного софта с открытым

программным кодом. В этой программе все пароли пользователя хранятся в
зашифрованной базе данных в их системе и никогда не покидают ее
пределов.
У KeePass есть приложение, с помощью которого можно перенести
информацию на несколько компьютеров, даже если используемый
компьютер заблокирован, и у пользователя осталась только флеш-карта.

К базе данных можно настроить доступ нескольких пользователей, а также

экспортировать ее в текстовом виде.

В менеджер встроен генератор паролей, способный проверять уникальность

и безопасность каждой из используемых комбинаций.

Для KeePass существует огромное количество дополнительных плагинов и

инструментов, расширяющих его функциональность и позволяющих
использовать новые платформы.

Автозаполнение KeePass работает практически на всех системах и браузерах,

благодаря чему менеджер может авторизоваться на сайтах, на которые не
могут попасть его аналоги. Также он позволяет использовать автозаполнение
в приложениях, диалоговых окнах и других формах, где ранее приходилось
набирать все вручную или с помощью копирования.
RoboForm

Рисунок 4 – Интерфейс программы RoboForm

Еще один популярный сервис — RoboForm. Разработка RoboForm началась в

1999 году. RoboForm можно использовать и как инструмент автозаполнения
форм в интернете, и как менеджер паролей. Зашифрованные данные хранятся
как локально на устройстве пользователя, так и синхронизируются по сети.
RoboForm можно носить с собой на флеш-карте, чтобы пользоваться им на
любых компьютерах, не боясь потерять пароли.

В менеджере можно использовать несколько профилей, в каждом из которых

будет указана индивидуальная информация о пользователях, паролях и
любой другой информации, необходимой для частого применения.
Последнее крупное обновление RoboForm произошло в марте 2011 года,
продукт получил новый интерфейс, поддержку Chrome и Opera, а также
выбор между офлайн- и онлайн-работой. Кроме того, в RoboForm есть
возможность сохранять в закладках используемые сайты.

RoboForm работает на платформах Windows, OS X, Linux, Android, iOS и

Windows Phone (ранние версии также поддерживают Blackberry и
SymbianOS). В качестве плагинов RoboForm доступен в уже упомянутых
Chrome и Opera, а также в Firefox, Safari и Internet Explorer.

Менеджер бесплатен, если вы используете не более 10 логинов.

Одиннадцатая и последующие авторизации, а также синхронизация и доступ
к хранилищу на нескольких устройствах потребуют покупки RoboForm
Everywhere, которая будет обходиться в $20 в год.

KWallet

Рисунок 5 – Интерфейс KWallet

KWallet (KDE Бумажник) — приложение для управления паролями в среде
KDE. Оно обеспечивает пользователям централизованный способ хранения
паролей в зашифрованном виде файла под названием «Бумажник». Для
дополнительной безопасности, каждый из бумажников можно использовать
для хранения разных паролей, каждый со своим паролем.

KWallet Manager имеет две функции. Первая позволяет вам видеть, какие
бумажники открыты и какие приложения используют каждый бумажник. В
KWallet Manager вы можете отключить доступ приложения к бумажнику.

Вы также можете управлять бумажниками, установленными в вашей

системе, создавать и удалять бумажники и работать с их содержимым.

Когда бумажник открыт, приложение KWallet Manager загружено.

Пиктограмма в системном трее указывает что бумажник является открытым.
Когда все бумажники закрыты, пиктограмма отразит это, показывая
закрытый бумажник.

Щелчок на пиктограмме бумажника отображает окно, содержащее все

доступные бумажники, как пиктограммы, отражающие их текущее
состояние, то есть открытый или закрытый.

Связка ключей iCloud

Связка ключей iCloud (англ: iCloud Keychain) — функция (другими словами
— технология), с помощью которой, в одном месте операционных системах
macOS и iOS, в защищённом виде, сохраняются личные данные пользователя
(логины и пароли).

Эта функция хранит ваши имена и пароли для веб-сайтов на одобренных

вами компьютерах Mac и устройствах с iOS, защищает их надёжным 256-
битным шифрованием AES и поддерживает их актуальность на каждом
устройстве. Когда вам понадобится ввести их, «Связка ключей iCloud»
сделает и это. Она также работает с данными ваших кредитных карт,
позволяя вам мгновенно оплачивать покупки.

Основное назначение функции Связка ключей состоит в том, чтобы

автоматически вводить пароли за пользователя. Но она же позволяет
записывать и хранить конфиденциальную информацию: номера кредитных
карт, пин-коды и т. д. Конечно эти данные система вводить нигде не будет,
но зато они будут храниться в одном месте, для получения доступа к
которому тоже нужен пароль.

На одном компьютере можно хранить несколько связок ключей.

Для просмотра связки ключей в среде macOS необходимо использовать

программу Keychain Access.

Рисунок 6 – Скриншот работы Keychain на MAC OS

Выводы

В современном мире парольная защита с каждым годом все больше

устаревает. С каждым годом изобретаются все новые способы взлома
паролей, а менеджеры паролей и их использование требуют большой
ответственности и осознанности со стороны рядового пользователя. С другой
стороны, если пользоваться средствами хранения паролей разумно, то пароль
останется известным только для Вас.
Учитывая все описанные нюансы, легко подобрать себе решение по
хранению своих учетных конфиденциальных данных. В конце концов,
хорошим выходом будет просто хранить зашифрованный текстовый файл,
выбирая надежный пароль для него. Это самое простое решение, не
требующее установки специального программного обеспечения.

В рассчетно-графической работе были приведены основные популярные

методы хранения и автозаполнения паролей. Рассмотрены самые
распространенные менеджеры паролей, их функционал. Дано определение
понятию менеджера паролей, парольной защиты и смежных понятий.
Список использованной литературы

1. Баричев С.Г., Серов Р.Е. Основы современной криптографии: Учебное

пособие. - М.: Горячая линия - Телеком, 2002.

2. Болотов А.А., Гашков С.Б., Фролов А.Б. Элементарное введение в

эллиптическую криптографию. Протоколы криптографии на эллиптических

кривых. -М.: КомКнига, 2006.

3. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации.

- М.: Горячая линия - Телеком, 2005.

4. Смарт Н.Г. Криптография. -М.: Техносфера, 2005.

7. Соловьев Ю.П. и др. Эллиптические кривые и современные алгоритмы

теории чисел. -Москва-Ижевск: Ин-т компьютерных исследований, 2003.

8. Коблиц Н. Курс теории чисел и криптографии — Москва: Научное изд-во

ТВП, 2001. — 254 c.

9. Панасенко С.П. Алгоритмы шифрования. Специальный справочник. –

СПб.:

БХВ-Петербург, 2009 – 576 с.

10. Жельников В. Криптография от папируса до компьютера. – М.: ABF,

1996. – 336с.

11. Кассами Т., Токура Н., Ивадари Е., Инагаки Я. Теория кодирования/ Пер.
с

япон. под ред. Б. С. Цыбакова и С. И. Гельфанда. – М.: Мир, 1978. – 576с.