Насколько безопасно хранить менеджер паролей в облаке провайдера самого менеджера?
Добрый день. Я хочу начать пользоваться менеджером паролей, изучал пару дней эту тему, но, как человеку далекому от IT, прошу вашей помощи в разъяснений некоторых вопросов.
1) Как мой мастер пароль могут украсть/взломать, в теории? Как я понял, аккаунт со всеми моими паролями хранится в зашифрованном виде на сервере менеджера паролей (локальное хранение не рассматриваю). Значит ли это, что единственным способом кражи моего мастер пароля будет только массовый слив всего облака? Ну, если не учитывать то, что я могу там скачать какие-то вредоносные программы и вирусы. Значит, я узнаю из новостей об утечке, если такое произойдет, правильно? Просто я хочу знать, может ли быть такая ситуация, когда я даже знать не буду, что мой мастер пароль украли и получили доступ вообще ко всем сервисам, а я даже не буду этого долгое время осознавать из-за отсутствия каких-либо признаков. Так что, по сути, вообще бояться нечего? Ну, если ты обычный смертный, а не журналист-активист какой-нибудь, которого целенаправленно таргетят? Шанс что чисто только меня, а не миллионы пользователей данного менеджера паролей разом взломают, минимальный же?
А если я вообще все-таки выберу хранение паролей только на устройстве (компе), а на телефон уж вручную буду перебивать новые сгенерированные пароли для всех сервисов? Долго, нудно, но безопаснее будет, если не буду в облаке хранить, верно? Или не стоит того так параноить? Я просто недавно смотрел, моя почта, оказывается, в 6 разных утечках массовых числится, и на трех сервисах в мои аккаунты заходили и пользовались...Вот и стал параноить, хочу защититься как могу, но поднимать свои серверы и прочее не смогу даже по гайдам в интернете. Хочу хотя бы с менеджером паролей грамотно решить вопрос.
2) Безопасно ли использовать расширение для браузера? Я вообще слышал, что если у чего-либо есть приложение десктопное, безопаснее им пользоваться, чем веб-версией (по-крайней мере так говорилось про почтовый сервис Proton Mail). А все-таки все любят, как я посмотрю, использовать именно расширение для браузера в случае с менеджерами паролей.
Я пока решил выбрать Bitwarden, просто потому что он в бесплатной версии не урезает основные фичи, а то во всех других надо тыщи по 3 сразу же единоразовым платежом башлять за годовую подписку в App Store.
В общем, менеджерам паролей в облаке можно доверять.
1) например кейлогером на твоем ПК, или малварью на твоем телефоне. или фишингом тебя подловят.
2) пока безопасно. еще не было замечено малвари которая может "взять" пароли из , браузерного расширения менеджера паролей (такоей как lastpass например). но я думаю скоро появится. эти все расширения держат мастер ключ в спец. памяти браузера постоянно. Эта память теоретически может быть доступна другим расширениям и скриптам, или ПО типа чита которое инжектиться в браузер.
тут важнее выбрать один надежный браузер (хром) где ты будеш иметь этот менеждер паролей (и обновлять его часто) и там логинится куда надо. а для обычного серфинга по сети - использовать другой браузер.
Я не знаю, работает iCloud keychain на Windows компе или нет, а так только на айфоне стоит пока. Да и, наверное, лучше все-таки использовать open source менеджер
Мой ответ таков, вы всегда в зоне риска .. Не важно где храните, взломать можно все, при желании. Вопрос на сколько вы интересны взломщик что бы тратить на вас время.
Делайте сложные и не повторяющиеся пароли
Аz-Zx: 0 - 1: @#%/=* (длирой не менее 10 с имволов). Подобный пароль взломать среднестатистического компу лет 45 потребуется