Теги → пароли
Быстрый переход

Менеджер паролей LastPass взломали второй раз за год, но пароли пользователей в безопасности

Разработчик популярного менеджера паролей LastPass объявил об обнаруженном взломе облачного хранилища, которое он использовал вместе с «дочкой» GoTo, в результате чего злоумышленникам удалось получить доступ к данным клиентов.

 Источник изображения: BleepingComputer.com

Источник изображения: BleepingComputer.com

«Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo», — сообщил разработчик, уточнив, что хакеры смогли получить доступ к «некоторым элементам информации клиентов», воспользовавшись сведениями, полученными в ходе инцидента в августе 2022 года.

Вместе с тем LastPass отметила, что пароли клиентов не были скомпрометированы и «остаются надёжно зашифрованными» благодаря архитектуре LastPass Zero Knowledge. Компания уведомила о случившемся правоохранительные органы и наняла фирму по кибербезопасности Mandiant для расследования инцидента.

В этом году это уже второй инцидент, связанный с хакерской атакой на ресурсы LastPass. Предыдущий произошёл в августе, когда злоумышленникам удалось получить доступ к среде разработчика через скомпрометированную учётную запись одного из сотрудников компании. В электронных письмах, разосланных клиентам, Lastpass тогда подтвердила, что злоумышленники похитили часть исходного кода продукта и проприетарную техническую информацию.

Спустя некоторое время компания призналась, что злоумышленники, стоящие за августовским взломом, в течение четырёх дней сохраняли доступ к её внутренним системам, пока их не обнаружили и не заблокировали.

Названы самые популярные пароли 2022 года — на взлом худших вариантов уходит меньше секунды

Сервис NordPass опубликовал ежегодный антирейтинг 200 наиболее распространённых в пользовательской среде вариантов паролей с указанием того, сколько времени уйдёт у хакера на взлом каждого из них. На сайте указывается, что время указано относительное и зависит от многих параметров.

 Источник изображения: NordPass

Источник изображения: NordPass

На сайте компании можно скачать антирейтинги прошлых лет — с 2019 по 2021 годы. Выяснилось, что если в 2019 году самым популярным был пароль 12345, который использовали 2 812 220 пользователей, то позже в Сети перешли на более «сильный» пароль 123456, который в 2021 году использовали уже 103 170 552 пользователя, а в 2022 году пальма первенства досталась варианту password, которым, по имеющимся данным, пользуются 4 929 113 человек из проанализированной базы.

Результаты не являются абсолютными: ежегодно популярность паролей NordPass оценивается по базам специалистов по кибербезопасности, и приведённые показатели могут свидетельствовать только о масштабе проблемы. Например, в текущем году партнёры сервиса проанализировали некую базу размером 3 Тбайт.

 Источник изображения: NordPass

Источник изображения: NordPass

Оценивались данные из 30 стран. Помимо password, в десятку антирейтинга вошли 123456, 123456789, guest, qwerty, 12345678, 111111, 12345, col123456 и 123123. На сайте компании можно сравнить популярность тех или иных паролей в зависимости от страны и/или пола, однако Россия и другие страны ближнего зарубежья в этом списке отсутствуют.

В середине октября появилась информация о том, что Google начала внедрять вход без пароля в Chrome и Android, а в обозримом будущем такая возможность, вероятно, будет реализована на крупнейших интернет-платформах.

GeForce RTX 4090 отлично справилась со взломом паролей — восемь карт подобрали 8-значный код за 48 минут

Специалист по информационной безопасности Сэм Кроули (Sam Croley) рассказал о возможностях видеокарты GeForce RTX 4090 во взломе паролей. Флагман нового поколения уверенно побил рекорды предыдущего лидера, GeForce RTX 3090. Указывается, что новая карта показала высокую эффективность даже против протоколов аутентификации Microsoft New Technology LAN Manager (NTLM) и Bcrypt.

 Источник изображения: NVIDIA

Источник изображения: NVIDIA

На основе выводов Кроули портал Tom’s Hardware сообщает, что даже одна GeForce RTX 4090 очень эффективна во взломе паролей и способна справиться с задачей за несколько дней. А наличие восьми таких видеокарт сокращает время подбора паролей до 48 минут. Именно столько потребовалось связке ускорителей для того чтобы перебрать около 200 млрд возможных комбинаций и в итоге взломать восьмизначный пароль.

 Источник изображения: Twitter / @Chick3nman512

Источник изображения: Twitter / @Chick3nman512

Согласно Statista и данным за 2017 год, 8-символьные пароли являются наиболее распространёнными среди утёкших паролей, их доля составляет 32 %. Результаты Кроули на фоне данных Statista не означают, что восьмизначные пароли наименее безопасны, но это самая распространённая длина символа пароля.

Взломанные в рамках эксперимента пароли соответствовали актуальным методам безопасности и состояли из букв в случайном регистре, символов и цифр. Тесты проводились с помощью HashCat V.6.2.6. Этот инструмент известен системным администраторам и специалистам по кибербезопасности. Стоит отметить, что сам Кроули был одним из разработчиков данного программного обеспечения. HashCat позволяет исследователям проверять или подбирать пароли пользователей в тех случаях, когда это требуется.

GeForce RTX 4090 показала свою эффективность в нескольких типах атак, предусмотренных в программном обеспечении HashCat: атаки по словарю, комбинаторные атаки, атаки по маске, атаки на основе правил и брутфорс-атаки. Практически при всех алгоритмах взлома новая видеокарта оказалась почти вдвое эффективнее модели GeForce RTX 3090.

Хотя результаты тестов могут показаться пугающими, важно отметить, что подход может иметь только ограниченный набор реальных вариантов использования. Не каждый владелец GeForce RTX 4090 будет использовать её для взлома паролей. Кроме того, взлом паролей с инструментами типа HashCat обычно пригоден для офлайн-активов, а не для онлайн-ресурсов. Шансы на то, что компьютер станет целью злоумышленника с GeForce RTX 4090, взламывающего пароли, невелики.

Windows 11 предупредит о неуместном вводе пароля

Microsoft представила новый инструмент, который поможет Windows 11 защитить пользователей от кражи их паролей. Компонент получил название Enhanced Phishing Protection, и он направлен на предотвращение фишинговых атак.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Поставляемый в комплекте обновления Windows 11 22H2 компонент Enhanced Phishing Protection выводит предупреждение, если пользователь пытается вводить свои регистрационные данные в приложениях или на веб-сайтах, которые система считает потенциально опасными. Защита от ввода пароля сработает и против собственных приложений Microsoft, включая «Блокнот» и Word.

Разработчик уточнил, что инструмент призван защитить пользователей от сохранения паролей в неподходящих для этого приложениях и оградить их от хакеров или мошенников. Обнаружение подозрительных программ и веб-ресурсов производится при помощи платформы SmartScreen. Средства защиты от фишинга в Windows 11 по умолчанию активны, однако инструмент защиты пароля отключён, и активировать его придётся самостоятельно.

Важным нововведением, направленным на повышение уровня безопасности, в обновлении Windows 11 (22H2) стала также функция «Интеллектуальное управление приложениями» (Smart App Control), которая контролирует запуск ПО при помощи обновляемой ежедневно модели искусственного интеллекта.

LastPass призналась, что хакеры в течение четырёх дней сохраняли доступ к её ресурсам

Компания LastPass сообщила, что неизвестный злоумышленник, стоявший за произошедшим в августе взломом её систем, сохранял доступ к ресурсам в течение четырёх дней, прежде чем его обнаружили и отключили.

 Источник изображения: lastpass.com

Источник изображения: lastpass.com

В обновлённой версии официального сообщения о происшествии, которое первоначально было опубликовано ещё в августе, генеральный директор Lastpass Карим Тубба (Karim Toubba) также заявил, что по результатам проведённого расследования при содействии экспертов Mandiant не было обнаружено доказательств того, что злоумышленник получил доступ к зашифрованным хранилищам паролей или данным клиентов.

Удалось установить, что для проведения операции хакер взломал систему на рабочем месте одного из действующих разработчиков, за которого себя и выдал: он «успешно осуществил вход с использованием многофакторной аутентификации». Проанализировав код и сборки, компания также не обнаружила подтверждений того, что предпринимались попытки внедрить какие-либо вредоносы. Это может быть связано с тем, что передача кода из разработки в Production производится только командой Build Release, а процедура включает в себя дополнительную проверку кода, тестирование и валидацию. Глава компании также добавил, что среда разработки «физически отделена от Production-окружения Lastpass и не имеет к ней прямого выхода».

После инцидента в компании «развернули расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга рабочих мест», а также дополнительные инструменты обнаружения, анализа и предотвращения угроз в окружениях разработки и Production.

Хакеры взломали самый популярный в мире менеджер паролей LastPass — до пользовательских данных они не добрались

Менеджер паролей LastPass стал жертвой хакерской атаки. Об этом рассказал генеральный директор компании Карим Тубба (Karim Toubba). По его словам, злоумышленникам удалось похитить только закрытую техническую информацию, которая не имеет отношения к пользователям.

 Источник: Pixabay

Источник: Pixabay

Взлом произошёл около двух недель назад. Неизвестные смогли получить доступ к среде разработчика через одну из скомпрометированных учётных записей сотрудника. В итоге хакеры похитили часть исходного кода продукта и используемых в нём проприетарных модулей.

В компании заверили, что злоумышленники не смогли добраться до пользовательских паролей, поэтому нет необходимости их менять. Г-н Тубба уточнил, что хакеры не могли получить мастер-пароли пользователей, потому что они не хранятся в системе. Разработчики также внедрили дополнительные меры безопасности с целью предотвращения подобных инцидентов в будущем и привлекли следователей-криминалистов для дальнейшего расследования.

LastPass — самый популярный менеджер паролей в мире. По данным Bloomberg, сервисом пользуются более 33 млн человек и свыше 100 тысяч компаний.

VK начала предупреждать об утечках паролей на других платформах

Компания VK сообщила о запуске новой функции защиты паролей: система в автоматическим режиме ищет совпадения паролей по базам утечек с других сервисов и при обнаружении совпадения уведомляет об этом пользователя, предлагая меры дополнительной защиты, говорится в пресс-релизе.

 Источник изображения: vk.com

Источник изображения: vk.com

На начальном этапе сравнительный анализ будет проводиться только в рамках соцсети «ВКонтакте», но впоследствии распространится на другие службы экосистемы VK. В компании подчеркнули, что сравнение данных производится в полностью автоматическом режиме в зашифрованном виде на серверах самой компании, то есть без привлечения сторонних игроков.

Служба безопасности VK постоянно осуществляет мониторинг инцидентов, связанных с утечками данных, причём это касается как российских, так и международных сервисов. С появлением информации об очередной утечке данные проверяются на достоверность и при необходимости учитываются при уведомлении пользователей. Кроме того, компания ужесточила свои требования к паролям: при его смене через личный кабинет VK ID теперь не получится использовать простой вариант — требуется сложное сочетание различных символов.

Новая функция реализована в рамках инициативы VK Protect, направленной на повышение безопасности пользователей при работе с сервисами VK.

Yahoo! Japan обеспечит пользователям вход без пароля

Yahoo! Japan сообщила о намерении закрыть вход по паролям в своих сервисах: уже сейчас 30 из 50 млн пользователей портала отказались от паролей в пользу стандарта FIDO и двухфакторной авторизации с текстовыми сообщениями.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В посвящённом этой теме исследовании, проведённом Yahoo! Japan и Google, говорится, что компания начала работу над технологиями входа без пароля ещё в 2015 году, однако теперь было решено форсировать события: более половины пользователей компании используют один пароль на шести и более сайтах. Полный отказ от паролей, отмечается в документе, усложнит злоумышленникам задачу по их краже, а также избавит пользователей от необходимости что-то запоминать, чтобы сохранять доступ к системе.

В качестве альтернативы паролям в Yahoo! Japan предлагают либо их одноразовые версии, которые присылаются по SMS при каждом входе, либо инструменты на основе стандарта FIDO, который уже выбрали для своей новой инициативы в Apple, Google и Microsoft. В японской компании отметили, что пользователи не видят особых проблем в использовании средств входа без пароля, но при этом настоящей задачей является популяризация этих средств — людям необходимо объяснять, что ничего страшного в них нет. Поэтому когда пользователи регистрируются на сервисах, связанных с высоким риском мошенничества, система предлагает им перейти на более простые и безопасные инструменты входа без пароля.

Пользователям рекомендуют использовать один и тот же способ входа на всех устройствах для каждого пользователя, однако в администрации Yahoo! Japan понимают, что для некоторых это будет затруднительно, поэтому в ближайшее время будут использоваться «смешанные» методы. Однако результаты исследования говорят, что число инцидентов со взломом аккаунтов по мере перехода на авторизацию без паролей снижается.

Apple, Google и Microsoft предложат вход без паролей на всех основных платформах

Компании Apple, Google и Microsoft совместно объявили о намерении обеспечить в следующем году аутентификацию без паролей в наиболее популярных настольных и мобильных платформах, а также браузерах. Иными словами, она будет поддерживаться в Android и iOS, Windows и macOS, а также Chrome, Edge и Safari.

 Источник изображения: blog.google

Источник изображения: blog.google

Как уточнили в Google, основным средством аутентификации станет мобильный телефон: с его помощью можно будет входить в свои учётные записи в приложениях, на сайтах и любых других цифровых сервисах. Достаточно разблокировать телефон любым удобным способом: введя PIN-код, изобразив графический ключ или воспользовавшись биометрией — всё остальное сделает уникальный криптографический токен или ключ доступа, используемый и телефоном, и сервисом, в который производится вход.

Авторы инициативы говорят, что вход в систему при помощи физического устройства не только упрощает задачу пользователя, но и обеспечивает дополнительную защиту его данным. Не нужно будет запоминать пароли от разных сервисов или использовать везде один, подвергая свою безопасность риску. Потребность в физическом устройстве также усложнит задачу производящим удалённые взломы или фишинговые атаки хакерам.

Как подчеркнул Васу Джаккал (Vasu Jakkal), вице-президент Microsoft по безопасности, соблюдению законности и конфиденциальности, важнейшим достоинством новой инициативы является кроссплатформенность: «Например, пользователи смогут войти в браузер Google Chrome, работающий под Windows, используя ключ доступа на устройстве Apple». Это стало возможным благодаря стандарту FIDO, который предлагает аутентификацию без пароля, используя открытые криптографические ключи. Уникальный ключ доступа будет храниться на телефоне и при его разблокировке передаваться на веб-сайт для входа. На случай утери телефона резервная копия ключа будет дублироваться в облачном хранилище.

Наконец, стоит отметить, что многие сервисы до настоящего момента уже предлагали аутентификацию на основе стандарта FIDO, однако первый вход в систему всё равно производился по паролю, делая ресурсы пользователей по-прежнему уязвимыми для фишинга. Однако новая инициатива предполагает полный отказ паролей даже при первом входе, пообещал Сампат Сринивас (Sampath Srinivas), директор по продуктам для безопасной аутентификации в Google и президент FIDO Alliance.

Переходим на российское: менеджер паролей для бизнеса «Пассворк»

Информационная безопасность любой компании определяется не только грамотно выстроенной защитой от кибератак, но и надёжным хранением такой чувствительной информации как пароли, утечка которых может серьёзно пошатнуть бизнес любого размера. Минимизировать подобного рода ситуации и свести их к нулю позволяет российский программный комплекс «Пассворк», обеспечивающий безопасную и удобную работу с паролями в корпоративной среде.

 Менеджер паролей для бизнеса «Пассворк»

Менеджер паролей для бизнеса «Пассворк»

«Пассворк» — единственный менеджер паролей, зарегистрированный в реестре отечественного программного обеспечения и рекомендованный для приобретения государственными и коммерческими структурами. И это действительно важно, особенно в ситуации, когда зарубежные вендоры заявили о прекращении обслуживания своих российских партнёров и запретили использовать свои продукты и решения. Переход на софт отечественной разработки позволяет компаниям сохранить устойчивость своего бизнеса, защитить себя в данный момент и в долгосрочной перспективе от каких-либо санкционных рисков.

Главный плюс «Пассворка» — он устанавливается на сервер компании, и пароли хранятся в зашифрованном хранилище. Доступ к ним имеют только сотрудники организации. Отключение облачных сервисов, уход иностранных разработчиков и проблемы с оплатой в валюте не влияют на работоспособность программного комплекса. И в этом плане «Пассворк» является ярким примером того, что зарубежный софт можно безболезненно заменить на отечественный.

 С «Пассворком» администратор может создать необходимую структуру для хранения паролей и назначать права сотрудникам

С «Пассворком» администратор может создать необходимую структуру для хранения паролей и назначать права сотрудникам

Особенностью «Пассворка» является гибкая система разграничения прав доступа, позволяющая предоставлять персоналу компании доступ лишь к определенным паролям. Для этого в программе есть возможность настройки ролей и уровней доступа пользователей. Таким образом можно, например, сделать так, чтобы сотрудники взаимодействовали только со строго определённым набором паролей — в зависимости от занимаемых должностей и выполняемых обязанностей.

«Пассворк» ведёт историю всех действий пользователей в системе, фиксирует любые изменения паролей и помогает IT-администраторам быстро находить все пароли, к которым имели доступ ушедшие из компании сотрудники. Благодаря этому программный комплекс можно использовать для расследования инцидентов информационной безопасности и пресечения утечек данных. Также «Пассворк» умеет проводить аудит безопасности паролей и оповещать о старых, слабых и скомпрометированных паролях.

 Система позволяет выявить небезопасные пароли

Система позволяет выявить небезопасные пароли

Важной составляющей «Пассворка» является простота интеграции менеджера паролей в IT-инфраструктуру организации. Программа имеет собственный API для настройки обмена данными с используемыми в организации системами, поддерживает работу с Active Directory/LDAP и авторизацию с помощью SAML SSO, а также гибкий импорт и экспорт данных в форматах JSON и CSV.

Для удобства работы с менеджером паролей предусмотрено специальное браузерное расширение (для Chrome, Firefox, Edge, Safari), которое позволяет вставлять, генерировать и управлять паролями компании. Также с его помощью можно автоматически сохранять данные, заполнять формы авторизации и выполнять поиск по базе паролей. Кроме того, в активе «Пассворка» имеется приложение для Android и iOS, позволяющее получать доступ к корпоративным паролям с мобильного устройства.

 Браузерное расширение позволяет вставлять, генерировать и управлять паролями компании всего за пару кликов мышью

Браузерное расширение позволяет вставлять, генерировать и управлять паролями компании всего за пару кликов мышью

Менеджер паролей распространяется в различных редакциях, разнящихся количеством поддерживаемых пользователей и набором функциональных возможностей. Продукт приобретается бессрочно с возможностью продления подписки на техническую поддержку и обновления. Несмотря на текущую ситуацию на рынке, «Пассворк» сохраняет стоимость продукта на прежнем уровне и не планирует её увеличения.

Заказчики могут установить «Пассворк» сразу в нескольких филиалах и пользоваться оперативной русскоязычной техподдержкой. Технические специалисты компании-разработчика помогут с установкой и ответят на любые вопросы.

«Пассворк» — один из инструментов, который позволяет компаниям справляться с ограничениями на использование зарубежного ПО, подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения, актуальность которой, похоже, будет только увеличиваться.

В Google Chrome появилась возможность комментировать сохранённые пароли

Google Chrome, как и множество других браузеров, позволяет пользователям сохранять пароли, а с выходом очередной его предварительной версии появилась новая возможность — теперь к ним можно добавлять комментарии, что ранее было доступно лишь в специализированных менеджерах.

 Источник изображения: google.com

Источник изображения: google.com

В очередной сборке Chrome на экспериментальном канале Canary встроенный менеджер паролей браузера дополнился функцией сохранения заметок. Эта возможность появляется при первом добавлении данных учётной записи на ресурсе либо при изменении существующего пароля. На достигнутом Google останавливаться не собирается — компания, вероятно, работает над возможностью безопасной отправки паролей другим пользователям.

Возможность добавлять заметки может оказаться полезной в ряде случаев — контекстная информация учётных записей позволит пользователям легче разграничивать рабочие и личные аккаунты. Кроме того, в заметках можно будет сохранять ответы на секретные вопросы, которые используются на некоторых сервисах.

Пользователи сборок с экспериментального канала Chrome Canary уже могут протестировать новую функцию, произведя поиск по настройке #passwords-notes. По предварительным данным, комментирование паролей доберётся до стабильной ветки к релизу Chrome 101, который ожидается в апреле или мае, однако планы разработчика ещё могут поменяться.

В чипе безопасности Apple T2 нашли уязвимость, которая позволяет взламывать пароли на Mac простым перебором

Компания Passware, легально продающая программные и аппаратные инструменты для взлома паролей, сообщила о создании инструмента для взлома компьютером Mac, оснащённых чипом безопасности Apple T2. Прежде считалось, что данные компьютеры имеют весьма надёжную защиту, но разработчики смогли найти уязвимость в данном чипе и создали инструмент для её использования.

 Источник изображения: Apple

Источник изображения: Apple

Apple представила микросхему безопасности T2 для Mac в 2018 году и с того времени использовала её для обеспечения безопасной загрузки компьютеров Mac на процессорах Intel. Особенность T2 заключается в том, что он содержит контроллер SSD и механизм шифрования, что позволяет ему мгновенно зашифровывать и расшифровывать данные в режиме реального времени.

Passware ранее уже имела в ассортименте инструменты, позволяющие подбирать пароли и расшифровывать диски, защищённые более старым средством шифрования FileVault на компьютерах Mac без чипа T2. При этом использовался графический ускоритель, что позволяло проверять десятки тысяч паролей в секунду. Однако до недавнего времени метод подбора паролей путём перебора всех возможных комбинаций было непрактично использовать на компьютерах Mac с чипом Т2. Это связано с тем, что пароль не хранится на SSD, а чип ограничивает количество возможных попыток его ввода. Потому необходимо подбирать не пароль, а ключ дешифрования, что, в теории, может занять миллионы лет.

 Чип Apple T2 выделен красным Источник изображения: iFixit

Чип Apple T2 выделен красным Источник изображения: iFixit

Однако теперь Passware предлагает инструмент, который позволяет обойти защиту от перебора и позволяет неограниченное количество раз вводить пароль на Mac с чипом Т2. Хакер может применить словарь паролей. Сама Passware предоставляет словари из 550 тысяч самых используемых паролей, собранных в результате различных утечек данный, а также более крупный, на 10 миллиардов паролей. Однако процесс их подбора по-прежнему медленнее чем обычно. Скорость достигает 15 паролей в секунду. Теоретически подбор требуемой комбинации может занять тысячи лет, однако большинство людей использует относительно короткие и простые пароли. Комбинацию из шести символов можно взломать примерно за 10 часов.

Passware сообщает, что модуль для взлома компьютеров Mac с чипом Т2 предоставляется только государственным заказчикам, а также частным компаниям, которые могут предоставить веские основания для его использования. Важно отметить, что для взлома хакер должен иметь физический доступ к целевому компьютеру. А если пароль представляет собой набор случайных символов, то подобрать его будет крайне проблематично даже с автоперебором.

Mozilla прекратит поддержку менеджера паролей Firefox Lockwise в декабре

Mozilla сообщила пользователям фирменного приложения для управления паролями Firefox Lockwise, что официально прекратит его поддержку 13 декабря. Хотя менеджер паролей продолжит работу после этой даты, он больше не будет получать новые функции или исправления безопасности.

 Источник изображений: Mozilla

Источник изображений: Mozilla

Софт Lockwise начал свой путь в 2018 году под названием Lockbox. Приложение, доступное для iOS, Android и настольных компьютеров, позволяет пользователям получить доступ к учётным данным, хранящимся в веб-браузере Firefox, и использовать их для автозаполнения в любых приложениях. Большинство возможностей продукта теперь интегрированы в Firefox, что делает дальнейшую поддержку отдельного приложения нецелесообразной.

Mozilla заявила, что с 13 декабря Lockwise не будет обновляться и поддерживаться Mozilla. Кроме того, приложение больше нельзя будет скачать из Google Play и Apple App Store. Компания рекомендует использовать непосредственно браузер Firefox для доступа и управления сохранёнными паролями в будущем.

Пользователи Android смогут без труда получить доступ к функциям автозаполнения паролей, предлагаемым Firefox, на общесистемном уровне, а вот владельцам iOS-устройств придётся подождать, чтобы получить возможность работать с паролями Firefox в масштабах всей системы. Mozilla пообещала рассказать больше об этой функции в декабре.

Google принудительно включит двухфакторную аутентификацию для 150 млн пользователей

В мае этого года компания Google объявила о намерении активнее использовать двухфакторную аутентификацию (с помощью пароля и SMS-сообщения с кодом) для защиты пользовательских аккаунтов. Теперь же разработчики объявили, что к концу года эта функция будет по умолчанию активирована для 150 млн пользователей сервисов компании. Это будет очередной шаг по продвижению более безопасного метода идентификации пользователей.

 Изображение: Alex Castro / The Verge

Изображение: Alex Castro / The Verge

В 2018 году Google заявила, что только 10 % активных аккаунтов задействуют двухфакторную аутентификацию. С тех пор компания прикладывала определённые усилия, чтобы подтолкнуть людей к использованию этой функции. Тем не менее, всего у Google около 3,5 млрд пользователей, так что принудительное включение двухфакторной аутентификации для 150 млн пользователей не такой глобальный шаг, как могло показаться.

Согласно имеющимся данным, вместе с миллионами пользователей Google на двухфакторную аутентификацию до конца года будут переведены более 2 млн авторов контента на YouTube. В сообщении отмечается, что пользователи также смогут использовать для авторизации аппаратные ключи безопасности, которых только Google ежегодно выпускает более 10 тыс. экземпляров.

Диспетчер паролей является ещё одним надёжным инструментом обеспечения безопасности учётных записей. Согласно имеющимся данным, Google ежедневно проверяет более 1 млрд паролей с помощью встроенного в браузер Chrome диспетчера паролей, которые также интегрирован в платформу Android и приложение Google. Диспетчер паролей компании также доступен и на устройствах с iOS, где Chrome может использоваться для автоматического заполнения полей авторизации в разных приложениях. В скором времени разработчики добавят возможность генерации надёжных паролей для других приложений, а также функцию просмотра списка сохранённых паролей в меню приложения Google.

Как организовать совместную работу с паролями в компании?

Защита конфиденциальных сведений имеет приоритет №1 в любых организациях, и пароли в данном случае не являются исключением. Обеспечить безопасность последних позволяет российский программный комплекс «Пассворк», способный вывести работу с корпоративными паролями на новый уровень.

 «Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» существенно упрощает работу с паролями в корпоративной среде, и особенно ярко преимущества продукта проявляются в крупных компаниях, насчитывающих сотни работников и имеющих распределённую структуру с региональными офисами. Программа использует защищённые хранилища, хранит пароли в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения.

 «Пассворк» подходит для компаний любого размера

«Пассворк» подходит для компаний любого размера

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях. Кроме того, если сотрудник увольняется, то система автоматически анализирует, какие пароли он просматривал, помечает их как потенциально скомпрометированные, уведомляет об этом службу безопасности и предлагает сменить пароли. Такой подход минимизирует вероятность подбора паролей и риски их утечки, даже в тех случаях, когда компанию покидает такая ключевая фигура как IT-администратор и «уносит» с собой все пароли организации.

 Аудит безопасности паролей

Аудит безопасности паролей

Коробочная версия менеджера паролей «Пассворк» хранит данные в зашифрованном виде на сервере компании, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Для работы продукта требуются интерпретатор PHP и СУБД MongoDB, поддерживается установка на Windows Server и Linux с Docker или без него.

 Менеджер использует серверные мощности компании. Как результат, все пароли хранятся внутри IT-периметра организации

Менеджер использует серверные мощности компании. Как результат, все пароли хранятся внутри IT-периметра организации

В «Пассворке» можно хранить пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты). Для удобной работы с паролями от веб-ресурсов у «Пассворка» есть браузерные расширения (для Chrome, Firefox, Edge, Safari), которые автоматически заполняют формы авторизации на сайтах, а также предлагают сохранить новые пароли в «Пассворке».

 Браузерное расширение позволяет сохранять, изменять и генерировать пароли, а также авторизовываться на сайтах в пару кликов (доступно для Chrome, Safari, Edge, Firefox)

Браузерное расширение позволяет сохранять, изменять и генерировать пароли, а также авторизовываться на сайтах в пару кликов (доступно для Chrome, Safari, Edge, Firefox)

Механизм разграничения прав доступа позволяет предоставлять сотрудникам доступ лишь к определённым паролям. Для этого в системе реализована возможность настройки ролей пользователей и уровней доступа. Например, сотрудники бухгалтерии не будут иметь доступа к паролям IT-отдела. Тот или иной пароль можно безопасно переслать в виде ссылки другому пользователю. Предусмотрена возможность приглашения сотрудников в общие сейфы для совместной работы. Такая функция может быть востребована не только для коммуникаций и оперативного обмена паролями между сотрудниками одного отдела, занимающими одинаковые должности, но и в случае, например, когда пароль хранится у одного из работников, который сейчас в отпуске. Как показывает практика, такие ситуации возникают довольно часто.

 Управление пользователями и настройка ролей

Управление пользователями и настройка ролей

Важной отличительной особенностью «Пассворка» является то, что в настоящий момент это единственный менеджер паролей, зарегистрированный в реестре отечественного программного обеспечения. Наличие в реестре Минцифры не только подтверждает российское происхождение продукта, но и допускает его использование в государственных и муниципальных организациях, реализующих проекты в сфере импортозамещения ПО. К тому же, в отличие от иностранных аналогов, компания-разработчик «Пассворка» официально зарегистрирована в России как юридическое лицо и имеет русскоязычную техническую поддержку. Всё это допускает участие продукта при государственных закупках, реализуемых в рамках контрактов по 44-ФЗ (закупки госучреждений) и 223-ФЗ (закупки госкомпаний, в которых не менее 50% принадлежит государству).

 «Пассворк» подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения

«Пассворк» подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения

Не оставлен без внимания разработчиками вопрос интеграции менеджера паролей в IT-инфраструктуру заказчика. Программный комплекс имеет собственный API для настройки обмена данными с используемыми в организации системами, поддерживает интеграцию Active Directory/LDAP и авторизацию с помощью SAML SSO, а также гибкий импорт и экспорт данных в форматах JSON и CSV.

 Интеграция с AD/LDAP

Интеграция с AD/LDAP

Для компаний, предъявляющих высокие требования к безопасности обрабатываемых данных и надёжности используемого софта, предусмотрены возможности двухфакторной аутентификации пользователей, настройки репликации и развёртывания системы «Пассворк» на нескольких серверах (до 5 машин), а также в защищённом контуре без доступа в интернет. Стоит отметить, что «Пассворк» поставляется с открытым для аудита кодом.

 Открытый для аудита исходный код позволяет убедиться в отсутствии уязвимостей и скрытых функций

Открытый для аудита исходный код позволяет убедиться в отсутствии уязвимостей и скрытых функций

Платформа «Пассворк» представлена в редакциях «Старт», «Бизнес», «Премиум» и «Энтерпрайз», разнящихся количеством поддерживаемых пользователей, набором доступных функций и ценой. Стоимость продукта — от 29 900 рублей. В эту сумму включен один год подписки на техническую поддержку и обновления. По окончанию подписки программа продолжит работать. Если через год вы захотите обновить продукт или получить поддержку, то подписку можно будет приобрести отдельно, что очень удобно. Для оценки функциональных возможностей системы предусмотрена пробная версия с ограничением в 5 пользователей. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

 Стоимость продукта зависит от редакции и типа приобретаемой заказчиком лицензии

Стоимость продукта зависит от редакции и типа приобретаемой заказчиком лицензии

И последнее. Разработки российских программистов всегда славились инновационным подходом к решению конкретных задач, высоким качеством кода и новизной технологий. «Пассворк» является ярким тому подтверждением. Продукт активно используется компаниями различных размеров и сфер деятельности в 85 странах мира. Примечательно, что в списке таких организаций фигурирует немало финансовых и банковских предприятий, знающих толк в проверенных софтверных решениях и лишний раз доказывающих надёжность упомянутого менеджера паролей.

window-new
Soft
Hard
Тренды 🔥
Apple расширила ценовой диапазон в App Store — теперь приложение может стоить от $0,29 до $10 000 2 ч.
Microsoft обязалась 10 лет выпускать Call of Duty на консолях Nintendo и «в любой день» готова подписать соглашение с Sony 2 ч.
Создатели Dead Island 2 показали геймплей за зомби и функцию голосового управления 3 ч.
THQ Nordic подтвердила дату выхода экшен-платформера SpongeBob SquarePants: The Cosmic Shake — предзаказ доступен и в российском Steam 3 ч.
Microsoft рассматривает создание «суперприложения» для смартфонов, вдохновившись WeChat и «Яндекс.Go» 4 ч.
Adobe приступила к сокращению сотрудников вслед за другими IT-гигантами 5 ч.
Мобильная The Witcher: Monster Slayer в духе Pokemon GO закроется, не прожив и двух лет — разработчиков ждут увольнения 13 ч.
Токены и смарт-карты JaCarta совместимы с инфраструктурой виртуальных рабочих мест «Базис.WorkPlace» 14 ч.
Легендарный симулятор колонии дварфов Dwarf Fortress добрался до Steam — в том числе российского 15 ч.
CD Projekt RED опубликовала список модификаций, проверенных на совместимость с улучшенной версией The Witcher 3: Wild Hunt 15 ч.
Марсианский вертолёт Ingenuity взлетел как никогда высоко во время 35-го полёта 6 мин.
Intel подтвердила подготовку чипов Sapphire Rapids для рабочих станций — по слухам, у них будет до 56 ядер 20 мин.
Редакция 3DNews ищет авторов новостей 2 ч.
Через два года у Apple, AMD и NVIDIA появятся чипы «Made in USA»: их будет выпускать TSMC на новых заводах в Аризоне 2 ч.
TSMC уже работает над освоением 1-нм техпроцесса, заявил министр экономики Тайваня 4 ч.
Электромобиль Apple выйдет позже, чем ожидалось, откажется от полного автопилота, но будет дешевле $100 000 5 ч.
Новая статья: Обзор смартфона Xiaomi 12T Pro: прямо как раньше 12 ч.
Мощность двухмоторного Polestar 2 теперь можно поднять на 68 л.с. через платное обновление ПО — и никаких подписок 12 ч.
X-Com представила серию типовых Intel-серверов под собственным брендом 16 ч.
Micron представила первые клиентские SSD на базе 232-слойной флеш-памяти NAND 17 ч.