Менеджер паролів - програмне забезпечення. яке допомагає користувачеві працювати з паролями і PIN-кодами. У подібного програмного забезпечення зазвичай є місцева база даних або файли, які містять зашифровані дані пароля. Багато менеджерів паролів також працюють як заповнювач форми, тобто вони заповнюють поле користувач і дані пароля автоматично в формах. Зазвичай вони реалізовані як розширення браузера.
Менеджери паролів можуть також використовуватися як захист від фішингу. На відміну від людей, програма менеджер паролів може звертатися з автоматизованим скриптом логіна несприйнятливо до візуальних імітацій, які схожі на веб-сайти, тобто, перейшовши за сумнівною посиланням на фішингових сайтів менеджер паролів НЕ підставить логін-пароль в форми введення, а користувач зрозуміє , що сайт є підробкою. З цим вбудованим перевагою використання менеджера паролів вигідно, навіть якщо у користувача є всього кілька паролів, які він пам'ятає. Однак не всі менеджери паролів можуть автоматично звертатися з більш складними процедурами ідентифікації, накладеними багатьма банківськими веб-сайтами.
Менеджери паролів зазвичай використовують обраний користувачем основний пароль, або секретну фразу (passphrase), щоб сформувати ключ. використовуваний для шифрування збережених паролів. Цей основний пароль повинен бути досить складним, щоб встояти при атаках зловмисників (наприклад повний перебір).
Якщо основний пароль буде зламаний, то будуть розкриті всі збережені в базі даних програми паролі. Це демонструє зворотну зв'язок між зручністю використання і безпекою: єдиний пароль може бути більш зручний, але якщо він буде зламаний, то поставить під загрозу всі збережені паролі.
Основний пароль може також бути атакований і виявлений при використанні кейлоггера або акустичного криптоанализа (acoustic cryptanalysis). Така загроза може бути знижена шляхом використання віртуальної клавіатури. як, наприклад, в KeePass.
Деякі менеджери паролів включають генератор паролів. Згенеровані паролі можуть бути відгадувати, якщо менеджер пароля не використовує криптографически безпечний генератор випадкових чисел.
Менеджер паролів онлайн
Менеджер паролів онлайн - веб-сайт, який надійно зберігає дані логіна. Таким чином це мережева версія звичайного десктоп-менеджера паролів.
Переваги онлайн-менеджерів паролів над десктоп-версіями - це мобільність (вони можуть використовуватися на будь-якому комп'ютері з web-браузером і інтернет-з'єднанням, без необхідності встановлювати програмне забезпечення) і менший ризик втрати паролів через злодійство або пошкодження PC. Ризик пошкодження може бути в значній мірі знижений, якщо заздалегідь будуть створені резервні копії.
Головний недолік онлайн-менеджерів паролів - необхідна довіра хостингу сайту. Неодноразові зломи і втрати централізовано зберігалася інформації на сервері не вселяють довіри.
Існують змішані рішення. Ряд ресурсів, таких як FortNotes [1]. що надають послуги онлайн-зберігання паролів та інших секретних даних, поширюють вихідні коди цих систем. Можливість провести аудит коду і встановити таку систему на захищений фаєрволом сервер або на сервер, який не має прямий вихід в Інтернет, дозволяє вирішити проблему з можливою компрометацією даних.
Використання мережевого менеджера паролів - альтернатива технології єдиного входу (Single Sign On), такий як OpenID або Microsoft's Windows Live ID. і може використовуватися як тимчасовий захід, поки не буде прийнятий кращий метод.