суббота, 16 апреля 2011 г.

Защита конфиденциальных данных

У всех нас есть информация, которую можно отнести к конфиденциальной - это пароли доступа к различным ресурсам, pin коды карт, некоторые важные документы. В категорию конфиденциальных данных может попасть любая иная информация, кража которой нежелательна для ее владельца.

Хотите быть уверенными в том, что ваши данные не будут просмотрены третьими лицами - добро пожаловать. Вопрос защиты данных актуален, поэтому я хочу осветить этот вопрос подробно. Описанные методики кроссплатформенны и одинаково работают для всех.

Виды конфиденциальной информации


Итак, условно всю информацию, требующую отдельного подхода к ее защите, можно разделить на две группы: это пароли доступа к ресурсам и важные документы. К первой группе относятся все данные для успешной аутентификации в различных системах (онлайн-банкинг, почта, электронные деньги и т.д.); ко второй - например, паспортные данные (если по каким-то причинам вы храните их в цифровом виде), другие важные файлы/документы.

Хранение паролей и аутентификационной информации


Из-за специфики первого типа информации - а это, как правило, пара логин-пароль и, возможно, адрес ресурса - их удобно хранить в виде зашифрованной базы данных. Для этой цели лучше всего использовать программу KeyPass, поддерживающую современные алгоритмы шифронания (AES, Rijndael, Twofish), бесплатную и распространяемую с открытыми исходными кодами. Последний пункт в частности гарантирует отсутствие в программе различных backdoors, то есть скрытых способов доступа к данным без пароля, специально зашитых в программу. KeyPass кроссплатформен - есть версии для Windows, Linux, Mac OS и даже Android, что позволит пользоваться вашей базой паролей в любом месте и на любом компьютере. Стоит отметить, что есть портабельные версии программы, позволяющие работать, например, с флеш носителя без установки в систему.



KeyPass шифрует всю введенную информацию, а не только пароли, как делают некоторые другие аналогичные системы, таким образом, никто не сможет получить доступ ни к одному полю в вашей базе - ни к логину, ни к адресу ресурса, ни к любой другой информации. KeyPass предоставляет защиту от keylogger программ, позволяющих перехватывать вводимую с клавиатуры информацию. Это одно из лучших решений на сегодняшний день.

Принцип работы с программой прост - вы создаете новую базу паролей (File -> New), вводите мастер-пароль и сохраняете файл с базой. Созданный файл и будет вашим контейнером паролей, который можно безопасно хранить. При открытии базы KeyPass попросит вас ввести мастер пароль, введя который, вы получаете доступ ко всей сохраненной внутри информации. Рекомендации по созданию паролей приведены в конце этой статьи, обязательно обратите на них внимание.

Также стоит отметить программу 1password. Это уже небесплатное решение (40$), однако, по-прежнему кроссплатформенное (Windows, Mac OS, IOS, Android) и очень удобное. 1password имеет возможность безопасно хранить помимо паролей заметки, контактные данные; умеет автоматически вставлять логины-пароли на сайтах, тесно интегрируясь с браузерами. Безусловно, эта программа стоит своих денег, однако я все же предпочитаю open source решение.

Хранение конфиденциальных документов


Распространенная ситуация: вам необходимо иметь при себе на флеш носителе некоторую важную информацию, кражу которой нельзя допустить. В такой ситуации нужно иметь в виду возможность потери носителя и соответственно кражи всей незащищенной информации. Та же ситуация возникает при переносе информации на ноутбуке. Впрочем, действительно важные документы необходимо защищать и на домашнем стационарном компьютере, и на рабочем.

Для решения этой задачи используются криптоконтейнеры. По сути, криптоконтейнер - это отдельный файл или целый раздел на диске, содержащий в себе в зашифрованном виде некоторые документы. Существует возможность создавать также скрытые разделы на диске.

Вообще говоря, разработано немалое количество программных решений для создания криптонтейнеров и работы с ними, мы рассмотрим TrueCrypt - кроссплатформенная бесплатная программа с открытыми исходными кодами. TrueCrypt шифрует файлы на лету, позволяет создавать криптоконтейнеры-файлы и может шифровать целые разделы жесткого диска. Шифруется полностью все содержимое контейнера, включая имена файлов и директорий.



Криптоконтейнер TrueCrypt подключается в системе как обычный логический диск. Вы открываете TrueCrypt, выбираете контейнер, вводите мастер-пароль или указываете файл-ключ и в вашей системе появляется дополнительный логический диск, с которым вы работаете как с обычным диском - создаете файлы, директории, изменяете их. Закончив работу, вы отмонтируете диск в TrueCrypt, нажав соответствующую кнопку; все сохранения уже сохранены в ваш криптоконтейнер.

Создание криптоконтейнеров


После установки TrueCrypt вам будет предложено пройти краткий туториал по работе с программой, я рекомендую просмотреть его для знакомства с программой, он действительно прост и эффективен, хотя сведения по работе с TrueCrypt я приведу нижу. Процесс создания криптоконтейнера состоит из нескольких диалоговых окон, задающих размер контейнера (максимально возможный, увеличить его впоследствии будет нельзя) используемый алгоритм шифрования, мастер-пароль.

Если английский вам неприятен, то рекомендую перед началом работы с программой русифицировать ее, выбрав пункт меню Settings->Language и выбрав русский язык. Если его нет в списке - загрузите языковой пакет отсюда и скопируйте его в папку с установленным TrueCrypt (например, C:\Program Files\TrueCrypt).

Для создания криптоконтейнера необходимо провести ряд несложный действий:

  • жмем создать том;
  • указываем создать зашифрованный файловый контейнер;
  • выбираем обычный или скрытый том TrueCrypt (в обычных случаях достаточно обычного);
  • указываем размещение тома - файл криптоконтейнера, в котором впоследствии будут храниться документы;
  • выбираете алгоритм шифрования (можно оставить по умолчанию AES) и хеш-алгоритм (например, SHA-512);
  • размер тома - максимальный объем информации, который можно будет поместить в контейнер, столько же всегда будет весить файл-криптоконтейнер вне зависимости от наполнения;
  • задаем пароль от контейнера (можно также задать дополнительно ключевые файлы, которые впоследствии необходимо будет предоставить помимо пароля для работы с содержимым контейнера);
  • задаем файловую систему (можно оставить FAT);
  • жмем разметить и выход.


Чтобы подключить созданный ранее контейнер - жмем Файл, выбираем файл-контейнер, жмем смонтировать, вводим пароль, при необходимости указываем ключевой файл. В вашей системе появится новый диск с данными, с которыми вы можете работать как с обычными данными. По окончанию работы жмете в TrueCrypt Размонтировать и диск автоматически удалится из системы, все данные будут сохранены в зашифрованном виде в контейнере.

Теперь в случае потери файла-криптоконтейнера можно ни о чем не беспокоиться - ваша информация надежно защищена. Впрочем, если ваш мастер-пароль не слишком прост, о чем пойдет речь ниже.

О хороших паролях


В заключение повествования расскажу о том, что такое хороший пароль и почему пароль непременно должен быть хорошим.

Как правило, наиболее слабым звеном в любой системе защиты является человек. Какие бы алгоритмы шифрования и методики защиты информации не применялись - пароль вида 123 подбирается за предельно сжатые сроки, современные компьютеры и оптимизированные программы брутфорса (подбора) паролей позволяют проводить подбор со скоростью несколько миллионов элементов в секунду.

Таким образом, для обеспечения достаточной безопасности необходимо использовать пароли, которые невозможно подобрать за разумное время. Это не должны быть значимые слова, они подбираются в первую очередь по специальным словарям.  В пароле должны присутствовать прописные и строчные буквы, цифры, специальные символы ($#!^&;,?). Длина должна быть не менее 8 символов, но всегда больше - лучше. Неплохим вариантом может быть, например, пароль из двух слов в разных регистрах, связанных специальными символами web?48deSign.

Пара слов о терморектальном криптоанализе


Как я уже говорил, наиболее слабым звеном в системе защиты является человеческий фактор, к сожалению, сложные пароли и системы шифрования не помогают в случае применения банального насилия. Поэтому, если вы работаете с имеющими коммерчускую ценность данными, помните: лучший способ сохранить их - не упоминать о их наличии.

Безопасных документов вам!

Комментариев нет:

Отправить комментарий