ИТ-эксперт Рыбников: пароли в заметках могут украсть через троянские программы
Хранение паролей непосредственно в заметках на мобильном устройстве остается одной из наиболее уязвимых практик, несмотря на ее распространенность и удобство, рассказал "Газете.Ru" старший преподаватель кафедры инструментального и прикладного программного обеспечения РТУ МИРЭА Андрей Рыбников.
"Стандартные приложения для заметок не обеспечивают должного уровня защиты: данные в них часто не шифруются или защищены лишь формально. В результате при получении доступа к устройству либо при заражении вредоносным программным обеспечением злоумышленники могут достаточно просто извлечь сохраненную информацию и использовать ее для компрометации аккаунтов", — объяснил эксперт.
Механизм подобных атак не отличается сложностью: вредоносные приложения или троянские программы анализируют файловую систему устройства, находят текстовые записи и передают их содержимое третьим лицам.
"Дополнительную угрозу представляют поддельные приложения, имитирующие легитимные сервисы, через которые пользователь может непреднамеренно раскрыть конфиденциальные данные. В случае хранения паролей в заметках такие сценарии становятся особенно критичными, поскольку доступ к информации не требует преодоления серьезных защитных механизмов", — добавил он.
В то же время сама идея хранения паролей в телефоне не является проблемной при использовании специализированных инструментов. Современные менеджеры паролей реализуют хранение данных в зашифрованном виде и предоставляют доступ к ним через мастер-аккаунт, защищенный сложным паролем и, как правило, двухфакторной аутентификацией.
"Такой подход принципиально отличается от заметок: даже при наличии доступа к устройству извлечение данных без прохождения аутентификации оказывается практически невозможным", — отметил эксперт.
Дополнительный уровень защиты обеспечивается соблюдением базовых принципов цифровой гигиены: установкой приложений только из доверенных источников, регулярным обновлением операционной системы, контролем разрешений и отказом от использования сомнительного программного обеспечения. В совокупности с использованием менеджера паролей это формирует устойчивую модель защиты пользовательских данных.
"Основной риск связан не с хранением паролей на мобильном устройстве как таковым, а именно с использованием для этого обычных заметок без механизмов защиты. Переход к специализированным менеджерам паролей с мастер-аккаунтом и двухфакторной аутентификацией позволяет считать такую практику безопасной при условии соблюдения базовых требований информационной безопасности", — резюмировал он.