Защита учетных записей в Интернете с помощью монитора паролей
Примечание: Мы находимся в процессе постепенного развертывания этой функции, поэтому может потребоваться некоторое время, прежде чем вы увидите ее в соответствующем канале и сборке.
Каждый год сотни миллионов имен пользователей и паролей предоставляются в Интернете, когда веб-сайты или приложения становятся мишенью утечки данных.
Утечка имен пользователей и паролей часто заканчивается для продажи на онлайн-черном рынке, обычно называемом Темная Сеть. Хакеры используют автоматизированные скрипты, чтобы попробовать различные украденные сочетания имени пользователя и пароля для захвата учетных записей людей. В случае нарушения одного из ваших учетных записей вы можете стать жертвой мошеннических транзакций, кражи личных данных, незаконных переводов средств или других незаконных действий.
Хотя люди регулярно предостерегают от повторного использования одного и того же имени пользователя и пароля для нескольких учетных записей в Интернете, это распространенная практика, которая делает их уязвимыми на нескольких сайтах, если даже один из их паролей утечки.
Монитор паролей помогает защитить учетные записи в Интернете в Microsoft Edge, информируя вас о компрометации любого из ваших паролей, чтобы вы могли обновить их. Немедленное изменение паролей — лучший способ предотвратить захват вашей учетной записи.
Принцип работы монитора паролей
При первом включении монитора паролей Microsoft Edge проверяет пароли, сохраненные в браузере, в большой базе данных известных утечки паролей, хранящихся в облаке. Если какая-либо из ваших пар имени пользователя и пароля совпадает с парами в базе данных, они будут отображаться на странице Монитор паролей в параметрах Microsoft Edge. Все перечисленные там пароли больше не являются безопасными для использования, и их следует немедленно изменить.
Примечание: Все имена пользователей и пароли будут автоматически сканироваться при первом включении этой возможности. После этого каждое сочетание имени пользователя и пароля будет проверяться при каждом использовании (то есть сохранено или автоматически заполнено). Чтобы снова проверить все пароли, нажмите кнопку Проверить сейчас на странице Монитор паролей.
Помимо сведений, доступных на странице Монитор паролей, вы также можете увидеть одно или несколько уведомлений ниже, информирующих о том, что у вас есть небезопасные пароли, которые необходимо обновить:
-
Сводка уведомлений При первом включении монитора паролей все сохраненные пароли будут проверены на наличие компрометации любого из них. Если какой-либо из ваших паролей совпадает со списком известных просочившихся паролей, появится уведомление:
Безопасность и конфиденциальность
Безопасность и конфиденциальность ваших данных лежат в основе структуры монитора паролей. Мы сделали эту цель нашим конечным и бескомпромиссным приоритетом.
Когда монитор паролей проверяет ваши учетные данные в базе данных известных утечки учетных данных, мощное шифрование помогает защитить ваши данные от раскрытия кому-либо. Только вы знаете, какой из сохраненных паролей скомпрометирован, даже корпорация Майкрософт об этом не знает.
Включение монитора паролей
- Убедитесь, что вы вошли в Microsoft Edge с помощью учетной записи Майкрософт, рабочей или учебной учетной записи.
- Перейдите в раздел Параметры и другие >Параметры >Профили >Пароли.
- Включите отображение оповещений при обнаружении паролей при утечке в сети. Для просмотра параметра может потребоваться развернуть дополнительные параметры .
Все небезопасные пароли будут отображаться на странице параметров монитора паролей.
Автоматическое включение
Если вы вошли в систему и синхронизируете пароли, монитор паролей будет автоматически включен для браузера. Вы также увидите сообщение, информирующее вас об этом. Вы можете перейти в раздел Параметры и другие профили >> Пароли и отключить монитор паролей в любое время.
Кроме того, может появиться другое сообщение с запросом на включение монитора паролей. Выберите Да, чтобы включить эту функцию, чтобы проверка, не произошла ли утечка паролей. Если вы хотите решить это позже, вы всегда можете перейти в раздел Параметры и другие > Пароли и в любое время отключить монитор паролей.
Реагирование на уведомления
Если вы узнали, что пароль больше не является безопасным, вы можете выбрать способ реагирования.
- Перейдите в раздел Параметры и другие >Параметры >Профили >Пароли >Монитор паролей.
- Вы найдете все свои небезопасные пароли, перечисленные здесь. Все перечисленные здесь пароли были найдены в соответствии с паролями в базе данных скомпрометированных паролей и больше небезопасны для использования. Их следует немедленно обновить.
- Для каждого пароля учетной записи, указанного на странице, выполните одно из следующих действий.
- Чтобы изменить пароль, выберите Изменить. Вы перейдете на соответствующий веб-сайт, где необходимо обновить пароль.
- Если запись в списке скомпрометированных паролей больше не имеет отношения к вам, выберите Игнорировать. Монитор паролей добавляет пароли в список пропущенных оповещений.
Если вы проигнорировали оповещение, его можно восстановить из списка Игнорируемые оповещения, выбрав Восстановить.
Мы также приняли меры, чтобы немного упростить задачу обновления паролей. Монитор паролей теперь интегрирует известный веб-стандарт URL-адресов. Это означает, что для некоторых веб-сайтов (таких как Github, Twitter и WordPress) нажатие кнопки Изменить приведет вас непосредственно к соответствующим страницам изменения пароля этих веб-сайтов.
Эта функция позволяет сэкономить время, которое в противном случае потребуется потратить на переход к месту, где можно изменить пароль для этого веб-сайта.
Совет: Нет специальных указаний для веб-сайта, который поддерживает веб-стандарт URL-адреса; Кнопка Изменить выглядит одинаково независимо от этого.
Вопросы и ответы
Известные старые или ненадежные пароли отображаются как небезопасные; Я это уже знаю.
Независимо от того, насколько сильным или новым, любое сочетание имени пользователя и пароля, соответствующее одному из них в списке, будет помечено как скомпрометированное. По этой причине также могут быть включены локальные IP-адреса или пароли для маршрутизаторов или локальных веб-сайтов.
Здесь пригодится кнопка Игнорировать . он предназначен для быстрого закрытия всех скомпрометированных паролей, которые больше не имеют отношения к вам.
Безопасны ли пароли в Microsoft Edge?
Утечка данных сторонних веб-сайтов и приложений приводит к тому, что данные пользователей (включая, помимо прочего, имена пользователей и пароли) становятся общедоступными. Эти пароли не совпадают с вашими паролями, хранящимися в Microsoft Edge.
Microsoft Edge проверяет только пароли, сохраненные в браузере, с известным списком скомпрометированных учетных данных и оповещает вас, если ваши учетные записи находятся под угрозой.
Пометка некоторых сохраненных паролей в списке как скомпрометированных никоим образом не означает, что пароли, хранящиеся в Microsoft Edge, были каким-либо образом предоставлены. Это просто указывает на то, что эти пароли в настоящее время находятся в общественном достоянии в результате утечки данных сторонних разработчиков и больше не являются безопасными для использования.
Пароли, хранящиеся в браузере, теперь более безопасны, так как монитор паролей предупреждает вас о небезопасных паролях, чтобы вы могли их изменить.
Почему происходит утечка паролей? Не защищает ли Microsoft Edge их?
Оповещение об утечке пароля отображается, если один или несколько паролей соответствуют тем, которые находятся в списке украденных учетных данных.
Такие списки время от времени водятся в Интернете. Они публикуются, потому что приложение или веб-сайт был взломано где-то в Интернете. Важно отметить, что эти утечки не имеют ничего общего с Microsoft Edge или любыми другими приложениями Майкрософт. Ваши пароли не были утечки из Microsoft Edge; список учетных данных пришел из другого приложения или веб-сайта.
Кроме того, момент, когда вы видите это оповещение, обычно не совпадает с моментом, когда учетные данные были впервые утечки в Сети. Фактическая утечка могла произойти в любое время, всего за несколько дней до нескольких лет назад. Несмотря на это, это по-прежнему означает, что пароли, о которых вы предупреждаете, скомпрометированы и больше не являются безопасными для использования.
Как я могу доверять вам с моими паролями, если вы продолжаете отправлять мне оповещения о том, что они просочились?
Microsoft Edge не несет ответственности за утечку ваших учетных данных в Интернете; они были скомпрометированы при нарушении другого приложения или веб-сайта. Монитор паролей в Microsoft Edge проверяет сохраненные пароли на наличие базы данных с известными утечками учетных данных и сообщает о компрометации паролей.
Все ваши пароли сканируются автоматически при первом включении этой функции. После этого любой пароль, который вы используете, сохраняете или обновляете, проверяется автоматически. Конечно, вы можете в любое время выполнить проверку всех сохраненных паролей самостоятельно, перейдя в edge://settings/passwords.
Я сделал что-то не так, что это вызвало?
Нет. Для большинства пользователей они не сделали определенного действия, которое приводило к отображению паролей при утечке в Сети. Злоумышленники крадут информацию из приложений и веб-сайтов, а не с устройства пользователя.
Могут ли пароли, созданные браузером, более подвержены утечке?
Пароли, созданные браузером, не более подвержены компрометации. Во всяком случае, тот факт, что вы выбрали в качестве пароля совершенно случайный набор символов (в отличие от, скажем, повторного использования существующего пароля), делает их относительно более безопасными, чем другие пароли, которые вы могли бы использовать.
Когда произошла утечка паролей?
Утечка пароля, о которой вас предупреждают, могла произойти в любое время — от нескольких дней до нескольких лет назад! Каждый раз, когда произошла утечка, после того как пароль становится общедоступным, его использование больше небезопасно.
Разделы справки знать, следует ли принимать меры? Добавьте контекст и поделитесь сведениями об этих утечках данных.
Все сохраненные пароли, помеченные как скомпрометированные, теперь являются общедоступными и не должны использоваться. Рассмотрите возможность изменения этих паролей, особенно если вы используете их для конфиденциальных учетных записей, таких как электронная почта или банк. Так как корпорация Майкрософт хранит только список утечки паролей, мы не можем поделиться временем и источником этих утечек. Однако эти сведения не так важны, как в нижней строке: эти пары паролей больше не являются безопасными для использования и должны быть изменены как можно скорее.
Можете ли вы поделиться журналами со мной, чтобы объяснить, как это произошло, несмотря на использование VPN и антивирусного программного обеспечения?
Ваш пароль, предоставляемый в списке в Интернете, не связан с безопасностью текущего устройства. Использование антивирусной программы или другого программного обеспечения безопасности (например, VPN) не влияет на компрометацию паролей, так как пароли воруют не непосредственно с вашего устройства или браузера, а с серверов другого приложения или веб-сайта.
Как я должен беспокоиться, что я получил сообщение о том, что 12 паролей просочились, но он не говорит, когда, поэтому я понятия не имею, какие из них и какие действия мне нужно предпринять?
Любой пароль, помеченный как небезопасный, должен быть изменен как можно скорее, особенно для веб-сайтов, которые вы используете, содержащих конфиденциальную личную информацию, которую вы хотите защитить, например ваш адрес электронной почты или банковский счет.
Я продолжаю получать сообщения об утечках, даже после удаления учетных записей или об учетных записях, которые меня не волнуют.
Частота оповещений была обновлена, а также добавлены дополнительные параметры для отключения оповещений, которые вы больше не хотите видеть, что дает вам больший контроль. Теперь вы можете отключить оповещение на веб-сайте или выбрать Игнорировать для паролей, которые больше не относятся к вам.
Что делать, если я ничего не делаю с скомпрометированные пароли?
Хакеры используют автоматизированные скрипты, чтобы попробовать различные украденные сочетания имени пользователя и пароля для захвата учетных записей людей. Если один из ваших счетов захвачен, вы можете стать жертвой мошеннических транзакций, кражи личных данных, несанкционированного перевода денег или других незаконных действий.
Если вы не обновите утечку пароля, вы подвергаетесь указанным выше рискам. Рекомендуется как можно скорее изменить скомпрометированные пароли.
Меня беспокоит автоматическое заполнение учетных данных на фишинговом веб-сайте.
Вы можете использовать функцию «основной пароль», чтобы требовать проверку подлинности перед автоматическим заполнением. Таким образом, автоматическое заполнение будет работать только при его авторизации. Дополнительные сведения см. в статье Дополнительная конфиденциальность сохраненных паролей.
Почему она включена для меня? Я не хочу использовать его.
Для некоторых пользователей эта возможность включается автоматически (см. дополнительные сведения о автоматическом включении монитора паролей). Как правило, монитор паролей — это возможность, которую должны включить все пользователи, так как она помогает предотвратить доступ злоумышленников к вашим личным данным. Тем не менее, если вы хотите отключить его, это легко сделать, перейдя к edge://settings/passwords.
Настройка кнопки отображения пароля
Тип password входных данных в Microsoft Edge включает кнопку отображения пароля . Чтобы убедиться, что пароль введен правильно, пользователь может нажать кнопку отображения пароля или нажать клавиши ALT+F8, чтобы отобразить символы в поле пароля. Вы можете удалить элемент управления «Отображение пароля» или настроить его стили.
По умолчанию кнопка отображения пароля отключена, поэтому в поле пароля точки заменяют символы, введенные пользователем. Кнопка отображения пароля отображается справа от поля пароля в виде значка в форме глаза:
Когда пользователь нажимает кнопку «Показать пароль «, чтобы включить ее, отображается текст пароля, а значок глаза изменится на косую черту:
По умолчанию кнопка отображения пароля вставляется в shadow DOM всех элементов HTML input , для которых type задано значение «password» . Начиная с Microsoft Edge версии 87, пользователи или предприятия могут отключить эту функцию глобально. Веб-дизайнеры и разработчики должны ожидать, что большинство пользователей Microsoft Edge будут работать по умолчанию.
Удаление элемента управления «Отображение пароля»
Как автор веб-страницы, вы можете полностью удалить кнопку отображения пароля , нацелив на ::-ms-reveal псевдо-элемент:
::-ms-reveal
Однако следует рассмотреть возможность использования кнопки отображения пароля . Кнопка отображения собственных паролей содержит важные меры безопасности , встроенные в поведение.
Настройка стиля элемента управления
Вместо полного удаления элемента управления можно изменить стили кнопки отображения пароля , чтобы он лучше соответствовал визуальному языку веб-сайта. Пример такого стиля приведен в следующем фрагменте кода:
::-ms-reveal
При вводе стиля кнопки отображения пароля учитывайте следующее:
- Значок глаза реализуется в качестве фонового изображения. Чтобы добавить цвет фона в кнопку отображения пароля , используйте свойство CSS background-color вместо сокращенного background свойства.
- Вы можете изменить размер и масштаб кнопки отображения пароля .
Примечание. Браузер скрывает любое переполнение за пределами элемента управления вводом пароля.
Видимость элемента управления
Кнопка отображения пароля недоступна, пока пользователь не введет текст в поле пароля . Чтобы обеспечить безопасность ввода пароля пользователя, браузер отключает кнопку в следующих сценариях:
- Если фокус сместится с поля пароля , браузер удаляет кнопку отображения пароля .
- Если скрипты изменяют поле пароля , браузер удаляет кнопку отображения пароля .
Если кнопка отображения пароля удалена, пользователь должен удалить содержимое поля пароля , чтобы кнопка отображения пароля появилась снова. Это поведение не позволяет кому-либо внести незначительные изменения для отображения пароля, если пользователь отойдет от разблокированного устройства.
Кнопка отображения пароля недоступна, если поле пароля заполняется автоматически с помощью диспетчера паролей.
Что отображается в качестве пароля enable secret
Команда enable secret используется для назначения локального пароля доступа в привилегированный режим консоли в открытом виде и хранении в зашифрованном виде пользователям всех уровней привилегий. Для снятия защиты паролем привилегированного режима используется та же команда с префиксом no .
Синтаксис enable secret < 0 | 5 >
no enable secret < 0 | 5 >
password значение пароля
0 при этом значении пароль вводится в открытом виде и зашифровывается внутри
5 при этом значении считается, что вводимый пароль является результатом функции хэширования, и сохраняется без изменения.
Значение по умолчанию Значение по умолчанию отсутствует.
Режимы команды Global configuration
Рекомендации по использованию
При значении < 0 >пароль вводится в открытом виде, а затем вычисляется функция хэширования пароля. Если посмотреть конфигурацию командой show running — config , то команда
enable secret 0
будет представлена с паролем, который является результатом функции хэширования, в виде:
При значении < 5 >считается, что введенный пароль является результатом функции хэширования пароля и в конфигурации сохраняется без изменения в том виде, в каком и был введен в команде:
enable secret 5
Команда может быть задана и в другом виде:
password значение пароля, которое не может быть равно 0 или 5, в противном случае данный синтаксис недопустим.
Если задать одну из двух команд (в данной версии Продукта они эквивалентны друг другу):
no enable password
no enable secret
это означает, что вход в привилегированный режим отключается:
· В этом случае запрещается вход в консоль непривилегированному пользователю (уровень привилегий, отличный от 15). При попытке войти в консоль, будет выдано сообщение: «Password required, but none set» (сообщение, аналогичное сообщению Cisco). После этого программа завершит работу.
· Следует соблюдать осторожность: если удалить всех привилегированных пользователей (с уровнем 15) и отключить пароль на вход в привилегированный режим, то зайти в консоль больше не удастся.
· Если при отключенном пароле на вход в привилегированный режим зайти привилегированным пользователем, затем с помощью команды disable выйти из привилегированного режима, а потом задать команду enable – будет выдано сообщение об ошибке: «% Error in authentication.» (сообщение, аналогичное сообщению Cisco). Войти в привилегированный режим в рамках данной сессии уже не удастся.
· По команде show running-config в этом случае не будут показываться команды enable password и enable secret .
Отличие данной команды от подобной команды Cisco IOS :
Формат зашифрованного пароля отличается от формата подобной команды в IOS.
Приведенный ниже пример демонстрирует команду для назначения пароля «qwerty» для хранения ее внутри в зашифрованном виде:
Router#enable secret 0 qwerty
В конфигурации эта команда будет храниться в виде:
enable secret 5 2 Fe 034 RYzgb 7 xbt 2 pYxcpA ==
Виды паролей Cisco
Для защиты устройств cisco от несанкционированного доступа используется несколько видов паролей. В курсе CCNA рассматривается настройка паролей на консоль, паролей на подключение по telnet и ssh, а так же пароль для доступа в привилегированный режим работы устройства. Пароли настраиваются одинаковым образом для маршрутизаторов и коммутаторов.
Пароль на консоль
При подключении к устройству через консольный провод необходимо ввести пароль. По умолчанию пароль на консоль отсутствует. Надо понимать, что физическая безопасность устройства наиболее важный аспект защиты, так как имея физический доступ к консольному порту, даже не зная пароля его можно сбросить. Подробнее об этом в статье «Сброс пароля на маршрутизаторе Cisco». Пароль на консоль задаётся следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line console 0 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Необходимо зайти в режим глобальной конфигурации, зайти в подрежим настройки консоли (line console 0), где 0 – это порядковый номер консоли. Обычно на всех устройствах консольный порт один и он имеет номер 0. В этом подрежиме задаётся пароль с помощью команды password, затем необходимо ввести слово login, чтобы разрешить вход под указанным паролем. После этого при подключении по консоли будет выводиться следующее приглашение:
Press RETURN to get started. User Access Verification Password:
Где требуется ввести указанный пароль. При вводе символы пароля не отображаются.
Пароль на Telnet и SSH
Доступ по протоколам telnet или ssh может быть осуществлён только после того как на устройстве настроен какой-то ip-адрес, а так же заданы пароли. В этом важное отличие от доступа по консоли. Если пароли не заданы, то по консоли можно зайти без пароля, а по Telnet или SSH зайти нельзя – будет выдано сообщение, что пока нет пароля, удалённый вход запрещён.
Задаются пароли следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line vty 0 4 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Процедура аналогична настройке пароля на консоль, только действия выполняются не в режиме конфигурирования консоли (con 0), а в режиме настройки виртуальных терминалов (vty 0 4), где цифры «0» и «4» следует трактовать как «Перейти в подрежим конфигурирования всех виртуальных терминалов с нулевого по четвёртый». Обычно для telnet-а используются именно эти 5 виртуальных терминалов. Если один терминал занят подключением, то человек подключится к следующему свободному. Этот же пароль будет работать и для доступа по SSH, если сам SSH настроен.
Пароль на привилегированный режим
Этот важный пароль используется для перехода из пользовательского режима в привилегированный. Подробнее о режимах можно прочесть в соответствующей статье. При входе на устройство, независимо от того, делаем мы это через VTY или через консоль, мы попадаем в пользовательский режим. Далее можно осуществить переход в привилегированный. Если задан пароль на привилегированный режим, то его потребуется ввести, если не задан – то всё зависит от того способа, по которому мы подключились к устройству. При подключении по консоли и отсутствующем пароле на enable, переход в привилегированный режим произойдёт без ввода пароля, если же доступ осуществляется через Telnet или SSH, то без пароля на enable, нас в этот режим не пустят если пароль не задан. По этой причине начальная настройка маршрутизатора всегда производится через консоль и должна включать в себя задание всех необходимых паролей.
Пароль на enable можно задать двумя разными командами обе из которых вводятся в режиме глобальной конфигурации:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable password MyEnablePassword Router(config)#exit Router#
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable secret SecretPassword Router(config)#exit Router#
Обе команды вводить не надо. Либо enable password, либо enable secret. Разница между ними заключается в том, что вторая команда сохраняет пароль в зашифрованном виде и его нельзя восстановить глядя на файл конфигурации. Если же применять enable password, то пароль храниться в конфиге в открытом виде. Таким образом, лучше всегда использовать enable secret, а enable password – скорее сохранена с целью обратной совместимости между версиями IOS. Если вы вдруг примените обе команды одновременно, то будет работать тот пароль, который задан с помощью enable secret.
Чтобы было понятно, о чём идёт речь, давайте просмотрим конфигурацию устройства с помощью команды show running-config:
Router#show running-config Building configuration. Current configuration : 592 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password MyEnablePassword …
Как видно из вывода, пароль, заданный enable password виден открытым текстом, а с помощью enable secret – не виден.
Служба шифрования паролей
В любом случае, пароли, заданный для доступа по telnet или через консоль видны открытым текстом, ниже приведён кусок вывода команды show running-config:
Router#show running-config … line vty 0 4 password MyPassword login …
Для того, чтобы скрыть и эти пароли надо включить службу шифрования паролей:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#service password-encryption Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#show running-config Building configuration. … enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password 7 080C556B0718071B173B0D17393C2B3A37 … line vty 0 4 password 7 080C557E080A16001D1908 login …
Как видно, после применения команды service password-encryption, все пароли в конфигурационном файле, включая enable password, пароль на консоль и пароль на telnet, начинают храниться в зашифрованном виде. Эту команду рекомендуется всегда включать в базовую настройку устройств cisco.