Менеджеры паролей (сравнительный обзор). TREZOR: менеджер паролей, который невозможно взломать
Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например и ), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:
- закрытый код снижает доверие и вероятность оперативного устранения уязвимостей
- для автозаполнения нужно ставить дополнительный софт
- после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах
- использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК
- автозаполнение невозможно в некоторых случаях (в bios, консоли)
Для начала мы, конечно же, прочитали весь интернет, чтобы понять, кому еще приходила в голову идея хранить и вводить пароли аппаратно, и как она была реализована. Найденные варианты можно условно разделить на следующие категории:
- шифрованные накопители, по сути - просто флешки с паролем (например, такая). Можно безопасно хранить документы, но об автоматическом вводе паролей речь не идет
- устройства с биометрической идентификацией (пример). Биометрическая идентификация выглядит привлекательно, однако она менее универсальна, чем символьный пароль (например, если надо удаленно предоставить кому-то доступ к устройству, передача отпечатка пальца станет настоящей проблемой), к тому же дополнительные датчики увеличивают стоимость изделия. В случае компроментации сложно быстро сменить отпечатки
- программные менеджеры паролей с аппаратным ключом-токеном, который дает доступ в базу (например) обладают теми же недостатками, что и программные менеджеры без ключа-токена
- устройства для ввода 1-4 паролей и их генерации (пример , ). Наиболее близкие решения. Из недостатков следует отметить ограниченное количество хранимых паролей а также управление исключительно кнопками на устройстве, что далеко не всегда удобно.
Идея
Не так давно для корпоративных задач хранения паролей вместо бумажек, браузеров и биологической памяти мы стали использовать KeePass . Вполне довольные удобством и универсальностью этого продукта, мы решили приспособить его для задач аппаратного хранения паролей, портировав на микроконтроллер.Однако, осталось огромное количество вопросов. Каким образом выбирать нужную запись в базе на устройстве? Как показать пользователю, какая запись выбрана? Стоит ли размещать на корпусе устройства кнопки? Экран? Как вообще оно должно подключаться к компьютеру? К планшету? К телефону?
От экрана отказались сразу. Если уж у пользователя возникла необходимость вводить пароль - скорее всего, экран у него уже есть. Что касается способов подключения, то мы решили не рассматривать беспроводные интерфейсы, ввиду потенциальной их уязвимости для перехвата.
Для управления мы будем использовать стандартную клавиатуру, а для непосредственного ввода сохраненных паролей в формы - эмулировать клавиатурные команды. “Перехват” управления будет происходить при вводе специальной комбинации клавиш. По умолчанию мы выбрали сочетание Ctrl + Shift + ~ , потому что оно удобно для нажатия и практически нигде не используется. Проект получил название “Pastilda” (от password, tilda), у нас оно ассоциируется с чем-то вкусным и сладким, а также помогает не забыть главное сочетание клавиш для работы с устройством.
Находясь в пассивном режиме Пастильда транслирует все сообщения от клавиатуры к ПК без изменений, ожидая нажатия специальной комбинации. После ввода комбинации устройство входит в активный режим. Если в этот момент курсор находится в поле для ввода текста - это может быть поле “Логин”, или любое другое текстовое поле - в нем появляется одно-строчное текстовое меню.
Для работы с базой KeePass, хранящейся в памяти Пастильды, пользователь вводит мастер-пароль, а затем при помощи навигационных клавиш выбирает название интересующего его аккаунта и нажимает ввод. Пастильда вводит нужные логин и пароль в соответствующие поля. При этом расшифровка базы происходит на устройстве, и целевая система не получает доступа к мастер-паролю и ко всей базе. Выход из активного режима происходит либо автоматически, после ввода пароля, либо после повторного нажатия комбинации “Shift + Ctrl + ~”. Да, кстати, комбинации можно придумать свои.
Реализация 0.1
Как всегда много чего хочется реализовать, а начать решили с малого. Ревизия 0.1 предназначена для проверки идей, удобства использования и всяческого баловства. В текущей версии запланирован следующий минимум функций:- составное USB устройство (HID+Mass Storage)
- USB host
- работа с одной базой KeePass
- однострочное меню
- FAT16.
Схема
Тут всё просто - контроллер Stm32f405, два разъема и флешка на SPI. Так же немного защиты, разъем SWD и, конечно же, RGB светодиод. Выбор компонентов не вызвал затруднений - STM мы просто любим, похоже, единственный, кто реализовал два аппаратных USB в микроконтроллере, а память взяли какая была.
Плата
Все компоненты в обычных корпусах, чтобы плата была дешевая и быстрая в производстве. Размер 40х17 мм, 4 слоя. Текущая версия платы выглядит вот так:
Софт
На данный момент реализовано:- USB host, для того чтобы распознавать подключенную к устройству клавиатуру и прокидывать сообщения от нее дальше в ПК
- составное USB устройство (msd + hid): в режиме Pastilda устройство должно уметь быть клавиатурой, кроме того, быть всегда доступным как внешний диск, для удобного добавления и удаления паролей (Попутно @anaLazareva решила проблему с usb_msc libopencm3.
- FAT для чтения данных, записанных во флеш память, чтобы мы могли ходить по директориям и брать нужный пароль
- KeePass расшифровка, работа с записями
- меню.
Что дальше?
Дальше - больше. Хочется реализовать работу с любыми устройствами, понимающими внешнюю клавиатуру. Мы уже протестировали работу нашего прототипа с Android-смартфоном через USB OTG, всё работает прекрасно. Для удобства навигации по меню при использовании Пастильды с мобильными устройствами сделаем отдельный USB-модуль с колесом-кнопкой.
Ещё одна идея - маленькая гибко-жесткая печатная плата, которая заправляется прямо в разъем USB, оказываясь между контактами host и device. Жесткий кусочек платы с компонентами наклеивается на корпус штекера device. Таким образом устройство будет довольно сложно обнаружить. Впрочем, зачем бы нам это? Просто идея.
Встроенную память Пастильды можно использовать для хранения данных (если скорость не особо важна), и тут возможны варианты: просто USB накопитель, который виден всегда, когда устройство подключено, либо шифрованный накопитель. Базы KeePass, файлы ключей и т.п. предполагается хранить на этом пространстве.
Open all
Код выложен на github , вместе с железом. Лицензия GNU GPL. Естественно, можно пилить что-то свое на основе этого проекта, нам в голову пришли такие идеи:- эмуляция kbd+mouse для гейм-читинга
- потоковое аппаратное шифрование USB-флеш.
Главная цель этой статьи - услышать ваше мнение, не стесняйтесь в комментариях!
UPD 27.06.2017:
- Репозиторий проекта Пастильда переехал сюда . Недавно был опубликован релиз 1.0.
Менеджер паролей – это естественное решение проблем, связанных с использованием паролей для различных сервисов и приложений. Хороший менеджер паролей плавно интегрируется с веб-браузером, облегчая создание новых учетных записей в веб-приложениях, вход на веб-страницах, а также покупки в интернете . Какое приложение выбрать ?
На протяжении многих лет заметно изменилась функция программ для сбора и хранения паролей на компьютере. Классические менеджеры паролей были заменены инструментами, которые синхронизируют информацию об учетных данных между всеми устройствами пользователя. Эти программы постоянно развиваются, а новые функции могут значительно повысить комфорт при использовании.
Хранение конфиденциальных данных в облаке по-прежнему вызывает в пользователях ряд опасений, касающихся безопасности. Разработчики менеджеров паролей пытаются нас убедить, что базы данных шифруется и расшифровываются только на уровне устройства, а пароль и ключи шифрования никогда не передаются на серверы. Шифрование данных осуществляется по алгоритму AES-256 , который сегодня считается самым безопасным. В результате ни один поставщик, компания или агентство правительства США не имеют доступа к данным, а также не будут его иметь в будущем. По крайней мере, в теории. С другой стороны, если сам забудешь главный пароль, сохраненные данные будут безвозвратно потеряны.
В некоторых программах доступ в хранилище паролей может быть защищен путём дополнительной аутентификации. В ходе регистрации учетной записи, пользователь вводит стандартные имя и пароль, а также представляет дополнительное свидетельство личности. Это так называемая двухфакторная аутентификация .
Эксперты сходятся во мнении, что хорошая защита состоит из двух частей: того, что Вы знаете сами, то есть пароль, и того, что можно проверить через приложения в смартфоне.
Популярные программы также поддерживают механизмы биометрии в области доступа к приложениям. Неплохо работает поддержка считывателей отпечатков пальцев в Android-устройствах, нередко поддерживаются также функции Touch ID и Face ID в устройствах Apple.
Подавляющее большинство менеджеров паролей – это коммерческие проекты. Некоторые, правда, могут быть использованы бесплатно, но главным ограничением таких версий программы является поддержка только одного устройства пользователя. Другими словами, без оформления платной подписки, вы не сможете синхронизировать свои пароли на других устройствах.
Несмотря на это, если количество сервисов и онлайн услуг, которыми Вы пользуетесь исчисляется десятками, использование менеджера паролей полностью себя оправдывает.
Какой менеджер паролей выбрать
1Password
1Password позволяет создать учетную запись и хранить данные на серверах, расположенных в Канаде или на территории Европейского Союза. Программа хранит данные для входа в систему, номера кредитных карт и данные банковского счета. Также интегрируется с популярными приложениями для iOS, что позволяет получить удобный доступ к программам и веб-сайтам.
Приложение не поддерживает механизма двухфакторной аутентификации в его классическом понимании, но реализует эту идею немного другим способом. Программа создает безопасный ключ (Secret Key) , который играет важную роль в шифровании данных на устройстве. Этот ключ используется в сочетании с основным паролем для защиты базы данных пользователя. С технической стороны это уникальный 128-битный идентификатор, генерируемый локально, который никогда не покидает устройства пользователя.
1Password оснащен ещё одной интересной функцией – Travel Mode. Каждый раз, когда Вы пересекаете границы государств, все важные данные из хранилища будут удалены, кроме тех, что явно обозначены как safe for travel .
1Password является первым менеджером, который использует новый стандарт, обеспечивающий прямой доступ к системному генератору случайных чисел. Этот генератор используется в операциях шифрования. Кроме повышенной безопасности, в 10 раз ускоряется процесс шифрования.
Dashlane
Dashlane систематизирует пароли для веб-сайтов, заметки и данные на отдельных вкладках. Сохраненные объекты могут быть отнесены к категории, а встроенная поисковая система позволяет легко их находить.
Встроенный в программу модуль Secure Digital Wallet собирает информацию о дебетовых и кредитных картах, учетные данные для входа в систему банков, пароль к PayPal и другим финансовым сервисам. В процессе оплаты покупки Dashlane автоматически заполняет поля, необходимые для завершения сделки.
Dashlane позволяет выбрать один из двух уровней безопасности. Дополнительное подтверждение личности может потребоваться каждый раз, когда вы входите в сервис. Более ленивые выберут второй вариант, то есть двухфакторную аутентификацию только в момент добавления учетной записи на новом устройстве.
Dashlane поддерживает FIDO U2F YubiKey – аппаратный ключ в виде USB-ключа, который в момент подтверждения личности просто достаточно вставить в соответствующий порт компьютера. К сожалению, эта поддержка доступна только в платной версии приложения.
Уникальной функцией программы является Password Changer , которая одним нажатием кнопки позволяет изменить от одного до тысячи паролей к популярным приложениям и веб-страниц. Password Changer автоматически заменяет старые пароли новыми, гораздо более сильными, и запоминает их в базе данных. Функция работает с тысячами страниц, хотя в списке поддерживаемых сервисов преобладают представители из Соединенных Штатов. Среди популярных также в России мы нашли Netfliks, Spotify, Evernote, Vimeo, Runkeeper, а также сервис по планированию путешествий Kayak.com.
Дополнительная функция Instant Security Alerts автоматически уведомит вас о необходимости смены пароля на указанном сервисе. Так как мы постоянно слышим о взломах популярных веб-сайтов и краже миллионов паролей к аккаунтам пользователей, функция Instant Security Alerts поможет вам поддерживать высокий уровень защиты.
Dashlane имеет встроенный тест безопасности, который шаг за шагом анализирует ваши пароли и подскажет, что следует изменить, чтобы иметь возможность чувствовать себя безопасно.
KeePass
KeePass Password Safe для Windows – это один из последних менеджеров «старой школы», записи паролей хранятся в локальной базе данных. Этот тезис подтверждает аскетичный интерфейс. В KeePass пользователь просто создает базу данных со своей структурой и заполняет её данными для входа.
Благодаря этому, программа отлично подходит для хранения паролей от компьютеров, сетевых служб, учетных записей электронной почты и FTP-серверов. В базе будут сохранены также номера кредитных карт, PIN-код к входной двери или короткие заметки, которые должны оставаться конфиденциальными. KeePass по-разному справляется с запоминанием учетных данных веб-сайтов и веб-приложений. Эти функции реализуются в виде плагинов для популярных браузеров. Родная интеграция не всегда работает, как должно.
В одном KeePass имеет огромное преимущество над конкурентами. Программа разработана на основе лицензии с открытым исходным кодом, имеет большой круг преданных пользователей, и каждый может проверить, что используемый алгоритм шифрования был написан правильно и не содержит уязвимостей безопасности.
В KeePass авторы реализовали два алгоритма шифрования для базы данных: AES/Rijndalel и ChaCha20, оба с 256-битной длиной ключа, а также функцию преобразования ключа AES-KDF и Argon2. Доступ к базе данных может быть защищен паролем, ключом шифрования, учетной записью Windows или каждым из этих методов, одновременно.
Самый важный конкурент – Password Safe – кажется бедным родственником на фоне KeePass , но имеет одну важную функцию. Программа изначально поддерживает аппаратные токены YubiKey, хотя упомянутый в статье FIDO U2F не поддерживается.
LastPass
LastPass работает со всеми основными браузерами: Chrome, Firefox, Opera, Internet Explorer, Edge и Maxthon. Программа устанавливается как плагин и отображается в браузере в виде иконки на панели инструментов. Управление учетными данными происходит в облаке через специальную веб-страницу. Доступно также приложение для мобильных устройств Android, Apple и Windows Phone.
LastPass серьезно подходит к вопросу входа в систему с помощью двухфакторной аутентификации. Вторым компонентом авторизации здесь может быть код из приложения на мобильном устройстве, код программы LastPass Grid и LastPass Sesame, а также отпечаток пальца пользователя, сертификат на криптографическом устройстве или одноразовый пароль, сгенерированный на аппаратных токенах YubiKey или RSA SecureID. В числе поддерживаемых приложений для 2FA вошли Google Authenticator, Duo Security и Authy.
Программа сохраняет учетные данные, вводимые на веб-страницах, может перехватывать учетные данные, сообщения электронной почты, а также импортировать данные из других менеджеров паролей.
LastPass хорошо подходит для семейного использования. План на шесть человек стоит 4 доллара в месяц, и при этом позволяет в полной мере использовать функцию совместного доступа к паролям и аварийного восстановления.
В LastPass вы можете дать надежному другу или члену своей семьи доступ в хранилище. Вы сами решаете, кто может иметь доступ к сохраненным паролей и как долго. Аналогичные возможности предлагают все конкуренты программы.
RoboForm
RoboForm предоставляет свое программное обеспечение в версии Free (бесплатная) и Everywhere (от 19,95 долларов в год). Между бесплатной и платной версией очень много различий.
Первая предлагает основные возможности программы для одного устройства: зашифрованную базу данных, механизм запоминания учетных данных для приложений и веб-сайтов, а также модуль автоматического заполнения веб-форм.
Средства синхронизации данных между устройствами, совместное использование паролей между членами семьи и друзьями или резервное копирование в облако с доступом к паролям в браузере доступны только в платной версии Everywhere .
RoboForm имеет удобную систему организации сохраненных учетных данных вместе с функциональной поисковой системой , которая помогает находить их, когда они необходимы. Поддержка программы осуществляется с помощью браузера, но при запуске модуля Центр защиты вы получите доступ к классическому окну Windows, с уровня которого можно управлять своими логинами, закладками, учетными данными в приложение, удостоверениями, а также секретными заметками.
По сравнению с конкурентами, RoboForm предлагает десятки вариантов меню и настроек. Правда, они «хорошо спрятаны», так что не нужно их использовать, однако, если вы хотите настроить программу для удовлетворения ваших потребностей, здесь есть такая возможность. RoboForm также доступен для пользователей Linux и устройств с Chrome OS.
Наиболее популярные ответы. ЦП публикует подборку самых надежных и удобных сервисов.
Как отмечает издание Lifehacker.com, раньше менеджеры паролей умели лишь хранить информацию в зашифрованном виде. Сегодня подобные программы предоставляют возможность хранить данные как на компьютере, так и удаленно, менять пароль одним щелчком мыши и заходить с его помощью на сайты.
Лучшие программы данного типа можно запустить и на компьютере без подключения к интернету, и синхронизировать со множеством устройств по сети, пишет Lifehacker.com.
Некоторые из менеджеров авторизуют пользователя на сайтах, другие ведут учет паролей и проверяют, не используется ли одна и та же комбинация в нескольких случаях. Все они обладают своими особенностями и по-своему подходят к вопросу безопасного хранения данных.
LastPass
Издание Lifehacker.com отмечает, что LastPass стал одним из первых менеджеров паролей, которыми было удобно пользоваться для хранения паролей как онлайн, так и локально.
LastPass запоминает пароли пользователя и позволяет заниматься их менеджментом , а также автоматически меняет их, если сервис, для которого они предназначались, был взломан или иным способом скомпрометирован. LastPass поддерживает двухфакторную аутентификацию для хранилища паролей с помощью Google Authenticator, USB-устройства или YubiKey .
В 2014 году в сервисе обновился пользовательский интерфейс, благодаря чему им стало намного удобнее пользоваться, и добавился ряд дополнительных функций, таких как мониторинг изменений кредитной истории, генерация безопасного пароля и хранение и обмен документов, уведомления при взломе одного из используемых сайтов, инструменты для автозаполнения форм и онлайн-покупок.
LastPass поддерживает Windows, OS X, Linux, Android, iOS, Windows Phone и Blackberry, а также плагины для браузеров Chrome, Firefox, Safari, Opera и Internet Explorer. Базовая версия сервиса бесплатна, а премиум-менеджер с максимумом функций и поддержкой мобильных платформ доступен за $12 в год.
Как отмечает издание Lifehacker.com, многие пользователи заявили, что LastPass сделал их жизнь в сети намного проще. Благодаря сервису нет необходимости использовать один и тот же пароль на каждом сайте, не приходится ошибаться в наборе или случайно отправлять комбинации кому-либо. Менеджер позволяет заблокировать важные данные тогда, когда вам кажется, что вас взломали, и мотивирует лучше заботиться о безопасности.
Dashlane
Dashlane был запущен в 2012 году и быстро обрел популярность за счет внимания к интерфейсу, безопасности, простоты авторизации, автоматического заполнения форм на веб-страницах и работы с интернет-магазинами.
За время существования менеджера, он пережил несколько обновлений, обзавелся поддержкой двухфакторной аутенфикации, возможностью делиться паролями в случае, если пользователь потерял доступ к своим аккаунтам и, главное, функцией, благодаря которой можно сменить несколько паролей к десятку сайтов всего несколькими кликами. Также Dashlane оповещает пользователя, если один из используемых им ресурсов был взломан, и может самостоятельно устанавливать новые уникальные пароли.
Трекинг покупки и работа с виртуальным кошельком упрощает работу с онлайн-ритейлерами и позволяет отслеживать все заказы внутри сервиса. Кроме того, Dashlane предусматривает возможность локального хранения паролей в зашифрованном виде, а также позволяет синхронизировать их с другими устройствами через облачное хранилище.
Dashlane работает на Windows, OS X, Android и iOS и имеет плагины для Chrome, Firefox, Safari и Internet Explorer. Платная версия менеджера позволяет настроить синхронизацию различных устройств. Её стоимость составляет $40 в год.
KeePass
Как пишет издание Lifehacker.com, KeePass подойдет всем поклонникам бесплатного софта с открытым программным кодом. В этой программе все пароли пользователя хранятся в зашифрованной базе данных в их системе и никогда не покидают ее пределов.
У KeePass есть приложение, с помощью которого можно перенести информацию на несколько компьютеров, даже если используемый компьютер заблокирован, и у пользователя осталась только флеш-карта.
К базе данных можно настроить доступ нескольких пользователей, а также экспортировать ее в текстовом виде.
В менеджер встроен генератор паролей, способный проверять уникальность и безопасность каждой из используемых комбинаций.
Как отмечает Lifehacker.com, для KeePass существует огромное количество дополнительных плагинов и инструментов, расширяющих его функциональность и позволяющих использовать новые платформы.
Автозаполнение KeePass работает практически на всех системах и браузерах, благодаря чему менеджер может авторизоваться на сайтах, на которые не могут попасть его аналоги. Также он позволяет использовать автозаполнение в приложениях, диалоговых окнах и других формах, где ранее приходилось набирать все вручную или с помощью копирования.
В 2010 году пользователи Lifehacker.com выбрали KeePass в качестве лучшего менеджера паролей, прежде всего, за открытый программный код и подход к безопасности.
Официально KeePass поддерживает Windows, OS X и Linux, но благодаря сторонним разработчикам, им можно пользоваться также на iOS, Android и Windows Phone.
1Password
1Password обладает приятным интерфейсом, встроенными безопасными заметками, виртуальным кошельком с платежной информацией и надежным генератором паролей, позволяющим формировать комбинации по указанным запросам, а не просто принимать случайный вариант, который выдает алгоритм.
1Password можно использовать как на устройстве без доступа к сети, так и синхронизировать хранилище паролей через Dropbox, iCloud, Wi-Fi или сетевые папки.
Также можно настроить доступ других пользователей в хранилище или указать контакты на экстренный случай.
1Password поддерживает Windows, OS X, Android и iOS, а также плагины для Chrome, Firefox, Opera и Safari. Премиум-версия 1Password для одной из систем стоит $50 (пакет лицензий для Mac и Windows — $70). Мобильные приложения и расширения для браузеров доступны только для обладателей лицензии.
Пользователи, выбравшие 1Password, отмечали его интерфейс и простоту использования: с менеджером просто приятно взаимодействовать. Кроме того, пишет Lifehacker.com, 1Password работает практически в любом браузере, системе и диалоговых окнах.
Также пользователи отметили функцию «watchtower», оповещающую о серьезных нарушениях в сети, и поддержку TouchID на iOS. Были упомянуты и минусы менеджера, в том числе, невозможность редактирования базы данных на мобильных устройствах.
RoboForm
Разработка RoboForm началась в 1999 году, и с тех самых пор у него остались преданные поклонники, пишет Lifehacker.com. RoboForm можно использовать и как инструмент автозаполнения форм в интернете, и как менеджер паролей. Зашифрованные данные хранятся как локально на устройстве пользователя, так и синхронизируются по сети. RoboForm можно носить с собой на флеш-карте, чтобы пользоваться им на любых компьютерах, не боясь потерять пароли.
В менеджере можно использовать несколько профилей, в каждом из которых будет указана индивидуальная информация о пользователях, паролях и любой другой информации, необходимой для частого применения.
3 июня компания SatoshiLabs анонсировала менеджер паролей TREZOR — приложение для безопасного хранения паролей и управления ими. Оно реализовано как расширение для браузера Chrome и уже доступно всем владельцам аппаратных в рамках программы открытого бета-тестирования.
Менеджер паролей TREZOR способен обеспечить надежную криптографическую защиту независимо от уровня пользователя. Одним нажатием кнопки вы можете зашифровать свой пароль, а менеджер паролей автоматически загрузит его в ваше частное облачное хранилище, откуда вы всегда сможете скачать его в случае надобности. Отсутствие мастер-пароля в TREZOR решает главную проблему безопасности типичных менеджеров паролей — возможность доступа ко всей базе данных с помощью скомпрометированного мастер-пароля. Примеры таких атак, в том числе на хранилища RoboForm и LastPass , много раз описывались в СМИ.
Двухфакторная аутентификация с помощью приложения или по электронной почте обеспечивает дополнительную защиту, но использовать ее неудобно. Биометрическая аутентификация сама по себе может быть опасной: например, получив отпечаток пальца жертвы, злоумышленник может использовать его снова и снова, и изменить его никак не получится. Поэтому кошелек TREZOR сам выполняет функции второго фактора аутентификации, разблокируя пароли без сторонних приложений, мобильного телефона и электронной почты. Вместо того чтобы вводить мастер-пароль для разблокирования всей БД с паролями, пользователю достаточно «разблокировать» кошелек с помощью ПИН-кода, защищенного от клавиатурных шпионов. Кроме того, ПИН-код предотвращает несанкционированный доступ к самому устройству.
Безопасный доступ к облаку
Даже если ваша учетная запись Dropbox будет взломана, злоумышленнику почти наверняка не удастся прочитать сохраненные пароли. TREZOR обеспечивает дополнительный уровень безопасности, шифруя каждый пароль по отдельности с помощью уникального ключа, генерируемого самим устройством. Менеджер паролей TREZOR — это пример того, каким должен быть подход к технологиям защиты облачных хранилищ для индивидуальных пользователей.
Постоянный доступ к паролям
Менеджер паролей TREZOR автоматически синхронизирует каждый пароль с частным хранилищем Dropbox пользователя, благодаря чему получить доступ к паролям можно в любой момент с любого компьютера, подключенного к Интернету. Со временем мы реализуем поддержку и других облачных хранилищ.
Простой механизм восстановления
В TREZOR реализован легкий и безопасный способ создания резервных копий. Во время первоначальной настройки кошелек просит пользователя записать и сохранить в надежном месте фразу из 24 слов. Лист бумаги в сейфе — это все, что нужно для восстановления всех ключей на новом устройстве. В связи с этим хотелось бы напомнить, что TREZOR — это не только устройство для шифрования конфиденциальных данных, но еще и токен для безопасного входа в компьютерные системы с визуальной и физической верификацией.
Запланированные улучшения
После тестирования бета-версии в менеджер будет добавлена функция импорта/экспорта. Возможно, мы также предоставим пользователям приложение для Android — это будет зависеть от их отзывов..
О компании SatoshiLabs
Чешская компания SatoshiLabs — производитель кошельков TREZOR и разработчик ряда других передовых биткойн-проектов, таких как Coinmap и Slush Pool , первый в мире пул для майнинга биткойнов.
С тем, что количество паролей, которые надо запомнить, точно больше, чем места для них в голове, столкнулись, наверное, все активные пользователи Сети. И одно дело — пароли от сервисов и сайтов, которые вы используете каждый день, — эти как-то сами откладываются. А другое — от какого-нибудь форума, на который вы попадаете раз в пару месяцев, а то и реже. Это же вообще нереально держать в памяти!
Что делать? Можно, конечно, назначать везде один пароль — но это грозит большими проблемами с безопасностью: кто-то получил в свои руки базу какого-нибудь сервиса, где вы зарегистрированы, — и можно прощаться со всей цифровой жизнью: уведут все, начиная с почты и заканчивая учетной записью в Steam.
Хорошо, этот вариант отметаем. Тогда аккуратно записывать все пароли в текстовом редакторе и хранить в одном файле, но тут та же проблема: а если файл потеряется? Ну и его надо либо хранить в облачном сервисе, чтобы все пароли были под рукой, либо вручную синхронизировать. А ещё этот файл также случайно может попасть в руки не очень порядочным людям — а дальше вы знаете. В общем, это тоже небезопасно.
Так что же, все заучивать и помнить безумное количество паролей наизусть? Тоже не получится! Обычно пользователь запоминает только те пароли, которыми пользуется постоянно. Остальные быстро выпадают из памяти, особенно если они достаточно безопасные — со сменой регистров, цифрами и символами. В общем, для того, чтобы облегчить жизнь пользователю, существует специальный тип программ — менеджеры паролей. Основная задача такого приложения — собрать, зашифровать и надёжно хранить информацию обо всех ваших учётных записях, сделав её недоступной для злоумышленников и доступной для вас. В рамках этой статьи мы рассмотрим пять наиболее известных менеджеров паролей, которые существенно облегчают жизнь миллионам пользователей во всём мире.
⇡ LastPass
Одним из наиболее известных менеджеров паролей считается LastPass — детище американской компании LastPass Corporate. Среди удобств программы обычно отмечают её простой интерфейс, мультиплатформенность, надёжное шифрование паролей, которое происходит на вашем устройстве, и только потом данные уже в зашифрованном виде передаются на серверы компании.
Приложение работает как на Windows, так и на Linux, Mac, а также на мобильных устройствах и планшетах под iOS и Android, на смартфонах под управлением Windows Phone, BlackBerry и даже FireFox Mobile. Кроме «домашней» версии, существует и корпоративная, имеющая функцию интеграции с локальным контроллером домена и настройки политик доступа. Также она хранит данные обо всех учётных записях сотрудников в корпоративных интернет-службах. Например, с помощью LastPass возможно настроить доступ работников организации к Office 365, Google Apps for Work и прочим бизнес-сервисам в Интернете, которые использует компания.
Для начала работы с LastPass необходимо загрузить специальную программу и зарегистрироваться в системе. Скачав инсталляционный файл, запустите его, после чего откроется окно установки. Выберите опцию «Дополнительные параметры», чтобы установить настройки программы — в частности, можно задать каталог размещения приложения, указать, для каких браузеров будут установлены расширения LastPass, а также задать дополнительные параметры конфиденциальности.
После установки приложение предлагает войти в существующую учётную запись или создать новую. При регистрации в сервисе необходимо указать свой действующий адрес электронной почты и задать мастер-пароль. Согласно заявлениям разработчиков, мастер-пароль нужно очень хорошо запомнить и вводить очень внимательно . Если вы его забудете, то в лучшем случае получите фразу-напоминание. Сам пароль администрации администрация сервиса прочитать не может, о чём нас и предупреждают. Требования к мастер-паролю следующие: минимум восемь символов, также рекомендуется использовать сочетание больших и маленьких букв и цифр.
После регистрации программа найдёт пароли в хранилищах браузеров и предложит их импортировать. Просмотрите список и нажмите кнопку «Импорт», если хотите импортировать данные учётных записей. Опционально от этого можно отказаться, нажав кнопку «Нет, спасибо». Следует отметить, что при импорте пароли удаляются из хранилища браузера, и теперь авторизация в сервисах будет проходить через службы LastPass.
Теперь запускаем браузер, которым вы обычно пользуетесь, и устанавливаем дополнение. Затем проходим авторизацию — для этого щёлкните мышью на значке программы, а в открывшемся окне введите адрес электронной почты, на который вы зарегистрировались, и тот самый мастер-пароль — единственный пароль, который вам теперь потребуется помнить.
В разделе «Хранилище» находятся все данные о ваших учётных записях, для удобства рассортированные по папкам-категориям. При щелчке по папке откроется список паролей, содержащихся в ней. Каждый пароль можно посмотреть, выбрав соответствующую опцию рядом.
В окне изменения данных об учётной записи можно сменить пароль, папку размещения учётной записи, добавить заметки, а также настроить дополнительные параметры — например, можно включить автоматический вход при авторизации на сайте.
Ещё одна интересная возможность приложения, на которую хотелось бы обратить внимание, кроется в разделе «Профили заполнения форм».
Профиль: вводим личную информацию
Здесь вы можете создать и заполнить профиль пользователя, указав информацию о себе — фамилию, имя, отчество, домашний адрес, номер мобильного телефона, сведения о кредитной карте и многое другое. Теперь при регистрации на сайтах вам не нужно будет вводить все это по многу раз: достаточно лишь выбрать соответствующий профиль — и все данные заполнятся автоматически.
Автоматическое заполнение при регистрации на mail.ru
При создании пароля можно воспользоваться генератором, который предложит сложную для взлома и подбора комбинацию букв, чисел и символов — что-то типа sZoxpYi1DZY9, как показано на рисунке ниже. С помощью настроек можно установить длину пароля и то, какие символы вы хотите в нём использовать.
В премиум-версии, как упоминалось выше, есть поддержка синхронизации паролей с мобильными устройствами. После установки приложения необходимо войти в LastPass под вашим аккаунтом, после чего на ваше мобильное устройство загрузится информация обо всех ваших учётных записях, сохранённых в системе.
Также имеется возможность просмотреть информацию о каждой учётной записи, отредактировать её или перейти на сайт, для которого этот аккаунт создан, и авторизоваться.
В целом LastPass производит очень хорошее впечатление — это удобная и функциональная программа, которая имеет множество полезных возможностей. К небольшим минусам разве что можно отнести отсутствие в бесплатной версии возможности синхронизации учётных записей с планшетами и мобильными устройствами — но надо же разработчику как-то монетизировать свой сервис.
⇡ Sticky Password
Следующая программа, о которой хотелось бы рассказать, — Sticky Password от чешской компании Lamantine Software. Приложение доступно на нескольких платформах и также умеет синхронизировать ваши аккаунты с разных устройств. Согласно заявлениям разработчиков, Sticky Password умеет хранить все ваши пароли в зашифрованном хранилище, а также автоматически заполнять формы и номера кредитных карт для быстрого использования. Защищается ваша информация традиционным мастер-паролем, который и нужно запомнить. Как и в случае с LastPass, создатели системы сообщают, что не знают наш мастер-пароль, поэтому его нужно хорошенько заучить и не забывать. Из более интересных фич в программе имеется поддержка шифрования стандарта AES-256, биометрическая аутентификация и возможность синхронизации паролей ваших устройств через Wi-Fi. Также авторы обещают корректную работу приложения в четырёх наиболее популярных операционных системах и шестнадцати браузерах, включая Google Chrome, Mozilla Firefox, Safari и Internet Explorer.
Sticky Password распространяется по подписке. При первой установке программы вам предложат создать учётную запись, после чего вы получите 30 пробных дней премиума. Через месяц учётная запись Sticky Password автоматически становится бесплатной. Традиционно премиум-пользователи имеют ряд преимуществ перед обычными. Например, только платным пользователям доступна возможность синхронизации (как через Wi-Fi, так и через облачные службы компании), а также сохранение резервных копий хранилища паролей в облаке. Это удобно, если, например, вы переустанавливали операционную систему или приобрели новое устройство — все равно сможете быстро восстановить все пароли в системе. Цена премиум-аккаунта на одного пользователя составляет 1 190 рублей за один год, за бессрочную премиум-лицензию придется раскошелиться на 5 990 рублей
Установка Sticky Password не отличается особой сложностью — нужно лишь загрузить программу с официального сайта и традиционно запустить файл установки. После инсталляции приложение необходимо настроить.
На следующем шаге вам предложат войти в учётную запись или создать новую, для которой потребуются адрес электронной почты и мастер-пароль. В общем, здесь тоже всё стандартно.
В следующем окне подтверждаем мастер-пароль и ставим галочку, что этот самый мастер-пароль нигде не сохранён и его знает только пользователь. Далее программа предложит произвести синхронизацию данных через облачные службы Sticky Password. Если у вас несколько устройств, выбираем вариант с синхронизацией.
Затем нужно выбрать браузеры, в которых вы хотите использовать Sticky Password, после этого программа готова к работе.
После получения паролей из хранилища браузера программа напомнит о 30 днях бесплатной премиум-подписки, ну а затем, нажав кнопку «Старт», вы сможете прочесть небольшую инструкцию по работе с программой и запустить наконец рабочее окно приложения.
В разделе «Учётные записи Интернета» располагается список аккаунтов пользователя, обнаруженных на компьютере. Каждую запись можно редактировать или удалить, также можно добавить новую. Записи предлагается группировать по папкам. Само собой, можно создавать новые папки и копировать в них данные учётных записей.
Раздел «Учётные записи Интернета»
Еще одной примечательной особенностью программы является возможность сохранять пароли не только для сайтов, но и для приложений. Возможно выбрать программу и задать имя пользователя и пароль для входа в неё. Если программа не видна в Sticky Password, необходимо выбрать её через меню обзора.
Как и в LastPass, в приложении имеется возможность добавления персональных данных для заполнения форм — эту часть надо искать в разделе «Визитки». Нажмите кнопку «Добавить визитку» — и в открывшемся окне нужно будет заполнить информацию о себе. В дальнейшем её можно использовать для заполнения профилей при регистрации на различных ресурсах.
Раздел «Визитки»
Добавляем информацию о себе
В браузерах с установленным Sticky Password появляется расширение — с помощью его возможно быстро проходить процесс авторизации на сайтах, учётные записи к которым располагаются в вашем хранилище паролей. Для этого открываем меню опций «Учётные записи Интернета», а потом выбираем нужный сайт. После этого браузер откроет выбранный ресурс и добавит необходимые данные для входа.
⇡ Kaspersky Password Manager
Kaspersky Password Manager — совместный проект компаний «Лаборатория Касперского» и Lamantine Software. Password Manager создан на основе Sticky Password, поэтому программы очень похожи... в общем, во всем. Приложение является условно-бесплатным. Бесплатная версия может хранить только до пятнадцати учётных записей, для хранения большего количества аккаунтов необходимо приобрести платную версию. Здесь стоит заметить, что отдельно программа не продаётся, купить её возможно только в составе Kaspersky Total Security или Kaspersky Small Office Security.
Тем не менее, несмотря на то, что Password Manager входит в состав этих приложений, его также можно загрузить отдельно с сайта «Лаборатории Касперского». Установка программы, в общем, такая же, как у предыдущих: запускаем исполняемый файл и следуем указаниям мастера установки. В отличие от Sticky Password, здесь учётные записи синхронизируются с серверами «Лаборатории Касперского», и для включения синхронизации необходимо указать либо учётную запись My Kaspersky в случае домашнего использования в составе Kaspersky Total Security, либо учётную запись вашей компании на специальном портале «Лаборатории Касперского» для организаций.
В общем и целом по набору функций Password Manager практически полностью повторяет Sticky Password, поэтому мы не будем подробно рассматривать его. После установки программа также добавляет расширения для ваших браузеров. С помощью этих расширений вы можете проходить быструю авторизацию на сайтах, на которых вы зарегистрированы, и добавлять свои данные для быстрой регистрации, чтобы не вводить их каждый раз.
⇡ Dashlane
Еще один менеджер паролей, на который также хотелось бы обратить внимание, — Dashlane. С одной стороны, нельзя сказать, что в нём есть какие-либо уникальные функции, о которых не шла речь в предыдущих разделах обзора. С другой стороны, он вполне удобен и лёгок в освоении. Помимо «домашней» версии, есть и корпоративная, рассчитанная на работу в организации. Традиционно пользователям предлагается два варианта учётной записи — обычная (бесплатная) и премиум. Бесплатная версия имеет ряд ограничений — у пользователя не будет возможности синхронизировать данные учётных записей между устройствами и сделать бекап данных в облачную службу.
Чтобы начать использование программы, зайдите на её официальный сайт и скачайте приложение. Установка Dashlane довольно проста — запускаем исполняемый файл и после инсталляции увидим окно приветствия. Выбираем вариант с созданием учётной записи и вводим необходимые данные.
При создании аккаунта нам, само собой, предложат создать мастер-пароль. Программа напомнит, что знаете его только вы и пароль нужно очень хорошо запомнить. После всех подготовительных действий откроется рабочее окно Dashline.
Хранилище паролей находится в разделе Passwords. Как и в других программах, пароли можно организовывать — создавать папки-категории для последующей сортировки учётных записей. Аккаунты можно добавлять в систему двумя способами: через программу и в браузере, если вы вводите данные записи, которая ещё неизвестна системе.
Нажатие правой кнопкой мыши на значке учётной записи вызывает контекстное меню, с помощью которого возможно произвести действия над ней — изменить пароль, удалить, изменить категорию и дать доступ другому пользователю. В разделе Security Dashboard программа выставляет общий рейтинг защищённости аккаунтов и предлагает изменить пароли для учётных записей, которые, по результатам анализа, слишком просты и могут быть взломаны злоумышленниками.
В разделе Secure Notes добавляются защищённые заметки, которые, как и в аналогичных программах, будут находиться в особом разделе хранилища.
В разделе Payments размещается информация о кредитной карте или банковском счёте, кроме того, здесь возможно посмотреть историю покупок. В разделе Team находятся опции, с помощью которых можно обмениваться данными с другими пользователями, например, с семьей или коллегами. Если вы оставляете на сайтах какие-либо личные данные, следует обратить внимание на раздел IDs, где вводятся данные паспорта, водительских прав и прочих личных документов, чтобы использовать их при необходимости.
Аналогично другим приложениям, Dashlane устанавливает расширения для браузеров, с помощью которых можно авторизоваться на сайтах и добавлять новые учётные записи в систему. Плагин распознаёт, когда вы вводите учётные данные, и предлагает добавить информацию об аккаунте в программу.
К плюсам Dashline можно отнести удобный интерфейс, простоту в использовании и возможность анализа системой ваших паролей и рекомендации их замены наиболее надёжными. Но и минусы тоже есть — нет поддержки русского языка, а наиболее важные функции доступны только в премиуме, в бесплатной версии нет даже возможности синхронизации паролей между устройствами.
⇡ 1 Password
Ну а завершает наш обзор 1Password. Приложение отличается от всех перечисленных продвинутыми алгоритмами шифрования, отсутствием собственного облачного сервиса и лицензированием. 1Password распространяется по условно-бесплатной модели — вариант с подпиской здесь отсутствует. После установки вы можете использовать приложение бесплатно в течение тридцати дней, после чего единожды необходимо приобрести лицензию.
Мы рассмотрим Windows-версию программы в рамках данного обзора. Установщик программы можно скачать с официального сайта. После инсталляции запустится мастер первичной настройки. Выбираем вариант I am new to 1Password, откроется окно сохранения хранилища паролей. Выбираем папку сохранения — к слову, это может быть не только папка на локальном жёстком диске, но и сетевая директория, или, например, папка в сетевом сервисе хранения файлов (например, DropBox, OneDrive и прочие подобные службы). Также в программе есть возможность синхронизации данных через Wi-Fi — удобно, если у вас несколько устройств, между которыми необходимо синхронизировать данные учётных записей. Для синхронизации система генерирует специальный пароль, который нужно ввести на других устройствах.
1Password производит очень хорошее впечатление. К плюсам приложения, несомненно, можно отнести простой и интуитивно понятный интерфейс, надежность шифрования данных, относительно невысокую цену и возможность хранения файла паролей не в облачном сервисе, который навязывается компанией-разработчиком, а в любом хранилище по вашему выбору. Если DropBox, OneDrive и прочие аналогичные службы вызывают сомнение, то данные можно разместить, например, на корпоративном или домашнем сервере в локальной сети, открыв папку с файлом паролей для определённого пользователя (или пользователей). Мастер-пароль следует очень хорошо запомнить — данные хранятся только у вас, а значит, восстановить его будет невозможно. В целом же 1Password можно порекомендовать тем пользователям, у которых не вызывают доверия облачные службы и которые предпочитают не платить за подписку, а приобрести единовременную лицензию.
⇡ Выводы
В таблице приведены сравнительные характеристики менеджеров паролей, рассмотренных в статье. В целом они похожи, но именно приведенные ниже различия в функциональности позволят каждому сделать свой выбор.
