Тарифы Услуги Сим-карты
Развернуть
Главная

Менеджер паролей в Яндекс.Браузере: обзор основных функций. «Яндекс.Браузер» обзавёлся менеджером паролей

В самом начале установки Яндекс.Браузера вы видите сообщение о системе Protect, которая предназначена для сохранения ваших личных данных. В частности, там упоминается работа с паролями. Если вас это заинтересовало, то стоит узнать, как работает новый встроенный менеджер паролей в Яндекс.Браузере.

Как хранить пароли

Свой менеджер паролей Яндекс.Браузер получил в апреле 2018 года. Разумеется, и раньше была возможность сохранять пароли в настройках браузера, чтобы не вводить их вручную каждый раз при входе на конкретный сайт. Однако с апреля это не просто функция, а полноценная утилита внутри программы.

Доступ к нему предельно прост:

  1. Откройте Настройки (кнопка-сэндвич в правом верхнем углу)
  2. Выберите в выпадающем меню пункт «Менеджер паролей»

Перед вами откроется список всех паролей, сохранённых в вашем Яндекс.Браузере. Наверняка вы с удивлением обнаружите большое количество сайтов, на которых вы авторизовались последний раз достаточно давно. История помнит всё.

Чтобы посмотреть пароль к конкретному ресурсу, вам нужно:

  • Долистать список сайтов до нужного вам
  • Кликнуть по строке

  • Нажать на иконку с глазом в строке «Пароль», чтобы вместо звёздочек увидеть настоящее содержимое

Важно отметить: все пароли в менеджере хранятся в открытом виде, а значит, любой пользователь сможет их посмотреть, если знает, как. Это ещё одна причина запаролить Яндекс.Браузер, что помешает нехорошим людям в ваше отсутствие получить доступ к личным данным.

В качестве довеска вы получаете ещё несколько приятных бонусов. Пытаясь авторизоваться на сайте, для которого сохранено несколько логинов, вы сможете легко выбрать из них нужный, даже если его не помнили. Все функции менеджера в реальном использовании доступны без захода в соответствующий раздел: предложения всплывают прямо там, где вы вводите или придумываете свои пароли.

Для отображения аккаунтов для входа нужно кликнуть на значек ключа и выбрать нужный логин

Данная функциональность реализована как в десктопной, так и в мобильной версии Яндекс.Браузера, однако мы рассмотрим десктопную. На июнь 2018 года в мобильной версии эта функция до сих пор сохраняет статус беты, так что лучше подождём финального релиза.

Создание надежного пароля

Уж сколько раз твердили миру, что нельзя использовать заезженные сочетания вроде QWERTY или 12345678! Тем не менее эти примитивные и легко взламываемые комбинации на первых местах в мировых рейтингах.

Не стоит также использовать какие-то личные данные: взломать вас захотят, скорее всего, не хакеры с другого конца мира, а люди, знающие вас лично. И они знают вашу дату рождения или свадьбы, имена детей и клички домашних животных, а то и более приватные вещи.

Поэтому пароль нужно придумывать по принципу «операции Ы» — чтобы никто не догадался. В идеале он должен представлять собой несвязный набор цифр и латинских букв в разных регистрах.

Проблема в одном: такой рандомный набор исключительно сложно запомнить. Поэтому некоторые продвинутые пользователи генерируют сочетания из двух частей – случайной или почти случайной (например, серии и номера потерянного когда-то паспорта), и тематически связанной с сайтом. Проблема в том, что злоумышленник из числа близких, подобрав пароль к какому-то одному сайту, легко поймёт логику и сможет так же легко ломать остальные.

Менеджер паролей Яндекса предлагает совершенно рандомные значения каждый раз, когда вы пытаетесь зарегистрироваться на каком-то ресурсе. При этом вручную подтверждать его не надо: набор символов автоматически копируется в поле «Подтвердить». Потом вы сможете извлечь его из соответствующей записи в менеджере.

Возможно, предложенный пароль вам не понравится. Там могут оказаться религиозно или идеологически неприемлемые сочетания цифр, хотя это маловероятно – варианты в основном состоят из букв. Или же буквы могут сложиться не вполне прилично. Автору статьи «повезло» в одну из первых попыток получить комбинацию, начинающуюся с «fuck».

Чтобы сгенерировать другой вариант, более приличный, нажмите на кнопку обновления справа от текущего.

Управление сохраненными аккаунтами

Хотя менеджер имеет достаточно скромный вид, он позволяет совершать большинство необходимых операций. Так, кликнув по строке какого-то сайта, вы сможете:

Сменить учётную запись. Полезно, если вам надо посетить какой-то сайт под другим именем и виду не подать, что вы там бывали. Если использовать основной аккаунт, то он автоматически залогиниться. В менеджере паролей вы можете прописать другие данные, чтобы автоматически заходить под другим аккаунтом. Главное – чтобы аккаунт существовал, а данные были корректные.

  • Посмотреть пароль. Иногда это помогает его вспомнить.
  • Скопировать. Это бывает нужно, чтобы авторизоваться на сайте через другой браузер или отправить его самому себе или кому-то ещё. Главное – не путайте окна чатов!
  • Удалить запись. Иногда в памяти менеджера паролей можно встретить призраков. Автор этих строк, например, с удивлением обнаружил в списке даже аккаунты в социальных сетях, которые он давно удалил, как страшный сон. Чтобы было проще ориентироваться, можно рассортировать сохранённые учётки в алфавитном порядке по логину, кликнув на название колонки «Логин».
  • Создать мастер-пароль. Он блокирует доступ к менеджеру для посторонних. Для этого вам нужно ввести имя пользователя своей операционной системы (для шифрования применяются средства Windows или OS X, а не собственные механизмы браузера) и задать пароль. При желании можно заменить произвольное выражение пин-кодом или привязать его к почтовой учётной записи.

Мастер-пароль не записывается нигде в браузере, поэтому риск его утечки минимален. А если вы его забудете сами – есть шанс восстановить его штатными средствами. Всё, что вам понадобится –ваши данные от аккаунта Яндекса и запасной ключ. Так что не забудьте придумать запасной.

Актуальные обзоры и тесты

Как сообщают сами разработчики, они отказались от стандартного механизма хранения паролей на движке Chromium, чтобы создать собственный, более удобный и безопасный. Действительно, к новому менеджеру паролей претензий нет (не считая склонности к крепким словечкам). Он использует многоступенчатое шифрование, умеет докопаться до самых старых данных, оснащён собственным генератором случайных комбинаций и степенями самозащиты.

Все обзоры сходятся на том, что менеджер паролей очень удобен, хотя и не уникален: в той же Opera хранилище похоже по функциональности и сути. Что же до тестов безопасности, то пока независимые исследования не проводились, но на первый взгляд всё выглядит достойно. Таким образом, если Яндекс.Браузер установлен у вас по умолчанию, то он способен заменить внешние программы вроде LastPass или Roboform.

Компания «Яндекс» сообщила о выходе новой версии своего браузера, в котором появился встроенный менеджер паролей.

Отныне «Яндекс.Браузер» способен генерировать стойкие пароли, которые защищаются с помощью мастер-пароля. Сохранённые коды доступны в меню браузера — в новом разделе «Менеджер паролей». Их можно редактировать, сортировать и снабжать примечаниями.

Важно отметить, что сохранённые пароли будут доступны на любом устройстве с «Яндекс.Браузером» — достаточно включить синхронизацию. При посещении той или иной веб-страницы с необходимостью авторизации обозреватель предложит ввести соответствующий код.

Менеджер использует многоступенчатую систему шифрования. Сначала браузер шифрует пароли случайным ключом, а затем защищает этот ключ мастер-паролем. Если человек его забудет, поможет запасной ключ, который можно создать вместе с мастер-паролем. С помощью такого ключа можно сменить мастер-пароль, но только при наличии пароля от аккаунта «Яндекса» и только на том устройстве, где хоть раз был успешно введён мастер-пароль. Иными словами, выполнить данную процедуру сможет только сам пользователь.

Таким образом, даже если злоумышленник узнает пароль от аккаунта «Яндекса» или похитит мобильное устройство, он не сможет получить доступ к сохранённым паролям. Кстати, на смартфонах вместо мастер-пароля можно использовать отпечаток пальца, пин-код или жест.

Для повышения безопасности при создании аккаунтов требуется ввести пароль. И желательно, чтобы они были разные. В противном случае, разгадав пароль к одной учетной записи, злоумышленник без труда похитит у вас другие. Однако запомнить десятки паролей - задача практически нереальная, а писать пароли на бумаге - также не выход: вы же не будете с собой постоянно носить листы. Да и потеряться они могут. Но с помощью менеджера паролей Яндекс Браузера можно не только генерировать пароли, но и хранить их, не утруждая себя запоминанием.

Что за функция

Менеджер паролей - это встроенная в браузер функция, которая позволяет сохранять пароли от тех сайтов, где вы проявляете активность. Причем данные эти защищены от взлома злоумышленниками. При необходимости вы можете эти пароли редактировать или иначе ими управлять.

Стоит вам ввести однажды пароль в соответствующую строку, как специальные возможности расширения предложат тут же их сохранить в менеджере. Если вы подтвердили это желание, то действие будет выполнено. Если забудете, то в следующий раз вновь придется вводить пароль ручками. Причем если у вас есть несколько устройств с синхронизацией учетной записи, то обращаться к менеджеру пароля можете с любого из них.

Как установить менеджер и где он находится на компьютере

Вы можете увидеть менеджер в главном меню веб-обозревателя. Для этого нажмите на иконку с тремя полосками и выберете раздел «менеджер паролей».

Затем потребуется придумать мастер-пароль, с помощью которого вы сможете получить доступ ко всей информации, которую сохранило расширение. Причем данный пароль вводится два раза.

На случай, если вы однажды забудете этот пароль, стоит активировать возможность создания резервного ключа.

Теперь можно обращаться к сайтам и посмотреть, как будет работать мастер паролей.

Итак, если вы войдете на сайт и вас попросят ввести пароль, сделайте это. И тогда автоматически система предложит вам данный пароль сохранить. Если вы хотите этого, то подтвердите действие. Если же вы регистрируетесь на новом сайте, то здесь все почти что тоже самое: вводите новый пароль и подтверждаете свое желание его сохранить в Менеджере. Если вы не желаете придумывать пароль, то можете обратиться к функции случайной генерации. Тогда система предложит вам набор знаков, а затем сохранит их в Менеджере.

Так же вы можете ознакомиться со своими паролями и сайтами, для которых они подбирались. Для этого выйдите в главное меню «Менеджер паролей», чтобы увидеть весь этот перечень с краткой информацией о сайте. Если хотите что-то изменить, кликните по любой строке. Тогда откроется окно редактирования. Здесь вы можете написать примечание или изменить пароль.

Также можно изменить данные. Для этого достаточно кликнуть по учетной записи.

Менеджер паролей в Яндекс Браузере

Операции с менеджером паролей на смартфоне

Данные действия не отличаются от тех, которые приходится делать на компьютере. Вам надо:

  • Выбрать в главном меню пункт «Менеджер паролей».
  • Создать мастер-пароль или выбрать иную защиту, среди которых может быть сканер отпечатков или использование PIN-кода. (в случае, если вы боитесь забыть пароль от мастера-пароля, то можете активировать функцию его сброса). Так же стоит продумать варианты снятия блокировки.
  • Во время входа в аккаунт сохраните введенный старый пароль или придуманный новый (последний может быть сгенерирован системой, если вы не хотите сами что-то изобретать).

Как восстановить мастер-пароль?

Чтобы сохранить сведения в менеджере паролей, на планшетах используются следующие варианты: графический ключ или сканер отпечатков пальце. Если же речь идет о компьютере, то здесь как раз потребуется мастер-паролей. Однако часто бывает так, что пользователи его забывают. Не отчаивайтесь, если это случилось. Ведь есть возможность его восстановить. Правда, для этого при настройках менеджера паролей надо правильно выполнить ряд действий.

Прежде всего во время создания мастер-пароля вы должны создать и запасной пароль. Так же пригодится ваш ключ от аккаунта на Яндексе..

Сбросить мастер-пароль можно лишь на том устройстве, где он хотя бы раз успешно вводился.

Как отключить менеджер паролей

Если нет желания сохранять данные доступа к какому-то сайту, то расширение можно отключить. Для этого надо:

  • открыть в главном меню пункт Менеджер паролей.
  • ввести мастер-пароль,
  • выйти в раздел «Настройки»,
  • кликнуть по «Выключить менеджер паролей».

Заключение

Менеджер паролей - гибко настраиваемая опция, которая позволяет вам не хранить в памяти множество паролей от учетных записей на сайтах. Причем данная функция есть не только в Яндекс Браузере, но и в других веб-обозревателях.

Многие пользователи знают о том, что можно сохранить пароль в Яндекс браузере. Однако не всем известно, где хранятся пароли в Яндекс Браузере. Данная статья подробно расскажет вам о менеджере учётных данных веб-навигатора Yandex: как его включать/выключать, как в нём редактировать сохранённые данные, как активировать защиту ключа для входа на определённых сайтах.

Включаем опцию сохранения паролей в Яндекс

Чтобы сохранять пароли в Яндексе, необходимо предварительно проверить статус активации соответствующей опции в настройках. Делается это так:

1. Чтобы пароли в браузере Яндекс автоматически после подтверждения запроса помещались в менеджер, щёлкните Меню → Настройки.

2. Кликните «Показать дополнительные…».

3. Убедитесь в том, что установлена «галочка» в строке «Предлагать сохранять пароли…». Если отсутствует, кликните по окошку левой кнопкой мыши.

Как хранить пароли?

После включения опции, можно дать возможность запомнить пароль Яндексу:

1. Откройте сайт, учётные данные которого желаете разместить в менеджере.

4. Если вы желаете дополнительно установить на пароль защиту от кражи, в следующем запросе «Включить защиту…?», соответственно, кликом мыши выберите ответ «Включить».

Как выполняется управление паролями?

Все пароли размещаются в специальном хранилище веб-обозревателя. Чтобы получить к нему доступ:

1. Снова клацните: Меню → Настройки → Дополнительные настройки → Пароли и формы → «Управление паролями».

2. После нажатия кнопки появится окно. В нём отображаются авторизационные данные всех сайтов, сохранение, которых вы подтверждали. А также сайты, для которых ключи не сохраняются.

3. Если вы хотите удалить сохранённые пароли в менеджере, наведите курсор на строку учётной записи. А потом клацните появившейся «крестик». После запуска этой команды Яндекс полностью удалит пароли.

4. Чтобы посмотреть пароли, в строке записи, установите курсор в поле закрытого точками ключа.

5. Нажмите появившуюся кнопку «Показать». Именно эта команда позволяет выполнять просмотр паролей. Она визуально открывает символы комбинации ключа под точками.

При желании можно выполнить экспорт пароля посредством системных функций копирования (Ctrl + C) и вставки (Ctrl + V), чтобы восстановить, сохранить его в других браузерах.

6. После того как вам удалось увидеть (узнать) ключ, снова закройте его точками: нажмите в поле кнопку «Скрыть».

При большом количестве сохранённых учётных записей, можно найти необходимую посредством опции «Поиск…», встроенную в менеджер. Она расположена в верхней правой части.

7. Чтобы все изменения данных в хранилище учёток вступили в силу, перед закрытием его окна нажмите «Готово».

Совет! Чтобы быстро полностью очистить менеджер, нажмите вместе «Ctrl + Shift + Del», в панели установите надстройку «Сохранённые пароли», временной срок, за который нужно очищать данные, и нажмите «Очистить историю» (все имеющиеся записи удалятся).

Защита авторизационных данных

Теперь, когда вы знаете о том, как посмотреть сохраненные пароли в Яндекс Браузере, самое время поговорить об их защите.

Когда браузер хранит логины и пароли, их «охраняет» специальный защитный модуль Protect. Он предотвращает кражу данных посредством фишинга (через поддельные сайты, переадресации). Предупреждает об использовании одного и того же пароля на разных сайтах.

Запрос на включение защиты веб-навигатор отображает при сохранении пары «логин-пароль» (см. инструкцию в начале статьи). Но её можно активировать, настроить и другим способом:

1. На вкладке с веб-сайтом, пароль которого нужно дополнительно защитить, в правой части адресной строки щёлкните иконку «замок».

2. В выпавшей панели, в разделе «Общие настройки», в первой строке «Предупреждать…» переведите ползунок кликом в состояние «Вкл.».

4. В информационном блоке «Соединение» можно ознакомиться с данными используемого сертификата на сайте.

5. В списке «Разрешения» найдите строку «Защита паролей» и установите в ней значение «Включено».

Примечание. Если необходимо убрать защиту паролей на сайте, в этой же строке задайте «Выключено».

Как видите, надёжно защищать учётки в Яндексе довольно легко. Используйте эти опции по мере необходимости. Безопасного вам веб-сёрфинга!

Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.

С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.

Почему мы создаем новый менеджер паролей?

В текущей реализации менеджера паролей для Windows, унаследованной из Chromium, сохранённые пароли защищены браузером достаточно просто. Они зашифрованы средствами операционной системы (к примеру, на Windows 7 используется функция CryptProtectData, основанная на алгоритме AES), но хранятся не в изолированной области, а просто в папке профиля. Казалось бы, в этом нет проблемы, ведь данные зашифрованы, но ключ для расшифровки тоже хранится в операционной системе. Любая программа на компьютере может перейти в папку профиля браузера, взять ключ, локально расшифровать пароли, отправить их на сторонний сервер, и никто этого не заметит.

А ещё многие пользователи хотели бы, чтобы случайный человек, не обладающий специальной подготовкой, но получивший кратковременный доступ к браузеру (например, родственник или коллега по работе), не смог авторизоваться на важных сайтах с помощью сохранённых паролей.

Обе эти проблемы решаются с помощью мастер-пароля, которым защищаются данные, но который нигде не хранится. И это стало нашим первым требованием к новой архитектуре хранения паролей в Яндекс.Браузере. Но не единственным.

Каким бы безопасным ни был новый менеджер паролей, его популярность зависит от того, насколько просто им пользоваться. Напомним, что те же 1Password, KeePass и LastPass даже в сумме используют не более процента пользователей (хотя LastPass мы предлагаем в нашем встроенном каталоге дополнений). Или другой пример. Вот так в старой реализации Браузер предлагает сохранить пароль:

Опытные пользователи или согласятся, или откажутся, или сделают хоть что-то с этим уведомлением. Но в 80% случаев его просто не замечают. Многие пользователи даже не знают, что в браузере можно сохранять пароли.

Отдельно стоит сказать про функциональность. Сейчас даже добраться до списка своих паролей не так уж и просто. Нужно открыть меню, кликнуть по настройкам, перейти в дополнительные настройки, найти там кнопку управления паролями. И только тогда человек получит доступ к примитивному списку аккаунтов, которые нельзя отсортировать по логину, нельзя добавить текстовое примечание, отредактировать тоже нельзя. К тому же менеджер паролей должен помогать придумывать новые пароли.

И ещё кое-что. Для нас было важно, чтобы новая архитектура соответствовала принципу Керкгоффса, то есть, чтобы её надежность не зависела от знаний злоумышленников о применяемых алгоритмах. Криптосистема должна оставаться безопасной даже в том случае, когда им известно всё, кроме применяемых ключей.

Почему мы не взяли готовое решение?

Существуют продукты с открытым исходным кодом, которые поддерживают мастер-пароль и расширенную функциональность. Их можно было бы интегрировать в браузер, но они нам не подошли по ряду причин.

В первую очередь на ум приходит KeePass. Но его хранилище зашифровано целиком, а у нас в Браузере синхронизация работает построчно. А значит, надо либо спрашивать мастер-пароль при каждой синхронизации, либо шифровать записи раздельно. Второй вариант добрее к пользователям. Более того, для массового продукта важно, чтобы пользователь знал о возможности подставить сохранённый пароль до разблокировки базы мастер-паролем, поэтому часть информации должна оставаться незашифрованной.

У специализированных дополнений для работы с паролями есть возможность сбросить мастер-пароль, если пользователь его забыл. Но для этого нужно скачать, спрятать и не потерять резервный код или файл. Это нормально, когда речь идет об опытных пользователях, но это сложно для всех остальных. Поэтому нам нужно было придумать альтернативное решение. Спойлер: в итоге нам удалось найти решение, при котором мастер-пароль сбросить можно, но даже Яндекс не сможет получить доступ к базе. Но об этом чуть позже.

А ещё любое стороннее решение в любом случае пришлось бы серьезно дорабатывать, чтобы нативно интегрировать в браузер (переписать на C++ и Java) и сделать его достаточно простым для пользователей (полностью заменить весь интерфейс). Как бы удивительно это ни звучало, но написать новую архитектуру хранения и шифрования паролей проще, чем сделать всё остальное. Поэтому логичнее не пытаться связать два изначально несовместимых продукта в один, а доработать свой.

Новая архитектура с использованием мастер-пароля

В хранении самих записей нет ничего необычного. Мы используем надежный и быстрый алгоритм AES-256-GCM для шифрования паролей и примечаний, адреса и логины не шифруем для удобства применения, но подписываем для защиты от подмены. Похожим образом устроена схема хранилища в том же 1Password.

Самое интересное – это защита 256-битного ключа encKey, который необходим для расшифровки паролей. Это ключевой момент безопасности паролей. Если злоумышленник узнает этот ключ, то легко взломает всё хранилище независимо от сложности алгоритма шифрования. Поэтому защита ключа основана на следующих базовых принципах:

– Доступ к ключу шифрования блокируется мастер-паролем, который нигде не хранится.
– Ключ шифрования не должен быть математически связан с мастер-паролем.

В простых сервисах и приложениях ключ шифрования получают путем хэширования мастер-пароля, чтобы хоть так замедлить атаку перебором. Но математическая зависимость ключа от мастер-пароля всё же упрощает взлом, скорость которого в этом случае зависит лишь от надежности хэширования. Применение ферм из заточенных на взлом ASIC-процессоров сейчас уже не редкость. Поэтому в нашем случае ключ encKey не является производным от мастер-пароля и генерируется случайно.

Далее ключ encKey зашифровывается с помощью асимметричного алгоритма RSA-OAEP. Для этого Браузер создает пару ключей: открытый pubKey и закрытый privKey. Ключ encKey защищается с помощью открытого ключа, а расшифровать его можно только с помощью закрытого.

Открытый ключ pubKey защищать не нужно, потому что он не подходит для расшифровки, а вот с закрытым privKey история другая. Чтобы защитить его от кражи, доступ к нему блокируется согласно стандарту PKCS#8 с помощью парольной фразы unlockKey, которая в свою очередь является результатом хэширования мастер-пароля с помощью функции PBKDF2-HMAC-SHA256 (100 тысяч повторов; с добавлением соли и id хранилища). Если мастер-пароль случайно совпадает с уже украденным паролем от какого-либо сайта, добавление соли скроет этот факт и усложнит взлом. А благодаря многократному хэшированию достаточно длинного мастер-пароля трудоемкость взлома unlockKey сопоставима со взломом ключа encKey.

Зашифрованные пароли, зашифрованный ключ к ним encKey, зашифрованный закрытый ключ privKey и открытый ключ pubKey хранятся в профиле браузера и синхронизируются с другими устройствами пользователя.

Чтобы было проще разобраться во всём этом, приведем схему расшифровки паролей:

У подобной архитектуры с использованием мастер-пароля есть ряд преимуществ:

– 256-битный ключ шифрования хранилища генерируется случайно и обладает высокой криптостойкостью по сравнению с паролями, придуманными человеком.
– При брутфорсе мастер-пароля злоумышленник не узнает результат, если не пройдется по всей цепи (пароль-PBKDF2-RSA-AES). Это очень долго и очень дорого.
– Если функция хэширования будет скомпрометирована, мы в любой момент можем перейти на альтернативный вариант хэширования с сохранением обратной совместимости.
– Если злоумышленник узнает мастер-пароль, то сменить его можно без сложной и рискованной процедуры расшифровки всего хранилища, потому что ключ шифрования данных не связан с мастер-паролем, а значит, не скомпрометирован.
– Ключ шифрования хранится в зашифрованном виде. Ни Яндекс, ни злоумышленник, похитивший пароль от Яндекса, не смогут получить доступ к синхронизированным паролям, поскольку для этого нужен мастер-пароль, который нигде не хранится.

Но у варианта с мастер-паролем есть один «недостаток»: пользователь может забыть мастер-пароль. Это нормально, когда речь идет о специализированных решениях, которые используют опытные пользователи, хорошо осознающие риск. Но в продукте с многомиллионной аудиторией это неприемлемо. Если мы не предусмотрим резервный вариант, то многие пользователи Яндекс.Браузера либо откажутся от использования мастер-пароля, либо «потеряют» однажды все свои пароли, а виноват в этом будет Браузер (вы удивитесь, но именно Яндекс часто оказывается крайним в ситуации, когда человек забыл пароль от аккаунта). И придумать решение не так уж и просто.

Как сбросить мастер-пароль без раскрытия паролей?

В некоторых продуктах эта проблема решается с помощью хранения расшифрованных данных (или даже мастер-пароля) в облаке. Этот вариант для нас не подходил, потому что злоумышленник может украсть пароль от Яндекса, а вместе с ним и пароли от всех сайтов. Поэтому нам нужно было придумать такой способ восстановления доступа к хранилищу паролей, при котором никто, кроме самого пользователя, не смог бы это сделать. Сторонние менеджеры паролей предлагают для этого создать резервный файл, который пользователь должен самостоятельно хранить в надежном месте. Хорошее решение, но обычные пользователи такие резервные ключи будут неизбежно терять, поэтому у нас всё намного проще.

Ещё раз вспомним цепочку зависимостей ключей. Хранилище паролей зашифровано с помощью случайного ключа encKey, который нигде не хранится в явном виде. Этот ключ защищён с помощью закрытого ключа privKey, который также не хранится в явном виде и в свою очередь защищён с помощью сложного хэша от мастер-пароля. Когда человек забывает мастер-пароль, он фактически лишается возможности расшифровать ключ privKey. Это значит, что в качестве резервного варианта можно хранить дубликат ключа privKey. Но где? И как его защитить?

Если поместить расшифрованный privKey в облако, то безопасность паролей будет зависеть от аккаунта Яндекса. А ровно этого мы и не хотели допускать. Если же хранить его в явном виде локально, то вся защита с мастер-паролем теряет какой-либо смысл. Нет такого места, где можно было бы безопасно хранить этот ключ в явном виде. Значит, его надо шифровать. Для этого Браузер создает случайный 256-битный ключ, которым защищает дубликат privKey. Теперь самое интересное. Этот случайный ключ отправляется на хранение в облако Яндекс.Паспорта. А зашифрованный дубликат остается храниться в локальном профиле Браузера. Получается, что ни в облаке, ни на компьютере нет готовой пары для расшифровки паролей, и безопасность не страдает.

При таком варианте сбросить мастер-пароль можно было бы только там, где и создан дубликат ключа privKey. Мы же хотели добавить такую возможность и синхронизированным устройствам. Создавать резервный ключ на каждом устройстве вручную неудобно: можно случайно остаться с тем устройством на руках, на котором забыли создать дубликат. Отправлять зашифрованный дубликат на другие устройства с помощью синхронизации нельзя: в облаке уже хранится ключ к нему, и в целях безопасности им нельзя встречаться в одном месте. Поэтому зашифрованный дубликат privKey проходит через ещё один слой шифрования. В этот раз – с помощью хэша от мастер-пароля. Мастер-пароль не хранится в облаке, поэтому полученную «матрешку» уже можно смело синхронизировать. На других устройствах в момент первого ввода мастер-пароля дополнительный слой шифрования будет снят.

В итоге, когда пользователь забудет мастер-пароль, ему будет достаточно запросить сброс пароля через браузер и подтвердить свою личность с помощью пароля от Яндекса.

Браузер запросит ключ у Яндекс.Паспорта, расшифрует им дубликат ключа privKey, с его помощью расшифрует ключ от хранилища encKey, а дальше создаст новую пару pubKey и privKey, последний из которых будет защищён новым мастер-паролем. Хранилище паролей при этом не расшифровывается, что снижает риск потери данных. К слову, принудительно сменить encKey и перешифровать данные тоже можно: достаточно отключить и заново включить мастер-пароль в настройках.

Получается, что сбросить мастер-пароль сможет только сам пользователь и только на том устройстве , где он хотя бы раз его вводил. Конечно же, резервный ключ создавать не обязательно, если пользователь уверен в себе. Даже мастер-пароль можно не использовать, хотя мы и не рекомендуем от него отказываться.

Новая архитектура и мастер-пароль – не единственные изменения в новом менеджере. Как мы уже рассказывали выше, удобство в использовании и расширенные возможности важны не меньше.

Новый менеджер паролей

Прежде всего, мы отказались от незаметной серой панели с предложением сохранить пароль. Теперь пользователь увидит предложение рядом с полем пароля. Не заметить такое уже трудно.

Да и сам менеджер теперь не надо искать в настройках: кнопка доступна в главном меню. Список сохранённых аккаунтов теперь поддерживает сортировку по логину, адресу и примечанию. Мы также добавили редактирование записей.

Подсказка: примечания отлично подходят в качестве альтернативы меткам, потому что поддерживают поиск.

А ещё Браузер теперь помогает создавать уникальные пароли.

В первой бета-версии мы успели далеко не всё. В будущем мы поддержим экспорт и импорт паролей для совместимости с популярными сторонними решениями. Также у нас есть идея добавить настройки генератору паролей.

Мобильный менеджер паролей

Конечно же, новая логика и поддержка мастер-пароля появятся не только на компьютере, но и в версиях Яндекс.Браузера для Android и iOS. С небольшой адаптацией. К примеру, можно использовать не только мастер-пароль, но и отпечаток пальца. Мы также запретили программно делать скриншоты на странице со списком паролей – можно не бояться вредоносных приложений.

Сегодня новый менеджер паролей можно попробовать в



Не нашли ответ на свой вопрос? Посмотрите здесь
Смартфоны Как на нокии люмии 920Смартфоны Как на нокии люмии 920
Что такое Единая касса Wallet One и с чем ее едят?Что такое Единая касса Wallet One и с чем ее едят?
Связь и беспроводные интерфейсыСвязь и беспроводные интерфейсы