Что такое менеджер паролей и как он работает?
В современном мире социальных сетей, разнообразных тематических форумов и ресурсов, вопрос о том, как безопасно хранить пароли на мобильных устройствах, является достаточно актуальным. На помощь приходит специальное программное обеспечение, основная цель которого — безопасность и сохранность данных. Что такое менеджер паролей? Зачем нужен менеджер паролей? Как использовать менеджер паролей на мобильном телефоне? Какие популярные менеджеры паролей существуют на сегодняшний день? Обо всем далее в статье.
Зачем нужен менеджер паролей?
- Специалисты не рекомендуют использовать один пароль на разных сайтах, следовательно, для всех социальных сетей, финансовых программ, тематических форумов и часто посещаемых сайтов необходимо создавать уникальный пароль;
- Рекомендуется подбирать пароль, который состоит из не менее 20 символов — такой пароль будет сложно взломать любому хакеру;
- Один пароль должен содержать разнообразные знаки и буквы, из разных регистров — это создаст максимальную безопасность важному паролю;
- Многие сервисы часто ломают, а вместе со взломом сайта в руки хакеров попадают и данные пользователей, которые на нем зарегистрированы — отсюда постоянная необходимость менять пароли;
- Во время ввода пароля на сайте, кто-то может случайно (или неслучайно) его заметить, особенно если часто пользоваться смартфоном в общественных местах. Менеджер паролей позволяет входить на требуемый ресурс без непосредственного ввода самого пароля. О том, как защитить смартфон во время использования общественного Интернета можно узнать в статье по ссылке.
Как видим, для того, чтобы создать максимально безопасный пароль для каждого важного ресурса, потребуется немного времени и фантазии, однако запомнить такое количество безопасных паролей человеку будет достаточно сложно, если только он не обладает супер способностями своей памяти. Выхода может быть два — или не заморачиваться с безопасностью, используя по старинке один пароль для всех сайтов, состоявший из названия своего имени и дня рождения, или прибегнуть к помощи специального программного обеспечения. Так что такое менеджер паролей? Менеджеры паролей — это полезные приложения для смартфонов и других гаджетов, которые позволяют работать с разнообразными паролями и кодами в максимально безопасном режиме.
Как работает менеджер паролей?
Чтобы понять, как работает обычный менеджер паролей и как его использовать среднестатистическому пользователю, можно представить, что менеджер паролей — это обычный блокнот, в котором Вы указали свои секретные данные для доступа на различные ресурсы. При этом блокнот не простой, а с ключем. Так вот, менеджер паролей — это и есть тот самый блокнот со всеми секретными доступами, а роль ключа выполняет самый главный пароль — “пароль всех паролей”. С помощью менеджера пароля можно генерировать уникальные, а главное, надежные пароли, и хранить их в программе. Далее, по мере необходимости регистрации и авторизации на форуме, информационном сайте или социальной сети, можно просто копировать из менеджера пароля необходимый пароль и вводить его на необходимом сайте. Некоторые менеджеры паролей предлагают возможность автоматического ввода паролей на разных ресурсах.
Какой менеджер паролей выбрать для своего устройства?
Счастливые обладатели айфонов с операционной системой iOS 11 и всех последующих, могут не беспокоиться об установке дополнительного приложения для хранения паролей, так как функция менеджера паролей в них установлена по умолчанию. Более того, существует также возможность синхронизации всех паролей на устройствах apple через сервис Icloud Keychain.
А для всех пользователей смартфонов и планшетов с операционной системой android необходимо выбрать оптимальный менеджер паролей в сервисе Google Play и установить его на своем устройстве. К слову, сервис предлагает множество различных вариантов данного приложения, все из которых имеют как схожие функции, так и некоторые отличия. Существуют платные и бесплатные популярные менеджеры паролей, а также бесплатные с возможностью оплаты дополнительных функций — каждый сможет подобрать необходимый вариант. Далее рассмотрим основные отличия самых популярных менеджеров паролей.
Популярные менеджеры паролей: обзор основных функциональных отличий
- LastPass позволяет синхронизировать пароли между различными устройствами;
- 1Password может интегрироваться с популярным сервисом Pwned Passwords. Данный менеджер паролей имеет функцию оповещения о том, что указанный пароль уже ранее был похищен хакерами;
- Dashlane представляет из себя кроссплатформенный менеджер паролей, а получить доступ к своим сохраненным паролям можно на любом мобильном устройстве в любое время;
- KeePass отличается от других менеджеров паролей тем, что не сохраняет конфиденциальных данных своих пользователей в облачном хранилище и имеет открытый исходный код. Про популярные облачные сервисы можно узнать тут.
- RoboForm может не только хранить все пароли в надежных руках, но и защищать своих пользователей от фишинговых атак;
- Sticky Password позволяет копировать данные даже со старых форм и предоставляет возможность управления паролями приложений. Есть удобная функция прямой синхронизации через Wi-Fi;
- oneSafe кроме стандартных функций менеджера паролей, предлагает закрыть доступ к файлам и делать, по необходимости, резервные копии. Также есть функция создания фейковых аккаунтов, которая служит дополнительной защитой персональных данных даже на случай взлома.
Новый менеджер паролей сделает Android еще более похожим на iOS
Пусть многие критикуют Android или iOS, особенно, если пользуются противоположной системой, но надо быть более рассудительным и понимать, что плюсы есть и там, и там. Если посмотреть на них, то начинаешь представлять, как выглядела бы идеальная операционная система. Именно поэтому разработчики обеих операционных систем периодически заимствуют идеи друг друга, еще больше сближая свои продукты. Это хорошо, ведь это эволюция, к которой стремится все в мире. А этот раз такая эволюция коснулась функции, которая позволит владельцам Android-смартфонов намного проще переходить с одного аппарата на другой. А заодно станет намного проще логиниться в приложениях, которые вы временно удаляли.
Ключи и пароли часто становятся проблемой при покупке нового смартфона.
Новый функции Android
Google постоянно делится информацией с разработчиками. Это что-то вроде небольших презентаций новых функций, которые им хорошо было бы применять в новых приложениях. Это сможет повысить их конкурентоспособность и сделает проще жизнь многих пользователей Android. В таких видео даются ответы на многие вопросы, которые могут возникнуть у тех, кто создает приложения.
В рамках текущих бета-релизов Android 11 компания Google опубликовала новое видео для разработчиков, в котором рассказывается, как компания планирует изменить способ входа в приложения и службы. Это может показаться какими-то сложными техническими данными, но то, что они могут нам принести, действительно очень радует.
Google внедряет совершенно новую систему под названием Block Store, и если разработчики действительно ее используют, войти в систему с вашими приложениями на новом телефоне будет так же просто, как восстановить из резервной копии в процессе установки.
Видео довольно короткое, и в числе прочего оно охватывает новую кроссплатформенную систему входа в систему «One Tap», которая облегчит вход в службы, если вы не знаете, как зарегистрировать учетную запись. Но это еще не все и самое интересное, как это часто бывает, в конце.
Авторизоваться с Android станет намного удобнее
Block Store сможет исправить одну из самых неприятных проблем Android — настройку нового устройства. Когда вы переходите на новый телефон или покупаете телевизор с Android, вход во все ваши сервисы становится настоящей болью. Не все доверяют диспетчеру паролей, и если вы используете разные данные для каждой учетки, как это и положено делать, вам может понадобится некоторое время для настройки параметров при переходе на новое устройство.
На Android появились приложения, которые обманули защиту Google Play
Служба резервного копирования и восстановления Android также не включает данные учетной записи. Хотя, некоторые данные все же хранятся в ней, говорить о том, что так можно обойти все подножные камни, не приходится. Поэтому Block Store стремится исправить все это и теперь главное чтобы разработчики подхватили эту идею и начали использовать ее в своих новых продуктах или готовить обновления для уже существующих.
С новой системой переходить с одного Android-смартфона на другой будет намного проще.
Как будут защищены пароли в Android
Приложения, которые поддерживают новый API-интерфейс Block Store, будут использовать систему на основе токенов для хранения учетных данных на телефоне пользователя. Эти токены могут быть скопированы с использованием сквозного шифрования непосредственно в вашу учетную запись Google.
Проще говоря, приложения и сервисы, которые поддерживают Block Store, позволят вам войти в систему и безопасно хранить эту информацию таким образом, чтобы все ваши устройства могли легко подключиться при восстановлении из резервной копии. Возможно, все упростится настолько, что даже не надо будет подтверждать действие. Вы просто включите телефон, подождете пару минут и получите устройство, на котором все будет настроено, как на старом устройстве.
Какой будет новая система хранения паролей Android
Разработчики могут добавлять все, что им нужно, в этот токен, чтобы приложение или сервис могли подгружать те данные, которые нужны для их работы после выхода из системы. В некотором роде можно сказать, что это будет что-то типа функции ”Связка ключей” или ” Keychain” на iOS. Там эта система работает уже несколько лет и очень хорошо себя зарекомендовала, избавив пользователей от необходимости помнить все пароли, которые у них только есть. А заодно дав возможность более безопасно устанавливать разные пароли для каждой учетной записи. Не секрет, что для взлома аккаунта достаточно знать электронную почту и пароль. Если данные утекли на одном из сервисов, достаточно просто попробовать это на других и с очень большой долей вероятности вас ждет успех. Если у вас такое было, расскажите в нашем Telegram-чате.
Apple уже давно доказала, что хранение паролей в облаке это очень удобно.
Мне кажется, что это одно из самых значительных изменений, которые Google может внести в Android как платформу, и это должно очень серьезно облегчить переключение между телефонами. Однако, надо понимать, что Google просто дала разработчикам инструмент и теперь уже только от них зависит, будут ли они им пользоваться или пустят все на самотек, продолжая делать все так, как есть. Отчасти этому может поспособствовать недоверие к системе шифрования. Но если они это сделают, система резервного копирования и восстановления Android может, наконец, начать конкурировать с Apple. Надо просто признать, что там она действительно лучше.
Теги
- Apple против Android
- Операционная система Android
Как посмотреть сохраненные пароли на Android
Сегодня мы пользуемся множеством сервисов в интернете: покупаем авиабилеты, смотрим кино, заказываем еду, собираем собственные музыкальные подборки и так далее. На каждом сайте нужен свой пароль — причем часто требуются сложные комбинации с заглавными буквами и специальными знаками. Прошли те времена, когда на всех сайтах можно было обойтись датой рождения — теперь это слишком опасно. Вот только как запомнить сотни паролей и при необходимости достать нужный из памяти компьютера или телефона? Рассказываем, где хранятся пароли на телефонах Android.
Работа в аккаунте Google
Хорошая новость в том, что при работе на компьютере в большинстве случаев у нас нет необходимости запоминать сложные цифро-буквенные комбинации вроде gAya_gg*h. Браузер сам предлагает сгенерировать надежный пароль, а затем сохраняет его в связке ключей. Также сохраняются платежные данные — номер карты, срок действия, имя владельца, в общем, все, кроме CVC-кода. Поэтому нам так удобно работать на привычном компьютере, ведь пароли не приходится каждый раз доставать из дальних уголков памяти. Но иногда нужно пройти идентификацию на другом устройстве, вот тогда приходится вспоминать пароли или искать их. Если войти в аккаунт Google на любом устройстве, автоматически подгрузятся ваши сохраненные в аккаунте пароли. Это работает и в том случае, если вы синхронизируетесь с телефоном.
Пароли из аккаунта Google можно просмотреть на странице password.google.com — это страница диспетчера паролей. Здесь устанавливаются главные настройки сохранения.
7. Для каждого пароля открывается отдельное окно, здесь можно внести изменения, удалить данные или просто посмотреть, перенести на другое устройство.
Все пароли, которые вы увидите в данном разделе, имеют привязку к аккаунту Google, их можно увидеть на любом устройстве, синхронизированном с аккаунтом. Если вы хотите удалить сохраненные пароли, это придется сделать для каждого сайта по отдельности.
Обратите внимание, Google всегда предупреждает, если пароли были украдены, приводит список всех раскрытых паролей. В этом случае раскрытые пароли следует изменить, чтобы обезопасить свои аккаунты на пострадавших сайтах. Самое страшное — если украдут входные данные от интернет-банков, хотя эта категория сайтов имеет наилучшую защиту.
Как узнать пароль wi-fi на телефонах Android
Иногда требуется подключить к домашней или офисной сети wi-fi новое устройство, но вы так давно подключались, что уже не помните пароли и не можете подсказать его.
Есть несколько способов узнать пароль от сети wi-fi, если уже есть подключенное к ней устройство Android. Легко найти пароль можно только на устройствах, работающих на системе Android 10.
Xiaomi — первый производитель, который встроил в настройки возможность увидеть пароль от знакомой сети wi-fi. Для этого идем в Настройки — Wi-Fi — точка доступа, которая интересует. На экране появится QR-код для подключения к сети, код нужно отсканировать камерой другого телефона Android, и на его дисплее отразится вся информация из QR-кода: имя сети, пароль, будет кнопка «подключиться к сети». То есть нет необходимости вбивать сложный пароль, достаточно отсканировать QR-код из телефона Xiaomi, уже подключенного к сети.
На телефонах Honor, работающих на прошивке EMUI, тоже можно увидеть пароль от wi-fi. Для того, чтобы узнать пароль на этих моделях, пройдите в Настройки — wi-fi (или Беспроводные сети) — точка доступа. Аналогично вышеописанному, здесь появится QR-код, который необходимо отсканировать камерой другого телефона для просмотра пароля от сети. Еще пароль будет написан сразу под кодом, его можно переписать или сфотографировать. Остается добавить, что процедура поиска на Samsung Galaxy совпадает с нашей инструкцией.
В разделе автозаполнения можно разрешить или запретить автоматически входить на сайты и в приложения с помощью сохраненных учетных данных.
Сохранённые пароли в браузере Яндекс
Перейдите в Настройки — Показать дополнительные настройки — Пароли и формы — Управление паролями. Все сохранённые пароли находятся здесь в формате таблицы со столбцами: Сайт, Имя пользователя, Пароль. Изначально пароли скрыты, как и в Google Chrome. Для просмотра нажмите — Показать в окне пароля. Система потребует ввести код-пароль компьютера, и только потом покажет комбинацию пароля.
Сохранённые пароли в браузере Opera
Здесь сохраненные пароли следует искать по маршруту Меню — Настройки — Безопасность — пароли — Показать все пароли. Есть окно для поиска по сайтам, пароль также заретуширован. Показать — кнопка для отображения комбинации пароля. Крестик в правой части строки позволяет удалить входные данные для выбранного сайта. Если нужно удалить все пароли, лучше очистить историю посещений, отметив файлы куки и пароли.
Сохранённые пароли в браузере Mozilla Firefox
Mozilla — один из самых популярных браузеров, поэтому запросы о работе с ним поступают достаточно часто. Для просмотра сохраненных паролей следует перейти: Меню — Настройки — Приватность и защита — Формы и пароли — Сохраненные логины (в правой части экрана). После перехода откроется окно со списком сайтов и именами пользователей. Пароли сначала не видны, для их просмотра нужно нажать дополнительную кнопку Отобразить пароли (под списком сайтов). В отличие от других браузеров, в Mozilla для отображения паролей нужен отдельный мастер-пароль, а не код входа в компьютер. Если установить мастер-пароль, никто не сможет увидеть ваши входные данные. Также здесь проще реализована возможность очистки всех паролей — сразу в этом окне есть кнопка — Удалить все. Не нужно отдельно искать раздел очистки истории.
Резюме
Просмотр сохраненных паролей на телефонах Android очень прост, так как операционная система синхронизируется с аккаунтом Google. Нужно войти в свой аккаунт, перейти в настройки телефона, и в разделе Google — Автозаполнение — отобразятся все сохраненные пароли. Их можно копировать, изменять и удалять в целях безопасности. Найти пароль от знакомой сети wi-fi проще всего на современных гаджетах с ОС Android 10. В остальных случаях необходимо обладать root-правами и скачивать специальные приложения для восстановления пароля wi-fi.
РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ МЕНЕДЖЕРОВ ПАРОЛЕЙ ДЛЯ ОС АНДРОИД Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Черников А.В.
Рассматриваются существующие менеджеры паролей в операционной системе (далее ОС) Андроид: функционал, возможности, проблемы применения. За предмет исследования взяты как платные, так и бесплатные версии менеджеров паролей , как с открытым исходным кодом, так и с закрытым. В результате проведенного анализа делаются выводы и приводятся рекомендации о необходимости или внедрения дополнительных функций в существующие решения, или разработку нового менеджера паролей с исключенными проблемами.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Черников А.В.
ОДНА ИЗ ВОЗМОЖНЫХ РЕАЛИЗАЦИЙ МОДЕЛИ МЕНЕДЖЕРА ПАРОЛЕЙ ДЛЯ ОС АНДРОИД
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ АДМИНИСТРИРОВАНИЯ УЧЕТНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ
Анализ методов хранения пользовательских паролей в оС Windows
Доказательство с нулевым разглашением как метод аутентификации в веб-приложениях
Метод аутентификации с использованием динамических ключей
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.
RECOMMENDATIONS FOR DEVELOPING PASSWORD MANAGERS OF ANDROID OS
The paper examines the existing password managers in the Android operating system (hereinafter OS): functionality, capabilities, application problems. For the subject of research, both paid and free versions of password managers, both open source and closed, were taken. As a result of the analysis, conclusions are drawn and recommendations are made on the need for either the introduction of additional functions into existing solutions, or the development of a new password manager with excluded problems.
Текст научной работы на тему «РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ МЕНЕДЖЕРОВ ПАРОЛЕЙ ДЛЯ ОС АНДРОИД»
ВЕСТНИК ПЕРМСКОГО УНИВЕРСИТЕТА
Математика. Механика. Информатика
УДК 004.056.53, 004.422.832
Рекомендации по разработке менеджеров паролей для ОС Андроид
Пермский национальный исследовательский государственный университет; г. Пермь, Россия arsenyperm@mail.ru; ORCID ID 0000-0001-9430-3587, AuthorID 552297
Рассматриваются существующие менеджеры паролей в операционной системе (далее ОС) Андроид: функционал, возможности, проблемы применения. За предмет исследования взяты как платные, так и бесплатные версии менеджеров паролей, как с открытым исходным кодом, так и с закрытым. В результате проведенного анализа делаются выводы и приводятся рекомендации о необходимости или внедрения дополнительных функций в существующие решения, или разработку нового менеджера паролей с исключенными проблемами.
Ключевые слова: информационная безопасность; менеджер паролей; операционная система Андроид
Поступила в редакцию 10.10.2021, принята к опубликованию 10.11.2021
Recommendations for developing password managers of Android OS
Perm State University; Perm, Russia
arsenyperm@mail.ru; ORCID ID 0000-0001-9430-3587, AuthorID 552297
The paper examines the existing password managers in the Android operating system (hereinafter OS): functionality, capabilities, application problems. For the subject of research, both paid and free versions of password managers, both open source and closed, were taken. As a result of the analysis, conclusions are drawn and recommendations are made on the need for either the introduction of additional functions into existing solutions, or the development of a new password manager with excluded problems.
Key words: information security; password manager; operating system Android
Received 10.10.2021, accepted 10.11.2021 DOI: 10.17072/1993-0550-2021-4-49-57
На сегодняшний момент существование человека без информационных технологий невозможно представить. Компьютер, смартфон, планшет являются обязательной частью нашей жизни. Человек повседневно использует множество Интернет-ресурсов: сайты, электронная почта, социальные сети и т.д. При этом для соблюдения правил информа-
© Черников А. В., 2021
ционной безопасности для доступа к любым ресурсам требуется ввести логин и пароль (пройти процесс аутентифика-
ции/идентификации). Но, как известно, применение логинов и паролей не всегда безопасно, и поэтому существует ряд правил, увеличивающих надежность паролей. Одним из таких правил становится уникальности/неповторяемость пароля — один пароль используется один раз для одного ресурса.
Но представить, что человек будет выполнять это требования и придумывать/запоминать огромное количество паролей невозможно. Поэтому либо данное правило не принимают во внимание, и создаются простые одинаковые/однотипные пароли, либо записывают пароли в блокнот, в текстовый документ (но и при этом, в основном, правило не выполняется).
Решить эту проблему (теоретически) позволяют менеджеры паролей — приложения/программы, которые генерируют/хранят/выдают по требованию пользователя логины пользователей и их пароли [3]. Менеджеры паролей дают пользователям возможности легко и просто генерировать/использовать уникальный и надежный пароль для каждого электронного ресурса, требующего аутентификации по паролю. Теперь пользователю не стоит задумываться о придумывании и запоминании множества логинов и паролей, а достаточно только знать один пароль, с помощью которого он получает доступ к менеджеру паролей. Отличное и главное, простое и удобное решение, но одна решенная задача порождает другие: безопасность самого менеджера паролей и одна из проблем — конфиденциальность данных, содержащихся в менеджере паролей. Необходимо уделять особое внимание безопасному хранению информации и быть уверенным, что всеми данными, которые хранит менеджер паролей, не завладеет злоумышленник [7, 18]. Есть и другая проблема: не все пользователи готовы полностью доверять свои конфиденциальные данные менеджерам паролей [3].
Поэтому проблема безопасного хранения логинов и паролей пользователя, проблема безопасного хранения учетных данных пользователя в менеджерах паролей — крайне важный вопрос в области информационной безопасности на сегодняшний день. Данная проблема актуальна на сегодняшний день еще и потому, что с ростом популярности менеджеров паролей увеличивается и интерес злоумышленников к таким приложениям. Их методы несанкционированного доступа к данным пользователей становятся все более широкими (разрабатываются новые методы атак и организации НСД), поэтому функции защиты информации (во всей области) должны совершенствоваться (не привязываясь только к менеджерам паролей) и быть способными противостоять современным угрозам.
1. Обзор существующих менеджеров паролей
Сегодня для тех или иных ОС разработано большое количество программ/приложений для хранения логинов и паролей, как встроенных в ОС, встроенных в браузер, отдельных приложений и мобильных приложений. Однако существуют и аппаратные и аппаратно-программные комплексы менеджеров паролей — электронные/программно-электронные устройства, которые в памяти хранят логины и пароли. Срок существования на рынке таких программ и/или устройств велик и насчитывает уже два десятилетия, но есть и средства, разработанные недавно (5 лет и менее). Среди них есть менеджеры паролей, завоевавшие популярность и имеющие большую аудиторию пользователей. В рамках данной работы в соответствии с целью исследования будут рассмотрены только несколько таких приложений.
Для удобства выделим отдельные две группы по реализации: менеджеры паролей, имеющие в составе аппаратную часть, и менеджеры паролей, построенные только на программных компонентах.
1.1. Программные менеджеры паролей
Для анализа были выбраны четыре наиболее популярных менеджера паролей [10], отдельно стоит заметить, что все они являются кроссплатформенными и могут работать не только в среде ОС Андроид:
Так как выбранные менеджеры паролей являются наиболее популярными, то количество установок их максимально, и, следовательно, имеется большое количество различных отзывов и оценок. К сожалению, они стали и объектами исследований злоумышленников, желающих заполучить логины и пароли пользователей. Поэтому выбранные менеджеры паролей представляют наибольший интерес для работы.
Ниже приведены общие характеристики для менеджеров паролей, представленные в работе [2], по которым необходимо провести сравнение:
— место хранения данных;
— используемый алгоритм шифрования базы данных;
— наличие генератора паролей;
— возможность восстановления данных;
— возможность синхронизации между устройствами;
— реализация в виде облачного сервиса;
— необходимость в регистрации;
— доступ к исходным кодам приложения.
Среди вынесенных в текст работы характеристик были выделены те, которые в той или иной степени затрагивают проблемы безопасности менеджеров паролей, и проведен анализ того подхода, который был выбран разработчиками к реализации функции.
Стоит отметить, что не все характеристики менеджеров паролей можно найти в открытом доступе, поэтому далее будут приведены те данные, которые можно получить из открытых источников.
Краткая информация по характеристикам программных менеджеров паролей представлена ниже в табл. 1 и табл. 2.
Таблица 1. Характеристики программных менеджеров паролей ОС Андроид 1Password и LastPass
Таблица 2. Характеристики программных менеджеров паролей ОС Андроид Dashlane и KeePass
Тип аутентификации Двухфакторная Двухфакторная
Место хранения данных Локально/Удаленно Локально/Удаленно
Алгоритм шифрования базы данных AES-256 AES-256
Наличие генератора случайных паролей Есть Есть
Возможность восстановления данных Есть Нет
Возможность синхронизации между своими устройствами Есть Есть
Облачный сервис Нет Есть
Необходимость регистрации Есть Есть
Открытый исходный код Нет Есть
1.1.1. Шифрование данных
Все менеджеры паролей хранят базу данных паролей в зашифрованном виде. Алгоритм шифрования — стандарт AES-256. Пароль от менеджера паролей и ключи шифрования данных хранятся на устройстве пользователя.
1.1.2. Двухфакторная аутентификация
Рассматриваемые менеджеры паролей предоставляют возможность настройки двух-факторной аутентификации для разблокировки приложения при наличии, возможно, организации такого типа аутентификации. В качестве второго этапа, в основном, используется проверка биометрических данных (отпечаток пальца).
1Password использует протокол SRP для аутентификации учетных данных пользователя без отправки пароля от менеджера паролей по сети [1]. Так как SRP протокол эффективно реализует аутентификацию между пользователем и сервером, хранящим информацию о его пароле, то во время передачи пароль украсть невозможно.
Тип аутентификации Двухфакторная Двухфакторная
Место хранения данных Локально/Удаленно Удаленно
Алгоритм шифрования базы данных AES-256 AES-256
Наличие генератора случайных паролей Есть Есть
Возможность восстановления данных Есть Есть
Возможность синхронизации между своими устройствами Есть Есть
Облачный сервис Есть Есть
Необходимость регистрации Есть Есть
Открытый исходный код Нет Нет
1.1.3. Восстановление доступа
Вопрос восстановления учетных данных пользователя и базы данных своих логинов и паролей очень важен для разработчиков и ему уделяется большое внимание. Разработчики решают проблему по-разному.
1Password решает эту проблему следующим образом: созданием семейной или командной учетной записи, и в случае утери пароля от менеджера паролей и секретного-ключа, доступ могут восстановить только люди, которые принадлежат кругу доверенных лиц [1].
KeePass: в случае утери пароля менеджера паролей для базы данных, функция восстановления не реализована, и данные окажутся зашифрованными навсегда [8].
LastPass и Dashlane: для Андроид ОС версии предусмотрен сброс пароля с помощью биометрических данных. В остальных случаях расшифровать базу данных паролей не представляется возможным [5, 9].
1.1.4. Открытый исходный код
Все рассматриваемые приложения, за исключением KeePass, являются коммерческими предложениями, поэтому их исходные коды закрыты. Однако разработчики заявляют, что приложения были разработаны с учетом всех стандартов безопасности.
Исходный код KeePass размещен на GitHub [8]. Открытый код позволил заинтересованным пользователя заняться его исследованием и усовершенствованием, а некоторые на его основе разработали собственные менеджеры паролей.
1.2. Программно-аппаратные менеджеры паролей
Для анализа были выбраны также четыре наиболее популярных аппаратных менеджера паролей [10]:
— Trezor Password Manager;
Аналогично программными менеджерами паролей рассмотрим основные функции, затрагивающие вопросы безопасности данных пользователя.
Краткая информация по характеристикам программно-аппаратных менеджеров паролей представлена ниже в табл. 3 и табл. 4.
Таблица 3. Характеристики программно-аппаратных менеджеров паролей ОС Андроид Mooltipass Mini и Trezor Password Manager
Mooltipass Mini Trezor Password Manager
Тип аутентификации Двухфакторная Двухфакторная
Место хранения данных Локально Удаленно
Алгоритм шифрования базы данных AES-256 AES-256
Канал передачи данных Прямое подключение через USB порт Прямое подключение через USB порт
Наличие генератора случайных паролей Есть Есть
Возможность восстановления данных Есть Есть
Возможность синхронизации между своими устройствами Есть Есть
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
Облачный сервис Есть Есть
Необходимость регистрации Есть Есть
Открытый исходный код Есть Нет
Таблица 4. Характеристики программных менеджеров паролей ОС Андроид Dashlane и KeePass
Hideez Key Pastilda
Тип аутентификации Двухфакторная Двухфакторная
Место хранения данных Локально Локально
Алгоритм шифрования базы данных AES-256 AES-256
Канал передачи данных Прямое подключение через BlueTooth Прямое подключение через USB порт
Наличие генератора случайных паролей Есть Есть
Возможность восстановления данных Нет Нет
Возможность синхронизации между своими устройствами Есть Есть
Облачный сервис Нет Есть
Необходимость регистрации Есть Есть
Открытый исходный код Нет Есть
1.2.1. Хранение и шифрование данных
Все устройства, за исключением Trezor Password Manager, хранят данные локально, в собственной памяти устройства в зашифрованном виде. Trezor в качестве хранилища зашифрованной базы данных использует удаленное хранилище DropBox.
Разработчики Pastilda за основу базы данных паролей взяли открытое решение KeePass [19]. Следовательно, алгоритмы шифрования используются аналогичные программному менеджеру паролей KeePass.
В остальных устройствах база данных шифруется алгоритмом стандарта AES-256.
1.2.2. Каналы передачи данных
Подходы к реализации каналов передачи данных и представленных программно-аппаратных решений менеджеров паролей различны. Разработчики Trezor, Pastilda и Mooltipass взаимодействует с устройствами через USB порт, подсоединяются также через USB порт, но эмулируют стандартную клавиатуру, Hideez Key передает данные по Bluetooth каналу [12].
1.2.3. Восстановление доступа
В данной характеристике Trezor предлагает решение по восстановлению доступа к данным путем ввода секретной фразы, состоящей из 24 слов. При первоначальной установке менеджера паролей эта фраза генерируется программой, и пользователю рекомендуется ее сохранить. При утере пароля от менеджера паролей эта фраза гарантированно восстановит доступ к менеджеру паролей [15].
Разработчики Mooltipass приняли решение о вводе кода, генерируемого при установке программы, и три неверных попытки ввода кода навсегда заблокируют устройство без возможности восстановления данных [14].
Остальными разработчика функция восстановления не предусмотрена [17].
1.2.4. Открытый исходный код
Pastilda разрабатывалась как решение с открытым исходным кодом.
Mooltipass с самого начала проекта публикуют все, что входит в Mooltipass, в репозитории на GitHub.
Разработчики остальных аппаратных менеджеров паролей не предоставляют исходный код менеджера паролей.
1.3. Преимущества и недостатки менеджеров паролей
В результате анализа менеджеров паролей можно выделить следующие достоинства и недостатки программных/программно-
аппаратных средств с точки зрения безопасности: менеджеры паролей упрощают работу пользователей с системами аутентификации электронных ресурсов и выводят управление паролями на более высокий уровень безопасности. Но есть и проблемы, связанные с использованием менеджера паролей. Далее рассмотрим подробнее преимущества и недостатки.
— сложность паролей. При использовании менеджера паролей можно сгенерировать в качестве пароля случайные последовательности, стойкие к различным атакам;
— хранение паролей в зашифрованном виде. Логины и пароли независимо от места хранения хранятся в зашифрованном виде;
— защита от фишинговых атак. Функция автоматического ввода логина-пароля на сайте помогает пользователям защититься от фишинговых атак, поскольку логин и пароль жестко привязаны к доменному имени.
— ошибки программной реализации, программного кода. При разработке менеджера паролей может быть допущена ошибка, приводящая к уязвимости, и это находится в интересах злоумышленников. Но от этого не застраховано не одно приложение/программа;
— утеря всех паролей одновременно. После того, как пользователь сгенерировал пароли случайными образом через менеджера паролей, он не сможет вспомнить их из-за сложности генерации. Если пользователь забудет или потеряет пароль от менеджера паролей, то потеряет все. В некоторых менеджерах существуют варианты восстановления;
— подверженность атакам злоумышленников. Очевидно, что если пароль от менеджера паролей будет скомпрометирован, то все остальные пароли, хранящиеся в памяти устройства, также будут скомпрометированы.
Но, не смотря на выявленные недостатки, эксперты в области информационной безопасности сходятся во мнении, что использовать доверенные менеджеры паролей для обеспечения безопасности работы с электронными ресурсами надежнее, чем осуществлять запись паролей в файл или блокнот [13].
2. Анализ уязвимостей менеджеров паролей
После анализа существующих менеджеров паролей и выявления их достоинств и недостатков необходимо учесть, что, если эти приложения и устройства могут облегчить жизнь пользователя, избавив от необходимости запоминания множества различных паролей, предоставив удобный интерфейс и дополнительный функционал, то возникает вопрос: почему их популярность невелика? Информация об этом приведена в источнике [2]. И отмечено, что важную роль в желании использования приложения играет психологическое принятие человеком данного решения. Многие пользователи не доверяют менеджерам паролей в силу отсутствия контроля над приложением с их стороны, наличия программных уязвимостей [4] и т.д.
Для примера: группа заинтересованных в IT-безопасности студентов из Дармштадт-ского института безопасности информационных технологий, входящего в Общество Фра-унгофера, провела анализ безопасности самых популярных (на основе количества загрузок) приложений для управления паролями под ОС Android [11]. Исследователями были изучены и проанализированы работы приложений My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password. И были выявлены критические ошибки в работе приложений: ряд приложений сохраняли введенные пароли от приложения в открытом виде, ряд других были подвержены воздействию вредоносного ПО и утечке паролей.
Портал «Xakep.ru» публиковал ряд статей о найденных в менеджерах паролей уяз-вимостей. Среди приложений с уязвимостями оказались LastPass [20], Kaspersky Password Manager, Sticky Password, 1Password, KeePass, RoboForm [16].
Набирающие в последнее время популярность аппаратные менеджеры паролей также не обеспечивают должную защиту данных [6]. По данным авторов статьи, получить информацию с устройств можно, подключившись напрямую к их аппаратной составляющей на материнской плате.
Стоит отметить, что большинство обнаруженных в упомянутых исследованиях уяз-вимостей устраняются или частично устранены разработчиками продуктов. Однако это не
уменьшает значимости исследований уязви-мостей менеджеров паролей.
2.1. Анализ уязвимостей программных менеджеров паролей
Анализ уязвимостей программных менеджеров паролей сводится к анализу и сведению в единый реестр уязвимостей, выявленных специалистами (описанными выше). В результате можно выделить следующие категории уязвимостей:
— связанные с хранением ключей;
— с шифрованием данных;
— с защитой канала передачи информации;
— с использованием встроенного веб-браузера.
Для примера рассмотрим несколько найденных уязвимостей из каждой категории.
2.1.1. Уязвимости, связанные с хранением ключей
— похищение и последующая расшифровка пароля от менеджера паролей. Уязвимость была обнаружена в My Passwords. Она позволяла злоумышленнику с физическим контролем над устройством извлечь весь пароль, хранящийся в приложении.
— ключ шифрования данных внедряется в коде приложения. Уязвимость была выявлена в приложении LastPass 4.0. Ключ от приложения и PIN-код симметрично шифровались и хранились в общем файле настроек в локальной папке приложения.
— пароль от менеджера паролей хранится в открытом виде. Приложение F-Secure KEY Password Manager 4.2.8 хранит мастер-пароль в виде простого текста внутри файла /data/data/com.fsecure.key/shared_prefs/ /KeyStorage.xml.
2.1.2. Уязвимости, связанные с шифрованием данных
— заголовки и URL-адреса в базе данных не зашифрованы. В базе данных менеджера паролей 1Password 6.3.3 заголовки и URL-адреса записей веб-сайтов не зашифрованы.
2.1.3. Уязвимости, связанные с защитой канала передачи информации
— реализация небезопасного HTTP-соединения. Менеджер паролей Avast взаимодействует с серверной частью через небезопасные HTTP-соединения. Для защиты связи предоставляется собственный криптографический протокол, имеющий серьезные недо-
статки, позволяющие злоумышленнику расшифровать передаваемые данные.
2.1.4. Уязвимости, связанные с использованием встроенного веб-браузера
— чтение личных данных из папки приложения. Встроенный веб-браузер в 1Password Manager 6.3.3 и LastPass 4.0 позволяет извлекать файлы из каталога личных данных приложения. Что позволяет получить доступ к файлу базы данных и файлу общих настроек приложения.
— использование протокола HTTP вместо HTTPS по умолчанию. Во встроенном веб-браузере 1Password Manager 6.3.3 схема по умолчанию установлена на HTTP.
— утечка пароля поддоменов. Менеджер паролей 1Password Manager 6.3.3 и Dashlane Password Manager 4.3 при автоматическом заполнении учетных данных использует неверный шаблон для поиска в базе данных нужного URL-адреса.
2.2. Анализ уязвимостей программно-аппаратных менеджеров паролей
Уязвимости, рассмотренные на примере программных менеджеров паролей, также могут встретиться и в аппаратной реализации: пароль от менеджера паролей может храниться в открытом виде, шифрование может использоваться только для части базы данных и т.д. Поэтому в данном разделе стоит выделить только те уязвимости, которые характерны именно для электронных устройств:
— ключи шифрования по умолчанию. В некоторых устройствах используются одинаковые ключи шифрования, которые жестко прописываются в памяти устройства при его производстве.
— уязвимости протоколов беспроводной связи. При передаче информации по беспроводным каналам возникает потенциальная возможность перехвата данных злоумышленником.
— отсутствие физической защиты. Данная уязвимость имеет место быть при использовании электронных устройств, однако возможность ее реализации зависит не от производителя устройства, а от его пользователя.
Таким образом, выше были рассмотрены уязвимости программных и аппаратных менеджеров паролей. В каждой группе уязви-мостей были указаны угрозы, для реализации которых могут быть использованы эти уязвимости и последствия их реализации.
В результате проведенного анализа уяз-вимостей существующих менеджеров паролей, проведенного выше, можно сформировать следующие рекомендации, которых необходимо придерживаться при разработке менеджеров паролей:
— необходимо использовать существующие криптографические протоколы, а не создавать и внедрять свои собственные протоколы;
— проверять, действительно ли пароли при разработке должны будут храниться с использованием обратимого шифрования. Обычно достаточно хранить только хэш;
— не использовать жестко запрограммированные ключи симметричного шифрования;
— рекомендуется хранить ключ шифрования базы данных в зашифрованном виде, например, с помощью ключа, полученного применением определенной функции к паролю менеджера паролей;
— менеджер паролей должен шифровать не только учетные данные (имя пользователя и пароль), но и все метаданные;
— не рекомендуется сохранять на устройстве пароль от менеджера паролей или любые его производные в виде открытого текста;
— не рекомендуется хранить ключи шифрования вместе с зашифрованными данными;
— для обмена данными с внешними ресурсами использовать защищенное соединение, например протокол https;
— предусмотреть ограничение количества попыток ввода пароля от менеджера паролей;
— разработать сценарий оповещения пользователя или уничтожения информации в базе данных при обнаружении попытки взлома;
— при автоматическом заполнении веб-форм и предоставлении учетных данных пользователю необходимо сравнивать весь домен веб-ресурса, прежде чем вводить данные в веб-формы. Сравнивать домены только верхнего уровня недостаточно.
Составленные рекомендации по разработке менеджера паролей призваны обратить внимание разработчиков на места в приложении, которые могут содержать потенциальные уязвимости.
Соблюдение данных правил не предполагает создание абсолютно надежного и безопасного менеджера паролей, но направлено на устранение в разрабатываемом приложении наиболее распространенных уязвимостей.
1. Password: сайт. Торонто, Канада, 2020. URL: https://1password.com (дата обращения: 10.10.2021).
2. Alkaldi N. Why do people adopt, or reject, smartphone password managers? / N. Alkaldi, K. Renaud // IEuroUSEC 2016: The 1st European Workshop on Usable Security, Darmstadt, Germany. 2016.
3. Ayyagari R. Why Do Not We Use Password Managers? A Study on the Intention to Use Password Managers / R. Ayyagari // Contemporary Management Research. 2019. P. 227245.
4. Bahmanziari T.P. Is Trust Important in Technology Adoption? A Policy Capturing Approach / T.P. Bahmanziari // Journal of Computer Information Systems. 2003. № 43(4). P. 46-54.
5. DashLane: сайт. — Dashlane Inc, 2020. URL: https://www.dashlane.com (дата обращения: 10.10.2021).
6. Eveleigh P. Hacking Hardware Password Managers: The RecZone / P. Eveleigh. Текст: электронный // PenTestPartners. Security consulting and testing services [сайт]. 2012. Dec, 6. URL: https://www.pentestpartners. com/security-blog/hacking-hardware-password-managers-the-reczone (дата обращения: 10.10.2021).
7. Huth A.O. Password security, protection, and management / A.O. Huth. Текст: электронный // US-CERT: [сайт]. 2012. URL: http://aahuth.com/wp-content/uploads/sites/ 44/2014/02/PasswordMgmt2012-2.pdf (дата обращения: 10.10.2021).
8. KeePass Password Safe: сайт. 2003-2020. URL: https://keepass.info (дата обращения: 10.10.2021).
9. LastPass: сайт. LogMeIn Inc., 2020. URL: https://www.lastpass.com (дата обращения: 10.10.2021).
10. Moore N.J. The Best Password Managers for 2020 / N.J. Moore. Текст: электронный // PCMag: [сайт]. 2020. Oct, 1. URL: https://www.pcmag.com/picks/the-best-password-managers (дата обращения: 10.10.2021).
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
11. Password manager apps. Текст: электронный // Fraunhofer Institute for Secure Information Technology: [сайт]. 2017. URL: https://team-sik.org/trent_portfolio/password-manager-apps (дата обращения: 10.10.2021).
12. Security and data protection solutions | Hideez: сайт. Hideez Group Inc., 2020. URL: https://hideez.com (дата обращения: 10.10.2021).
13. TeamSIK: сайт. TeamSIK, 2019. URL: https://team-sik.org (дата обращения: 10.10.2021).
14. The Mooltipass Hardware Password Keeper: сайт. Stephan Electronics, 2018. URL: https://www.themooltipass.com (дата обращения: 10.10.2021).
15. Trezor Hardware Wallet (Official): сайт. SatoshiLabs, 2020. URL: https://trezor.io (дата обращения: 10.10.2021).
16. Ващило А. Ищем слабые места современных менеджеров паролей // Хакер: [сайт]. 2014. 8 сент. URL: https://xakep.ru/2014/ 09/08/password-manager-pentest (дата обращения: 10.10.2021).
17. Восстановление аккаунтов членов семьи или команды // 1Password: [сайт]. 2017. URL:
https://support.1password.com/ru/recovery (дата обращения: 10.10.2021).
18. Димова К.В. Решение проблемы хранения учетных данных пользователя / К.В. Димова, Р.А. Ешенко. // Научно-техническое и экономическое сотрудничество стран АТР в XXI веке. Т. 1. 2009. С. 139-143.
19. Ларионов И. Пастильда — открытый аппаратный менеджер паролей // Хабр: [сайт]. 2016. 14 июл. URL: https://habr.com/ru/post/ 305594 (дата обращения: 10.10.2021).
20. Нефёдова М. В менеджере паролей LastPass обнаружили кучу новых уязвимо-стей // Хакер: [сайт]. 2015. 19 нояб. URL: https://xakep.ru/2015/11/19/lastpass-bugs (дата обращения: 10.10.2021).
1. Password: sajt. Toronto, Kanada, 2020. URL: https://1password.com (data obrashcheniya: 10.10.2021).
2. Alkaldi N. Why do people adopt, or reject, smartphone password managers? / N. Alkaldi, K. Renaud // IEuroUSEC 2016: The 1st European Workshop on Usable Security, Darmstadt, Germany. 2016.
3. Ayyagari R. Why Do Not We Use Password Managers? A Study on the Intention to Use Password Managers / R. Ayyagari // Contemporary Management Research. 2019. P. 227245.
4. Bahmanziari T.P. Is Trust Important in Technology Adoption? A Policy Capturing Approach / T.P. Bahmanziari // Journal of Computer Information Systems. 2003. № 43(4). P. 46-54.
5. DashLane: sajt. Dashlane Inc, 2020. URL: https://www.dashlane.com (data obrashcheni-ya: 10.10.2021).
6. Eveleigh P. Hacking Hardware Password Managers: The RecZone / P. Eveleigh. Tekst: elektronnyj // PenTestPartners. Security consulting and testing services [sajt]. 2012. Dec, 6. URL: https://www.pentestpartners.com /security-blog/hacking-hardware-password-managers-the-reczone (data obrashcheniya: 10.10.2021).
7. Huth A.O. Password security, protection, and management / A.O. Huth. Tekst: elektronnyj // US-CERT: [sajt]. 2012. URL: http://aahuth.com/wp-content/uploads/ sites/44/2014/02/PasswordMgmt2012-2.pdf (data obrashcheniya: 10.10.2021).
8. KeePass Password Safe: sajt. 2003-2020. URL: https://keepass.info (data obrashcheniya: 10.10.2021).
9. LastPass: sajt. LogMeIn Inc., 2020. URL: https://www.lastpass.com (data obrashcheniya: 10.10.2021).
10. Moore N.J. The Best Password Managers for 2020 / N.J. Moore. Tekst: elektronnyj // PCMag: [sajt]. 2020. Oct, 1. URL: https:// www.pcmag.com/picks/the-best-password-managers (data obrashcheniya: 10.10.2021).
11. Password manager apps. Tekst: elektronnyj // Fraunhofer Institute for Secure Information Technology: [sajt]. 2017. URL: https://team-sik.org/trent_portfolio/password-manager-apps (data obrashcheniya: 10.10.2021).
12. Security and data protection solutions Hideez: sajt. Hideez Group Inc., 2020. URL: https://hideez.com (data obrashcheniya: 10.10.2021).
13. TeamSIK: sajt. TeamSIK, 2019. URL: https://team-sik.org (data obrashcheniya: 10.10.2021).
14. 14. https://www.themooltipass.com (data obrashcheniya: 10.10.2021).
15. Trezor Hardware Wallet (Official): sajt. SatoshiLabs, 2020. URL: https://trezor.io (data obrashcheniya: 10.10.2021).
16. Vashchilo A. Ishchem slabye mesta sov-remennyh menedzherov parolej // Haker: [sajt]. 2014. 8 sent. URL: https://xakep. ru/2014/09/08/-password-manager-pentest (data obrashcheniya: 10.10.2021).
17. Vosstanovlenie akkauntov chlenov sem’i ili komandy // 1Password: [sajt]. 2017. URL: https://support. 1password. com/ru/recovery (data obrashcheniya: 10.10.2021).
18. Dimova K.V. Reshenie problemy hraneniya uchetnyh dannyh pol’zovatelya / K.V. Dimo-va, R.A. Eshenko. // Nauchno-tekhni-cheskoe i ekonomicheskoe sotrudnichestvo stran ATR v XXI veke. T. 1. 2009. S. 139-143.
19. Larionov I. Pastil’da — otkrytyj apparatnyj menedzher parolej // Habr: [sajt]. 2016. 14 iyul. URL: https://habr.com/ru/post/305594 (data obrashcheniya: 10.10.2021).
20. Nefyodova M. V menedzhere parolej LastPass obnaruzhili kuchu novyh uyazvimostej // Haker: [sajt]. 2015. 19 noyab. URL: https://xakep.ru/2015/11/19/lastpass-bugs (data obrashcheniya: 10.10.2021).
Просьба ссылаться на эту статью:
Черников А.В. Рекомендации по разработке менеджеров паролей для ОС Андроид // Вестник ПГУ. Математика. Механика. Информатика. 2021. № 4 (55). С. 49-57. DOI: 10.17072/1993-0550-2021-449-57.
Please cite this article as:
Chernikov A. V. Recommendations for developing password managers of Android OS // Bulletin of Perm University. Mathematics. Mechanics. Computer Science. 2021. № 4 (55). P. 49-57. DOI: 10.17072/19930550-2021-4-49-57.