Paroolihaldur Yandexi brauseri laiendus. Uus arhitektuur, mis kasutab põhiparooli. Mobiilne paroolihaldur

Paljud kasutajad teavad, et saate oma parooli Yandexi brauseris salvestada. Kuid mitte kõik ei tea, kus Yandexi brauseris paroole salvestatakse. See artikkel räägib teile üksikasjalikult Yandexi veebinavigaatori mandaadihalduri kohta: kuidas seda sisse/välja lülitada, kuidas selles salvestatud andmeid redigeerida, kuidas aktiveerida teatud saitidel sisselogimiseks võtmekaitse.

Lubage paroolide salvestamise võimalus Yandexis

Paroolide salvestamiseks Yandexis peate esmalt kontrollima seadetes vastava valiku aktiveerimise olekut. Seda tehakse järgmiselt:

1. Paroolide automaatseks paigutamiseks Yandexi brauserisse halduris pärast päringu kinnitamist klõpsake Menüü → Seaded.

2. Klõpsake "Näita täiendavaid...".

3. Veenduge, et märkeruut "Paku paroolide salvestamist..." on märgitud. Kui see puudub, klõpsake hiire vasaku nupuga aknal.

Kuidas paroole salvestada?

Pärast valiku lubamist saate anda võimaluse Yandexi parool meeles pidada:

1. Avage sait, mille volikirja soovite haldurisse paigutada.

4. Kui soovid oma paroolile paigaldada täiendavalt vargusvastase kaitse, siis järgmises päringus “Luba kaitse...?” vajuta hiirega, et valida vastus “Luba”.

Kuidas paroole hallatakse?

Kõik paroolid salvestatakse spetsiaalsesse veebibrauseri salvestusruumi. Sellele juurdepääsuks tehke järgmist.

1. Klõpsake uuesti: Menüü → Seaded → Lisaseaded → Paroolid ja vormid → “Paroolihaldus”.

2. Pärast nupu klõpsamist ilmub aken. See kuvab kõigi teie kinnitatud saitide autoriseerimisandmed. Ja ka saidid, mille võtmeid ei salvestata.

3. Kui soovite halduris salvestatud paroole kustutada, hõljutage kursorit kontorea kohal. Ja seejärel klõpsake kuvataval "ristil". Pärast selle käsu käivitamist eemaldab Yandex paroolid täielikult.

4. Paroolide vaatamiseks sisestusreal asetage kursor punktiirklahvi väljale.

5. Klõpsake kuvataval nupul „Näita”. Just see käsk võimaldab teil paroole vaadata. See näitab visuaalselt punktide all olevaid klahvikombinatsiooni sümboleid.

Soovi korral saate parooli eksportida kasutades süsteemi funktsioonid taastamiseks kopeerige (Ctrl + C) ja kleepige (Ctrl + V), salvestage see teistesse brauseritesse.

6. Kui teil on õnnestunud võtit näha (ära tunda), katke see uuesti täppidega: klõpsake väljal nuppu "Peida".

Kui teil on palju salvestatud kontosid, leiate vajaliku konto haldurisse sisseehitatud valiku „Otsi…” abil. See asub paremas ülanurgas.

7. Selleks et kõik andmed konto salvestusruumis jõustuksid, klõpsake enne selle akna sulgemist nupul „Lõpeta“.

Nõuanne! Halduri kiireks täielikuks tühjendamiseks vajutage koos klahvikombinatsiooni Ctrl + Shift + Del, installige paneelile lisandmoodul "Salvestatud paroolid", ajaperiood, mille kohta soovite andmed kustutada, ja klõpsake nuppu "Kustuta ajalugu" (kõik olemasolevad kirjed kustutatakse).

Autoriseerimisandmete turvalisus

Nüüd, kui teate, kuidas Yandexi brauseris salvestatud paroole vaadata, on aeg rääkida nende kaitsmisest.

Kui brauser salvestab sisselogimisnimed ja paroolid, on need kaitstud spetsiaalse kaitsemooduliga Protect. See hoiab ära andmete varguse andmepüügi kaudu (võltsitud saitide, ümbersuunamiste kaudu). Hoiatab sama parooli kasutamise eest erinevatel saitidel.

Veebinavigaator kuvab sisselogimis-parooli paari salvestamisel kaitse lubamise taotluse (vt juhiseid artikli alguses). Kuid seda saab aktiveerida ja konfigureerida muul viisil:

1. Vahekaardil, mille parempoolses servas on veebisait, mille parool vajab täiendavat kaitset aadressiriba Klõpsake "luku" ikooni.

2. Rippmenüü paneeli jaotises " Üldised seaded", klõpsake esimesel real "Hoiata..." liugurit olekusse "Sees".

4. B teabeplokk"Ühendus" saate vaadata veebisaidil kasutatava sertifikaadi üksikasju.

5. Leidke loendist "Load" rida "Paroolikaitse" ja määrake selle väärtuseks "Lubatud".

Märge. Kui peate saidilt paroolikaitse eemaldama, määrake samale reale "Keelatud".

Nagu näete, on Yandexis kontosid üsna lihtne usaldusväärselt kaitsta. Kasutage neid valikuid vastavalt vajadusele. Turvalist veebis surfamist!

Ründajad üritavad varastada paroole, et pääseda ligi kasutajate või nende isikuandmetele elektroonilised rahakotid. Kui paroole salvestatakse krüpteeritud kujul, siis isegi kui häkker varastab paroolide andmebaasi, ei saa nad neid kasutada. Kuidas parem krüptimine paroolid, seda turvalisem on teie võrgukogemus.

  1. Paroolide krüptimine brauseris
  2. Peaparool
  3. Varu krüpteerimisvõti

Paroolide krüptimine brauseris

Paroolisalv krüpteeritakse AES-256-GCM algoritmi abil, kasutades . Algoritmi AES-256 peetakse usaldusväärseks ja USA riiklik julgeolekuagentuur soovitab seda kaitsta ülisalajase riigisaladuse tasemega teavet.

Kuid isegi kõige rohkem keeruline algoritm krüpteerimine ei kaitse teie paroole, kui häkker saab krüpteerimisvõtme teada. Peaparool võimaldab teil sisestada krüpteerimisvõtme võimas kaitse.

  • Peaparooliga
  • Peaparool puudub

Peaparool salvestatakse ainult teie mällu ja seda ei saa varastada. Põhiparooliga ei pea te muretsema:

  • paroolide salvestusruumi varastamine arvutist;
  • paroolide kadumine arvuti arestimise või kaotsimineku tõttu;
  • sünkroonitud salvestusruumi salvestamine Yandexi serverisse (krüptimine on korraldatud nii, et isegi Yandex ei saa teie paroole dekrüpteerida).

See kaitsevalik on vähem usaldusväärne, kuna:

  • Igaüks, kes avab arvutis Yandexi brauseri, saab hõlpsasti halduris paroole vaadata.
  • Krüpteerimisvõtit kaitseb operatsioonisüsteem, mitte peaparool. Kui häkkeritel on juurdepääs, saavad nad teie paroole varastada ja dekrüpteerida.
  • Sünkroonimise ajal pääseb Yandex juurde paroolidele.

Peaparool

Põhiparool pakub teie paroolidele täiendavat turvalisust. Pärast põhiparooli loomist küsib brauser seda, kui proovite avada paroolide salvestusruumi või asendada autoriseerimisvormil varem salvestatud saidi parool.

Suure hulga veebisaidi paroolide asemel peate meeles pidama vaid ühe peaparooli. Sel juhul on veebisaidi paroolid paremini kaitstud. Juurdepääs salvestusruumile on lukustatud peaparooliga, mida ei saa varastada, kuna see on salvestatud ainult teie mällu.

  1. Looge põhiparool
  2. Muuda peaparooli
  3. Eemalda peaparool
  4. Peaparooli küsimise sagedus
  5. Kui olete oma peaparooli unustanud

Looge põhiparool

Märge. Kui teil on sünkroonimine lubatud, värskendage kohe pärast peaparooli loomist Yandex.Browser kõigis seadmetes, kus seda kasutate. Vastasel juhul ei saa brauser paroole sünkroonida.

Muuda peaparooli

Eemalda peaparool

Peaparooli küsimise sagedus

Brauser küsib peaparooli uute paroolide salvestamisel, paroolide automaatsel asendamisel autoriseerimisvormides ja paroolihoidla avamisel. Saate reguleerida, kui sageli teie brauser teilt peaparooli küsib.

Samuti saate peaparooli päringu keelata. Selleks keelake valik Nõua paroolidele juurdepääsuks peaparooli. Selle tulemusena ei küsi brauser teilt enam paroolisalvestusele juurdepääsuks peaparooli. Kus:

  • Peaparooli ei kustutata, vaid see kirjutatakse krüpteeritult andmebaasi. Krüpteerimisvõti salvestatakse arvutisse ja seda kaitseb operatsioonisüsteem.
  • Varem salvestatud paroolid jäävad põhiparooliga krüpteerituks. Uue parooli salvestamisel või vana dekrüpteerimisel kasutab brauser vana peaparooli, ilma kasutajalt seda küsimata.
  • Sünkroonimisprotsessi käigus saadetakse kõik paroolid krüpteeritud kujul teistele seadmetele. Teistes seadmetes asendatakse need paroolid autoriseerimisvormidega ja nende dekrüpteerimiseks peate sisestama peaparooli.
  • Peate peaparooli päringu igas oma seadmes käsitsi keelama. Seda tehakse turvakaalutlustel – et näiteks seadme paroolid, millele keegi teine ​​ligi pääseb, ei muutuks talle sinu teadmata kättesaadavaks.

Kui olete oma peaparooli unustanud

Kui olete oma põhiparooli unustanud ja teil on tagavara krüpteerimisvõti:

  1. Põhiparooli sisestamise vormis klõpsake nuppu Ma ei mäleta oma parooli.
  2. Avanevas dialoogiboksis seadke lüliti asendisse Lähtesta põhiparool. Klõpsake nuppu Jätka.
  3. Sisestage uus vähemalt 6 tähemärgi pikkune peaparool. Soovitame kasutada keerulisi, kuid kergesti meeldejäävaid paroole.
  4. Kinnitamiseks sisestage uus peaparool uuesti. Klõpsake nuppu Jätka.
  5. Sisestage lehel Yandex.Passport oma parool konto Yandexis.
  6. Pärast seda värskendatakse peaparooli ja kõik hoidlas olevad paroolid krüpteeritakse uuesti.

Kui unustate oma peaparooli ja teil pole varukrüpteerimisvõtit, ei saa teie brauser teie paroole taastada. See ei lisa neid enam volitamisvormidesse ja te ei saa neid halduris vaadata. Kõik, mida pead tegema, on kustutada kõik paroolid koos krüpteerimisvõtmega. Kui aga kasutate oma arvutikonto jaoks parooli, peate selle sisestama, et kinnitada oma õigusi paroolide kustutamiseks.

Varu krüpteerimisvõti

Peaparooli lähtestamiseks vajate lisaks varuvõtmele spetsiaalne fail. See genereeritakse automaatselt esmakordsel peaparooli sisestamisel ja salvestatakse kohapeal. Seetõttu ei saa isegi Yandex teie paroole dekrüpteerida.

Juurdepääsu taastamise käigus peate sisestama oma Yandexi konto parooli. Tõenäosus, et ründaja suudab samaaegselt varastada serverist võtme, seadmest faili ja Yandexi konto parooli, on väike.

Varu krüpteerimisvõtme loomiseks toimige järgmiselt.

Brauser teatab teile, et varu krüpteerimisvõti on loodud.

Varukrüpteerimisvõtme kustutamiseks klõpsake paroolihalduri sätetes lingil Keelake põhiparooli lähtestamise võimalus.

Yandex.Browseri installimise alguses näete teadet selle kohta Kaitske süsteemi, mis on mõeldud teie isikuandmete salvestamiseks. Eelkõige mainib see paroolidega töötamist. Kui olete sellest huvitatud, peaksite uurima, kuidas Yandex.Browseris uus sisseehitatud paroolihaldur töötab.

Kuidas paroole salvestada

Yandex.Browser sai oma paroolihalduri 2018. aasta aprillis. Muidugi oli enne paroole võimalik brauseri sätetesse salvestada, et mitte sisestada neid käsitsi iga kord, kui konkreetsele saidile sisse logite. Alates aprillist pole see aga lihtsalt funktsioon, vaid programmi sees täieõiguslik utiliit.

Juurdepääs sellele on äärmiselt lihtne:

  1. Avage Seaded (võileivanupp paremas ülanurgas)
  2. Valige rippmenüüst "Paroolihaldur".

Näete kõigi Yandexi brauserisse salvestatud paroolide loendit. Tõenäoliselt olete üllatunud, kui leiate suur hulk saidid, kuhu olete sisse logitud viimane kord piisavalt kaua. Ajalugu mäletab kõike.

Konkreetse ressursi parooli vaatamiseks vajate:

  • Kerige saitide loendist soovitud saidile
  • Klõpsake real

  • Klõpsake real "Parool" silmaikoonil, et näha tärnide asemel tegelikku sisu

Oluline on märkida: kõik halduris olevad paroolid on salvestatud avatud vorm, mis tähendab, et iga kasutaja saab neid vaadata, kui oskab. See on veel üks põhjus Yandex.Browserisse parooli panemiseks, mis takistab halbadel inimestel teie puudumisel juurdepääsu isikuandmetele.

Boonusena saad veel paar tükki toredad boonused. Kui proovite sisse logida saidile, mille jaoks on salvestatud mitu sisselogimist, saate hõlpsalt valida vajaliku, isegi kui te seda ei mäleta. Kõik reaalses kasutuses olevad halduri funktsioonid on saadaval ilma vastavasse jaotisesse minemata: soovitused kuvatakse just seal, kus paroolid sisestate või välja mõtlete.

Sisselogimiskontode kuvamiseks klõpsake võtmeikooni ja valige soovitud sisselogimine

Seda funktsiooni rakendatakse nii töölaual kui ka mobiiliversioon Yandex.Browser aga kaalume töölaua brauserit. Alates 2018. aasta juunist säilib see funktsioon mobiiliversioonis endiselt beetaversioonis, seega on parem oodata lõplikku väljalaset.

Tugeva parooli loomine

Kui palju kordi on nad maailmale öelnud, et te ei saa kasutada häkistatud kombinatsioone, nagu QWERTY või 12345678! Sellest hoolimata on need primitiivsed ja kergesti häkitavad kombinatsioonid maailma edetabelis esikohal.

Samuti ei tohiks te kasutada isikuandmeid: tõenäoliselt pole inimesed, kes teid häkkida tahavad, häkkerid teisest maailma otsast, vaid inimesed, kes tunnevad teid isiklikult. Ja nad teavad teie sünni- või pulmakuupäeva, laste ja lemmikloomade nimesid ja veelgi rohkem privaatseid asju.

Seetõttu tuleb parool luua "operatsiooni Y" põhimõttel - nii, et keegi ei saaks seda ära arvata. Ideaalis peaks see olema katkendlik arvude komplekt ja Ladina tähed erinevates registrites.

Probleem on üks: sellist juhuslikku komplekti on äärmiselt raske meeles pidada. Seetõttu loovad mõned kogenud kasutajad kahe osa kombinatsioone - juhuslikud või peaaegu juhuslikud (näiteks kunagi kaotatud passi seeria ja number) ning saidiga temaatiliselt seotud. Probleem on selles, et teie lähedaste seast pärit ründaja, olles ühe saidi parooli ära arvanud, saab loogikast kergesti aru ja võib sama hõlpsalt ka teisi murda.

Yandexi paroolihaldur pakub täiesti juhuslikke väärtusi iga kord, kui proovite mõnel ressursil registreeruda. Sel juhul pole vaja seda käsitsi kinnitada: märgikomplekt kopeeritakse automaatselt väljale "Kinnita". Seejärel saate selle hankida halduri vastavast kirjest.

Soovitatud parool ei pruugi teile meeldida. Võib esineda usuliselt või ideoloogiliselt vastuvõetamatuid numbrikombinatsioone, kuigi see on ebatõenäoline – valikud koosnevad peamiselt tähtedest. Või ei pruugi tähed päris hästi moodustada. Artikli autoril "vedas" ühel esimestest katsetest saada kombinatsioon, mis algab sõnaga "persse".

Teise, korralikuma valiku loomiseks klõpsake praegusest paremal asuvat värskendamisnuppu.

Salvestatud kontode haldamine

Kuigi juhataja on üsna tagasihoidliku välimusega, võimaldab ta teha enamiku vajalikest toimingutest. Seega saate saidi real klõpsates:

Muuda kontot. Kasulik, kui peate külastama saiti teise nime all ja mitte näitama, et olete seal käinud. Kui kasutate oma põhikontot, logitakse see automaatselt sisse. Paroolihalduris saate sisestada muid andmeid, et automaatselt teise kontoga sisse logida. Peaasi, et konto oleks olemas ja andmed õiged.

  • Vaata parooli. Mõnikord aitab seda meeles pidada.
  • Kopeeri. See võib olla vajalik saidile mõne teise brauseri kaudu sisselogimiseks või selle endale või kellelegi teisele saatmiseks. Peaasi, et vestlusaknaid ei segaks!
  • Kustuta kirje. Mõnikord võib paroolihalduri mälust kummitusi leida. Näiteks nende ridade autor oli üllatunud, kui avastas loendist isegi kontosid sotsiaalvõrgustikes, mille ta oli ammu kustutanud nagu halva unenäo. Navigeerimise hõlbustamiseks saate oma salvestatud kontosid sortida tähestikuline järjekord sisse logides, klõpsates veeru "Logi sisse" nimel.
  • Looge põhiparool. See blokeerib kõrvalistele isikutele juurdepääsu haldurile. Selleks peate sisestama oma operatsioonisüsteemi kasutajanime (krüptimiseks, Windowsi tööriistad või OS X, mitte brauseri enda mehhanismid) ja määrake parool. Soovi korral saate suvalise avaldise asendada PIN-koodiga või linkida selle oma meilikontoga.

Peaparool pole brauseris kuhugi kirjutatud, seega on selle lekkimise oht minimaalne. Ja kui te selle ise unustate, on võimalus see taastada tavalisi vahendeid. Kõik, mida vajate, on teie Yandexi konto andmed ja varuvõti. Nii et ärge unustage varuosa välja mõelda.

Viimased ülevaated ja testid

Nagu arendajad ise teatavad, loobusid nad Chromiumi mootoris paroolide salvestamise standardmehhanismist, et luua oma, mugavam ja turvalisem. Tõepoolest, uue paroolihalduri kohta pole etteheiteid (peale kalduvuse kasutada tugevaid sõnu). See kasutab mitmeastmelist krüptimist, pääseb juurde vanimatele andmetele ning on varustatud oma juhusliku kombinatsiooni generaatori ja enesekaitse astmetega.

Kõik ülevaated nõustuvad, et paroolihaldur on väga mugav, ehkki mitte ainulaadne: näiteks Operas on salvestusruum funktsionaalsuse ja olemuselt sarnane. Ohutustestide osas pole sõltumatuid uuringuid veel läbi viidud, kuid esmapilgul tundub kõik korralik. Seega, kui Yandex.Browser on vaikimisi installitud, võib see asendada väliseid programme, nagu LastPass või Roboform.

Aleksander Šihhov, 27.09.2018 (17.10.2018)

Usaldades veebisaidi paroolid Yandex.Browserile, muudame elu lihtsamaks. Kui olete sünkroonimise lubanud, täidetakse salajased väljad automaatselt kõikides seadmetes (arvuti, sülearvuti, telefon). Samas on sellisel süsteemil nõrkus. Igaüks, kes käivitab arvutis rakenduse Yandex.Browser pärast seda, kui olete salvestatud paroolidele automaatselt juurde pääsenud. Kuidas seda vältida, on meie artiklis.

Mis on Yandexi brauseris põhiparool

Põhiparool on sisuliselt teie isikliku andmebaasi võti. See on vajalik võimaluse välistamiseks automaatne täitmine sisselogimis- ja parooliväljad veebisaitidel, sotsiaalvõrgustikes ja postiteenused. Isegi kui jätate brauseri avatuks, ei saa ründaja seda ära kasutada. Väline programm ei saa võtme andmebaasi lugeda, kuna see on krüptitud.

Peaparool aitab tagada turvalisuse, kui sama arvutit kasutab mitu kasutajat. Brauser võimaldab kiiresti erinevate profiilide vahel lülituda. Konto parooli ei küsita.

Kuidas seadistada peaparool

Avage seadete menüü (kolmega nupp horisontaalsed triibud brauseriakna paremas nurgas). Valige jaotis Paroolihaldur.

Ilmuvas menüüs klõpsake Seaded, Loo põhiparool.

Teilt võidakse nõuda oma konto parooli sisestamist Windowsi kirjed, mille all logisite oma arvutisse sisse. See aitab vältida olukorda, kus režiimi kogemata aktiveerib teine ​​kasutaja, kes on teie nime all brauserisse sisse logitud. , mida on lihtne meeles pidada, on kirjeldatud ühes meie artiklitest.

Kui te pole kindel, et koodsõna jääb teile igaveseks meelde, valige suvand Luba lähtestamine. Nii saate selle alati vajadusel keelata või muuta.

Pärast põhiparooli režiimi lubamist hakkab see töötama kõigis seadmetes, kus kasutate Yandexi brauseri sünkroonimist. Kui proovite kasutada salajaste väljade automaatset täitmist, kuvatakse järgmine taotlus.

Turvapoliitika tõsiduse ja päringute sageduse määrate seadetes.

Väärib märkimist, et brauserit kasutades kellegi teise arvutis parim viis Andmete turvalisuse tagamiseks saate ainult oma kontolt välja logida.

Kummalisel kombel kasutab ainult 1% brauseri kasutajatest paroolide salvestamiseks spetsiaalseid laiendusi (LastPass, KeePass, 1Password, ...). Kõigi teiste kasutajate paroolide turvalisus sõltub brauserist. Täna räägime Habrahabri lugejatele, miks meie meeskond loobus Chromiumi projekti paroolikaitse arhitektuurist ja kuidas arendasime välja oma paroolihalduri, mida juba testitakse beetaversioonis. Samuti saate teada, kuidas lahendasime põhiparooli lähtestamise probleemi ilma paroole endid dekrüpteerimata.

Turvalisuse seisukohast on soovitatav igal saidil kasutada ainulaadset parooli. Kui ründajad varastavad ühe parooli, saavad nad juurdepääsu ainult ühele saidile. Probleem on selles, et kümnete meeldejätmine tugevaid paroole väga raske. Mõned mõtlevad ausalt välja uued paroolid ja kirjutavad need käsitsi märkmikusse (ja kaotavad koos sellega), teised kasutavad sama parooli kõigil saitidel. Raske on öelda, milline neist valikutest on halvem. Brauserisisene paroolihaldur võib olla lahendus miljonite tavakasutajate jaoks, kuid selle tõhusus sõltub sellest, kui lihtne ja turvaline see on. Ja nendes küsimustes eelmine otsus seal oli lünki, mida käsitleme allpool.

Miks me loome uus juht paroolid?

Praeguses Chromiumilt päritud Windowsi paroolihalduri rakenduses kaitseb brauser salvestatud paroole üsna lihtsalt. Need krüpteeritakse operatsioonisüsteemi abil (näiteks Windows 7 puhul kasutatakse CryptProtectData funktsiooni, mis põhineb AES algoritm), kuid neid ei salvestata eraldatud alale, vaid lihtsalt profiilikausta. Tundub, et see pole probleem, sest andmed on krüpteeritud, kuid dekrüpteerimisvõti on samuti salvestatud operatsioonisüsteem. Iga arvutis olev programm võib minna brauseri profiilikausta, võtta võtme, dekrüpteerida paroolid kohapeal, saata need aadressile kolmanda osapoole server, ja keegi ei pane seda tähele.

Ja paljud kasutajad sooviksid takistada juhuslikul inimesel, kellel pole eriväljaõpet, kuid kellel on lühiajaline juurdepääs brauserile (näiteks sugulane või töökaaslane), et nad saaksid salvestatud paroolide abil olulistele saitidele sisse logida. .

Mõlemad probleemid lahendatakse põhiparooli abil, mis kaitseb andmeid, kuid mida ei salvestata kuhugi. Ja sellest sai meie esimene nõue Yandex.Browseris paroolide salvestamise uue arhitektuuri jaoks. Aga mitte ainuke.

Ükskõik kui turvaline uus paroolihaldur on, sõltub selle populaarsus sellest, kui lihtne on seda kasutada. Tuletame meelde, et sama 1Password, KeePass ja LastPass, isegi kokku, ei kasuta rohkem kui protsent kasutajaid (kuigi pakume LastPassi meie sisseehitatud lisade kataloogis). Või teine ​​näide. Vanas teostuses pakub brauser parooli salvestamist järgmiselt:

Kogenud kasutajad kas nõustuvad selle teatisega, keelduvad sellest või teevad midagi. Kuid 80% juhtudest seda lihtsalt ei märgata. Paljud kasutajad isegi ei tea, et saate oma brauseris paroole salvestada.

Peaksime rääkima ka funktsionaalsuse kohta. Tänapäeval pole isegi oma paroolide loendisse jõudmine nii lihtne. Peate avama menüü, klõpsama seadeid, minge aadressile lisaseaded, leidke sealt paroolihalduse nupp. Ja alles siis pääseb inimene ligi primitiivsele kontode loendile, mida ei saa sisselogimise järgi sorteerida, tekstimärkmega lisada ja redigeerida. Lisaks peaks paroolihaldur aitama teil uusi paroole välja mõelda.

Ja veel üks asi. Meie jaoks oli oluline, et uus arhitektuur vastaks Kerkhoffsi põhimõttele, st et selle töökindlus ei sõltuks ründajate teadmistest kasutatavate algoritmide kohta. Krüptosüsteem peab jääma turvaliseks ka siis, kui nad teavad kõike peale kasutatavate võtmete.

Miks me ei võtnud valmis lahendust?

On tooteid avatud lähtekood, mis toetavad peaparooli ja täiustatud funktsioone. Neid sai brauserisse integreerida, kuid need ei sobinud meile mitmel põhjusel.

Esimesena tuleb meelde KeePass. Kuid selle salvestusruum on täielikult krüptitud ja meie brauseris toimib sünkroonimine rida-realt. See tähendab, et peate igal sünkroonimisel küsima peaparooli või krüpteerima kirjed eraldi. Teine võimalus on kasutajatele sõbralikum. Veelgi enam, masstoote puhul on oluline, et kasutaja teaks salvestatud parooli asendamise võimalusest enne andmebaasi avamist peaparooliga, mistõttu peab osa teabest jääma krüptimata.

Paroolidega töötamiseks mõeldud spetsiaalsetel lisandmoodulitel on võimalus põhiparool lähtestada, kui kasutaja on selle unustanud. Kuid selleks peate alla laadima, peitma ja mitte kaotama varukood või faili. See on okei, kui me räägime energiakasutajate kohta, kuid see on raske kõigile teistele. Nii et me pidime selle välja mõtlema alternatiivne lahendus. Spoiler: lõpuks õnnestus meil leida lahendus, mille puhul saab põhiparooli lähtestada, kuid isegi Yandex ei pääse andmebaasi juurde. Aga sellest pikemalt hiljem.

Ja igal juhul tuleks iga kolmanda osapoole lahendust tõsiselt muuta, et see oleks natiivselt brauserisse integreeritud (ümber kirjutatud C++ ja Java keeles) ja kasutajate jaoks piisavalt lihtne (asendada täielikult välja kogu liides). Nii üllatavalt kui see ka ei kõla, on paroolide salvestamiseks ja krüpteerimiseks uue arhitektuuri kirjutamine lihtsam kui kõige muu tegemine. Seetõttu on loogilisem mitte proovida kahte algselt kokkusobimatut toodet üheks kombineerida, vaid viimistleda enda oma.

Uus arhitektuur kasutades peaparooli

Plaatide enda salvestamises pole midagi ebatavalist. Kasutame usaldusväärseid ja kiire algoritm AES-256-GCM paroolide ja märkmete krüptimiseks, me ei krüpti aadresse ja sisselogimisi kasutusmugavuse huvides, vaid allkirjastame need, et kaitsta võltsimise eest. Sama 1Passwordi salvestusskeem on korraldatud sarnaselt.

Kõige huvitavam on 256-bitise encKey kaitse, mis on vajalik paroolide dekrüpteerimiseks. See võtmehetk parooli turvalisus. Kui ründaja selle võtme teada saab, saab ta hõlpsasti kogu salvestusruumi häkkida, olenemata krüpteerimisalgoritmi keerukusest. Seetõttu põhineb võtmekaitse järgmiselt põhiprintsiibid:

– Juurdepääs krüpteerimisvõtmele on blokeeritud peaparooliga, mida ei salvestata kuhugi.
– Krüpteerimisvõti ei tohiks olla matemaatiliselt seotud peaparooliga.

IN lihtsad teenused ja rakenduste puhul saadakse krüpteerimisvõti peaparooli räsimise teel, et vähemalt aeglustada jõhkra jõuga rünnakut. Kuid võtme matemaatiline sõltuvus põhiparoolist lihtsustab ikkagi häkkimist, mille kiirus sõltub antud juhul ainult räsimise usaldusväärsusest. Häkkimiseks mõeldud ASIC-protsessoritest valmistatud farmide kasutamine pole enam haruldane. Seetõttu ei tulene meie puhul encKey võti põhiparoolist ja genereeritakse juhuslikult.

Järgmisena krüpteeritakse encKey võti kasutades asümmeetriline algoritm RSA-OAEP. Selleks loob brauser võtmepaari: avaliku pubKey ja privaatse privKey. EncKey on kaitstud avaliku võtmega ja seda saab dekrüpteerida ainult privaatvõtme abil.

Avaliku võtme pubKey ei vaja kaitsmist, sest see ei sobi dekrüpteerimiseks, kuid privaatse privKeyga on lugu teine. Varguse eest kaitsmiseks blokeeritakse juurdepääs sellele vastavalt PKCS#8 standardile, kasutades unlockKey parooli, mis omakorda tuleneb peaparooli räsimisest funktsiooniga PBKDF2-HMAC-SHA256 (100 tuhat kordust; soola ja varahoidla ID). Kui põhiparool ühtib kogemata veebisaidilt juba varastatud parooliga, peidab soola lisamine selle fakti ja muudab selle lahtimurdmise raskemaks. Ja tänu piisavalt pika peaparooli korduvale räsimisele on unlockKey murdmise keerukus võrreldav encKey võtme murdmisega.

Krüptitud paroolid, nende krüptitud võtme encKey, krüpteeritud privaatvõti privKey ja avalik võti pubKey salvestatakse brauseri profiili ja sünkroonitakse teiste kasutajaseadmetega.

Kõige selle mõistmise hõlbustamiseks on siin parooli dekrüpteerimise skeem:

Sellel põhiparooli kasutaval arhitektuuril on mitmeid eeliseid:

– 256-bitine krüpteerimisvõti genereeritakse juhuslikult ja sellel on inimese loodud paroolidega võrreldes kõrge krüptograafiline tugevus.
– Peaparooli jõhkralt sundimisel ei tea ründaja tulemust, kui ta ei läbi kogu ahelat (parool-PBKDF2-RSA-AES). See on väga pikk ja väga kallis.
– Kui räsifunktsioon on ohus, võime lülituda sellele Alternatiivne variant räsimine, säilitades samal ajal tagasiühilduvuse.
– Kui ründaja saab põhiparooli teada, saab seda muuta ilma kogu salvestusruumi dekrüpteerimise keeruka ja riskantse protseduurita, kuna andmete krüpteerimisvõtit ei seostata põhiparooliga ja seetõttu ei ole see ohustatud.
– Krüpteerimisvõti salvestatakse krüpteeritud kujul. Ei Yandex ega Yandexi parooli varastanud ründaja ei pääse sünkroonitud paroolidele juurde, kuna selleks on vaja peaparooli, mida ei salvestata kuhugi.

Kuid põhiparooli valikul on üks "miinus": kasutaja võib peaparooli unustada. See on normaalne, kui tegemist on kasutatavate spetsiaalsete lahendustega kogenud kasutajad riskist hästi teadlik. Kuid mitme miljoni dollari suuruse vaatajaskonnaga toote puhul on see vastuvõetamatu. Kui me varuvõimalust ei paku, keelduvad paljud Yandex.Browseri kasutajad peaparooli kasutamisest või ühel päeval "kaotavad" kõik oma paroolid ja selles on süüdi brauser (teid üllatab, kuid Yandex on sageli viimane abinõu olukorras, kus inimene unustas oma konto parooli). Ja lahenduse leidmine polegi nii lihtne.

Kuidas lähtestada põhiparool ilma paroole avaldamata?

Mõned tooted lahendavad selle probleemi, salvestades dekrüptitud andmed (või isegi peaparooli) pilve. See valik meile ei sobinud, kuna ründaja võis varastada Yandexi parooli ja koos sellega kõigi saitide paroolid. Seetõttu pidime leidma viisi, kuidas taastada juurdepääs paroolisalvestusele, kus keegi peale kasutaja enda seda teha ei saaks. Kolmandate osapoolte juhid nad soovitavad luua selleks paroolid varukoopiafail, mida kasutaja peab iseseisvalt turvalises kohas hoidma. Hea otsus, Aga tavakasutajad sellised varuvõtmed lähevad paratamatult kaotsi, nii et meiega on kõik palju lihtsam.

Meenutagem veel kord võtmesõltuvuste ahelat. Paroolihoidla krüpteeritakse juhusliku encKey abil, mida ei salvestata kuhugi selgesõnaliselt. See võti on kaitstud privaatvõti privKey, mida samuti otseselt ei salvestata ja mis on omakorda kaitstud põhiparooli keeruka räsi abil. Kui inimene unustab peaparooli, jääb ta tegelikult ilma võimalusest privKey dekrüpteerida. See tähendab, et saate salvestada privKey duplikaadi varukoopiana. Aga kuhu? Ja kuidas seda kaitsta?

Kui asetate dekrüpteeritud privKey pilve, sõltub paroolide turvalisus teie Yandexi kontost. Ja see on täpselt see, mida me lubada ei tahtnud. Kui salvestate selle selgesõnaliselt kohapeal, kaotab kogu põhiparooliga kaitse igasuguse tähenduse. Pole kohta, kus saaksite seda võtit selgesõnalisel kujul turvaliselt salvestada. See tähendab, et see peab olema krüptitud. Selleks loob brauser juhusliku 256-bitise võtme, mis kaitseb duplikaat privKey. Nüüd tuleb lõbus osa. See juhuslik võti saadetakse salvestamiseks Yandex.Passporti pilve. Ja krüptitud duplikaat jääb kohalikule brauseri profiilile salvestatuks. Selgub, et ei pilves ega arvutis pole paroolide dekrüpteerimiseks valmis paari ja turvalisus ei kannata.

Selle valikuga oleks võimalik põhiparooli lähtestada ainult seal, kus on loodud privKey duplikaat. Tahtsime selle funktsiooni lisada sünkroonitud seadmetele. Igas seadmes varuvõtme käsitsi loomine on ebamugav: võite kogemata sattuda seadme juurde, millele unustasite duplikaadi luua. Sünkroonimise abil ei saa krüpteeritud duplikaati teistele seadmetele saata: selle võti on juba pilves salvestatud ja turvakaalutlustel ei leia neid ühest kohast. Seetõttu läbib krüptitud duplikaat privKey teise krüpteerimiskihi. Seekord kasutades peaparooli räsi. Põhiparooli ei salvestata pilves, nii et saadud “matryoshka” saab juba ohutult sünkroonida. Teistes seadmetes eemaldatakse täiendav krüpteerimiskiht esmakordsel parooli sisestamisel.

Selle tulemusel, kui kasutaja unustab peaparooli, peab ta taotlema brauseri kaudu parooli lähtestamist ja oma isikut Yandexi parooli abil kinnitama.

Brauser küsib Yandex.Passportilt võtit, kasutab seda duplikaatvõtme privKey dekrüpteerimiseks, kasutab seda encKey salvestusruumi võtme dekrüpteerimiseks ja loob seejärel uue paari pubKey ja privKey, millest viimast kaitseb uus peaparool. Paroolisalvestust ei dekrüptita, mis vähendab andmete kadumise ohtu. Muide, saate ka sunniviisiliselt encKey-d muuta ja andmed uuesti krüpteerida: lihtsalt keelake ja lubage seadetes põhiparool.

Selgub, et ainult kasutaja ise saab põhiparooli lähtestada ja ainult sellel seadmel, kus ta seda vähemalt korra tutvustas. Muidugi ei ole vaja varuvõtit luua, kui kasutaja on enesekindel. Te ei pea isegi põhiparooli kasutama, kuigi me ei soovita sellest loobuda.

Uus arhitektuur ja peaparool pole ainsad muudatused uues halduris. Nagu eespool ütlesime, pole kasutusmugavus ja täiustatud funktsioonid vähem tähtsad.

Uus paroolihaldur

Esiteks oleme kaotanud diskreetse halli riba, mis palub teil parool salvestada. Kasutaja näeb nüüd paroolivälja kõrval viipa. Seda on raske mitte märgata.

Ja nüüd ei pea te seadetest otsima haldurit ennast: nupp on saadaval peamenüüs. Salvestatud kontode loend toetab nüüd sorteerimist sisselogimise, aadressi ja märkuse järgi. Oleme lisanud ka postituse redigeerimise.

Nõuanne. Märkmed on suurepärane alternatiiv siltidele, kuna neid saab otsida.

Ja nüüd aitab brauser luua ainulaadseid paroole.

Esimeses beetaversioonis ei jõudnud me kõike teha. Tulevikus toetame paroolide eksportimist ja importimist, et need ühilduksid populaarsetega kolmanda osapoole lahendused. Meil on ka idee lisada parooligeneraatorisse sätted.

Mobiilne paroolihaldur

Muidugi, uus loogika ja põhiparooli tugi ei ilmu mitte ainult arvutis, vaid ka Yandex.Browser Androidi ja iOS-i versioonides. Väikese kohanemisega. Näiteks võite kasutada mitte ainult põhiparooli, vaid ka sõrmejälge. Samuti keelasime paroolide loendiga lehelt programmiliselt ekraanipiltide tegemise – te ei pea kartma pahatahtlikke rakendusi.

Täna saate proovida uut paroolihaldurit



SEOTUD ARTIKLID