Wachtwoordbeheerder Yandex browserextensie. Nieuwe architectuur met een hoofdwachtwoord. Mobiele wachtwoordbeheerder

Veel gebruikers weten dat u uw wachtwoord in de Yandex-browser kunt opslaan. Niet iedereen weet echter waar wachtwoorden zijn opgeslagen in Yandex Browser. Dit artikel zal u in detail vertellen over de Yandex-webnavigator-referentiebeheerder: hoe u deze in- of uitschakelt, hoe u opgeslagen gegevens erin bewerkt, hoe u sleutelbeveiliging activeert voor inloggen op bepaalde sites.

Schakel de optie in om wachtwoorden op te slaan in Yandex

Om wachtwoorden in Yandex op te slaan, moet u eerst de activeringsstatus van de overeenkomstige optie in de instellingen controleren. Dit wordt als volgt gedaan:

1. Om automatisch wachtwoorden in de Yandex-browser in de manager te plaatsen nadat u het verzoek hebt bevestigd, klikt u op Menu → Instellingen.

2. Klik op “Extra weergeven...”.

3. Zorg ervoor dat het selectievakje 'Aanbieding om wachtwoorden op te slaan...' is aangevinkt. Als deze ontbreekt, klikt u met de linkermuisknop op het venster.

Hoe wachtwoorden opslaan?

Nadat u de optie hebt ingeschakeld, kunt u de mogelijkheid bieden om het wachtwoord voor Yandex te onthouden:

1. Open de site waarvan u de inloggegevens in de manager wilt plaatsen.

4. Als u bovendien een antidiefstalbeveiliging op uw wachtwoord wilt installeren, klikt u in het volgende verzoek respectievelijk “Bescherming inschakelen...?” met de muis om het antwoord “Inschakelen” te selecteren.

Hoe worden wachtwoorden beheerd?

Alle wachtwoorden worden opgeslagen in een speciale webbrowseropslag. Om toegang te krijgen:

1. Klik nogmaals: Menu → Instellingen → Extra instellingen → Wachtwoorden en formulieren → “Wachtwoordbeheer”.

2. Nadat u op de knop hebt geklikt, verschijnt er een venster. Het toont de autorisatiegegevens van alle sites die u heeft bevestigd. En ook sites waarvan de sleutels niet bewaard zijn.

3. Als u opgeslagen wachtwoorden in de manager wilt verwijderen, beweegt u de muis over de accountregel. En klik vervolgens op het “kruisje” dat verschijnt. Na het uitvoeren van deze opdracht zal Yandex de wachtwoorden volledig verwijderen.

4. Om wachtwoorden op de invoerregel te bekijken, plaatst u de cursor in het gestippelde sleutelveld.

5. Klik op de knop “Weergeven” die verschijnt. Met deze opdracht kunt u wachtwoorden bekijken. Het onthult visueel de toetscombinatiesymbolen onder de stippen.

Indien gewenst kunt u het wachtwoord exporteren met systeem functies kopiëren (Ctrl + C) en plakken (Ctrl + V) om te herstellen, sla het op in andere browsers.

6. Nadat je de sleutel hebt gezien (herkennen), bedek je deze opnieuw met stippen: klik op de knop “Verbergen” in het veld.

Als u een groot aantal opgeslagen accounts heeft, kunt u het gewenste account vinden met behulp van de optie "Zoeken..." die in de manager is ingebouwd. Het bevindt zich in de rechterbovenhoek.

7. Om alle gegevenswijzigingen in de accountopslag door te voeren, klikt u op “Voltooien” voordat u het venster sluit.

Advies! Om de manager snel volledig te wissen, drukt u tegelijkertijd op “Ctrl + Shift + Del”, installeert u de add-on “Opgeslagen wachtwoorden” in het paneel, de tijdsperiode waarvoor u de gegevens wilt wissen en klikt u op “Geschiedenis wissen” (allemaal bestaande vermeldingen worden verwijderd).

Beveiliging van autorisatiegegevens

Nu u weet hoe u opgeslagen wachtwoorden in Yandex Browser kunt bekijken, is het tijd om te praten over het beschermen ervan.

Wanneer de browser logins en wachtwoorden opslaat, worden deze “beschermd” door een speciale beveiligingsmodule genaamd Protect. Het voorkomt gegevensdiefstal door middel van phishing (via nepsites, omleidingen). Waarschuwt voor het gebruik van hetzelfde wachtwoord op verschillende sites.

De webnavigator geeft een verzoek weer om de beveiliging in te schakelen bij het opslaan van een login-wachtwoordpaar (zie instructies aan het begin van het artikel). Maar het kan op een andere manier worden geactiveerd en geconfigureerd:

1. Op het tabblad met de website waarvan het wachtwoord extra beveiligd moet worden, aan de rechterkant adresbalk Klik op het pictogram "Vergrendelen".

2. In het vervolgkeuzepaneel, in de “ Algemene instellingen", klik in de eerste regel "Waarschuwen...", met de schuifregelaar naar de status "Aan".

4. B informatie blok“Verbinding”, u kunt de details van het gebruikte certificaat op de website bekijken.

5. Zoek in de lijst “Machtigingen” de regel “Wachtwoordbeveiliging” en stel deze in op “Ingeschakeld”.

Opmerking. Als u de wachtwoordbeveiliging op de site wilt verwijderen, stelt u op dezelfde regel 'Uitgeschakeld' in.

Zoals u kunt zien, is het vrij eenvoudig om accounts in Yandex op betrouwbare wijze te beschermen. Gebruik deze opties indien nodig. Veilig surfen op het internet!

Aanvallers proberen wachtwoorden te stelen om toegang te krijgen tot de persoonlijke gegevens van gebruikers of hun persoonlijke gegevens elektronische portemonnees. Als wachtwoorden in gecodeerde vorm worden opgeslagen, kan een hacker, zelfs als hij de wachtwoorddatabase steelt, deze niet gebruiken. Hoe betere encryptie wachtwoorden, hoe veiliger uw online ervaring.

  1. Wachtwoorden coderen in de browser
  2. Hoofdwachtwoord
  3. Reserve-coderingssleutel

Wachtwoorden coderen in de browser

De wachtwoordopslag wordt gecodeerd met behulp van het AES-256-GCM-algoritme met behulp van de . Het AES-256-algoritme wordt als betrouwbaar beschouwd en de Amerikaanse National Security Agency beveelt het aan om informatie te beschermen die een staatsgeheim op topgeheim niveau vormt.

Maar zelfs het meest complex algoritme codering beschermt uw wachtwoorden niet als een hacker de coderingssleutel leert. Met het hoofdwachtwoord kunt u een coderingssleutel instellen krachtige bescherming.

  • Met hoofdwachtwoord
  • Geen hoofdwachtwoord

Het hoofdwachtwoord wordt alleen in uw geheugen opgeslagen en kan niet worden gestolen. Met een hoofdwachtwoord hoeft u zich geen zorgen te maken over:

  • het stelen van wachtwoordopslag van een computer;
  • verlies van wachtwoorden door inbeslagname of verlies van een computer;
  • het opslaan van gesynchroniseerde opslag op de Yandex-server (de codering is zo georganiseerd dat zelfs Yandex uw wachtwoorden niet kan decoderen).

Deze beschermingsoptie is minder betrouwbaar omdat:

  • Iedereen die Yandex Browser op uw computer opent, kan eenvoudig wachtwoorden bekijken in de manager.
  • De coderingssleutel wordt beschermd door het besturingssysteem en niet door een hoofdwachtwoord. Zodra hackers toegang hebben, kunnen ze uw wachtwoorden stelen en decoderen.
  • Tijdens de synchronisatie kan Yandex toegang krijgen tot wachtwoorden.

Hoofdwachtwoord

Een hoofdwachtwoord biedt een extra beveiligingslaag voor uw wachtwoorden. Nadat u een hoofdwachtwoord heeft aangemaakt, zal de browser hierom vragen wanneer u de wachtwoordopslag probeert te openen of een eerder opgeslagen sitewachtwoord in het autorisatieformulier probeert te vervangen.

In plaats van een groot aantal websitewachtwoorden hoeft u slechts één hoofdwachtwoord te onthouden. In dit geval worden websitewachtwoorden beter beschermd. De toegang tot de opslag is vergrendeld met een hoofdwachtwoord dat niet kan worden gestolen, omdat het alleen in uw geheugen wordt opgeslagen.

  1. Maak een hoofdwachtwoord
  2. Wijzig het hoofdwachtwoord
  3. Hoofdwachtwoord verwijderen
  4. Frequentie van hoofdwachtwoordaanvragen
  5. Als u uw hoofdwachtwoord bent vergeten

Maak een hoofdwachtwoord

Opmerking. Als u synchronisatie hebt ingeschakeld, update dan onmiddellijk na het maken van een hoofdwachtwoord Yandex.Browser op alle apparaten waarop u het gebruikt. Anders kan de browser geen wachtwoorden synchroniseren.

Wijzig het hoofdwachtwoord

Hoofdwachtwoord verwijderen

Frequentie van hoofdwachtwoordaanvragen

De browser vraagt ​​om een ​​hoofdwachtwoord bij het opslaan van nieuwe wachtwoorden, het automatisch vervangen van wachtwoorden in autorisatieformulieren en bij pogingen om een ​​wachtwoordkluis te openen. U kunt aanpassen hoe vaak uw browser u om uw hoofdwachtwoord vraagt:

U kunt het verzoek om het hoofdwachtwoord ook uitschakelen. Om dit te doen, schakelt u de optie uit Vraag een hoofdwachtwoord aan om toegang te krijgen tot wachtwoorden. Als gevolg hiervan zal de browser u niet langer om een ​​hoofdwachtwoord vragen om toegang te krijgen tot uw wachtwoordopslag. In dit geval:

  • Het hoofdwachtwoord wordt niet verwijderd, maar in gecodeerde vorm naar de database geschreven. De coderingssleutel wordt op de computer opgeslagen en beschermd door het besturingssysteem.
  • Eerder opgeslagen wachtwoorden blijven gecodeerd met het hoofdwachtwoord. Bij het opslaan van een nieuw wachtwoord of het decoderen van een oud wachtwoord gebruikt de browser het oude hoofdwachtwoord zonder de gebruiker hierom te vragen.
  • Tijdens het synchronisatieproces worden alle wachtwoorden in gecodeerde vorm naar andere apparaten verzonden. Op andere apparaten worden deze wachtwoorden vervangen door autorisatieformulieren en moet u een hoofdwachtwoord invoeren om ze te decoderen.
  • U moet het hoofdwachtwoordverzoek op elk van uw apparaten handmatig uitschakelen. Dit gebeurt uit veiligheidsoverwegingen, zodat bijvoorbeeld wachtwoorden op een apparaat waar iemand anders toegang toe heeft niet zonder uw medeweten voor hem beschikbaar komen.

Als u uw hoofdwachtwoord bent vergeten

Als u uw hoofdwachtwoord bent vergeten en een reserve-coderingssleutel hebt:

  1. Klik in het invoerformulier voor het hoofdwachtwoord op de knop Ik weet mijn wachtwoord niet meer.
  2. In het dialoogvenster dat wordt geopend, zet u de schakelaar op Hoofdwachtwoord opnieuw instellen. Klik op de knop Doorgaan.
  3. Voer een nieuw hoofdwachtwoord van minimaal 6 tekens in. Wij raden u aan complexe, maar gemakkelijk te onthouden wachtwoorden te gebruiken.
  4. Voer ter bevestiging nogmaals het nieuwe hoofdwachtwoord in. Klik op de knop Doorgaan.
  5. Voer op de Yandex.Passport-pagina uw wachtwoord in rekening op Yandex.
  6. Hierna wordt het hoofdwachtwoord bijgewerkt en worden alle wachtwoorden in de kluis opnieuw gecodeerd.

Als u uw hoofdwachtwoord vergeet en geen back-up-coderingssleutel heeft, kan uw browser uw wachtwoorden niet herstellen. Ze worden niet langer in machtigingsformulieren ingevoegd en u kunt ze niet meer bekijken in de manager. Het enige dat u hoeft te doen, is alle wachtwoorden samen met de coderingssleutel verwijderen. Als u echter een wachtwoord voor uw computeraccount gebruikt, moet u dit invoeren om uw rechten op het verwijderen van wachtwoorden te bevestigen.

Reserve-coderingssleutel

Om het hoofdwachtwoord opnieuw in te stellen, heeft u naast de reservesleutel nodig speciaal bestand. Het wordt automatisch aangemaakt wanneer u voor de eerste keer een hoofdwachtwoord invoert en wordt lokaal opgeslagen. Daarom kan zelfs Yandex uw wachtwoorden niet decoderen.

Tijdens het herstelproces van de toegang moet u het wachtwoord voor uw Yandex-account invoeren. De kans dat een aanvaller tegelijkertijd een sleutel van de server, een bestand van het apparaat en een wachtwoord van een Yandex-account kan stelen, is laag.

Een reserve-coderingssleutel maken:

De browser laat u weten dat er een back-up-coderingssleutel is gemaakt.

Om een ​​reserve-coderingssleutel te verwijderen, klikt u in de instellingen van Wachtwoordbeheer op de link Schakel de mogelijkheid uit om het hoofdwachtwoord opnieuw in te stellen.

Helemaal aan het begin van het installeren van Yandex.Browser ziet u een bericht over Bescherm systeem, die is ontworpen om uw persoonlijke gegevens op te slaan. Er wordt met name gesproken over het werken met wachtwoorden. Als u hierin geïnteresseerd bent, moet u weten hoe de nieuwe ingebouwde wachtwoordbeheerder in Yandex.Browser werkt.

Hoe wachtwoorden op te slaan

Yandex.Browser ontving zijn wachtwoordbeheerder in april 2018. Natuurlijk was het voorheen mogelijk om wachtwoorden in de browserinstellingen op te slaan, zodat u ze niet elke keer handmatig hoeft in te voeren wanneer u zich aanmeldt bij een specifieke site. Sinds april is dit echter niet alleen een functie, maar een volwaardig hulpprogramma binnen het programma.

Toegang krijgen is uiterst eenvoudig:

  1. Open Instellingen (sandwichknop in de rechterbovenhoek)
  2. Selecteer 'Wachtwoordbeheerder' in het vervolgkeuzemenu

U ziet een lijst met alle wachtwoorden die zijn opgeslagen in uw Yandex-browser. Je zult waarschijnlijk verrast zijn als je het ontdekt groot aantal sites waarop u bent ingelogd laatste keer lang genoeg. De geschiedenis onthoudt alles.

Om het wachtwoord voor een specifieke bron te bekijken, hebt u het volgende nodig:

  • Blader door de lijst met sites naar de site die u nodig heeft
  • Klik op een lijn

  • Klik op het oogpictogram in de regel 'Wachtwoord' om de echte inhoud te zien in plaats van sterretjes

Belangrijk om op te merken: alle wachtwoorden in de manager worden opgeslagen in open vorm, wat betekent dat elke gebruiker ze kan bekijken als hij weet hoe. Dit is nog een reden om een ​​wachtwoord op Yandex.Browser te zetten, waardoor wordt voorkomen dat slechte mensen tijdens uw afwezigheid toegang krijgen tot persoonlijke gegevens.

Je krijgt er nog een paar als bonus leuke bonussen. Als u probeert in te loggen op een site waarvoor meerdere logins zijn opgeslagen, kunt u eenvoudig degene selecteren die u nodig heeft, zelfs als u deze niet meer weet. Alle functies van de manager die echt worden gebruikt, zijn beschikbaar zonder naar de overeenkomstige sectie te gaan: suggesties verschijnen precies daar waar u invoert of uw wachtwoorden bedenkt.

Om login-accounts weer te geven, klikt u op het sleutelpictogram en selecteert u de gewenste login

Deze functionaliteit is geïmplementeerd in zowel desktop- als mobiele versie Yandex.Browser, we zullen echter de desktop overwegen. Vanaf juni 2018 behoudt deze functie nog steeds de bètastatus in de mobiele versie, dus het is beter om te wachten op de definitieve release.

Een sterk wachtwoord maken

Hoe vaak hebben ze de wereld niet verteld dat je geen afgezaagde combinaties zoals QWERTY of 12345678 kunt gebruiken! Toch staan ​​deze primitieve en gemakkelijk te hacken combinaties op de eerste plaats op de wereldranglijst.

Je mag ook geen persoonlijke gegevens gebruiken: de mensen die je willen hacken zijn hoogstwaarschijnlijk geen hackers van de andere kant van de wereld, maar mensen die je persoonlijk kennen. En ze kennen je geboorte- of trouwdatum, namen van kinderen en namen van huisdieren, en nog meer privézaken.

Daarom moet het wachtwoord worden aangemaakt volgens het principe van "operatie Y" - zodat niemand het kan raden. Idealiter zou het een onsamenhangende reeks getallen moeten zijn Latijnse letters in verschillende registers.

Het probleem is één: zo’n willekeurige set is uiterst moeilijk te onthouden. Daarom genereren sommige geavanceerde gebruikers combinaties van twee delen: willekeurig of bijna willekeurig (bijvoorbeeld de serie en het nummer van een paspoort dat ooit verloren is gegaan), en thematisch gerelateerd aan de site. Het probleem is dat een aanvaller uit uw naaste omgeving, die het wachtwoord voor één site heeft geraden, de logica gemakkelijk zal begrijpen en net zo gemakkelijk de andere kan kraken.

De Yandex-wachtwoordbeheerder biedt volledig willekeurige waarden elke keer dat u zich bij een bepaalde bron probeert te registreren. In dit geval is het niet nodig om dit handmatig te bevestigen: de set tekens wordt automatisch gekopieerd naar het veld “Bevestigen”. Vervolgens kunt u deze ophalen uit de overeenkomstige vermelding in de manager.

Mogelijk bevalt het voorgestelde wachtwoord u niet. Er kunnen religieus of ideologisch onaanvaardbare cijfercombinaties voorkomen, hoewel dit onwaarschijnlijk is; de opties bestaan ​​voornamelijk uit letters. Of de letters vormen zich misschien niet helemaal goed. De auteur van het artikel had “geluk” bij een van de eerste pogingen om een ​​combinatie te krijgen die begon met “fuck”.

Om een ​​andere, fatsoenlijkere optie te genereren, klikt u op de updateknop rechts van de huidige.

Opgeslagen accounts beheren

Hoewel de manager een nogal bescheiden uiterlijk heeft, kunt u met hem de meeste noodzakelijke handelingen uitvoeren. Door op een regel van een site te klikken, kunt u dus:

Wijzig account. Handig als u een site onder een andere naam wilt bezoeken en niet wilt laten zien dat u daar bent geweest. Als u uw hoofdaccount gebruikt, logt deze automatisch in. In de wachtwoordbeheerder kun je andere gegevens invoeren om automatisch in te loggen onder een ander account. Het belangrijkste is dat het account bestaat en dat de gegevens correct zijn.

  • Wachtwoord bekijken. Soms helpt het om het te onthouden.
  • Kopiëren. Dit kan nodig zijn om via een andere browser op de site in te loggen of deze naar uzelf of iemand anders te sturen. Het belangrijkste is om de chatvensters niet te verwarren!
  • Invoer verwijderen. Soms kun je geesten vinden in het geheugen van een wachtwoordbeheerder. De auteur van deze regels was bijvoorbeeld verrast toen hij in de lijst zelfs accounts aantrof sociale netwerken, die hij lang geleden als een nare droom had verwijderd. Om het navigeren gemakkelijker te maken, kunt u uw opgeslagen accounts sorteren op alfabetische volgorde door in te loggen door op de naam van de kolom “Inloggen” te klikken.
  • Maak een hoofdwachtwoord. Het blokkeert de toegang tot de manager voor buitenstaanders. Om dit te doen, moet u de gebruikersnaam van uw besturingssysteem invoeren (voor codering, Windows-hulpmiddelen of OS X, in plaats van de eigen mechanismen van de browser) en stel een wachtwoord in. Als u wilt, kunt u een willekeurige uitdrukking vervangen door een pincode of deze koppelen aan uw e-mailaccount.

Het hoofdwachtwoord wordt nergens in de browser geschreven, dus de kans dat het uitlekt is minimaal. En als u het zelf vergeet, is er een kans om het te herstellen reguliere middelen. Het enige dat u nodig heeft, zijn uw Yandex-accountgegevens en een reservesleutel. Vergeet dus niet een reserve mee te nemen.

Laatste beoordelingen en tests

Zoals de ontwikkelaars zelf melden, hebben ze het standaardmechanisme voor het opslaan van wachtwoorden op de Chromium-engine verlaten om hun eigen, handiger en veiliger te creëren. Er zijn inderdaad geen klachten over de nieuwe wachtwoordbeheerder (afgezien van de neiging om sterke woorden te gebruiken). Het maakt gebruik van meertrapsversleuteling, kan bij de oudste gegevens komen en is uitgerust met een eigen generator voor willekeurige combinaties en een mate van zelfbescherming.

Alle beoordelingen zijn het erover eens dat de wachtwoordbeheerder erg handig is, hoewel niet uniek: in Opera is de opslag bijvoorbeeld qua functionaliteit en essentie vergelijkbaar. Wat de veiligheidstests betreft, zijn er nog geen onafhankelijke onderzoeken uitgevoerd, maar op het eerste gezicht ziet alles er goed uit. Als Yandex.Browser dus standaard is geïnstalleerd, kan het externe programma's zoals LastPass of Roboform vervangen.

Alexander Sjichov, 27-09-2018 (17-10-2018)

Door websitewachtwoorden aan Yandex.Browser toe te vertrouwen, maken we het leven gemakkelijker. Zodra u de synchronisatie inschakelt, worden de geheime velden automatisch ingevuld op alle apparaten (computer, laptop, telefoon). Tegelijkertijd heeft een dergelijk systeem dat wel zwak punt. Iedereen die Yandex.Browser op een computer start nadat u automatisch toegang krijgt tot de opgeslagen wachtwoorden. Hoe dit kan worden vermeden, vindt u in ons artikel.

Wat is een hoofdwachtwoord in Yandex Browser

Het hoofdwachtwoord is in wezen de sleutel tot uw persoonlijke database. Het is nodig om de mogelijkheid uit te sluiten automatisch vullen login- en wachtwoordvelden op websites, sociale netwerken en postdiensten. Zelfs als u uw browser open laat, kan een aanvaller er geen misbruik van maken. Extern programma zal de sleuteldatabase niet kunnen lezen, omdat deze gecodeerd is.

Een hoofdwachtwoord zorgt voor de veiligheid als meerdere gebruikers dezelfde computer gebruiken. Met de browser schakel je snel tussen verschillende profielen. Er wordt niet om het accountwachtwoord gevraagd.

Hoe u een hoofdwachtwoord instelt

Open het instellingenmenu (de knop met drie horizontale strepen in de rechterhoek van het browservenster). Selecteer het gedeelte Wachtwoordbeheer.

In het menu dat verschijnt, klikt u op Instellingen, Hoofdwachtwoord maken.

Mogelijk wordt u gevraagd uw accountwachtwoord in te voeren Windows-vermeldingen, waarmee u op uw pc bent ingelogd. Dit helpt de situatie te elimineren waarin de modus per ongeluk wordt geactiveerd door een andere gebruiker die onder uw naam bij de browser is ingelogd. , dat gemakkelijk te onthouden is, wordt beschreven in een van onze artikelen.

Als u niet zeker weet of u het codewoord voor altijd zult onthouden, selecteert u de optie Reset inschakelen. Zo kun je het altijd uitschakelen of wijzigen als dat nodig is.

Nadat u de hoofdwachtwoordmodus hebt ingeschakeld, begint deze te werken op alle apparaten waarop u Yandex Browser-synchronisatie gebruikt. Wanneer u automatisch invullen van geheime velden probeert te gebruiken, verschijnt het volgende verzoek.

In de instellingen bepaalt u de ernst van het beveiligingsbeleid en de frequentie van verzoeken.

Het is vermeldenswaard dat wanneer u een browser op de computer van iemand anders gebruikt de beste manier Om de gegevensveiligheid te garanderen, kunt u zich alleen afmelden bij uw account.

Vreemd genoeg gebruikt slechts 1% van de browsergebruikers gespecialiseerde extensies voor het opslaan van wachtwoorden (LastPass, KeePass, 1Password, ...). De veiligheid van de wachtwoorden van alle andere gebruikers is afhankelijk van de browser. Vandaag zullen we de lezers van Habrahabr vertellen waarom ons team de wavan het Chromium-project heeft verlaten en hoe we onze eigen wachtwoordbeheerder hebben ontwikkeld, die al in bèta wordt getest. U leert ook hoe we het probleem van het opnieuw instellen van het hoofdwachtwoord hebben opgelost zonder de wachtwoorden zelf te decoderen.

Vanuit veiligheidsoogpunt wordt aanbevolen om op elke site een uniek wachtwoord te gebruiken. Als aanvallers één wachtwoord stelen, krijgen ze toegang tot slechts één site. Het probleem is dat je tientallen moet onthouden sterke wachtwoorden heel moeilijk. Sommige mensen bedenken eerlijk nieuwe wachtwoorden en schrijven deze met de hand in een notitieblok (en raken ze vervolgens weer kwijt), anderen gebruiken op alle sites hetzelfde wachtwoord. Het is moeilijk te zeggen welke van deze opties slechter is. Een wachtwoordbeheerder in de browser kan een oplossing zijn voor miljoenen gemiddelde gebruikers, maar de effectiviteit ervan hangt af van hoe eenvoudig en veilig het is. En in deze zaken eerdere beslissing er waren hiaten, die we hieronder zullen bespreken.

Waarom wij creëren nieuwe beheerder wachtwoorden?

In de huidige implementatie van een wachtwoordbeheerder voor Windows, overgenomen van Chromium, worden opgeslagen wachtwoorden heel eenvoudig door de browser beschermd. Ze worden gecodeerd met behulp van het besturingssysteem (op Windows 7 wordt bijvoorbeeld de functie CryptProtectData gebruikt, gebaseerd op AES-algoritme), maar worden niet op een geïsoleerde plek opgeslagen, maar gewoon in de profielmap. Het lijkt erop dat dit geen probleem is, omdat de gegevens gecodeerd zijn, maar de decoderingssleutel ook is opgeslagen besturingssysteem. Elk programma op de computer kan naar de browserprofielmap gaan, de sleutel pakken, wachtwoorden lokaal decoderen en ze daarheen sturen server van derden en niemand zal het merken.

En veel gebruikers willen voorkomen dat een willekeurige persoon die geen speciale training heeft gevolgd, maar wel kortetermijntoegang tot de browser heeft (bijvoorbeeld een familielid of collega), zich kan aanmelden bij belangrijke sites met behulp van opgeslagen wachtwoorden. .

Beide problemen worden opgelost door een hoofdwachtwoord te gebruiken, dat de gegevens beschermt, maar dat nergens wordt opgeslagen. En dit werd onze eerste vereiste voor de nieuwe architectuur voor het opslaan van wachtwoorden in Yandex.Browser. Maar niet de enige.

Hoe veilig een nieuwe wachtwoordbeheerder ook is, de populariteit ervan hangt af van hoe gemakkelijk deze te gebruiken is. Laten we u eraan herinneren dat dezelfde 1Password, KeePass en LastPass, zelfs in totaal, door niet meer dan een percentage van de gebruikers worden gebruikt (hoewel we LastPass aanbieden in onze ingebouwde add-oncatalogus). Of een ander voorbeeld. Zo biedt de browser in de oude implementatie aan om het wachtwoord op te slaan:

Ervaren gebruikers zullen akkoord gaan met deze melding, deze weigeren of er iets aan doen. Maar in 80% van de gevallen wordt het gewoon niet opgemerkt. Veel gebruikers weten niet eens dat u wachtwoorden in uw browser kunt opslaan.

We moeten ook iets zeggen over de functionaliteit. Tegenwoordig is zelfs het verkrijgen van de lijst met uw wachtwoorden niet zo eenvoudig. Je moet het menu openen, op instellingen klikken, naar gaan aanvullende instellingen, zoek daar de knop voor wachtwoordbeheer. En alleen dan heeft iemand toegang tot een primitieve lijst met accounts die niet kunnen worden gesorteerd op login, die niet kunnen worden toegevoegd met een tekstnotitie en die niet kunnen worden bewerkt. Bovendien moet een wachtwoordbeheerder u helpen bij het bedenken van nieuwe wachtwoorden.

En nog een ding. Voor ons was het belangrijk dat de nieuwe architectuur voldoet aan het Kerkhoffs-principe, dat wil zeggen dat de betrouwbaarheid ervan niet afhankelijk is van de kennis van aanvallers van de gebruikte algoritmen. Het cryptosysteem moet veilig blijven, zelfs als ze alles weten behalve de gebruikte sleutels.

Waarom hebben we niet voor een kant-en-klare oplossing gekozen?

Er zijn producten met open broncode, die een hoofdwachtwoord en geavanceerde functionaliteit ondersteunen. Ze konden in de browser worden geïntegreerd, maar waren om een ​​aantal redenen niet geschikt voor ons.

KeePass komt als eerste in je op. Maar de opslag ervan is volledig gecodeerd en in onze browser werkt synchronisatie regel voor regel. Dit betekent dat u bij elke synchronisatie om een ​​hoofdwachtwoord moet vragen, of de records afzonderlijk moet coderen. De tweede optie is vriendelijker voor gebruikers. Bovendien is het voor een massaproduct belangrijk dat de gebruiker op de hoogte is van de mogelijkheid om het opgeslagen wachtwoord te vervangen voordat de database wordt ontgrendeld met het hoofdwachtwoord, dus een deel van de informatie moet onversleuteld blijven.

Gespecialiseerde add-ons voor het werken met wachtwoorden hebben de mogelijkheid om het hoofdwachtwoord opnieuw in te stellen als de gebruiker het is vergeten. Maar hiervoor moet je downloaden, verbergen en niet verliezen back-upcode of bestand. Het is oké wanneer waar we het over hebben over hoofdgebruikers, maar voor alle anderen is het moeilijk. Dus moesten we op de proppen komen alternatieve oplossing. Spoiler: uiteindelijk zijn we erin geslaagd een oplossing te vinden waarbij het hoofdwachtwoord opnieuw kan worden ingesteld, maar zelfs Yandex heeft geen toegang tot de database. Maar daarover later meer.

En in ieder geval zou elke oplossing van derden serieus moeten worden aangepast om native in de browser te kunnen worden geïntegreerd (herschreven in C++ en Java) en deze eenvoudig genoeg te maken voor gebruikers (de hele interface volledig vervangen). Hoe verrassend het ook mag klinken, het schrijven van een nieuwe architectuur voor het opslaan en versleutelen van wachtwoorden is eenvoudiger dan al het andere. Daarom is het logischer om niet te proberen twee aanvankelijk onverenigbare producten tot één te combineren, maar om je eigen producten te verfijnen.

Nieuwe architectuur met behulp van het hoofdwachtwoord

Er is niets ongewoons aan het opslaan van de records zelf. Wij maken gebruik van betrouwbare en snel algoritme AES-256-GCM voor het versleutelen van wachtwoorden en notities. We versleutelen adressen en logins niet voor gebruiksgemak, maar ondertekenen ze om te beschermen tegen spoofing. Het opslagschema in hetzelfde 1Password is op een vergelijkbare manier geregeld.

Het meest interessante is de bescherming van de 256-bit encKey, die nodig is voor het decoderen van wachtwoorden. Dit sleutelpunt wachtwoordbeveiliging. Als een aanvaller deze sleutel ontdekt, kan hij eenvoudig de volledige opslag hacken, ongeacht de complexiteit van het versleutelingsalgoritme. Daarom is sleutelbescherming gebaseerd op het volgende basisprincipes:

– De toegang tot de coderingssleutel wordt geblokkeerd door een hoofdwachtwoord, dat nergens wordt opgeslagen.
– De coderingssleutel mag niet wiskundig gerelateerd zijn aan het hoofdwachtwoord.

IN eenvoudige diensten en applicaties wordt de encryptiesleutel verkregen door het hoofdwachtwoord te hashen om een ​​brute force-aanval op zijn minst te vertragen. Maar de wiskundige afhankelijkheid van de sleutel van het hoofdwachtwoord vereenvoudigt nog steeds het hacken, waarvan de snelheid in dit geval alleen afhangt van de betrouwbaarheid van hashen. Het gebruik van farms gemaakt van ASIC-processors die zijn ontworpen voor hacking is niet langer ongebruikelijk. Daarom is in ons geval de encKey-sleutel niet afgeleid van het hoofdwachtwoord en wordt deze willekeurig gegenereerd.

Vervolgens wordt de encKey-sleutel gecodeerd met behulp van asymmetrisch algoritme RSA-OAEP. Om dit te doen, maakt de browser een paar sleutels aan: een publieke pubKey en een private privKey. De encKey is beveiligd met een publieke sleutel en kan alleen worden gedecodeerd met een private sleutel.

Het is niet nodig om de publieke sleutel pubKey te beschermen, omdat deze niet geschikt is voor decodering, maar de private privKey is een ander verhaal. Om het tegen diefstal te beschermen, wordt de toegang daartoe geblokkeerd volgens de PKCS#8-standaard met behulp van de unlockKey-wachtwoordzin, die op zijn beurt het resultaat is van het hashen van het hoofdwachtwoord met behulp van de PBKDF2-HMAC-SHA256-functie (100.000 herhalingen; toevoeging van salt en kluis-id). Als het hoofdwachtwoord per ongeluk overeenkomt met een reeds gestolen wachtwoord van een website, zal het toevoegen van zout dit feit verbergen en het moeilijker maken om te kraken. En dankzij het herhaaldelijk hashen van een voldoende lang hoofdwachtwoord is de complexiteit van het kraken van unlockKey vergelijkbaar met het kraken van de encKey-sleutel.

Gecodeerde wachtwoorden, hun gecodeerde sleutel encKey, gecodeerde privésleutel privKey en openbare sleutel pubKey wordt opgeslagen in het browserprofiel en gesynchroniseerd met andere gebruikersapparaten.

Om het allemaal gemakkelijker te maken, volgt hier een wachtwoorddecoderingsschema:

Deze architectuur met een hoofdwachtwoord heeft een aantal voordelen:

– De 256-bits opslagversleutelingssleutel wordt willekeurig gegenereerd en heeft een hoge cryptografische sterkte vergeleken met door mensen gegenereerde wachtwoorden.
– Bij het brute forceren van het hoofdwachtwoord zal de aanvaller het resultaat niet weten, tenzij hij de hele keten doorloopt (wachtwoord-PBKDF2-RSA-AES). Dit is erg lang en erg duur.
– Als de hashfunctie in gevaar komt, kunnen we overschakelen naar alternatieve optie hashen met behoud van achterwaartse compatibiliteit.
– Als een aanvaller het hoofdwachtwoord ontdekt, kan dit worden gewijzigd zonder de complexe en riskante procedure van het decoderen van de volledige opslag, omdat de gegevenscoderingssleutel niet is gekoppeld aan het hoofdwachtwoord en daarom niet in gevaar komt.
– De coderingssleutel wordt gecodeerd opgeslagen. Noch Yandex, noch de aanvaller die het Yandex-wachtwoord heeft gestolen, heeft toegang tot de gesynchroniseerde wachtwoorden, aangezien hiervoor een hoofdwachtwoord vereist is, dat nergens wordt opgeslagen.

Maar de hoofdwachtwoordoptie heeft één “nadeel”: de gebruiker kan het hoofdwachtwoord vergeten. Dit is normaal als het gaat om gespecialiseerde oplossingen die gebruik maken van ervaren gebruikers goed bewust van het risico. Maar in een product met een miljoenenpubliek is dit onaanvaardbaar. Als we geen back-upoptie bieden, zullen veel Yandex.Browser-gebruikers weigeren een hoofdwachtwoord te gebruiken, of op een dag al hun wachtwoorden "verliezen", en de browser zal hiervan de schuld krijgen (u zult verrast zijn, maar het is Yandex dat vaak het laatste redmiddel blijkt te zijn in een situatie waarin de persoon zijn accountwachtwoord is vergeten). En een oplossing bedenken is nog niet zo eenvoudig.

Hoe kan ik het hoofdwachtwoord opnieuw instellen zonder wachtwoorden prijs te geven?

Sommige producten lossen dit probleem op door de gedecodeerde gegevens (of zelfs het hoofdwachtwoord) in de cloud op te slaan. Deze optie was voor ons niet geschikt, omdat een aanvaller het wachtwoord voor Yandex zou kunnen stelen, en daarmee de wachtwoorden voor alle sites. Daarom moesten we een manier bedenken om de toegang tot de wachtwoordopslag te herstellen, waarbij niemand anders dan de gebruiker zelf dit kon doen. Externe managers ze stellen voor om hiervoor wachtwoorden te maken back-upbestand, die de gebruiker zelfstandig op een veilige plaats moet opbergen. Goede beslissing, Maar reguliere gebruikers dergelijke back-upsleutels zullen onvermijdelijk verloren gaan, dus bij ons is alles veel eenvoudiger.

Laten we de belangrijkste afhankelijkheidsketen nog eens in gedachten houden. De wachtwoordkluis wordt gecodeerd met een willekeurige encKey, die nergens in wordt opgeslagen uitdrukkelijk. Deze sleutel is beveiligd met privé sleutel privKey, die ook niet expliciet wordt opgeslagen en op zijn beurt wordt beveiligd met een complexe hash van het hoofdwachtwoord. Wanneer een persoon het hoofdwachtwoord vergeet, wordt hem feitelijk de mogelijkheid ontnomen om de privKey te decoderen. Dit betekent dat u een dubbele privKey als back-up kunt opslaan. Maar waar? En hoe kun je het beschermen?

Als u de gedecodeerde privKey in de cloud plaatst, is de veiligheid van de wachtwoorden afhankelijk van uw Yandex-account. En dat is precies wat we niet wilden toestaan. Als je het expliciet lokaal opslaat, verliest alle beveiliging met een hoofdwachtwoord elke betekenis. Er is geen plek waar u deze sleutel in expliciete vorm veilig kunt bewaren. Dit betekent dat het versleuteld moet zijn. Om dit te doen, maakt de browser een willekeurige 256-bits sleutel aan die de dubbele privKey beschermt. Nu komt het leuke gedeelte. Deze willekeurige sleutel wordt voor opslag naar de Yandex.Passport-cloud verzonden. En het gecodeerde duplicaat blijft opgeslagen in het lokale browserprofiel. Het blijkt dat er noch in de cloud, noch op de computer een kant-en-klaar paar bestaat voor het decoderen van wachtwoorden, en dat de veiligheid er niet onder lijdt.

Met deze optie is het mogelijk om het hoofdwachtwoord alleen opnieuw in te stellen als er een dubbele privKey is aangemaakt. We wilden deze functie toevoegen aan gesynchroniseerde apparaten. Het is lastig om op elk apparaat handmatig een back-upsleutel aan te maken: u kunt per ongeluk op het apparaat terechtkomen waarop u bent vergeten een duplicaat te maken. U kunt geen gecodeerd duplicaat naar andere apparaten sturen via synchronisatie: de sleutel ervan is al opgeslagen in de cloud en om veiligheidsredenen kunnen ze niet op één plek worden gevonden. Daarom doorloopt de gecodeerde dubbele privKey een andere coderingslaag. Deze keer met behulp van een hash van het hoofdwachtwoord. Het hoofdwachtwoord wordt niet in de cloud opgeslagen, dus de resulterende “matryoshka” kan al veilig worden gesynchroniseerd. Op andere apparaten wordt de extra coderingslaag verwijderd als u voor de eerste keer uw hoofdwachtwoord invoert.

Als gevolg hiervan hoeft de gebruiker, wanneer hij het hoofdwachtwoord vergeet, alleen via de browser een wachtwoordreset aan te vragen en zijn identiteit te bevestigen met behulp van het Yandex-wachtwoord.

De browser vraagt ​​een sleutel aan bij Yandex.Passport, gebruikt deze om de dubbele sleutel privKey te decoderen, gebruikt deze om de sleutel voor de encKey-opslag te decoderen en maakt vervolgens een nieuw paar pubKey en privKey aan, waarvan de laatste wordt beschermd door een nieuw hoofdwachtwoord. De wachtwoordopslag wordt niet gedecodeerd, wat het risico op gegevensverlies verkleint. Overigens kunt u de encKey ook met geweld wijzigen en de gegevens opnieuw coderen: schakel gewoon het hoofdwachtwoord uit en weer in in de instellingen.

Het blijkt dat alleen de gebruiker zelf het hoofdwachtwoord kan resetten en alleen op dat apparaat, waar hij het minstens één keer introduceerde. Het is uiteraard niet nodig om een ​​back-upsleutel te maken als de gebruiker er vertrouwen in heeft. U hoeft niet eens een hoofdwachtwoord te gebruiken, hoewel we u niet aanraden dit op te geven.

De nieuwe architectuur en het hoofdwachtwoord zijn niet de enige veranderingen in de nieuwe manager. Zoals we hierboven al zeiden, zijn gebruiksgemak en geavanceerde functies niet minder belangrijk.

Nieuwe wachtwoordbeheerder

Allereerst hebben we de discrete grijze balk afgeschaft die u vraagt ​​uw wachtwoord op te slaan. De gebruiker ziet nu een prompt naast het wachtwoordveld. Het is moeilijk om dit niet op te merken.

En nu hoef je niet meer naar de manager zelf te zoeken in de instellingen: de knop is beschikbaar in het hoofdmenu. De lijst met opgeslagen accounts ondersteunt nu sorteren op login, adres en notitie. We hebben ook postbewerking toegevoegd.

Tip: Notities zijn een goed alternatief voor tags, omdat ze doorzoekbaar zijn.

En de browser helpt u nu bij het maken van unieke wachtwoorden.

In de eerste bètaversie slaagden we er niet in om alles te doen. In de toekomst zullen we het exporteren en importeren van wachtwoorden ondersteunen voor compatibiliteit met populaire oplossingen van derden. We hebben ook een idee om instellingen toe te voegen aan de wachtwoordgenerator.

Mobiele wachtwoordbeheerder

Natuurlijk nieuwe logica en ondersteuning voor hoofdwachtwoorden verschijnt niet alleen op de computer, maar ook in versies van Yandex.Browser voor Android en iOS. Met een kleine aanpassing. U kunt bijvoorbeeld niet alleen een hoofdwachtwoord gebruiken, maar ook een vingerafdruk. We hebben ook verboden programmatisch screenshots te maken op de pagina met een lijst met wachtwoorden - u hoeft niet bang te zijn voor kwaadaardige applicaties.

Vandaag kunt u de nieuwe wachtwoordbeheerder uitproberen



GERELATEERDE ARTIKELEN