ผู้ใช้หลายคนรู้ว่าคุณสามารถบันทึกรหัสผ่านในเบราว์เซอร์ Yandex ได้ อย่างไรก็ตามไม่ใช่ทุกคนที่รู้ว่ารหัสผ่านถูกเก็บไว้ที่ไหนใน Yandex Browser บทความนี้จะบอกรายละเอียดเกี่ยวกับตัวจัดการข้อมูลรับรองเว็บเนวิเกเตอร์ของ Yandex: วิธีเปิด/ปิด, วิธีแก้ไขข้อมูลที่บันทึกไว้ในนั้น, วิธีเปิดใช้งานการป้องกันคีย์สำหรับการเข้าสู่ระบบในบางไซต์

เปิดใช้งานตัวเลือกในการบันทึกรหัสผ่านใน Yandex

หากต้องการบันทึกรหัสผ่านใน Yandex คุณต้องตรวจสอบสถานะการเปิดใช้งานของตัวเลือกที่เกี่ยวข้องในการตั้งค่าก่อน ทำเช่นนี้:

1. หากต้องการวางรหัสผ่านโดยอัตโนมัติในเบราว์เซอร์ Yandex ในตัวจัดการหลังจากยืนยันคำขอแล้วให้คลิกเมนู → การตั้งค่า

2. คลิก “แสดงเพิ่มเติม...”

3. ตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายในช่อง “เสนอให้บันทึกรหัสผ่าน...” แล้ว หากไม่มีให้คลิกที่หน้าต่างด้วยปุ่มซ้ายของเมาส์

จะจัดเก็บรหัสผ่านได้อย่างไร?

หลังจากเปิดใช้งานตัวเลือกแล้ว คุณสามารถให้โอกาสในการจำรหัสผ่านสำหรับ Yandex:

1. เปิดไซต์ที่มีข้อมูลประจำตัวที่คุณต้องการใส่ไว้ในผู้จัดการ

4. หากคุณต้องการติดตั้งการป้องกันการโจรกรรมเพิ่มเติมในรหัสผ่านของคุณ ในคำขอถัดไป “เปิดใช้งานการป้องกัน...?” ให้คลิกเมาส์เพื่อเลือกคำตอบ “เปิดใช้งาน” ตามลำดับ

รหัสผ่านได้รับการจัดการอย่างไร?

รหัสผ่านทั้งหมดจะถูกเก็บไว้ในที่เก็บข้อมูลเว็บเบราว์เซอร์พิเศษ หากต้องการเข้าถึง:

1. คลิกอีกครั้ง: เมนู → การตั้งค่า → การตั้งค่าเพิ่มเติม → รหัสผ่านและแบบฟอร์ม → “การจัดการรหัสผ่าน”

2. หลังจากคลิกที่ปุ่ม หน้าต่างจะปรากฏขึ้น จะแสดงข้อมูลการอนุญาตของไซต์ทั้งหมดที่คุณได้ยืนยันแล้ว และไซต์ที่ไม่ได้บันทึกคีย์ด้วย

3. หากคุณต้องการลบรหัสผ่านที่บันทึกไว้ในตัวจัดการ ให้วางเมาส์เหนือบรรทัดบัญชี จากนั้นคลิกที่ “กากบาท” ที่ปรากฏขึ้น หลังจากรันคำสั่งนี้ยานเดกซ์จะลบรหัสผ่านทั้งหมด

4. หากต้องการดูรหัสผ่านในบรรทัดรายการ ให้วางเคอร์เซอร์ในช่องคีย์จุด

5. คลิกปุ่ม "แสดง" ที่ปรากฏขึ้น เป็นคำสั่งนี้ที่ให้คุณดูรหัสผ่าน โดยจะเผยให้เห็นสัญลักษณ์การรวมกันที่สำคัญใต้จุดต่างๆ

หากต้องการคุณสามารถส่งออกรหัสผ่านโดยใช้ ฟังก์ชั่นระบบคัดลอก (Ctrl + C) และวาง (Ctrl + V) เพื่อคืนค่า บันทึกในเบราว์เซอร์อื่น

6. หลังจากที่คุณจัดการเพื่อดู (จดจำ) กุญแจแล้ว ให้ปิดด้วยจุดอีกครั้ง: คลิกปุ่ม "ซ่อน" ในฟิลด์

หากคุณมีบัญชีที่บันทึกไว้จำนวนมาก คุณสามารถค้นหาบัญชีที่คุณต้องการได้โดยใช้ตัวเลือก “ค้นหา…” ในตัวผู้จัดการตั้งอยู่ที่ด้านขวาบน

7. เพื่อให้การเปลี่ยนแปลงข้อมูลทั้งหมดในที่เก็บข้อมูลของบัญชีมีผล คลิก "เสร็จสิ้น" ก่อนที่จะปิดหน้าต่าง

คำแนะนำ! หากต้องการล้างผู้จัดการโดยสมบูรณ์อย่างรวดเร็ว ให้กด “Ctrl + Shift + Del” พร้อมกัน ติดตั้งส่วนเสริม “รหัสผ่านที่บันทึกไว้” ในแผงควบคุม ช่วงเวลาที่คุณต้องการล้างข้อมูล และคลิก “ล้างประวัติ” (ทั้งหมด รายการที่มีอยู่จะถูกลบ)

ความปลอดภัยของข้อมูลการอนุญาต

ตอนนี้คุณรู้วิธีดูรหัสผ่านที่บันทึกไว้ใน Yandex Browser แล้ว ก็ถึงเวลาพูดคุยเกี่ยวกับการปกป้องรหัสผ่าน

เมื่อเบราว์เซอร์จัดเก็บการเข้าสู่ระบบและรหัสผ่าน พวกเขาจะได้รับการ "ป้องกัน" โดยโมดูลป้องกันพิเศษที่เรียกว่า Protect ป้องกันการโจรกรรมข้อมูลผ่านฟิชชิ่ง (ผ่านเว็บไซต์ปลอม การเปลี่ยนเส้นทาง) เตือนเกี่ยวกับการใช้รหัสผ่านเดียวกันในเว็บไซต์ต่างๆ

เว็บเนวิเกเตอร์จะแสดงคำขอเพื่อเปิดใช้งานการป้องกันเมื่อบันทึกคู่ล็อกอินและรหัสผ่าน (ดูคำแนะนำที่ตอนต้นของบทความ)แต่สามารถเปิดใช้งานและกำหนดค่าได้ด้วยวิธีอื่น:

1. บนแท็บเว็บไซต์ที่ต้องป้องกันรหัสผ่านเพิ่มเติมทางด้านขวา แถบที่อยู่คลิกที่ไอคอน "ล็อค"

2. ในแผงแบบเลื่อนลง ในส่วน “ การตั้งค่าทั่วไป" ในบรรทัดแรก "Warn..." ให้คลิกแถบเลื่อนไปที่สถานะ "เปิด"

4. บี บล็อกข้อมูล“การเชื่อมต่อ” ท่านสามารถดูรายละเอียดใบรับรองที่ใช้บนเว็บไซต์ได้

5. ในรายการ "สิทธิ์" ค้นหาบรรทัด "การป้องกันรหัสผ่าน" และตั้งค่าเป็น "เปิดใช้งาน"

บันทึก. หากคุณต้องการลบการป้องกันด้วยรหัสผ่านบนไซต์ ให้ตั้งค่า "ปิดการใช้งาน" ในบรรทัดเดียวกัน

อย่างที่คุณเห็นการปกป้องบัญชีใน Yandex ได้อย่างน่าเชื่อถือนั้นค่อนข้างง่าย ใช้ตัวเลือกเหล่านี้ตามความจำเป็น ขอให้ท่องเว็บอย่างปลอดภัย!

ผู้โจมตีพยายามขโมยรหัสผ่านเพื่อเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้หรือของพวกเขา กระเป๋าเงินอิเล็กทรอนิกส์- หากรหัสผ่านถูกจัดเก็บในรูปแบบที่เข้ารหัส แม้ว่าแฮกเกอร์จะขโมยฐานข้อมูลรหัสผ่าน พวกเขาก็จะไม่สามารถใช้งานได้ ยังไง การเข้ารหัสที่ดีขึ้นรหัสผ่าน ยิ่งประสบการณ์ออนไลน์ของคุณปลอดภัยยิ่งขึ้น

1. การเข้ารหัสรหัสผ่านในเบราว์เซอร์
2. รหัสผ่านหลัก
3. คีย์เข้ารหัสสำรอง

การเข้ารหัสรหัสผ่านในเบราว์เซอร์

ที่เก็บรหัสผ่านถูกเข้ารหัสโดยใช้อัลกอริทึม AES-256-GCM โดยใช้นามสกุล . อัลกอริธึม AES-256 ถือว่าเชื่อถือได้ และสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกาแนะนำให้ปกป้องข้อมูลที่เป็นความลับระดับสุดยอดของรัฐ

แต่ถึงแม้จะมากที่สุด อัลกอริธึมที่ซับซ้อนการเข้ารหัสจะไม่ป้องกันรหัสผ่านของคุณหากแฮกเกอร์เรียนรู้คีย์เข้ารหัส รหัสผ่านหลักช่วยให้คุณสามารถใส่คีย์เข้ารหัสได้ การป้องกันอันทรงพลัง.

• ด้วยรหัสผ่านหลัก
• ไม่มีรหัสผ่านหลัก

รหัสผ่านหลักจะถูกจัดเก็บไว้ในหน่วยความจำของคุณเท่านั้นและไม่สามารถถูกขโมยได้ ด้วยรหัสผ่านหลัก คุณไม่ต้องกังวลเกี่ยวกับ:

• การขโมยที่เก็บข้อมูลรหัสผ่านจากคอมพิวเตอร์
• การสูญเสียรหัสผ่านเนื่องจากการยึดหรือสูญหายของคอมพิวเตอร์
• การจัดเก็บที่เก็บข้อมูลแบบซิงโครไนซ์บนเซิร์ฟเวอร์ Yandex (การเข้ารหัสถูกจัดระเบียบในลักษณะที่แม้แต่ยานเดกซ์ก็ไม่สามารถถอดรหัสรหัสผ่านของคุณได้)

ตัวเลือกการป้องกันนี้มีความน่าเชื่อถือน้อยกว่าเนื่องจาก:

• ใครก็ตามที่เปิด Yandex Browser บนคอมพิวเตอร์ของคุณสามารถดูรหัสผ่านในตัวจัดการได้อย่างง่ายดาย
• คีย์เข้ารหัสได้รับการปกป้องโดยระบบปฏิบัติการ ไม่ใช่ด้วยรหัสผ่านหลัก เมื่อแฮกเกอร์เข้าถึงได้ พวกเขาสามารถขโมยและถอดรหัสรหัสผ่านของคุณได้
• ในระหว่างการซิงโครไนซ์ Yandex สามารถเข้าถึงรหัสผ่านได้

รหัสผ่านหลัก

รหัสผ่านหลักช่วยเพิ่มความปลอดภัยอีกชั้นให้กับรหัสผ่านของคุณ หลังจากที่คุณสร้างรหัสผ่านหลักแล้ว เบราว์เซอร์จะแจ้งให้คุณทราบเมื่อคุณพยายามเปิดที่เก็บข้อมูลรหัสผ่านหรือเปลี่ยนรหัสผ่านไซต์ที่บันทึกไว้ก่อนหน้านี้ลงในแบบฟอร์มการอนุญาต

แทนที่จะต้องมีรหัสผ่านเว็บไซต์จำนวนมาก คุณจะต้องจำรหัสผ่านหลักเพียงรหัสเดียวเท่านั้น ในกรณีนี้ รหัสผ่านของเว็บไซต์จะได้รับการปกป้องที่ดีกว่า การเข้าถึงที่เก็บข้อมูลถูกล็อคด้วยรหัสผ่านหลักที่ไม่สามารถขโมยได้เนื่องจากมันถูกเก็บไว้ในหน่วยความจำของคุณเท่านั้น

1. สร้างรหัสผ่านหลัก
2. เปลี่ยนรหัสผ่านหลัก
3. ลบรหัสผ่านหลัก
4. ความถี่ในการขอรหัสผ่านหลัก
5. หากคุณลืมรหัสผ่านหลักของคุณ

สร้างรหัสผ่านหลัก

บันทึก. หากคุณเปิดใช้งานการซิงโครไนซ์ทันทีหลังจากสร้างรหัสผ่านหลัก ให้อัปเดต Yandex Browser บนอุปกรณ์ทั้งหมดที่คุณใช้ มิฉะนั้นเบราว์เซอร์จะไม่สามารถซิงค์รหัสผ่านได้

เปลี่ยนรหัสผ่านหลัก

ลบรหัสผ่านหลัก

ความถี่ในการขอรหัสผ่านหลัก

เบราว์เซอร์จะถามรหัสผ่านหลักเมื่อบันทึกรหัสผ่านใหม่ เปลี่ยนรหัสผ่านโดยอัตโนมัติในแบบฟอร์มการอนุญาต และเมื่อพยายามเปิดห้องเก็บรหัสผ่าน คุณสามารถปรับความถี่ที่เบราว์เซอร์ของคุณแจ้งให้คุณใส่รหัสผ่านหลักได้:

คุณยังสามารถปิดการใช้งานคำขอรหัสผ่านหลักได้ เมื่อต้องการทำเช่นนี้ ปิดใช้งานตัวเลือก ต้องใช้รหัสผ่านหลักเพื่อเข้าถึงรหัสผ่าน- ด้วยเหตุนี้ เบราว์เซอร์จะไม่ขอให้คุณป้อนรหัสผ่านหลักเพื่อเข้าถึงพื้นที่จัดเก็บรหัสผ่านของคุณอีกต่อไป ในกรณีนี้:

• รหัสผ่านหลักจะไม่ถูกลบ แต่ถูกเขียนลงในฐานข้อมูลในรูปแบบที่เข้ารหัส คีย์เข้ารหัสจะถูกจัดเก็บไว้ในคอมพิวเตอร์และได้รับการปกป้องโดยระบบปฏิบัติการ
• รหัสผ่านที่บันทึกไว้ก่อนหน้านี้ยังคงถูกเข้ารหัสด้วยรหัสผ่านหลัก เมื่อบันทึกรหัสผ่านใหม่หรือถอดรหัสรหัสผ่านเก่า เบราว์เซอร์จะใช้รหัสผ่านหลักเก่าโดยไม่แจ้งให้ผู้ใช้ทราบ
• ในระหว่างกระบวนการซิงโครไนซ์ รหัสผ่านทั้งหมดจะถูกส่งไปยังอุปกรณ์อื่นในรูปแบบที่เข้ารหัส บนอุปกรณ์อื่นๆ รหัสผ่านเหล่านี้จะถูกแทนที่ด้วยแบบฟอร์มการอนุญาต และคุณจะต้องป้อนรหัสผ่านหลักเพื่อถอดรหัส
• คุณจะต้องปิดการใช้งานคำขอรหัสผ่านหลักบนอุปกรณ์แต่ละเครื่องของคุณด้วยตนเอง สิ่งนี้ทำเพื่อเหตุผลด้านความปลอดภัย - ตัวอย่างเช่น รหัสผ่านบนอุปกรณ์ที่บุคคลอื่นสามารถเข้าถึงได้ จะไม่สามารถใช้ได้กับเขาโดยที่คุณไม่รู้

หากคุณลืมรหัสผ่านหลักของคุณ

หากคุณลืมรหัสผ่านหลักและมีคีย์เข้ารหัสสำรอง:

1. ในแบบฟอร์มการป้อนรหัสผ่านหลัก ให้คลิกปุ่ม ฉันจำรหัสผ่านไม่ได้
2. ในกล่องโต้ตอบที่เปิดขึ้น ให้ตั้งค่าสวิตช์เป็น รีเซ็ตรหัสผ่านหลัก- คลิกปุ่มดำเนินการต่อ
3. ป้อนรหัสผ่านหลักใหม่อย่างน้อย 6 ตัวอักษร เราแนะนำให้ใช้รหัสผ่านที่ซับซ้อนแต่จำง่าย
4. ป้อนรหัสผ่านหลักใหม่อีกครั้งเพื่อยืนยัน คลิกปุ่มดำเนินการต่อ
5. ในหน้า Yandex.Passport ให้ป้อนรหัสผ่านของคุณ บัญชีบนยานเดกซ์
6. หลังจากนี้ รหัสผ่านหลักจะได้รับการอัปเดต และรหัสผ่านทั้งหมดในห้องนิรภัยจะถูกเข้ารหัสอีกครั้ง

หากคุณลืมรหัสผ่านหลักและไม่มีคีย์เข้ารหัสสำรอง เบราว์เซอร์ของคุณจะไม่สามารถกู้คืนรหัสผ่านของคุณได้ มันจะไม่แทรกลงในแบบฟอร์มการอนุญาตอีกต่อไป และคุณจะไม่สามารถดูได้ในผู้จัดการ สิ่งที่คุณต้องทำคือลบรหัสผ่านทั้งหมดพร้อมกับคีย์เข้ารหัส อย่างไรก็ตาม หากคุณใช้รหัสผ่านสำหรับบัญชีคอมพิวเตอร์ คุณจะต้องป้อนรหัสผ่านเพื่อยืนยันสิทธิ์ในการลบรหัสผ่าน

คีย์เข้ารหัสสำรอง

หากต้องการรีเซ็ตรหัสผ่านหลัก คุณจะต้องใช้นอกเหนือจากรหัสสำรอง ไฟล์พิเศษ- มันถูกสร้างขึ้นโดยอัตโนมัติในครั้งแรกที่คุณป้อนรหัสผ่านหลักและจะถูกจัดเก็บไว้ในเครื่อง ดังนั้นแม้แต่ยานเดกซ์ก็ไม่สามารถถอดรหัสรหัสผ่านของคุณได้

ในระหว่างกระบวนการกู้คืนการเข้าถึง คุณจะต้องป้อนรหัสผ่านสำหรับบัญชี Yandex ของคุณ โอกาสที่ผู้โจมตีจะสามารถขโมยคีย์จากเซิร์ฟเวอร์ ไฟล์จากอุปกรณ์ และรหัสผ่านจากบัญชี Yandex ได้พร้อมกันนั้นมีน้อยมาก

หากต้องการสร้างคีย์เข้ารหัสสำรอง:

เบราว์เซอร์จะแจ้งให้คุณทราบว่ามีการสร้างคีย์เข้ารหัสสำรองแล้ว

หากต้องการลบคีย์เข้ารหัสสำรอง ให้คลิกลิงก์ในการตั้งค่าตัวจัดการรหัสผ่าน ปิดการใช้งานความสามารถในการรีเซ็ตรหัสผ่านหลัก.

เมื่อเริ่มต้นการติดตั้ง Yandex.Browser คุณจะเห็นข้อความเกี่ยวกับ ปกป้องระบบซึ่งออกแบบมาเพื่อจัดเก็บข้อมูลส่วนบุคคลของคุณ โดยเฉพาะอย่างยิ่งมันกล่าวถึงการทำงานกับรหัสผ่าน หากคุณสนใจสิ่งนี้ คุณควรดูว่าเครื่องมือจัดการรหัสผ่านในตัวใหม่ใน Yandex Browser ทำงานอย่างไร

วิธีจัดเก็บรหัสผ่าน

Yandex.Browser ได้รับเครื่องมือจัดการรหัสผ่านในเดือนเมษายน 2018 แน่นอนก่อนที่จะเป็นไปได้ที่จะบันทึกรหัสผ่านในการตั้งค่าเบราว์เซอร์เพื่อไม่ให้ป้อนด้วยตนเองทุกครั้งที่คุณเข้าสู่ไซต์ใดไซต์หนึ่ง อย่างไรก็ตาม ตั้งแต่เดือนเมษายน นี่ไม่ได้เป็นเพียงฟังก์ชัน แต่เป็นยูทิลิตี้ที่ครบครันภายในโปรแกรม

การเข้าถึงนั้นง่ายมาก:

1. เปิดการตั้งค่า (ปุ่มแซนวิชที่มุมขวาบน)
2. เลือก “ตัวจัดการรหัสผ่าน” จากเมนูแบบเลื่อนลง

คุณจะเห็นรายการรหัสผ่านทั้งหมดที่บันทึกไว้ใน Yandex Browser ของคุณ คุณอาจจะแปลกใจที่พบว่า จำนวนมากเว็บไซต์ที่คุณเข้าสู่ระบบ ครั้งสุดท้ายค่อนข้างนานมาแล้ว ประวัติศาสตร์จะจดจำทุกสิ่ง

หากต้องการดูรหัสผ่านสำหรับทรัพยากรเฉพาะ คุณต้องมี:

• เลื่อนดูรายการไซต์ไปยังไซต์ที่คุณต้องการ
• คลิกที่บรรทัด

• คลิกที่ไอคอนรูปตาในบรรทัด "รหัสผ่าน" เพื่อดูเนื้อหาจริงแทนเครื่องหมายดอกจัน

สิ่งสำคัญที่ควรทราบ: รหัสผ่านทั้งหมดในตัวจัดการจะถูกเก็บไว้ แบบฟอร์มเปิดซึ่งหมายความว่าผู้ใช้สามารถดูได้หากทราบวิธีการ นี่เป็นอีกเหตุผลหนึ่งที่ต้องใส่รหัสผ่านบน Yandex.Browser ซึ่งจะป้องกันไม่ให้คนร้ายเข้าถึงข้อมูลส่วนบุคคลเมื่อคุณไม่อยู่

คุณได้รับโบนัสเพิ่มอีกเล็กน้อย โบนัสที่ดี- หากคุณพยายามเข้าสู่ระบบไซต์ที่มีการเข้าสู่ระบบหลายครั้ง คุณสามารถเลือกสิ่งที่คุณต้องการได้อย่างง่ายดายแม้ว่าคุณจะจำไม่ได้ก็ตาม ฟังก์ชั่นทั้งหมดของผู้จัดการในการใช้งานจริงนั้นสามารถใช้งานได้โดยไม่ต้องไปที่ส่วนที่เกี่ยวข้อง: คำแนะนำจะปรากฏขึ้นตรงที่คุณป้อนหรือคิดรหัสผ่านของคุณ

หากต้องการแสดงบัญชีเข้าสู่ระบบ ให้คลิกที่ไอคอนรูปกุญแจ และเลือกข้อมูลเข้าสู่ระบบที่ต้องการ

ฟังก์ชั่นนี้มีการใช้งานทั้งในเดสก์ท็อปและ รุ่นมือถืออย่างไรก็ตาม Yandex.Browser เราจะพิจารณาเดสก์ท็อป ตั้งแต่เดือนมิถุนายน 2018 คุณลักษณะนี้ยังคงมีสถานะเบต้าในเวอร์ชันมือถือ ดังนั้นจึงควรรอการเปิดตัวขั้นสุดท้ายจะดีกว่า

การสร้างรหัสผ่านที่แข็งแกร่ง

กี่ครั้งแล้วที่พวกเขาบอกโลกว่าคุณไม่สามารถใช้ชุดค่าผสมที่ถูกแฮ็กเช่น QWERTY หรือ 12345678 ได้! อย่างไรก็ตาม ชุดค่าผสมดั้งเดิมและแฮ็กได้ง่ายเหล่านี้อยู่ในอันดับหนึ่งในการจัดอันดับโลก

คุณไม่ควรใช้ข้อมูลส่วนบุคคลใด ๆ คนส่วนใหญ่ที่ต้องการแฮ็กคุณจะไม่ใช่แฮกเกอร์จากอีกซีกโลกหนึ่ง แต่เป็นคนที่รู้จักคุณเป็นการส่วนตัว และพวกเขารู้วันเกิดหรืองานแต่งงานของคุณ ชื่อลูก ชื่อสัตว์เลี้ยง และแม้กระทั่งเรื่องส่วนตัวอื่นๆ

ดังนั้นจึงต้องสร้างรหัสผ่านตามหลักการ "การดำเนินการ Y" - เพื่อไม่ให้ใครเดาได้ ตามหลักการแล้ว ควรเป็นชุดตัวเลขและที่ไม่ต่อเนื่องกัน ตัวอักษรละตินในทะเบียนที่แตกต่างกัน

ปัญหามีอยู่ประการหนึ่ง: ชุดสุ่มดังกล่าวจำยากมาก ดังนั้น ผู้ใช้ขั้นสูงบางรายจึงสร้างสองส่วนผสมกัน - สุ่มหรือเกือบสุ่ม (เช่น ชุดและหมายเลขหนังสือเดินทางที่ครั้งหนึ่งเคยสูญหาย) และเกี่ยวข้องกับไซต์ตามธีม ปัญหาคือผู้โจมตีจากกลุ่มที่ใกล้ชิดกับคุณ เมื่อเดารหัสผ่านสำหรับไซต์หนึ่งแล้ว จะเข้าใจตรรกะได้ง่ายและสามารถทำลายผู้อื่นได้อย่างง่ายดายเช่นกัน

ผู้จัดการรหัสผ่าน Yandex เสนอค่าสุ่มโดยสมบูรณ์ทุกครั้งที่คุณพยายามลงทะเบียนในทรัพยากรบางอย่าง ในกรณีนี้ไม่จำเป็นต้องยืนยันด้วยตนเอง: ชุดอักขระจะถูกคัดลอกลงในช่อง "ยืนยัน" โดยอัตโนมัติ จากนั้นคุณสามารถดึงข้อมูลได้จากรายการที่เกี่ยวข้องในตัวจัดการ

คุณอาจไม่ชอบรหัสผ่านที่แนะนำ อาจมีการผสมตัวเลขที่ไม่เป็นที่ยอมรับทางศาสนาหรือในอุดมคติ แม้ว่าจะไม่น่าเป็นไปได้ก็ตาม แต่ตัวเลือกส่วนใหญ่จะประกอบด้วยตัวอักษร หรือตัวอักษรอาจจะฟอร์มไม่ดีนัก ผู้เขียนบทความคือ "โชคดี" ในความพยายามครั้งแรกที่จะได้ชุดค่าผสมที่ขึ้นต้นด้วย "fuck"

หากต้องการสร้างตัวเลือกอื่นที่เหมาะสมกว่านี้ ให้คลิกที่ปุ่มอัปเดตทางด้านขวาของตัวเลือกปัจจุบัน

การจัดการบัญชีที่บันทึกไว้

แม้ว่าผู้จัดการจะดูค่อนข้างสุภาพ แต่เขาก็ยังอนุญาตให้คุณดำเนินการที่จำเป็นส่วนใหญ่ได้ ดังนั้น เมื่อคลิกที่บรรทัดของไซต์ คุณสามารถ:

เปลี่ยนบัญชี มีประโยชน์หากคุณต้องการเยี่ยมชมไซต์โดยใช้ชื่ออื่นและไม่แสดงว่าคุณเคยไปที่นั่น หากคุณใช้บัญชีหลักของคุณ มันจะเข้าสู่ระบบโดยอัตโนมัติ ในตัวจัดการรหัสผ่าน คุณสามารถป้อนข้อมูลอื่นเพื่อเข้าสู่ระบบโดยอัตโนมัติภายใต้บัญชีอื่นได้ สิ่งสำคัญคือมีบัญชีอยู่และข้อมูลถูกต้อง

• ดูรหัสผ่าน บางครั้งก็ช่วยจำมันได้
• สำเนา. นี่อาจจำเป็นในการเข้าสู่ไซต์ผ่านเบราว์เซอร์อื่นหรือส่งให้ตัวคุณเองหรือบุคคลอื่น สิ่งสำคัญคืออย่าทำให้หน้าต่างแชทสับสน!
• ลบรายการ บางครั้งคุณอาจพบผีในหน่วยความจำของตัวจัดการรหัสผ่าน ตัวอย่างเช่น ผู้เขียนบรรทัดเหล่านี้ รู้สึกประหลาดใจที่พบรายชื่อแม้แต่บัญชีในนั้น เครือข่ายทางสังคมที่เขาลบเลือนไปนานแล้วราวกับฝันร้าย เพื่อให้ง่ายต่อการใช้งาน คุณสามารถจัดเรียงบัญชีที่บันทึกไว้ได้ ลำดับตัวอักษรโดยเข้าสู่ระบบโดยคลิกที่ชื่อคอลัมน์ "เข้าสู่ระบบ"
• สร้างรหัสผ่านหลัก มันบล็อกการเข้าถึงผู้จัดการสำหรับบุคคลภายนอก ในการดำเนินการนี้ คุณจะต้องป้อนชื่อผู้ใช้ของระบบปฏิบัติการของคุณ (สำหรับการเข้ารหัส เครื่องมือวินโดวส์หรือ OS X แทนที่จะเป็นกลไกของเบราว์เซอร์) และตั้งรหัสผ่าน หากต้องการคุณสามารถแทนที่นิพจน์ที่กำหนดเองด้วยรหัส PIN หรือเชื่อมโยงกับบัญชีอีเมลของคุณ

รหัสผ่านหลักไม่ได้เขียนไว้ที่ใดในเบราว์เซอร์ ดังนั้นความเสี่ยงที่รหัสผ่านจะรั่วไหลจึงมีน้อยมาก และถ้าลืมไปเองก็มีโอกาสที่จะฟื้นคืนมาได้ วิธีปกติ- สิ่งที่คุณต้องมีคือข้อมูลบัญชี Yandex และกุญแจสำรอง ดังนั้นอย่าลืมหาอะไหล่มาด้วย

บทวิจารณ์และการทดสอบล่าสุด

ตามที่นักพัฒนารายงานเอง พวกเขาละทิ้งกลไกมาตรฐานในการจัดเก็บรหัสผ่านในกลไก Chromium เพื่อสร้างกลไกของตนเอง สะดวก และปลอดภัยยิ่งขึ้น จริงๆ แล้ว ไม่มีการร้องเรียนเกี่ยวกับเครื่องมือจัดการรหัสผ่านใหม่ (นอกเหนือจากแนวโน้มที่จะใช้คำที่รุนแรง) ใช้การเข้ารหัสแบบหลายขั้นตอน สามารถเข้าถึงข้อมูลที่เก่าแก่ที่สุด และติดตั้งตัวสร้างการรวมแบบสุ่มและระดับการป้องกันตนเอง

บทวิจารณ์ทั้งหมดเห็นพ้องกันว่าตัวจัดการรหัสผ่านนั้นสะดวกมาก แม้ว่าจะไม่ซ้ำกันก็ตาม ตัวอย่างเช่น ใน Opera พื้นที่เก็บข้อมูลมีความคล้ายคลึงกันในด้านฟังก์ชันการทำงานและสาระสำคัญ สำหรับการทดสอบความปลอดภัยยังไม่ได้ทำการศึกษาอิสระ แต่เมื่อมองแวบแรกทุกอย่างก็ดูดี ดังนั้น หากติดตั้ง Yandex.Browser เป็นค่าเริ่มต้น ก็จะสามารถแทนที่โปรแกรมภายนอก เช่น LastPass หรือ Roboform ได้

อเล็กซานเดอร์ ชิคอฟ 27/09/2561 (10/17/2561)

ด้วยการไว้วางใจรหัสผ่านเว็บไซต์กับ Yandex.Browser เราทำให้ชีวิตง่ายขึ้น เมื่อคุณเปิดใช้งานการซิงโครไนซ์ ช่องข้อมูลลับจะถูกกรอกโดยอัตโนมัติบนอุปกรณ์ทั้งหมด (คอมพิวเตอร์ แล็ปท็อป โทรศัพท์) ขณะเดียวกันก็มีระบบดังกล่าวด้วย จุดอ่อน- ใครก็ตามที่เปิด Yandex.Browser บนคอมพิวเตอร์หลังจากที่คุณเข้าถึงรหัสผ่านที่บันทึกไว้โดยอัตโนมัติ วิธีหลีกเลี่ยงสิ่งนี้อยู่ในบทความของเรา

รหัสผ่านหลักใน Yandex Browser คืออะไร

รหัสผ่านหลักเป็นกุญแจสำคัญในฐานข้อมูลส่วนบุคคลของคุณ จำเป็นต้องยกเว้นความเป็นไปได้ เติมอัตโนมัติช่องล็อกอินและรหัสผ่านบนเว็บไซต์ โซเชียลเน็ตเวิร์ก และ บริการไปรษณีย์- แม้ว่าคุณจะเปิดเบราว์เซอร์ทิ้งไว้ ผู้โจมตีจะไม่สามารถใช้ประโยชน์จากเบราว์เซอร์ได้ โปรแกรมภายนอกจะไม่สามารถอ่านฐานข้อมูลคีย์ได้เนื่องจากมีการเข้ารหัส

รหัสผ่านหลักจะช่วยรับประกันความปลอดภัยหากมีผู้ใช้หลายคนใช้คอมพิวเตอร์เครื่องเดียวกัน เบราว์เซอร์ช่วยให้คุณสลับระหว่างโปรไฟล์ต่างๆ ได้อย่างรวดเร็ว ไม่มีการร้องขอรหัสผ่านบัญชี

วิธีการตั้งค่ารหัสผ่านหลัก

เปิดเมนูการตั้งค่า (ปุ่มที่มีสาม แถบแนวนอนที่มุมขวาของหน้าต่างเบราว์เซอร์) เลือกส่วนตัวจัดการรหัสผ่าน

ในเมนูที่ปรากฏขึ้น คลิกการตั้งค่า สร้างรหัสผ่านหลัก

คุณอาจต้องป้อนรหัสผ่านบัญชีของคุณ รายการ Windowsซึ่งคุณเข้าสู่ระบบพีซีของคุณ สิ่งนี้จะช่วยขจัดสถานการณ์การเปิดใช้งานโหมดโดยไม่ตั้งใจโดยผู้ใช้รายอื่นที่ลงชื่อเข้าใช้เบราว์เซอร์ภายใต้ชื่อของคุณ ซึ่งง่ายต่อการจดจำมีอธิบายไว้ในบทความของเรา

หากคุณไม่แน่ใจว่าจะจำคำรหัสได้ตลอดไป ให้เลือกตัวเลือกเปิดใช้งานตัวเลือกรีเซ็ต วิธีนี้ทำให้คุณสามารถปิดใช้งานหรือเปลี่ยนแปลงได้ตลอดเวลาหากจำเป็น

หลังจากเปิดใช้งานโหมดรหัสผ่านหลักแล้วจะเริ่มทำงานบนอุปกรณ์ทั้งหมดที่คุณใช้การซิงโครไนซ์เบราว์เซอร์ Yandex เมื่อคุณพยายามใช้การกรอกฟิลด์ลับอัตโนมัติ คำขอต่อไปนี้จะปรากฏขึ้น

คุณกำหนดความรุนแรงของนโยบายความปลอดภัยและความถี่ของการร้องขอในการตั้งค่า

เป็นที่น่าสังเกตว่าเมื่อใช้เบราว์เซอร์บนคอมพิวเตอร์ของผู้อื่น วิธีที่ดีที่สุดเพื่อรับรองความปลอดภัยของข้อมูล คุณสามารถออกจากระบบบัญชีของคุณได้เท่านั้น

น่าแปลกที่มีผู้ใช้เบราว์เซอร์เพียง 1% เท่านั้นที่ใช้ส่วนขยายพิเศษในการจัดเก็บรหัสผ่าน (LastPass, KeePass, 1Password, ... ) ความปลอดภัยของรหัสผ่านของผู้ใช้รายอื่นทั้งหมดขึ้นอยู่กับเบราว์เซอร์ วันนี้เราจะบอกผู้อ่าน Habrahabr ว่าทำไมทีมงานของเราจึงละทิ้งสถาปัตยกรรมการป้องกันรหัสผ่านจากโครงการ Chromium และวิธีที่เราพัฒนาเครื่องมือจัดการรหัสผ่านของเราเอง ซึ่งกำลังได้รับการทดสอบในรุ่นเบต้าแล้ว นอกจากนี้คุณยังจะได้เรียนรู้ว่าเราแก้ไขปัญหาการรีเซ็ตรหัสผ่านหลักโดยไม่ต้องถอดรหัสรหัสผ่านด้วยตนเองได้อย่างไร

จากมุมมองด้านความปลอดภัย ขอแนะนำให้ใช้รหัสผ่านที่ไม่ซ้ำกันในแต่ละไซต์ หากผู้โจมตีขโมยรหัสผ่านเดียว พวกเขาจะสามารถเข้าถึงไซต์ได้เพียงแห่งเดียวเท่านั้น ปัญหาคือการจำหลักสิบ รหัสผ่านที่แข็งแกร่งยากมาก. บางคนคิดรหัสผ่านใหม่โดยสุจริตและจดด้วยมือลงในกระดาษจด (แล้วทำหายพร้อมกับมัน) บางคนใช้รหัสผ่านเดียวกันในทุกไซต์ ยากที่จะบอกว่าตัวเลือกใดเหล่านี้แย่กว่ากัน เครื่องมือจัดการรหัสผ่านในเบราว์เซอร์อาจเป็นโซลูชั่นสำหรับผู้ใช้โดยเฉลี่ยหลายล้านคน แต่ประสิทธิภาพของมันขึ้นอยู่กับความง่ายและปลอดภัยของมัน และในเรื่องเหล่านี้ การตัดสินใจครั้งก่อนมีช่องว่างซึ่งเราจะหารือด้านล่าง

ทำไมเราถึงสร้าง ผู้จัดการคนใหม่รหัสผ่าน?

ในการใช้งานตัวจัดการรหัสผ่านสำหรับ Windows ในปัจจุบันซึ่งสืบทอดมาจาก Chromium รหัสผ่านที่บันทึกไว้จะได้รับการปกป้องโดยเบราว์เซอร์ค่อนข้างง่าย พวกเขาถูกเข้ารหัสโดยใช้ระบบปฏิบัติการ (ตัวอย่างเช่นใน Windows 7 จะใช้ฟังก์ชัน CryptProtectData ขึ้นอยู่กับ อัลกอริทึม AES) แต่ไม่ได้จัดเก็บไว้ในพื้นที่แยก แต่อยู่ในโฟลเดอร์โปรไฟล์เท่านั้น ดูเหมือนว่านี่ไม่ใช่ปัญหาเนื่องจากข้อมูลถูกเข้ารหัส แต่คีย์ถอดรหัสก็ถูกเก็บไว้ในนั้นด้วย ระบบปฏิบัติการ- โปรแกรมใด ๆ บนคอมพิวเตอร์สามารถไปที่โฟลเดอร์โปรไฟล์เบราว์เซอร์ รับกุญแจ ถอดรหัสรหัสผ่านในเครื่อง แล้วส่งไปที่ เซิร์ฟเวอร์ของบุคคลที่สามและจะไม่มีใครสังเกตเห็นมัน

และผู้ใช้จำนวนมากต้องการป้องกันไม่ให้บุคคลสุ่มที่ไม่มีการฝึกอบรมพิเศษ แต่ผู้ที่สามารถเข้าถึงเบราว์เซอร์ในระยะสั้น (เช่น ญาติหรือเพื่อนร่วมงาน) จากการสามารถเข้าสู่ไซต์สำคัญโดยใช้รหัสผ่านที่บันทึกไว้ .

ปัญหาทั้งสองนี้แก้ไขได้โดยใช้รหัสผ่านหลักซึ่งปกป้องข้อมูล แต่ไม่ได้เก็บไว้ที่ใด และนี่กลายเป็นข้อกำหนดแรกของเราสำหรับสถาปัตยกรรมใหม่สำหรับการจัดเก็บรหัสผ่านใน Yandex.Browser แต่ไม่ใช่เพียงคนเดียว

ไม่ว่าเครื่องมือจัดการรหัสผ่านใหม่จะปลอดภัยแค่ไหน ความนิยมของมันขึ้นอยู่กับความง่ายในการใช้งาน เราขอเตือนคุณว่า 1Password, KeePass และ LastPass เดียวกันนั้น แม้โดยรวมแล้ว จะมีการใช้งานโดยผู้ใช้ไม่เกินเปอร์เซ็นต์ (แม้ว่าเราจะนำเสนอ LastPass ในแค็ตตาล็อก Add-on ในตัวของเราก็ตาม) หรืออีกตัวอย่างหนึ่ง นี่คือวิธีการในการใช้งานแบบเก่าที่เบราว์เซอร์เสนอให้บันทึกรหัสผ่าน:

ผู้ใช้ที่มีประสบการณ์อาจตกลง ปฏิเสธ หรือดำเนินการบางอย่างเกี่ยวกับการแจ้งเตือนนี้ แต่ใน 80% ของกรณีนั้นไม่มีใครสังเกตเห็นเลย ผู้ใช้หลายคนไม่รู้ด้วยซ้ำว่าคุณสามารถบันทึกรหัสผ่านในเบราว์เซอร์ของคุณได้

เราควรพูดบางอย่างเกี่ยวกับฟังก์ชันการทำงานด้วย ทุกวันนี้ แม้แต่การเข้าสู่รายการรหัสผ่านของคุณก็ไม่ใช่เรื่องง่าย คุณต้องเปิดเมนูคลิกที่การตั้งค่าไปที่ การตั้งค่าเพิ่มเติมให้ค้นหาปุ่มการจัดการรหัสผ่านที่นั่น และเมื่อนั้นบุคคลจะสามารถเข้าถึงรายการบัญชีดั้งเดิมที่ไม่สามารถจัดเรียงโดยการเข้าสู่ระบบ ไม่สามารถเพิ่มด้วยบันทึกข้อความ และไม่สามารถแก้ไขได้ นอกจากนี้ ผู้จัดการรหัสผ่านควรช่วยคุณในการตั้งรหัสผ่านใหม่

และอีกอย่างหนึ่ง สิ่งสำคัญสำหรับเราคือสถาปัตยกรรมใหม่สอดคล้องกับหลักการ Kerkhoffs นั่นคือความน่าเชื่อถือไม่ได้ขึ้นอยู่กับความรู้ของผู้โจมตีเกี่ยวกับอัลกอริทึมที่ใช้ ระบบการเข้ารหัสจะต้องยังคงปลอดภัยแม้ว่าพวกเขาจะรู้ทุกอย่างยกเว้นคีย์ที่ใช้

ทำไมเราไม่ใช้วิธีแก้ปัญหาสำเร็จรูป?

มีสินค้าแบบเปิด ซอร์สโค้ดซึ่งรองรับรหัสผ่านหลักและฟังก์ชันการทำงานขั้นสูง สามารถรวมเข้ากับเบราว์เซอร์ได้ แต่ไม่เหมาะสำหรับเราด้วยเหตุผลหลายประการ

KeePass อยู่ในใจเป็นอันดับแรก แต่ที่เก็บข้อมูลนั้นได้รับการเข้ารหัสทั้งหมด และในการซิงโครไนซ์เบราว์เซอร์ของเราก็ทำงานทีละบรรทัด ซึ่งหมายความว่าคุณต้องขอรหัสผ่านหลักในการซิงโครไนซ์แต่ละครั้ง หรือเข้ารหัสบันทึกแยกกัน ตัวเลือกที่สองมีเมตตาต่อผู้ใช้มากขึ้น นอกจากนี้ สำหรับผลิตภัณฑ์จำนวนมาก สิ่งสำคัญคือผู้ใช้ต้องทราบเกี่ยวกับความสามารถในการแทนที่รหัสผ่านที่บันทึกไว้ก่อนที่จะปลดล็อคฐานข้อมูลด้วยรหัสผ่านหลัก ดังนั้นข้อมูลบางส่วนจะต้องยังคงไม่ได้รับการเข้ารหัส

ส่วนเสริมเฉพาะสำหรับการทำงานกับรหัสผ่านมีความสามารถในการรีเซ็ตรหัสผ่านหลักหากผู้ใช้ลืม แต่สำหรับสิ่งนี้คุณต้องดาวน์โหลดซ่อนและไม่แพ้ รหัสสำรองหรือไฟล์. ไม่เป็นไร เมื่อไหร่. เรากำลังพูดถึงเกี่ยวกับผู้ใช้ระดับสูง แต่มันยากสำหรับคนอื่นๆ ดังนั้นเราจึงต้องคิดขึ้นมาด้วย ทางเลือกอื่น- ผู้สปอยเลอร์: ในที่สุดเราก็สามารถค้นหาวิธีแก้ปัญหาที่สามารถรีเซ็ตรหัสผ่านหลักได้ แต่แม้แต่ยานเดกซ์ก็ไม่สามารถเข้าถึงฐานข้อมูลได้ แต่เพิ่มเติมเกี่ยวกับเรื่องนี้อีกเล็กน้อยในภายหลัง

และไม่ว่าในกรณีใด โซลูชันของบริษัทอื่นจะต้องได้รับการแก้ไขอย่างจริงจังเพื่อให้สามารถรวมเข้ากับเบราว์เซอร์ได้ (เขียนใหม่ใน C++ และ Java) และทำให้ง่ายพอสำหรับผู้ใช้ (แทนที่อินเทอร์เฟซทั้งหมดทั้งหมด) แม้จะฟังดูน่าประหลาดใจก็ตาม การเขียนสถาปัตยกรรมใหม่สำหรับจัดเก็บและเข้ารหัสรหัสผ่านนั้นง่ายกว่าการทำทุกอย่างอื่นๆ ดังนั้นจึงมีเหตุผลมากกว่าที่จะไม่พยายามรวมผลิตภัณฑ์ที่เข้ากันไม่ได้ตั้งแต่แรกสองรายการเข้ากันเป็นหนึ่งเดียว แต่ต้องปรับแต่งผลิตภัณฑ์ของคุณเอง

สถาปัตยกรรมใหม่โดยใช้รหัสผ่านหลัก

ไม่มีอะไรผิดปกติในการจัดเก็บบันทึกด้วยตนเอง เราใช้ที่เชื่อถือได้และ อัลกอริธึมที่รวดเร็ว AES-256-GCM สำหรับการเข้ารหัสรหัสผ่านและบันทึก เราไม่เข้ารหัสที่อยู่และการเข้าสู่ระบบเพื่อความสะดวกในการใช้งาน แต่เราลงนามเพื่อป้องกันการปลอมแปลง รูปแบบการจัดเก็บข้อมูลใน 1Password เดียวกันนั้นถูกจัดเรียงในลักษณะเดียวกัน

สิ่งที่น่าสนใจที่สุดคือการป้องกัน encKey 256 บิตซึ่งจำเป็นสำหรับการถอดรหัสรหัสผ่าน นี้ จุดสำคัญความปลอดภัยของรหัสผ่าน หากผู้โจมตีค้นพบคีย์นี้ เขาสามารถแฮ็กพื้นที่จัดเก็บข้อมูลทั้งหมดได้อย่างง่ายดาย โดยไม่คำนึงถึงความซับซ้อนของอัลกอริธึมการเข้ารหัส ดังนั้นการป้องกันคีย์จึงขึ้นอยู่กับสิ่งต่อไปนี้ หลักการพื้นฐาน:

– การเข้าถึงคีย์เข้ารหัสถูกบล็อกโดยรหัสผ่านหลัก ซึ่งไม่ได้เก็บไว้ที่ใดเลย
– คีย์เข้ารหัสไม่ควรเกี่ยวข้องทางคณิตศาสตร์กับรหัสผ่านหลัก

ใน บริการที่เรียบง่ายและแอปพลิเคชัน จะได้รับคีย์เข้ารหัสโดยการแฮชรหัสผ่านหลักเพื่อชะลอการโจมตีแบบเดรัจฉานเป็นอย่างน้อย แต่การพึ่งพาทางคณิตศาสตร์ของคีย์ในรหัสผ่านหลักยังคงทำให้การแฮ็กง่ายขึ้น ซึ่งในกรณีนี้ความเร็วจะขึ้นอยู่กับความน่าเชื่อถือของการแฮชเท่านั้น การใช้ฟาร์มที่ทำจากโปรเซสเซอร์ ASIC ที่ออกแบบมาเพื่อการเจาะระบบไม่ใช่เรื่องแปลกอีกต่อไป ดังนั้นในกรณีของเรา คีย์ encKey ไม่ได้มาจากรหัสผ่านหลักและถูกสร้างขึ้นแบบสุ่ม

จากนั้นคีย์ encKey จะถูกเข้ารหัสโดยใช้ อัลกอริธึมไม่สมมาตรอาร์เอสเอ-สอ. ในการดำเนินการนี้ เบราว์เซอร์จะสร้างคีย์คู่หนึ่ง: pubKey สาธารณะและ privKey ส่วนตัว encKey ได้รับการป้องกันโดยใช้กุญแจสาธารณะ และสามารถถอดรหัสได้โดยใช้กุญแจส่วนตัวเท่านั้น

พับลิกคีย์ pubKey ไม่จำเป็นต้องได้รับการปกป้อง เนื่องจากไม่เหมาะสำหรับการถอดรหัส แต่เรื่องราวของ privKey ส่วนตัวนั้นแตกต่างออกไป เพื่อป้องกันการโจรกรรม การเข้าถึงจะถูกบล็อกตามมาตรฐาน PKCS#8 โดยใช้ข้อความรหัสผ่าน UnlockKey ซึ่งเป็นผลมาจากการแฮชรหัสผ่านหลักโดยใช้ฟังก์ชัน PBKDF2-HMAC-SHA256 (การทำซ้ำ 100,000 ครั้ง โดยเพิ่มเกลือและ รหัสห้องนิรภัย) หากรหัสผ่านหลักตรงกับรหัสผ่านที่ถูกขโมยไปแล้วจากเว็บไซต์โดยไม่ได้ตั้งใจ การเติมเกลือจะปกปิดข้อเท็จจริงนี้และทำให้ถอดรหัสได้ยากขึ้น และด้วยการแฮชรหัสผ่านหลักที่มีความยาวเพียงพอซ้ำๆ ความซับซ้อนของการแคร็ก UnlockKey ก็เทียบได้กับการแคร็กคีย์ encKey

รหัสผ่านที่เข้ารหัส, คีย์เข้ารหัส encKey, คีย์ส่วนตัวที่เข้ารหัส privKey และ กุญแจสาธารณะ pubKey จะถูกเก็บไว้ในโปรไฟล์เบราว์เซอร์และซิงโครไนซ์กับอุปกรณ์ผู้ใช้อื่น

เพื่อให้ง่ายต่อการเข้าใจทั้งหมดนี้ นี่คือรูปแบบการถอดรหัสรหัสผ่าน:

สถาปัตยกรรมนี้ที่ใช้รหัสผ่านหลักมีข้อดีหลายประการ:

– คีย์เข้ารหัสที่เก็บข้อมูล 256 บิตถูกสร้างขึ้นแบบสุ่มและมีความแข็งแกร่งในการเข้ารหัสสูงเมื่อเปรียบเทียบกับรหัสผ่านที่มนุษย์สร้างขึ้น
– เมื่อบังคับใช้รหัสผ่านหลักอย่างดุร้าย ผู้โจมตีจะไม่ทราบผลลัพธ์เว้นแต่เขาจะผ่านห่วงโซ่ทั้งหมด (รหัสผ่าน-PBKDF2-RSA-AES) มันยาวมากและมีราคาแพงมาก
– หากฟังก์ชันแฮชถูกบุกรุก เราสามารถเปลี่ยนไปใช้ ทางเลือกอื่นแฮชในขณะที่รักษาความเข้ากันได้แบบย้อนหลัง
– หากผู้โจมตีพบรหัสผ่านหลัก ก็สามารถเปลี่ยนได้โดยไม่ต้องมีขั้นตอนที่ซับซ้อนและมีความเสี่ยงในการถอดรหัสที่จัดเก็บข้อมูลทั้งหมด เนื่องจากคีย์การเข้ารหัสข้อมูลไม่เชื่อมโยงกับรหัสผ่านหลัก ดังนั้นจึงไม่ถูกบุกรุก
– คีย์เข้ารหัสจะถูกจัดเก็บในรูปแบบที่เข้ารหัส ทั้งยานเดกซ์และผู้โจมตีที่ขโมยรหัสผ่านยานเดกซ์จะไม่สามารถเข้าถึงรหัสผ่านที่ซิงโครไนซ์ได้เนื่องจากต้องใช้รหัสผ่านหลักซึ่งไม่ได้เก็บไว้ที่ใด

แต่ตัวเลือกรหัสผ่านหลักมี “ข้อเสีย” ประการหนึ่ง: ผู้ใช้อาจลืมรหัสผ่านหลัก นี่เป็นเรื่องปกติเมื่อพูดถึงโซลูชันพิเศษที่ใช้ ผู้ใช้ที่มีประสบการณ์ตระหนักดีถึงความเสี่ยง แต่ในผลิตภัณฑ์ที่มีผู้ชมหลายล้านดอลลาร์ สิ่งนี้เป็นสิ่งที่ยอมรับไม่ได้ หากเราไม่มีตัวเลือกสำรอง ผู้ใช้ Yandex.Browser จำนวนมากจะปฏิเสธที่จะใช้รหัสผ่านหลักหรือวันหนึ่ง "สูญเสีย" รหัสผ่านทั้งหมดและเบราว์เซอร์จะถูกตำหนิในเรื่องนี้ (คุณจะประหลาดใจ แต่ ยานเดกซ์มักเป็นทางเลือกสุดท้ายในสถานการณ์ที่บุคคลนั้นลืมรหัสผ่านบัญชีของเขา) และการคิดวิธีแก้ปัญหาไม่ใช่เรื่องง่าย

จะรีเซ็ตรหัสผ่านหลักโดยไม่เปิดเผยรหัสผ่านได้อย่างไร?

ผลิตภัณฑ์บางอย่างแก้ไขปัญหานี้ด้วยการจัดเก็บข้อมูลที่ถอดรหัสแล้ว (หรือแม้แต่รหัสผ่านหลัก) ไว้ในคลาวด์ ตัวเลือกนี้ไม่เหมาะกับเรา เนื่องจากผู้โจมตีสามารถขโมยรหัสผ่านสำหรับ Yandex และขโมยรหัสผ่านสำหรับทุกไซต์ได้ ดังนั้นเราจึงจำเป็นต้องหาวิธีในการกู้คืนการเข้าถึงพื้นที่จัดเก็บรหัสผ่านซึ่งไม่มีใครสามารถทำได้นอกจากตัวผู้ใช้เอง ผู้จัดการบุคคลที่สามพวกเขาแนะนำให้สร้างรหัสผ่านสำหรับสิ่งนี้ ไฟล์สำรองซึ่งผู้ใช้จะต้องจัดเก็บไว้ในที่ปลอดภัยโดยอิสระ การตัดสินใจที่ดี, แต่ ผู้ใช้ประจำคีย์สำรองดังกล่าวจะหายไปอย่างหลีกเลี่ยงไม่ได้ ดังนั้นสำหรับเราทุกอย่างจะง่ายกว่ามาก

มาจำห่วงโซ่การพึ่งพาคีย์อีกครั้ง ห้องนิรภัยรหัสผ่านถูกเข้ารหัสโดยใช้ encKey แบบสุ่ม ซึ่งไม่ได้จัดเก็บไว้ที่ใดเลย อย่างชัดเจน- คีย์นี้มีการป้องกันด้วย รหัสส่วนตัว privKey ซึ่งไม่ได้จัดเก็บไว้อย่างชัดเจนและได้รับการป้องกันโดยใช้แฮชที่ซับซ้อนของรหัสผ่านหลัก เมื่อบุคคลลืมรหัสผ่านหลัก เขาจะสูญเสียความสามารถในการถอดรหัส privKey อย่างมีประสิทธิภาพ ซึ่งหมายความว่าคุณสามารถจัดเก็บ privKey ที่ซ้ำกันไว้เป็นข้อมูลสำรองได้ แต่ที่ไหนล่ะ? แล้วจะป้องกันได้อย่างไร?

หากคุณวาง privKey ที่ถอดรหัสแล้วไว้ในคลาวด์ ความปลอดภัยของรหัสผ่านจะขึ้นอยู่กับบัญชี Yandex ของคุณ และนั่นคือสิ่งที่เราไม่ต้องการอนุญาต หากคุณจัดเก็บไว้อย่างชัดเจนในเครื่อง การป้องกันทั้งหมดด้วยรหัสผ่านหลักจะไม่มีความหมายใดๆ ไม่มีที่ใดที่คุณสามารถจัดเก็บคีย์นี้ในรูปแบบที่ชัดเจนได้อย่างปลอดภัย ซึ่งหมายความว่าจะต้องได้รับการเข้ารหัส เมื่อต้องการทำเช่นนี้ เบราว์เซอร์จะสร้างคีย์ 256 บิตแบบสุ่มที่ป้องกัน privKey ที่ซ้ำกัน ตอนนี้ส่วนที่สนุกมา รหัสสุ่มนี้ถูกส่งไปยังระบบคลาวด์ Yandex.Passport เพื่อจัดเก็บ และสำเนาที่เข้ารหัสจะยังคงจัดเก็บไว้ในโปรไฟล์เบราว์เซอร์ในเครื่อง ปรากฎว่าไม่มีคู่สำเร็จรูปสำหรับการถอดรหัสรหัสผ่านในระบบคลาวด์หรือบนคอมพิวเตอร์และความปลอดภัยก็ไม่ได้รับผลกระทบ

ด้วยตัวเลือกนี้ คุณจะสามารถรีเซ็ตรหัสผ่านหลักได้เมื่อมีการสร้าง privKey ที่ซ้ำกันเท่านั้น เราต้องการเพิ่มคุณสมบัตินี้ให้กับอุปกรณ์ที่ซิงโครไนซ์ การสร้างคีย์สำรองด้วยตนเองในแต่ละอุปกรณ์นั้นไม่สะดวก: คุณอาจจบลงด้วยอุปกรณ์ที่คุณลืมสร้างสำเนาโดยไม่ได้ตั้งใจ คุณไม่สามารถส่งสำเนาที่เข้ารหัสไปยังอุปกรณ์อื่นโดยใช้การซิงโครไนซ์ได้: คีย์ของคีย์นั้นถูกจัดเก็บไว้ในคลาวด์แล้ว และด้วยเหตุผลด้านความปลอดภัย จึงไม่สามารถพบได้ในที่เดียว ดังนั้น privKey ที่ซ้ำกันที่เข้ารหัสจึงต้องผ่านการเข้ารหัสอีกชั้นหนึ่ง คราวนี้ใช้แฮชของรหัสผ่านหลัก รหัสผ่านหลักไม่ได้จัดเก็บไว้ในระบบคลาวด์ ดังนั้น "matryoshka" ที่เป็นผลลัพธ์จึงสามารถซิงโครไนซ์ได้อย่างปลอดภัยแล้ว บนอุปกรณ์อื่นๆ ครั้งแรกที่คุณป้อนรหัสผ่านหลัก เลเยอร์การเข้ารหัสเพิ่มเติมจะถูกลบออก

ด้วยเหตุนี้ เมื่อผู้ใช้ลืมรหัสผ่านหลัก เขาจะต้องขอรีเซ็ตรหัสผ่านผ่านเบราว์เซอร์และยืนยันตัวตนโดยใช้รหัสผ่าน Yandex เท่านั้น

เบราว์เซอร์จะขอคีย์จาก Yandex.Passport ใช้เพื่อถอดรหัส privKey คีย์ที่ซ้ำกัน ใช้เพื่อถอดรหัสคีย์ไปยังที่เก็บข้อมูล encKey จากนั้นสร้างคู่ใหม่ของ pubKey และ privKey ซึ่งคู่หลังจะได้รับการคุ้มครองโดย รหัสผ่านหลักใหม่ พื้นที่จัดเก็บรหัสผ่านไม่ได้ถูกถอดรหัส ซึ่งช่วยลดความเสี่ยงที่ข้อมูลสูญหาย อย่างไรก็ตาม คุณสามารถบังคับเปลี่ยน encKey และเข้ารหัสข้อมูลอีกครั้งได้ เพียงปิดการใช้งานและเปิดใช้งานรหัสผ่านหลักอีกครั้งในการตั้งค่า

ปรากฎว่ามีเพียงผู้ใช้เองเท่านั้นที่สามารถรีเซ็ตรหัสผ่านหลักและได้ บนอุปกรณ์นั้นเท่านั้นซึ่งเขาแนะนำอย่างน้อยหนึ่งครั้ง แน่นอนว่าไม่จำเป็นต้องสร้างคีย์สำรองหากผู้ใช้มั่นใจ คุณไม่จำเป็นต้องใช้รหัสผ่านหลักด้วยซ้ำ แม้ว่าเราไม่แนะนำให้ยอมแพ้ก็ตาม

สถาปัตยกรรมใหม่และรหัสผ่านหลักไม่ได้เป็นเพียงการเปลี่ยนแปลงในตัวจัดการใหม่เท่านั้น ดังที่เราได้กล่าวไว้ข้างต้น ความง่ายในการใช้งานและคุณสมบัติขั้นสูงก็มีความสำคัญไม่น้อย

ผู้จัดการรหัสผ่านใหม่

ก่อนอื่น เราได้ยกเลิกแถบสีเทาที่แจ้งให้คุณบันทึกรหัสผ่านแล้ว ตอนนี้ผู้ใช้จะเห็นข้อความแจ้งถัดจากช่องรหัสผ่าน มันยากที่จะไม่สังเกตเห็นสิ่งนี้

และตอนนี้คุณไม่จำเป็นต้องค้นหาผู้จัดการในการตั้งค่าอีกต่อไป: ปุ่มนี้มีอยู่ในเมนูหลัก ขณะนี้รายการบัญชีที่บันทึกไว้รองรับการจัดเรียงตามการเข้าสู่ระบบ ที่อยู่ และบันทึก เราได้เพิ่มการแก้ไขโพสต์ด้วย

เคล็ดลับ: หมายเหตุเป็นทางเลือกที่ดีสำหรับแท็กเนื่องจากสามารถค้นหาได้

และตอนนี้เบราว์เซอร์ก็ช่วยคุณสร้างรหัสผ่านที่ไม่ซ้ำใครได้

ในเวอร์ชันเบต้าแรก เราไม่สามารถทำทุกอย่างได้ ในอนาคตเราจะรองรับการส่งออกและนำเข้ารหัสผ่านเพื่อให้เข้ากันได้กับความนิยม โซลูชันของบุคคลที่สาม- เรายังมีแนวคิดที่จะเพิ่มการตั้งค่าให้กับตัวสร้างรหัสผ่าน

ผู้จัดการรหัสผ่านมือถือ

แน่นอน ตรรกะใหม่และการรองรับรหัสผ่านหลักจะปรากฏไม่เพียง แต่บนคอมพิวเตอร์ แต่ยังรวมถึง Yandex.Browser เวอร์ชันสำหรับ Android และ iOS ด้วย ด้วยการปรับตัวเล็กน้อย ตัวอย่างเช่น คุณสามารถใช้ไม่เพียงแต่รหัสผ่านหลักเท่านั้น แต่ยังใช้ลายนิ้วมือได้ด้วย นอกจากนี้เรายังห้ามไม่ให้จับภาพหน้าจอทางโปรแกรมบนหน้าเว็บพร้อมรายการรหัสผ่าน - คุณไม่จำเป็นต้องกลัวแอปพลิเคชันที่เป็นอันตราย

วันนี้คุณสามารถลองใช้ตัวจัดการรหัสผ่านใหม่ได้แล้ว