Как организовать хранение паролей в Android. Безопасность менеджеров паролей для Android вызвала у экспертов серьезное беспокойство

Менеджеры паролей, централизованно хранящие информацию о различных аккаунтах, выполняют несколько важных задач. Когда используешь такую программу, достаточно выучить только один пароль, который можно сделать действительно сложным. К тому же можно не стесняться в выборе заковыристых, устойчивых паролей для многочисленных аккаунтов - все равно их будет хранить софтина.

А еще менеджеры позволяют синхронизировать базы паролей на различных устройствах. Улучшение безопасности не в ущерб удобству использования - отличное сочетание!

Брелок - это такая вещь, которая позволяет потерять все ключи сразу. Это справедливо и по отношению к менеджерам паролей. Поэтому подходить к выбору подобных программ следует внимательно. Подавляющее большинство таких приложений - платные. Неужели нельзя обойтись без лишних затрат? Конечно, можно. На помост сегодня выйдут только действительно бесплатные Android-продукты, не требующие в том числе покупки подписки.

Одно из самых простых решений-приложение aWallet Password Manager. По сути, это защищенная записная книжка для хранения паролей без какой-либо дополнительной автоматизации. Программа предлагает только функцию быстрого копирования информации в буфер, после чего нужно перейти в целевое приложение и вставить данные в нужное поле. Приятный бонус: софтина хоть и с некоторыми ошибками, но переведена на русский язык.

Оформление у приложения подчеркнуто скромное, но, как говорилось в народе, нам с лица не воду пить, и с корявой можно жить. Для управления паролями и другими секретными записями служит каталог. В нем для быстрого старта уже предусмотрен ряд категорий: «Веб-аккаунты», «Кредитные карты» и др. Есть встроенный поиск по сохраненным аккаунтам. Надо сказать, что предлагаемые категории можно редактировать и добавлять к ним новые. Поддерживается локальное резервное копирование базы.

Кроме бесплатной базовой версии существуют и коммерческие. Можно заплатить за возможность импорта баз в формате CSV, встроенный генератор паролей, а также купить подписку на aWallet Cloud, применяемый для синхронизации базы на разных устройствах через онлайновый сервис разработчика.

Пожалуй, самое раскрученное свободное решение для работы с паролями - это KeePass . На его основе построено несколько Android-приложений. KeePass Droid - простое решение, основное достоинство которого - совместимость с настольным KeePass. Базы могут храниться как локально, так и удаленно. Сортировать пароли предлагается с помощью иерархической структуры категорий. Создавать их можно самостоятельно, в том числе вложенные. В программе есть встроенный генератор стойких паролей.

Приложение Keepass2Android устроено сложнее. Как и следовало ожидать, оно понимает формат баз «настольного» KeePass, так что возможен быстрый старте импортом готовой базы, если вы уже пользовались KeePass. Приложение пока находится в стадии предварительной версии, так что возможность легкого резервного копирования баз и их открытия в «настольном» KeePass придает некоторую уверенность. Замечательное свойство Keepass2Android - возможность открывать базы напрямую из онлайновых хранилищ. Поддерживаются Диск Google, OneDrive и Dropbox. Кроме того, приложение умеет использовать FTP/SFTP и WebDAV. Так что можно организовать синхронизацию баз паролей, не передавая свою информацию какой-либо внешней фирме, - все остается в ваших собственных хранилищах. Надо заметить, что Keepass2Android не просит полного доступа к онлайновым хранилищам, скромно и тактично удовлетворяясь доступом только к самолично созданным файлам. При желании можно хранить базу локально, на вашем мобильном девайсе. В приложении можно устанавливать плагины. Поддерживается работа с QR-кодами.

Для сортировки данных используются папки-категории. Можно создавать вложенные категории, редактировать записи, в том числе используя собственные дополнительные поля. Есть встроенный генератор паролей, причем настраиваемый. Можно точно указать, сколько и каких символов должно быть в пароле. В базе работает хорошая система поиска.

В дополнение к мастер-паролю можно использовать ключевой файл. Такой файл обеспечивает хорошую защиту, однако он может быть обнаружен и скопирован, в отличие от пароля, который вы можете хранить в своей собственной голове. Опция быстрой разблокировки подключенной базы позволяет обойтись только последними тремя символами мастер-пароля, что экономит время при постоянном обращении к уже открытой базе.

Доступ к сохраненным аккаунтам возможен двумя способами. Первый -копирование и вставка во внешнее приложение через буфер обмена. В Keepass2Android предусмотрена опция быстрого копирования. Второй способ -системное меню, предлагающее приложения для открытия различных ресурсов. При выборе Keepass2Android программа предложит ввести мастер-пароль, после чего попытается залогиниться и открыть доступ. Удобно, но, к сожалению, здесь иногда возникали трудности.

Как известно, к буферу обмена могут иметь доступ и сторонние приложения, что создает определенную опасность при копировании через буфер чувствительной информации. Поэтому в состав Keepass2Android входит собственная защищенная клавиатура, предотвращающая перехват паролей кейлогерами. Клавиатура, честно скажу, так себе, да и, чтобы получить на ней русский язык, придется побродить по системным настройкам. По умолчанию она понимает только английский и китайский.

Symantec - достаточно известная контора в сфере информационной безопасности. Она также не оставила без внимания проблему сохранения информации об аккаунтах и создала собственный менеджер паролей. Приложение Norton Identity Safe для своей работы требует наличия аккаунта Norton, благо он бесплатный.

Для работы в сети применяется встроенный защищенный браузер. Серфинг идет без проблем, сайты отображаются вполне корректно. Для любого открытого сайта можно посмотреть его рейтинг безопасности, определенный Symantec на основе сообщений о подозрительном поведении тех или иных ресурсов. Защищенность проявляется в том числе и в автоматическом сканировании трафика на предмет выявления вирусов и фишинговых ссылок. Это уникальное свойство среди участников нашего обзора. В остальном браузер очень прост и уступает лидерам рынка. Norton Identity Safe предлагает сохранять пароли непосредственно во время серфинга, при первом заполнении какой-либо формы на посещенном сайте. С внешними приложениями программа работает через системное меню. Например, при щелчке по ссылке на файл, требующий авторизации для скачивания, можно выбрать опцию Norton Identity Safe. Откроется экран ввода пароля или пин-кода. После авторизации программа сделает все сама. Разумеется, эта опция предназначена не для заведения новых паролей, а для быстрого доступа к уже имеющимся аккаунтам.

Данные хранятся в каталоге, разделенном на несколько тематических частей. Предусмотрены отдельные списки - например, для пар логинов/паролей, адресов (используются при автоматическом заполнении форм с адресами доставки в интернет-магазинах). Раздел Wallet предназначен для хранения данных кредиток и другой платежной информации. Есть даже раздел для защищенных текстовых заметок. Записи раздела Wallet можно привязать к записям из «Адресов» - это хорошо для покупок, поскольку сразу же объединяет все необходимые данные. Тут уже не перепутаешь и не закажешь ненароком что-нибудь домой с рабочей карты.

Предусмотрено «Избранное», в котором можно сохранять ссылки на любые часто используемые записи: удобно, когда каталог у вас получается действительно большим. Для быстрого обращения к базе приложения помимо стандартного мастер-пароля можно задать дополнительный пин-код. Для синхронизации данных предназначена онлайновая служба Norton, дополнительно защищенная двухступенчатой аутентификацией.

Подведем итоги. Откровенно говоря, столь чувствительная сфера, как сохранность паролей, поневоле повышает градус консерватизма при выборе соответствующего инструмента. На мой взгляд, новички заслуживают шанса, но ежедневно пользоваться лучше более-менее проверенным софтом.

Совсем свеженькое приложение интересно, только если оно предлагает действительно уникальные функции.

Так что если вам нужна хорошая функциональность и вы приверженец свободного софта, вам прямая дорога к вариантам KeePass. Приложение KeePass Droid чуть дольше представлено на рынке, но Keepass2Android намного функциональней. Среди породисто-фирменных решений наиболее удачные условия да еще и браузер со встроенной защитой предлагает Symantec Norton Identity Safe. В целом получился достаточно хороший бесплатный продукт от известного разработчика. В остальном функциональность у приложения не рекордная. Однако такая простота имеет свои удобные стороны: поскольку интерфейс у программы английский, большое количество настроек могло бы создать некоторые неудобства. Если хотите бесплатной «фирмы», это приложение - то, что надо.

Активный пользователь интернета вынужден вводить огромное количество паролей – от социальных сетей, электронных почтовых ящиков, интернет-магазинов, онлайн-игр. В целях безопасности рекомендуется придумывать оригинальный пароль при каждой новой регистрации, ведь иначе злоумышленник, получив незаконный доступ к одному аккаунту, сумеет легко взломать и прочие. Запомнить массу разных логинов и паролей сложно, записать в блокнот – небезопасно, поэтому самым оптимальным вариантом разгрузить память выглядит использование специальных программ для хранения паролей. Достаточно запомнить всего один, главный пароль, чтобы получить доступ ко всем остальным.

Price: Free

LastPass – известный облачный сервис для хранения паролей, разработанный одноименной компанией и доступный на компьютерных операционных системах Linux, Windows, OS X, в магазинах приложений Google Play, AppStore, Microsoft Store, а также в форме плагинов для основных браузеров, например, Mozilla Firefox и Google Chrome. Эта программа не только запоминает идентификационные данные, но и осуществляет управление ими: помогает владельцу сгенерировать новый пароль, меняет данные, если замечает попытку взлома, анализирует сложность и надежность паролей, следит, чтобы пароли от двух разных аккаунтов не были одинаковыми.

К числу ключевых преимуществ программы для сохранения паролей LastPass следует отнести следующие:

Двухфакторная аутентификация . Большинство сайтов требует ввести только логин и пароль – такая аутентификация называется однофакторной. Двухфакторная запрашивает у пользователя дополнительные данные (например, PIN, номер телефона, отпечатки пальцев), что является гарантией повышенной надежности. На двухфакторную аутентификацию перешли известные порталы Twitter, Amazon, Facebook, а с недавних пор и LastPass . Дополнительная защита паролей обеспечивается за счет Google Authenticator и YubiKey .
Полноценная и качественная русификация.
Широкий функционал. После обновления интерфейса LastPass в 2014 году сервис оказался дополнен рядом полезных дополнительных функций. Сейчас пользователь с помощью приложения может хранить документы, применять инструменты для автозаполнения форм интернет-магазинов, следить за изменениями кредитной истории.

LastPass считается бесплатной программой для сохранения паролей, однако, для использования мобильных версий нужно приобрести премиум-аккаунт, стоимость которого составляет 12 долларов.

1Password

Price: Free +

Пользователи 1 Password отмечают в качестве важных преимуществ программы простоту ее применения и весьма дружелюбный и приятный интерфейс. Однако этим плюсы программы для запоминания паролей, вводимых на компьютере, 1 Password не исчерпываются – есть и другие:

Кроссплатформенность . Программа работает на Windows, Mac OS, Android, iOS, а также встраивается в самые популярные браузеры вроде Opera и Firefox. Впрочем, такая широкая интегрируемость – скорее норма для менеджеров паролей, нежели отличительная черта.
Синхронизация . Через Dropbox и iCloud можно открыть доступ к хранилищу паролей посторонним пользователям.
Надежность . База данных защищена шифром AES-128, принятым в качестве стандарта Правительством США. Утечка данных предупреждается встроенным кейлогером – устройством, регистрирующим действия пользователя.
Генерация паролей. При необходимости создать новый пароль программа для генерации паролей не просто выдает случайный набор цифр и букв, а формирует сочетание, соответствующее параметрам, предварительно указанным пользователем. Такие параметры – количество символов, наличие цифр и даже произносимость сочетания.
Возможность аудита безопасности. Программа проверит базу данных на наличие дублированных и слабых паролей.

1 Password имеет самый высокий рейтинг среди аналогов в AppStore (4 звезды из 5), однако, и это ПО не лишено недостатков. Программа 1 Password довольно дорогая – владельцам iPhone ради установки полной версии придется расстаться с 5 тыс. рублей. Однако даже уплатив эти деньги, пользователь не сможет производить редактирование базы данных на мобильном устройстве.

Dashlane

Price: Free

Выпущенный в 2012 году менеджер паролей Dashlane сразу обрел мировую популярность благодаря простому качественному интерфейсу, высокой безопасности и возможности автоматического заполнения форм на веб-страницах. К 2016 году произошло несколько обновлений, и программа успела «обрасти» дополнительными функциями. Чем же отличается Dashlane ?

Двухфакторная аутентификация – признак внимательного отношения разработчиков к надежности своего детища.
Трекинг покупки и интеграция с электронными кошельками упрощают процесс покупок через интернет-магазины.
Доступность для любых устройств. Эта программа для сохранения паролей, вводимых на компьютере, работает как с десктопными, так и с мобильными ОС, имеет плагин даже для Internet Explorer. Возможна облачная синхронизация нескольких устройств на разных платформах, но только при покупке Pro-версии.

Базовые функции приложения Dashlane доступны бесплатно, полная версия обойдется почти в 40 $ за год. Несмотря на такую стоимость, русификация приложения до сих пор не проведена – эта главная причина, почему Dashlane не так популярен в среде отечественных пользователей, как, скажем, LastPass .

RoboForm

Price: Free +

RoboForm – «первопроходец» и «долгожитель» среди менеджеров паролей. Разработка этой программы началась еще в 1999 году, однако, и по сей день приложение постоянно продолжает совершенствоваться и наращивать функционал. Те, кто считает, что использование RoboForm сейчас, при наличии множества достойных конкурентов – признак нездорового консерватизма, заблуждаются, ведь программа действительно может предложить пользователю массу уникальных преимуществ:

Универсальность . Тем, что менеджер паролей работает со всеми основными и актуальными ОС, никого не удивишь. Однако много ли известно программ, которые поддерживаются на Symbian , Palm OS , BlackBerry OS и даже Windows 2003 ? RoboForm – одна из таких.
Мобильность . Не обязательно устанавливать RoboForm на компьютер или гаджет, чтобы пользоваться им – благодаря функции RoboForm 2 Go , программу можно установить на флешку и запускать на общедоступных компьютерах.
Надежность. База RoboForm шифруется по стандарту AES-256, который традиционно используется в банковском деле.
Возможность создать несколько профилей. Одной программой могут пользоваться разные люди – в каждом из профилей, защищенных паролем, будет храниться индивидуальная информация. Это позволяет экономить и приобретать платную версию приложения «вскладчину».

Менеджер можно скачать бесплатно, но тогда хранить более 10 логинов / паролей не удастся. Для хранения неограниченного количества данных, а также облачной синхронизации понадобится версия RoboForm Everywhere , которая стоит около 20 $ в год.

Выбирая тот или иной способ хранения конфиденциальной информации, приходится идти на компромисс. Полагаясь на собственную память, мы выбираем простые, хорошо запоминающиеся варианты паролей, логинов и т. п. Материальная фиксация (скажем, записи в блокноте) еще менее надежна, дополнительную аргументацию можно даже не приводить.

Мобильное устройство - также не панацея. Но во-первых, телефон всегда под рукой, в отличие от настольных программных решений. Во-вторых, надежно защитить данные на телефоне «малой кровью» все-таки можно.

Среди наиболее популярных приложений для Android верхние позиции занимают менеджеры паролей, и в этой категории выбор на удивление широк. Данный путеводитель затрагивает, в основном, известные и хорошо зарекомендовавшие себя решения. Задача - выяснить, насколько удобно использовать менеджеры паролей, какие средства для защиты информации предлагают разработчики в каждом из случаев.

В первую очередь, наш интерес направлен на следующие аспекты:

Синхронизация, импорт и экспорт данных
Записи, шаблоны, способы организации данных, поиск
Поддерживаемые стандарты безопасности
Дополнительные инструменты: встроенный браузер, генератор паролей и т. п.
Меры безопасности, такие как установка мастер-пароля (или PIN), автоблокировка, очистка буфера обмена.

Участники:

mySecret
Keepass2Android
Safe in Cloud
Pocket
LastPass
PassWallet
Dashlane Password Manager

mySecret

Приложение mySecret позволяет хранить имена пользователей, пароли и заметки в зашифрованной базе данных. При создании базы за ней закрепляется мастер-пароль.

Опционально, база данных может быть синхронизирована онлайн с Dropbox или посредством HTTP-сервера. Также предусмотрен локальный доступ: база хранится в памяти телефона, ее можно синхронизировать вручную, удалить или восстановить из файла. Для дополнительной защиты содержимого используются сертификаты.

В mySecret задействован простой формат хранения информации. Содержимое ячейки состоит из записи (наименования), логина, пароля, URL, заметки. В поиске участвуют все эти данные, в любой момент можно быстро найти интересующие сведения. Однако следует иметь в виду, что некоторые традиционные удобства в mySecret недоступны. Например, нельзя закрепить запись за категорией или группой, назначить дополнительные поля.

Очень мало внимания уделено безопасности. В ряде случаев не помешала бы перестраховка в виде дополнительных мер. Например, при удалении базы данных не запрашивается пароль, нет быстрой блокировки и т п. моменты, о которых в обзоре будет сказано.

Резюме . mySecret поддерживает онлайн-синхронизацию, автономную работу, хранение паролей с поддержкой сертификатов. Слабые стороны - слишком простая организация паролей, невозможность гибкой настройки, неясная ситуация с безопасностью (как минимум, не указана технология шифрования).

Keepass2Android

Keepass2Android - бесплатный менеджер паролей, который позволяет записывать конфиденциальные данные в *.kdbx файл. Этот формат поддерживается настольными версиями KeePass и, таким образом, доступен для .

KeePass позволяет работать с несколькими базами данных, хранящимися в памяти телефона. Информация шифруется по алгоритму AES (Rijdael) 256 бит с заданным количеством подходов шифрования. Дополнительно может использоваться файл ключей. Безусловно, база защищается мастер-паролем, для ускорения доступа можно активировать опцию QuickUnlock - разблокировку с использованием трех последних символов пароля.

Запись включает в себя стандартные поля (пароль, имя пользователя, адрес сайта, комментарий). Кроме этого, можно присвоить ассоциативную иконку, добавить дополнительные поля, теги, вложение, указать срок годности пароля. Разрешается не только добавление записей, но и их группировка. Это весьма удобно, но практичней было бы ассоциировать группы с определенным набором полей, тем самым ускорив добавление новых записей.

Расширенный поиск позволяет включать любые поля и данные. Обычный поиск в KeePass осуществляется не по мере набора, а после нажатия на кнопку подтверждения (также можно было оптимизировать это действие).

В наличии дополнительные опции безопасности: очистка буфера обмена, блокировка базы, быстрая разблокировка, настройка паролей, управление операциями, обработкой файлов.

Keepass2Android поддерживает синхронизацию базы с облачными сервисами Dropbox, Google Drive, SkyDrive, а также по протоколам FTP и WebDAV. Существует локальная - менее популярная - версия KeePass - . Она может быть интересна, пожалуй, только пользователям, которым не требуется постоянная синхронизация с другими платформами. Экспорт в ней поддерживается, наравне с альтернативной версией приложения.

Резюме . Keepass2Android представляет собой функциональное решение с удобной организацией паролей и другой секретной информации. Из особенностей - группы и расширенный поиск, синхронизация с настольными платформами и онлайн-сервисами.

Safe in Cloud

Safe in Cloud - менеджер паролей с возможностью онлайн-синхронизации зашифрованной базы (поддерживаются хранилища Google Drive, Dropbox и SkyDrive). Несмотря на единственную базу данных, доступ к сервису возможен на других платформах: (iOS, Windows). Также существуют расширения для браузеров Chrome и Firefox.

В Safe in Cloud можно импортировать старые пароли, заявлено более 80 поддерживаемых приложений (по запросу, можно добавить и другие варианты). Доступен экспорт записей, форматы вывода - TXT, CSV и XML. Из других операций, производимых с базой, - резервное копирование / восстановление данных на карту памяти.

Пользовательские данные хранятся в виде карт, заметок и шаблонов. Карты - это записи с конфиденциальной информацией, создаваемые на основе шаблонов. Шаблоны представляют собой определенный набор полей (к примеру, кредитные карты, паспорта, электронная почта, веб-аккаунты). Наконец, заметки - это простые текстовые записи.

Для упорядочивания записей используются теги, из боковой панели можно быстро перейти к нужной категории. Навигация дополняется удобным поиском: он изначально производится по всем полям и работает по мере ввода.

Данные в Safe in Cloud зашифрованы (как на телефоне, так и в облачном хранилище), используется стандартное 256-битное шифрование Advanced Encryption Standard. Предусмотрен мастер-пароль, он вводится каждый раз при начале или возобновлении активности в приложении.

Резюме . Нареканий к приложению Safe in Cloud нет. Наиболее сильные стороны - удобный интерфейс, продуманная навигация плюс категоризация и поиск, широкие возможности импорта и экспорта, кроссплатформенность, синхронизация.

Pocket

Pocket (не путать с одноименным сервисом для отложенного чтения) - записная книжка для удобного хранения информации, в том числе конфиденциальной.

Дизайн Pocket отличается от других приложений меньшей строгостью: выпуклые кнопки, цветной фон, множество иконок. Это дополнительный «плюс», хотя, по отзывам, есть и приверженцы консервативного стиля.

Аналогично Safe in Cloud и подобным программам, Pocket поддерживает категории, позволяя сортировать записи по различным типам. В настройках группы указываются поля - то есть, нечто вроде шаблона. В результате, легко создавать группы в широком диапазоне, от веб-логинов и автомобильных знаков до лицензий, рецептов и других сущностей. Рядом располагается генератор паролей, он поможет создать пароль необходимой длины и сложности в соответствующем поле.

Поисковой строке отведен свой раздел, и небольшое неудобство заключается в том, что нужно нажать на кнопку «Поиск», ввести ключевые слова и вновь нажать на кнопку, хотя, как уже было отмечено, можно реализовать это куда проще для пользователя.

Для шифрования применяется алгоритм AES-256. Мастер-пароль, созданный в целях защиты базы данных, представляет собой хэш SHA-512 и, по сути, не хранится на устройстве как заданная комбинация цифр. При неактивности, Pocket автоматически блокирует доступ и очищает буфер обмена, обеспечивая комплексную защиту данных.

Существующие записи можно импортировать или сделать резервную копию с SD-карты, синхронизировать с Dropbox. При онлайн-синхронизации используется протокол HTTPS, данные передаются зашифрованными.

Pro-версия, по сравнению с бесплатной, не несет в себе добавочной функциональности, но в ней нет рекламы.

Резюме . Программа уже год не обновлялась, однако и сейчас она вполне актуальна. Pocket отличается неплохим дизайном, пусть и не во всех моментах оптимизированным для быстрого доступа - такие «фишки», как быстрый поиск и QuickUnlock, не помешали бы. Настраиваемая синхронизация, экспорт записей на SD-карту, мастер импорта. Доступна интеграция с настольным (Windows/Mac/Unix) jar-приложением.

LastPass

LastPass - это симбиоз браузера и менеджера паролей. Браузер используется для быстрого заполнения форм, сохранения адресов и другой информации, а менеджер также позволяет хранить любые текстовые данные.

PassWallet - менеджер паролей и защищенное хранилище данных. Предлагается 256bit AES шифрование базы, синхронизация с онлайн-сервисами Dropbox и Google Drive.

Личные данные можно импортировать из других приложений, включая Keeper, mSecure, aWallet, DataVault, SplashID, NS Wallet, LastPass, Password Box, Safe in Cloud (некоторые из приложений уже упомянуты или войдут во вторую часть путеводителя). Поддерживается импорт и экспорт CSV-файла. В Pro-версии PassWallet доступно резервное копирование и восстановление данных с поддержкой шифрования и установкой PIN-кода.

Весьма удобно то, что начальный экран поддерживает «терминальный» способ ввода, то есть, для ввода мастер-пароля не нужно открывать стандартную клавиатуру Android.

С помощью PassWallet можно создавать защищенные записи, содержащие данные кредитных карт, веб-сервисов, удостоверений. При выборе пункта «Другое» предлагается ввести имя, идентификатор, пароль и примечание. Таким образом, использовать шаблоны и пользовательские поля нельзя, а это уже ощутимый недостаток. Для данных, привязанных к дате (паспорт, кредитные карты и др.) можно указать срок действия - PassWallet уведомит пользователя о скором истечении времени. При вводе пароля можно воспользоваться простым генератором (выдает произвольный набор символов, без указания сложности).

Есть поиск по мере ввода, а вот упорядочивать информацию по тегам или категориям нельзя. Поэтому остается использовать стандартные, не всегда полезные группы, вроде «Веб-входы», «Банковские счета».

Более оптимистично обстоят дела с опциями безопасности. Это т. н. режим Stealth (возможность скрыть значок приложения), маскировка (PassWallet не отображается в истории запуска), автоблокировка, функция уничтожения данных при неверном вводе.

Приложение платное, предоставляется месяц ознакомительного режима.

Резюме . Разработчики убеждены, что PassWallet является наиболее «защищенным и удобным менеджером». По факту - простой инструментарий с продуманной защитой доступа, в бесплатных приложениях можно встретить и более широкий набор функций.

Dashlane Password Manager

Бесплатный менеджер Dashlane позволяет генерировать пароли, хранить их в безопасной среде, в дальнейшем используя для автозаполнения форм и входа на сайты. Для интернет-навигации можно задействовать Dashlane Browser, для ввода данных - специальную клавиатуру Dashlane Keyboard. Приложение доступно для платформ Mac, Windows, iOS, планшетов и телефонов на базе Android.

В первую очередь, следует отметить удобный интерфейс программы. Быстрый доступ к данным может осуществляться как через выдвижную боковую панель, так и через панель управления и строку поиска. Dashlane состоит из трех основных разделов: Password Manager (Менеджер паролей), Autofill (Автозаполнение), Wallet (Кошелек).

Запись с паролем включает в себя информацию о сайте, закрепленную категорию и заметку. Для создания безопасного пароля может использоваться встроенный генератор. Помимо добавления пароля, доступны заметки, содержащие заголовок и контент. Для автозаполнения форм может использоваться клавиатура Dashlane Keyboard (подключить ее легко через системные настройки раздела «Язык и ввод») и браузер - Dashlane Browser. При необходимости, через настройки можно указать альтернативное приложение для интернет-серфинга.

Более детально настройки автозаполнения раскрываются в секции Autofill. В раздел Personal Info (личная информация) добавляются адреса, телефоны, имена, в дальнейшем используемые в полях. Второй подраздел содержит идентификаторы, ID - стандартный набор шаблонов с полями, включая паспортные данные, номера лицензий и т. п. К сожалению, добавить свой шаблон или поля не предоставляется возможным.

Наконец, в разделе Wallet ведется учет информации для платежных систем: это номера кредитных карт, счетов.

В Dashlane предусмотрены меры безопасности, такие как очистка буфера обмена, защита PIN-кодом, мастер-паролем, автоблокировка, запрет на снятие снимков экрана.

Премиум-версия Dashlane предполагает синхронизацию паролей на различных устройствах, автоматическое резервирование информации и онлайн-доступ к базе.

Резюме . Dashlane предлагает четкое разделение личной информации на несколько секций, удобное управление данными и продуманную настройку доступа. Для быстрого ввода могут быть полезны дополнительные инструменты, такие как браузер и клавиатура. Следует иметь в виду, что бесплатная версия Dashlane не поддерживает синхронизацию и создание резервной копии.

Как правильно организовать хранение паролей в Андроид?

Давайте пока о том как нельзя хранить пароли в Android. Первое что нельзя делать — хранить (сохранять) пароли в браузере и это касается не только мобильных устройств, но и пользователей персональных компьютеров. Также нельзя хранить пароли в текстовых файлах или заметках. Лучший способ хранение паролей Android — использование менеджеров паролей.

Ну а теперь поговорим о том как правильно организовать хранение паролей Адроид. Я расскажу вам как выбрать хранитель паролей для Андроид и покажу как скачать, настроить и использовать популярный и всеми полюбившийся бесплатный менеджер паролей на Андроид.

Вас также может заинтересовать статья « «, в которой мы рассказывали как с помощью приложения «Брандмауэр без рут» защитить мобильное устройство.

Предисловие
Хранилище паролей KeePassDroid
Установка KeePassDroid
Добавление новой записи
Работа с паролями
Редактирование записи
Генератор сложных паролей
Блокировка базы паролей
Резервное копирование базы
Изменение главного пароля
Таймер очистки буфера
Таймер блокировки базы

Почему именно KeePassDroid?

На сегодняшний день это самый надежный менеджер паролей. Недавний приложений для хранения паролей на Андроид показал, что большинство из них имеют большие проблемы и использование их небезопасно.

Как оказалась менеджеры паролей My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password хранят пароли в виде открытого текста, а в их коде можно найти ключи шифрования.

Вывод: хранение паролей Android с помощью приложения KeePass! Причем везде как на Андроид с помощью KeePassDroid так и на ПК с помощью KeePass.

Хранение паролей Android в KeePassDroid

KeePassDroid — маленькое бесплатное приложение для надежного хранения паролей и конфиденциальных данных в зашифрованном виде. Поддерживает работу с *.kdb базами версии KeePass 1.x/2.x и выше.

Установка KeePassDroid

Для начать необходимо скачать KeePassDroid. Переходим по ссылке на Google Play и нажимаем кнопку установить.

Приложение требует следующие разрешения. Соглашаемся и нажимаем «Принять».

После установки запускаем программу, нажав на кнопку «Открыть».

Также вы можете скачать KeePassDroid APK файл из источника, с официального сайта.

Примечание. Не в коем случае не качайте APK-файлы с варез-сайтов и форумов. По моему опыту могу сказать: половина из них заражены вредоносными программами.

Если у вас есть файл хранилища паролей, откройте его кнопкой «Открыть». Если вы в первый раз используете приложение, то тогда придется для начала создать базу данных паролей.

Откроется окно «Изменение пароля базы». Нужно придумать пароль, который будет защищать базу паролей от несанкционированного доступа (мастер-пароль).

Этот пароль должен быть уникальным и . Этот единственный пароль который вам придется запомнить. Только с его помощью вы сможете открывать свою базу паролей KeePass.

В будущем главный пароль можно будет изменить. Главное его не забыть!

Во второй строке следует повторить пароль.

Поле «Файл-ключ» можете не заполнять. Это пункт служит для того, чтобы открывать файл паролей с помощью как мастер-пароля, так и привязки к определенному (выбранному вами) файлу. Если выбранный вами файл отсутствует, злоумышленник не сможет открыть хранилище паролей.

После создания базы KeePass появится главное окно программы:

Добавление новой записи

Для удобства работы менеджер паролей KeePassDroid умеет хранить информацию о паролях в группах. По умолчанию программа создают две группы Email и Internet.

Вы можете изменить названия этих групп или вовсе удалить их. Ну и конечно же вы можете создавать собственные группы для удобства работы с паролями.

Для этого нужно нажать на кнопку «Новая группа» и ввести название новой группы.

Вы также можете изменять иконку группы.

В окне добавления записи есть несколько полей.

Ни одно из полей, кроме первого, не является обязательным.

Название. У каждой записи о пароле должно быть название, по которому его можно будет опознать и найти в базе. В моем случае — почта Gmail.
Логин. Имя пользователя, которое вместе с паролем служит для авторизации на сайте.
Ссылка. Адрес веб-сайта, куда будет осуществляться вход.
Пароль: Пароль для доступа к вашей учетной записи на сайтах. С правой стороны кнопка генератора паролей — удобного способа создания сложного пароля.
Подтверждение. Повторный ввод пароля.
Комментарий. В этом поле можно указать любую информацию касаемо учетной записи.

Примечание. Изменяя пароль в базе KeePassDroid, вы не изменяете его автоматически на сайте. KeePassDroid — безопасное хранилище паролей. Приложение лишь хранит ваши данные локально и ничего более.

После того как заполните нужные поля, нажмите «Сохранить» и ваш новый пароль появится в группе.

Работаем с паролями

Сохраненный в менеджере пароль может быть довольно длинным и сложным, запомнить такой пароль конечно нелегко, но к счастью, можно копировать пароль из базы в буфер обмена, и после этого вставлять в браузере на сайте.

Это делается просто. Открываем хранилище паролей и находим запись с нужным паролем. Тапаем (нажимаем) по кнопке меню программы.

После чего появится окно с несколькими пунктами. Нажмите на пункт поместить в буфер памяти логин или пароль.

Теперь откройте нужный сайт или приложение, тапните по соответствующему полю, а после по всплывающему слову «Вставить».

Редактирование записи

Пользователь может изменить пароль или другие данные учетной записи авторизации на сайте. Из соображений безопасности я рекомендую иногда менять пароли (хотя бы раз в год).

Нажимаем по группе и находим нужную запись.

После чего нажимаем «Правка», делаем изменения и жмем «Сохранить».

Генератор сложных паролей

Длинные пароли, состоящие из случайных символов разных множеств — надежное средство защиты от взлома, но на деле их не так уж и просто создать. Как правило пользователь для запоминания привносит в придумываемый им пароль свою логику. После чего пароль становится менее стойким. В рассматриваемом нами хранителе паролей есть свой генератор паролей, который помогает преодолеть эту проблему.

Открываем окно создания или редактирования записи. Нажимаем на кнопку с тремя точками рядом с полем для ввода пароля.

Появляется окно генератора паролей.

По умолчанию вам будет предложен 8-символьный пароль, но я рекомендую выбирать пароли посложнее, т,е подлиннее и с использованием специальных символов: верхний и нижний регистры букв и цифры, а также дефис и подчеркивание, что позволяет увеличить стойкость пароля.

«Быстрые кнопки» дают возможность выбора (6, 8, 12, 16 знаков). Вы также можете установить длину пароля вручную. Если сайт для которого вы заводите учетную запись не устанавливает специальных ограничений на длину пароля, то советую выбирать 20-символьный или более длинный пароль. В моем примере пароль имеет длину 28 знаков.

Щелкаем по кнопке «Создать пароль».

Если пароль вам по какой-то причине не нравится, можно щелкать по этой кнопке снова для повторного создания пароля.

В конце тапаем по кнопке «Принять».

Блокировка базы паролей

Зачем нужно блокировка базы?

Это необходимо в случаях если вы используя KeePassDroid, захотите прерваться, отойти и т.д. и на какое-то время вам придется оставить ваш телефон без присмотра. С точки зрения информационной безопасности это неоправданный риск. В таких случаях вы можете заблокировать базу, не прекращая работу приложения.

Делается это так: жмем по иконке замка в верхней части окна.

KeePassDroid возвращает нас ко входу в базу, где нужно снова ввести мастер-пароль.

Резервное копирование базы

База KeePassDroid — файл, который по дефолту имеет расширение.kdb. По умолчанию база находится в папке keepass. Вот полный адрес:

/mnt/sdcard/keepass

Важно. Расширение.kdb «выдает» базу паролей. Злоумышленнику довольно легко об этом догадаться. Если он даже на короткое время получит доступ к вашему телефону, он может скопировать или отправить по почте себе файл паролей, чтобы в будущем постараться узнать главный пароль и заполучить ваши данные. Лучше если злоумышленник не будет знать, где именно хранится ваш файл паролей. Поэтому я рекомендую:

Переименовать файл.kdb, дав ему не связанное ни с чем по смыслу название и расширение.
Переместить файл хранилища паролей из папки в которой он хранится по умолчанию в другую папку, где он не будет привлекать внимание. (Не храните файл паролей в папке которая может быть удаленна!).

Для этого можно использовать любой файловый менеджер или сделать это подключив телефон к компьютер.

Чтобы сделать резервную копию паролей, достаточно скопировать файл.kdb на компьютер (флешку или другой носитель). Помните, что файл можно открыть и в программе KeePass на разных операционных системах. О том как использовать KeePass на Windows вы можете узнать перейдя по ссылке в начале статьи.

Изменение главного пароля

Вы можете изменить главный пароль в любое время. Я рекомендую делать это как можно чаще, даже если пароль не был скомпрометирован.

Открываем базу паролей (как обычно).

Нажимаем по значку вызова меню в правой верхней части экрана.

В появившемся меню выбираем «Пароль базы».

Группа исследователей TeamSIK из Института безопасности информационных технологий, входящего в Общество Фраунгофера , провела анализ самых популярных Android-решений для хранения и организации паролей, представленных в официальном каталоге Google Play. Так, исследователи внимательно изучили работу My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password. Каждое из этих приложений насчитывает от 100 000 до 50 000 000 установок. И, как оказалось, все приложения имеют хотя бы одну проблему с безопасностью.

«Итоговые результаты вызывали у нас серьезное беспокойство и показали, что менеджеры паролей, несмотря на все заявления [разработчиков], не обеспечиваются достаточными механизмами защиты для хранения паролей и учетных данных. Вместо этого они злоупотребляют доверием пользователей и подвергают их огромному риску», - пишут исследователи.
Как оказалось, парольные менеджеры порой хранят пароли в виде открытого текста, а в их коде можно обнаружить ключи шифрования, которые там, очевидно, забыли случайно. В некоторых случаях добраться до паролей пользователя без особенного труда сможет любое вредоносное приложение, проникшее на устройство.

Почти все найденные уязвимости уже были устранены, хотя у некоторых разработчиков на создание патчей ушли долгие месяцы. Информация о багах, которые еще не были исправлены, не разглашается. Впрочем, после изучения обнаруженных экспертами уязвимостей и багов, все равно встает вопрос, действительно ли использование менеджеров паролей снижает риски и улучшает безопасность, или только добавляет новых проблем?

Ниже перечислены все найденные аналитиками проблемы. Ссылки ведут на подробное описание и разбор каждого отдельного случая на сайте TeamSIK.

MyPasswords

SIK-2016-019 : Чтение приватных данных из локальной директории через интегрированный в приложение HTMLViewer.

SIK-2016-020 : Похищение и последующая расшифровка мастер-пароля.

SIK-2016-043 : Баг позволяет бесплатно разблокировать премиальные функции.

Informaticore Password Manager

SIK-2016-021 : Мастер-пароль хранится в зашифрованном виде, но ключ для расшифровки можно найти в коде самого приложения.

LastPass

SIK-2016-022 : Мастер-ключ, защищающий хранящийся на устройстве мастер-пароль, захардкожен в код приложения и одинаков для всех девайсов.

SIK-2016-023 : Утечка конфиденциальных данных через интегрированный в приложение браузер.

SIK-2016-024 : На Android ниже версии 4.1 внутренний браузер LastPass позволяет читать файлы из локальной директории приложения. Может использоваться для похищения мастер-пароля (см. SIK-2016-022).

SIK-2016-025 : Сброс секретного вопроса и обход всей дальнейшей аутентификации.

SIK-2016-026 : Инъекция данных в БД без какой-либо аутентификации.

F-Secure KEY Password Manager

SIK-2016-027 : Мастер-пароль хранится в формате открытого текста в локальной директории приложения.

Dashlane

SIK-2016-028 : Уязвимость во встроенном браузере позволяет получить доступ на чтение в локальной директории приложения (без root-прав).

SIK-2016-029 : Поисковые запросы встроенного браузера может перехватить man-in-the-middle атакующий. Кроме того, все поисковые запросы сливают logcat output.

SIK-2016-030 : Уязвимость в Android позволяет извлечь зашифрованный мастер-пароль из Android AccountManager не имея root-прав.

SIK-2016-031 : Встроенный браузер использует автозаполнение на сайтах, но не умет различать поля ввода пароля на разных поддоменах.

Hide Pictures Keep Safe Vault