Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Почему не работает мастер пароль в яндекс браузере

Обновлено: 07.01.2025

Запомнить важные пароли для входа в самые различные интернет-сервисы помогают не только специальные программы. С этой функцией успешно справляется новый Яндекс. Браузер .

В бета-версии браузера разработчики уделили особое внимание безопасности данных. Менеджер не только сохраняет, но и обеспечивает защиту паролей в Яндекс .

Основные функции нового менеджера

Если распределить задачи менеджера паролей по категориям, то они будут следующими:

  • создание секретных кодов;
  • сохранение паролей и форм;
  • мастер-пароль.

Все функции подлежат настройке администратором которым выступите лично Вы.

Как работает менеджер паролей

Уже при первом входе в новый Яндекс.Браузер вам будет предложено создать сложный и безопасный пароль. После того, как менеджер завершит его подготовку он автоматически сохранится.

Для настройки менеджера паролей необходимо найти раздел это данной службы и подключить необходимые опции. Среди них будет и создание мастер-пароля о котором мы расскажем отдельно.

Создание мастер-пароля

В новом браузере разработчики изменили архитектуру, которая ранее была исполнена по подобию Chrome. Браузер стал более безопасным. Одно из новых решений это использование для защиты секретных данных специальной службы – мастера-паролей.

Эта функция помогает защитить данные пользователя от взлома даже в том случае, если взломщик подберет пароль от аккаунта. Система просто не пропустит его дальше без ввода мастер кода. К тому же этот код не сохраняется на компьютере и обнаружить его при сканировании данных не удастся.

Для страховки на случай, если вы забыли мастер-код, менеджер предлагает создать запасной ключ. Он автоматически сохраняется в профиле, но предварительно шифруется. Чтобы сбросить мастер-ключ необходимо не только активировать запасной вариант, но и сделать это на том самом устройстве, где он был создан.

Многоуровневая система безопасности позволяет надежно защитить ваши финансовые и другие важные данные от посторонних глаз и в случае необходимости станет надежной преградой на пути киберпреступников.

Добавим лишь, что в ближайшем будущем появится мобильная версия нового Яндекс.Браузера, которая также получит высокую степень защиты.

Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.

Шифрование паролей в браузере

Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.

Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.

Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.

Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:

хранения синхронизированных данных на сервере Яндекса (шифрование организовано так, что даже Яндекс не сможет расшифровать ваши пароли).

Этот вариант защиты менее надежен, потому что:

Любой человек, открыв Мобильный Яндекс.Браузер на вашем смартфоне , сможет легко просмотреть пароли в менеджере. Ключ шифрования защищается средствами операционной системы, а не мастер-паролем. Получив доступ к смартфону , хакеры могут украсть и расшифровать ваши пароли. При синхронизации Яндекс может получить доступ к паролям.

Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.

Мастер-пароль

Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.

Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.

Создать мастер-пароль

Внимание. Запомните мастер-пароль, нигде его не записывайте и никому не показывайте. Если вы забудете мастер-пароль, то вы сможете его сбросить, но только в том случае, если раньше создали запасной ключ шифрования.

Чтобы создать мастер-пароль:

Нажмите в браузере значок  (если его нет, нажмите кнопку меню на корпусе смартфона). Введите мастер-пароль. Рекомендуем использовать сложные, но легко запоминаемые пароли.

Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на смартфоне , ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.

Удалить мастер-пароль

Нажмите в браузере значок  (если его нет, нажмите кнопку меню на корпусе смартфона).

После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.

Время до блокировки хранилища

Вы можете отрегулировать, через какое время браузер будет блокировать хранилище паролей и запрашивать мастер-пароль при попытке доступа к нему:

Нажмите в браузере значок  (если его нет, нажмите кнопку меню на корпусе смартфона). В разделе  Блокировать доступ выберите нужную опцию: После перезапуска приложения , После блокировки экрана или Никогда .

Если вы забыли мастер-пароль

В диалоге ввода мастер-пароля нажмите  Не помню пароль .

Если вы не создали запасной ключ шифрования, восстановить доступ к паролям будет невозможно.

Жест, PIN-код, отпечаток пальца

Чтобы не вводить каждый раз мастер-пароль, используйте вместо него способ блокировки смартфона (PIN-код, жест или отпечаток пальца) . Пароли в хранилище будут по-прежнему шифроваться мастер-паролем. Каждый раз после разблокировки браузер сначала восстановит мастер-пароль, а затем расшифрует хранилище.

Если вы удалите мастер-пароль, браузер перестанет запрашивать PIN-код, жест или отпечаток пальца .

Примечание. Способ блокировки привязан к устройству. Поэтому вы не сможете, например, с помощью PIN-кода от одного смартфона получить доступ к паролям на другом.

Чтобы изменить способ разблокировки паролей:

Нажмите в браузере значок  (если его нет, нажмите кнопку меню на корпусе смартфона). В разделе  Способ разблокировки выберите нужный вариант: мастер-пароль, отпечаток пальца, жест или PIN-код. Состав списка зависит от смартфона .

Запасной ключ шифрования

Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.

Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.

В процессе восстановления доступа вы должны будете ввести пароль от вашего Яндекс ID. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от Яндекс ID, низка.

Чтобы создать запасной ключ шифрования, сразу после создания мастер-пароля в открывшемся окне нажмите  Включить . Если устройство не синхронизировано, включите синхронизацию, введя пароль от вашего Яндекс ID.

Если вы не нашли информацию в Справке или у вас возникает проблема в работе Яндекс.Браузера, опишите все свои действия по шагам. По возможности сделайте скриншот. Это поможет специалистам службы поддержки быстрее разобраться в ситуации.

Среди множества сайтов, которые мы посещаем каждый день, большинство требует авторизации. Чтобы избавить вас от необходимости вводить данные вручную каждый раз, разработчики яндекс браузера реализовали специальную функцию сохранения паролей. С помощью этой опции браузер поможет вам безопасно сохранить логин и пароль и ввести эти данные при каждой авторизации.


Как сохранить пароль

При первом входе на сайт, требующий авторизации, вы вводите свои логин и пароль в браузере. В этот момент браузер предлагает вам запомнить пароль. Всплывающее предложение находится как раз рядом с полем для ввода, поэтому не заметить его вы не сможете.


Далее от вас потребуется только поставить галочку, если вы согласны сохранить пароль в браузере.

Как сохранить пароль, если Яндекс.Браузер не предложит? Возможно, надо включить сохранение паролей вручную. Не исключено, что конкретные данные, которые вы сейчас вводите, попросту уже сохранены.

Если пароли в Яндекс.Браузере не сохраняются, это следствие соответствующей настройки, которую можно изменить. Для этого вам надо совершить следующие действия:

  • Кликнуть на иконке меню (три полоски в правом верхнем углу)
  • Выбрать в выпавшем меню пункт «Настройки»


  • В верхней строке – списке разделов – выбрать пункт «Пароли»
  • В левой колонке открывшейся страницы выбрать пункт «Настройки»


  • Поставить галочку в строке «Сохранять по умолчанию»


Опционально вы можете поставить отметку и в следующей строке (Автоматически заполнять формы авторизации). Тогда поля для ввода будут заполняться автоматически. Если вы её снимете, то при заходе на сайт вам понадобится ввести как минимум первые буквы логина. Это не мешает браузеру запомнить пароль, но для его применения каждый раз будет нужна ваша санкция.

Есть также вариант, когда автоматически заполняется только логин. Пароль же придётся вводить вручную.

Защита сохраненных паролей

Однако, безопасно ли хранить все коды доступа прямо в программе, которой может воспользоваться любой желающий? Вполне.

Благодаря разработчикам в Яндекс.Браузере есть защита паролей с помощью мастер-пароля – единственного, который вам придётся помнить наизусть.

Мастер-пароль работает извне программы, поэтому для его создания нужна авторизация в вашем аккаунте яндекса. Далее вам нужно зайти в настройки менеджера паролей и кликнуть по фразе: «Создать мастер-пароль».


После этого придумайте комбинацию символов, которую нужно запомнить.


После нажатия на кнопку «Продолжить» вам будет предложена опция сброса мастер-пароля. Это нужно, чтобы вы восстановили доступ к сохраненным паролям, даже если забудете мастер-пароль.



Далее в открывшейся вкладке вы сможете настроить периодичность, с которой браузер будет требовать мастер-пароль.


Стандартные опции включают:

  • 5 минут. Рекомендуется, если вы находитесь на работе или в людном месте и постоянно вынуждены отлучаться от компьютера.
  • 1 час. Рекомендуется, если вы отлучаетесь нечасто, но посторонние всё же имеют регулярный доступ к вашему ПК.
  • После перезапуска браузера. Так вы сможете просто выйти, чтобы никто, запустив программу без вашего ведома, не получил доступ к базе сохранённых учётных записей.
  • После блокировки компьютера. Наиболее простой вариант, если вы обычно работаете в одиночку, а посторонние вас не тревожат.

Любой выбор необходимо подтвердить повторным вводом мастер-пароля.


Там же его можно сменить или удалить, сняв защиту полностью, однако это тоже требует подтверждения.


Перед тем, как отключить защиту паролей в Яндекс.Браузере, убедитесь, что неудобства, которые она вам причиняла, не стоят повышения уровня безопасности.

Рекомендуем также воспользоваться защитой вкладок яндекс браузера, чтобы посторонние не могли посещать с вашего рабочего места конфиденциальные страницы, на которых вы уже успели авторизоваться.

Синхронизация

Для того чтобы использовать сохраненные пароли Яндекс.Браузера на всех устройствах вам очень желательно иметь между ними облачную синхронизацию. Чтобы включить режим синхронизации, необходимо:

Открыть Меню, затем выберите пункт — Синхронизация


Когда браузер перенаправит вас на страницу логина, введите данные своего Яндекс-аккаунта.


Зайдите в Настройки синхронизации. Для этого нужно снова зайти в меню, выбрать пункт — Синхронизация. В открывшейся вкладке нажать кнопку — Показать параметры.


Убедитесь, что напротив пункта «Пароли» стоит галочка.


Повторите эту процедуру на всех устройствах, где установлен Яндекс.Браузер.

Теперь и десктопные, и мобильные версии программы будут всегда иметь самую свежую версию базы и вы сможете использовать свои сохраненные пароли при каждой авторизации.

Изменение сохраненных данных

С весны 2018 года из Яндекс.Браузера можно извлечь пароли и сохранить их в другом месте (файл бэкапа, другой браузер и т.д.) За это отвечает специальный модуль – Менеджер паролей, который был пересмотрен и переработан для большего удобства.

Как можно извлечь данные конкретной учётной записи? Для этого:

  • Заходим в Настройки (Меню — Менеджер паролей)
  • Выбираем вкладку «Пароли» и одноимённый подраздел в левой колонке
  • Ищем конкретный сайт, данные для входа на который нужны


Копируем данные и вставляем в поле назначения, документ, таблицу или текстовый файл.


Хотя обычно символы скрыты за звёздочками, их можно посмотреть, нажав на пиктограмму с изображением глаза.


Обратите внимание: всё это доступно в явном, открытом и незашифрованном виде. Представляете, что будет, если кто-то из ваших недоброжелателей получит доступ к этому разделу? Ещё одна причина использовать мастер-пароль.

В этом же разделе можно изменить данные для входа, введя другие. После этого по умолчанию для авторизации будут использоваться именно обновлённые данные.

Как отключить сохранение паролей

Допустим, вас интересует, как сделать, чтобы, например, пароль в Одноклассниках в Яндекс.Браузере не сохранялся. Для одного конкретного сайта это делается просто:

Найдите в Менеджере паролей данные для этого сайта и удалите их


  • Посетите сайт снова
  • Введите логин и пароль вручную
  • Когда браузер спросит, сохранять ли их, ответьте «Нет». Для этого нужно оставить место для галочки пустым.


Теперь данный сайт будет всегда спрашивать у вас логин и пароль, а браузер прекратит попытки вставлять данные автоматически.

Повторите эту процедуру для всех ресурсов, на которых вам не нужен автоматический логин. Лучше продумайте их список заранее, поскольку при посещении авторизация будет происходить автоматически, и при достаточно быстром соединении вы не успеете оперативно отреагировать.

Если же вы хотите отключить сохранение паролей на всех сайтах и формах, то алгоритм следующий:

Войдите в Настройки


Долистайте вкладку вниз до упора и кликните по пункту «Показать дополнительные настройки»


Найдите на странице подраздел «Пароли и формы»

Снимите галочку с обоих пунктов в нём: «Включить автозаполнение…» и «Включить менеджер паролей»


Теперь в браузере больше не сохраняются ваши конфиденциальные данные для входа на всякие личные страницы. На всякий случай перед этим можете почистить базу (как показано выше), чтобы начать виртуальную жизнь сугубо по памяти.

Повторить данную процедуру следует на всех копиях Яндекс.Браузера, в которых, по вашему мнению, хранить важную информацию небезопасно.

Конфиденциальность в браузере превыше всего и об этом заботиться каждый разработчик при выпуске своего продукта. Так, в Яндекс браузере предусмотрена функция сохранения паролей, которые надежно защищены от посторонних лиц. Вы можете ей воспользоваться и больше не беспокоиться о том, что забудете пароль от той или иной страницы. Если для вас об этом в новинку, то читайте далее. В данной статье мы разберемся как сохранить пароль в Яндекс браузере при входе на веб-страницу, автоматически и вручную.

Как сохранить пароль (при входе)

На компьютере

  1. Открываем в Яндекс браузере страницу для заполнения формы и вводим туда свой логин. В нашем случае это ru.
  2. Далее нам остается вписать пароль, и, самое важное, – отметить пункт «Сохранить в браузере» галочкой.

Таким способом в браузере сохранится пароль, который вы сможете в последствии удалить через раздел «Пароли и карты».

На телефоне

Настройки автоматического сохранения

По умолчанию в браузере Яндекс должно быть включено автосохранение паролей, но если у вас автоматически не сохраняются пароли, то сейчас мы это исправим.

На компьютере

  1. В Яндекс.Браузере открываем выпадающее меню из верхнего правого угла и переходим в раздел «Пароли и карты».
  2. Далее следует открыть меню «Настройки». Смотрим в правую часть браузера и находим раздел «Пароли». Отмечаем в нем пункты, которые указаны на скриншоте ниже.

После выполнения указанных пунктов, на всех сайтах будет включено автоматическое запоминание паролей.

На телефоне

В случае с телефоном дела обстоят немного иначе. Здесь пароли либо сохраняются автоматически, либо вообще не сохраняются. Поэтому нужно убедиться в том, что необходимый пункт отмечен. Для этого сделаем небольшие шаги:

  1. Откроем в Яндекс браузере на телефоне настройки, которые вызываются из выпадающего меню (нажмите на троеточие, расположенное на главной странице приложения).
  2. Убеждаемся, что пункт менеджер паролей активен.

Пока включен режим «Менеджер паролей», все пароли, заполненные на сайтах, будут автоматически сохранятся в браузере.

Как сохранить пароль вручную (через настройки)

Также вы можете добавить для любого сайта пароль вручную через настройки браузера. Функция доступна как на компьютере, так и на телефоне.

На компьютере

  1. Переходим в Яндекс.Браузере в уже известную нам вкладку под названием «Пароли и карты».
  2. Далее переходим в раздел «Пароли» и нажимаем на кнопку «Добавить» в правой части экрана.
  3. Осталось ввести данные сайта и, необходимый логин и пароль. В конце кликнуть по кнопке «Сохранить».

На телефоне

  1. Запускаем приложение Яндекс браузер на смартфоне и вновь открываем меню «Настройки».
  2. Находим пункт «Список паролей» и переходим в него.
  3. Далее я не могу предоставить вам скриншоты настройки паролей в Яндексе, потому что данная функция защищена от скриншотов в целях безопасности. Однако, сделать самостоятельно это не так сложно, достаточно нажать на кнопку в виде плюса и ввести данные сайта для сохранения нового пароля.

Итак, сегодня мы разобрались с вами как сохранить пароль в Яндекс браузере. Хочу отметить, что это очень важная функция, которая заметно упрощает использование любого веб-обозревателя. Удачи!

Дубликаты не найдены

С этой хренью долблюсь наверное год. Мазила работает без проблем, но все другие (хром, опера, эксплорер, яндекс) со всеми одна и таже хренотень. Удалил мазилу, думал, в нем причина, ситуация не изменилась. Что то мне подсказывает, что дело как раз в мазиле. Возможно, после очередного обновления, браузер внес в саму винду какие то системные изменения, а теперь хоть удаляй его, хоть нет, толку не будет, только переустановка виндовс поможет, т.к. где искать измененный файл, представления не имею.


Расширение Менеджер паролей
Подходит для Хрома, Яндекс браузера,
Может быть для новой оперы тоже.

Лазая по всему гуглу нашел одну рекомендацию, которая напомнила мне про файл hosts.

Хотя 2 года все работало с теми блокировками, но видимо какой-то из серверов Хрома/Скайпа переехал и мои блокировки в hosts задели это.

Надеюсь остальным также поможет. Т.к. в поисках помощи также нашел этот пост, которому 4+ лет, но не было актуального ответа.

Файл хостс лежит здесь: C:WindowsSystem32driversetc его нужно открыть блокнотом и посмотреть, чтоб не было ничего лишнего и сверить в интернете, как должен выглядеть файл

27.09.2018 ( 13.03.2020 ) | Александр Шихов | Комментарии

Доверяя пароли от сайтов Яндекс.Браузеру, мы делаем жизнь проще. Стоит включить синхронизацию, и на всех устройствах (компьютере, ноутбуке, телефоне) секретные поля будут заполняться автоматически. В то же время в такой системе есть слабое место. Тот, кто запустит Яндекс.Браузер на компьютере после вас автоматически получает доступ и к сохраненным паролям. Как этого можно избежать — в нашей статье.


Что такое мастер-пароль в Яндекс.Браузере

Мастер-пароль по сути является ключом к вашей базе личных данных. Нужен он чтобы исключить возможность автоматического заполнения полей логина и пароля на сайтах, в социальных сетях и почтовых сервисах. Даже если вы оставите браузер открытым, злоумышленник не сможет этим воспользоваться. Внешняя программа прочитать базу ключей не сможет, так как она зашифрована.

Мастер-пароль поможет обеспечить безопасность, если несколько пользователей используют один компьютер. Браузер позволяет быстро переключаться между разными профилями. Пароль от аккаунта при этом не запрашивается.

Как настроить мастер-пароль

Откройте меню настроек (кнопка с тремя горизонтальными полосками в правом углу окна браузера). Выберите раздел Менеджер паролей.


В появившемся меню нажмите Настройки, Создать мастер-пароль.

Может потребоваться ввод пароля от учетной записи Windows, под которой вы вошли на ПК. Это помогает исключить ситуацию со случайным включением режима другим пользователем, который авторизовался в браузере под вашим именем. Как придумать сложный пароль, который легко запоминается, рассказано в одной из наших статей.

Если не уверены, что запомните кодовое слово навсегда, выберите опцию Включить возможность сброса. Так вы всегда сможете отключить или изменить его при необходимости.

После включения режима Мастер пароля он начинает работать на всех устройствах, где вы используете синхронизацию Яндекс.Браузера. При попытке воспользоваться автозаполнением секретных полей возникает такой запрос.


Степень жесткости политики безопасности и частоту запросов вы определяете в настройке.

Стоит отметить, что при использовании браузера на чужом компьютере лучшим способом обеспечения безопасности данных остается выход из своего аккаунта.

Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, . ). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.


С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.

Почему мы создаем новый менеджер паролей?

А ещё многие пользователи хотели бы, чтобы случайный человек, не обладающий специальной подготовкой, но получивший кратковременный доступ к браузеру (например, родственник или коллега по работе), не смог авторизоваться на важных сайтах с помощью сохранённых паролей.

Обе эти проблемы решаются с помощью мастер-пароля, которым защищаются данные, но который нигде не хранится. И это стало нашим первым требованием к новой архитектуре хранения паролей в Яндекс.Браузере. Но не единственным.

Каким бы безопасным ни был новый менеджер паролей, его популярность зависит от того, насколько просто им пользоваться. Напомним, что те же 1Password, KeePass и LastPass даже в сумме используют не более процента пользователей (хотя LastPass мы предлагаем в нашем встроенном каталоге дополнений). Или другой пример. Вот так в старой реализации Браузер предлагает сохранить пароль:


Опытные пользователи или согласятся, или откажутся, или сделают хоть что-то с этим уведомлением. Но в 80% случаев его просто не замечают. Многие пользователи даже не знают, что в браузере можно сохранять пароли.

Отдельно стоит сказать про функциональность. Сейчас даже добраться до списка своих паролей не так уж и просто. Нужно открыть меню, кликнуть по настройкам, перейти в дополнительные настройки, найти там кнопку управления паролями. И только тогда человек получит доступ к примитивному списку аккаунтов, которые нельзя отсортировать по логину, нельзя добавить текстовое примечание, отредактировать тоже нельзя. К тому же менеджер паролей должен помогать придумывать новые пароли.

И ещё кое-что. Для нас было важно, чтобы новая архитектура соответствовала принципу Керкгоффса, то есть, чтобы её надежность не зависела от знаний злоумышленников о применяемых алгоритмах. Криптосистема должна оставаться безопасной даже в том случае, когда им известно всё, кроме применяемых ключей.

Почему мы не взяли готовое решение?

Существуют продукты с открытым исходным кодом, которые поддерживают мастер-пароль и расширенную функциональность. Их можно было бы интегрировать в браузер, но они нам не подошли по ряду причин.

В первую очередь на ум приходит KeePass. Но его хранилище зашифровано целиком, а у нас в Браузере синхронизация работает построчно. А значит, надо либо спрашивать мастер-пароль при каждой синхронизации, либо шифровать записи раздельно. Второй вариант добрее к пользователям. Более того, для массового продукта важно, чтобы пользователь знал о возможности подставить сохранённый пароль до разблокировки базы мастер-паролем, поэтому часть информации должна оставаться незашифрованной.

У специализированных дополнений для работы с паролями есть возможность сбросить мастер-пароль, если пользователь его забыл. Но для этого нужно скачать, спрятать и не потерять резервный код или файл. Это нормально, когда речь идет об опытных пользователях, но это сложно для всех остальных. Поэтому нам нужно было придумать альтернативное решение. Спойлер: в итоге нам удалось найти решение, при котором мастер-пароль сбросить можно, но даже Яндекс не сможет получить доступ к базе. Но об этом чуть позже.

А ещё любое стороннее решение в любом случае пришлось бы серьезно дорабатывать, чтобы нативно интегрировать в браузер (переписать на C++ и Java) и сделать его достаточно простым для пользователей (полностью заменить весь интерфейс). Как бы удивительно это ни звучало, но написать новую архитектуру хранения и шифрования паролей проще, чем сделать всё остальное. Поэтому логичнее не пытаться связать два изначально несовместимых продукта в один, а доработать свой.

Новая архитектура с использованием мастер-пароля

В хранении самих записей нет ничего необычного. Мы используем надежный и быстрый алгоритм AES-256-GCM для шифрования паролей и примечаний, адреса и логины не шифруем для удобства применения, но подписываем для защиты от подмены. Похожим образом устроена схема хранилища в том же 1Password.

Самое интересное – это защита 256-битного ключа encKey, который необходим для расшифровки паролей. Это ключевой момент безопасности паролей. Если злоумышленник узнает этот ключ, то легко взломает всё хранилище независимо от сложности алгоритма шифрования. Поэтому защита ключа основана на следующих базовых принципах:

– Доступ к ключу шифрования блокируется мастер-паролем, который нигде не хранится.
– Ключ шифрования не должен быть математически связан с мастер-паролем.

В простых сервисах и приложениях ключ шифрования получают путем хэширования мастер-пароля, чтобы хоть так замедлить атаку перебором. Но математическая зависимость ключа от мастер-пароля всё же упрощает взлом, скорость которого в этом случае зависит лишь от надежности хэширования. Применение ферм из заточенных на взлом ASIC-процессоров сейчас уже не редкость. Поэтому в нашем случае ключ encKey не является производным от мастер-пароля и генерируется случайно.

Далее ключ encKey зашифровывается с помощью асимметричного алгоритма RSA-OAEP. Для этого Браузер создает пару ключей: открытый pubKey и закрытый privKey. Ключ encKey защищается с помощью открытого ключа, а расшифровать его можно только с помощью закрытого.

Зашифрованные пароли, зашифрованный ключ к ним encKey, зашифрованный закрытый ключ privKey и открытый ключ pubKey хранятся в профиле браузера и синхронизируются с другими устройствами пользователя.

Чтобы было проще разобраться во всём этом, приведем схему расшифровки паролей:


У подобной архитектуры с использованием мастер-пароля есть ряд преимуществ:

– 256-битный ключ шифрования хранилища генерируется случайно и обладает высокой криптостойкостью по сравнению с паролями, придуманными человеком.
– При брутфорсе мастер-пароля злоумышленник не узнает результат, если не пройдется по всей цепи (пароль-PBKDF2-RSA-AES). Это очень долго и очень дорого.
– Если функция хэширования будет скомпрометирована, мы в любой момент можем перейти на альтернативный вариант хэширования с сохранением обратной совместимости.
– Если злоумышленник узнает мастер-пароль, то сменить его можно без сложной и рискованной процедуры расшифровки всего хранилища, потому что ключ шифрования данных не связан с мастер-паролем, а значит, не скомпрометирован.
– Ключ шифрования хранится в зашифрованном виде. Ни Яндекс, ни злоумышленник, похитивший пароль от Яндекса, не смогут получить доступ к синхронизированным паролям, поскольку для этого нужен мастер-пароль, который нигде не хранится.

Но у варианта с мастер-паролем есть один «недостаток»: пользователь может забыть мастер-пароль. Это нормально, когда речь идет о специализированных решениях, которые используют опытные пользователи, хорошо осознающие риск. Но в продукте с многомиллионной аудиторией это неприемлемо. Если мы не предусмотрим резервный вариант, то многие пользователи Яндекс.Браузера либо откажутся от использования мастер-пароля, либо «потеряют» однажды все свои пароли, а виноват в этом будет Браузер (вы удивитесь, но именно Яндекс часто оказывается крайним в ситуации, когда человек забыл пароль от аккаунта). И придумать решение не так уж и просто.

Как сбросить мастер-пароль без раскрытия паролей?

В некоторых продуктах эта проблема решается с помощью хранения расшифрованных данных (или даже мастер-пароля) в облаке. Этот вариант для нас не подходил, потому что злоумышленник может украсть пароль от Яндекса, а вместе с ним и пароли от всех сайтов. Поэтому нам нужно было придумать такой способ восстановления доступа к хранилищу паролей, при котором никто, кроме самого пользователя, не смог бы это сделать. Сторонние менеджеры паролей предлагают для этого создать резервный файл, который пользователь должен самостоятельно хранить в надежном месте. Хорошее решение, но обычные пользователи такие резервные ключи будут неизбежно терять, поэтому у нас всё намного проще.

Ещё раз вспомним цепочку зависимостей ключей. Хранилище паролей зашифровано с помощью случайного ключа encKey, который нигде не хранится в явном виде. Этот ключ защищён с помощью закрытого ключа privKey, который также не хранится в явном виде и в свою очередь защищён с помощью сложного хэша от мастер-пароля. Когда человек забывает мастер-пароль, он фактически лишается возможности расшифровать ключ privKey. Это значит, что в качестве резервного варианта можно хранить дубликат ключа privKey. Но где? И как его защитить?


Если поместить расшифрованный privKey в облако, то безопасность паролей будет зависеть от аккаунта Яндекса. А ровно этого мы и не хотели допускать. Если же хранить его в явном виде локально, то вся защита с мастер-паролем теряет какой-либо смысл. Нет такого места, где можно было бы безопасно хранить этот ключ в явном виде. Значит, его надо шифровать. Для этого Браузер создает случайный 256-битный ключ, которым защищает дубликат privKey. Теперь самое интересное. Этот случайный ключ отправляется на хранение в облако Яндекс.Паспорта. А зашифрованный дубликат остается храниться в локальном профиле Браузера. Получается, что ни в облаке, ни на компьютере нет готовой пары для расшифровки паролей, и безопасность не страдает.

При таком варианте сбросить мастер-пароль можно было бы только там, где и создан дубликат ключа privKey. Мы же хотели добавить такую возможность и синхронизированным устройствам. Создавать резервный ключ на каждом устройстве вручную неудобно: можно случайно остаться с тем устройством на руках, на котором забыли создать дубликат. Отправлять зашифрованный дубликат на другие устройства с помощью синхронизации нельзя: в облаке уже хранится ключ к нему, и в целях безопасности им нельзя встречаться в одном месте. Поэтому зашифрованный дубликат privKey проходит через ещё один слой шифрования. В этот раз – с помощью хэша от мастер-пароля. Мастер-пароль не хранится в облаке, поэтому полученную «матрешку» уже можно смело синхронизировать. На других устройствах в момент первого ввода мастер-пароля дополнительный слой шифрования будет снят.

В итоге, когда пользователь забудет мастер-пароль, ему будет достаточно запросить сброс пароля через браузер и подтвердить свою личность с помощью пароля от Яндекса.

Браузер запросит ключ у Яндекс.Паспорта, расшифрует им дубликат ключа privKey, с его помощью расшифрует ключ от хранилища encKey, а дальше создаст новую пару pubKey и privKey, последний из которых будет защищён новым мастер-паролем. Хранилище паролей при этом не расшифровывается, что снижает риск потери данных. К слову, принудительно сменить encKey и перешифровать данные тоже можно: достаточно отключить и заново включить мастер-пароль в настройках.

Получается, что сбросить мастер-пароль сможет только сам пользователь и только на том устройстве, где он хотя бы раз его вводил. Конечно же, резервный ключ создавать не обязательно, если пользователь уверен в себе. Даже мастер-пароль можно не использовать, хотя мы и не рекомендуем от него отказываться.

Новая архитектура и мастер-пароль – не единственные изменения в новом менеджере. Как мы уже рассказывали выше, удобство в использовании и расширенные возможности важны не меньше.

Новый менеджер паролей

Прежде всего, мы отказались от незаметной серой панели с предложением сохранить пароль. Теперь пользователь увидит предложение рядом с полем пароля. Не заметить такое уже трудно.


Да и сам менеджер теперь не надо искать в настройках: кнопка доступна в главном меню. Список сохранённых аккаунтов теперь поддерживает сортировку по логину, адресу и примечанию. Мы также добавили редактирование записей.

Подсказка: примечания отлично подходят в качестве альтернативы меткам, потому что поддерживают поиск.


А ещё Браузер теперь помогает создавать уникальные пароли.


В первой бета-версии мы успели далеко не всё. В будущем мы поддержим экспорт и импорт паролей для совместимости с популярными сторонними решениями. Также у нас есть идея добавить настройки генератору паролей.


Мобильный менеджер паролей

Конечно же, новая логика и поддержка мастер-пароля появятся не только на компьютере, но и в версиях Яндекс.Браузера для Android и iOS. С небольшой адаптацией. К примеру, можно использовать не только мастер-пароль, но и отпечаток пальца. Мы также запретили программно делать скриншоты на странице со списком паролей – можно не бояться вредоносных приложений.


Сегодня новый менеджер паролей можно попробовать в бета-версии Яндекс.Браузера для Windows и macOS (версия для Linux традиционно собирается на базе стабильного кода, поэтому выйдет чуть позже). В ближайшее время он также заработает в альфа-версии Браузера для Android (а ещё через некоторое время появится и в бете для iOS).

Мы постоянно ищем баланс между простым, но надежным инструментом для миллионов пользователей и расширенными возможностями для тех, кому они нужны. Пожалуйста, поделитесь с нами видением идеального менеджера паролей, который именно вы хотели бы видеть в браузере.

И ещё кое-что. Мы приглашаем специалистов в области безопасности помочь нам найти уязвимости в новом менеджере паролей в рамках программы "Охота за ошибками". С вашей помощью менеджер паролей станет ещё безопаснее. Спасибо!

Читайте также:

      
  • Файл параметров программы не является корректным документом xml
    •   
  • Включить динамический просмотр в эксель
    •   
  • Где утилиты в автокаде 2020
    •   
  • 1с скд период в параметрах
    •   
  • Как зип перевести в ворд
  • Контакты
  • Политика конфиденциальности