Удобный менеджер паролей TeddyID
Удобный менеджер паролей TeddyID
Одна из самых больших проблем с
безопасностью данных пользователей
связана с паролями, которые
пользователи выбирают при регистрации
на сервисах.
Как известно, подавляющее большинство пользователей по поводу паролей сильно не напрягаются и совершенно искренне считают, что какой-нибудь "123456" - это весьма устойчивый пароль, который ни один злоумышленник подобрать не может.
А потом начинается: почтовый ящик взломали, игровой аккаунт взломали, банковский аккаунт взломали, форумский аккаунт взломали, фейсбучный аккаунт взломали, вконтактиковый аккаунт взломали, лишь только одноклассниковый аккаунт не взломали, потому что - да кому он вообще нужен...
Конечно, владельцы различных сервисов изо всех сил пытаются заставлять пользователей задавать более или менее устойчивые пароли. Более того, когда владельцы сервисов поняли, что взывать к разуму пользователей совершенно бесполезно ввиду или отсутствия разума или присутствия полнейшей беспечности в этом вопросе, они стали принудительно вводить различные ограничения при задании пароля: минимум столько-то символов (как правило, 6-8, не меньше), обязательно буквы в различных регистрах, обязательно присутствие каких-то цифр и так далее.
Вы думаете, пользователей это сломило? Да ни черта! Они просто стали вводить в качестве пароля "Password123456" - и все.
Так что с этим делать, как тем же пользователям снискать безопасность насущную, когда они не в состоянии запомнить более одного-двух устойчивых паролей? Ведь разрешать браузерам запоминать ваши пароли - совсем не вариант по многим причинам. Во-первых, это сильно небезопасно. Во-вторых, на разных платформах вы используете разные браузеры. В-третьих, далеко не все пользователи знают, как можно сохранить запомненные в браузере пароли, чтобы они остались при перестановке системы.
Поэтому наиболее разумный выход в данной ситуации - использовать специальные менеджеры паролей. Идея там простая: менеджер паролей сам может придумывать за вас устойчивые пароли, он сам будет их запоминать и хранить как локально, так и в "облаке", а от вас требуется только запомнить один-единственный устойчивый пароль к этому менеджеру.
Таких менеджеров существует немало, но наиболее известные из них - бесплатный Lastpass и платный Roboform.
Lastpass лично мне показался не слишком удобным, а кроме того, его на моей памяти как минимум два раза ломали и данные пользователей были скомпроментированы.
Roboform заметно более удобный и, судя по всему, значительно лучше защищен, потому что взлому еще ни разу не подвергался. (Тьфу-тьфу-тьфу.)
Однако технологии не стоят на месте, и сейчас появляются новые менеджеры паролей, использующие более продвинутые, но вместе с тем более удобные методы защиты паролей и идентификации пользователей.
Один из таких новых менеджеров называется TeddyID. Он использует оригинальный метод: беспарольный (при этом защищенный) вход на сайте с использованием смартфона и компьютера.
Метод интересный, поэтому давайте посмотрим, как это все работает. (Сразу предупреждаю, что плагин для браузера после 30 дней тестового периода требует оплаты, но она составляет всего $0,99 за пожизненную лицензию.)
Главная страница TeddyID
Как подключиться
Подключение к сервису происходит быстро и просто. Там есть два этапа. Первый - установка расширения для браузера (при переходе по ссылке TeddyID должен автоматически определить, какой у вас браузер, и предложит соответствующее расширение).
Второй - на свой смартфон нужно установить приложение TeddyID. Тут поддерживаются все основные платформы (Android, iOS, Windows Phone, Blackberry, Java), а кроме того, вы можете просто вбить номер телефона, чтобы на него получить ссылку для загрузки приложения.
Далее вам нужно зайти на сайт сервиса www.teddyid.com, щелкнуть по ссылке "Войти" - и вам откроется окно с QR-кодом, который нужно будет отсканировать в приложении на смартфоне.
Вот такое окно появляется в телефонном приложении.
На указанный при регистрации e-mail TeddyID отправит вам пароль, с помощью которого можно будет войти в вашу учетную запись на сайте, в случае если вы по каким-то причинам не сможете считать QR-код.
После того как вы вошли в вашу учетную запись на сайте, системой можно начинать пользоваться.
Как работает система
Вот так выглядит ваш личный кабинет. Список запомненных паролей к сайтам пока пуст.
Но нет необходимости его заполнять вручную. Вы просто в браузере открываете нужный вам сайт - например, Mail.ru - и там вводите логин и пароль.
При этом TeddyID предложит вам сохранить этот пароль.
Сохранили.
Теперь выйдем из личного кабинета (в
данном случае - из почты) и попробуем
снова войти. Если поставить курсор в
строку логина, то под ним появится
строчка, предлагающая ввести ваши
данные с помощью TeddyID. Щелкаем по этой
строчке мышью - появляется вот такое
окошко. 
Нажимаем "Войти". На экране компьютера появляется вот такое окно.
И на экране телефона аналогичное окно. Если картинки совпадают (дополнительное средство защиты), то спокойно нажимаете "Да", после чего TeddyID самостоятельно введет на сайте ваши логин и пароль. Вот и все.
Как видите, все очень просто. Один раз запомнили логин-пароль в менеджере, после этого их не надо вспоминать, они будут вводиться с помощью приложения. Ну и теперь вам остается постепенно добавить в TeddyID логины-пароли от других сайтов. (Для новых сайтов очень рекомендуется использовать встроенный в TeddyID генератор паролей, чтобы он был устойчивым.)
Двойная аутентификация (с помощью компьютера и телефона) делается только в том случае, если вы не залогинены в том же браузере в вашем личном кабинете TeddyID. Если залогинены, тогда дополнительное подтверждение с помощью телефона не запрашивается.
Как поступать в случае, если для одного сервиса у вас есть несколько логинов (такое, например, нередко бывает в почте)? Никаких проблем, просто введите другие логин и пароль, сохраните их в TeddyID - после этого при входе система вам будет предлагать разные логины на выбор.
Кстати, если вам надо придумать хороший устойчивый пароль для какой-то новой регистрации, то нет проблем: TeddyID сгенерирует вам пароль любой желаемой сложности.
Что делать, если по каким-то причинам смартфон не может выйти в Интернет, а вы понадеялись на TeddyID и теперь не помните свои логины-пароли? В этой ситуации вам нужно залогиниться на сайте TeddyID - и тогда система будет вводить ваши логины-пароли без подтверждения на телефоне.
Залогиниться на сайте можно с помощью пароля, который вам прислали при регистрации. Если вы его не помните, то можно зайти в приложение с помощью телефона, причем даже если он отключен от Интернета. Когда приложение на телефоне видит, что у телефона нет доступа к Интернету, каждые несколько секунд оно генерирует шестизнаковый числовой пароль: вы его можете ввести на сайте TeddyID для вашей учетной записи - и попадете в личный кабинет.
Личный кабинет
Личный кабинет на сайте сервиса содержит следующее меню.
Пункт Я - данные о вас. Здесь можно поменять e-mail, на который зарегистрирован аккаунт, также здесь можно ввести список электронных адресов доверенных лиц (или других ваших ящиков), которые будут использоваться для восстановления доступа в ваш аккаунт в том случае, если вы потеряли контроль над вашим основным ящиком.
Мой телефон - зарегистрированный в системе телефон, который вы можете отвязать от своего аккаунта, в случае если телефона вы по каким-то причинам лишились. (Впрочем, даже если злоумышленник завладеет вашим телефоном, то без вашего компьютера с браузером он ничего сделать не сможет.)
Мои браузеры - список подключенных к системе браузеров с плагинами.
Смена пароля - поменять пароль для доступа к вашему личному кабинету. Кстати, это крайне желательно сделать сразу же, потому что первый пароль для доступа система присылает в открытом виде. Ну и, понятное дело, этот пароль должен быть длинным и устойчивым, так как он крайне важен!
Разделы Компания и Узлы относятся к корпоративным пользователям: TeddyID можно использовать для компаний, работающих с облачными сервисами: при этом данные учетных записей сохраняются с помощью двухфакторной авторизации (браузер-телефон), а сотрудникам можно будет не запоминать свои логины-пароли.
Мои сайты - список сайтов, для которых сохранены логины-пароли.
Для каждого сохраненного сайта доступны вот такие настройки.
"Показать пароль" - просто так пароль не показывается (мало ли кто сел за ваш компьютер, где вы не разлогинились в личном кабинете), для этого он потребует подтверждения через телефон.
"Автоматически нажимать кнопку "войти" после заполнения логина и пароля" - это нужно отключать для сервисов, где кроме логина-пароля еще и требуют ввести значение капчи.
"Запрашивать подтверждение на телефоне даже при открытом личном кабинете TeddyID" - это желательно включать для сервисов с крайне конфиденциальной информацией, в качество дополнительной защиты.
Ну, вот, пожалуй, и все по работе с системой. Быстро, просто и удобно.
Безопасность
А теперь поговорим о том, насколько это все безопасно, потому что главное в подобных системах - то, как они организуют защиту данных пользователей, ведь эти данные хранятся на серверах сервиса.
Так вот, в этой системе незашифрованные пароли не хранятся НИГДЕ. Более того, даже зашифрованные пароли целиком не хранятся на сервере системы. Ваши логины-пароли одновременно шифруются (используются алгоритмы шифрования AES-256 и RSA-2048) и делятся на две части: шифротекст и ключ шифрования. Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере. При запросе логина-пароля TeddyID требует подтверждения (залогиниванием в вашем личном кабинете сервиса или через телефон), и только после этого логин и пароль соединяются, расшифровываются и вводятся на соответствующем сайте.
Таким образом, ваши пароли целиком никогда не посылаются на серверы TeddyID (отправляется только часть в зашифрованном виде), а процесс шифрования/расшифровывания происходит только на вашем компьютере и вашем телефоне.
(Для продвинутых пользователей есть подробное описание технических сторон менеджера паролей TeddyID.)
Восстановление своих данных
Что происходит в случае, если пользователь разом лишается доступа и к браузеру, и к телефону? Сохранятся ли в этом случае его данные?
Да, сохранятся - в его личном кабинете. В личный кабинет вы входите по логину-паролю. В разделе "Мои сайты" - все ваши логины-паролы.
В личном кабинете отвязываете старый телефон (подтверждение нужно будет сделать с помощью письма, пришедшего на e-mail) и привязываете новый телефон с помощью QR-кода.
И все, дальше можете продолжать пользоваться данным сервисом.
Оплата
Как я сразу написал в начале обзора - сервис не совсем бесплатный: сначала дается 30 дней на тестирование, после чего за плагин к адаптеру требуется заплатить $0,99 за пожизненную лицензию, которая привязывается к конкретной учетной записи и браузеру. При переустановке браузера лицензия сохранится, однако если вы захотите воспользоваться другим видом браузера - лицензия на адаптер для него также будет стоить $0,99.
Наблюдения при работе и выводы
Интересный сервис, мне понравился. Для пользователей, которые не хотят забивать себе голову паролями, но при этом понимают, что нужно использовать устойчивые длинные пароли, и хотят иметь удобный и безопасный способ их хранения и автоматического ввода - на мой взгляд, самое то, что надо.
В процессе тестирования у меня возникали некоторые мелкие косячки и неудобства (не мешающие, впрочем, нормальному функционированию системы), но сервис еще "молодой", активно развивается и дорабатывается, так что я надеюсь, что они это в процессе поправят.
Чего тут, на мой взгляд, не хватает? Ну разве что возможности для пользователя сделать локальную защищенную копию всех своих сохраненных логинов-паролей: на случай, если вдруг, не дай бог, эти данные пропадут на сервере. В том же Roboform так и сделано: данные хранятся на сервере сервиса и на компьютере пользователя. И эти данные синхронизируются, причем пользователь всегда может выбрать направление синхронизации: с компьютера на сервер или с сервера на компьютер, в обе стороны.
UPD. А, забыл -- на mail.ru этот Teddy вообще не отреагировал и не предложил сохранить пароль. Оно вообще работает или уже сдохло?
в общем, я так понял, под keepass есть только два плагина для мультифактора, один поддерживает только усб-ключ yubikey, другой (обсуждается в вышестоящем линке), в том числе, гугл-аутентификатор (и кучу других генераторов одноразовых паролей). но! в случае использования одной базы на нескольких устройствах, необходимо между ними синхронизировать счетчик использованных паролей. я нередко одновременно использую линукс на компе и ноут с виндой, с включенным браузером в обеих системах, синхронизировать их не получится. усб-ключ, при использовании другого плагина, вроде, таких ограничений не имеет, но не перетыкать же его туда-сюда. ну и денег стоит, бэкап ключа возможен, но его нельзя хранить открыто/расшифровывать на том же устройстве, где хранится база (которую хотелось бы иметь на всех устройствах). ну и с десктопными программами, я так понял, тоже ничего не получится. условия для андроида тоже не выполняются.
получается, что единственное кросс-платформенное решение - ластпасс премиум, в линуксе - только с браузером (и похоже, что мультифактора необходим сезам, доступный только под дебиан/убунту, переходить на которые не хочу. искал "lastpass [sesame,multifactor] arch linux" - ничего кроме того поста с вопросом на форуме не нашел. думаю, если бы можно было поставить через alien - кто-то бы об этом написал). я думал в прошлом о полной миграции на винду (возможно, с виртуалкой с линуксом для самых секьюрити-критичных вещей) после того как соберу новый комп, но в последнее время, что со старой 7 на компе (которая, правда, не смогла поставить сп1, после чего я ее не переставлял, чего явно стоило сделать), что с 8.1/10 с последними обновлениями на ноутах, наловил столько глюков, что перехотелось. хотя хочется, наконец, поиграть опять в несколько виндовых игр/использовать музыкальный софт на более мощном компе, и не хочется перезагружать комп постоянно.
но, даже с поддержкой всех желаемых функций под виндой, выяснил, что мультифактор отключается по линку на сохраненное мыло. т.е. (тут уровень паранойи зашкаливает), по-хорошему нельзя хранить мыло с этого ящика на компе, где набирается мастер пароль или набирать на одном компе мастер-пароль, чтобы залогиниться в ластпасс и потом логин и пароль мыла, чтобы через него отменить мультифактор. разве что тыкать в другое место и вводить лишние символы.
в общем, одного идеального решения не существует и возможно, что придется поискать несколько разных менеджеров и переносить между ними пароли, когда будет нужно, вручную. или забить на все 😉
Знаете, это все очень просто решается. Причем ни в малейшем ущербе для безопасности. Статистически - однохренественно. Просто запомните четыре цифры. Для романтики - пусть это будет как-то связано с вашей первой любовью. Отнимимте (или прибавьте) от вашего пина. Все. Пишите результат на карте. Если у вас проблема с мозгом, то всегда восстановите.
Установить букмарклет www.teddyid.com и активировать его перед логином. Кстати букмарклет бесплатен в отличие от расширения.
Можно, есть приложение и для явы, но на смартфоне действительно приятней использовать.
Все яйца в одной корзинке?
ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...
У Ластпасс есть Ява апплет. Я им на Нокии пользовался сто лет тому назад, правда он сам заполнять формы не мог, надо было вручную копировать/вставлять, но хоть что-то.
Ничего не было скомпрометировано. Были попытки взлома, завершились ничем. Никто ничего не смог украсть, потому что у ластпасса физически нету ваших паролей и никогда не было.
У них только хеши, но кого это волнует - ПОПЫТКИ ВЗЛОМА ведь были 😄
По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?
А по поводу других менеджеров, для меня менеджер который не умеет сам заполнять поля в браузере - не существует. А они не все умеют. Большинство не умеет, так что выбор не особо-то и большой. Даже среди платных.
По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?
ну, после того как нашел малварь, полученную, когда я еще регулярно обновлял систему, не ставил ничего, не существующего в официальных репозиториях и не давал винде доступа к партиции (позже уже что-то сломал в настройках и система не грузилась, двд-привод уже не работал, грузиться с флэшки материнка не умеет - пришлось поставить, чтобы поправить конфиги из винды), доверия линуксу поуменьшилось. да и в последнее время часто читал про все новую малварь для линукса, большинство из них поражает веб-сервера, но и для десктопа тоже кое-что появляется, в т.ч. кейлоггеры. я при каждом запуске ввожу мастер-пароль громоптица, с которым легко расшифровать пароли ко всем используемым с ним мэйл-аккаунтам. и пока не вышел пиджин 3, приходится хранить все пароли в открытом виде в текстовом файле (из них важны аська с красивым номером и фейсбук, фейсбук, вроде, хотя бы при смене пароля требует код, присылаемый по смс, но когда менял привязанный номер, не помню, требовалось ли сначала подтвердить код со старого. но в любом случае, не хотелось бы и, чтобы кто-то получал доступ к аккаунту, переписка - хрен с ней, но в некоторых, не особо критических, местах я использую логин через фейсбук. а аська, вроде, не защищается никак), хотелось бы получить возможность их авто-ввода при каждом запуске через менеджер паролей.
копия профилей пиджина и громоптица существует и под виндой, которой доверия было изначально меньше. а недавно попробовал десятку на старом ноуте, сначала апгрейд с семерки, потом переписал сериальник и поставил с нуля (последний на то время дистрибутив с сайта мс). установил только тотал коммандер, авиру и файрфокс, потом не пользовался пару месяцев. когда запустил снова, авира обновила базы и нашла троянца в роуминг-папке.
www.exler.ru
---
посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.
---
перепелкин мне там посоветовал ластпасс, но после подробного курения сайта ластпасса и информации по нему на вики-разделе арча обнаружил, что под винду и адроид, вроде, все устраивает, но под линукс нету поддержки десктопных программ (только плагины для браузеров) и конкретно под арчем доступны не все функции, вроде двухфакторной аутентификации. и техподдержка, судя по этому посту ((forums.lastpass.com от платного юзера на их форуме, за 11 месяцев не получившего ответа, очень хреновая. а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)
вроде, единственная кросс-платформенная альтернатива, доступная под арчем - keepass, но там сразу несколько разных вариантов и так и не понял, можно ли хоть к одному из них прикрутить двухфакторную аутентификацию и поддерживает ли он авто-ввод (не копирование в буфер) паролей.
надо бы спросить и на форуме арча, но в последние дни все время боролся с разными глюками, вызванными железом, и руки до этого не доходили. обнаружил дикие глюки у сата-контроллера материнки, из-за которых большАя часть данных, записанных в последнии три недели на разные винты, была порушена (старые данных с этих винтов вчера читались нормально, но смарт сообщает о гигантских количествах ошибок чтения. думаю теперь, что не было никакого криптолокера, а просто, в момент сканирования винтов крэшпланом, данные считались неправильно). так что, пока не заменил материнку, ничего нового ставить не буду и стараюсь вообще использовать комп по минимуму.
Для keepass не существует 2х факторной аутентификации, так как это не сервис, а локальная программа с хранением паролей в локальном зашифрованном хранилище. Это хранилище, может быть синхронизировано как файл или через API от разных облаков на разные компы. Для него есть плагины/адд-оны для браузеров, которые поддерживают автозаполнение ((keepass.info смотреть Integration & Transfer). Правда я этим не пользуюсь, ничего особенного сказать не могу.
Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере.
Т.е. в случае потери доступа к компьютеру (украли, умер) - терям всю базу паролей?
Не только хрен знает кому, но и хрен знает кому хрен знает откуда. Сервис с поддержкой только английского и русского языков, но без поддержки, например испанского, как гораздо более распространенного.
С возможностью поделиться "радостью" с друзьями в "Одноклассниках" но не в "фейсбуке" или "твитторе"?
Я даже не спрашиваю в какой стране сервера находятся. Незачем. И так все понятно. Спасибо, хорошего вам настроения и здоровья, но я лучше здесь подержусь.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
Teddy поддерживает пароли только от веба, потому что только их сможет автоматически заполнить. Я сам продолжаю использовать свой старый менеджер пароле (типа keepass) для паролей от не-веба.
Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
такая же фигня, 😄 в робоформе предусмотрены базы контактов (типа как в оутлуке) и различного рода заметки, храни любую инфу...
Ну кто-то бухает, кто-то садится на иглу, кто-то на Apple 😄
а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей
Как отдельной функции в настоящее время нет, но можно постепенно переносить пароли по мере использования - робоформ подставил пароль, тедди сохранил.
Присоединяюсь к вопросу.
И ещё я не понял - если у меня хром на телефоне-планшете, он к нему привязывается и там тоже пароли не нужно вводить будет?
А то в ластпассе это платная функция, причём по подпискек,а не разово, поэтому он идёт лесом.
Еще один недостаток "облачных" решений, то что в самый нужный момент сервис недоступен и все. Ты без всех своих паролей вообще, без возможности сделать хоть что-то.
А по-поводу менеджеров, самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде. Если хочется автоматически вводить пароли в браузере, а не копи-пастить, то к нему есть аддоны для FF/Chrome...
+++
В случае паролей на СМС, еще можно добавить выдачу дубликатов симок по поддельным документам в салонах связи (о чем и Алекс писал).
Авторизация через телефон - зло, широко используется только в силу дешевизны и универсальности метода. Т.к. не нужно иметь спец устройство (типа юсб-ключа или независимого герератора разовых паролей). Но серьезной защитой не является.
StasTs: А по-поводу менеджеров, самый простой KeePass2
+++
Никаких проблем с перходом на новое устройство или с платформы на платформу (клиенты есть практически под все). Недостаток - нужно самостоятельно заботится о хранении/переносе/синхронизации базы, поэтому для неподготовленного пользователя подходит слабо.
+100
StasTs: самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде
+150!
Это плохая идея. Хотя бы потому, что многие сервисы (особенно связанные с деньгами) требуют периодической смены пароля
