Удобный менеджер паролей TeddyID

Одна из самых больших проблем с безопасностью данных пользователей связана с паролями, которые пользователи выбирают при регистрации на сервисах.

Как известно, подавляющее большинство пользователей по поводу паролей сильно не напрягается и совершенно искренне считает, что какой-нибудь "123456" - это весьма устойчивый пароль, который ни один злоумышленник подобрать не может.

А потом начинается: почтовый ящик взломали, игровой аккаунт взломали, банковский аккаунт взломали, форумский аккаунт взломали, фейсбучный аккаунт взломали, вконтактиковый аккаунт взломали, лишь только одноклассниковый аккаунт не взломали, потому что - да кому он вообще нужен...

Конечно, владельцы различных сервисов изо всех сил пытаются заставлять пользователей задавать более или менее устойчивые пароли. Более того, когда владельцы сервисов поняли, что взывать к разуму пользователей - совершенно бесполезно ввиду или отсутствия разума или присутствия полнейшей беспечности в этом вопросе, - они стали принудительно вводить различные ограничения при задании пароля: минимум столько-то символов (как правило, 6-8, не меньше), обязательно буквы в различных регистрах, обязательно присутствие каких-то цифр и так далее.

Вы думаете, пользователей это сломило? Да ни черта! Они просто стали вводить в качестве пароля "Password123456" - и все.

Так что с этим делать, как тем же пользователям снискать безопасность насущную, когда они не в состоянии запомнить более одного-двух устойчивых паролей? Ведь разрешать браузерам запоминать ваши пароли - совсем не вариант по многим причинам. Во-первых, это сильно небезопасно. Во-вторых, на разных платформах вы используете разные браузеры. В-третьих, далеко не все пользователи знают, как можно сохранить запомненные в браузере пароли, чтобы они остались при перестановке системы.

Поэтому наиболее разумный выход в данной ситуации - использовать специальные менеджеры паролей. Идея там простая: менеджер паролей сам может придумывать за вас устойчивые пароли, он сам будет их запоминать и хранить как локально, так и в "облаке", а от вас требуется только запомнить один-единственный устойчивый пароль к этому менеджеру.

Таких менеджеров существует немало, но наиболее известные из них - бесплатный Lastpass и платный Roboform.

Lastpass лично мне показался не слишком удобным, а кроме того, его на моей памяти как минимум два раза ломали и данные пользователей были скомпроментированы.

Roboform заметно более удобный и, судя по всему, значительно лучше защищен, потому что взлому еще ни разу не подвергался. (Тьфу-тьфу-тьфу.)

Однако технологии не стоят на месте и сейчас появляются новые менеджеры паролей, использующие более продвинутые, но вместе с тем более удобные методы защиты паролей и идентификации пользователей.

Один из таких новых менеджеров называется TeddyID. Он использует оригинальный метод: беспарольный (при этом защищенный) вход на сайте с использованием смартфона и компьютера.

Метод интересный, поэтому давайте посмотрим, как это все работает. (Сразу предупреждаю, что плагин для браузера после 30 дней тестового периода требует оплаты, но она составляет всего $0,99 за пожизненную лицензию.)

Главная страница TeddyID

Как подключиться

Подключение к сервису происходит быстро и просто. Там есть два этапа. Первый - установка расширения для браузера (при переходе по ссылке TeddyID должен автоматически определить, какой у вас браузер, и предложит соответствующее расширение).

Второй - на свой смартфон нужно установить приложение TeddyID. Тут поддерживаются все основные платформы (Android, iOS, Windows Phone, Blackberry, Java), а кроме того, вы можете просто вбить номер телефона, чтобы на него получить ссылку для загрузки приложения.

Далее вам нужно зайти на сайт сервиса www.teddyid.com, щелкнуть по ссылке "Войти" - и вам откроется окно с QR-кодом, который нужно будет отсканировать в приложении на смартфоне.

Вот такое окно появляется в телефонном приложении.

На указанный при регистрации e-mail TeddyID отправит вам пароль, с помощью которого можно будет войти в вашу учетную запись на сайте в случае, если вы по каким-то причинам не сможете считать QR-код.

После того как вы вошли в вашу учетную запись на сайте - системой можно начинать пользоваться.

Как работает система

Вот так выглядит ваш личный кабинет. Список запомненных паролей к сайтам пока пуст.

Но нет необходимости его заполнять вручную. Вы просто в браузере открываете нужный вам сайт - например, Mail.ru, - и там вводите логин и пароль.

При этом TeddyID предложит вам сохранить этот пароль.

Сохранили. Теперь выйдем из личного кабинета (в данном случае - из почты) и попробуем снова войти. Если поставить курсор в строку логина, то под ним появится строчка, предлагающая ввести ваши данные с помощью TeddyID. Щелкаем по этой строчке мышью - появляется вот такое окошко.

Нажимаем "Войти". На экране компьютера появляется вот такое окно.

И на экране телефона аналогичное окно. Если картинки совпадают (дополнительное средство защиты), то спокойно нажимаете "Да", после чего TeddyID самостоятельно введет на сайте ваши логин и пароль. Вот и все.

Как видите, все очень просто. Один раз запомнили логин-пароль в менеджере, после этого их не надо вспоминать, они будут вводиться с помощью приложения. Ну и теперь вам остается постепенно добавить в TeddyID логины-пароли от других сайтов. (Для новых сайтов очень рекомендуется использовать встроенный в TeddyID генератор паролей, чтобы он был устойчивым.)

Двойная аутентификация (с помощью компьютера и телефона) делается только в том случае, если вы не залогинены в том же браузере в вашем личном кабинете TeddyID. Если залогинены, тогда дополнительное подтверждение с помощью телефона не запрашивается.

Как поступать в случае, если для одного сервиса у вас есть несколько логинов (такое, например, нередко бывает в почте)? Никаких проблем, просто введите другие логин-пароль, сохраните их в TeddyID - после этого при входе система вам будет предлагать разные логины на выбор.

Кстати, если вам надо придумать хороший устойчивый пароль для какой-то новой регистрации, то нет проблем: TeddyID сгенерирует вам пароль любой желаемой сложности. 

Что делать, если по каким-то причинам смартфон не может выйти в Интернет, а вы понадеялись на TeddyID и теперь не помните свои логины-пароли? В этой ситуации вам нужно залогиниться на сайте TeddyID - и тогда система будет вводить ваши логины-пароли без подтверждения на телефоне.

Залогиниться на сайте можно с помощью пароля, который вам прислали при регистрации. Если вы его не помните, то можно зайти в приложение с помощью телефона, причем даже если он отключен от Интернета. Когда приложение на телефоне видит, что у телефона нет доступа к Интернету, каждые несколько секунд оно генерирует 6-знаковый числовой пароль: вы его можете ввести на сайте TeddyID для вашей учетной записи - и попадете в личный кабинет.

Личный кабинет

Личный кабинет на сайте сервиса содержит следующее меню.

Пункт Я - данные о вас. Здесь можно поменять e-mail, на который зарегистрирован аккаунт, также здесь можно ввести список электронных адресов доверенных лиц (или других ваших ящиков), которые будут использоваться для восстановления доступа в ваш аккаунт в том случае, если вы потеряли контроль над вашим основным ящиком.

Мой телефон - зарегистрированный в системе телефон, который вы можете отвязать от своего аккаунта в случае, если телефона вы по каким-то причинам лишились. (Впрочем, даже если злоумышленник завладеет вашим телефоном, то без вашего компьютера с браузером он ничего сделать не сможет.)

Мои браузеры - список подключенных к системе браузеров с плагинами.

Смена пароля - поменять пароль для доступа к вашему личному кабинету. Кстати, это крайне желательно сделать сразу же, потому что первый пароль для доступа система присылает в открытом виде. Ну и, понятное дело, этот пароль должен быть длинным и устойчивым, так как он - крайне важен!

Разделы Компания и Узлы относятся к корпоративным пользователям: TeddyID можно использовать для компаний, работающих с облачными сервисами: при этом данные учетных записей сохраняются с помощью двухфакторной авторизации (браузер-телефон), а сотрудникам можно будет не запоминать свои логины-пароли.

Мои сайты - список сайтов, для которых сохранены логины-пароли.

Для каждого сохраненного сайта доступны вот такие настройки.

"Показать пароль" - просто так пароль не показывается (мало ли кто сел за ваш компьютер, где вы не разлогинились в личном кабинете), для этого он потребует подтверждения через телефон.

"Автоматически нажимать кнопку "войти" после заполнения логина и пароля" - это нужно отключать для сервисов, где кроме логина-пароля еще и требуют ввести значение капчи.

"Запрашивать подтверждение на телефоне даже при открытом личном кабинете TeddyID" - это желательно включать для сервисов с крайне конфиденциальной информацией, в качество дополнительной защиты.

Ну, вот, пожалуй, и все по работе с системой. Быстро, просто и удобно.

Безопасность

А теперь поговорим о том, насколько это все безопасно, потому что главное в подобных системах - то, как они организуют защиту данных пользователей, ведь эти данные хранятся на серверах сервиса.

Так вот, в этой системе незашифрованные пароли не хранятся НИГДЕ. Более того, даже зашифрованные пароли целиком не хранятся на сервере системы. Ваши логины-пароли одновременно шифруются (используются алгоритмы шифрования AES-256 и RSA-2048) и делятся на две части: шифротекст и ключ шифрования. Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере. При запросе логина-пароля TeddyID требует подтверждения (залогиниванием в вашем личном кабинете сервиса или через телефон) и только после этого логин-пароль соединяются, расшифровываются и вводятся на соответствующем сайте.

Таким образом, ваши пароли целиком никогда не посылаются на серверы TeddyID (отправляется только часть в зашифрованном виде), а процесс шифрования/расшифровывания происходит только на вашем компьютере и вашем телефоне.

(Для продвинутых пользователей есть подробное описание технических сторон менеджера паролей TeddyID.)

Восстановление своих данных

Что происходит в случае, если пользователь разом лишается доступа и к браузеру, и к телефону? Сохранятся ли в этом случае его данные?

Да, сохранятся - в его личном кабинете. В личный кабинет вы входите по логину-паролю. В разделе "Мои сайты" - все ваши логины-паролы.

В личном кабинете отвязываете старый телефон (подтверждение нужно будет сделать с помощью письма, пришедшего на e-mail) и привязываете новый телефон с помощью QR-кода.

И все, дальше можете продолжать пользоваться данным сервисом.

Оплата

Как я сразу написал в начале обзора - сервис не совсем бесплатный: сначала дается 30 дней на тестирование, после чего за плагин к адаптеру требуется заплатить $0,99 за пожизненную лицензию, которая привязывается к конкретной учетной записи и браузеру. При переустановке браузера лицензия сохранится, однако если вы захотите воспользоваться другим видом браузера - лицензия на адаптер для него также будет стоить $0,99. 

Наблюдения при работе и выводы

Интересный сервис, мне понравился. Для пользователей, которые не хотят забивать себе голову паролями, но при этом понимают, что нужно использовать устойчивые длинные пароли и хотят иметь удобный и безопасный способ их хранения и автоматического ввода - на мой взгляд, самое то, что надо.

В процессе тестирования у меня возникали некоторые мелкие косячки и неудобства (не мешающие, впрочем, нормальному функционированию системы), но сервис еще "молодой", активно развивается и дорабатывается, так что я надеюсь, что они это в процессе поправят.

Чего тут, на мой взгляд, не хватает? Ну разве что возможности для пользователя сделать локальную защищенную копию всех своих сохраненных логинов-паролей: на случай, если вдруг, не дай бог, эти данные пропадут на сервере. В том же Roboform так и сделано: данные хранятся на сервере сервиса и на компьютере пользователя. И эти данные синхронизируются, причем пользователь всегда может выбрать направление синхронизации: с компьютера на сервер или с сервера на компьютер, в обе стороны.

Дата публикации: 15.06.2016

http://www.exler.ru/likbez/15-06-2016.htm