Зручний менеджер паролів TeddyID
Одна з найбільших проблем з безпекою даних користувачів пов'язана з паролями, які користувачі вибирають при реєстрації на сервісах.
Як відомо, переважна більшість користувачів з приводу паролів сильно не напружуються і абсолютно щиро вважають, що який-небудь "123456" - це дуже стійкий пароль, який жоден зловмисник підібрати не може.
А потім починається: поштову скриньку зламали, ігровий аккаунт зламали, банківський аккаунт зламали, форумский аккаунт зламали, фейсбучний аккаунт зламали, вконтактіковий аккаунт зламали, лише тільки одноклассніковий аккаунт не зламали, тому що - ну кому він взагалі потрібен ...
Звичайно, власники різних сервісів щосили намагаються змушувати користувачів задавати більш-менш стійкі паролі. Більш того, коли власники сервісів зрозуміли, що звертатися до розуму користувачів абсолютно марно через або відсутності розуму або присутності цілковитої безпечності в цьому питанні, вони стали примусово вводити різні обмеження при завданні пароля: мінімум стільки-то символів (як правило, 6-8, не менш), обов'язково букви в різних регістрах, обов'язкова присутність якихось цифр і так далі.
Ви думаєте, користувачів це зломило? Так ні чорта! Вони просто стали вводити в якості пароля "Password123456" - і все.
Так що з цим робити, як тим же користувачам здобути безпеку нагальну, коли вони не в змозі запам'ятати більше одного-двох стійких паролів? Адже вирішувати браузерам запам'ятовувати ваші паролі - зовсім не варіант з багатьох причин. По-перше, це сильно небезпечно. По-друге, на різних платформах ви використовуєте різні браузери. По-третє, далеко не всі користувачі знають, як можна зберегти після успішної реєстрації в браузері паролі, щоб вони залишилися при перестановці системи.
Тому найбільш розумний вихід в даній ситуації - використовувати спеціальні менеджери паролів. Ідея там проста: менеджер паролів сам може придумувати за вас стійкі паролі, він сам буде їх запам'ятовувати і зберігати як локально, так і в "хмарі", а від вас вимагається тільки запам'ятати один-єдиний стійкий пароль до цього менеджеру.
Таких менеджерів існує чимало, але найбільш відомі з них - безкоштовний Lastpass і платний Roboform .
Lastpass особисто мені здався не дуже зручним, а крім того, його на моїй пам'яті як мінімум два рази ламали і дані користувачів були скомпроментіровалі.
Roboform помітно більш зручний і, судячи з усього, значно краще захищений, тому що злому ще жодного разу не піддавався. (Тьху-тьху-тьху.)
Однак технології не стоять на місці, і зараз з'являються нові менеджери паролів, які використовують більш просунуті, але разом з тим більш зручні методи захисту паролів та ідентифікації користувачів.
Один з таких нових менеджерів називається TeddyID . Він використовує оригінальний метод: безпарольний (при цьому захищений) вхід на сайті з використанням смартфона і комп'ютера.
Метод цікавий, тому давайте подивимося, як це все працює. (Відразу попереджаю, що плагін для браузера після 30 днів тестового періоду вимагає оплати, але вона становить всього $ 0,99 за довічну ліцензію.)
Головна сторінка TeddyID
як підключитися
Підключення до сервісу відбувається швидко і просто. Там є два етапи. Перший - установка розширення для браузера (При переході по посиланню TeddyID повинен автоматично визначити, який у вас браузер, і запропонує відповідне розширення).
Другий - на свій смартфон потрібно встановити додаток TeddyID. Тут підтримуються всі основні платформи (Android, iOS, Windows Phone, Blackberry, Java), а крім того, ви можете просто вбити номер телефону, щоб на нього отримати посилання для завантаження програми.
Далі вам потрібно зайти на сайт сервісу www.teddyid.com , Клацнути по посиланню "Увійти" - і вам відкриється вікно з QR-кодом, який потрібно буде відсканувати в додатку на смартфоні.
Ось таке вікно з'являється в телефонному додатку.
На вказаний при реєстрації e-mail TeddyID відправить вам пароль, за допомогою якого можна буде увійти до вашого профілю на сайті, в разі якщо ви з якихось причин не зможете вважати QR-код.
Після того як ви увійшли до вашого профілю на сайті, системою можна починати користуватися.
Як працює система
Ось так виглядає ваш особистий кабінет. Список запам'ятали паролів до сайтів поки порожній.
Але немає необхідності його заповнювати вручну. Ви просто в браузері відкриваєте потрібний вам сайт - наприклад, Mail.ru - і там вводите логін і пароль.
При цьому TeddyID запропонує вам зберегти цей пароль.
Зберегли. Тепер вийдемо з особистого кабінету (в даному випадку - з пошти) і спробуємо знову увійти. Якщо поставити курсор в рядок логіна, то під ним з'явиться рядок, що пропонує ввести ваші дані за допомогою TeddyID. Клацаємо по цій сходинці мишею - з'являється ось таке віконце.
Натискаємо "Увійти". На екрані комп'ютера з'являється ось таке вікно.
І на екрані телефону аналогічне вікно. Якщо картинки збігаються (додатковий засіб захисту), то спокійно натискаєте "Так", після чого TeddyID самостійно введе на сайті ваші логін і пароль. От і все.
Як бачите, все дуже просто. Один раз запам'ятали логін-пароль в менеджері, після цього їх не треба згадувати, вони будуть вводитися за допомогою програми. Ну і тепер вам залишається поступово додати в TeddyID логіни-паролі від інших сайтів. (Для нових сайтів дуже рекомендується використовувати вбудований в TeddyID генератор паролів, щоб він був стійким.)
Подвійна аутентифікація (за допомогою комп'ютера і телефону) робиться тільки в тому випадку, якщо ви не залогінені в тому ж браузері в вашому особистому кабінеті TeddyID. Якщо залягання, тоді додаткове підтвердження за допомогою телефону не вимагається.
Як діяти у разі, якщо для одного сервісу у вас є кілька логінів (таке, наприклад, нерідко буває в пошті)? Ніяких проблем, просто введіть інші логін і пароль, збережіть їх в TeddyID - після цього при вході система вам буде пропонувати різні логіни на вибір.
До речі, якщо вам треба придумати хороший стійкий пароль для якоїсь нової реєстрації, то немає проблем: TeddyID згенерує вам пароль будь-якої бажаної складності.
Що робити, якщо з якихось причин смартфон не може вийти в Інтернет, а ви сподівалися на TeddyID і тепер не пам'ятаєте свої логіни-паролі? У цій ситуації вам потрібно залогінитися на сайті TeddyID - і тоді система буде вводити ваші логіни-паролі без підтвердження на телефоні.
Залогінитися на сайті можна за допомогою пароля, який вам прислали при реєстрації. Якщо ви його не пам'ятаєте, то можна зайти в додаток за допомогою телефону, причому навіть якщо він відключений від Інтернету. Коли додаток на телефоні бачить, що у телефону немає доступу до Інтернету, кожні кілька секунд воно генерує шестізнаковий числовий пароль: ви його можете ввести на сайті TeddyID для вашого профілю - і потрапите в особистий кабінет.
Особистий кабінет
Особистий кабінет на сайті сервісу містить наступне меню.
Пункт Я - дані про вас. Тут можна поміняти e-mail, на який зареєстрований акаунт, також тут можна ввести список електронних адрес довірених осіб (або інших ваших ящиків), які будуть використовуватися для відновлення доступу до вашого облікового запису в тому випадку, якщо ви втратили контроль над вашим основним ящиком.
Мій телефон - зареєстрований в системі телефон, який ви можете відв'язати від свого аккаунта, в разі якщо телефону ви з якихось причин втратили. (Втім, навіть якщо зловмисник заволодіє вашим телефоном, то без вашого комп'ютера з браузером він нічого зробити не зможе.)
Мої браузери - список підключених до системи браузерів з плагінами.
Зміна пароля - поміняти пароль для доступу до вашого особистого кабінету. До речі, це вкрай бажано зробити відразу ж, тому що перший код для доступу система надсилає у відкритому вигляді. Ну і, ясна річ, цей пароль повинен бути довгим і стійким, так як він дуже важливий!
Розділи Компанія і Вузли відносяться до корпоративним користувачам: TeddyID можна використовувати для компаній, що працюють з хмарними сервісами: при цьому дані облікових записів зберігаються за допомогою двофакторної авторизації (браузер-телефон), а співробітникам можна буде не запам'ятовувати свої логіни-паролі.
Мої сайти - список сайтів, для яких збережені логіни-паролі.
Для кожного збереженого сайту доступні ось такі настройки.
"Показати пароль" - просто так пароль не відображається (хіба мало хто сів за ваш комп'ютер, де ви не разлогінілісь в особистому кабінеті), для цього він зажадає підтвердження через телефон.
"Автоматично натискати кнопку" увійти "після заповнення логіна і пароля" - це потрібно відключати для сервісів, де крім логіна-пароля ще і вимагають ввести значення капчі.
"Запитувати підтвердження на телефоні навіть при відкритому особистому кабінеті TeddyID" - це бажано включати для сервісів з вкрай конфіденційною інформацією, в якість додаткового захисту.
Ну, ось, мабуть, і все по роботі з системою. Швидко, просто і зручно.
Безпека
А тепер поговоримо про те, наскільки це все безпечно, тому що головне в подібних системах - то, як вони організовують захист даних користувачів, адже ці дані зберігаються на серверах сервісу.
Так ось, в цій системі незашифровані паролі не зберігається НІДЕ. Більш того, навіть зашифровані паролі цілком не зберігаються на сервері системи. Ваші логіни-паролі одночасно шифруються (використовуються алгоритми шифрування AES-256 і RSA-2048) і діляться на дві частини: шифротекст і ключ шифрування. Шіфротекст зберігається на сервері TeddyID, ключ шифрування зберігається на вашому комп'ютері. При запиті логіна-пароля TeddyID вимагає підтвердження (залогініваніем в вашому особистому кабінеті сервісу або через телефон), і тільки після цього логін і пароль з'єднуються, розшифровуються і вводяться на відповідному сайті.
Таким чином, ваші паролі цілком ніколи не надсилаються на сервери TeddyID (відправляється тільки частина в зашифрованому вигляді), а процес шифрування / розшифрування відбувається тільки на вашому комп'ютері і вашому телефоні.
(Для просунутих користувачів є докладний опис технічних сторін менеджера паролів TeddyID .)
Відновлення своїх даних
Що відбувається в разі, якщо користувач разом позбавляється доступу і до браузеру, і до телефону? Чи збережуться в цьому випадку його дані?
Так, збережуться - в його особистому кабінеті. В особистий кабінет ви входите за логіном-паролем. У розділі "Мої сайти" - всі ваші логіни-паролі.
В особистому кабінеті осля старий телефон (підтвердження потрібно буде зробити за допомогою листа, який прийшов на e-mail) і прив'язуєте новий телефон за допомогою QR-коду.
І все, далі можете продовжувати користуватися цим сервісом.
оплата
Як я відразу написав на початку огляду - сервіс не зовсім безкоштовний: спочатку дається 30 днів на тестування, після чого за плагін до адаптера потрібно заплатити $ 0,99 за довічну ліцензію, яка прив'язується до конкретної облікового запису і браузеру. При перевстановлення браузера ліцензія збережеться, однак якщо ви захочете скористатися іншим видом браузера - ліцензія на адаптер для нього також буде коштувати $ 0,99.
Спостереження при роботі і висновки
Цікавий сервіс, мені сподобався. Для користувачів, які не хочуть забивати собі голову паролями, але при цьому розуміють, що потрібно використовувати стійкі довгі паролі, і хочуть мати зручний і безпечний спосіб їх зберігання і автоматичного введення - на мій погляд, саме те, що треба.
В процесі тестування у мене виникали деякі дрібні косяки і незручності (що не заважають, втім, нормальному функціонуванню системи), але сервіс ще "молодий", активно розвивається і допрацьовується, так що я сподіваюся, що вони це в процесі поправлять.
Чого тут, на мій погляд, не вистачає? Ну хіба що можливості для користувача зробити локальну захищену копію всіх своїх збережених логінів-паролів: на випадок, якщо раптом, не дай бог, ці дані пропадуть на сервері. У тому ж Roboform так і зроблено: дані зберігаються на сервері сервісу і на комп'ютері користувача. І ці дані синхронізуються, причому користувач завжди може вибрати напрямок синхронізації: з комп'ютера на сервер або з сервера на комп'ютер, в обидві сторони.
Ви думаєте, користувачів це зломило?Так що з цим робити, як тим же користувачам здобути безпеку нагальну, коли вони не в змозі запам'ятати більше одного-двох стійких паролів?
Як діяти у разі, якщо для одного сервісу у вас є кілька логінів (таке, наприклад, нерідко буває в пошті)?
Що робити, якщо з якихось причин смартфон не може вийти в Інтернет, а ви сподівалися на TeddyID і тепер не пам'ятаєте свої логіни-паролі?
Чи збережуться в цьому випадку його дані?
Чого тут, на мій погляд, не вистачає?