"از رمز عبور قوی استفاده کنید" توصیه ای است که اغلب به صورت آنلاین ظاهر می شود. این مقاله در مورد چگونگی ایجاد یک رمز عبور قوی و به خاطر سپردن آن است.

یک مدیر رمز عبور که می تواند رمزهای عبور قوی ایجاد کند و آنها را به خاطر بسپارد می تواند در این زمینه به شما کمک کند. اما حتی اگر از یک مدیر استفاده می کنید، باز هم به یک رمز عبور اصلی برای آن نیاز دارید.

کار با رمزهای عبور - راه آسان

این روزها وب‌سایت‌های زیادی وجود دارد، و احتمالاً شما در بسیاری از آنها حساب دارید. به احتمال زیاد، رمزهای عبور شما یا برای هر حساب تکراری هستند یا بر اساس یک الگوی خاص ایجاد می شوند. از نظر امنیتی، این بسیار رضایت بخش نیست، زیرا شخصی که رمز عبور یکی از حساب های شما را حدس می زند، آن را برای دیگران نیز حدس می زند.

در این مورد، یک مدیر رمز عبور به کمک می آید - برای ذخیره ده ها رمز عبور خود در یک مکان، فقط باید یک رمز عبور اصلی را بدانید.

مدیران زیادی وجود دارند، اما داشلین احتمالا بهترین است. بهترین انتخاببرای کاربر معمولی Dashlane تقریباً برای همه پلتفرم ها برنامه هایی دارد، آنها در هر مرورگری ادغام می شوند و مدیر در استفاده از توابع اولیه آزاد است. اگر می‌خواهید گذرواژه‌ها را بین دستگاه‌های مختلف همگام‌سازی کنید، باید به یک حساب پرمیوم ارتقا دهید.

مدیران رمز عبور دارای ویژگی‌های داخلی مانند امتیاز امنیتی کلی، تولید کننده رمز عبور و موارد دیگر هستند امنیت کامپیوتر، باید از رمزهای عبور قوی در همه جا استفاده کنید. بیشتر راه آسانبرای انجام این کار استفاده از Dashlane است.

همچنین در لیست مدیران خوبرمزهای عبور شامل KeePass است که در تمام پلتفرم‌های اصلی موجود است. پایگاه داده رمز عبور با AES-256 با استفاده احتمالی از تبدیل کلید چند گذری رمزگذاری شده است که مقاومت برنامه را در برابر حملات مستقیم افزایش می دهد و آن را بسیار قابل اعتمادتر از سایر نرم افزارها می کند.

این یک راه عالی برای ایجاد یک دنباله است زیرا واقعاً تضمین می کند که ترکیبی تصادفی از کلمات خواهید داشت. علاوه بر این، عبارت تشکیل شده به راحتی قابل یادآوری خواهد بود.

رمز به یاد ماندنی: تکنیکی برای تولید

با معیارهای بالا، به راحتی می توان دنباله ای به دست آورد. فقط سعی کنید چیزی تصادفی تایپ کنید، به عنوان مثال 3o(t&gSp&3hZ4#t9. این یک رمز عبور خوب است - 16 کاراکتر، شامل ترکیب انواع مختلفشخصیت ها، و حدس زدن آن دشوار است زیرا شخصیت ها به هیچ وجه با یکدیگر مرتبط نیستند. برای ایجاد توالی های مشابه، از ژنراتورهای رمز عبور استفاده کنید.

تنها مشکل این است که چگونه چنین رمز عبوری را به خاطر بسپاریم. با فرض اینکه حافظه عکاسی ندارید، باید زمان زیادی را صرف یادگیری این سکانس کنید. شما باید یک رمز عبور ایجاد کنید تا با یک رویداد یا مورد مرتبط باشد. به عنوان مثال، یادآوری این جمله بسیار ساده تر خواهد بود: «اولین خانه ای که من در آن زندگی کردم، خیابان جعلی 613 بود. اجاره ماهانه 400 دلار بود.» و با استفاده از حرف اول هر کلمه آن را به رمز عبور تبدیل کنید: TfhIeliw613FS.Rw$4pm. این یک رمز عبور قوی با 21 مقدار است.

بله، یک دنباله واقعا تصادفی باید شامل اعداد و تعداد بیشتری باشد شخصیت های خاص، اما این یکی هم خوب است. بهترین چیز در مورد آن این است که به راحتی قابل یادآوری است.

رمزهای عبور قوی و محافظت از آنها در برابر نفوذگران اساس امنیت اینترنت است. نسخه جدیدبه شما کمک می کند تا رمزهای عبور قوی ایجاد کنید و از آنها با یک رمز عبور اصلی محافظت می کند. حتی اگر دستگاه به دست افراد اشتباهی بیفتد، اطلاعات شما ایمن خواهند بود.

ویژگی های جدید

استفاده از رمزهای عبور منحصر به فرد در سایت های مختلف بسیار مهم است. اگر مهاجمان یک رمز عبور را بدزدند، تنها به یک سایت دسترسی خواهند داشت. اما ایجاد و به خاطر سپردن ده ها رمز عبور دشوار است و نوشتن آنها روی کاغذ خطرناک است. اکنون Yandex.Browser این مشکل را حل می کند. او یک رمز عبور منحصر به فرد ایجاد می کند، آن را ایمن ذخیره می کند و به شما پیشنهاد می دهد دفعه بعد که وارد سایت می شوید از آن استفاده کنید.

رمزهای عبور ذخیره شده در منوی مرورگر، در بخش جدید «Password Manager» در دسترس هستند. آنها را می توان ویرایش، مرتب کرد و حاشیه نویسی کرد تا بتوانید به راحتی آنچه را که نیاز دارید پیدا کنید. و اگر فراموش نکنید که همگام سازی را روشن کنید، رمزهای عبور شما در همه دستگاه های شما با Yandex.Browser در دسترس خواهد بود.

ایمنی

مدیر رمز عبور جدید نه تنها راحت تر، بلکه ایمن تر است. اکنون می توانید با رمز عبور اصلی از رمزهای عبور خود در برابر چشمان کنجکاو محافظت کنید. این در جایی ذخیره نمی شود، بنابراین هیچ کس جز شما نمی تواند رمزهای عبور ذخیره شده را رمزگشایی کند. حتی اگر یک مهاجم رمز عبور Yandex شما را پیدا کند یا تلفن شما را بدزدد، نمی تواند به رمزهای عبور شما دسترسی پیدا کند. روشن دستگاه های تلفن همراهبه جای رمز عبور اصلی، می توانید از اثر انگشت، پین کد یا اشاره استفاده کنید.

اگر به طور تصادفی رمز عبور اصلی خود را فراموش کردید، وجود دارد راه امنآن را بدون از دست دادن اطلاعات بازنشانی کنید. مرورگر Yandex ایجاد یک کلید یدکی را ارائه می دهد. در مرورگر ذخیره می شود، اما رمزگذاری شده است. برای بازنشانی رمز عبور اصلی، به این کلید، رمز عبور Yandex و دستگاهی که رمز اصلی آن حداقل یک بار وارد شده است، نیاز دارید. به عبارت ساده، فقط شما می توانید این کار را انجام دهید، بنابراین امنیت رمزهای عبور شما به خطر نمی افتد.

مدیر رمز عبور جدید در حال حاضر در Yandex.Browser برای رایانه‌ها و دستگاه‌های موجود در دسترس است مبتنی بر اندرویدو iOS همگام سازی را روشن کنید و رمزهای عبور خود را در هر دستگاهی ایمن نگه دارید.

الکساندر شیخوف، 2018/09/27 (2018/10/17)

با اعتماد به رمزهای عبور وب سایت به Yandex.Browser، زندگی را آسان تر می کنیم. هنگامی که همگام سازی را فعال کردید، فیلدهای مخفی به طور خودکار در همه دستگاه ها (کامپیوتر، لپ تاپ، تلفن) پر می شوند. در عین حال نقطه ضعفی در چنین سیستمی وجود دارد. هرکسی که Yandex.Browser را پس از شما در رایانه راه اندازی کند، به طور خودکار به رمزهای عبور ذخیره شده دسترسی پیدا می کند. چگونه می توان از این امر جلوگیری کرد در مقاله ما است.

رمز عبور اصلی در مرورگر Yandex چیست؟

رمز عبور اصلی اساسا کلید پایگاه داده شخصی شما است. برای حذف امکان پر کردن خودکار فیلدهای ورود و رمز عبور در سایت های موجود، لازم است شبکه های اجتماعیو خدمات پستی حتی اگر مرورگر خود را باز بگذارید، مهاجم نمی تواند از آن استفاده کند. یک برنامه خارجی نمی تواند پایگاه داده کلید را بخواند، زیرا رمزگذاری شده است.

اگر چندین کاربر از یک کامپیوتر استفاده کنند، رمز عبور اصلی به اطمینان از امنیت کمک می کند. مرورگر به شما اجازه می دهد تا به سرعت بین پروفایل های مختلف جابجا شوید. رمز عبور حساب درخواستی نیست.

نحوه تنظیم رمز عبور اصلی

منوی تنظیمات (دکمه با سه نوار افقی در گوشه سمت راست پنجره مرورگر) را باز کنید. بخش Password Manager را انتخاب کنید.

در منوی ظاهر شده، روی تنظیمات، ایجاد رمز عبور اصلی کلیک کنید.

ممکن است از شما خواسته شود رمز عبور حساب خود را وارد کنید ورودی های ویندوز، که تحت آن وارد رایانه شخصی خود شده اید. این به حذف وضعیت فعال سازی تصادفی حالت توسط کاربر دیگری که به نام شما وارد مرورگر شده است کمک می کند. ، که به راحتی قابل یادآوری است، در یکی از مقالات ما توضیح داده شده است.

اگر مطمئن نیستید به یاد خواهید آورد کلمه رمزبه طور دائم، گزینه Enable reset را انتخاب کنید. به این ترتیب همیشه می توانید در صورت لزوم آن را غیرفعال یا تغییر دهید.

پس از فعال کردن حالت Master Password، در تمام دستگاه هایی که از همگام سازی مرورگر Yandex استفاده می کنید شروع به کار می کند. هنگامی که سعی می کنید از پر کردن خودکار فیلدهای مخفی استفاده کنید، درخواست زیر ظاهر می شود.

شما شدت سیاست امنیتی و تعداد درخواست ها را در تنظیمات تعیین می کنید.

شایان ذکر است که هنگام استفاده از مرورگر در رایانه شخص دیگری بهترین راهبرای اطمینان از امنیت داده ها، فقط می توانید از حساب خود خارج شوید.

به اندازه کافی عجیب، تنها 1٪ از کاربران مرورگر از پسوندهای تخصصی برای ذخیره رمز عبور استفاده می کنند (LastPass، KeePass، 1Password، ...). امنیت رمز عبور سایر کاربران به مرورگر بستگی دارد. امروز به خوانندگان Habrahabr خواهیم گفت که چرا تیم ما معماری محافظت از رمز عبور را از پروژه Chromium کنار گذاشت و چگونه مدیر رمز عبور خود را توسعه دادیم که در حال حاضر در نسخه بتا آزمایش می شود. همچنین خواهید آموخت که چگونه مشکل بازنشانی رمز عبور اصلی را بدون رمزگشایی خود رمزهای عبور حل کردیم.

از نظر امنیتی، استفاده از رمز عبور منحصر به فرد در هر سایت توصیه می شود. اگر مهاجمان یک رمز عبور را بدزدند، تنها به یک سایت دسترسی خواهند داشت. مشکل این است که ده ها را به خاطر بسپارید رمزهای عبور قویبسیار دشوار است برخی از افراد صادقانه رمزهای عبور جدیدی می آورند و آنها را با دست در یک دفترچه یادداشت می نویسند (و سپس آنها را همراه با آن گم می کنند)، برخی دیگر از رمز عبور یکسان در همه سایت ها استفاده می کنند. سخت است بگوییم کدام یک از این گزینه ها بدتر است. مدیر رمز عبور درون مرورگر ممکن است راه حلی برای میلیون ها کاربر معمولی باشد، اما اثربخشی آن بستگی به میزان ساده و ایمن بودن آن دارد. و در این موارد راه حل قبلی دارای خلأهایی بود که در ادامه به آن می پردازیم.

چرا یک مدیر رمز عبور جدید ایجاد می کنیم؟

در اجرای فعلی مدیریت رمز عبور برای ویندوز، که از Chromium به ارث رسیده است، رمزهای عبور ذخیره شده توسط مرورگر به سادگی محافظت می شوند. آنها با استفاده از سیستم عامل رمزگذاری می شوند (به عنوان مثال، در ویندوز 7 از تابع CryptProtectData بر اساس الگوریتم AES استفاده می شود)، اما در یک منطقه ایزوله ذخیره نمی شوند، بلکه فقط در پوشه پروفایل ذخیره می شوند. به نظر می رسد که این مشکلی نیست، زیرا داده ها رمزگذاری شده اند، اما کلید رمزگشایی نیز در سیستم عامل. هر برنامه ای در رایانه می تواند به پوشه نمایه مرورگر برود، کلید را بگیرد، رمزهای عبور را به صورت محلی رمزگشایی کند، آنها را به یک سرور شخص ثالث ارسال کند و هیچ کس متوجه آن نشود.

و بسیاری از کاربران مایلند از ورود یک فرد تصادفی که آموزش خاصی ندارد، اما دسترسی کوتاه مدت به مرورگر دارد (به عنوان مثال، یکی از بستگان یا همکارهای کاری)، از ورود به سایت های مهم با استفاده از رمزهای عبور ذخیره شده جلوگیری کنند. .

هر دوی این مشکلات با استفاده از رمز عبور اصلی حل می شوند که از داده ها محافظت می کند، اما در جایی ذخیره نمی شود. و این اولین نیاز ما برای معماری جدید برای ذخیره رمزهای عبور در Yandex.Browser شد. اما نه تنها.

مهم نیست که یک مدیر رمز عبور جدید چقدر ایمن باشد، محبوبیت آن بستگی به سهولت استفاده از آن دارد. به شما یادآوری می کنیم که همان 1Password، KeePass و LastPass، حتی در مجموع، توسط بیش از درصدی از کاربران استفاده نمی شود (اگرچه ما LastPass را در کاتالوگ افزودنی داخلی خود ارائه می دهیم). یا مثال دیگری. به این صورت است که در پیاده سازی قدیمی مرورگر برای ذخیره رمز عبور پیشنهاد می کند:

کاربران باتجربه یا موافقت می کنند، رد می کنند، یا کاری در مورد این اعلان انجام می دهند. اما در 80٪ موارد به سادگی متوجه نمی شود. بسیاری از کاربران حتی نمی دانند که می توانید رمزهای عبور را در مرورگر خود ذخیره کنید.

در مورد عملکرد نیز باید چیزی بگوییم. امروزه حتی دسترسی به لیست رمزهای عبور شما چندان آسان نیست. شما باید منو را باز کنید، روی تنظیمات کلیک کنید، به تنظیمات اضافی، دکمه مدیریت رمز عبور را در آنجا پیدا کنید. و تنها در این صورت است که یک شخص به فهرست ابتدایی حساب‌هایی دسترسی خواهد داشت که نمی‌توان آنها را بر اساس ورود مرتب کرد، نمی‌توان آنها را با یادداشت متنی اضافه کرد و نمی‌توان آنها را ویرایش کرد. علاوه بر این، یک مدیر رمز عبور باید به شما کمک کند تا رمزهای عبور جدید پیدا کنید.

و یه چیز دیگه برای ما مهم بود که معماری جدید با اصل کرخوف مطابقت داشته باشد، یعنی اینکه قابلیت اطمینان آن به دانش مهاجمان از الگوریتم های مورد استفاده بستگی نداشته باشد. سیستم رمزنگاری باید ایمن بماند حتی اگر آنها همه چیز را به جز کلیدهای استفاده شده بدانند.

چرا راه حل آماده نگرفتیم؟

محصولات با باز وجود دارد کد منبع، که از رمز عبور اصلی و عملکرد پیشرفته پشتیبانی می کنند. آنها می توانند در مرورگر ادغام شوند، اما به دلایلی برای ما مناسب نیستند.

KeePass ابتدا به ذهن می رسد. اما فضای ذخیره سازی آن کاملاً رمزگذاری شده است و در مرورگر ما همگام سازی خط به خط کار می کند. این بدان معنی است که شما باید در هر همگام سازی رمز عبور اصلی را بخواهید یا سوابق را جداگانه رمزگذاری کنید. گزینه دوم با کاربران مهربان تر است. علاوه بر این، برای یک محصول انبوه، مهم است که کاربر از توانایی جایگزینی رمز عبور ذخیره شده قبل از باز کردن قفل پایگاه داده با رمز عبور اصلی مطلع باشد، بنابراین برخی از اطلاعات باید رمزگذاری نشده باقی بمانند.

افزونه های تخصصی کار با پسوردها این قابلیت را دارند که در صورتی که کاربر رمز عبور اصلی را فراموش کرده باشد، آن را بازنشانی کنند. اما برای این کار باید دانلود کنید، پنهان کنید و از دست ندهید کد پشتیبانیا فایل. وقتی صحبت از کاربران پیشرفته می شود خوب است، اما برای بقیه سخت است. بنابراین ما نیاز به ارائه راه حل جایگزین داشتیم. اسپویلر: در پایان، ما موفق شدیم راه حلی پیدا کنیم که در آن رمز عبور اصلی قابل تنظیم مجدد باشد، اما حتی Yandex نیز قادر به دسترسی به پایگاه داده نخواهد بود. اما در مورد آن کمی بعد بیشتر می شود.

و در هر صورت، هر راه حل شخص ثالثی باید به طور جدی اصلاح شود تا به صورت بومی در مرورگر ادغام شود (بازنویسی شده در C++ و جاوا) و آن را به اندازه کافی برای کاربران ساده کند (به طور کامل جایگزین کل رابط). اگرچه ممکن است تعجب آور به نظر برسد، نوشتن یک معماری جدید برای ذخیره و رمزگذاری رمزهای عبور آسان تر از انجام هر کار دیگری است. بنابراین، منطقی تر است که سعی نکنید دو محصول ناسازگار اولیه را در یک محصول ترکیب کنید، بلکه محصول خود را اصلاح کنید.

معماری جدید با استفاده از رمز عبور اصلی

هیچ چیز غیرعادی در مورد ذخیره خود سوابق وجود ندارد. ما از الگوریتم قابل اعتماد و سریع AES-256-GCM برای رمزگذاری رمزهای عبور و یادداشت ها استفاده می کنیم. طرح ذخیره سازی در همان 1Password به روشی مشابه مرتب شده است.

جالب ترین چیز محافظت از encKey 256 بیتی است که برای رمزگشایی رمزهای عبور ضروری است. این یک نکته کلیدی در امنیت رمز عبور است. اگر مهاجم این کلید را پیدا کند، بدون در نظر گرفتن پیچیدگی الگوریتم رمزگذاری، می تواند به راحتی کل فضای ذخیره سازی را هک کند. بنابراین، حفاظت از کلید بر اساس اصول اساسی زیر است:

- دسترسی به کلید رمزگذاری توسط رمز عبور اصلی مسدود شده است که در هیچ کجا ذخیره نمی شود.
– کلید رمزگذاری نباید از نظر ریاضی با رمز عبور اصلی مرتبط باشد.

در خدمات سادهو برنامه های کاربردی، کلید رمزگذاری با هش کردن رمز عبور اصلی به دست می آید تا حداقل سرعت حمله brute force را کاهش دهد. اما وابستگی ریاضی کلید به رمز عبور اصلی همچنان هک را ساده می کند که سرعت آن در این مورد فقط به قابلیت اطمینان هش بستگی دارد. استفاده از مزارع ساخته شده از پردازنده های ASIC که برای هک طراحی شده اند دیگر غیر معمول نیست. بنابراین، در مورد ما، کلید encKey از رمز عبور اصلی مشتق نشده و به صورت تصادفی تولید می شود.

سپس، کلید encKey با استفاده از الگوریتم نامتقارن RSA-OAEP رمزگذاری می شود. برای انجام این کار، مرورگر یک جفت کلید ایجاد می کند: یک pubKey عمومی و یک privKey خصوصی. encKey با استفاده از یک کلید عمومی محافظت می شود و تنها با استفاده از یک کلید خصوصی می توان آن را رمزگشایی کرد.

کلید عمومی pubKey نیازی به محافظت ندارد، زیرا برای رمزگشایی مناسب نیست، اما داستان با privKey خصوصی متفاوت است. برای محافظت از آن در برابر سرقت، دسترسی به آن طبق استاندارد PKCS#8 با استفاده از عبارت عبور unlockKey مسدود می شود که به نوبه خود نتیجه هش کردن رمز عبور اصلی با استفاده از عملکرد PBKDF2-HMAC-SHA256 (100 هزار تکرار، افزودن نمک و نمک) است. شناسه طاق). اگر رمز عبور اصلی به طور تصادفی با رمز عبور از قبل دزدیده شده از یک وب سایت مطابقت داشته باشد، افزودن نمک این واقعیت را پنهان می کند و شکستن آن را سخت تر می کند. و به لطف هش مکرر یک رمز عبور اصلی به اندازه کافی طولانی، پیچیدگی شکستن unlockKey با شکستن کلید encKey قابل مقایسه است.

رمزهای عبور رمزگذاری شده، کلید رمزگذاری شده آنها، کلید رمزگذاری شده، privKey کلید خصوصی رمزگذاری شده و کلید عمومی pubKey در نمایه مرورگر ذخیره می شود و با سایر دستگاه های کاربر همگام می شود.

برای سهولت درک همه این موارد، در اینجا یک طرح رمزگشایی رمز عبور وجود دارد:

این معماری با استفاده از رمز عبور اصلی تعدادی مزیت دارد:

- کلید رمزگذاری ذخیره سازی 256 بیتی به صورت تصادفی تولید می شود و در مقایسه با رمزهای عبور تولید شده توسط انسان از قدرت رمزنگاری بالایی برخوردار است.
- هنگام اعمال brute-force رمز عبور اصلی، مهاجم نتیجه را نمی داند مگر اینکه از کل زنجیره عبور کند (password-PBKDF2-RSA-AES). این بسیار طولانی و بسیار گران است.
- اگر عملکرد هش به خطر بیفتد، می توانیم به آن سوئیچ کنیم گزینه جایگزینهش کردن با حفظ سازگاری به عقب.
- اگر مهاجم رمز عبور اصلی را پیدا کند، می توان آن را بدون رویه پیچیده و مخاطره آمیز رمزگشایی کل فضای ذخیره سازی تغییر داد، زیرا کلید رمزگذاری داده ها با رمز عبور اصلی مرتبط نیست و بنابراین به خطر نمی افتد.
- کلید رمزگذاری به صورت رمزگذاری شده ذخیره می شود. نه Yandex و نه مهاجمی که رمز عبور Yandex را دزدیده است نمی توانند به رمزهای عبور همگام شده دسترسی داشته باشند، زیرا این به یک رمز عبور اصلی نیاز دارد که در هیچ کجا ذخیره نمی شود.

اما گزینه رمز عبور اصلی یک "معایب" دارد: کاربر ممکن است رمز عبور اصلی را فراموش کند. وقتی صحبت از راه حل های تخصصی مورد استفاده توسط کاربران با تجربه که به خوبی از خطرات آن آگاه هستند، طبیعی است. اما در محصولی با مخاطب چند میلیون دلاری، این غیرقابل قبول است. اگر گزینه پشتیبان ارائه نکنیم، بسیاری از کاربران Yandex.Browser یا از استفاده از رمز عبور اصلی خودداری می کنند، یا یک روز تمام رمزهای عبور خود را از دست می دهند، و مرورگر در این مورد مقصر خواهد بود (شما متعجب خواهید شد، اما این Yandex است که اغلب در شرایطی که فرد رمز عبور حساب خود را فراموش کرده است، آخرین راه حل است. و ارائه راه حل چندان آسان نیست.

چگونه رمز اصلی را بدون فاش کردن رمزهای عبور بازنشانی کنیم؟

برخی از محصولات این مشکل را با ذخیره داده های رمزگشایی شده (یا حتی رمز اصلی) در فضای ابری حل می کنند. این گزینه برای ما مناسب نبود، زیرا یک مهاجم می تواند رمز عبور Yandex و به همراه آن رمز عبور همه سایت ها را بدزدد. بنابراین، ما باید راهی برای بازگرداندن دسترسی به ذخیره سازی رمز عبور ارائه می کردیم که در آن هیچ کس به جز خود کاربر نتواند این کار را انجام دهد. مدیران رمز عبور شخص ثالث ایجاد را پیشنهاد می کنند فایل پشتیبان، که کاربر باید به طور مستقل در مکانی امن ذخیره کند. تصمیم خوبیه، اما کاربران معمولیچنین کلیدهای پشتیبان به طور اجتناب ناپذیری از بین می روند، بنابراین با ما همه چیز بسیار ساده تر است.

بیایید یک بار دیگر زنجیره وابستگی کلید را به یاد بیاوریم. ذخیره سازی رمز عبور با استفاده از یک EncKey تصادفی رمزگذاری می شود که به صراحت در هیچ کجا ذخیره نمی شود. این کلید با استفاده از کلید خصوصی privKey محافظت می شود، که همچنین به طور صریح ذخیره نمی شود و به نوبه خود با استفاده از هش پیچیده رمز عبور اصلی محافظت می شود. هنگامی که شخصی رمز عبور اصلی را فراموش می کند، عملاً از توانایی رمزگشایی privKey محروم می شود. این بدان معنی است که شما می توانید یک privKey تکراری را به عنوان یک نسخه پشتیبان ذخیره کنید. اما کجا؟ و چگونه از آن محافظت کنیم؟

اگر privKey رمزگشایی شده را در فضای ابری قرار دهید، امنیت رمزهای عبور به حساب Yandex شما بستگی دارد. و این دقیقاً همان چیزی است که ما نمی‌خواستیم اجازه دهیم. اگر آن را به طور صریح به صورت محلی ذخیره کنید، تمام محافظت با رمز عبور اصلی معنای خود را از دست می دهد. جایی وجود ندارد که بتوانید با خیال راحت این کلید را به شکل صریح ذخیره کنید. این بدان معنی است که باید رمزگذاری شود. برای انجام این کار، مرورگر یک کلید 256 بیتی تصادفی ایجاد می کند که از privKey تکراری محافظت می کند. حالا قسمت سرگرم کننده فرا می رسد. این کلید تصادفی برای ذخیره سازی به ابر Yandex.Passport ارسال می شود. و نسخه تکراری رمزگذاری شده در نمایه مرورگر محلی ذخیره می شود. معلوم می شود که نه در ابر و نه در رایانه یک جفت آماده برای رمزگشایی رمزهای عبور وجود ندارد و امنیت آسیب نمی بیند.

با این گزینه، تنها در جایی که یک privKey تکراری ایجاد شده باشد، می توان رمز عبور اصلی را بازنشانی کرد. ما می خواستیم این ویژگی را به دستگاه های همگام شده اضافه کنیم. ایجاد دستی یک کلید پشتیبان در هر دستگاه ناخوشایند است: ممکن است به طور تصادفی به دستگاهی برسید که فراموش کرده اید یک نسخه تکراری ایجاد کنید. شما نمی توانید یک نسخه تکراری رمزگذاری شده را با استفاده از همگام سازی به دستگاه های دیگر ارسال کنید: کلید آن قبلاً در ابر ذخیره شده است و به دلایل امنیتی نمی توان آنها را در یک مکان پیدا کرد. بنابراین، privKey تکراری رمزگذاری شده از لایه دیگری از رمزگذاری عبور می کند. این بار با استفاده از هش رمز عبور اصلی. رمز عبور اصلی در ابر ذخیره نمی شود، بنابراین "matryoshka" حاصل می تواند با خیال راحت همگام شود. در دستگاه های دیگر، اولین باری که رمز اصلی خود را وارد می کنید، لایه اضافی رمزگذاری حذف می شود.

در نتیجه، زمانی که کاربر رمز اصلی را فراموش می کند، فقط باید از طریق مرورگر درخواست بازنشانی رمز عبور و تایید هویت خود را با استفاده از رمز عبور Yandex کند.

مرورگر یک کلید از Yandex.Passport درخواست می‌کند، از آن برای رمزگشایی کلید تکراری privKey استفاده می‌کند، از آن برای رمزگشایی کلید ذخیره‌سازی encKey استفاده می‌کند و سپس یک جفت pubKey و privKey جدید ایجاد می‌کند که دومی توسط آن محافظت می‌شود. رمز عبور اصلی جدید ذخیره سازی رمز عبور رمزگشایی نمی شود، که خطر از دست رفتن داده ها را کاهش می دهد. به هر حال، شما همچنین می توانید به زور encKey را تغییر دهید و داده ها را دوباره رمزگذاری کنید: فقط رمز عبور اصلی را در تنظیمات غیرفعال و دوباره فعال کنید.

به نظر می رسد که فقط خود کاربر می تواند رمز عبور اصلی و فقط در آن دستگاه، جایی که حداقل یک بار آن را معرفی کرد. البته در صورت اطمینان کاربر نیازی به ایجاد کلید پشتیبان نیست. شما حتی نیازی به استفاده از رمز عبور اصلی ندارید، اگرچه توصیه نمی کنیم آن را رها کنید.

معماری جدید و رمز عبور اصلی تنها تغییرات مدیر جدید نیستند. همانطور که در بالا گفتیم، سهولت استفاده و ویژگی های پیشرفته از اهمیت کمتری برخوردار نیستند.

مدیر رمز عبور جدید

اول از همه، نوار خاکستری محتاطانه ای را که از شما می خواهد رمز عبور خود را ذخیره کنید حذف کرده ایم. اکنون کاربر در کنار فیلد رمز عبور یک اعلان می بیند. متوجه نشدن این موضوع سخت است.

و اکنون نیازی به جستجوی خود مدیر در تنظیمات ندارید: دکمه در منوی اصلی موجود است. لیست حساب های ذخیره شده اکنون از مرتب سازی بر اساس ورود، آدرس و یادداشت پشتیبانی می کند. ما همچنین ویرایش پست را اضافه کرده ایم.

نکته: یادداشت ها جایگزین خوبی برای برچسب ها هستند زیرا قابل جستجو هستند.

و اکنون مرورگر به شما کمک می کند تا رمزهای عبور منحصر به فرد ایجاد کنید.

در اولین نسخه بتا، ما موفق به انجام همه کارها نشدیم. در آینده، از صادرات و وارد کردن گذرواژه‌ها برای سازگاری با راه‌حل‌های محبوب شخص ثالث پشتیبانی خواهیم کرد. ما همچنین ایده ای برای اضافه کردن تنظیمات به تولید کننده رمز عبور داریم.

مدیر پسورد موبایل

البته، منطق جدید و پشتیبانی از رمز عبور اصلی نه تنها در رایانه، بلکه در نسخه های مرورگر Yandex برای اندروید و iOS نیز ظاهر می شود. با کمی تطبیق. به عنوان مثال، شما می توانید نه تنها از رمز عبور اصلی، بلکه از اثر انگشت نیز استفاده کنید. ما همچنین گرفتن اسکرین شات از صفحه را با لیستی از رمزهای عبور به صورت برنامه ریزی شده ممنوع کردیم - لازم نیست از برنامه های مخرب بترسید.

امروز می توانید مدیریت رمز عبور جدید را امتحان کنید

یک قانون کلیدی امنیت اینترنت ایجاد رمزهای عبور مختلف برای حساب های مختلف است. در این حالت، حتی اگر یک رمز عبور را یاد بگیرند، مهاجمان نمی توانند به پروفایل ها و سایت های دیگر دسترسی پیدا کنند. به خاطر سپردن ده ها رمز عبور دشوار است و اعتماد به آنها به کاغذ سنتی خطرناک است. بنابراین، توانایی تولید، محافظت و ویرایش رمزهای عبور مستقیماً در مرورگر با استفاده از مدیر رمز عبور مرورگر Yandex یک موهبت واقعی برای افراد فعال اجتماعی است.

چیست و برای چیست؟

مدیر رمز عبور عملکردی است که در مرورگر اینترنت تعبیه شده است که به شما امکان می دهد رمز عبور و ورود به سایت هایی که اغلب بازدید می کنید ذخیره کنید. در عین حال، اطلاعات ورود به سیستم شخصی به طور قابل اعتمادی از هک شدن توسط متجاوزان یا در اختیار داشتن تصادفی توسط اشخاص ثالث محافظت می شود. گزینه های ویژه به شما امکان می دهد اطلاعات ذخیره شده را مدیریت کرده و در صورت لزوم آن را ویرایش کنید.

ویژگی‌های اضافی افزونه به‌طور خودکار از کاربر می‌خواهد پسوردی را که یک بار وارد شده در مدیر ذخیره کند. فرم تنها پس از تایید این گزینه توسط مالک حساب ذخیره می شود. وقتی همگام‌سازی حساب فعال باشد، داده‌های مدیر در هر دستگاهی در دسترس است.

در کجا قرار دارد و چگونه آن را در مرورگر Yandex بر روی رایانه نصب کنید

1. مدیر ذخیره سازی رمز عبور در منوی اصلی مرورگر موجود است: فقط روی نمادی که سه نوار را نشان می دهد کلیک کنید و بخش مناسب را از لیست کشویی انتخاب کنید.

   برای رفتن به مدیر رمز عبور، باید مورد مناسب را در منوی مرورگر انتخاب کنید

کاربر برای ورود به سیستم باید یک رمز عبور اصلی ایجاد کند

یک اقدام اضافی ایجاد یک رمز عبور پشتیبان است: در صورتی که رمز اصلی فراموش شود.

روند راه اندازی و سپس استفاده از این افزونه مفید ساده است:

1. هنگامی که برای اولین بار وارد سایتی می شوید که کاربر قبلاً در آن ثبت نام کرده است، سیستم از شما می خواهد رمز عبوری که وارد کرده اید را ذخیره کنید. هنگام ثبت نام در یک وب سایت جدید Yandex، باید رمز عبوری را که به طور خودکار توسط سیستم ایجاد می شود وارد کنید و آن را به خاطر بسپارید.
2. هنگامی که بخش "Password Manager" را در منوی اصلی انتخاب می کنید، لیستی از همه ورودهای ذخیره شده با اطلاعات مختصری درباره آنها - وب سایت و یادداشت باز می شود.

   اسکرول کنید حساب هاموجود در پسورد منیجر

3. با کلیک بر روی هر یک از آنها یک پنجره ویرایش باز می شود که در آن می توانید رمز عبور را تغییر دهید یا یک یادداشت تنظیم کنید.

   برای تغییر داده ها، باید روی حساب کلیک کنید

اتصال مدیر رمز عبور در نسخه موبایل مرورگر Yandex

در نسخه موبایلروش اتصال مشابه نسخه دسکتاپ است:

1. در منوی اصلی، "Password Manager" را انتخاب کنید.

   انتخاب مدیر رمز عبور در منوی مرورگر تلفن همراه موجود است

2. وقتی برای اولین بار شروع به کار کردید، یک رمز عبور اصلی ایجاد کنید یا گزینه امنیتی دیگری را انتخاب کنید - اسکنر اثر انگشت یا کد پین.

   اگر مطمئن نیستید که رمز عبور اصلی را به خاطر بسپارید، گزینه تنظیم مجدد آن را فعال کنید

   یکی از روش های باز کردن قفل در سیستم را انتخاب کنید

3. هنگام ورود به حساب کاربری خود، رمز عبور قدیمی را ذخیره کنید یا رمز جدید ایجاد شده توسط سیستم را بپذیرید.

   هنگام ورود می توانید از رمز عبور قدیمی خود استفاده کنید یا از رمز پیشنهادی سیستم استفاده کنید

آیا امکان بازیابی رمز اصلی در صورت فراموشی وجود دارد؟

برای محافظت از اطلاعات ذخیره شده در یک مدیر رمز عبور در تلفن های هوشمند و تبلت ها، استفاده کنید کلید گرافیکییا یک اسکنر اثر انگشت، و برای نسخه دسکتاپ - یک رمز عبور اصلی. این یکی از الگوریتم های اضافی برای محافظت از داده های کاربر است.

اگر اتفاق می افتد که کاربر رمز عبور اصلی را گم کرده و آن را به خاطر نمی آورد، می توانید از رمز عبور پشتیبان برای بازیابی آن استفاده کنید. این امر با چند شرط امکان پذیر است:

• رمز عبور پشتیبان همزمان با رمز عبور اصلی ایجاد شد.
• کاربر کلید حساب Yandex خود را به خاطر می آورد.
• تلاش برای بازنشانی رمز عبور اصلی در دستگاهی انجام می شود که قبلاً حداقل یک بار با موفقیت وارد شده است.

نحوه غیرفعال کردن

هنگامی که از خدمات شخص ثالث برای ذخیره کلیدهای امنیتی استفاده می کنید یا اگر نمی خواهید داده های دسترسی یک سایت خاص را ذخیره کنید (به عنوان مثال، به دوستی اجازه داده اید از دستگاه شما وارد حساب خود شود)، پسوند ذخیره سازی رمز عبور را می توان غیرفعال کرد. برای انجام این کار باید الگوریتم زیر را انجام دهید:

1. مورد مربوطه را در منوی اصلی باز کنید.
2. رمز اصلی را وارد کنید.
3. بخش "تنظیمات" را باز کنید.
4. گزینه Turn off password manager را فعال کنید.

بنابراین، یک مدیر رمز عبور به شما امکان می دهد یکی از شرایط اصلی امنیت اینترنت را رعایت کنید: ذخیره ورود و رمزهای عبور مختلف برای حساب ها در مکانی غیرقابل دسترس برای اشخاص ثالث. با این حال، شایان ذکر است که عملکرد مشابه در سایر مرورگرها، به عنوان مثال، در Opera موجود است، یا هنگام استفاده از خدماتی مانند RoboForm، KeePass و موارد دیگر اجرا می شود.