Мастер пароль что это
Шифрование c мастер-паролем
Принципы защиты ключа шифрования
Защита ключа шифрования — главное условие безопасности паролей. Если злоумышленник узнает этот ключ, то легко взломает всю базу паролей независимо от того, насколько сложный алгоритм шифрования используется. Поэтому защита ключа EncKey основана на следующих принципах:
Преимущества шифрования с мастер-паролем
Использование шифрования с мастер-паролем дает пользователю следующие преимущества:
Процедура шифрования с мастер-паролем
Шифрование ключа и хранилища
Зашифрованный открытым ключом :
Зашифрованный с помощью UnlockKey ключ :
Сохранение пароля от сайта
Чтобы сохранить пароль в базу данных:\n
Расшифровка пароля
Ключ EncKey расшифровывается, когда пользователю нужно:
Чтобы получить доступ к хранилищу паролей:\n
При заполнении формы авторизации браузер расшифровывает\nпароль и вставляет его в форму, после ее отправки расшифрованный пароль удаляется из памяти компьютера.
Смена мастер-пароля
Создание запасного ключа шифрования
Пользователь может забыть мастер-пароль. Для такого случая нужен способ восстановить доступ к хранилищу паролей — но такой, чтобы никто, кроме самого пользователя, не мог этого сделать.
Запасной ключ шифрования RecoveryPrivKey — это и есть копия закрытого ключа. Некоторые системы защиты паролей предлагают пользователю хранить запасной ключ шифрования (или QR-код) в распечатанном виде. Мы считаем этот способ недостаточно безопасным, ведь распечатку можно украсть или потерять.
Мы предлагаем хранить запасной ключ на устройстве в зашифрованном виде, а ключ для его расшифровки RecoveryUnlockKey — отдельно от запасного ключа на сервере Яндекса. При этом, чтобы получить ключ с сервера, пользователю надо будет подтвердить свою личность, введя по памяти пароль от своего Яндекс ID.
Этапы создания запасного ключа
Исходный закрытый ключ PrivKey :
Запасной ключ шифрования RecoveryUnlockKey :
Сброс забытого мастер-пароля
Синхронизация паролей
Синхронизация хранилища паролей
При синхронизации хранилища, закрытая часть которого защищена мастер-паролем, на сервер отправляются:
В процессе передачи с устройства на сервера Яндекса и обратно ваши данные остаются в безопасности за счет следующих факторов:
Таким образом, на серверах Яндекса хранятся в открытом виде адреса сайтов и логины пользователя на этих сайтах, но пароли, примечания и ключ шифрования EncKey хранятся в зашифрованном виде. При этом на сервера Яндекса не загружается информация, необходимая для их расшифровки.
Синхронизация запасного ключа
Запасной ключ шифрования RecoveryPrivKey создается на устройстве и хранится на нем в зашифрованном виде. Оставлять этот ключ только на устройстве, где он был создан, нельзя — пользователь может потерять устройство и не сможет восстановить доступ к паролям. Создавать запасной ключ на каждом устройстве вручную тоже не годится — можно случайно остаться с тем устройством на руках, на котором ключ создать забыли. Передавать ключ на другие устройства через синхронизацию небезопасно, так как пароль от ключа хранится на сервере Яндекса.
Таким образом пользователь может восстановить мастер-пароль с любого синхронизированного устройства, если он хотя бы раз после синхронизации вводил на нем мастер-пароль. При этом во время передаче по сети запасной ключ остается защищенным.
Этапы шифрования запасного ключа в процессе синхронизации
Protect: шифрование паролей
Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.
Шифрование паролей в браузере
Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.
Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.
Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.
Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:
Этот вариант защиты менее надежен, потому что:
Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Чтобы создать мастер-пароль:
Удалить мастер-пароль
После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.
Время до блокировки хранилища
Вы можете отрегулировать, через какое время браузер будет блокировать хранилище паролей и запрашивать мастер-пароль при попытке доступа к нему:
Если вы забыли мастер-пароль
Если вы не создали запасной ключ шифрования, восстановить доступ к паролям будет невозможно.
Жест, PIN-код, отпечаток пальца
Чтобы изменить способ разблокировки паролей:
Запасной ключ шифрования
Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.
Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.
В процессе восстановления доступа вы должны будете ввести пароль от вашего Яндекс ID. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от Яндекс ID, низка.
Если вы не нашли информацию в Справке или у вас возникает проблема в работе Яндекс.Браузера, опишите все свои действия по шагам. Если возможно, сделайте скриншот. Это поможет специалистам службы поддержки быстрее разобраться в ситуации.
Что такое мастер-пароль и как его правильно составить
Центр цифровой экспертизы Роскачества провел исследование наиболее популярных менеджеров паролей для платформ iOS и Android. Эти приложения позволяют сохранять в безопасности пользовательские пароли, персональные и платежные данные.
Всего Роскачество протестировало 24 приложения в российском сегменте магазинов App Store и Google Play (10 для iOS и 14 для Android). Полностью исследование можно прочитать ЗДЕСЬ.
Как придумать длинный пароль? Как создать надежный пароль, который легко запомнить? Для чего нужна программа для генерации паролей? Поможет ли приложении для генерации сложного пароля? На эти вопросы отвечают эксперты Центра цифровой экспертизы.
Содержание
Что такое мастер-пароль и зачем он нужен?
В числе 64 функциональных критериев, по которым проводился анализ приложений, одним из ключевых была работа генератора паролей.
Сгенерированные при помощи такой функции пароли – оптимальное решение проблемы слабых и повторяющихся на разных сайтах паролей. Сегодня такой генератор – это обязательный компонент практически каждого менеджера паролей.
Вместе с тем у каждой программы для генерации паролей есть уязвимое место – мастер-пароль, открывающий путь ко всем остальным. Его придется выучить наизусть.
Мастер-пароль – это такой «ключ» от сейфа, в котором лежат все ваши остальные пароли. Его необходимо запомнить для того, чтобы не пришлось держать в голове десятки или даже сотни других паролей, которые после ввода мастер-пароля можно будет подставлять автоматически. Соответственно, важно позаботиться о том, чтобы мастер-пароль был надежным и защищенным.
Каким должен быть надежный пароль?
Характеристики надежного пароля, который подойдет, чтобы стать мастер-паролем:
12 и более символов.
Содержит заглавные и строчные буквы с добавлением цифр и специальных символов (тире, вопросительный знак и пр.).
Не связан с вашими персональными данными, которые можно угадать или узнать в соцсетях (например, дата рождения – своя или родственников, телефон, фамилия или имя в разных интерпретациях и пр.).
Чем более длинный и сложный пароль вы выберете, тем меньше возможность его взломать методом автоматического перебора (брутфорс). Добавление каждого следующего уровня сложности (количество символов и их разнообразие) на порядки усложняет задачу хакеру. Генерация сложных паролей, которые длиннее 12 символов и в которых используются все четыре разных типа символов, делает взлом маловероятным.
Как создать надежный пароль который легко запомнить
Есть разные способы и мнемотехники, чтобы запомнить длинный сложный пароль. Например, такая: вспомните слова своей любимой песни, которые вы знаете наизусть, и запишите первые буквы одного из куплетов или припева. Замените буквы ударных слов на заглавные и добавьте несколько произвольных цифр. Создание мастер-пароля высокого уровня сложности закончено! Аналогичным образом можно поступить с любимыми стихами или цитатами.
Можно ли создать длинный пароль с помощью приложения?
В самих же генераторах есть возможность придумать длинный пароль. Например, в приложении RoboForm можно задать длину вплоть до 512 символов (такой пароль взломать перебором невозможно, для этого потребуется время, сопоставимое с целыми эпохами), в Bitwarden можно создать 120-символьный пароль. В Kaspersky, 1Password и Enpass длина составляет 99 символов, что также невероятно много.
В ходе исследования Роскачества по итогам анализа генераторов паролей почти все приложения получили максимальный балл.
Лучшими с точки зрения генерации сложных паролей были признаны RoboForm и Dashlane на iOS, на Android они также получили очень высокие оценки, но самый функциональный генератор на этой платформе по итогу у PasswordSafe. Полностью исследование можно прочитать ЗДЕСЬ.
Менеджер паролей
позволяет вам легко просматривать, изменять и удалять свои пароли в приложении Яндекс.
Просмотр пароля
Изменение пароля
Удаление паролей
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. Приложение будет запрашивать его, когда вы попытаетесь открыть хранилище паролей или подставить сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Удалить мастер-пароль
Время до блокировки хранилища
Вы можете отрегулировать, через какое время браузер будет блокировать хранилище паролей и запрашивать мастер-пароль при попытке доступа к нему:
Отключение менеджера паролей
Приложение перестанет сохранять пароли и подставлять их в формы авторизации. Ранее введенные пароли сохранятся на устройстве в зашифрованном виде и станут доступны, если вы снова включите менеджер паролей.
Для этого в настройках включите одноименную опцию.
Вы читаете справку приложения Яндекс для iOS. Если у вас устройство с Android — перейдите в справку для этой операционной системы.
Менеджер паролей
позволяет вам легко просматривать, изменять и удалять свои пароли в приложении Яндекс.
Просмотр пароля
Изменение пароля
Удаление паролей
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. Приложение будет запрашивать его, когда вы попытаетесь открыть хранилище паролей или подставить сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Удалить мастер-пароль
Время до блокировки хранилища
Вы можете отрегулировать, через какое время браузер будет блокировать хранилище паролей и запрашивать мастер-пароль при попытке доступа к нему:
Отключение менеджера паролей
Приложение перестанет сохранять пароли и подставлять их в формы авторизации. Ранее введенные пароли сохранятся на устройстве в зашифрованном виде и станут доступны, если вы снова включите менеджер паролей.
Для этого в настройках включите одноименную опцию.
Protect: шифрование паролей
Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.
Шифрование паролей в браузере
Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.
Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.
Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.
Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:
Этот вариант защиты менее надежен, потому что:
Если вы не задали мастер-пароль, то для доступа к паролям (просмотр, изменение) браузер будет запрашивать пароль от вашей учетной записи в операционной системе (при его наличии). Это относится к следующим действиям:
| Действие | Успешный ввод системного пароля | Неуспешный ввод системного пароля |
|---|---|---|
| Копирование пароля | Пароль копируется в буфер обмена | Пароль не копируется |
| Изменение пароля | Открывается окно редактирования пароля | Пароль остается без изменений |
| Создание мастер-пароля | Открывается окно создания мастер-пароля | Мастер-пароль не создается |
| Действие | Успешный ввод системного пароля | Неуспешный ввод системного пароля |
|---|---|---|
| Копирование пароля | Пароль копируется в буфер обмена | Пароль не копируется |
| Изменение пароля | Открывается окно редактирования пароля | Пароль остается без изменений |
| Создание мастер-пароля | Открывается окно создания мастер-пароля | Мастер-пароль не создается |
Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на компьютере, ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.
Изменить мастер-пароль
После этого зашифрованный с помощью мастер-пароля ключ шифруется заново и при ближайшей синхронизации передается на другие устройства. Мастер-пароль не сохраняется ни на компьютере, ни на сервере.
Удалить мастер-пароль
После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.
Частота запроса мастер-пароля
Браузер запрашивает мастер-пароль при сохранении новых паролей, автоматической подстановке паролей в формы авторизации, а также при попытках открыть хранилище паролей. Вы можете отрегулировать частоту запроса мастер-пароля браузером:
Если вы забыли мастер-пароль
Если вы забыли мастер-пароль и у вас есть запасной ключ шифрования:
Если вы забыли мастер-пароль и запасного ключа шифрования у вас нет, браузер не сможет восстановить ваши пароли. Он перестанет их подставлять в формы авторизации, и вы не сможете просмотреть их в менеджере. Вам останется только удалить все пароли вместе с ключом шифрования. При этом, если вы используете пароль для вашей учетной записи на компьютере, его надо будет ввести, чтобы подтвердить права на удаление паролей.
Запасной ключ шифрования
Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.
Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.
В процессе восстановления доступа вы должны будете ввести пароль от вашего Яндекс ID. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от Яндекс ID, низка.
Чтобы создать запасной ключ шифрования:
Браузер сообщит о том, что создан запасной ключ шифрования.
Protect: шифрование паролей
Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.
Шифрование паролей в браузере
Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.
Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.
Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.
Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:
Этот вариант защиты менее надежен, потому что:
Если вы не задали мастер-пароль, то для доступа к паролям (просмотр, изменение) браузер будет запрашивать пароль от вашей учетной записи в операционной системе (при его наличии). Это относится к следующим действиям:
| Действие | Успешный ввод системного пароля | Неуспешный ввод системного пароля |
|---|---|---|
| Копирование пароля | Пароль копируется в буфер обмена | Пароль не копируется |
| Изменение пароля | Открывается окно редактирования пароля | Пароль остается без изменений |
| Создание мастер-пароля | Открывается окно создания мастер-пароля | Мастер-пароль не создается |
| Действие | Успешный ввод системного пароля | Неуспешный ввод системного пароля |
|---|---|---|
| Копирование пароля | Пароль копируется в буфер обмена | Пароль не копируется |
| Изменение пароля | Открывается окно редактирования пароля | Пароль остается без изменений |
| Создание мастер-пароля | Открывается окно создания мастер-пароля | Мастер-пароль не создается |
Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на компьютере, ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.
Изменить мастер-пароль
После этого зашифрованный с помощью мастер-пароля ключ шифруется заново и при ближайшей синхронизации передается на другие устройства. Мастер-пароль не сохраняется ни на компьютере, ни на сервере.
Удалить мастер-пароль
После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.
Частота запроса мастер-пароля
Браузер запрашивает мастер-пароль при сохранении новых паролей, автоматической подстановке паролей в формы авторизации, а также при попытках открыть хранилище паролей. Вы можете отрегулировать частоту запроса мастер-пароля браузером:
Если вы забыли мастер-пароль
Если вы забыли мастер-пароль и у вас есть запасной ключ шифрования:
Если вы забыли мастер-пароль и запасного ключа шифрования у вас нет, браузер не сможет восстановить ваши пароли. Он перестанет их подставлять в формы авторизации, и вы не сможете просмотреть их в менеджере. Вам останется только удалить все пароли вместе с ключом шифрования. При этом, если вы используете пароль для вашей учетной записи на компьютере, его надо будет ввести, чтобы подтвердить права на удаление паролей.
Запасной ключ шифрования
Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.
Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.
В процессе восстановления доступа вы должны будете ввести пароль от вашего Яндекс ID. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от Яндекс ID, низка.