Ключевое правило интернет-безопасности призывает создавать к разным аккаунтам разные пароли. В этом случае, даже узнав один пароль, злоумышленники не смогут получить доступ к остальным профилям и сайтам. Помнить десятки паролей - сложно, а доверять их традиционной бумаге - опасно. Поэтому возможность генерировать, защищать и редактировать пароли прямо в браузере с помощью менеджера паролей Яндекс Браузера - настоящая находка для социально активных людей.

Что это и для чего нужно

Менеджер паролей представляет собой встроенную в интернет-обозреватель функцию, позволяющую хранить пароли и логины от наиболее часто посещаемых сайтов. При этом персональные данные для входа надёжно защищены от взлома злоумышленниками или случайного завладения третьими лицами. Специальные опции позволяют управлять сохранённой информацией и при необходимости её редактировать.

Дополнительные возможности расширения автоматически предлагают пользователю сохранить единожды введённый пароль в менеджере. Форма сохраняется только после подтверждения этой опции владельцем аккаунта. Данные из менеджера доступны на любом устройстве при включенной синхронизации учётной записи.

Где находится и как установить в Яндекс Браузере на компьютере

  1. Менеджер хранения паролей доступен в главном меню обозревателя: достаточно нажать на пиктограмму, изображающую три полоски, и выбрать в выпадающем перечне соответствующий раздел.

    Для перехода в менеджер паролей нужно выбрать соответствующий пункт в меню браузера

    2. Пользователю нужно создать единый мастер-пароль для входа в систему

    Дополнительная мера - генерация запасного пароля: на тот случай, если мастер-пароль окажется забыт.

Процедура запуска и последующего использования полезного дополнения проста:

  1. При первом входе на сайт, где пользователь уже зарегистрирован, система предложит сохранить введённый им пароль. При регистрации на новом сайте Яндекс нужно ввести автоматически сгенерированный системой пароль и запомнить его.
  2. При выборе раздела главного меню «Менеджер паролей» откроется перечень всех сохранённых логинов с краткой информацией о них - сайт и примечание.

    Перечень учётных записей доступен в менеджере паролей

  3. Клик по любому из них откроет окно редактирования, где можно изменить пароль или задать примечание.

    Чтобы изменить данные, нужно кликнуть по учётной записи

Подключение менеджера паролей в мобильной версии Яндекс Браузера

В мобильной версии процедура подключения аналогична декстопному варианту:

  1. В главном меню выбрать пункт «Менеджер паролей».

    Выбор менеджера паролей доступен в меню мобильного браузера

  2. При первом запуске создать мастер-пароль или выбрать другую опцию защиты - сканер отпечатков или PIN-код.

    Если вы не уверены, что запомните мастер-пароль, то включите опцию его сброса

    Выбрать в системе один из способов снятия блокировки

  3. При входе в аккаунт сохранить старый пароль или принять новый, сгенерированный системой.

    При входе вы можете использовать старый пароль или использовать предложенный системой

Можно ли восстановить мастер-пароль, если забыл

Для защиты сведений, сохранённых в менеджере паролей, на смартфонах и планшетах используется графический ключ или сканер отпечатков пальцев, а для декстопной версии - мастер-пароль. Это один из дополнительных алгоритмов защиты пользовательских данных.

Если же случилось так, что мастер-пароль был утерян пользователем, и он его не помнит, то для восстановления можно воспользоваться запасным паролем. Это возможно при соблюдении ряда условий:

  • запасной пароль был создан одновременно с мастер-паролем;
  • пользователь помнит ключ от аккаунта на Яндексе;
  • попытка сброса мастер-пароля осуществляется на том устройстве, где он ранее успешно вводился хотя бы один раз.

Как отключить

При использовании сторонних сервисов хранения ключей безопасности либо при нежелании сохранить данные доступа к какому-то сайту (например, разрешили другу войти в свой аккаунт с вашего устройства) расширение для хранения паролей можно отключить. Для этого потребуется выполнить следующий алгоритм:

  1. Открыть в главном меню соответствующий пункт.
  2. Ввести мастер-пароль.
  3. Открыть раздел «Настройки».
  4. Активировать опцию «Выключить менеджер паролей».

Таким образом, менеджер паролей позволяет соблюсти одно из главных условий интернет-безопасности: хранение разных логинов и паролей от аккаунтов в недоступном для третьих лиц месте. Однако стоит заметить, что аналогичный функционал есть в других браузерах, например, в Opera, или реализован при использовании сервисов типа RoboForm, KeePass и других.

Александр Шихов , 27.09.2018 (17.10.2018 )

Доверяя пароли от сайтов Яндекс.Браузеру, мы делаем жизнь проще. Стоит включить синхронизацию, и на всех устройствах (компьютере, ноутбуке, телефоне) секретные поля будут заполняться автоматически. В то же время в такой системе есть слабое место. Тот, кто запустит Яндекс.Браузер на компьютере после вас автоматически получает доступ и к сохраненным паролям. Как этого можно избежать - в нашей статье.

Что такое мастер-пароль в Яндекс.Браузере

Мастер-пароль по сути является ключом к вашей базе личных данных. Нужен он чтобы исключить возможность автоматического заполнения полей логина и пароля на сайтах, в социальных сетях и почтовых сервисах. Даже если вы оставите браузер открытым, злоумышленник не сможет этим воспользоваться. Внешняя программа прочитать базу ключей не сможет, так как она зашифрована.

Мастер-пароль поможет обеспечить безопасность, если несколько пользователей используют один компьютер. Браузер позволяет быстро переключаться между разными профилями. Пароль от аккаунта при этом не запрашивается.

Как настроить мастер-пароль

Откройте меню настроек (кнопка с тремя горизонтальными полосками в правом углу окна браузера). Выберите раздел Менеджер паролей.

В появившемся меню нажмите Настройки, Создать мастер-пароль.

Может потребоваться ввод пароля от учетной записи Windows, под которой вы вошли на ПК. Это помогает исключить ситуацию со случайным включением режима другим пользователем, который авторизовался в браузере под вашим именем. , который легко запоминается, рассказано в одной из наших статей.

Если не уверены, что запомните кодовое слово навсегда, выберите опцию Включить возможность сброса. Так вы всегда сможете отключить или изменить его при необходимости.

После включения режима Мастер пароля он начинает работать на всех устройствах, где вы используете синхронизацию Яндекс.Браузера. При попытке воспользоваться автозаполнением секретных полей возникает такой запрос.

Степень жесткости политики безопасности и частоту запросов вы определяете в настройке.

Стоит отметить, что при использовании браузера на чужом компьютере лучшим способом обеспечения безопасности данных остается выход из своего аккаунта.

“Используйте сильный пароль” – совет, который часто мелькает в сети. Эта статья о том, как создать надёжный пароль и запомнить его.

В этом вам может помочь менеджер паролей, умеющий создавать сильные пароли и запоминать их. Но даже если вы используете менеджер, вам всё равно необходим мастер-пароль для него.

Работаем с паролями – лёгкий путь

В наши дни существует огромное количество веб-сайтов, и наверняка у вас есть учётные записи на многих из них. Скорее всего, ваши пароли либо продублированы для каждой учётной записи, либо созданы по определённому шаблону. С точки зрения безопасности это крайне неудовлетворительно, ведь человек, подобравший пароль к одному из ваших аккаунтов, подберёт его и к остальным.

В таком случае на помощь приходит менеджер паролей – чтобы хранить десятки своих паролей в одном месте, вам достаточно знать всего лишь один, мастер-пароль.

Есть множество менеджеров, однако Dashlane , пожалуй, лучший выбор для среднестатистического пользователя. У Dashlane существуют приложения практически под все платформы, они интегрируются в любой браузер, и менеджер бесплатен для использовании основных функций. Если вы хотите синхронизировать пароли между различными устройствами, нужно перейти на премиум-аккаунт.

В менеджеры паролей встроены такие функции, как общая оценка безопасности, генератор паролей и др. Если вы серьезно относитесь к компьютерной безопасности, вы должны везде использовать надёжные пароли. Самый лёгкий способ делать это – использовать Dashlane.

Также в перечень хороших менеджеров паролей входит KeePass , представленный на всех основных платформах. База паролей шифруется AES-256 с возможным использованием многоходового преобразования ключа, что увеличивает стойкость программы к прямым атакам и делает ее намного надежнее других ПО.

Это отличный способ сгенерировать последовательность, потому что такой метод действительно гарантирует вам случайную комбинацию слов. К тому же, образованную фразу будет легко запомнить.

Запоминающийся пароль: приём для генерации

С приведёнными выше критериями довольно легко придумать последовательность. Просто попробуйте набрать что-нибудь рандомное, например 3o(t&gSp&3hZ4#t9. Это неплохой пароль – 16 символов, включает в себя сочетание разных типов символов, и его трудно угадать, потому что символы никак не связаны между собой. Чтобы создавать подобные последовательности, пользуйтесь генераторами паролей.

Проблема лишь в том, как такой пароль запомнить. Если предположить, что у вас отсутствует фотографическая память, вам бы пришлось потратить изрядное количество времени, чтобы выучить эту последовательность. Вам нужно придумать такой пароль, чтобы он ассоциировался с каким-либо событием или предметом. Например, гораздо легче будет запомнить предложение “The first house I ever lived in was 613 Fake Street. Rent was $400 per month.” и превратить его в пароль, используя первую букву каждого слова: TfhIeliw613FS.Rw$4pm . Это сильный пароль на 21 значение.

Да, поистине рандомная последовательность должна включать в себя больше цифр и специальных символов, однако эта тоже неплоха. Лучше всего в нём то, что он легко запоминается.

Он занимает всего пятнадцать секунд для пользователя, сидящего за компьютером, чтобы увидеть список всех паролей которые Вы сказали в Firefox или Thunderbird и сохранили их. Список отображается ясно, как день. Он может включать webmail и пароли форумов или пароль сервера электронной почты. С помощью мастер-пароля настоятельно рекомендуется, для предотвращения просматривать список паролей от таких любопытных пользователей. Путем установки мастер-пароля, тот, кто использует ваш профиль будет предложено ввести мастер-пароль, если нужен доступ к вашему сохраненному паролю. Хотя мастер-пароль в Firefox является и полезным дополнением безопасности, но он скоро может стать обременительным, если вы потеряли пароль , который вы ввели в мастер-пароль . Не существует никакой возможности,что бы просто просмотреть файл и скопировать ваш мастер-пароль ,нет никакого смысла, чтобы добавить мастер-пароль , который может быть найден в файле.

Сброс мастер-пароля

Если вы потеряли или забыли свой мастер-пароль или вы хотите, чтобы отключить эту функцию, вы можете сбросить мастер-пароль. Сброс мастер-пароля для удаления всех сохраненных паролей. После сброса, вы потеряете все сохраненные данные в менеджере паролей, так как это встроенная функция безопасности, чтобы люди не просто сбросили мастер-пароль, а чтобы получить доступ к вашим паролям.

  • Firefox: Войдите chrome://pippki/content/resetpassword.xul в строку адреса (адресная строка), нажмите на клавишу «Enter» и кнопку «Reset».
  • Thunderbird: выбрать Tools -> Error Console», » вставить выражение: openDialog("chrome://pippki/content/resetpassword.xul") и нажмите по кнопке вычислить. Откроется диалоговое окно с запросом, хотите ли вы сбросить Ваш пароль.
  • Mozilla Suite/SeaMonkey: «Edit -> Preferences -> Privacy & Security -> Мастер-Пароли -> Reset Password».

Единственным способом, который может принести результат был бы перебор паролей . Успех последнего метода зависит от пароля, который вы выбрали во время установки мастер-пароль .
Brute Force перебор, скорее всего, увенчается успехом, если мастер-пароль состоит из существующих слов, слов или имён. Но не удастся найти пароль , если пользователь ввёл случайный пароль с буквами и цифрами.
Brute Force Мастер-пароль в Firefox :
Вы можете использовать программное обеспечение под названием FireMaster , чтобы попытаться использовать метод грубой силы для восстановления мастер-пароля .
*FireMaster с помощью различных методов генерирует пароли «на лету».
*Затем он вычисляет хэш пароля с помощью известного алгоритма.
*Этот хэш пароль используется для расшифровки зашифрованных данных для известного обычного текста (например,» проверить пароль «).
*Теперь, если расшифровать строку с известным текстом (например, » пароль флажок «), то сгенерированный пароль является мастер-паролем.
Вы можете использовать метод грубой силы, если вы почти уверены, что Вы использовали слово или словосочетание. Такие пароли, как «X23n52fF: tht0_ete% v5» не сможет выявить.Загрузить и установить программное обеспечение FireMaster ,можно по следующей ссылке FireMaster .

Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.

С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.

Почему мы создаем новый менеджер паролей?

В текущей реализации менеджера паролей для Windows, унаследованной из Chromium, сохранённые пароли защищены браузером достаточно просто. Они зашифрованы средствами операционной системы (к примеру, на Windows 7 используется функция CryptProtectData, основанная на алгоритме AES), но хранятся не в изолированной области, а просто в папке профиля. Казалось бы, в этом нет проблемы, ведь данные зашифрованы, но ключ для расшифровки тоже хранится в операционной системе. Любая программа на компьютере может перейти в папку профиля браузера, взять ключ, локально расшифровать пароли, отправить их на сторонний сервер, и никто этого не заметит.

А ещё многие пользователи хотели бы, чтобы случайный человек, не обладающий специальной подготовкой, но получивший кратковременный доступ к браузеру (например, родственник или коллега по работе), не смог авторизоваться на важных сайтах с помощью сохранённых паролей.

Обе эти проблемы решаются с помощью мастер-пароля, которым защищаются данные, но который нигде не хранится. И это стало нашим первым требованием к новой архитектуре хранения паролей в Яндекс.Браузере. Но не единственным.

Каким бы безопасным ни был новый менеджер паролей, его популярность зависит от того, насколько просто им пользоваться. Напомним, что те же 1Password, KeePass и LastPass даже в сумме используют не более процента пользователей (хотя LastPass мы предлагаем в нашем встроенном каталоге дополнений). Или другой пример. Вот так в старой реализации Браузер предлагает сохранить пароль:

Опытные пользователи или согласятся, или откажутся, или сделают хоть что-то с этим уведомлением. Но в 80% случаев его просто не замечают. Многие пользователи даже не знают, что в браузере можно сохранять пароли.

Отдельно стоит сказать про функциональность. Сейчас даже добраться до списка своих паролей не так уж и просто. Нужно открыть меню, кликнуть по настройкам, перейти в дополнительные настройки, найти там кнопку управления паролями. И только тогда человек получит доступ к примитивному списку аккаунтов, которые нельзя отсортировать по логину, нельзя добавить текстовое примечание, отредактировать тоже нельзя. К тому же менеджер паролей должен помогать придумывать новые пароли.

И ещё кое-что. Для нас было важно, чтобы новая архитектура соответствовала принципу Керкгоффса, то есть, чтобы её надежность не зависела от знаний злоумышленников о применяемых алгоритмах. Криптосистема должна оставаться безопасной даже в том случае, когда им известно всё, кроме применяемых ключей.

Почему мы не взяли готовое решение?

Существуют продукты с открытым исходным кодом, которые поддерживают мастер-пароль и расширенную функциональность. Их можно было бы интегрировать в браузер, но они нам не подошли по ряду причин.

В первую очередь на ум приходит KeePass. Но его хранилище зашифровано целиком, а у нас в Браузере синхронизация работает построчно. А значит, надо либо спрашивать мастер-пароль при каждой синхронизации, либо шифровать записи раздельно. Второй вариант добрее к пользователям. Более того, для массового продукта важно, чтобы пользователь знал о возможности подставить сохранённый пароль до разблокировки базы мастер-паролем, поэтому часть информации должна оставаться незашифрованной.

У специализированных дополнений для работы с паролями есть возможность сбросить мастер-пароль, если пользователь его забыл. Но для этого нужно скачать, спрятать и не потерять резервный код или файл. Это нормально, когда речь идет об опытных пользователях, но это сложно для всех остальных. Поэтому нам нужно было придумать альтернативное решение. Спойлер: в итоге нам удалось найти решение, при котором мастер-пароль сбросить можно, но даже Яндекс не сможет получить доступ к базе. Но об этом чуть позже.

А ещё любое стороннее решение в любом случае пришлось бы серьезно дорабатывать, чтобы нативно интегрировать в браузер (переписать на C++ и Java) и сделать его достаточно простым для пользователей (полностью заменить весь интерфейс). Как бы удивительно это ни звучало, но написать новую архитектуру хранения и шифрования паролей проще, чем сделать всё остальное. Поэтому логичнее не пытаться связать два изначально несовместимых продукта в один, а доработать свой.

Новая архитектура с использованием мастер-пароля

В хранении самих записей нет ничего необычного. Мы используем надежный и быстрый алгоритм AES-256-GCM для шифрования паролей и примечаний, адреса и логины не шифруем для удобства применения, но подписываем для защиты от подмены. Похожим образом устроена схема хранилища в том же 1Password.

Самое интересное – это защита 256-битного ключа encKey, который необходим для расшифровки паролей. Это ключевой момент безопасности паролей. Если злоумышленник узнает этот ключ, то легко взломает всё хранилище независимо от сложности алгоритма шифрования. Поэтому защита ключа основана на следующих базовых принципах:

– Доступ к ключу шифрования блокируется мастер-паролем, который нигде не хранится.
– Ключ шифрования не должен быть математически связан с мастер-паролем.

В простых сервисах и приложениях ключ шифрования получают путем хэширования мастер-пароля, чтобы хоть так замедлить атаку перебором. Но математическая зависимость ключа от мастер-пароля всё же упрощает взлом, скорость которого в этом случае зависит лишь от надежности хэширования. Применение ферм из заточенных на взлом ASIC-процессоров сейчас уже не редкость. Поэтому в нашем случае ключ encKey не является производным от мастер-пароля и генерируется случайно.

Далее ключ encKey зашифровывается с помощью асимметричного алгоритма RSA-OAEP. Для этого Браузер создает пару ключей: открытый pubKey и закрытый privKey. Ключ encKey защищается с помощью открытого ключа, а расшифровать его можно только с помощью закрытого.

Открытый ключ pubKey защищать не нужно, потому что он не подходит для расшифровки, а вот с закрытым privKey история другая. Чтобы защитить его от кражи, доступ к нему блокируется согласно стандарту PKCS#8 с помощью парольной фразы unlockKey, которая в свою очередь является результатом хэширования мастер-пароля с помощью функции PBKDF2-HMAC-SHA256 (100 тысяч повторов; с добавлением соли и id хранилища). Если мастер-пароль случайно совпадает с уже украденным паролем от какого-либо сайта, добавление соли скроет этот факт и усложнит взлом. А благодаря многократному хэшированию достаточно длинного мастер-пароля трудоемкость взлома unlockKey сопоставима со взломом ключа encKey.

Зашифрованные пароли, зашифрованный ключ к ним encKey, зашифрованный закрытый ключ privKey и открытый ключ pubKey хранятся в профиле браузера и синхронизируются с другими устройствами пользователя.

Чтобы было проще разобраться во всём этом, приведем схему расшифровки паролей:

У подобной архитектуры с использованием мастер-пароля есть ряд преимуществ:

– 256-битный ключ шифрования хранилища генерируется случайно и обладает высокой криптостойкостью по сравнению с паролями, придуманными человеком.
– При брутфорсе мастер-пароля злоумышленник не узнает результат, если не пройдется по всей цепи (пароль-PBKDF2-RSA-AES). Это очень долго и очень дорого.
– Если функция хэширования будет скомпрометирована, мы в любой момент можем перейти на альтернативный вариант хэширования с сохранением обратной совместимости.
– Если злоумышленник узнает мастер-пароль, то сменить его можно без сложной и рискованной процедуры расшифровки всего хранилища, потому что ключ шифрования данных не связан с мастер-паролем, а значит, не скомпрометирован.
– Ключ шифрования хранится в зашифрованном виде. Ни Яндекс, ни злоумышленник, похитивший пароль от Яндекса, не смогут получить доступ к синхронизированным паролям, поскольку для этого нужен мастер-пароль, который нигде не хранится.

Но у варианта с мастер-паролем есть один «недостаток»: пользователь может забыть мастер-пароль. Это нормально, когда речь идет о специализированных решениях, которые используют опытные пользователи, хорошо осознающие риск. Но в продукте с многомиллионной аудиторией это неприемлемо. Если мы не предусмотрим резервный вариант, то многие пользователи Яндекс.Браузера либо откажутся от использования мастер-пароля, либо «потеряют» однажды все свои пароли, а виноват в этом будет Браузер (вы удивитесь, но именно Яндекс часто оказывается крайним в ситуации, когда человек забыл пароль от аккаунта). И придумать решение не так уж и просто.

Как сбросить мастер-пароль без раскрытия паролей?

В некоторых продуктах эта проблема решается с помощью хранения расшифрованных данных (или даже мастер-пароля) в облаке. Этот вариант для нас не подходил, потому что злоумышленник может украсть пароль от Яндекса, а вместе с ним и пароли от всех сайтов. Поэтому нам нужно было придумать такой способ восстановления доступа к хранилищу паролей, при котором никто, кроме самого пользователя, не смог бы это сделать. Сторонние менеджеры паролей предлагают для этого создать резервный файл, который пользователь должен самостоятельно хранить в надежном месте. Хорошее решение, но обычные пользователи такие резервные ключи будут неизбежно терять, поэтому у нас всё намного проще.

Ещё раз вспомним цепочку зависимостей ключей. Хранилище паролей зашифровано с помощью случайного ключа encKey, который нигде не хранится в явном виде. Этот ключ защищён с помощью закрытого ключа privKey, который также не хранится в явном виде и в свою очередь защищён с помощью сложного хэша от мастер-пароля. Когда человек забывает мастер-пароль, он фактически лишается возможности расшифровать ключ privKey. Это значит, что в качестве резервного варианта можно хранить дубликат ключа privKey. Но где? И как его защитить?

Если поместить расшифрованный privKey в облако, то безопасность паролей будет зависеть от аккаунта Яндекса. А ровно этого мы и не хотели допускать. Если же хранить его в явном виде локально, то вся защита с мастер-паролем теряет какой-либо смысл. Нет такого места, где можно было бы безопасно хранить этот ключ в явном виде. Значит, его надо шифровать. Для этого Браузер создает случайный 256-битный ключ, которым защищает дубликат privKey. Теперь самое интересное. Этот случайный ключ отправляется на хранение в облако Яндекс.Паспорта. А зашифрованный дубликат остается храниться в локальном профиле Браузера. Получается, что ни в облаке, ни на компьютере нет готовой пары для расшифровки паролей, и безопасность не страдает.

При таком варианте сбросить мастер-пароль можно было бы только там, где и создан дубликат ключа privKey. Мы же хотели добавить такую возможность и синхронизированным устройствам. Создавать резервный ключ на каждом устройстве вручную неудобно: можно случайно остаться с тем устройством на руках, на котором забыли создать дубликат. Отправлять зашифрованный дубликат на другие устройства с помощью синхронизации нельзя: в облаке уже хранится ключ к нему, и в целях безопасности им нельзя встречаться в одном месте. Поэтому зашифрованный дубликат privKey проходит через ещё один слой шифрования. В этот раз – с помощью хэша от мастер-пароля. Мастер-пароль не хранится в облаке, поэтому полученную «матрешку» уже можно смело синхронизировать. На других устройствах в момент первого ввода мастер-пароля дополнительный слой шифрования будет снят.

В итоге, когда пользователь забудет мастер-пароль, ему будет достаточно запросить сброс пароля через браузер и подтвердить свою личность с помощью пароля от Яндекса.

Браузер запросит ключ у Яндекс.Паспорта, расшифрует им дубликат ключа privKey, с его помощью расшифрует ключ от хранилища encKey, а дальше создаст новую пару pubKey и privKey, последний из которых будет защищён новым мастер-паролем. Хранилище паролей при этом не расшифровывается, что снижает риск потери данных. К слову, принудительно сменить encKey и перешифровать данные тоже можно: достаточно отключить и заново включить мастер-пароль в настройках.

Получается, что сбросить мастер-пароль сможет только сам пользователь и только на том устройстве , где он хотя бы раз его вводил. Конечно же, резервный ключ создавать не обязательно, если пользователь уверен в себе. Даже мастер-пароль можно не использовать, хотя мы и не рекомендуем от него отказываться.

Новая архитектура и мастер-пароль – не единственные изменения в новом менеджере. Как мы уже рассказывали выше, удобство в использовании и расширенные возможности важны не меньше.

Новый менеджер паролей

Прежде всего, мы отказались от незаметной серой панели с предложением сохранить пароль. Теперь пользователь увидит предложение рядом с полем пароля. Не заметить такое уже трудно.

Да и сам менеджер теперь не надо искать в настройках: кнопка доступна в главном меню. Список сохранённых аккаунтов теперь поддерживает сортировку по логину, адресу и примечанию. Мы также добавили редактирование записей.

Подсказка: примечания отлично подходят в качестве альтернативы меткам, потому что поддерживают поиск.

А ещё Браузер теперь помогает создавать уникальные пароли.

В первой бета-версии мы успели далеко не всё. В будущем мы поддержим экспорт и импорт паролей для совместимости с популярными сторонними решениями. Также у нас есть идея добавить настройки генератору паролей.

Мобильный менеджер паролей

Конечно же, новая логика и поддержка мастер-пароля появятся не только на компьютере, но и в версиях Яндекс.Браузера для Android и iOS. С небольшой адаптацией. К примеру, можно использовать не только мастер-пароль, но и отпечаток пальца. Мы также запретили программно делать скриншоты на странице со списком паролей – можно не бояться вредоносных приложений.

Сегодня новый менеджер паролей можно попробовать в