Группа исследователей TeamSIK из Института безопасности информационных технологий, входящего в Общество Фраунгофера , провела анализ самых популярных Android-решений для хранения и организации паролей, представленных в официальном каталоге Google Play. Так, исследователи внимательно изучили работу My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password. Каждое из этих приложений насчитывает от 100 000 до 50 000 000 установок. И, как оказалось, все приложения имеют хотя бы одну проблему с безопасностью.

«Итоговые результаты вызывали у нас серьезное беспокойство и показали, что менеджеры паролей, несмотря на все заявления [разработчиков], не обеспечиваются достаточными механизмами защиты для хранения паролей и учетных данных. Вместо этого они злоупотребляют доверием пользователей и подвергают их огромному риску», - пишут исследователи.

Как оказалось, парольные менеджеры порой хранят пароли в виде открытого текста, а в их коде можно обнаружить ключи шифрования, которые там, очевидно, забыли случайно. В некоторых случаях добраться до паролей пользователя без особенного труда сможет любое вредоносное приложение, проникшее на устройство.

Почти все найденные уязвимости уже были устранены, хотя у некоторых разработчиков на создание патчей ушли долгие месяцы. Информация о багах, которые еще не были исправлены, не разглашается. Впрочем, после изучения обнаруженных экспертами уязвимостей и багов, все равно встает вопрос, действительно ли использование менеджеров паролей снижает риски и улучшает безопасность, или только добавляет новых проблем?

Ниже перечислены все найденные аналитиками проблемы. Ссылки ведут на подробное описание и разбор каждого отдельного случая на сайте TeamSIK.

MyPasswords

• SIK-2016-019 : Чтение приватных данных из локальной директории через интегрированный в приложение HTMLViewer.
• SIK-2016-020 : Похищение и последующая расшифровка мастер-пароля.
• SIK-2016-043 : Баг позволяет бесплатно разблокировать премиальные функции.

Informaticore Password Manager

• SIK-2016-021 : Мастер-пароль хранится в зашифрованном виде, но ключ для расшифровки можно найти в коде самого приложения.

LastPass

• SIK-2016-022 : Мастер-ключ, защищающий хранящийся на устройстве мастер-пароль, захардкожен в код приложения и одинаков для всех девайсов.
• SIK-2016-023 : Утечка конфиденциальных данных через интегрированный в приложение браузер.
• SIK-2016-024 : На Android ниже версии 4.1 внутренний браузер LastPass позволяет читать файлы из локальной директории приложения. Может использоваться для похищения мастер-пароля (см. SIK-2016-022).

• SIK-2016-025 : Сброс секретного вопроса и обход всей дальнейшей аутентификации.
• SIK-2016-026 : Инъекция данных в БД без какой-либо аутентификации.

F-Secure KEY Password Manager

• SIK-2016-027 : Мастер-пароль хранится в формате открытого текста в локальной директории приложения.

Dashlane

• SIK-2016-028 : Уязвимость во встроенном браузере позволяет получить доступ на чтение в локальной директории приложения (без root-прав).
• SIK-2016-029 : Поисковые запросы встроенного браузера может перехватить man-in-the-middle атакующий. Кроме того, все поисковые запросы сливают logcat output.
• SIK-2016-030 : Уязвимость в Android позволяет извлечь зашифрованный мастер-пароль из Android AccountManager не имея root-прав.
• SIK-2016-031 : Встроенный браузер использует автозаполнение на сайтах, но не умет различать поля ввода пароля на разных поддоменах.

Hide Pictures Keep Safe Vault

Где собственно и были найдены рассматреваемые экземпляры.

История вопроса

Два года назад, 21 октября 2008 года мобильная платформа Android перестала быть лишь виртуальной основой для разработчиков и вышла в реальный мир в образе коммуникатора T-Mobile G1 (HTC Dream). С момента первого выхода система претерпела множество изменений, как по качеству кода, так и по количеству возможностей, предоставляемых ей. Однако, как справедливо было замечено некоторыми хабровчанами, качество и популярность платформы зависят не только от интенсивности ее разработки и качества собственного кода, но и от приложений, которыми она позволяет пользоваться.

Кроме того, если вы любите обращать внимания на маленькие детали, то могли заметить, что Android, как операционная система, быстро приобрел большую популярность не только у простых пользователей, но также и у производителей мобильных устройств – ведь они достаточно быстро стали выпускать коммуникаторы бизнес-класса.
Осторожно, много скриншотов!

Никто не совершенен

Тем не менее, главное отличие Android-устройств от коммуникаторов бизнес-класса - это возможность активно использовать интернет-сервисы, причем не только предоставляемые главным разработчиком - Google, но и многие другие. Все это приводит пользователей платформы к необходимости хранения множества личных данных - не только пин-кодов своих банковских карт, но и множества паролей. Долгое время я сам хранил пароли в “простой” записной книжке - AK Notepad, однако сейчас я хочу рассмотреть приложения, которые позволяют делать это более правильно - шифруя информацию, которая не предназначена для посторонних.

Обзор

Список кандидатов, отобранных на рассмотрение:

При первом запуске KeePasDroid предлагает пользователю создать новую или открыть существующую базу хранения паролей:

KeePassDroid. Рис. 1. Создание/выбор БД для паролей.

Я запускал это приложение в первый раз, поэтому базу необходимо было создать:

KeePassDroid. Рис. 2. Ввод главного пароля.

Опционально, KeePassDroid предлагает использовать так же файл-ключ вместо пароля. Я редко использую файлы для авторизации (исключение составляют SSH-соединения), поэтому ввел обычный мастер-пароль.

Без дальнейших вопросов приложение показало мне список из двух групп с единственной кнопкой “Добавить группу”, что я и не преминул сделать:

KeePassDroid. Рис. 3. Список групп с созданной мной группой “Соцсети”.

К сожалению, сначала я не заметил, что значок группы выбирается при ее создании, а смена значка уже созданной группы в KeePassDroid не предусмотрена:

KeePassDroid обладает одной приятной возможностью - создание вложенных групп. Поэтому сортировка паролей и разделение их на группы и подгруппы ограничивается только полетом вашей фантазии:)

Итак, внутри возникшей группы “Cоцсети” я решил создать единственный элемент - сохранить пароль от моей учетной записи в Facebook. Это оказалось достаточно просто - внутри группы необходимо нажать кнопку “Добавить запись”, что я и сделал:

После добавления элемента группа выглядит следующим образом:

Внутри элемента вы можете увидеть введенную вами ранее информацию. Пароль отображается точками – в открытом виде вы не узнаете его даже при редактировании элемента. Вместо этого KeePassDroid предлагает вам скопировать пароль в буфер обмена, размещая это предложение в системной области уведомлений. Но почему-то, дважды По замечанию пользователя @pr0tey - в первой строчке приложение предлагает вам скопировать логин, во второй - пароль (Рис. 9).

KeePassDroid. Рис. 10. Меню программы.	KeePassDroid. Рис. 11. Настройки.

Меню программы (Рис. 10), по моему мнению, обладает достаточным и необходимым функционалом - поиск по существующим элементам, изменение мастер-пароля и настройки программы, которые чем-то напомнили мне настройки программы TrueCrypt (Рис. 11). KeePassDroid позволяется вам хранить или не хранить историю файла-ключей, время хранения в буфере обмена, скрывать или не скрывать пароль и так далее. В целом, мои впечатления от приложения - положительные.

2. B-Folders

Официальный сайт

Похоже, что создание базы данных при запуске приложений хранения секретной информации - это некий негласный стандарт среди разработчиков платформы Android

Приложение B-Folders не выбивается из этого стандарта, и при первом запуске пользователь видит стандартное предложение:

B-Folders. Рис. 1. Создание БД для паролей.

При создании базы пользователь имеет возможность указать место ее хранения (во внутренней памяти телефона, либо на SD-карте), задать пароль, а также указать время, через которое база данных будет закрыта, если не используется. Для ее открытия вам снова придется ввести пароль.

К сожалению, в момент создания БД B-Folders “порадовало” меня неприятным экраном, однако после перезапуска продолжило работу:

B-Folders. Рис. 2. Приложение неожиданно закрылось.

При первом запуске разработчики приложения уведомляют своих пользователей о новых возможностях программы с помощью всплывающего окна:

B-Folders. Рис. 3. Уведомление о новых возможностях.

В уведомлении говорится, что теперь в программе появилась возможность создавать базу данных на SD-карте, а также синхронизировать ее с помощью USB-кабеля, помимо ранее существующих способов сделать это через сеть. Лично я не люблю подобные уведомления и считаю, что список возможностей программы можно было просто вынести в раздел “справка” или подобный.

Создать новый элемент в B-Folders легко - необходимо нажать на кнопку “New Item”, после чего программа предоставит вам следующий выбор:

B-Folder. Рис. 4. Список создаваемых элементов.

Как всегда, я создаю папку (группу, категорию) “соцсети” (Рис. 5), внутри нее элемент “Login Password” (Рис. 6)

Так же как и KeePassDroid, B-Folders позволяет создавать элементы внутри других элементов, и, главное, вложенные папки. Таким образом, пользователь получает большую свободу в распределении своих элементов.

При работе с программой была выявлена странная особенность. B-Folders зачем-то закрывает базу данных паролей при нажатии на кнопки “Назад” или “Домой” и, таким образом, вам придется вводить мастер-пароль каждый раз, если вы просто захотите переключиться между B-Folders и браузером. По-моему - это не слишком удобно.

Заканчивая описание, скажу следующее. У B-Folders, есть сильная сторона - возможность синхронизации с настольным компьютером, однако, мне не слишком нравятся программы, которые хранят мои пароли и, при этом, имеют неконтролируемый доступ в Интернет.

В целом, впечатление положительные, но также хочется пожелать авторам, чтобы они сделали работу приложения более стабильной.

3. Handy Safe Pro

Официальный сайт

При первом запуске приложение честно предупреждает пользователя о том, что ему доступна полнофункциональная бесплатная версия сроком на 14 дней (рис. 1.)

Handy Safe Pro. Рис. 1. Trial Предупреждение.	Handy Safe Pro. Рис. 2. Создание новой базы.

Следующий шаг - по уже сложившейся традиции - создание базы данных для хранения секретной информации (Рис. 2.). После этой процедуры Handy Safe Pro показывает экран с предустановленным набором красивых папок, который, однако, меня не интересует - потому что я снова создаю папку “соцсети”, для того, чтобы разместить там элемент “Facebook” :)

При добавлении нового элемента в папку “соцсети” приложение показало очень скромный перечень из трех элементов - Карточка, Шаблон и Папка, однако затем:

Handy Safe Pro. Рис. 5. Наборы элементов.

О да! Разработчики предусмотрели для меня список самых популярных интернет-сервисов, среди которых большой и красивой иконкой выделялся мой любимый Facebook!

Заполнение информации об элементе напоминает ранее рассмотренные программы, но заполняемая информация не ограничивается фиксированным количеством полей – вы вольно добавить столько контактных данных, сколько захотите. Единственное, что мне показалось немного странным - для ввода пароля используется обычное текстовое поле, что все-же несколько странно для такого приложения.

Однако, в просмотре информации об элементе введенная информация предстает перед пользователем так, как нужно (рис. 8) и раскрывается только после нажатия кнопки “Show Password” (рис. 9):

Просматривая подробную информацию, вы так же имеете возможность скопировать пароль в буфер обмена.

Handy Safe Pro. Рис. 10. Меню программы.	Handy Safe Pro. Рис. 11. Настройки.

Handy Safe Pro так же как и B-Folders имеет возможность синхронизации данных с настольным компьютером, однако, при этом ваши данные не будут передаваться через интернет.

4. Password Master

Официальный сайт

Password Master - пожалуй, самая странная из всех рассмотренных в этом обзоре программ.

Ну что ж, в семье не без урода кто-то все-таки должен был выделиться из толпы. Традиционное создание БД представлено вводом главного пароля, который может быть только комбинацией цифр. Лично я считаю это не слишком безопасным, однако, кому-то может понравиться упрощенный ввод информации для мобильного устройства. Кто знает… Другой странностью этого приложения явился экран, с просьбой указать свой главный почтовый ящик. Основная роль почтового ящика - возможность восстановления мастер-пароля, если вы вдруг забудете его. Конечно, это опять удобство в ущерб безопасности.

При создании элемента, Password Master, к сожалению, не предоставляет возможность создания собственных рубрик, поэтому элемент “Facebook” мне пришлось сделать как есть, назначив ему категорию “интернет”, вместо уже полюбившейся мне категории “соцсети”.

Запись пароля производится в обычном текстовом поле, после чего складывается впечатление, что разработчики этого программного продукта совсем уж наплевали на безопасность.

Внешний вид элементов зависит напрямую от выбранной рубрики:

Password Master. Рис. 5. Добавленный Facebook.

Настройки это приложения ничем не примечательны, поэтому останавливаться на них не буду. Впечатление от программы - весьма неоднозначные, хотя, возможно она понравится тем, кто любит совсем простой софт.

5. OI Safe

Официальный сайт

Работа с OI Safe похожа на работу с предыдущими приложениями – все начинается с ввода мастер-пароля (рис.1) и предупреждения о том, что необходимо сохранить ключ (рис. 2):

После принятия пользовательского соглашения в OI Safe, как и в KeePassDroid, пользователь видит список из двух предустановленных категорий - Buisness и Personal. К сожалению, я ошибся и решил создать элемент “Facebook” внутри категории Personal. Заметив ошибку, я отменил создание, однако OI Safe добавило в категорию пустой элемент (рис. 3,4):

Второй минус этого действия - невозможность назначить значки для элементов или рубрик.

Меню программы (рис. 4.), кажется весьма скромным, если не выбрать пункт “Еще” (рис. 7).

Настройки программы также напоминают KeePassDroid, и так же как и KeePassDroid - OI Safe не поддерживает синхронизацию данных пользователя с настольным компьютером.

Мой странный вывод

Я рассмотрел небольшой срез, всего одно направление программ представленных в Android Market, и по моему скромному мнению - набор существующих приложений вполне способен удовлетворить многих пользователей. Но согласитесь ли вы со мной или нет?

Теги: Добавить метки

Менеджеры паролей становятся всё более популярными. Возможность хранить все ваши пароли в одном месте, является весьма привлекательной. С помощью мобильных устройств, вы можете иметь все пароли под рукой во все времена, не повредив безопасности своих данных. Существуют тонны менеджеров паролей для ПК, Mac и мобильных устройств. Вот лучшие приложения менеджеры паролей для Android.

aWallet Password Manager
(cкачиваний: 892)
aWallet является одним из тех приложений, менеджеров паролей, которыми пользуются продолжительное время. Приложение хранит пароли, банковские операции, информацию, информацию о кредитной карте, а также пользовательские данные, если вам это нужно. Существует также встроенный поиск, пользовательские иконки, а также функция автоблокировки. Существует даже встроенный генератор паролей, так что вам не придется волноваться об этом. Менеджер паролей охватывает всё необходимое, включая AES и Blowfish шифрование. Вы можете загрузить приложение бесплатно или купить PRO-версию.

Dashlane
(cкачиваний: 252)
Dashlane это ещё одно приложение, доступное пользователям продолжительное время. Dashlane предлагает все необходимые функции, включая поддержку паролей, кредитных карточек и других чувствительных видов информации. Приложение также поддерживает автозаполнение паролей на веб-сайтах и в приложениях. Вы можете сделать резервную копию локально или с помощью облака. Шифрование в 256 бит AES работает должным образом. Вы можете использовать большинство функций бесплатно, но если вы хотите использовать все функции, придется оформить платную подписку. Это один из наиболее солидных менеджеров паролей для Android.

Enpass Password Manager
(cкачиваний: 147)
Enpass довольно мощный менеджер паролей. Он охватывает все основные функции, есть также версии для Mac, ПК и Linux. Приложение также не требует абонентской платы, что является хорошим знаком. Приложение позволяет создавать резервные копии и восстановить свои данные, включает 256-битное AES-шифрование, кросс-платформенную синхронизацию, вы также сможете импортировать данные из других менеджеров паролей, что облегчит переход. Вы также сможете использовать автоматическое заполнение в Google Chrome, если вы используете этот браузер. Приложение загружается бесплатно, достаточного разовой оплаты в размере 9,99$, чтобы разблокировать все функции.

Keepass2Android
(cкачиваний: 192)
Keepass2Android является одним из самых базовых приложений менеджеров паролей в этом списке. Keepass имеет базовые функции, с которыми вы сможете создавать резервные копии паролей и тому подобное. Тем не менее, приложение не предлагает более слоны особенностей большинства конкурентов. Главной особенностью приложения становится совершенно бесплатное распространение с открытым исходным кодом. Приложение основано на коде Keepassdroid (ещё один бесплатный менеджер паролей с открытым исходным кодом), оба приложения совместимы друг с другом.

Keeper
(cкачиваний: 158)
Keeper – менеджер паролей с большим количеством функций. Главной особенностью приложения становится 256-битное AES-шифрование и PBKDF2, которые, безусловно, помогают чувствовать себя в безопасности. Вместе с тем, приложение охватывает основные функции, включает в себя автоматическое заполнение в различных приложениях и веб-сайтах. Наряду с паролями, Keeper также включает в себя видео и фото хранилища, где вы сможете хранить конфиденциальные изображения или видео. Приложение также поддерживает блокировку по отпечатку пальца, что всегда полезно. Вы также сможете синхронизировать приложение между устройствами и хранить данные в облаке, если захотите. Это довольно приличный вариант, хотя вам потребуется подписка, чтобы получить все функции.

LastPass
(cкачиваний: 153)
LastPass придерживается того же русла, когда речь заходит о менеджере паролей для Android. LastPass предлагает метрическую тонну функций, в том числе автозаполнение паролей в приложениях, сайтах и отдельных формах. Приложение также помогает хранить фотографии и аудио заметки. Есть несколько других, более уникальных и необычных функций, среди которых поддержка сканера отпечатков пальцев, генератор паролей, аудит паролей, который даст вам понять, что пароль ненадежен, приложение также предоставляет возможность воспользоваться экстренной помощью друга или члена семьи. Вы можете использовать ядро приложения бесплатно, но вам потребуется платная подписка, если вы хотите использовать все функции. Вы также можете загрузить LastPass Authenticator в Google Play, чтобы добавить 2-й фактор аутентификации для дополнительной безопасности.

mSecure Password Manager
(cкачиваний: 79)
mSecure является одним из тех менеджеров паролей, которые были вокруг, казалось бы, всегда. Тем не менее, приложение видело несколько обновлений с момента его создания и внешний вид менеджера паролей остается относительно современным. Кроме того, менеджер поддерживает основные функции, 256-битное AES-шифрование, генератор паролей, а также возможность создавать резервные копии ваших данных на вашей SD-карте. Приложение также имеет функцию самоуничтожения на тот случай, если кто-то ошибется с паролем слишком много раз. Это надежный универсальный менеджер паролей, хотя отсутствие бесплатной версии может оттолкнуть некоторых пользователей. Мы рекомендуем посмотреть на некоторые отзывы и попробовать приложение.

Password Safe and Manager
(cкачиваний: 124)
Password Safe and Manager является золотой серединой, когда речь заходит о выборе менеджера паролей. Это приложение не нуждается в подключении, а 256-битное шифрование позволят вам чувствовать себя относительно безопасно. Менеджер паролей использует дизайн Material, который выглядит действительно великолепно. Вы можете разместить пароли, классифицировать их для удобного просмотра, а также генерировать новые пароли на лету. Кроме того, менеджер паролей предлагает функции автоматического резервного копирования. И приложение предлагает значительно больше возможностей, если вы купите версию PRO за 3,99$. Это не самое мощное, но очень хорошее приложение.

RoboForm Password Manager
(cкачиваний: 223)
RoboForm очень старое приложение, но это по-прежнему один из лучших менеджеров паролей для Android. Он делает то, что должен, и делает это хорошо, а также предлагает закладки, чтобы вы могли найти наиболее часто используемые пароли быстрее. Приложение также распознает новые пароли, когда вы создаете их и входите в систему, изящное решение. Менеджер паролей также поддерживает многоступенчатые логины, что очень удобно. Приложение работает с Chrome и Firefox, даже с Dolphin Browser. Это совершенно бесплатное приложение, которое отлично работает.

SafeInCloud Password Manager
(cкачиваний: 152)
SafeInCloud это менеджер паролей на основе облачной системы, очень способный менеджер. Он хранит все ваши данные в облаке, с которым вы можете синхронизировать любое свое устройство. Приложение включает в себя Material Desing, 256-битное AES-шифрование, поддерживает сканер отпечатков пальцев, Android Wear, генератор паролей и калькулятор надежности пароля. Вы сможете автоматически заполнять графы в некоторых браузерах. Вы сможете получить большинство функций с бесплатной версией, а PRO-версия обойдется вам в очень разумные 199 р.

Менеджеры паролей, централизованно хранящие информацию о различных аккаунтах, выполняют несколько важных задач. Когда используешь такую программу, достаточно выучить только один пароль, который можно сделать действительно сложным. К тому же можно не стесняться в выборе заковыристых, устойчивых паролей для многочисленных аккаунтов - все равно их будет хранить софтина.

А еще менеджеры позволяют синхронизировать базы паролей на различных устройствах. Улучшение безопасности не в ущерб удобству использования - отличное сочетание!

Брелок - это такая вещь, которая позволяет потерять все ключи сразу. Это справедливо и по отношению к менеджерам паролей. Поэтому подходить к выбору подобных программ следует внимательно. Подавляющее большинство таких приложений - платные. Неужели нельзя обойтись без лишних затрат? Конечно, можно. На помост сегодня выйдут только действительно бесплатные Android-продукты, не требующие в том числе покупки подписки.

Одно из самых простых решений-приложение aWallet Password Manager. По сути, это защищенная записная книжка для хранения паролей без какой-либо дополнительной автоматизации. Программа предлагает только функцию быстрого копирования информации в буфер, после чего нужно перейти в целевое приложение и вставить данные в нужное поле. Приятный бонус: софтина хоть и с некоторыми ошибками, но переведена на русский язык.

Оформление у приложения подчеркнуто скромное, но, как говорилось в народе, нам с лица не воду пить, и с корявой можно жить. Для управления паролями и другими секретными записями служит каталог. В нем для быстрого старта уже предусмотрен ряд категорий: «Веб-аккаунты», «Кредитные карты» и др. Есть встроенный поиск по сохраненным аккаунтам. Надо сказать, что предлагаемые категории можно редактировать и добавлять к ним новые. Поддерживается локальное резервное копирование базы.

Кроме бесплатной базовой версии существуют и коммерческие. Можно заплатить за возможность импорта баз в формате CSV, встроенный генератор паролей, а также купить подписку на aWallet Cloud, применяемый для синхронизации базы на разных устройствах через онлайновый сервис разработчика.

Пожалуй, самое раскрученное свободное решение для работы с паролями - это KeePass . На его основе построено несколько Android-приложений. KeePass Droid - простое решение, основное достоинство которого - совместимость с настольным KeePass. Базы могут храниться как локально, так и удаленно. Сортировать пароли предлагается с помощью иерархической структуры категорий. Создавать их можно самостоятельно, в том числе вложенные. В программе есть встроенный генератор стойких паролей.

Приложение Keepass2Android устроено сложнее. Как и следовало ожидать, оно понимает формат баз «настольного» KeePass, так что возможен быстрый старте импортом готовой базы, если вы уже пользовались KeePass. Приложение пока находится в стадии предварительной версии, так что возможность легкого резервного копирования баз и их открытия в «настольном» KeePass придает некоторую уверенность. Замечательное свойство Keepass2Android - возможность открывать базы напрямую из онлайновых хранилищ. Поддерживаются Диск Google, OneDrive и Dropbox. Кроме того, приложение умеет использовать FTP/SFTP и WebDAV. Так что можно организовать синхронизацию баз паролей, не передавая свою информацию какой-либо внешней фирме, - все остается в ваших собственных хранилищах. Надо заметить, что Keepass2Android не просит полного доступа к онлайновым хранилищам, скромно и тактично удовлетворяясь доступом только к самолично созданным файлам. При желании можно хранить базу локально, на вашем мобильном девайсе. В приложении можно устанавливать плагины. Поддерживается работа с QR-кодами.

Для сортировки данных используются папки-категории. Можно создавать вложенные категории, редактировать записи, в том числе используя собственные дополнительные поля. Есть встроенный генератор паролей, причем настраиваемый. Можно точно указать, сколько и каких символов должно быть в пароле. В базе работает хорошая система поиска.

В дополнение к мастер-паролю можно использовать ключевой файл. Такой файл обеспечивает хорошую защиту, однако он может быть обнаружен и скопирован, в отличие от пароля, который вы можете хранить в своей собственной голове. Опция быстрой разблокировки подключенной базы позволяет обойтись только последними тремя символами мастер-пароля, что экономит время при постоянном обращении к уже открытой базе.

Доступ к сохраненным аккаунтам возможен двумя способами. Первый -копирование и вставка во внешнее приложение через буфер обмена. В Keepass2Android предусмотрена опция быстрого копирования. Второй способ -системное меню, предлагающее приложения для открытия различных ресурсов. При выборе Keepass2Android программа предложит ввести мастер-пароль, после чего попытается залогиниться и открыть доступ. Удобно, но, к сожалению, здесь иногда возникали трудности.

Как известно, к буферу обмена могут иметь доступ и сторонние приложения, что создает определенную опасность при копировании через буфер чувствительной информации. Поэтому в состав Keepass2Android входит собственная защищенная клавиатура, предотвращающая перехват паролей кейлогерами. Клавиатура, честно скажу, так себе, да и, чтобы получить на ней русский язык, придется побродить по системным настройкам. По умолчанию она понимает только английский и китайский.

Symantec - достаточно известная контора в сфере информационной безопасности. Она также не оставила без внимания проблему сохранения информации об аккаунтах и создала собственный менеджер паролей. Приложение Norton Identity Safe для своей работы требует наличия аккаунта Norton, благо он бесплатный.

Для работы в сети применяется встроенный защищенный браузер. Серфинг идет без проблем, сайты отображаются вполне корректно. Для любого открытого сайта можно посмотреть его рейтинг безопасности, определенный Symantec на основе сообщений о подозрительном поведении тех или иных ресурсов. Защищенность проявляется в том числе и в автоматическом сканировании трафика на предмет выявления вирусов и фишинговых ссылок. Это уникальное свойство среди участников нашего обзора. В остальном браузер очень прост и уступает лидерам рынка. Norton Identity Safe предлагает сохранять пароли непосредственно во время серфинга, при первом заполнении какой-либо формы на посещенном сайте. С внешними приложениями программа работает через системное меню. Например, при щелчке по ссылке на файл, требующий авторизации для скачивания, можно выбрать опцию Norton Identity Safe. Откроется экран ввода пароля или пин-кода. После авторизации программа сделает все сама. Разумеется, эта опция предназначена не для заведения новых паролей, а для быстрого доступа к уже имеющимся аккаунтам.

Данные хранятся в каталоге, разделенном на несколько тематических частей. Предусмотрены отдельные списки - например, для пар логинов/паролей, адресов (используются при автоматическом заполнении форм с адресами доставки в интернет-магазинах). Раздел Wallet предназначен для хранения данных кредиток и другой платежной информации. Есть даже раздел для защищенных текстовых заметок. Записи раздела Wallet можно привязать к записям из «Адресов» - это хорошо для покупок, поскольку сразу же объединяет все необходимые данные. Тут уже не перепутаешь и не закажешь ненароком что-нибудь домой с рабочей карты.

Предусмотрено «Избранное», в котором можно сохранять ссылки на любые часто используемые записи: удобно, когда каталог у вас получается действительно большим. Для быстрого обращения к базе приложения помимо стандартного мастер-пароля можно задать дополнительный пин-код. Для синхронизации данных предназначена онлайновая служба Norton, дополнительно защищенная двухступенчатой аутентификацией.

Подведем итоги. Откровенно говоря, столь чувствительная сфера, как сохранность паролей, поневоле повышает градус консерватизма при выборе соответствующего инструмента. На мой взгляд, новички заслуживают шанса, но ежедневно пользоваться лучше более-менее проверенным софтом.

Совсем свеженькое приложение интересно, только если оно предлагает действительно уникальные функции.

Так что если вам нужна хорошая функциональность и вы приверженец свободного софта, вам прямая дорога к вариантам KeePass. Приложение KeePass Droid чуть дольше представлено на рынке, но Keepass2Android намного функциональней. Среди породисто-фирменных решений наиболее удачные условия да еще и браузер со встроенной защитой предлагает Symantec Norton Identity Safe. В целом получился достаточно хороший бесплатный продукт от известного разработчика. В остальном функциональность у приложения не рекордная. Однако такая простота имеет свои удобные стороны: поскольку интерфейс у программы английский, большое количество настроек могло бы создать некоторые неудобства. Если хотите бесплатной «фирмы», это приложение - то, что надо.

Как правильно организовать хранение паролей в Андроид?

Давайте пока о том как нельзя хранить пароли в Android. Первое что нельзя делать — хранить (сохранять) пароли в браузере и это касается не только мобильных устройств, но и пользователей персональных компьютеров. Также нельзя хранить пароли в текстовых файлах или заметках. Лучший способ хранение паролей Android — использование менеджеров паролей.

Ну а теперь поговорим о том как правильно организовать хранение паролей Адроид. Я расскажу вам как выбрать хранитель паролей для Андроид и покажу как скачать, настроить и использовать популярный и всеми полюбившийся бесплатный менеджер паролей на Андроид.

Вас также может заинтересовать статья « «, в которой мы рассказывали как с помощью приложения «Брандмауэр без рут» защитить мобильное устройство.

• Предисловие
• Хранилище паролей KeePassDroid
• Установка KeePassDroid
• Добавление новой записи
• Работа с паролями
• Редактирование записи
• Генератор сложных паролей
• Блокировка базы паролей
• Резервное копирование базы
• Изменение главного пароля
• Таймер очистки буфера
• Таймер блокировки базы

Почему именно KeePassDroid?

На сегодняшний день это самый надежный менеджер паролей. Недавний приложений для хранения паролей на Андроид показал, что большинство из них имеют большие проблемы и использование их небезопасно.

Как оказалась менеджеры паролей My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password хранят пароли в виде открытого текста, а в их коде можно найти ключи шифрования.

Вывод: хранение паролей Android с помощью приложения KeePass! Причем везде как на Андроид с помощью KeePassDroid так и на ПК с помощью KeePass.

Хранение паролей Android в KeePassDroid

KeePassDroid — маленькое бесплатное приложение для надежного хранения паролей и конфиденциальных данных в зашифрованном виде. Поддерживает работу с *.kdb базами версии KeePass 1.x/2.x и выше.

Установка KeePassDroid

Для начать необходимо скачать KeePassDroid. Переходим по ссылке на Google Play и нажимаем кнопку установить.

Приложение требует следующие разрешения. Соглашаемся и нажимаем «Принять».

После установки запускаем программу, нажав на кнопку «Открыть».

Также вы можете скачать KeePassDroid APK файл из источника, с официального сайта.

Примечание. Не в коем случае не качайте APK-файлы с варез-сайтов и форумов. По моему опыту могу сказать: половина из них заражены вредоносными программами.

Если у вас есть файл хранилища паролей, откройте его кнопкой «Открыть». Если вы в первый раз используете приложение, то тогда придется для начала создать базу данных паролей.

Откроется окно «Изменение пароля базы». Нужно придумать пароль, который будет защищать базу паролей от несанкционированного доступа (мастер-пароль).

Этот пароль должен быть уникальным и . Этот единственный пароль который вам придется запомнить. Только с его помощью вы сможете открывать свою базу паролей KeePass.

В будущем главный пароль можно будет изменить. Главное его не забыть!

Во второй строке следует повторить пароль.

Поле «Файл-ключ» можете не заполнять. Это пункт служит для того, чтобы открывать файл паролей с помощью как мастер-пароля, так и привязки к определенному (выбранному вами) файлу. Если выбранный вами файл отсутствует, злоумышленник не сможет открыть хранилище паролей.

После создания базы KeePass появится главное окно программы:

Добавление новой записи

Для удобства работы менеджер паролей KeePassDroid умеет хранить информацию о паролях в группах. По умолчанию программа создают две группы Email и Internet.

Вы можете изменить названия этих групп или вовсе удалить их. Ну и конечно же вы можете создавать собственные группы для удобства работы с паролями.

Для этого нужно нажать на кнопку «Новая группа» и ввести название новой группы.

Вы также можете изменять иконку группы.

В окне добавления записи есть несколько полей.

Ни одно из полей, кроме первого, не является обязательным.

• Название. У каждой записи о пароле должно быть название, по которому его можно будет опознать и найти в базе. В моем случае — почта Gmail.
• Логин. Имя пользователя, которое вместе с паролем служит для авторизации на сайте.
• Ссылка. Адрес веб-сайта, куда будет осуществляться вход.
• Пароль: Пароль для доступа к вашей учетной записи на сайтах. С правой стороны кнопка генератора паролей — удобного способа создания сложного пароля.
• Подтверждение. Повторный ввод пароля.
• Комментарий. В этом поле можно указать любую информацию касаемо учетной записи.

Примечание. Изменяя пароль в базе KeePassDroid, вы не изменяете его автоматически на сайте. KeePassDroid — безопасное хранилище паролей. Приложение лишь хранит ваши данные локально и ничего более.

После того как заполните нужные поля, нажмите «Сохранить» и ваш новый пароль появится в группе.

Работаем с паролями

Сохраненный в менеджере пароль может быть довольно длинным и сложным, запомнить такой пароль конечно нелегко, но к счастью, можно копировать пароль из базы в буфер обмена, и после этого вставлять в браузере на сайте.

Это делается просто. Открываем хранилище паролей и находим запись с нужным паролем. Тапаем (нажимаем) по кнопке меню программы.

После чего появится окно с несколькими пунктами. Нажмите на пункт поместить в буфер памяти логин или пароль.

Теперь откройте нужный сайт или приложение, тапните по соответствующему полю, а после по всплывающему слову «Вставить».

Редактирование записи

Пользователь может изменить пароль или другие данные учетной записи авторизации на сайте. Из соображений безопасности я рекомендую иногда менять пароли (хотя бы раз в год).

Нажимаем по группе и находим нужную запись.

После чего нажимаем «Правка», делаем изменения и жмем «Сохранить».

Генератор сложных паролей

Длинные пароли, состоящие из случайных символов разных множеств — надежное средство защиты от взлома, но на деле их не так уж и просто создать. Как правило пользователь для запоминания привносит в придумываемый им пароль свою логику. После чего пароль становится менее стойким. В рассматриваемом нами хранителе паролей есть свой генератор паролей, который помогает преодолеть эту проблему.

Открываем окно создания или редактирования записи. Нажимаем на кнопку с тремя точками рядом с полем для ввода пароля.

Появляется окно генератора паролей.

По умолчанию вам будет предложен 8-символьный пароль, но я рекомендую выбирать пароли посложнее, т,е подлиннее и с использованием специальных символов: верхний и нижний регистры букв и цифры, а также дефис и подчеркивание, что позволяет увеличить стойкость пароля.

«Быстрые кнопки» дают возможность выбора (6, 8, 12, 16 знаков). Вы также можете установить длину пароля вручную. Если сайт для которого вы заводите учетную запись не устанавливает специальных ограничений на длину пароля, то советую выбирать 20-символьный или более длинный пароль. В моем примере пароль имеет длину 28 знаков.

Щелкаем по кнопке «Создать пароль».

Если пароль вам по какой-то причине не нравится, можно щелкать по этой кнопке снова для повторного создания пароля.

В конце тапаем по кнопке «Принять».

Блокировка базы паролей

Зачем нужно блокировка базы?

Это необходимо в случаях если вы используя KeePassDroid, захотите прерваться, отойти и т.д. и на какое-то время вам придется оставить ваш телефон без присмотра. С точки зрения информационной безопасности это неоправданный риск. В таких случаях вы можете заблокировать базу, не прекращая работу приложения.

Делается это так: жмем по иконке замка в верхней части окна.

KeePassDroid возвращает нас ко входу в базу, где нужно снова ввести мастер-пароль.

Резервное копирование базы

База KeePassDroid — файл, который по дефолту имеет расширение.kdb. По умолчанию база находится в папке keepass. Вот полный адрес:

/mnt/sdcard/keepass

Важно. Расширение.kdb «выдает» базу паролей. Злоумышленнику довольно легко об этом догадаться. Если он даже на короткое время получит доступ к вашему телефону, он может скопировать или отправить по почте себе файл паролей, чтобы в будущем постараться узнать главный пароль и заполучить ваши данные. Лучше если злоумышленник не будет знать, где именно хранится ваш файл паролей. Поэтому я рекомендую:

• Переименовать файл.kdb, дав ему не связанное ни с чем по смыслу название и расширение.
• Переместить файл хранилища паролей из папки в которой он хранится по умолчанию в другую папку, где он не будет привлекать внимание. (Не храните файл паролей в папке которая может быть удаленна!).

Для этого можно использовать любой файловый менеджер или сделать это подключив телефон к компьютер.

Чтобы сделать резервную копию паролей, достаточно скопировать файл.kdb на компьютер (флешку или другой носитель). Помните, что файл можно открыть и в программе KeePass на разных операционных системах. О том как использовать KeePass на Windows вы можете узнать перейдя по ссылке в начале статьи.

Изменение главного пароля

Вы можете изменить главный пароль в любое время. Я рекомендую делать это как можно чаще, даже если пароль не был скомпрометирован.

Открываем базу паролей (как обычно).

Нажимаем по значку вызова меню в правой верхней части экрана.

В появившемся меню выбираем «Пароль базы».