Kaspersky password manager отзывы

Андрей Егоров

27 ноября 2015

С тем, что количество паролей, которые надо запомнить, точно больше, чем места для них в голове, столкнулись, наверное, все активные пользователи Сети. И одно дело — пароли от сервисов и сайтов, которые вы используете каждый день, — эти как-то сами откладываются. А другое — от какого-нибудь форума, на который вы попадаете раз в пару месяцев, а то и реже. Это же вообще нереально держать в памяти!

Что делать? Можно, конечно, назначать везде один пароль — но это грозит большими проблемами с безопасностью: кто-то получил в свои руки базу какого-нибудь сервиса, где вы зарегистрированы, — и можно прощаться со всей цифровой жизнью: уведут все, начиная с почты и заканчивая учетной записью в Steam.

Хорошо, этот вариант отметаем. Тогда аккуратно записывать все пароли в текстовом редакторе и хранить в одном файле, но тут та же проблема: а если файл потеряется? Ну и его надо либо хранить в облачном сервисе, чтобы все пароли были под рукой, либо вручную синхронизировать. А ещё этот файл также случайно может попасть в руки не очень порядочным людям — а дальше вы знаете. В общем, это тоже небезопасно.

Так что же, все заучивать и помнить безумное количество паролей наизусть? Тоже не получится! Обычно пользователь запоминает только те пароли, которыми пользуется постоянно. Остальные быстро выпадают из памяти, особенно если они достаточно безопасные — со сменой регистров, цифрами и символами. В общем, для того, чтобы облегчить жизнь пользователю, существует специальный тип программ — менеджеры паролей. Основная задача такого приложения — собрать, зашифровать и надёжно хранить информацию обо всех ваших учётных записях, сделав её недоступной для злоумышленников и доступной для вас. В рамках этой статьи мы рассмотрим пять наиболее известных менеджеров паролей, которые существенно облегчают жизнь миллионам пользователей во всём мире.

⇡#LastPass

Лицензия условно-бесплатная (подписка)
Платформы Windows, MacOS, Linux, iOS, Android, Windows Phone, BlackBerry, FireFox Mobile
Сайт программы LastPass

Одним из наиболее известных менеджеров паролей считается LastPass — детище американской компании LastPass Corporate. Среди удобств программы обычно отмечают её простой интерфейс, мультиплатформенность, надёжное шифрование паролей, которое происходит на вашем устройстве, и только потом данные уже в зашифрованном виде передаются на серверы компании.

Приложение работает как на Windows, так и на Linux, Mac, а также на мобильных устройствах и планшетах под iOS и Android, на смартфонах под управлением Windows Phone, BlackBerry и даже FireFox Mobile. Кроме «домашней» версии, существует и корпоративная, имеющая функцию интеграции с локальным контроллером домена и настройки политик доступа. Также она хранит данные обо всех учётных записях сотрудников в корпоративных интернет-службах. Например, с помощью LastPass возможно настроить доступ работников организации к Office 365, Google Apps for Work и прочим бизнес-сервисам в Интернете, которые использует компания.

Для начала работы с LastPass необходимо загрузить специальную программу и зарегистрироваться в системе. Скачав инсталляционный файл, запустите его, после чего откроется окно установки. Выберите опцию «Дополнительные параметры», чтобы установить настройки программы — в частности, можно задать каталог размещения приложения, указать, для каких браузеров будут установлены расширения LastPass, а также задать дополнительные параметры конфиденциальности.

Окно установки LastPass

Задаём дополнительные параметры установки

После установки приложение предлагает войти в существующую учётную запись или создать новую. При регистрации в сервисе необходимо указать свой действующий адрес электронной почты и задать мастер-пароль. Согласно заявлениям разработчиков, мастер-пароль нужно очень хорошо запомнить и вводить очень внимательно. Если вы его забудете, то в лучшем случае получите фразу-напоминание. Сам пароль администрации администрация сервиса прочитать не может, о чём нас и предупреждают. Требования к мастер-паролю следующие: минимум восемь символов, также рекомендуется использовать сочетание больших и маленьких букв и цифр.

После регистрации программа найдёт пароли в хранилищах браузеров и предложит их импортировать. Просмотрите список и нажмите кнопку «Импорт», если хотите импортировать данные учётных записей. Опционально от этого можно отказаться, нажав кнопку «Нет, спасибо». Следует отметить, что при импорте пароли удаляются из хранилища браузера, и теперь авторизация в сервисах будет проходить через службы LastPass.

Окно импорта паролей в систему LastPass

Теперь запускаем браузер, которым вы обычно пользуетесь, и устанавливаем дополнение. Затем проходим авторизацию — для этого щёлкните мышью на значке программы, а в открывшемся окне введите адрес электронной почты, на который вы зарегистрировались, и тот самый мастер-пароль — единственный пароль, который вам теперь потребуется помнить.

Проходим авторизацию в системе

После авторизации вы попадаете в раздел управления LastPass. Здесь возможно добавлять и удалять учётные записи, а также настраивать систему.

В разделе «Хранилище» находятся все данные о ваших учётных записях, для удобства рассортированные по папкам-категориям. При щелчке по папке откроется список паролей, содержащихся в ней. Каждый пароль можно посмотреть, выбрав соответствующую опцию рядом.

Список учётных записей

Изменение данных об учётной записи

В окне изменения данных об учётной записи можно сменить пароль, папку размещения учётной записи, добавить заметки, а также настроить дополнительные параметры — например, можно включить автоматический вход при авторизации на сайте.

Ещё одна интересная возможность приложения, на которую хотелось бы обратить внимание, кроется в разделе «Профили заполнения форм».

Профиль: вводим личную информацию

Профиль: контактная информация

Здесь вы можете создать и заполнить профиль пользователя, указав информацию о себе — фамилию, имя, отчество, домашний адрес, номер мобильного телефона, сведения о кредитной карте и многое другое. Теперь при регистрации на сайтах вам не нужно будет вводить все это по многу раз: достаточно лишь выбрать соответствующий профиль — и все данные заполнятся автоматически.

Автоматическое заполнение при регистрации на mail.ru

При создании пароля можно воспользоваться генератором, который предложит сложную для взлома и подбора комбинацию букв, чисел и символов — что-то типа sZoxpYi1DZY9, как показано на рисунке ниже. С помощью настроек можно установить длину пароля и то, какие символы вы хотите в нём использовать.

Окно создания пароля

Теперь рассмотрим, как проходить авторизацию на сайте, если учётная запись на данном ресурсе внесена в LastPass. Здесь, в общем, всё просто — открываете сайт и щёлкаете мышью по значку программы в поле авторизации.

Проходим автоматическую авторизацию на forum.3dnews.ru

Следует отметить, что, помимо обычной подписки, есть и премиум-режим. Стоит он $ 12 за один год и включает дополнительные возможности для учётной записи — общее с мобильными устройствами хранилище паролей и возможность делиться информацией об одной или нескольких учётных записях с другими пользователями. Например, неким интернет-ресурсом пользуетесь не только вы, но и ваши жена, дети или родители. У каждого из них есть свой аккаунт в LastPass. С помощью этой функции возможно поделиться информацией об учётной записи на этом сайте, после чего другой пользователь LastPass сможет под ней авторизоваться.

В премиум-версии, как упоминалось выше, есть поддержка синхронизации паролей с мобильными устройствами. После установки приложения необходимо войти в LastPass под вашим аккаунтом, после чего на ваше мобильное устройство загрузится информация обо всех ваших учётных записях, сохранённых в системе.

Приложение LastPass для iOS

Также имеется возможность просмотреть информацию о каждой учётной записи, отредактировать её или перейти на сайт, для которого этот аккаунт создан, и авторизоваться.

Меню учётной записи в приложении для iOS

В целом LastPass производит очень хорошее впечатление — это удобная и функциональная программа, которая имеет множество полезных возможностей. К небольшим минусам разве что можно отнести отсутствие в бесплатной версии возможности синхронизации учётных записей с планшетами и мобильными устройствами — но надо же разработчику как-то монетизировать свой сервис.

⇡#Sticky Password

Лицензия условно-бесплатная (подписка)
Платформы Windows, MacOS, iOS, Android
Сайт программы Sticky Password

Следующая программа, о которой хотелось бы рассказать, — Sticky Password от чешской компании Lamantine Software. Приложение доступно на нескольких платформах и также умеет синхронизировать ваши аккаунты с разных устройств. Согласно заявлениям разработчиков, Sticky Password умеет хранить все ваши пароли в зашифрованном хранилище, а также автоматически заполнять формы и номера кредитных карт для быстрого использования. Защищается ваша информация традиционным мастер-паролем, который и нужно запомнить. Как и в случае с LastPass, создатели системы сообщают, что не знают наш мастер-пароль, поэтому его нужно хорошенько заучить и не забывать. Из более интересных фич в программе имеется поддержка шифрования стандарта AES-256, биометрическая аутентификация и возможность синхронизации паролей ваших устройств через Wi-Fi. Также авторы обещают корректную работу приложения в четырёх наиболее популярных операционных системах и шестнадцати браузерах, включая Google Chrome, Mozilla Firefox, Safari и Internet Explorer.

Sticky Password распространяется по подписке. При первой установке программы вам предложат создать учётную запись, после чего вы получите 30 пробных дней премиума. Через месяц учётная запись Sticky Password автоматически становится бесплатной. Традиционно премиум-пользователи имеют ряд преимуществ перед обычными. Например, только платным пользователям доступна возможность синхронизации (как через Wi-Fi, так и через облачные службы компании), а также сохранение резервных копий хранилища паролей в облаке. Это удобно, если, например, вы переустанавливали операционную систему или приобрели новое устройство — все равно сможете быстро восстановить все пароли в системе. Цена премиум-аккаунта на одного пользователя составляет 1 190 рублей за один год, за бессрочную премиум-лицензию придется раскошелиться на 5 990 рублей

Установка Sticky Password не отличается особой сложностью — нужно лишь загрузить программу с официального сайта и традиционно запустить файл установки. После инсталляции приложение необходимо настроить.

Начало мастера настройки Sticky Password

На следующем шаге вам предложат войти в учётную запись или создать новую, для которой потребуются адрес электронной почты и мастер-пароль. В общем, здесь тоже всё стандартно.

Создаём учётную запись

В следующем окне подтверждаем мастер-пароль и ставим галочку, что этот самый мастер-пароль нигде не сохранён и его знает только пользователь. Далее программа предложит произвести синхронизацию данных через облачные службы Sticky Password. Если у вас несколько устройств, выбираем вариант с синхронизацией.

Включаем синхронизацию или отказываемся от неё

Затем нужно выбрать браузеры, в которых вы хотите использовать Sticky Password, после этого программа готова к работе.

После получения паролей из хранилища браузера программа напомнит о 30 днях бесплатной премиум-подписки, ну а затем, нажав кнопку «Старт», вы сможете прочесть небольшую инструкцию по работе с программой и запустить наконец рабочее окно приложения.

Рабочее окно Sticky Password

В разделе «Учётные записи Интернета» располагается список аккаунтов пользователя, обнаруженных на компьютере. Каждую запись можно редактировать или удалить, также можно добавить новую. Записи предлагается группировать по папкам. Само собой, можно создавать новые папки и копировать в них данные учётных записей.

Раздел «Учётные записи Интернета»

Добавление новой учётной записи

Еще одной примечательной особенностью программы является возможность сохранять пароли не только для сайтов, но и для приложений. Возможно выбрать программу и задать имя пользователя и пароль для входа в неё. Если программа не видна в Sticky Password, необходимо выбрать её через меню обзора.

Хранилище учётных записей приложений

Как и в LastPass, в приложении имеется возможность добавления персональных данных для заполнения форм — эту часть надо искать в разделе «Визитки». Нажмите кнопку «Добавить визитку» — и в открывшемся окне нужно будет заполнить информацию о себе. В дальнейшем её можно использовать для заполнения профилей при регистрации на различных ресурсах.

Добавляем информацию о себе

В браузерах с установленным Sticky Password появляется расширение — с помощью его возможно быстро проходить процесс авторизации на сайтах, учётные записи к которым располагаются в вашем хранилище паролей. Для этого открываем меню опций «Учётные записи Интернета», а потом выбираем нужный сайт. После этого браузер откроет выбранный ресурс и добавит необходимые данные для входа.

Дополнение для браузера Internet Explorer

⇡#Kaspersky Password Manager

Лицензия условно-бесплатная (подписка)
Платформы Windows, MacOS, iOS, Android
Сайт программы Kaspersky Password Manager

Kaspersky Password Manager — совместный проект компаний «Лаборатория Касперского» и Lamantine Software. Password Manager создан на основе Sticky Password, поэтому программы очень похожи. в общем, во всем. Приложение является условно-бесплатным. Бесплатная версия может хранить только до пятнадцати учётных записей, для хранения большего количества аккаунтов необходимо приобрести платную версию. Здесь стоит заметить, что отдельно программа не продаётся, купить её возможно только в составе Kaspersky Total Security или Kaspersky Small Office Security.

Тем не менее, несмотря на то, что Password Manager входит в состав этих приложений, его также можно загрузить отдельно с сайта «Лаборатории Касперского». Установка программы, в общем, такая же, как у предыдущих: запускаем исполняемый файл и следуем указаниям мастера установки. В отличие от Sticky Password, здесь учётные записи синхронизируются с серверами «Лаборатории Касперского», и для включения синхронизации необходимо указать либо учётную запись My Kaspersky в случае домашнего использования в составе Kaspersky Total Security, либо учётную запись вашей компании на специальном портале «Лаборатории Касперского» для организаций.

Рабочее окно Kaspersky Password Manager

В общем и целом по набору функций Password Manager практически полностью повторяет Sticky Password, поэтому мы не будем подробно рассматривать его. После установки программа также добавляет расширения для ваших браузеров. С помощью этих расширений вы можете проходить быструю авторизацию на сайтах, на которых вы зарегистрированы, и добавлять свои данные для быстрой регистрации, чтобы не вводить их каждый раз.

Логины, пароли, адреса, контакты, личные и банковские данные — все это непременные атрибуты сегодняшнего Интернета. Мы каждый день сталкиваемся с заполнением всевозможных веб-форм для доступа к той или иной информации, будь-то вход под своим логином на сервер бесплатной почты или регистрация на сайте. Вам, так или иначе, придется заполнить ряд полей Интернет страницы для доступа к необходимым данным. Хранить в голове кучу логинов и паролей, а также другие ценные данных очень сложно, соответственно возникает вопрос, как быть и что делать?

В целом все способы хранения пользователями личных данных известны. Кто-то записывает все свои логины и пароли в блокнотик или на листок бумаги, кто-то хранит данные на компьютере или на флешке в виде текстового файла, кто-то запоминает, кто-то сохраняет все пароли прямо в браузере (не лучшая идея), но при этом все сталкиваются с одной проблемой. Эти данные приходится каждый день многократно вводить в поля веб-форм Интернет страниц различных сайтов, либо в случае с хранением паролей в браузере, данные будут защищены весьма слабо. Я уже не говорю о том, что сам пароль ни в коем случае не должен быть плана:

gornakov или stanislav1969

Пароли такого плана – это не пароли, это широко открытая дверь вашего дома в любое время суток, а то и вовсе дом без двери. Такие пароли и им подобные названия ломаются хакерами и другими заинтересованными личностями за пару затяжек сигареты! Поэтому лучше никогда не использовать в паролях свои имена и фамилии, имена подруг и друзей, имена домашних животных, месяцы и дни недели, названия городов и так далее, но как говорится, я Америки не открыл — прописная истина. Кроме этого не нужно забывать хоть раз в месяц (как минимум) менять пароль, а значит, придется запоминать или записывать его заново, что само по себе добавляет лишних сложностей. Лучший пароль — это когда используется множество символов в количестве не мене 20, а в идеале не менее 40 символов, да еще и в разных регистрах. Например, вот отличный пароль, который взломать ну практически не возможно.

как впрочем, и запомнить… Вот здесь нам на помощь и приходят специальные программы, которые называются менеджеры паролей. Суть работы этих программ достаточна проста. Менеджер паролей устанавливается на компьютер и хранит в зашифрованном виде данные (как правило, под одним главным паролем), а также, что немало важно автоматически подставляет логины и пароли на различных Интернет ресурсах. Таких программ множество в Интернете, как платных, так и бесплатных. В этой статью предлагаю рассмотреть две программы RoboForm от Siber Systems Inc. и от небезызвестной всем Лаборатории Касперского. Лбами друг с другом их сталкивать не буду, просто опишу механику работы обеих программ, поскольку по моему личному мнению, выбор любой программы – это дело личных предпочтений.

Менеджер учетных записей RoboForm

Разработчик: Siber Systems Inc.
Сайт программы: www.roboform.com/ru
Русский перевод: Да
Стоимость: Бесплатная версия/Платная версия 599 рублей

Программа RoboForm – это одновременно и менеджер паролей, и менеджер, и заполнитель всевозможных веб-форм Интернет страниц и форм других программ, установленных на компьютере. Например, RoboForm может выступать в качестве хранитель вашего логина и пароля в ICQ/MSN/AOL и так далее. То есть практически везде, где есть форма с паролем на веб-странице и другими данными можно легко и просто использовать RoboForm для хранения различной информации. С помощью RoboForm вы сможете сохранить ваш пароль и другие данные в его памяти, «закрыв» их одним паролем – главным паролем. Фактически главный пароль – это единственный пароль, который вам предстоит запомнить и который нужно вводить один раз при старте компьютера или входе в свою учетную запись (зависит от ваших настроек программы). Когда же RoboForm запущен на компьютере, то вы сможете без труда заходить и авторизироваться на сайтах в один клик мыши, заполнять автоматически любые веб-формы на сайтах, генерировать новые защищенные пароли с помощью встроенного генератора паролей, хранить ваши банковские и другие личные данные и многое другое. Все это может и умеет делать RoboForm. К слову мне понравилось высказывание одного из пользователей этой программы в Интернете, когда я искал себе замену бесплатному менеджеру паролей (утратившему мое доверие по причине не стабильной работы), который сказал: «ну не знаю, а как же жить без RoboForm?». Сама ппрограмма встраивается тулбаром во все основные браузеры (IE, Firefox и с недавних пор в Chrome), за исключением Оперы, но это «болезнь» Оперы и она известна всем.

Разработкой программы RoboForm занимается американская компания Siber Systems Inc. Программу можно скачать на сайте по адресу: www.roboform.com/ru. Программа и сайт полностью русифицированы. На текущей момент RoboForm доступен в версии 6.9, и в ближайшее время ожидается появление новой версии за номером 7, с новыми «фишками» и возможностями. Сама программа поставляется в двух редакциях: RoboForm и RoboForm Pro. Кроме этого еще имеется программа RoboForm2Go, предназначенная для работы с флеш-накопителя, а также мобильные версии RoboForm для работы на мобильных устройствах под управлением Windows Mobile и Symbian. В чем отличия версий RoboForm и RoboForm Pro?

RoboForm – это бесплатная версия программы и первые 30 дней она будет работать как полнофункциональная версия RoboForm Pro. Как только закончится 30 дней, вы по-прежнему сможете работать с этой программой, но автоматически включится ограничение на количество учетных записей, а именно можно будет хранить 10 пасскарт и 2 персоны. О назначении этих терминов мы поговорим позже в статье. То есть бесплатная версия программы накладывает лишь ограничения на количество хранения учетных записей, весь остальной функционал программы доступен в полном объеме. Стоимость RoboForm Pro на данный момент составляет всего 599 рублей. Купить программу можно прямо на сайте и там же можно оформить дополнительные лицензии со скидкой, и приобрести со скидкой другие продукты Siber Systems Inc.

К слову, искренне надеюсь, что вам не придет в голову использовать программу со всевозможными «кряками», поскольку это все равно, что самому лично выслать свои пароли и другие данные злоумышленнику. Очевидно, что «кряк» к такой программе может содержать все что угодно! Соблазн завладеть личными данными пользователей в этом случае весьма велик, и одному только хакеру известно, что он встроил в этот «кряк». Так что тут без вариантов, с серьезными личными данными шутить нельзя и уж тем более при цене в 599 рублей за одну копию этой многофункциональной программы.

Установка программы проста и не должна вызвать у вас затруднений. По окончанию установки RoboForm на компьютер, вам будет предложено задать главный пароль. Кроме простого текстового поля в форме указания главного пароля также присутствует виртуальная клавиатура для набора пароля мышей. Именно этот главный пароль будет закрывать доступ к вашим данным, хранящимся в RoboForm. Хакнуть или завладеть главным паролем можно лишь с вашего компьютера, то есть этот пароль не доступен в сети Интернет и все ваши данные скрытые этим паролем буду храниться в надежном месте. Но все равно к выбору главного пароля нужно подходить очень тщательно и стоит придумать сложный пароль с большим количеством всевозможных символов. Этот пароль вы будете вводить всего один раз при первом старте программы и компьютера, либо если вы сами выгрузите пароль из памяти программы, а такая возможность в продукте предусмотрена. Например, вы работает за компьютером не в одиночку или вам нужно отойти от рабочего места (см. статью в журнале «Узнать за 60 секунд»). Кроме этого в настройках программы задается время хранения главного пароля и здесь можно указать любые временные промежутки для хранения главного пароля в памяти RoboForm.

Программа RoboForm оперирует так называемым пасскартами и персонами. В этом разделе мы поговорим о пасскартах и их возможностях. По своей сути пасскарта – эта одна учетная запись для одного из сайтов в связке пароль + логин. То есть пасскарта хранит логин и пароль для одного аккаунта одного из сайтов в сети Интернет. Таких учетных записей или пасскарт для одного сайта или множества сайтов может быть любое количество в рамках лицензии (бесплатная версия программы после 30 дневного срока позволяет хранить лишь 10 пасскарт).

После установки программы, зайдя на любой сайт, в момент ввода пароля и логина, RoboForm предложит вам сохранить данные в новой пасскарте. Сохраняя пароль, вы можете указать папку для хранения пасскарты (полезно, если у вас несколько аккаунтов на одном из сайтов или вы хотите тематически разделить пасскарты), а также необходимо задать ее имя и определиться будете ли вы защищать новую пасскарту главным паролем. Защищать пасскарты главным паролем нужно однозначно, если данный аккаунт имеет для вас важное значение! Если же это дежурная регистрация на каком-то малоинтересном сайте, но на который вы время от времени будете заходить, то можно обойтись и без защиты пасскарты главным паролем, хотя я советую защищать все данные. Впоследствии через настройки программы в одни клик вы всегда сможете защитить пасскарту главным паролем, так же как и разблокировать ее от защиты главного пароля. Сохранив, таким образом пасскарту, вы тем самым сохраняете логин и пароль для данного сайта в программе. Чтобы в следующий раз зайти под своим логином и паролем, достаточно выбрать в меню тулбара своего браузера или в панели задач компьютера иконку RoboForm, пункт меню Логин -> Название пасскарты. В ответ на эти действия, программа автоматически переместит вас на Интернет страницу запрашиваемого сайта, а также войдет под вашим логином и паролем. К слову, если иконка RoboForm в тулбаре или в панели задач «в черных очках» то это значит, что на данный момент RoboForm хранит у себя в памяти главный пароль. Чтобы выгрузить пароль необходимо выбрать в меню пункт Выйти. Не путать с пунктом меню Выход. Здесь на мой взгляд вместо слова Выйти лучше бы было использовать фразу Выгрузить пароль, во избежание путаницы.

Кроме этого, посещая один из сайтов, для которых у вас уже создана пасскарта, программа RoboForm автоматически в тулбаре браузера в пункте Пасскарты предложит вам все имеющиеся паскарты для данного сайта. Вам лишь необходимо навести курсор в тулбаре на название пасскарты и выбрать команду Заполнить либо Послать и заполнить. Первая команда только заполняет форму авторизации, а вторая команда и заполняет форум авторизации и автоматически входит на сайт под данным логином и паролем.

Все сохраненные пасскарты доступны для редакции, а также вы можете вручную без посещения сайта, но с открытым браузером сами создавать новые паскарты. Для этих целей в системе существует Редактор Пасскарт. Открыть его можно из меню программы (тулбар или иконка программы на панели задач), выбрав пункты Инструменты -> Редактор Пасскарт. В открывшемся окне для редакции имеющейся паскарты выберите левой кнопкой мыши ее название, и справой стороны в соответствующих полях редактируйте имеющиеся данные. Для создания новой пасскарты в этом же окне нужно выбрать в меню Пасскарта -> Создать (опция функционирует только при открытом браузере) и далее указать название будущей пасскарты и задать логин с паролем.

Персона на языке RoboForm – это набор личных и других данных одного из пользователей вашего компьютера или вас лично. Персон на компьютере может быть любое количество в рамках лицензии (бесплатная версия программы после 30 дневного срока позволяет хранить 2 персоны). Что же хранит в себе персона? Да все что угодно! Начиная от логина и пароля, заканчивая номером кредитной карты банка. В одной персоне вы можете хранить огромное количество всевозможных данных, что, в конечном счете, облегчит вам задачу заполнения всевозможных веб-форм. Например, вы создали в системе новую персону, указав в ней пароль, логин, адрес электронной почты, имя, фамилию, ник, год/день/месяц рождения, секретный вопрос с ответом, город, страну, телефон и так далее. После чего идете на сайт с необходимостью дальнейшей регистрации. Заходите на страницу регистрации и выбираете в меню тулбара браузера одну из персон (наведите курсор на персону и в появившемся контекстном меню выберете команду Заполнить). В ответ RoboForm автоматически заполняет все поля формы регистрации и вам лишь останется ввести символы с капчи и нажать кнопку подтверждения регистрация. Все — минимум телодвижений и максимум удобства при регистрации и заполнении всевозможных веб-форм, начиная от простой анкеты пользователя и заканчивая банковскими реквизитами организации. И все это надежно хранится под защитой RoboForm.

Редакция персон также доступна из редактора, но уже под названием Редактор Персон. Открыть редактор можно выбрав в меню программы пункт Инструменты -> Редактор Персон. В ответ на эти действия вам откроется окно редактора с вкладками Сводка, Личность, Бизнес, Место, Кредитка, Счет в банке, Любимый пароль и Настраиваемые. Как видно из названий вкладок, каждая из них предназначена для ввода определенных данных. Заполните имеющиеся поля (поля можно заполнять выборочно и в любом порядке), затем сохраните персону, выбрав в меню пункт Сохранить и ваша персона будет сохранена в программе. Теперь можно пользоваться данной персоной на любом из ресурсов сети Интернет.

В целом программа обладает огромным функционалом и большим количеством системных настроек. Если вы ищите для себя помощника и надежного хранителя ваших данных, то стоит обратить свое внимание на RoboForm.

Менеджер паролей Kaspersky Password Manager

Разработчик: Лаборатория Касперского
Сайт программы: www.kaspersky.ru
Русский перевод: Да
Стоимость: 900 рублей

В данный момент Kaspersky Password Manager предлагается как самостоятельный и отдельный продукт, но по некоторым данным в следующем году он войдет в состав одного из новых продуктов компании «Лаборатория Касперского». Сейчас стоимость программы составляет 900 рублей. В том случае если вы собираетесь приобрести несколько продуктов «Лаборатории Касперского», то предусмотрены интересные скидки. На сайте компании в разделе «Интернет-магазин» можно найти больше информации по скидкам и способам приобретения программы.

Программа Kaspersky Password Manager предназначена для хранения паролей (связка логин и пароль), который вы используете для доступа к веб-сайтам. Кроме этого Kaspersky Password Manager умеет запоминать параметры доступа и для обычных программ, использующихся на компьютере, например ICQ, ваш кошелек WebMoney (WebMoney Keeper), Outlook и так далее. Все пароли хранятся в зашифрованном виде на компьютере в базе данных самой программы. Доступ ко всем паролям возможен только через ввод так называемого мастер-пароля. Помните, в предыдущей статье мы говорили о главном пароле? В случае с программой Kaspersky Password Manager используется название мастер-пароль, что по своей сути одно и то же. Мастер-пароль защищает все ваши учетный записи и без него доступ к данным будет закрыт.

Создание или точнее назначение мастер-пароля происходит на последнем этапе инсталляции программы на компьютер. После успешной установки Kaspersky Password Manager откроется окно ввода мастер-пароля. Ввести мастер-пароль можно как с обычной клавиатуры, так и с помощью виртуальной клавиатуры, которая присутствует в окне ввода данного пароля. После назначения пароля, программа доступна для ее полноценного использования.

Сам мастер-пароль не хранится в памяти программы. Более того, даже при открытой базе пароли аккаунтов все еще зашифрованы. Для расшифровки информации используется ключ, образованный из мастер-пароля. Ключ этот хранится внутри системы Windows Crypto API. Для расшифровки пароля передается зашифрованный блок в Crypto API, а только тогда Kaspersky Password Manager получает расшифрованную информации.

В настройках Kaspersky Password Manager можно задать временной промежуток времени, в период которого мастер-пароль будет «висеть» в памяти Kaspersky Password Manager. Если мастер-пароль выгружен из памяти (например, вы принудительно вышли или закончилось время хранения пароля в памяти), то перед тем как заполнить учетные данные на сайте или данные для доступа к программе на компьютере, Kaspersky Password Manager запросит ввод мастер-пароля. Только после ввода пароля программа откроет для вас доступ к имеющимся учетным данным. Такой подход позволяет использовать программу и в общественных местах, например на работе. Кроме этого Kaspersky Password Manager умеет работать со всевозможными USB- и Bluetooth-устройствами для хранения мастер-паролей, что значительно расширяет потенциал программы и добавляет ей вистов в плане общей безопасности.

Принцип работы программы

После установки Kaspersky Password Manager на компьютер, в окне браузера в правом верхнем углу добавляется дополнительная кнопка с изображением ключика, с помощью которой вы можете вызвать менеджер паролей. Кроме этого автоматически добавляется иконка в панель задач. Кликнув правой кнопкой мыши на этой иконке, вы откроете контекстное меню с набором команд и всевозможными опциями для настройки программы.

На данный момент Kaspersky Password Manager умеет работать с разными Интернет-браузерами, за исключением Оперы. Но в прошлой статье мы уже упоминали о проблемах этого браузера, так что сейчас не будем подробно на этом останавливаться, поскольку это проблемы данного браузера, а не проблемы Kaspersky Password Manager. Также пока не поддерживается работа с Chrome (пока) и Safari.

Как только вы зайдете на один из сайтов, заполните поля Логин и Пароль и нажмите кнопку Войти, Kaspersky Password Manager в автоматическом режиме предложит вам сохранить введенный данные под определенным названием, то есть предложит вам создать новую учетную запись в своей базе данных. Сохранив эти данные, в дальнейшем вы сможете легко и беспрепятственно в автоматическом режиме проходить авторизацию на сайте. Kaspersky Password Manager сам предложит вам войти, а если этого не произойдет, то достаточно выбрать в браузере кнопку с изображением ключика и далее подходящую запись (связка логин + пароль). Для одного сайта или программы может быть задано абсолютно любое количество паролей.

Единственная проблема, которая возникала у меня в Kaspersky Password Manager с авторизайцией на сайтах, это проблема с вводом логина и пароля в формах авторизации, которые скрыты и всплывают на сайте по нажатию кнопки Войти. Вот здесь иногда возникали проблемы, но честь и хвала разработчикам. В такой проблемной ситуации Kaspersky Password Manager копировал пароль для сайта в буфер обмена, показывая соответствующее информационное сообщение, и предлагал ввести логин вручную. Сам пароль через 30 секунд (время доступно для настройки) выгружается из памяти.

Все записанные в программу учетные записи хранятся в базе данных программы и доступны для редакции через открытие встроенного окна менеджера паролей. Более того, вы можете прямо в окне менеджера паролей создать новую запись, где ввести логин, пароль и адрес сайта или программы. Также очень удобна функция импорта и экспорта данных в программу. В первом случае у вас есть возможность импортировать учетные записи из всех поддерживаемых программой браузеров или из файла определенного формата. Во втором случае вы можете произвести экспорт учетных записей в текстовый файл. Оба варианта: импорт и экспорт весьма удобны! Например, я импортировал все свои пароли из Интернет браузера Firefox в программу без каких-либо осложнений в один клик мыши. Вам советую сделать то же самое, поскольку Firefox, IE и другие браузеры хранят пароли в открытом виде и при желании злоумышленник может беспрепятственно завладеть вашими конфиденциальными данными.

Кроме массы перечисленных достоинств в состав продукта Kaspersky Password Manager входит генератор паролей, с помощью которого можно сгенерировать сложный пароль. Я лично ранее, когда собирался придумать очередной пароль, открывал на компьютере простой блокнот и беспорядочно шлепал по клавиатуре, переключаясь в различные регистры, создавая тем самым очередной безопасный и трудно запоминаемый пароль. Ставить на компьютер отдельно генератор паролей как-то особого желания не было, поэтому пользовался вот таким проверенным «дедовским» методом. С приходом Kaspersky Password Manager данная процедура стала на много проще и главное пароли получаются по-настоящему «знатными».

В целом Kaspersky Password Manager мне понравился, хоть и были некоторые проблемы при вводе паролей во всплывающих веб-формах сайтов. Его относительно небольшая стоимость, а также известный мировой бренд привлечет много заинтересованных пользователей. К слову, на сайте разработчика доступна бесплатная 30-дневная триальная версия.

Несмотря на то что в мире придумано много способов аутентификации и контроля доступа, именно пароль самый распространенный и одновременно наиболее уязвимый. Множество интернет-порталов и сервисов в целях безопасности запрещают пользователям создавать простые пароли, что, с одной стороны, хорошо, а с другой — просто неудобно. Если же умножить данный факт на десяток подобных сайтов, то мы получим настоящую головную боль. Для устранения пробела между человеческим фактором и безопасностью данных на помощь приходят менеджеры паролей, которые берут на себя организацию паролей пользователя. Однако при таком подходе получается, что безопасность пользователя зависит только от одного — от мастер-пароля.

WARNING

В сентябрьском номере журнала (№ 176) был краткий обзор и сравнение популярных менеджеров паролей, сегодня же подробно поговорим об их безопасности в целом. В этой статье мы критически подойдем к защите менеджеров паролей и рассмотрим несколько вариантов атаки на популярные менеджеры с целью получения мастер-пароля или возможности частичного получения данных, сохраненных в базе паролей.

В качестве экзаменуемых были выбраны пять наиболее популярных решений для ОС Windows:

Каждый из них мы проверим на уязвимость к следующим атакам:

  • атаке на мастер-пароль;
  • атаке на содержимое базы паролей;
  • атаке DLL Hijacking.

И по результатам проверки поставим каждому из них соответствующую оценку: плохо, удовлетворительно или хорошо.

Как известно, менеджеры паролей не сохраняют мастер-пароль где-либо на компьютере, и каждый раз при использовании менеджера пользователь должен вводить его вручную. Для перехвата таких паролей, как правило, используют кейлоггеры плюс запись движения курсора и снимки экрана, если имела место виртуальная клавиатура. Однако в нашем случае мы не будем писать сложные теневые драйверы для перехвата нажатий клавиш и снимков экранов, так как они могут поставить нашу атаку в лабораторные условия и легко детектятся антивирусами. Мы рассмотрим интересный, но не новый способ получения пароля прямо из окна ввода через вызов API SendMessage c параметром WM_GETTEXT . Этот способ замечателен тем, что многие антивирусы не распознают его как потенциально опасное действие, а реализуется он буквально парами строк кода, плюс для его запуска не требуется наличие прав администратора.

Кроме того, атаку через SendMessage можно применить для получения текстовых данных из любых окон приложения, поэтому, даже если мастер-пароль не поддастся, есть большая вероятность частичного или полного получения содержимого самой базы после ее открытия.

Помимо этого, мы будет проверять уязвимость каждого менеджера к атаке DLL Hijacking, чтобы выяснить, насколько корректно каждый из них загружает динамические библиотеки. И если будет обнаружена возможность подменить загружаемую библиотеку на свою, то это будет означать, что мы сможем выполнить произвольный код в системе. И хотя данной атаке подвержено большое количество различных приложений, в случае с менеджерами паролей она имеет свой нюанс. Многие пользователи часто работают за разными компьютерами, и поэтому они запускают менеджеры паролей со съемных устройств. Если при каждом таком запуске будет происходить загрузка несанкционированной библиотеки, то фактически сам менеджер паролей превращается в опасного распространителя вирусов.

Писать для каждого менеджера паролей свой собственный эксплойт неэффективно, поэтому давай лучше напишем универсальный. Преимущества такого эксплойта заключаются в том, что с его помощью мы можем не только «выдернуть» мастер-пароль и сохраненные в самой базе пароли, но также использовать его для других приложений, в которых есть форма ввода пароля. Фактически по функционалу у нас получится простой и удобный хактул, позволяющий получать пасворды, быстро дать ответ на интересующий вопрос для любого приложения. Ну а теперь перейдем к самому кодингу.

Прежде всего нам понадобится функция, которая будет подготавливать поле memo для принятия новых данных и определять хендл главного окна под курсором, после чего будет получать хендлы дочерних окон и передавать его последующей функции для распознания содержимого окна.

За вывод содержимого дочерних окон будет отвечать функция EnmWndwsWnd .

После запуска программа, используя таймер, будет отслеживать положение курсора на экране и определять текст под ним, то есть достаточно навести на необходимое поле курсор, чтобы мгновенно узнать пароль. Кроме того, с помощью данной тулзы можно узнать текстовое содержимое всех окон в приложении. Данная функция будет полезна, чтобы мгновенно просканировать содержимое базы паролей после открытия менеджера.

В нашем случае для обнаружения DLL Hijacking можно использовать широко известный Procmon. Кроме Procmon, также подойдет другая известная утилита API Monitor, где в соответствующем меню настроек предварительно необходимо указать перехват функций LoadLibrary и LoadLibraryEx . Если библиотека вызывалась без указания полного пути, а указывалось лишь конечное имя файла, то у нас есть все шансы найти уязвимый DLL-файл. Теперь напишем небольшой код, который будет сигнализировать о наличии уязвимости и в качестве доказательства открывать калькулятор.

Созданная библиотека будет открывать калькулятор каждый раз, когда приложение ее загрузит, таким образом мы сможем однозначно судить о наличии DLL Hijacking.

Ну а теперь пришло время приступить непосредственно к оценке безопасности менеджеров паролей. Первым экзаменуемым у нас будет Kaspersky Password Manager. Возможно, виртуальная клавиатура смогла бы помочь ему в случае с кейлоггерами, но в нашем случае мастер-пароль был получен сразу и без каких-либо трудностей. Первый раунд не в пользу «Лаборатории Касперского».

Получение мастер-пароля в Kaspersky Password Manager

Хакер #179. Интернет вещей — новый вектор атак

Второй раунд также оказался за нашей хак-тулзой. После ввода мастер-пароля сохраненные данные частично удалось заполучить в момент их просмотра или редактирования.

Перехват сохраненных данных в Kaspersky Password Manager

Кроме всего, KMP оказался подвержен и третьей атаке (DLL Hijacking). При старте он пытается загрузить библиотеку bthprops.cpl. Данная библиотека находится в системной директории и необходима для работы с Bluetooth-устройствами, однако KMP пытается запустить ее без указания полного пути, что и послужило причиной уязвимости. Таким же образом происходит загрузка другой библиотеки cryptsp.dll. Достаточно разместить вредоносную библиотеку, которая, к примеру, может содержать эксплойт для предыдущих двух атак, в одной директории с приложением и переименовать ее в bthprops.cpl, после чего она сможет загружаться каждый раз при запуске KMP.

Kaspersky Password Manager открывает калькулятор при каждом запуске

Подводя итог, можно сказать, что Kaspersky Password Manager оказался далеко не на высоте. Итоговая оценка — плохо.

Немногие знают, что Sticky Password является родителем Kaspersky Password Manager. Именно на его основе «Лаборатория Касперского» в свое время разработала собственный продукт. Оба менеджера обладают схожим функционалом и структурой, фактически главное их отличие — это номера версий и дизайн. Несмотря на то что последняя версия Sticky Password вышла совсем недавно, программа по-прежнему не избавилась от всех тех проблем, которыми когда-то наградила своего отпрыска. Первая и вторая атака успешно выдала мастер-пароль и частично содержимое базы паролей.

Получение мастер-пароля в Sticky Password

Как и в случае с Kaspersky Password Manager, третий раунд оказался не в пользу Sticky Password: был выявлен ряд уязвимостей DLL Hijacking. При запуске приложение пытается загрузить несколько динамических библиотек из собственного каталога: fitlib.dll, olepro32.dll, profapi.dll. Общий вердикт такой же, как и у Kaspersky Password Manager. Итоговая оценка — плохо.

1Password от компании Agile Bits первый тест прошел успешно и не дал так просто заполучить мастер-пароль, как в предыдущих двух случаях. Также очень порадовало наличие защитной функции Unlock on Secure Desktop , которая блокирует любой доступ к приложению в момент ввода пароля. Единственным моментом, когда удалось заполучить мастер-пароль нашей атакой, стал лишь непосредственный момент создания базы паролей. Однако такой метод малоприменим на практике, поэтому его результат мы не учитываем. После открытия базы заполучить сохраненные данные частично стало возможно при редактировании или просмотре, как и в предыдущих случаях.

Перехват сохраненных данных в 1Password

DLL Hijacking также не обошла стороной и 1Password. После открытия базы приложение пытается загрузить библиотеку midimap.dll. Несмотря на ряд уязвимостей, наличие защитной функции ввода пароля все же склонило к нейтральной точке зрения, поэтому итоговая оценка — удовлетворительно.

Хорошо известный KeePass отлично справился с первой атакой. Как и 1Password, он имеет в своем арсенале функцию контроля доступа к приложению в момент ввода пароля. Вторую атаку KeePass также сдержал достойно. Записанные в базе данные можно получить только в момент редактирования, при этом сохраненные пароли остаются нераскрытыми. Третья атака тоже в пользу опенсорсного менеджера паролей.

KeePass блокирует несанкционированный доступ

Хотя Procmon и показал несколько попыток небезопасной загрузки DLL-файлов, однако сделать на их основе рабочий эксплойт не вышло. Зачет в пользу GNU-сообщества. Итоговая оценка — хорошо.

RoboForm тоже просто так не сдался на первой атаке и не выдал свой мастер-пароль, за что и получил плюс. Однако второй раунд был не в его пользу. Даже в режиме просмотра удалось легко заполучить почти полное содержимое форм.

Перехват сохраненных данных в RoboForm

Как и в предыдущем случае, Procmon указал на теоретическую возможность DLL Hijacking, однако создать рабочий эксплойт не удалось. Поэтому третий раунд за RoboForm. По заработанным очкам его можно поставить на уровне где-то между 1Password и KeePass, но я все же не стал бы пользоваться менеджером паролей, который в явном виде выводит их на монитор, поэтому, на мой взгляд, итоговая оценка «удовлетворительно» вполне заслужена.

Из всех пяти менеджеров паролей только один KeePass смог успешно противостоять всем трем атакам. Открытый код и постоянная поддержка со стороны энтузиастов сделали действительно достойный продукт. Хоть RoboForm и 1Password и не обошлись без изъянов, но оба смогли защитить свой мастер-пароль. Что касательно Sticky Password и Kaspersky Password Manager, то ни один из них не смог уберечься от атаки на мастер-пароль. Кроме этого, они также открывают лазейку в виде DLL Hijacking, поэтому применение данных менеджеров паролей на флеш-накопителях может быть использовано хакером для распространения вредоносного кода и проведения целевой инсайдерской атаки. Данным продуктам требуется действительно качественное улучшение безопасности. Подведя итоги тестирования, не будем отдавать предпочтение какому-либо одному менеджеру, так как оно вытекало бы из различных субъективно-личностных факторов, мы же просто рассматривали эти менеджеры паролей с точки зрения их безопасности.

Предупрежден — значит вооружен

  1. Для защиты своих паролей от описанной методики перехвата можно настроить на компьютере специальное ПО, которое будет производить мониторинг вызова API-функций MARKDOWN_HASH2ab05fbef5eddf2027d7f05bdeac283dMARKDOWN_HASH и MARKDOWN_HASH84ea011a8379b1eb533f68d1d12fe6a6MARKDOWN_HASH c параметром MARKDOWN_HASHbed4f4e4c653f53c6abf14671add9c05MARKDOWN_HASH . Данную возможность предоставляют некоторые антивирусы, к примеру, в бесплатном Firewall от COMODO эта функция установлена по умолчанию, в других, возможно, придется задать настройку вручную. Если происходит несанкционированный доступ к окнам приложения, проактивная защита выдаст окно с предупреждением и выбором действия. Однако этот метод не поможет, если тебе часто приходится использовать менеджер паролей с флешки или на чужом компьютере. В качестве надежного решения можно взять менеджер паролей, которой обладает защитной функцией подобно UAC и блокирует несанкционированный доступ к приложению. Такой функцией, к примеру, обладает KeePass и 1Password.
  2. Для устранения проблемы, связанной с DLL Hijacking, на компьютере при помощи специальных утилит ограниваем доступ на запись в соответствующие директории сторонними приложениями. Как и в предыдущем пункте, эта функция может быть доступна в некоторых антивирусных решениях. Что касается защиты приложений на флешках, здесь не все так красиво, но можно использовать следующий ход конем. Сначала сконвертируем файловую систему флешки в NTFS:

Данная система позволяет задать настройки безопасности для отдельных папок и файлов. Можно сразу создать правило только чтения для директории с уязвимым МП, однако если файл с паролями находится там же, мы не сможем редактировать его в процессе работы за чужим компьютером. Поэтому можно создать просто файлы-пустышки с уязвимыми DLL-файлами и уже для них задать настройки только чтения. 3. В качестве дополнительной меры защиты паролей в менеджере паролей можно использовать дополнительную привязку к ключевому файлу или устройству, однако надо понимать, что теперь доступ к сохраненным паролям может быть уязвим к случайному фактору, например потере ключевого файла и поломке USB-устройства.

Пароль и безопасность для многих людей могут казаться синонимами. Но когда ставится вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными военными шифрами менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку. Не стоит паниковать и однозначно судить, что нельзя класть все яйца в одну корзину, однако если все же мы собрались это сделать, то сначала надо как следует проверить надежность нашей корзины.

Читайте также:  Hetman partition recovery для андроид