«Однажды я подсчитал, к скольким сервисам мне нужен регулярный доступ, и получил число 67. Ни один человек не способен удержать в голове 67 уникальных сложных комбинаций. После этого я перестал винить себя за забытые пароли и начал разбираться, как устроена система, которая требует от меня невозможного.»
Средний человек держит от двадцати до пятидесяти аккаунтов. Запомнить пятьдесят уникальных паролей невозможно физически. Мозг справляется с этим единственным доступным способом и просто забывает лишнее. Забытый пароль воспринимается как личная неорганизованность, хотя на деле система аутентификации не рассчитана на человеческую память. Пароли почти всегда где-то сохранены на устройстве, но «где-то» каждый раз означает разное место.
Где найти сохранённые пароли на компьютере
Браузер, операционная система и отдельные приложения хранят пароли независимо друг от друга. Если автозаполнение перестало работать, первым делом стоит проверить все хранилища по очереди.
Пароли в Chrome, Яндекс Браузере, Firefox и Edge
В Chrome нужно нажать на иконку профиля в правом верхнем углу и выбрать значок ключа. Или пройти в настройки, раздел «Автозаполнение», затем «Менеджер паролей». Система попросит подтвердить личность через пароль учётной записи операционной системы или биометрию. После подтверждения откроется список сайтов с сохранёнными логинами, и по клику на значок глаза пароль станет видимым.
Яндекс Браузер хранит пароли в разделе «Пароли и карты». Открыть его можно через меню (три горизонтальные линии в правом верхнем углу) или через настройки. Если установлен мастер-пароль, браузер запросит его перед показом списка. Здесь же хранятся данные банковских карт и адреса автозаполнения.
Яндекс Браузер синхронизирует пароли через аккаунт Яндекса, и если синхронизация включена, данные доступны на всех устройствах с тем же аккаунтом. У Яндекс Браузера есть удобная страховка в виде запасного ключа шифрования. Если мастер-пароль забыт, его можно сбросить через подтверждение аккаунта Яндекса без потери данных.
Firefox хранит пароли в отдельном разделе. Три горизонтальные линии в правом верхнем углу, затем «Логины и пароли». Если в Firefox установлен основной пароль (раньше он назывался мастер-паролем), система запросит его перед показом. Если не установлен, все сохранённые пароли доступны без дополнительной проверки. Я вернусь к тому, почему отсутствие основного пароля создаёт проблемы, в разделе про шифрование.
Edge построен на том же движке, что и Chrome, поэтому логика похожа. Настройки, раздел «Профили», затем «Пароли». Для просмотра потребуется подтверждение через Windows Hello (биометрия или PIN-код).
Во всех четырёх браузерах есть строка поиска внутри менеджера паролей. Если помнишь хотя бы часть названия сайта, используй её вместо прокрутки списка.
Все перечисленные браузеры позволяют экспортировать пароли в файл CSV. Файл содержит логины и пароли в открытом виде, без шифрования. После использования его нужно удалить полностью, а не просто переместить в корзину.
Хранилище учётных данных Windows
Помимо браузеров, Windows хранит пароли от сетевых ресурсов, удалённых подключений и некоторых приложений в системном хранилище. Найти его можно через «Панель управления», «Учётные записи пользователей», «Диспетчер учётных данных».
Хранилище разделено на две категории. «Учётные данные для Интернета» содержат логины, сохранённые через Edge и Internet Explorer. «Учётные данные Windows» хранят пароли от сетевых папок, VPN и удалённых рабочих столов. Для просмотра каждого пароля потребуется ввести пароль текущей учётной записи Windows.
Ещё одна категория, о которой часто забывают, связана с Wi-Fi. Операционная система запоминает ключи от всех сетей, к которым устройство подключалось. Чтобы увидеть пароль от конкретной сети, нужно открыть командную строку от имени администратора и ввести netsh wlan show profile name=»имя_сети» key=clear. Пароль будет в строке «Содержимое ключа».
Как браузер хранит и защищает пароли
Когда пароль найден и доступ восстановлен, полезно понять, как именно браузер хранит эти данные. От понимания механики зависит, насколько разумно продолжать доверять браузеру свои пароли.
Шифрование паролей в Chrome, Яндекс Браузере и Firefox
Chrome записывает все пароли в файл Login Data. По формату файл представляет собой базу данных SQLite, где каждая запись содержит адрес сайта, логин и зашифрованный пароль. Ключ шифрования защищён через механизм Windows DPAPI (Data Protection API). DPAPI привязывает ключ к конкретной учётной записи операционной системы. Расшифровать данные может только процесс, запущенный от имени того же пользователя, который их зашифровал.
В последних версиях Chrome появился дополнительный слой защиты под названием AppBound Encryption. Механизм изначально внедрялся для защиты cookies, но архитектура распространилась и на хранилище паролей. Ключ оборачивается через системный DPAPI, и расшифровка проходит через специальный сервис с повышенными привилегиями. Сервис проверяет, что запрос поступает именно от Chrome, а не от постороннего процесса. На практике вредоносная программа, запущенная с правами обычного пользователя, уже не может просто прочитать файл и расшифровать содержимое.
Яндекс Браузер построен на Chromium, поэтому базовая механика хранения похожа на Chrome. Пароли записываются в файл Ya Passman Data в формате SQLite. Если пользователь включил мастер-пароль, данные шифруются отдельным ключом, который не хранится ни на устройстве, ни на серверах Яндекса. Без мастер-пароля уровень защиты определяется системным шифрованием, как и в Chrome. Я рекомендую включить мастер-пароль в Яндекс Браузере в первую очередь, тем более что здесь, в отличие от большинства браузеров, забытый мастер-пароль можно восстановить.
Firefox устроен принципиально иначе. Вместо системного механизма шифрования Firefox использует собственную библиотеку NSS (Network Security Services). Если пользователь установил основной пароль, база шифруется через него по алгоритму AES-256 с ключом, производным от этого пароля. Если не установил, а подавляющее большинство пользователей этого не делают, пароли фактически лежат в открытом доступе для любого процесса, который может прочитать файлы профиля. Между «зашифровано системным ключом» и «зашифровано ничем» разница принципиальная.
Если ты пользуешься Firefox и до сих пор не задал основной пароль, сделай это сейчас. Настройки, раздел «Приватность и защита», блок «Логины и пароли», галочка «Использовать основной пароль».
Что происходит с паролями при переустановке системы или смене устройства
DPAPI привязывает ключ шифрования к учётной записи Windows. Не к имени пользователя, а к криптографическому SID-профилю конкретной установки системы. При переустановке Windows создаётся новый профиль, даже если имя пользователя совпадает с предыдущим. Файл Login Data можно скопировать на внешний диск, но расшифровать его на новой установке не получится. Пароли внутри него станут нечитаемыми.
Единственный штатный способ перенести пароли Chrome между устройствами или установками работает через синхронизацию с аккаунтом. Если синхронизация была включена до переустановки, все пароли подтянутся в новый браузер автоматически. Если не была включена и резервная копия не создавалась, пароли утеряны безвозвратно.
Firefox переносится проще. Его профиль (папка с файлами key4.db и logins.json) можно скопировать целиком и подложить в новую установку. Если основной пароль не установлен, пароли откроются. Если установлен, потребуется знать его, но файлы будут работать на любом компьютере. Переносимость профиля Firefox одновременно и удобство, и уязвимость.
Почему браузерного хранилища недостаточно
Браузер проектировался для просмотра веб-страниц, а хранение паролей появилось в нём как дополнительная функция. Браузерное хранилище работает только с сайтами, открытыми в конкретном браузере. Пароли от мобильных приложений, рабочих VPN, десктопных программ туда не попадают. Два браузера на одном компьютере означают две отдельные базы без синхронизации между ними. Встроенный генератор паролей не проверяет, использовался ли похожий пароль на другом сайте, и не сигнализирует об утечках.
Но самое неочевидное ограничение в другом. Браузерное хранилище создаёт ложное чувство защищённости. Человек видит, что пароли «сохраняются автоматически», и перестаёт о них думать. Автоматическое сохранение работает в рамках одного устройства и одного браузера. При смене любого из параметров цепочка рвётся.
Для базового уровня браузерное хранилище работает. Но если у тебя несколько устройств или хотя бы один по-настоящему ценный аккаунт, нужен инструмент, спроектированный специально для управления учётными данными.
Как работают менеджеры паролей
Менеджер паролей решает ту задачу, которую браузерное хранилище решает лишь частично. Он хранит все пароли в одном зашифрованном хранилище (vault), доступном с любого устройства. Для доступа к нему нужен один-единственный мастер-пароль.
Чем менеджер паролей отличается от сохранения в браузере
Архитектура другая на фундаментальном уровне. Менеджер паролей использует шифрование с нулевым знанием (zero-knowledge). Провайдер сервиса хранит зашифрованные данные, но не имеет ключа для их расшифровки. Ключ вычисляется из мастер-пароля на устройстве пользователя и никогда не отправляется на сервер. Даже если серверы менеджера паролей будут скомпрометированы, злоумышленники получат зашифрованный массив данных, бесполезный без мастер-пароля каждого конкретного пользователя.
Браузер работает иначе. Синхронизация паролей Chrome привязана к аккаунту, и при определённых условиях расшифровка происходит на стороне сервера. Менеджер паролей не позволяет этого в принципе.
Помимо архитектуры, менеджер покрывает задачи, которые браузер не решает. Он генерирует уникальные пароли для каждого сервиса и хранит не только их, но и заметки, банковские карты, документы. Если какой-то из паролей окажется в публичной базе утечек, менеджер об этом предупредит. А если нужно дать доступ другому человеку, можно сделать это через защищённую ссылку, а не диктовать пароль голосом.
На что смотреть при выборе менеджера паролей
Я выделяю четыре критерия, которые определяют, подойдёт ли конкретный менеджер в долгосрочной перспективе.
Шифрование. Стандарт отрасли сейчас AES-256 в сочетании с zero-knowledge архитектурой. Если сервис не заявляет оба компонента, я бы не стал рассматривать его всерьёз.
Кросс-платформенность. Менеджер должен работать на всех устройствах, которыми ты пользуешься, включая мобильные. Расширения для браузеров позволяют автоматически заполнять формы входа так же удобно, как встроенное хранилище.
Аудит безопасности. Сервисы с открытым исходным кодом проходят независимые аудиты, результаты которых публикуются. Закрытый код не означает автоматически низкое качество, но открытый даёт дополнительную степень доверия.
Функция экстренного доступа. Возможность назначить доверенного человека, который получит доступ к хранилищу в непредвиденной ситуации. Без такой функции зашифрованное хранилище может оказаться недоступным для близких.
Среди бесплатных решений с сильной репутацией выделяется Bitwarden, построенный на открытом коде, с полной кросс-платформенностью и шифрованием на уровне записей. Бесплатная версия покрывает все базовые потребности, включая неограниченное количество паролей и синхронизацию между устройствами. Оплата Premium-подписки из России может потребовать зарубежную карту, но бесплатной версии достаточно для большинства задач.
KeePass подойдёт тем, кто предпочитает локальное хранение без облака. Полностью бесплатен, не зависит от серверов и подписок. Синхронизацию можно настроить самостоятельно через облачное хранилище, но это требует технических навыков.
Kaspersky Password Manager доступен без ограничений и оплачивается рублями. Поддерживает генерацию паролей, хранение документов и карт, проверку на утечки. Шифрование AES-256. Для тех, кому принципиальна доступность поддержки и оплаты без посредников, один из самых практичных вариантов.
Выбор конкретного менеджера менее критичен, чем сам факт перехода на него. Любой из перечисленных на порядок надёжнее браузерного хранилища.
Passkeys вместо паролей
Менеджеры паролей решают проблему хранения, но не решают фундаментальную проблему самих паролей. Пароль можно подобрать, перехватить, выманить через фишинговую страницу. Passkeys устраняют все три вектора одновременно.
Как устроены passkeys
Passkey работает на основе асимметричной криптографии, чаще всего на алгоритмах ECDSA или RSA. При регистрации на сайте устройство создаёт пару ключей. Закрытый остаётся на устройстве и никогда его не покидает. Открытый отправляется на сервер. При входе сервер отправляет случайный запрос (challenge), устройство подписывает его закрытым ключом, сервер проверяет подпись открытым. Никакой секрет не передаётся по сети, и на сервере не хранится ничего, что позволило бы войти в аккаунт.
Для пользователя всё выглядит проще. Вместо ввода пароля ты прикладываешь палец к датчику отпечатка, сканируешь лицо или вводишь PIN-код устройства. По времени вход через passkey занимает примерно треть от входа по паролю и одну восьмую от входа по паролю плюс одноразовый код подтверждения.
Passkeys привязываются к конкретному домену, и именно поэтому фишинг против них бессилен. Если злоумышленник создаст визуальную копию сайта банка на другом адресе, passkey просто не сработает, потому что домен не совпадёт. С обычным паролем такой защиты нет, человек вводит его вручную и может не заметить подмену адреса.
До недавнего времени passkeys привязывались к одной экосистеме (например, iCloud Keychain) и не переносились между платформами. Сейчас вопрос решается стандартом Credential Exchange Protocol, который позволяет переносить passkeys между менеджерами и платформами.
Какие сервисы уже поддерживают вход без пароля
Технология перестала быть экспериментальной. Почти половина из ста крупнейших сайтов мира поддерживает passkeys. Три четверти пользователей глобально знакомы с технологией, а успешность входа через passkey составляет около девяноста трёх процентов против шестидесяти трёх у обычных паролей. Общее количество passkeys в мире превысило три миллиарда.
В рунете распространение отстаёт от глобального. Крупные международные сервисы (поисковые системы, облачные хранилища, маркетплейсы) уже поддерживают passkeys. Российские сервисы осторожнее, но Яндекс уже работает с ключами доступа в своей экосистеме. Если зайти в настройки безопасности основных аккаунтов, опция «Добавить passkey» или «Настроить ключ доступа» с высокой вероятностью будет доступна хотя бы на части из них. На мобильных устройствах passkeys приживаются быстрее, потому что пользователи давно привыкли к биометрии на телефонах. На десктопах вход требует Windows Hello или внешний аутентификатор, и это пока создаёт дополнительное препятствие.
Как собрать всё в рабочую систему
Информация из предыдущих разделов складывается в конкретную последовательность действий.
Начни с аудита. Открой менеджер паролей каждого браузера и хранилище Windows. Посмотри, сколько там записей и насколько они актуальны. Вероятно, обнаружишь пароли от сервисов, которыми не пользовался годами, и дубликаты одного пароля на разных сайтах.
Установи менеджер паролей и импортируй в него пароли из всех браузеров через экспорт в CSV. После импорта отключи сохранение паролей в браузерах. Один инструмент вместо нескольких разрозненных источников.
Включи двухфакторную аутентификацию на критичных аккаунтах. Электронная почта и финансовые сервисы в первую очередь. Почта обычно служит средством восстановления для всех остальных аккаунтов. Если утрачен доступ к почте, цепочка восстановления рассыпается целиком.
Настрой passkeys там, где они поддерживаются. Начни с одного-двух сервисов, которыми пользуешься чаще всего, и попробуй вход через биометрию. После первого раза станет понятно, насколько быстрее и проще процесс по сравнению с вводом пароля.
Проверь себя по короткому чек-листу.
[ ] Менеджер паролей установлен и содержит все актуальные пароли
[ ] Сохранение паролей в браузерах отключено
[ ] На электронной почте включена двухфакторная аутентификация
[ ] Passkeys настроены хотя бы на двух-трёх основных сервисах
[ ] Мастер-пароль менеджера записан и хранится в физически безопасном месте
[ ] Назначен экстренный доступ для доверенного человека
Мастер-пароль менеджера я рекомендую составить в формате парольной фразы из четырёх-пяти несвязанных слов. Такую фразу легко запомнить и практически невозможно подобрать перебором. Запиши её на бумаге и положи туда, где хранишь ценные документы.
Цель всей этой работы не в том, чтобы запоминать пароли лучше. Цель в том, чтобы свести количество паролей, которые нужно держать в голове, к одному. Мастер-пароль открывает менеджер, менеджер хранит всё остальное, а на сервисах с passkeys ввод пароля не требуется вообще. Вся инфраструктура для такой системы существует уже сейчас, и настройка занимает один вечер.
#кибербезопасность #защитаданных #безопасностьвсети #аутентификация #лайфхаки #полезное #технологии
Читайте нас в Telegram: https://t.me/seberd_ru