Пароли больше не нужны, ну почти

Знакомая ситуация: нам постоянно предлагают использовать разные пароли для разных сайтов, которые мы постоянно забываем. На этот случай существуют менеджеры паролей, пароль от которых мы так же забываем, потому что мы просто путаем пароль от менеджера паролей с паролем от какого-либо сайта. Замкнутый круг? А вот и нет. В этой статье мы научимся входить на некоторые сайты без пароля, а так же синхронизировать наши пароли между всеми нашими устройствами.

Оглавление статьи

В зависимости от уровня вашей подготовки, вы можете пропускать часть материала без ущерба для себя, пользуясь внутристраничными ссылками ниже.

• Подготовка
• Как придумать мастер-пароль
• Bitwarden для компьютера
• Bitwarden для мобильных устройств
• Беспарольная авторизация, или Passkey
• Настройка беспарольного входа в учётную запись Google
• Настройка беспарольного входа в Яндекс
• Настройка беспарольного входа во Вконтакте
• Так при чём же тут Bitwarden

Подготовка, как всегда

Для начала давайте договоримся, что менеджер паролей использовать мы всё-таки будем, без него нам, на самом деле, не обойтись. Ну согласитесь, хранить ваши пароли в файле “Пароли.txt” на рабочем столе – самая плохая идея. Мой выбор уже несколько лет за менеджером паролей Bitwarden. В чём причина моего выбора?

• Основные функции менеджера бесплатны, платить надо только за коды двухфакторной авторизации, которые с успехом можно хранить в других приложениях, например, Google Authenticator, или Authy;
• Приложение доступно для практически всех платформ, ниже вы найдёте все ссылки на скачивание, которые откроются в новой вкладке;
• На момент публикации у Bitwarden не было выявлено никаких проблем с безопасностью, как и не было никаких взломов;
• Если нужно, мощности Bitwarden можно развернуть на своём собственном сервере;
• Приложения и web-сервис проходили независимый аудит безопасности.

Для использования этого менеджера паролей вам потребуется создать учетную запись Bitwarden/ Сделать это можно по этой ссылке, которая откроется, как и все ссылки из статьи в новой вкладке, но сначала несколько тонкостей:

• Придумайте один единственный пароль, длиной более 12 символов. Чтобы точно не забыть ваш пароль, можете придумать для себя некую систему для запоминания пароля, о ней мы поговорим чуть-чуть ниже;
• Помните, это будет самым важным паролем в вашей жизни и забывать его нельзя;
• Если вы всё-таки забудете этот пароль, то больше никогда не сможете получить доступ к хранимой в BitWarden информации.

После входа в приложение Bitwarden обязательно настройте двухфакторную авторизацию.

Ну а теперь, как и обещал, даю ссылки на странички скачивания Bitwarden для самых популярных платформ:

• Скачать для Windows;
• Скачать для iOS;
• Скачать для Android;
• Скачать плагин для браузеров, основанных на Chromium;
• Скачать для Firefox.

Хочется заметить, что расширения для браузеров скачивать совершенно не обязательно, они нужны только для автозаполнения и сохранения паролей. Вы вполне можете установить только приложения на ваш компьютер и смартфон и сохранять пароли в нём в ручную.

Как придумать мастер-пароль

Перед тем, как мы двинемся дальше, давайте, я попробую немного помочь вам в придумывании мастер-пароля. Для начала, давайте вспомним, какой пароль считается стойким:

• В пароле должны быть прописные и строчные буквы;
• В пароле должны быть цифры;
• В пароле желательно наличие специальных символов.

И, если последнее требование, скрипя сердцем, можно и выкинуть то наличие прописных, строчных букв и цифр совершенно необходимо.

Идеальным считается пароль, в котором всё это намешано в совершенно случайном порядке, но, согласитесь, такой пароль куда труднее запомнить. Мы пойдём по другому пути и привяжем пароль к нашим фамилии, имени и отчеству.

• Возьмём первые несколько букв от вашей фамилии;
• Возьмём первые несколько букв от вашего имени;
• Возьмём первые несколько букв от вашего отчества;
• Возьмём дату вашего рождения, или две цифры месяца и две цифры числа;
• Сложим все это вместе.

Получится относительно стойкий пароль, который может быть угадан только в том случае, если злоумышленник знает вашу систему придумывания пароля и хорошо с вами знаком, но, учитывая, что этот пароль вы будете использовать только в Bitwarden, шанс взлома весьма мал.

Давайте теперь составим пример на основе мифического Иванова Ивана Ивановича, рождённого 1 января 1979 года. Перед этим вспомним, что имена собственные пишутся с заглавной буквы, к сожалению, незрячие довольно часто это забывают:

• Возьмем первые две буквы фамилии;
• Возьмём первые три буквы имени;
• Возьмём первые четыре буквы фамилии;
• Возьмём год рождения.

Получаем вот такой пароль: IvIvaIvan1970. Если в этот пароль мы добавим еще и специальные символы, то получим нечто вроде Iv!Iv@Iva@Ivan1970.

Теперь допустим, что наш Иван Иванов будет перед паролем каждого сайта дописывать ещё и устоявшиеся сокращения для сайтов, тогда получим примерно следующее:

• VK!Iv@Iva@Ivan1970 – пароль для вконтакте;
• OK!Iv@Iva#Ivan1970 – пароль для одноклассников;
• G!Iva@Iva#Ivan1970 – пароль от аккаунта Google.

Далее по этой схеме мы могли бы придумывать любые пароли, но вся прелесть состоит как раз и в том, что нам они и не нужны, всё остальное за нас сделает Bitwarden.

Приложение Bitwarden для компьютера

Будем считать, что вы выполнили все шаги из раздела “Подготовка“, а именно:

• Зарегистрировали себе учётную запись Bitwarden;
• Установили приложение на ваш компьютер при его наличии;
• Установили приложение на смартфон при его наличии.

Теперь обязательно входим в приложения для компьютера и для смартфона под тем же самым аккаунтом, который мы регистрировали. Это нужно для того, чтобы все данные, введённые нами, синхронизировались между нашими устройствами.

При входе в приложение может проявиться один неприятный момент: проверка HCaptcha. У меня эта проверка несколько раз появлялась. Пройти ее достаточно легко, если у вас есть почта на Gmail, иногда, к огромному сожалению, на Российскую почту код проверки не присылается. Если кто столкнется с HCaptcha, пишите в комментариях, будем разбираться вместе, благо для комментирования нужно только пройти авторизацию через Вконтакте, одноклассники, или Яндекс.

Приложение, как это сейчас модно, представляет из себя частично web-страницу, а частично классическое приложение с альтовым меню. С меню вы познакомитесь самостоятельно, а я напишу несколько горячих клавиш, которые могут вам понадобиться;

• ctrl+n – создать новый элемент. Новым элементом может быть, как логин с паролем, так и банковская карта. Да, Bitwarden умеет заполнять автоматически даже данные банковских карт. Для быстрого открытия формы создания пары логин пароль существует и комбинация ctrl+shift+l, если вдруг она для вас будет удобнее;
• ctrl+g – генератор паролей. Именно с помощью него вы будете генерировать случайные и бессмысленные пароли для тех сайтов, которые пока еще не поддерживают беспарольный вход, после чего сразу же сохранять их в вашем хранилище Bitwarden;
• ctrl+u – скопировать имя пользователя в буфер обмена из открытой карточки;
• ctrl+p – скопировать пароль в буфер обмена из открытой карточки;
• ctrl+запятая в Английской раскладке, или “мягкий знак” в Русской – открыть настройки приложения.

Немного поговорим о настройках, потому, как изначально там не всё настроено так, как нам нужно.

Тайм-аут хранилища. Эта настройка отвечает через какой период неактивности доступ в хранилище будет заблокирован и потребуется вводить мастер-пароль, или пинкод. Можно выбрать значение “Никогда”, если вы уверены в безопасности вашего компьютера, или смартфона, тогда хранилище будет всегда оставаться разблокированным. Однако, в случае, если вы долго не будете пользоваться приложением, несколько недель, ваша сессия принудительно завершится и потребуется ввод вашего мастер-пароля.

Одобрение запросов на вход. Если включить эту настройку, вы сможете одобрять на уже авторизованном устройстве входы с других устройств без необходимости ввода мастер-пароля и кодов двухфакторной аутентификации.

Очистить буфер обмена. Позволяет установить время, после которого логины и пароли, скопированные в буфер, будут автоматически очищены.

Показать значки сайтов. Опция имеет смысл только для зрячих и слабовидящих. Её отключение немного увеличивает быстродействие приложения.

Разрешить интеграцию с браузером. Обязательно отметьте эту настройку, если собираетесь пользоваться беспарольным входом, поддержка которого сейчас появляется на многих сайтах.

Все остальные настройки приложения выполняйте на ваш вкус. Ни на что, по большому счёту, они не влияют.

Немного поговорим о плагинах для браузеров. Строго говоря, установка плагинов не является обязательной, плагины помогут в автоматическом режиме делать следующее:

• Автоматически заполнять формы ввода логина и пароля, или выбирать нужные данные в контекстном меню браузера;
• Автоматически генерировать новые пароли при регистрации на сайтах и сохранять их в ваше хранилище;
• Уведомлять вас при смене пароля на сайтах и позволять вам обновлять пароль в вашем хранилище.

Если вы вполне можете проделывать все эти операции руками, тогда в установке плагинов нет необходимости, но в любом случае, обсуждение плагинов для браузеров выходит за рамки этой статьи, если будет что-то непонятно, спрашивайте в комментариях, постараюсь ответить.

Bitwarden для мобильных устройств

Приложение для iOS и Android по функционалу очень похоже на приложение для компьютера, за одним маленьким исключением: чтобы приложение работало полноценно, его необходимо установить, как сервис автозаполнения по умолчанию. На iOS Bitwarden может работать в паре со связкой ключей iCloud и система будет спрашивать вас, откуда брать логины и пароли и куда их сохранять. На Android, к сожалению, можно выбрать только один сервис автозаполнения, так что Bitwarden заменит сервис автозаполнения от Google. Это не очень приятно, если в Google у вас сохранено много паролей, но, кстати говоря, при наличии свободного времени и терпения пароли из аккаунта Google вполне можно и вытащить, после чего импортировать в Bitwarden, например из альтового меню приложения для компьютера, или web-хранилища Bitwarden.

Теперь давайте еще раз все перепроверим:

• Вы зарегистрировали учётную запись Bitwarden;
• Вы установили приложения для компьютера и смартфона;
• Вы авторизовались в приложениях с теми данными, под которыми вы регистрировались;
• Вы всё настроили так, как я описывал выше.

Если всё так и есть, тогда мы переходим к самой интересной части этой статьи.

Беспарольная авторизация, или passkey

Пароли были всегда самым слабым звеном. Пользователи довольно часто их забывают. Хакеры довольно часто взламывают базы данных сайтов и похищают пароли. То, что пароли на многих сайтах хранятся в зашифрованном виде ситуацию не облегчает, с современными мощностями хеши паролей могут быть взломаны в среднесрочной перспективе. Фишинг тоже никуда не пропал: злоумышленники довольно часто имитируют легитимные страницы, на которых пользователи самостоятельно вводят свои данные, проще говоря, добровольно отдают их злоумышленникам.

Все эти угрозы и призвана если не ликвидировать, то хотя бы минимизировать технология PassKey. Давайте немного поговорим о том, как это работает.

Когда мы настраиваем беспарольную авторизацию происходит примерно следующее:

• Сервис генерирует некий ключ, о котором мы ничего не знаем;
• На его основании генерируется второй ключ, который сервис отдаёт нашей системе, система в свою очередь сохраняет его в некой защищенной области.

При беспарольной авторизации происходит противоположное:

• Сервис запрашивает у нас нашу часть ключа;
• Сравнивает её со своей половиной ключа.

Если в итоге получается валидная ключевая пара, сервис убеждается в том, что мы – это мы и пропускает нас.

Кроме ключа при такой авторизации есть некоторые другие привязки, которые позволят сервису убедиться, что это мы, так что похищение ключа из нашей системы ничего практически злоумышленнику не даст:

• Если злоумышленник каким-либо образом выкрадет нашу половину ключа, он ничего не знает о привязках и в авторизации будет отказано;
• Если злоумышленник попытается воспользоваться фишингом, ничего так же не получится: система просто не выдаст поддельному сервису нашу половину ключа, да и у злоумышленника нет первой половины ключа с легитимного ресурса;
• Наконец, мы сможем входить на сервис в одно нажатие: больше никакого автозаполнения паролей, никаких кодов, которые присылаются по SMS, или которые надо ввести за 30 секунд. Просто подтверждаем свою личность биометрией на смартфоне, или пинкодом на компьютере, а можно и без пинкода и все.

Дальше мы будем говорить о включении беспарольного входа на компьютере, но на смартфоне, на самом деле, делается все практически так же, за тем исключением, что, возможно, незрячему человеку на компьютере будет это делать немного удобнее, особенно учитывая, что все ссылки в этой статье будут вести сразу в нужные места и открываться в новой вкладке.

Хочется заметить, что для обеспечения безопасности ваша учетная запись на компьютере должна быть защищена паролем, или биометрией, в противном случае любой, кто имеет физический доступ к вашему компьютеру сможет авторизоваться вместо вас, хотя и не сможет похитить вашу часть ключа, чтобы, например, авторизоваться за вас на своём устройстве.

Ниже я покажу, как настраивается беспарольный вход на популярных ресурсах. Технология настройки будет похожа, так что вы без труда сможете настроить это и на тех ресурсах, которые в этой статье не упомянуты. Сразу хочу заметить, что перед настройкой вам необходимо авторизоваться на тех ресурсах, на которых вы будете настраивать беспарольный вход

Настройка беспарольного входа в учётную запись Google

Для настройки беспарольного входа сделайте следующее:

1. Перейдите по этой ссылке;
2. Нажмите кнопку “Создать ключ доступа”;
3. В открывшемся приложении Bitwarden выберите карточку, в которой будет сохранён ваш ключ. Можно выбрать, как уже существующие данные для Google, так и создать новую карточку;
4. Всё, теперь вы сможете входить в Google без ввода пароля.

Настройка беспарольного входа в Яндекс

Это даже более интересно, чем Google, как минимум потому, что приложение “Яндекс ключ” – ещё то поделие сумрачных гениев Яндекса, так что настраиваем:

1. Перейдите по этой ссылке;

2. Нажмите “Настроить на устройстве”. К сожалению, этот элемент не обозначен, как ссылка, или кнопка, но нажать на него вполне можно;
3. В открывшемся приложении Bitwarden укажите карточку, в которой будет сохранён ваш ключ доступа, или создайте новую.

Теперь вы сможете входить на ваш аккаунт в Яндексе без ввода пароля и без ввода кодов двухфакторной аутентификации.

Настройка беспарольного входа во Вконтакте

Сначала инструкции, а потом некоторые предостережения:

1. Перейдите по этой ссылке;
2. Нажмите “Добавить ключ” и следуйте инструкциям.

Бывают ситуации, когда с компьютера ВК в упор не хочет настраивать беспарольный вход, тогда придется настроить его в мобильном приложении. Важно: сохраните ключ именно в Bitwarden, чтобы он синхронизировался со всеми вашими устройствами. На смартфонах под управлением Android выбор, куда сохранять ключ доступа, появляется далеко не всегда, на iOS вас однозначно спросят, что же использовать: Bitwarden, или связку ключей iCloud.

В завершении настройки ВК вам предложит использовать беспарольную авторизацию, как единственный способ входа. Ни в коем случае не соглашайтесь, если вы используете неофициальные клиенты, например, Kate mobile для Android, или Miranda для компьютера, в противном случае вы не получите доступа к вашей страничке! Обязательно перед настройкой беспарольного входа включите двухфакторную авторизацию, это позволит вам войти на вашу страничку даже с того устройства, на котором нет вашего ключа для беспарольного входа. Кроме того, если включена двухфакторная авторизация, или беспарольный вход, восстановление странички в случае утеря ключа доступа, пароля, или устройства для предъявления второго фактора аутентификации будет относительно сложным.

Со временем, безусловно, сервисов, поддерживающих беспарольный вход будет становится всё больше, так что у вас есть время, так сказать, попрактиковаться на кошках, то есть освоить все премудрости беспарольной авторизации ещё до того, как она стала повсеместной.

Так при чём же тут Bitwarden

Действительно. Все мобильные платформы поддерживают беспарольную авторизацию, иначе говоря, Passkey, но:

• Bitwarden поможет вам синхронизировать ваши ключи доступа и пароли между всеми вашими устройствами;
• Bitwarden позволит вам с лёгкостью заполнять на сайте не только формы с логинами и паролями, но и вводить реквизиты банковских карт, или автоматически заполнять ваши личные данные, например, при покупке билетов.

Наконец, если будет необходимо вы всегда можете извлечь из Bitwarden копию всех ваших данных и сохранить её локально, даже на рабочем столе, но, если вы будете хранить локальную копию на рабочем столе, нужен ли вам Bitwarden и беспарольный вход?