Где хранятся пароли в телефонах на базе Android? Где хранить пароли на iOS и Android? Мой собственный опыт.

Привет Хабр! Я молодой разработчик, специализирующийся на Android-разработке и информационной безопасности. Не так давно я задался вопросом: каким образом Google Chrome хранит сохраненные пароли пользователей? Анализируя информацию из сети и файлы самого хрома (особенно информативной была эта статья), я обнаружил определенные сходства и отличия в реализации сохранения паролей на разных платформах, и для демонстрации написал приложения для извлечения паролей из Android версии браузера.

Как это работает?

Как мы можем знать из разных публикаций в сети на эту тему, Google Chrome на ПК хранит пароли своих пользователей в следующей директории:

«C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\» в файле "Login Data ".

Данный файл является базой данных SQLite, и его вполне можно открыть и посмотреть. В таблице logins мы можем видеть следующие, интересующие нас поля: origin_url (адрес сайта), username_value (логин), password_value (пароль). Пароль представлен байтовым массивом, и зашифрован через машинный ключ, индивидуальный для каждой системы. Подробнее можно узнать из этой статьи. Таким образом, какая-никакая защита в Windows клиенте присутствует.

Android

Но так как я больше увлекаюсь Android"ом, то мое внимание забрал на себя, соответственно, Android-клиент браузера.

«Расковыряв» пакет Google Chrome (com.android.chrome ), я обнаружил, что его структура очень напоминает структуру ПК-клиента, и не составило труда найти точно такую же базу данных, отвечающую за хранение паролей пользователя. Полный путь к БД следующий: "/data/data/com.android.chrome/app_chrome/Default/Login Data" . В целом, эта база данных очень похожа на свою «старшую сестру» из ПК-версии, имея лишь одно, но очень значительное отличие - пароли тут хранятся в открытом виде. Возникает вопрос: можно ли программно извлечь пароли из базы? Ответ оказался весьма очевидным - да, если у вашего приложения есть root-права.

Реализация

Для большей наглядности было решено сделать свой инструмент для извлечения паролей из базы данных браузера.

Если описать его работу в двух словах, то оно работает так:

• Получает root.
• Копирует базу данных Chrome в свою директорию.
• С помощью chmod получает доступ к копии БД.
• Открывает БД, и извлекает информацию о логинах и паролях.

Приложение было размещено в Google Play .

Вывод

Как вывод из проделанной работы, можно сказать, что при наличии root-прав, вытащить базу паролей из браузера и отправить ее на свой сервер - задача вполне решаемая, и этот факт должен заставлять задуматься над тем, стоит ли доверять какому-либо приложению права суперпользователя.

Надеюсь, эта статья была информативной. Спасибо за внимание!

Активный пользователь интернета вынужден вводить огромное количество паролей – от социальных сетей, электронных почтовых ящиков, интернет-магазинов, онлайн-игр. В целях безопасности рекомендуется придумывать оригинальный пароль при каждой новой регистрации, ведь иначе злоумышленник, получив незаконный доступ к одному аккаунту, сумеет легко взломать и прочие. Запомнить массу разных логинов и паролей сложно, записать в блокнот – небезопасно, поэтому самым оптимальным вариантом разгрузить память выглядит использование специальных программ для хранения паролей. Достаточно запомнить всего один, главный пароль, чтобы получить доступ ко всем остальным.

Price: Free

LastPass – известный облачный сервис для хранения паролей, разработанный одноименной компанией и доступный на компьютерных операционных системах Linux, Windows, OS X, в магазинах приложений Google Play, AppStore, Microsoft Store, а также в форме плагинов для основных браузеров, например, Mozilla Firefox и Google Chrome. Эта программа не только запоминает идентификационные данные, но и осуществляет управление ими: помогает владельцу сгенерировать новый пароль, меняет данные, если замечает попытку взлома, анализирует сложность и надежность паролей, следит, чтобы пароли от двух разных аккаунтов не были одинаковыми.

К числу ключевых преимуществ программы для сохранения паролей LastPass следует отнести следующие:

1. Двухфакторная аутентификация . Большинство сайтов требует ввести только логин и пароль – такая аутентификация называется однофакторной. Двухфакторная запрашивает у пользователя дополнительные данные (например, PIN, номер телефона, отпечатки пальцев), что является гарантией повышенной надежности. На двухфакторную аутентификацию перешли известные порталы Twitter, Amazon, Facebook, а с недавних пор и LastPass . Дополнительная защита паролей обеспечивается за счет Google Authenticator и YubiKey .
2. Полноценная и качественная русификация.
3. Широкий функционал. После обновления интерфейса LastPass в 2014 году сервис оказался дополнен рядом полезных дополнительных функций. Сейчас пользователь с помощью приложения может хранить документы, применять инструменты для автозаполнения форм интернет-магазинов, следить за изменениями кредитной истории.

LastPass считается бесплатной программой для сохранения паролей, однако, для использования мобильных версий нужно приобрести премиум-аккаунт, стоимость которого составляет 12 долларов.

1Password

Price: Free +

Пользователи 1 Password отмечают в качестве важных преимуществ программы простоту ее применения и весьма дружелюбный и приятный интерфейс. Однако этим плюсы программы для запоминания паролей, вводимых на компьютере, 1 Password не исчерпываются – есть и другие:

1. Кроссплатформенность . Программа работает на Windows, Mac OS, Android, iOS, а также встраивается в самые популярные браузеры вроде Opera и Firefox. Впрочем, такая широкая интегрируемость – скорее норма для менеджеров паролей, нежели отличительная черта.
2. Синхронизация . Через Dropbox и iCloud можно открыть доступ к хранилищу паролей посторонним пользователям.
3. Надежность . База данных защищена шифром AES-128, принятым в качестве стандарта Правительством США. Утечка данных предупреждается встроенным кейлогером – устройством, регистрирующим действия пользователя.
4. Генерация паролей. При необходимости создать новый пароль программа для генерации паролей не просто выдает случайный набор цифр и букв, а формирует сочетание, соответствующее параметрам, предварительно указанным пользователем. Такие параметры – количество символов, наличие цифр и даже произносимость сочетания.
5. Возможность аудита безопасности. Программа проверит базу данных на наличие дублированных и слабых паролей.

1 Password имеет самый высокий рейтинг среди аналогов в AppStore (4 звезды из 5), однако, и это ПО не лишено недостатков. Программа 1 Password довольно дорогая – владельцам iPhone ради установки полной версии придется расстаться с 5 тыс. рублей. Однако даже уплатив эти деньги, пользователь не сможет производить редактирование базы данных на мобильном устройстве.

Dashlane

Price: Free

Выпущенный в 2012 году менеджер паролей Dashlane сразу обрел мировую популярность благодаря простому качественному интерфейсу, высокой безопасности и возможности автоматического заполнения форм на веб-страницах. К 2016 году произошло несколько обновлений, и программа успела «обрасти» дополнительными функциями. Чем же отличается Dashlane ?

1. Двухфакторная аутентификация – признак внимательного отношения разработчиков к надежности своего детища.
2. Трекинг покупки и интеграция с электронными кошельками упрощают процесс покупок через интернет-магазины.
3. Доступность для любых устройств. Эта программа для сохранения паролей, вводимых на компьютере, работает как с десктопными, так и с мобильными ОС, имеет плагин даже для Internet Explorer. Возможна облачная синхронизация нескольких устройств на разных платформах, но только при покупке Pro-версии.

Базовые функции приложения Dashlane доступны бесплатно, полная версия обойдется почти в 40 $ за год. Несмотря на такую стоимость, русификация приложения до сих пор не проведена – эта главная причина, почему Dashlane не так популярен в среде отечественных пользователей, как, скажем, LastPass .

RoboForm

Price: Free +

RoboForm – «первопроходец» и «долгожитель» среди менеджеров паролей. Разработка этой программы началась еще в 1999 году, однако, и по сей день приложение постоянно продолжает совершенствоваться и наращивать функционал. Те, кто считает, что использование RoboForm сейчас, при наличии множества достойных конкурентов – признак нездорового консерватизма, заблуждаются, ведь программа действительно может предложить пользователю массу уникальных преимуществ:

1. Универсальность . Тем, что менеджер паролей работает со всеми основными и актуальными ОС, никого не удивишь. Однако много ли известно программ, которые поддерживаются на Symbian , Palm OS , BlackBerry OS и даже Windows 2003 ? RoboForm – одна из таких.
2. Мобильность . Не обязательно устанавливать RoboForm на компьютер или гаджет, чтобы пользоваться им – благодаря функции RoboForm 2 Go , программу можно установить на флешку и запускать на общедоступных компьютерах.
3. Надежность. База RoboForm шифруется по стандарту AES-256, который традиционно используется в банковском деле.
4. Возможность создать несколько профилей. Одной программой могут пользоваться разные люди – в каждом из профилей, защищенных паролем, будет храниться индивидуальная информация. Это позволяет экономить и приобретать платную версию приложения «вскладчину».

Менеджер можно скачать бесплатно, но тогда хранить более 10 логинов / паролей не удастся. Для хранения неограниченного количества данных, а также облачной синхронизации понадобится версия RoboForm Everywhere , которая стоит около 20 $ в год.

По мере того, как наша жизнь стремительно оцифровывается, мы буквально обрастает разнообразными паролями. И когда счет сервисов идет на десятки, запомнить пароли от них просто нереально. Можно, конечно, использовать один пароль везде, но это очень небезопасно. Потерял его – и все подробности твоей жизни могут достаться кому-то не очень дружелюбному. Поэтому правильнее везде придумывать разные пароли, а потом записывать их в укромном месте.

Вот только как выбрать это место? Чтобы и удобно, и надежно? Вариантов-то сотни. Я не буду рассказывать вам обо всех приложениях для хранения паролей. Слишком много времени займет, потому что перепробовал много чего. Расскажу лучше о двух, на которых в итоге остановился.

На Android много лет с удовольствием пользуюсь бесплатным приложением B-Folders . Оно, в отличие от многих аналогов, действительно бесплатное – нет ограничений ни по количеству полей в записях, ни по количеству самих записей. База хранится в зашифрованном виде, по умолчанию доступ к ней открывается после ввода пароля или пин-кода (на выбор). За дополнительную сумму можно включить разблокировку по отпечатку пальцев (299 рублей).

Разработчик трудится над приложением с 2009 года и, кажется, предусмотрел вообще все. В настройках можно менять вид приложения и карточек, устанавливать время принудительной очистки буфера обмена после того, как вы скопировали в него пароль, включать самоуничтожение базы после определенного числа неправильно введенных паролей и т.д. и т.п. Паранойя авторов дошла до того, что в приложении даже нельзя сделать скриншот – и это, кстати, абсолютно правильно.

Придраться можно к двум вещами. Во-первых, интерфейс не локализован – все на английском. С русскими названиями и паролями проблем нет, да и все важные надписи продублированы понятными иконками. Но для кого-то, возможно, это будет неприятностью.

Во-вторых, нет опции автоматической синхронизации базы с облачными хранилищами. Возможно, это тоже сделано для дополнительной безопасности базы паролей. Но последнюю можно сохранить в виде зашифрованного файла, отправить в любое облако (Dropbox, OneDrive и т.д.), и оттуда уже скачать на другой телефон. Процедура занимает буквально минуту, причем вместе с базой переезжают все любимые настройки.

Так бы, наверное, и пользовался только B-Folders, но жизнь заставила все же поискать мультиплатформенное решение. Чтобы и на Android, и на iOS, и на компьютере тоже можно было подсматривать особенно заковыристые пароли. Пробовал всякое, и в итоге остановился на… Kaspersky Password Manager . Приложение также по умолчанию бесплатное, но если не занести денег, можно хранить только 15 паролей. Хочешь больше – изволь доплатить. Купить приложение навсегда нельзя, лицензия действует год. Но так, к сожалению, у всех приличных мультиплатформенников с онлайн-синхронизацией. Вопрос лишь в цене.

А она, как это ни странно звучит, в случае с Kaspersky Password Manager может быть очень разной. Я имел глупость купить лицензию прямо через App Store, где с меня слупили 1000 рублей. А на сайте Лаборатории Касперского то же самое стоит всего 450 рублей. Если же вы купили лицензию на Kaspersky Total Security (1990 рублей в год на два компьютера), то Password Manager достанется вам бонусом совершенно бесплатно.

Поскольку корни у Password Manager российские, локализация присутствует в полном объеме. Для веб-сайтов, приложений и личных данных предусмотрены разные форматы карточек, плюс есть отдельный раздел для заметок. Разумеется, тоже зашифрованный. Понравилось, что когда вводишь пароль для сайта, в меню автоматически подкачивается его иконка – так легче не заблудиться, когда паролей много. Также, если открывать сайт прямо из приложения, оно попробует подставить пароль в форму. Получается не всегда, потому что формы пишутся ой как по-разному. Но иногда это и впрямь экономит время.

Единожды вбитые пароли хранятся в облаке Лаборатории Касперского и доступны с любых авторизованных устройств. Дополнительную защиту обеспечивает наличие мастер-пароля: то есть мало ввести данные своей учетки, нужен еще один поверх. Вход в приложение по пинкоду, отпечатку пальца или – в случае iPhone X – по морде лица. Есть версии для ПК и Mac, но там проще, наверное, заходить через браузер.

К недостаткам продукта могу отнести только отсутствие возможности купить пожизненную лицензию, как-то с ней поспокойнее. Но, похоже, время таких лицензий уходит.

Берегите пароли! Слишком уж много можно потерять вместе с ними. Достаточно вспомнить сотни страдальцев, забывших данные своих кошельков с биткойнами:)

Просмотры: 4 540

Менеджеры паролей становятся всё более популярными. Возможность хранить все ваши пароли в одном месте, является весьма привлекательной. С помощью мобильных устройств, вы можете иметь все пароли под рукой во все времена, не повредив безопасности своих данных. Существуют тонны менеджеров паролей для ПК, Mac и мобильных устройств. Вот лучшие приложения менеджеры паролей для Android.

aWallet Password Manager
(cкачиваний: 819)
aWallet является одним из тех приложений, менеджеров паролей, которыми пользуются продолжительное время. Приложение хранит пароли, банковские операции, информацию, информацию о кредитной карте, а также пользовательские данные, если вам это нужно. Существует также встроенный поиск, пользовательские иконки, а также функция автоблокировки. Существует даже встроенный генератор паролей, так что вам не придется волноваться об этом. Менеджер паролей охватывает всё необходимое, включая AES и Blowfish шифрование. Вы можете загрузить приложение бесплатно или купить PRO-версию.

Dashlane
(cкачиваний: 227)
Dashlane это ещё одно приложение, доступное пользователям продолжительное время. Dashlane предлагает все необходимые функции, включая поддержку паролей, кредитных карточек и других чувствительных видов информации. Приложение также поддерживает автозаполнение паролей на веб-сайтах и в приложениях. Вы можете сделать резервную копию локально или с помощью облака. Шифрование в 256 бит AES работает должным образом. Вы можете использовать большинство функций бесплатно, но если вы хотите использовать все функции, придется оформить платную подписку. Это один из наиболее солидных менеджеров паролей для Android.

Enpass Password Manager
(cкачиваний: 132)
Enpass довольно мощный менеджер паролей. Он охватывает все основные функции, есть также версии для Mac, ПК и Linux. Приложение также не требует абонентской платы, что является хорошим знаком. Приложение позволяет создавать резервные копии и восстановить свои данные, включает 256-битное AES-шифрование, кросс-платформенную синхронизацию, вы также сможете импортировать данные из других менеджеров паролей, что облегчит переход. Вы также сможете использовать автоматическое заполнение в Google Chrome, если вы используете этот браузер. Приложение загружается бесплатно, достаточного разовой оплаты в размере 9,99$, чтобы разблокировать все функции.

Keepass2Android
(cкачиваний: 178)
Keepass2Android является одним из самых базовых приложений менеджеров паролей в этом списке. Keepass имеет базовые функции, с которыми вы сможете создавать резервные копии паролей и тому подобное. Тем не менее, приложение не предлагает более слоны особенностей большинства конкурентов. Главной особенностью приложения становится совершенно бесплатное распространение с открытым исходным кодом. Приложение основано на коде Keepassdroid (ещё один бесплатный менеджер паролей с открытым исходным кодом), оба приложения совместимы друг с другом.

Keeper
(cкачиваний: 147)
Keeper – менеджер паролей с большим количеством функций. Главной особенностью приложения становится 256-битное AES-шифрование и PBKDF2, которые, безусловно, помогают чувствовать себя в безопасности. Вместе с тем, приложение охватывает основные функции, включает в себя автоматическое заполнение в различных приложениях и веб-сайтах. Наряду с паролями, Keeper также включает в себя видео и фото хранилища, где вы сможете хранить конфиденциальные изображения или видео. Приложение также поддерживает блокировку по отпечатку пальца, что всегда полезно. Вы также сможете синхронизировать приложение между устройствами и хранить данные в облаке, если захотите. Это довольно приличный вариант, хотя вам потребуется подписка, чтобы получить все функции.

LastPass
(cкачиваний: 143)
LastPass придерживается того же русла, когда речь заходит о менеджере паролей для Android. LastPass предлагает метрическую тонну функций, в том числе автозаполнение паролей в приложениях, сайтах и отдельных формах. Приложение также помогает хранить фотографии и аудио заметки. Есть несколько других, более уникальных и необычных функций, среди которых поддержка сканера отпечатков пальцев, генератор паролей, аудит паролей, который даст вам понять, что пароль ненадежен, приложение также предоставляет возможность воспользоваться экстренной помощью друга или члена семьи. Вы можете использовать ядро приложения бесплатно, но вам потребуется платная подписка, если вы хотите использовать все функции. Вы также можете загрузить LastPass Authenticator в Google Play, чтобы добавить 2-й фактор аутентификации для дополнительной безопасности.

mSecure Password Manager
(cкачиваний: 72)
mSecure является одним из тех менеджеров паролей, которые были вокруг, казалось бы, всегда. Тем не менее, приложение видело несколько обновлений с момента его создания и внешний вид менеджера паролей остается относительно современным. Кроме того, менеджер поддерживает основные функции, 256-битное AES-шифрование, генератор паролей, а также возможность создавать резервные копии ваших данных на вашей SD-карте. Приложение также имеет функцию самоуничтожения на тот случай, если кто-то ошибется с паролем слишком много раз. Это надежный универсальный менеджер паролей, хотя отсутствие бесплатной версии может оттолкнуть некоторых пользователей. Мы рекомендуем посмотреть на некоторые отзывы и попробовать приложение.

Password Safe and Manager
(cкачиваний: 89)
Password Safe and Manager является золотой серединой, когда речь заходит о выборе менеджера паролей. Это приложение не нуждается в подключении, а 256-битное шифрование позволят вам чувствовать себя относительно безопасно. Менеджер паролей использует дизайн Material, который выглядит действительно великолепно. Вы можете разместить пароли, классифицировать их для удобного просмотра, а также генерировать новые пароли на лету. Кроме того, менеджер паролей предлагает функции автоматического резервного копирования. И приложение предлагает значительно больше возможностей, если вы купите версию PRO за 3,99$. Это не самое мощное, но очень хорошее приложение.

RoboForm Password Manager
(cкачиваний: 205)
RoboForm очень старое приложение, но это по-прежнему один из лучших менеджеров паролей для Android. Он делает то, что должен, и делает это хорошо, а также предлагает закладки, чтобы вы могли найти наиболее часто используемые пароли быстрее. Приложение также распознает новые пароли, когда вы создаете их и входите в систему, изящное решение. Менеджер паролей также поддерживает многоступенчатые логины, что очень удобно. Приложение работает с Chrome и Firefox, даже с Dolphin Browser. Это совершенно бесплатное приложение, которое отлично работает.

SafeInCloud Password Manager
(cкачиваний: 145)
SafeInCloud это менеджер паролей на основе облачной системы, очень способный менеджер. Он хранит все ваши данные в облаке, с которым вы можете синхронизировать любое свое устройство. Приложение включает в себя Material Desing, 256-битное AES-шифрование, поддерживает сканер отпечатков пальцев, Android Wear, генератор паролей и калькулятор надежности пароля. Вы сможете автоматически заполнять графы в некоторых браузерах. Вы сможете получить большинство функций с бесплатной версией, а PRO-версия обойдется вам в очень разумные 199 р.

Я уже много лет пользуюсь замечательным сервисом хранения паролей LastPass и считаю, что он является лучшим в своем роде. Однако для платформы Android этот сервис предлагает только платный вариант использования, что подходит далеко не всем. Поэтому в этой статье мы рассмотрим, как вытащить свои пароли из LastPass, перенести их в Android и организовать их надёжное хранение и удобное использование.

1. Экспорт паролей из LastPass

Извлечь свои пароли из этого сервиса очень просто, процесс займёт всего несколько кликов. Для этого необходимо зайти в веб-интерфейс сервиса и в главном меню выбрать пункт «Экспорт». После этого необходимо указать имя файла и место его сохранения на своём компьютере.

2. Конвертация паролей LastPass в пароли KeePass

Для работы с паролями на мобильном устройстве будем использовать программу . Она имеет клиенты практически для всех платформ, хорошо зарекомендовала себя с точки зрения безопасности, удобна и бесплатна. Но прежде чем перенести свои пароли на мобильное устройство, их необходимо преобразовать в понятный для этой программы вид. Эта возможность существует в десктопной версии KeePass.

Установите KeePass на свой компьютер и создайте новую базу паролей, указав в качестве места размещения одну из папок в Dropbox. Затем импортируйте файл с паролями LastPass в созданную вами базу паролей.

3. Keepass2Android

После того, как ваши пароли оказались в понятном для KeePass виде, можно уже перенести их непосредственно в мобильное устройство. Для этого лучше всего использовать мобильный клиент Keepass2Android, который умеет синхронизировать базу паролей через Dropbox. Установите эту программу, а затем откройте созданную вами ранее базу паролей.

4. Автоматическое заполнение паролей

Одна из самых удобных функций LastPass - это возможность автоматического заполнения учётных данных на сохранённых сайтах. В Keepass2Android тоже есть подобная функция, хотя реализована она немного по-другому. Программа имеет специальную клавиатуру, с помощью которой и вводятся пароли. Происходит это следующим образом.

1. Вы открываете в браузере (поддерживаются практически все обозреватели для Android) страницу авторизации.
2. С помощью меню «Отправить» переправляете эту страницу в Keepass2Android. Программа находит подходящий для этой страницы пароль в своей базе.
3. Затем перед вами появляется предложение выбрать клавиатуру. Выбираем вариант Keepass2Android.
4. Появляется специальная клавиатура, на которой с помощью специальных клавиш можно в один клик ввести в нужные поля ваш логин и пароль для открытой страницы.

Теперь вы будете иметь на своём мобильном гаджете хорошо защищённую и синхронизируемую базу данных, содержащую все ваши пароли. Кроме этого, мы получаем возможность удобного ввода паролей с помощью специальной клавиатуры, что позволяет очень быстро и удобно входить на нужные вам сайты.