Выбирая тот или иной способ хранения конфиденциальной информации, приходится идти на компромисс. Полагаясь на собственную память, мы выбираем простые, хорошо запоминающиеся варианты паролей, логинов и т. п. Материальная фиксация (скажем, записи в блокноте) еще менее надежна, дополнительную аргументацию можно даже не приводить.
Мобильное устройство — также не панацея. Но во-первых, телефон всегда под рукой, в отличие от настольных программных решений. Во-вторых, надежно защитить данные на телефоне «малой кровью» все-таки можно.
Среди наиболее популярных приложений для Android верхние позиции занимают менеджеры паролей, и в этой категории выбор на удивление широк. Данный путеводитель затрагивает, в основном, известные и хорошо зарекомендовавшие себя решения. Задача — выяснить, насколько удобно использовать менеджеры паролей, какие средства для защиты информации предлагают разработчики в каждом из случаев.
В первую очередь, наш интерес направлен на следующие аспекты:
- Синхронизация, импорт и экспорт данных
- Записи, шаблоны, способы организации данных, поиск
- Поддерживаемые стандарты безопасности
- Дополнительные инструменты: встроенный браузер, генератор паролей и т. п.
- Меры безопасности, такие как установка мастер-пароля (или PIN), автоблокировка, очистка буфера обмена.
Участники:
- mySecret
- Keepass2Android
- Safe in Cloud
- LastPass
- PassWallet
- Dashlane Password Manager
mySecret
Google Play: http://bit.ly/1f5SAQW
Приложение mySecret позволяет хранить имена пользователей, пароли и заметки в зашифрованной базе данных. При создании базы за ней закрепляется мастер-пароль.
Опционально, база данных может быть синхронизирована онлайн с Dropbox или посредством HTTP-сервера. Также предусмотрен локальный доступ: база хранится в памяти телефона, ее можно синхронизировать вручную, удалить или восстановить из файла. Для дополнительной защиты содержимого используются сертификаты.
В mySecret задействован простой формат хранения информации. Содержимое ячейки состоит из записи (наименования), логина, пароля, URL, заметки. В поиске участвуют все эти данные, в любой момент можно быстро найти интересующие сведения. Однако следует иметь в виду, что некоторые традиционные удобства в mySecret недоступны. Например, нельзя закрепить запись за категорией или группой, назначить дополнительные поля.
Очень мало внимания уделено безопасности. В ряде случаев не помешала бы перестраховка в виде дополнительных мер. Например, при удалении базы данных не запрашивается пароль, нет быстрой блокировки и т п. моменты, о которых в обзоре будет сказано.
Резюме. mySecret поддерживает онлайн-синхронизацию, автономную работу, хранение паролей с поддержкой сертификатов. Слабые стороны — слишком простая организация паролей, невозможность гибкой настройки, неясная ситуация с безопасностью (как минимум, не указана технология шифрования).
Keepass2Android
Google Play: http://bit.ly/1le6h7B
Домашняя страница: http://keepass2android.codeplex.com/
Keepass2Android — бесплатный менеджер паролей, который позволяет записывать конфиденциальные данные в *.kdbx файл. Этот формат поддерживается настольными версиями KeePass и, таким образом, доступен для широкого перечня ОС.
KeePass позволяет работать с несколькими базами данных, хранящимися в памяти телефона. Информация шифруется по алгоритму AES (Rijdael) 256 бит с заданным количеством подходов шифрования. Дополнительно может использоваться файл ключей. Безусловно, база защищается мастер-паролем, для ускорения доступа можно активировать опцию QuickUnlock — разблокировку с использованием трех последних символов пароля.
Запись включает в себя стандартные поля (пароль, имя пользователя, адрес сайта, комментарий). Кроме этого, можно присвоить ассоциативную иконку, добавить дополнительные поля, теги, вложение, указать срок годности пароля. Разрешается не только добавление записей, но и их группировка. Это весьма удобно, но практичней было бы ассоциировать группы с определенным набором полей, тем самым ускорив добавление новых записей.
Расширенный поиск позволяет включать любые поля и данные. Обычный поиск в KeePass осуществляется не по мере набора, а после нажатия на кнопку подтверждения (также можно было оптимизировать это действие).
В наличии дополнительные опции безопасности: очистка буфера обмена, блокировка базы, быстрая разблокировка, настройка паролей, управление операциями, обработкой файлов.
Keepass2Android поддерживает синхронизацию базы с облачными сервисами Dropbox, Google Drive, SkyDrive, а также по протоколам FTP и WebDAV. Существует локальная — менее популярная — версия KeePass — Keepass2Android Offline. Она может быть интересна, пожалуй, только пользователям, которым не требуется постоянная синхронизация с другими платформами. Экспорт в ней поддерживается, наравне с альтернативной версией приложения.
Резюме. Keepass2Android представляет собой функциональное решение с удобной организацией паролей и другой секретной информации. Из особенностей — группы и расширенный поиск, синхронизация с настольными платформами и онлайн-сервисами.
Safe in Cloud
Google Play: http://bit.ly/Q41UPO
Домашняя страница: http://www.safe-in-cloud.com/en/
Safe in Cloud — менеджер паролей с возможностью онлайн-синхронизации зашифрованной базы (поддерживаются хранилища Google Drive, Dropbox и SkyDrive). Несмотря на единственную базу данных, доступ к сервису возможен на других платформах: (iOS, Windows). Также существуют расширения для браузеров Chrome и Firefox.
В Safe in Cloud можно импортировать старые пароли, заявлено более 80 поддерживаемых приложений (по запросу, можно добавить и другие варианты). Доступен экспорт записей, форматы вывода — TXT, CSV и XML. Из других операций, производимых с базой, — резервное копирование / восстановление данных на карту памяти.
Пользовательские данные хранятся в виде карт, заметок и шаблонов. Карты — это записи с конфиденциальной информацией, создаваемые на основе шаблонов. Шаблоны представляют собой определенный набор полей (к примеру, кредитные карты, паспорта, электронная почта, веб-аккаунты). Наконец, заметки — это простые текстовые записи.
Для упорядочивания записей используются теги, из боковой панели можно быстро перейти к нужной категории. Навигация дополняется удобным поиском: он изначально производится по всем полям и работает по мере ввода.
Данные в Safe in Cloud зашифрованы (как на телефоне, так и в облачном хранилище), используется стандартное 256-битное шифрование Advanced Encryption Standard. Предусмотрен мастер-пароль, он вводится каждый раз при начале или возобновлении активности в приложении.
Резюме. Нареканий к приложению Safe in Cloud нет. Наиболее сильные стороны — удобный интерфейс, продуманная навигация плюс категоризация и поиск, широкие возможности импорта и экспорта, кроссплатформенность, синхронизация.
Google Play: http://bit.ly/1m0GBc7
Домашняя страница: http://bit.ly/1haxkd1
Pocket (не путать с одноименным сервисом для отложенного чтения) — записная книжка для удобного хранения информации, в том числе конфиденциальной.
Дизайн Pocket отличается от других приложений меньшей строгостью: выпуклые кнопки, цветной фон, множество иконок. Это дополнительный «плюс», хотя, по отзывам, есть и приверженцы консервативного стиля.
Аналогично Safe in Cloud и подобным программам, Pocket поддерживает категории, позволяя сортировать записи по различным типам. В настройках группы указываются поля — то есть, нечто вроде шаблона. В результате, легко создавать группы в широком диапазоне, от веб-логинов и автомобильных знаков до лицензий, рецептов и других сущностей. Рядом располагается генератор паролей, он поможет создать пароль необходимой длины и сложности в соответствующем поле.
Поисковой строке отведен свой раздел, и небольшое неудобство заключается в том, что нужно нажать на кнопку «Поиск», ввести ключевые слова и вновь нажать на кнопку, хотя, как уже было отмечено, можно реализовать это куда проще для пользователя.
Для шифрования применяется алгоритм AES-256. Мастер-пароль, созданный в целях защиты базы данных, представляет собой хэш SHA-512 и, по сути, не хранится на устройстве как заданная комбинация цифр. При неактивности, Pocket автоматически блокирует доступ и очищает буфер обмена, обеспечивая комплексную защиту данных.
Существующие записи можно импортировать или сделать резервную копию с SD-карты, синхронизировать с Dropbox. При онлайн-синхронизации используется протокол HTTPS, данные передаются зашифрованными.
Pro-версия, по сравнению с бесплатной, не несет в себе добавочной функциональности, но в ней нет рекламы.
Резюме. Программа уже год не обновлялась, однако и сейчас она вполне актуальна. Pocket отличается неплохим дизайном, пусть и не во всех моментах оптимизированным для быстрого доступа — такие «фишки», как быстрый поиск и QuickUnlock, не помешали бы. Настраиваемая синхронизация, экспорт записей на SD-карту, мастер импорта. Доступна интеграция с настольным (Windows/Mac/Unix) jar-приложением.
LastPass
Google Play: http://bit.ly/1oOUJqy
Домашняя страница: https://lastpass.com/
LastPass — это симбиоз браузера и менеджера паролей. Браузер используется для быстрого заполнения форм, сохранения адресов и другой информации, а менеджер также позволяет хранить любые текстовые данные.
Приложение доступно для множества платформ, включая мобильные устройства. Вместе с этим, LastPass не вынуждает использовать встроенный браузер, предлагая на выбор расширения для Internet Explorer, Firefox, Chrome, Safari и Opera.
Браузер и менеджер доступны в едином окне. В любой момент можно получить доступ как к браузеру, так и к остальному инструментарию приложения. LastPass содержит три раздела: «Сайты», «Защищенные заметки» и «Заполнение форм».
«Сайты» — записи вида логин/пароль для аутентификации на определенном сайте, плюс дополнительные опции (автовход/автозаполнение, примечание, группа).
«Защищенные заметки» — это не простые текстовые записи, как, скажем, в mySecret, а профили для заполнения с различными полями: банковские счета, паспорта, ключи, базы данных и прочие. Заметки подобного типа могут содержать вложения в виде изображений и аудиозаписей.
«Заполнение форм» — создание профилей, которые ускоряют ввод адресов, имен, цифр.
Для создания паролей в LastPass в любой момент может использоваться генератор. Правда, его нужно каждый раз открывать из контекстного меню (а не вызывать рядом с полем), затем копировать сведения в буфер обмена. Автоматическая очистка буфера при этом не поддерживается, что несколько снижает безопасность.
Программа платная, хотя из имеющейся информации можно сделать другие выводы, тем не менее, ошибочные. Бесплатный ознакомительный период действует 14 дней, стоимость годовой подписки составляет $12.
Резюме. С одной стороны, заполнение форм — это не главная функция менеджера паролей. Далеко не многим придется по вкусу браузер или менеджер LastPass. Часть этих возможностей успешно реализована в браузерах, оставшаяся часть компенсируется любым другим менеджером.
В то же время, LastPass — это удачная реализация приложения «два в одном». Для того, чтобы вспомнить пароль для входа на сайт, не нужно открывать отдельный менеджер, все уже находится под рукой. Таким образом, можно улучшить защиту, ускорить создание и ввод паролей, синхронизировать данные на многих устройствах.
PassWallet
Google Play: http://bit.ly/1iQL2Gb
Домашняя страница: http://passwalletapp.com/
PassWallet — менеджер паролей и защищенное хранилище данных. Предлагается 256bit AES шифрование базы, синхронизация с онлайн-сервисами Dropbox и Google Drive.
Личные данные можно импортировать из других приложений, включая Keeper, mSecure, aWallet, DataVault, SplashID, NS Wallet, LastPass, Password Box, Safe in Cloud (некоторые из приложений уже упомянуты или войдут во вторую часть путеводителя). Поддерживается импорт и экспорт CSV-файла. В Pro-версии PassWallet доступно резервное копирование и восстановление данных с поддержкой шифрования и установкой PIN-кода.
Весьма удобно то, что начальный экран поддерживает «терминальный» способ ввода, то есть, для ввода мастер-пароля не нужно открывать стандартную клавиатуру Android.
С помощью PassWallet можно создавать защищенные записи, содержащие данные кредитных карт, веб-сервисов, удостоверений. При выборе пункта «Другое» предлагается ввести имя, идентификатор, пароль и примечание. Таким образом, использовать шаблоны и пользовательские поля нельзя, а это уже ощутимый недостаток. Для данных, привязанных к дате (паспорт, кредитные карты и др.) можно указать срок действия — PassWallet уведомит пользователя о скором истечении времени. При вводе пароля можно воспользоваться простым генератором (выдает произвольный набор символов, без указания сложности).
Есть поиск по мере ввода, а вот упорядочивать информацию по тегам или категориям нельзя. Поэтому остается использовать стандартные, не всегда полезные группы, вроде «Веб-входы», «Банковские счета».
Более оптимистично обстоят дела с опциями безопасности. Это т. н. режим Stealth (возможность скрыть значок приложения), маскировка (PassWallet не отображается в истории запуска), автоблокировка, функция уничтожения данных при неверном вводе.
Приложение платное, предоставляется месяц ознакомительного режима.
Резюме. Разработчики убеждены, что PassWallet является наиболее «защищенным и удобным менеджером». По факту — простой инструментарий с продуманной защитой доступа, в бесплатных приложениях можно встретить и более широкий набор функций.
Dashlane Password Manager
Google Play: http://bit.ly/1lE76HQ
Домашняя страница: https://www.dashlane.com/
Бесплатный менеджер Dashlane позволяет генерировать пароли, хранить их в безопасной среде, в дальнейшем используя для автозаполнения форм и входа на сайты. Для интернет-навигации можно задействовать Dashlane Browser, для ввода данных — специальную клавиатуру Dashlane Keyboard. Приложение доступно для платформ Mac, Windows, iOS, планшетов и телефонов на базе Android.
В первую очередь, следует отметить удобный интерфейс программы. Быстрый доступ к данным может осуществляться как через выдвижную боковую панель, так и через панель управления и строку поиска. Dashlane состоит из трех основных разделов: Password Manager (Менеджер паролей), Autofill (Автозаполнение), Wallet (Кошелек).
Запись с паролем включает в себя информацию о сайте, закрепленную категорию и заметку. Для создания безопасного пароля может использоваться встроенный генератор. Помимо добавления пароля, доступны заметки, содержащие заголовок и контент. Для автозаполнения форм может использоваться клавиатура Dashlane Keyboard (подключить ее легко через системные настройки раздела «Язык и ввод») и браузер — Dashlane Browser. При необходимости, через настройки можно указать альтернативное приложение для интернет-серфинга.
Более детально настройки автозаполнения раскрываются в секции Autofill. В раздел Personal Info (личная информация) добавляются адреса, телефоны, имена, в дальнейшем используемые в полях. Второй подраздел содержит идентификаторы, ID — стандартный набор шаблонов с полями, включая паспортные данные, номера лицензий и т. п. К сожалению, добавить свой шаблон или поля не предоставляется возможным.
Наконец, в разделе Wallet ведется учет информации для платежных систем: это номера кредитных карт, счетов.
В Dashlane предусмотрены меры безопасности, такие как очистка буфера обмена, защита PIN-кодом, мастер-паролем, автоблокировка, запрет на снятие снимков экрана.
Премиум-версия Dashlane предполагает синхронизацию паролей на различных устройствах, автоматическое резервирование информации и онлайн-доступ к базе.
Резюме. Dashlane предлагает четкое разделение личной информации на несколько секций, удобное управление данными и продуманную настройку доступа. Для быстрого ввода могут быть полезны дополнительные инструменты, такие как браузер и клавиатура. Следует иметь в виду, что бесплатная версия Dashlane не поддерживает синхронизацию и создание резервной копии.