[Windows 11/10] Настройка Windows Hello (биометрия, распознавание лица, сканер отпечатков пальцев)
[Windows 11/10] Настройка Windows Hello (биометрия, распознавание лица, сканер отпечатков пальцев)
Windows Hello — это более персональный и безопасный способ получить мгновенный доступ к устройствам Windows 11/10 с помощью отпечатков пальцев или распознавания лица. Вы сможете просто показать лицо или коснуться пальцем, не вводя пароль, чтобы разблокировать устройство.
Примечание: Варианты входа в Windows 11/10 могут отличаться в зависимости от разных устройств. Если Вы хотите войти с помощью отпечатков пальцев или распознавания лица, Ваш компьютер должен быть оснащен сканером отпечатков пальцев или камерой с инфракрасным (ИК) датчиком. Если Вы еще не настроили PIN-код, Вам нужно добавить PIN-код перед использованием других вариантов входа.
Пожалуйста, перейдите к соответствующей инструкции, исходя из текущей операционной системы Windows на Вашем компьютере:
- Windows 11
- Windows 10
Windows 11
Содержание:
- Вход с помощью распознавания лица
- Удалить распознавание лица
- Вход с помощью отпечатка пальца
- Удалить отпечаток пальца
- Настроить динамическую блокировку
Войти с помощью распознавания лица
Эта функция доступна только в некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.
Вы можете найти технические характеристики Вашего компьютера на сайте ASUS
Также Вы можете проверить Диспетчер Устройств, чтобы узнать, оснащен ли Ваш компьютер ИК-камерой. Щелкните правой кнопкой мыши значок [Пуск] на Панели Задач ① и выберите [Диспетчер Устройств] ②.
Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера
Настройка распознавания лица
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Настроить] ④.
- Выберите [Начать] ⑤.
- Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.
- Пожалуйста, поместите свое лицо в центр кадра, который появится на экране, чтобы камера захватила Ваши черты лица.
- Распознавание Вашего лица завершено, нажмите [Закрыть] ⑦.
- Настройка лицевого входа завершена. Существует еще одна опция [Улучшить распознавание] ⑧, эта функция позволяет Вам сохранять фото в очках и без них. Если во время настройки распознавания лиц Вы были в очках, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows распознавать Вас независимо от того, носите Вы очки или нет.
Вернуться в начало
Удалить распознавание лица
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по лицу будет удалена.
Вернуться в начало
Вход с помощью отпечатка пальца
Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.
Пожалуйста, найдите сканер отпечатков пальцев Вашего компьютера. Сканер отпечатков пальцев большинства ноутбуков ASUS расположен на сенсорной панели.
Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Настроить] ④.
- Выберите [Начать] ⑤.
- Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.
- Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите и положите только один палец на датчик.
- Следуйте инструкциям на экране, чтобы несколько раз поднять и положить палец на датчик.
- Выберите [Далее] ⑦ и попробуйте использовать разные углы наклона пальца, чтобы захватить края отпечатка пальца при нажатии на датчик.
- Распознавание Вашего отпечатка пальца завершено, нажмите [Закрыть] ⑧.
- Настройка входа по отпечатку пальца завершена. Существует еще одна опция [Добавить палец] ⑨, Вы можете настроить отпечатки пальцев других пальцев.
Вернуться в начало
Удалите сканнер отпечатка пальца
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по отпечатку пальца будет удалена.
Вернуться в начало
Настройка динамической блокировки
Динамическая блокировка позволяет использовать устройства, сопряженные с Вашим компьютером, чтобы определить, когда Вы отсутствуете, и заблокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Эта функция усложняет доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- В параметрах входа прокрутите вниз до раздела «Динамическая блокировка» и установите флажок [Разрешить Windows автоматически блокировать устройство, когда Вас нет] ③.
- Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем ПК нет сопряженного телефона ④, выберите [Bluetooth и устройства] ⑤ для сопряжения телефона с компьютером. Здесь Вы можете узнать больше о том, как установить сопряжение с Bluetooth.
- После того, как сопряжение будет завершено, оно будет отображаться, как показано ниже. Пожалуйста, возьмите с собой телефон, когда уходите, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы выйдете из зоны действия Bluetooth.
Вернуться в начало
Windows 10
Содержание:
- Вход с помощью распознавания лица
- Удалить распознавание лица
- Вход с помощью отпечатка пальца
- Удалить отпечаток пальца
- Настроить динамическую блокировку
Вход с помощью распознавания лица
Эта функция доступна только на некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.
Вы можете найти спецификацию Вашего устройства на официальном сайте ASUS
Также Вы можете проверить Диспетчер Устройств, чтобы узнать, оснащен ли Ваш компьютер ИК-камерой. Щелкните правой кнопкой мыши значок [Пуск] на Панели Задач ① и выберите [Диспетчер Устройств] ②.
Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера
Настройка распознавания лица
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Настройка] ④.
3. Выберите [Начать] ⑤.
4. Расположите свое лицо в центре кадра, который появится на экране, и камера сохранит Ваши черты лица.
5. Распознавание Ваших черт лица завершено, выберите [настроить PIN] ⑥ чтобы создать PIN-код для входа, если функция распознавания лиц недоступна.
6. Укажите пароль от аккаунта ⑦, нажмите [OK] ⑧.
7. Пожалуйста, укажите новый PIN для настройки ⑨ и нажмите [OK] ⑩.
8. Настройка завершена. Есть еще вариант [Улучшить распознавание] ⑪, эта функция позволяет зафиксировать распознавание как в очках, так и без них. Если Вы носили очки во время настройки распознавания лиц, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows узнать Вас независимо от того, в очках Вы или нет.
Вернуться в начало
Удалить распознавание лица
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Удалить] ④, распознавание лица будет удалено.
Вернуться в начало
Вход с помощью отпечатка пальца
Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.
Найдите сканер отпечатков пальцев на своем компьютере. Сканер отпечатков пальцев у большинства ноутбуков ASUS расположен на сенсорной панели.
Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание отпечатков пальцев Windows Hello] ③ и нажмите [Настройка] ④.
3. Выберите [Начать] ⑤.
4. Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите палец и положите его на датчик.
5. Следуйте инструкциям на экране, чтобы несколько раз приподнять и положить палец на датчик.
6. Выберите [Далее] ⑥ и попробуйте использовать разные углы Вашего пальца, чтобы захватить края Вашего отпечатка пальца при нажатии на датчик.
7. Распознавание Вашего отпечатка пальца завершено, выберите [настроить PIN] ⑦ для создания ПИН-кода для входа, если распознавание отпечатков пальцев недоступно.
8. Укажите пароль от аккаунта ⑧, затем нажмите [OK] ⑨.
9. Укажите новый PIN для настройки ⑩, нажмите [OK] ⑪.
10. Настройка входа по отпечатку пальца завершена. Есть еще вариант [Добавить еще] ⑫, Вы можете настроить отпечаток других пальцев.
Вернуться в начало
Удалить отпечаток пальца
- Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев Windows Hello] ③, затем выберите [Удалить] ④, возможность входа по отпечатку пальца будет удалена.
Вернуться в начало
Настроить динамическую блокировку
Динамическая блокировка позволяет Вам использовать устройства, сопряженные с Вашим компьютером, чтобы определять Ваше отсутствие и блокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Благодаря этой функции кому-либо будет сложнее получить доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. В параметрах входа прокрутите вниз до раздела Динамическая блокировка и установите флажок [Разрешить Windows автоматически блокировать Ваше устройство, когда Вас нет] ③.
3. Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем компьютере нет сопряженного устройства, выберите [Bluetooth и другие устройства] ④, чтобы выполнить сопряжение устройства Bluetooth с Вашим компьютером. Здесь Вы можете узнать больше: Как установить сопряжение с устройством Bluetooth.
4. После завершения сопряжения блокировка будет отображаться, как показано ниже. Когда Вы отойдете от ПК, возьмите с собой устройство Bluetooth, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы окажетесь вне зоны действия Bluetooth.
Вернуться в начало
Создаем мастер-пароль в Яндекс Браузере
Все способы:
- Вариант 1: Десктопная версия
- Способ 1: Раздел «Пароли и данные»
- Способ 2: Настройки синхронизации
- Вариант 2: Мобильное приложение
- Вопросы и ответы: 1
Вариант 1: Десктопная версия
Мастер-пароль в Яндекс Браузере шифрует сохраненные пароли, обеспечивая полную безопасность данных, так как доступ к ним будет только у тех пользователей, которые знают основную комбинацию.
Способ 1: Раздел «Пароли и данные»
Создание мастер-пароля не занимает много времени и происходит двумя способами. Первый из них предполагает переход в соответствующий раздел через меню программы:
- Нажмите на значок в виде трех полосок вверху, чтобы открыть главное меню, затем выберите раздел «Пароли и данные».
- На панели слева переключитесь на вкладку «Настройки», затем в центральной части окна кликните по строке «Создать мастер-пароль».
- Потребуется ввести пароль пользователя Windows в окне «Безопасность Windows». При нажатии на строку «Больше вариантов» отобразится список учетных записей. Если требуется, выберите нужный вариант. Кликните по кнопке «ОК» после ввода пароля.
- Останется ввести пароль (комбинация не должна быть короче 6 символов), в строке ниже подтвердите его, повторно введя комбинацию, затем нажмите на «Продолжить».
- Далее будет предложено включить возможность сброса мастер-пароля (для этого потребуется активная синхронизация Яндекс-аккаунта, поскольку запасной пароль будет храниться на сервере компании). Если есть уверенность, что пароль от мастер-пароля не будет утерян, нажмите на кнопку «Я не забуду пароль».
- Кликните по кнопке «Включить» для активации функции.
- В окне с информацией о сбросе пароля нажмите на кнопку «Хорошо» для завершения настройки.
Читайте также: Что делать, если забыл мастер-пароль в Яндекс Браузере
Способ 2: Настройки синхронизации
Второй метод создания одного главного пароля подразумевает переход к параметрам синхронизации Яндекс Браузера. При этом функция должна быть активна.
Подробнее: Как настроить синхронизацию в Яндекс.Браузере
- Через главное меню обозревателя (три горизонтальные полоски) перейдите в «Настройки».
- Оставаясь на вкладке «Общие настройки» нажмите на строку «Настройки синхронизации» в блоке «Синхронизация».
- Внизу отобразится сообщение, что синхронизация банковских карт отключена, а ниже – кнопка «Создать мастер-пароль». Нажмите на нее.
Далее вернитесь к инструкции из Способа 1 и проделайте то же, что описано на Шагах 3-7.
Вариант 2: Мобильное приложение
В мобильном приложении Яндекс Браузер тоже предусматривается мастер-пароль и создать его можно в несколько нажатий:
- Запустите софт и нажмите на три полоски на нижней панели для перехода в главное меню.
- Выберите кнопку «Мои данные».
- Коснитесь плитки «Пароли».
- Откроется окно с ранее добавленными паролями, если они есть. Чтобы перейти к созданию мастер-пароля, нажмите на три точки в верхнем правом углу и выберите пункт «Настройки». В открывшемся окне тапните по строке «Создать мастер-пароль».
- Задайте комбинацию и нажмите на «Продолжить». Далее потребуется еще раз ввести тот же пароль для подтверждения, после выберите «Создать мастер-пароль».
- На данном этапе нужно решить, будет ли храниться дополнительный пароль на сервере Яндекса, что обеспечит сброс локального пароля без потери данных.
Наша группа в TelegramПолезные советы и помощь
Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.
|
Windows Hello является приложением Windows 10. Оно предназначено для защиты персональных данных. Для его использования необходимы сканер отпечатков пальцев или радужной оболочки глаза. При использовании функции Windows Hello для доступа к устройству не требуется ввод пароля. Вам необходимо просто провести пальцем по сканеру, но это и очень надежный способ, т.к. отпечатки пальцев индивидуальны. Как настроить Windows Hello? Через меню «Пуск» выбираем «Параметры». После «Учетные записи» — «Параметры входа». Там и задаем параметры входа с помощью Windows Hello. система выбрала этот ответ лучшим Новая программа от Майкрософт Windows Hello, которым можно пользоваться тем у кого установлена программа виндовс10. Данная программа предназначена для входа в ПК и заменяет пароль. Теперь по этой программе вместо пароли будет достаточно подвести свой палец для сканирования отпечатка или лицо, с лица сканируется радужная оболочка глаза. Влади 9 лет назад Пока мало кому известна программа Windows Hello. Это новшество от Microsoft которое предназначено, чтобы обезопасить личные данные пользователя. Программа будет теперь выпускаться совместно под управлением операционной системы Windows 10. Пользователи у которых на устройствах установлена программа Windows Hello теперь могут входить в компьютер при помощи лица (если точнее, то сетчатки глаза) и по отпечатку пальца. При этом пароли на компьютер можно теперь и не устанавливать можно войти в систему при помощи их двух предметов. Но это по вашему усмотрению, можно устанавливать это новшество, а можно и не устанавливать, в зависимости от важности ваших персональных данных (хотя каждый желает защитить свой компьютер от проникновения сторонних лиц) и на мой взгляд — это отличное решение. Если у вас есть Windows Hello, то включить программу можно следующим образом переходите: пуск — параметры — учетные записи — параметры входа и выбираете каким образом вы собираетесь входить в Виндовс. 
Petla 9 лет назад Windows Hello -это новшество, которое введено для защиты данных и безопасности информации для пользователей Windows 10. Все у кого установлена именно эта операционная система, теперь смогут входить в систему при помощи распознавания отпечатков их пальцев или же «фейса»(лица или радужной оболочки глаз). Распознавание отпечатков пальцев будет на всех компьютерах , на которых есть считыватель для этого. А вот для распознавания лица потребуется дополнительно купить 3D-камеру , которая способна распознавать лица. Включить это программное обеспечение можно , зайдя в меню.Нажимаем «Пуск» ,»Параметры» ,»Учетные записи», «Параметры входа» . И потом вы сможете входить , всего лишь проведя пальцем или долгим взглядом по экрану вашего компьютера.Очень удобно и более надежно. Компания Microsoft (Микро мягких) не стоит на месте и продолжает удивлять общественность своими новыми системами доступами и девайсами. Из такого же разряда и Windows Hello — это утилита / программа, которая работает на ОС Win 10. Ее основная задача идентификация владельца ноутбука, планшета и т.п. посредством сканирования отпечатка пальца или сетчатки глаза. Да, да, технологии обыгранные в фильмах уже в домах обычных пользователей. Чтобы настроить Windows Hello нужно выполнить ряд действий, описанных ниже: Елена Д 9 лет назад «Windows Hello» — это дополнительная опция, которая поможет создать более надёжную защиту устройства с операционной системой Windows 10 от несанкционированного доступа к нему посторонних лиц. Правда, для функционирования данной программы необходимо будет наличие на компьютере специального устройства-сканера, позволяющего идентифицировать отпечатки пальцев, либо, что ещё круче, камеры, способной «узнавать» своего законного владельца, что называется, в лицо. 12777 9 лет назад Windows Hello это особый персонализированный вход на устройства, где установлен Windows 10. Чтобы включить данную функцию необходимо перейти в меню «Пуск», далее «Параметры», «Учетные записи» и «Параметры входа». Здесь можно включить эту функцию. Функция полезна только для тех у кого на компьютере есть сканер отпечатков пальцев или камера, поддерживающая «эут» функцию. Людви 9 лет назад Windows Hello используется для защиты персональных данных, это биометрическая аутентификация, для которой необходим, например, отпечаток пальца или снимок радужки глаза. Для этого будут нужны дополнительные датчики. Это высшая степень безопасности, она может использоваться в крупных компаниях. Марле 9 лет назад Windows Hello — это специальный вход повышенной защиты на ваш компьютер. Для того, чтобы подключить его у вас на компьютере должен быть сканер отпечатков пальцев или специальная камера. Настроить функцию можно в параметрах входа в настройках. Екате 9 лет назад Windows Hello — это супер защитник Вашего компьтера. Благодаря этой программе не нужно будет вводить пароль, а достаточно будет Вашего прикосновения рук, по отпечаткам пальцев программа будет узнавать Вас. Но нужно дополнительное оснащение. Знаете ответ? |
Как мы создавали менеджер паролей со стойкой криптографией и мастер-паролем. Опыт команды Яндекс.Браузера
Время на прочтение9 мин
Количество просмотров54K
Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, …). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.
С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.
Почему мы создаем новый менеджер паролей?
В текущей реализации менеджера паролей для Windows, унаследованной из Chromium, сохранённые пароли защищены браузером достаточно просто. Они зашифрованы средствами операционной системы (к примеру, на Windows 7 используется функция CryptProtectData, основанная на алгоритме AES), но хранятся не в изолированной области, а просто в папке профиля. Казалось бы, в этом нет проблемы, ведь данные зашифрованы, но ключ для расшифровки тоже хранится в операционной системе. Любая программа на компьютере может перейти в папку профиля браузера, взять ключ, локально расшифровать пароли, отправить их на сторонний сервер, и никто этого не заметит.
А ещё многие пользователи хотели бы, чтобы случайный человек, не обладающий специальной подготовкой, но получивший кратковременный доступ к браузеру (например, родственник или коллега по работе), не смог авторизоваться на важных сайтах с помощью сохранённых паролей.
Обе эти проблемы решаются с помощью мастер-пароля, которым защищаются данные, но который нигде не хранится. И это стало нашим первым требованием к новой архитектуре хранения паролей в Яндекс.Браузере. Но не единственным.
Каким бы безопасным ни был новый менеджер паролей, его популярность зависит от того, насколько просто им пользоваться. Напомним, что те же 1Password, KeePass и LastPass даже в сумме используют не более процента пользователей (хотя LastPass мы предлагаем в нашем встроенном каталоге дополнений). Или другой пример. Вот так в старой реализации Браузер предлагает сохранить пароль:
Опытные пользователи или согласятся, или откажутся, или сделают хоть что-то с этим уведомлением. Но в 80% случаев его просто не замечают. Многие пользователи даже не знают, что в браузере можно сохранять пароли.
Отдельно стоит сказать про функциональность. Сейчас даже добраться до списка своих паролей не так уж и просто. Нужно открыть меню, кликнуть по настройкам, перейти в дополнительные настройки, найти там кнопку управления паролями. И только тогда человек получит доступ к примитивному списку аккаунтов, которые нельзя отсортировать по логину, нельзя добавить текстовое примечание, отредактировать тоже нельзя. К тому же менеджер паролей должен помогать придумывать новые пароли.
И ещё кое-что. Для нас было важно, чтобы новая архитектура соответствовала принципу Керкгоффса, то есть, чтобы её надежность не зависела от знаний злоумышленников о применяемых алгоритмах. Криптосистема должна оставаться безопасной даже в том случае, когда им известно всё, кроме применяемых ключей.
Почему мы не взяли готовое решение?
Существуют продукты с открытым исходным кодом, которые поддерживают мастер-пароль и расширенную функциональность. Их можно было бы интегрировать в браузер, но они нам не подошли по ряду причин.
В первую очередь на ум приходит KeePass. Но его хранилище зашифровано целиком, а у нас в Браузере синхронизация работает построчно. А значит, надо либо спрашивать мастер-пароль при каждой синхронизации, либо шифровать записи раздельно. Второй вариант добрее к пользователям. Более того, для массового продукта важно, чтобы пользователь знал о возможности подставить сохранённый пароль до разблокировки базы мастер-паролем, поэтому часть информации должна оставаться незашифрованной.
У специализированных дополнений для работы с паролями есть возможность сбросить мастер-пароль, если пользователь его забыл. Но для этого нужно скачать, спрятать и не потерять резервный код или файл. Это нормально, когда речь идет об опытных пользователях, но это сложно для всех остальных. Поэтому нам нужно было придумать альтернативное решение. Спойлер: в итоге нам удалось найти решение, при котором мастер-пароль сбросить можно, но даже Яндекс не сможет получить доступ к базе. Но об этом чуть позже.
А ещё любое стороннее решение в любом случае пришлось бы серьезно дорабатывать, чтобы нативно интегрировать в браузер (переписать на C++ и Java) и сделать его достаточно простым для пользователей (полностью заменить весь интерфейс). Как бы удивительно это ни звучало, но написать новую архитектуру хранения и шифрования паролей проще, чем сделать всё остальное. Поэтому логичнее не пытаться связать два изначально несовместимых продукта в один, а доработать свой.
Новая архитектура с использованием мастер-пароля
В хранении самих записей нет ничего необычного. Мы используем надежный и быстрый алгоритм AES-256-GCM для шифрования паролей и примечаний, адреса и логины не шифруем для удобства применения, но подписываем для защиты от подмены. Похожим образом устроена схема хранилища в том же 1Password.
Самое интересное – это защита 256-битного ключа encKey, который необходим для расшифровки паролей. Это ключевой момент безопасности паролей. Если злоумышленник узнает этот ключ, то легко взломает всё хранилище независимо от сложности алгоритма шифрования. Поэтому защита ключа основана на следующих базовых принципах:
– Доступ к ключу шифрования блокируется мастер-паролем, который нигде не хранится.
– Ключ шифрования не должен быть математически связан с мастер-паролем.
В простых сервисах и приложениях ключ шифрования получают путем хэширования мастер-пароля, чтобы хоть так замедлить атаку перебором. Но математическая зависимость ключа от мастер-пароля всё же упрощает взлом, скорость которого в этом случае зависит лишь от надежности хэширования. Применение ферм из заточенных на взлом ASIC-процессоров сейчас уже не редкость. Поэтому в нашем случае ключ encKey не является производным от мастер-пароля и генерируется случайно.
Далее ключ encKey зашифровывается с помощью асимметричного алгоритма RSA-OAEP. Для этого Браузер создает пару ключей: открытый pubKey и закрытый privKey. Ключ encKey защищается с помощью открытого ключа, а расшифровать его можно только с помощью закрытого.
Открытый ключ pubKey защищать не нужно, потому что он не подходит для расшифровки, а вот с закрытым privKey история другая. Чтобы защитить его от кражи, доступ к нему блокируется согласно стандарту PKCS#8 с помощью парольной фразы unlockKey, которая в свою очередь является результатом хэширования мастер-пароля с помощью функции PBKDF2-HMAC-SHA256 (100 тысяч повторов; с добавлением соли и id хранилища). Если мастер-пароль случайно совпадает с уже украденным паролем от какого-либо сайта, добавление соли скроет этот факт и усложнит взлом. А благодаря многократному хэшированию достаточно длинного мастер-пароля трудоемкость взлома unlockKey сопоставима со взломом ключа encKey.
Зашифрованные пароли, зашифрованный ключ к ним encKey, зашифрованный закрытый ключ privKey и открытый ключ pubKey хранятся в профиле браузера и синхронизируются с другими устройствами пользователя.
Чтобы было проще разобраться во всём этом, приведем схему расшифровки паролей:
У подобной архитектуры с использованием мастер-пароля есть ряд преимуществ:
– 256-битный ключ шифрования хранилища генерируется случайно и обладает высокой криптостойкостью по сравнению с паролями, придуманными человеком.
– При брутфорсе мастер-пароля злоумышленник не узнает результат, если не пройдется по всей цепи (пароль-PBKDF2-RSA-AES). Это очень долго и очень дорого.
– Если функция хэширования будет скомпрометирована, мы в любой момент можем перейти на альтернативный вариант хэширования с сохранением обратной совместимости.
– Если злоумышленник узнает мастер-пароль, то сменить его можно без сложной и рискованной процедуры расшифровки всего хранилища, потому что ключ шифрования данных не связан с мастер-паролем, а значит, не скомпрометирован.
– Ключ шифрования хранится в зашифрованном виде. Ни Яндекс, ни злоумышленник, похитивший пароль от Яндекса, не смогут получить доступ к синхронизированным паролям, поскольку для этого нужен мастер-пароль, который нигде не хранится.
Но у варианта с мастер-паролем есть один «недостаток»: пользователь может забыть мастер-пароль. Это нормально, когда речь идет о специализированных решениях, которые используют опытные пользователи, хорошо осознающие риск. Но в продукте с многомиллионной аудиторией это неприемлемо. Если мы не предусмотрим резервный вариант, то многие пользователи Яндекс.Браузера либо откажутся от использования мастер-пароля, либо «потеряют» однажды все свои пароли, а виноват в этом будет Браузер (вы удивитесь, но именно Яндекс часто оказывается крайним в ситуации, когда человек забыл пароль от аккаунта). И придумать решение не так уж и просто.
Как сбросить мастер-пароль без раскрытия паролей?
В некоторых продуктах эта проблема решается с помощью хранения расшифрованных данных (или даже мастер-пароля) в облаке. Этот вариант для нас не подходил, потому что злоумышленник может украсть пароль от Яндекса, а вместе с ним и пароли от всех сайтов. Поэтому нам нужно было придумать такой способ восстановления доступа к хранилищу паролей, при котором никто, кроме самого пользователя, не смог бы это сделать. Сторонние менеджеры паролей предлагают для этого создать резервный файл, который пользователь должен самостоятельно хранить в надежном месте. Хорошее решение, но обычные пользователи такие резервные ключи будут неизбежно терять, поэтому у нас всё намного проще.
Ещё раз вспомним цепочку зависимостей ключей. Хранилище паролей зашифровано с помощью случайного ключа encKey, который нигде не хранится в явном виде. Этот ключ защищён с помощью закрытого ключа privKey, который также не хранится в явном виде и в свою очередь защищён с помощью сложного хэша от мастер-пароля. Когда человек забывает мастер-пароль, он фактически лишается возможности расшифровать ключ privKey. Это значит, что в качестве резервного варианта можно хранить дубликат ключа privKey. Но где? И как его защитить?
Если поместить расшифрованный privKey в облако, то безопасность паролей будет зависеть от аккаунта Яндекса. А ровно этого мы и не хотели допускать. Если же хранить его в явном виде локально, то вся защита с мастер-паролем теряет какой-либо смысл. Нет такого места, где можно было бы безопасно хранить этот ключ в явном виде. Значит, его надо шифровать. Для этого Браузер создает случайный 256-битный ключ, которым защищает дубликат privKey. Теперь самое интересное. Этот случайный ключ отправляется на хранение в облако Яндекс.Паспорта. А зашифрованный дубликат остается храниться в локальном профиле Браузера. Получается, что ни в облаке, ни на компьютере нет готовой пары для расшифровки паролей, и безопасность не страдает.
При таком варианте сбросить мастер-пароль можно было бы только там, где и создан дубликат ключа privKey. Мы же хотели добавить такую возможность и синхронизированным устройствам. Создавать резервный ключ на каждом устройстве вручную неудобно: можно случайно остаться с тем устройством на руках, на котором забыли создать дубликат. Отправлять зашифрованный дубликат на другие устройства с помощью синхронизации нельзя: в облаке уже хранится ключ к нему, и в целях безопасности им нельзя встречаться в одном месте. Поэтому зашифрованный дубликат privKey проходит через ещё один слой шифрования. В этот раз – с помощью хэша от мастер-пароля. Мастер-пароль не хранится в облаке, поэтому полученную «матрешку» уже можно смело синхронизировать. На других устройствах в момент первого ввода мастер-пароля дополнительный слой шифрования будет снят.
В итоге, когда пользователь забудет мастер-пароль, ему будет достаточно запросить сброс пароля через браузер и подтвердить свою личность с помощью пароля от Яндекса.
Браузер запросит ключ у Яндекс.Паспорта, расшифрует им дубликат ключа privKey, с его помощью расшифрует ключ от хранилища encKey, а дальше создаст новую пару pubKey и privKey, последний из которых будет защищён новым мастер-паролем. Хранилище паролей при этом не расшифровывается, что снижает риск потери данных. К слову, принудительно сменить encKey и перешифровать данные тоже можно: достаточно отключить и заново включить мастер-пароль в настройках.
Получается, что сбросить мастер-пароль сможет только сам пользователь и только на том устройстве, где он хотя бы раз его вводил. Конечно же, резервный ключ создавать не обязательно, если пользователь уверен в себе. Даже мастер-пароль можно не использовать, хотя мы и не рекомендуем от него отказываться.
Новая архитектура и мастер-пароль – не единственные изменения в новом менеджере. Как мы уже рассказывали выше, удобство в использовании и расширенные возможности важны не меньше.
Новый менеджер паролей
Прежде всего, мы отказались от незаметной серой панели с предложением сохранить пароль. Теперь пользователь увидит предложение рядом с полем пароля. Не заметить такое уже трудно.
Да и сам менеджер теперь не надо искать в настройках: кнопка доступна в главном меню. Список сохранённых аккаунтов теперь поддерживает сортировку по логину, адресу и примечанию. Мы также добавили редактирование записей.
Подсказка: примечания отлично подходят в качестве альтернативы меткам, потому что поддерживают поиск.
А ещё Браузер теперь помогает создавать уникальные пароли.
В первой бета-версии мы успели далеко не всё. В будущем мы поддержим экспорт и импорт паролей для совместимости с популярными сторонними решениями. Также у нас есть идея добавить настройки генератору паролей.
Мобильный менеджер паролей
Конечно же, новая логика и поддержка мастер-пароля появятся не только на компьютере, но и в версиях Яндекс.Браузера для Android и iOS. С небольшой адаптацией. К примеру, можно использовать не только мастер-пароль, но и отпечаток пальца. Мы также запретили программно делать скриншоты на странице со списком паролей – можно не бояться вредоносных приложений.
Сегодня новый менеджер паролей можно попробовать в бета-версии Яндекс.Браузера для Windows и macOS (версия для Linux традиционно собирается на базе стабильного кода, поэтому выйдет чуть позже). В ближайшее время он также заработает в альфа-версии Браузера для Android (а ещё через некоторое время появится и в бете для iOS).
Мы постоянно ищем баланс между простым, но надежным инструментом для миллионов пользователей и расширенными возможностями для тех, кому они нужны. Пожалуйста, поделитесь с нами видением идеального менеджера паролей, который именно вы хотели бы видеть в браузере.
И ещё кое-что. Мы приглашаем специалистов в области безопасности помочь нам найти уязвимости в новом менеджере паролей в рамках программы «Охота за ошибками». С вашей помощью менеджер паролей станет ещё безопаснее. Спасибо!
Для настройки технологии единого входа в браузере Яндекс выполните следующие действия.
-
Откройте Редактор реестра.
-
Добавьте в \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser (для компьютера) или \HKEY_CURRENT_USER\SOFTWARE\Policies\YandexBrowser (для конкретного пользователя) ключ с типом REG_SZ и именем AuthServerAllowlist.
-
В поле Значение укажите через запятую список серверов (в том числе прокси-серверов), для которых использование технологии единого входа (SSO, Single Sign-on) будет разрешено по умолчанию. Допускается использовать подстановочные знаки (*), например, *.test.local.
-
Перезапустите браузер.
-
Проверьте применение настроек: откройте Яндекс.Браузер и перейдите по адресу browser://policy.
Если по какой-то причине настройки не были применены, то нажмите Повторно загрузить правила.