В 2020 году средний интернет-пользователь имеет, как минимум, несколько десятков, а то и сотни паролей — для социальных сетей, почты, банков, форумов, интернет-магазинов и т. д. При этом, если везде используется один и тот же несложный пароль, для злоумышленника не составит труда, один раз взломав жертву, «угнать» и все остальные его аккаунты, а вместе с ними получить доступ к персональным и платежным данным. «Ахиллесова пята» — слабые или скомпрометированные пароли. Помочь решить эту проблему могут приложения для создания и хранения паролей.
К Международному дню защиты информации Центр цифровой экспертизы Роскачества провел исследование наиболее популярных мобильных приложений-менеджеров паролей. Основная задача заключалась в том, чтобы выяснить, насколько удобны и функциональны эти продукты, а главное — убедиться в их безопасности.
Важность цифровой безопасности пока еще осознают далеко не все. Как сообщала летом 2020 года компания DeviceLock, самыми популярными паролями среди россиян остаются 123456789, qwerty, 12345, password, пароль, йцукен. Россияне предпочитают все те варианты «удобных» паролей, которые хакеры вводят первыми. К тому же такие слабые пароли интернет-пользователи используют одновременно для нескольких аккаунтов. Согласно опросу Avast, 55% российских пользователей применяют одинаковые пароли для нескольких разных учетных записей, хотя 94% опрошенных и осознают, что это опасно.
В июне 2020 года компания «Ростелеком-Солар» сообщила: около 80% российских организаций и компаний не соблюдают базовых правил парольной защиты, и практически в каждой тестируемой корпоративной сети специалистам удалось получить привилегии администратора. Чемпионами по простоте стали пары логин-пароль вида «admin/admin», «admin/12345» и им подобные.
Все это приобретает особенную остроту в сфере стремительного роста киберпреступности: только в прошлом году, еще до пандемии, «Лаборатория Касперского» констатировала рост на 72% количества пользователей, атакованных программами для кражи паролей.
«Приложение-менеджер паролей может решить эту проблему и снизить риск взлома — оно позволяет создавать сложные длинные пароли и безопасно хранить их. Пользователю остается запомнить только один пароль для доступа к данным, так называемый мастер-пароль. Главное — выбрать надежного «ключника», — пояснил Илья Лоевский, заместитель руководителя Роскачества.
Заслуживают ли менеджеры паролей того, чтобы скачивать их? Чтобы выяснить это, Роскачество протестировало 24 приложения: 10 для iOS и 14 для Android. Кроме того, юристы Роскачества изучили политики конфиденциальности сервисов на соответствие Федеральному закону «О персональных данных» (№
В исследование вошли приложения-менеджеры паролей из топ-1000 в рейтинге соответствующей категории в AppStore и топ-500 — в Google Play.
70% приложений на обеих платформах, показавших лучшие результаты по совокупности всех критериев, получили отметку выше 4 баллов. Все приложения получили оценку выше 3,5, что является хорошим показателем. Не рекомендуемых к использованию приложений нет.
Лучшими по совокупности всех критериев являются приложения Kaspersky, Keeper, RoboForm и 1Password.
Испытания проводились по 132 критериям. Во время исследования специалисты создавали пароли вручную и при помощи генераторов паролей, проверяли их анализ, автозаполнение и обновление, на каждом этапе процесса тестируя работу различных функций приложения. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений-менеджеров паролей.
Одна из самых важных потребительских характеристик любого мобильного приложения — это функциональные возможности. Обращает на себя внимание в среднем более высокая оценка приложений для iOS, чем для Android (например, занявший 1 место на iOS Kaspersky находится на
Все исследованные приложения позволяют редактировать пароли и сохранять их при заполнении в браузере. А вот такая полезная функция как автоматический анализ надежности пароля реализована уже не у всех — у Bitwarden и 1Password в мобильной версии она отсутствует, а у Kaspersky реализована только на iOS. Такая же ситуация с анализом дублирующихся паролей. Генератор паролей реализован во всех приложениях. В работе с банковскими картами аутсайдером стал LastPass, тогда как это же приложение и менеджеры SafeInCloud, Kaspersky, oneSafe и Enpass лучше всего себя показали в работе с документами (для Android). На обеих платформах не умеют работать в офлайне LastPass и Bitwarden.
По результатам тестирования наиболее функциональные приложения — Kaspersky и RoboForm на iOS, а также Enpass и RoboForm на Android.
Эксперты протестировали и удобство пользования, проверив, в том числе, наличие адаптации для людей с ограниченными возможностями. Проверка выявила традиционную разницу в оценках не в пользу приложений на iOS. На русский язык переведены также не все приложения.
Наиболее удобные приложения по итогам исследования — SafeInCloud и Kaspersky на iOS, BitWarden, SafeInCloud и Kaspersky — на Android.
Подошли к самому ключевому для данной категории критерию —информационной безопасности. Для менеджеров паролей он имеет критическую и первостепенную важность, так как эти приложения работают напрямую с «ключами» к аккаунтам пользователей, от которых нередко зависит их благосостояние. Приложения такого типа обязаны обеспечивать безопасность на высшем уровне.
Эксперты оценивали возможность установить пароль на вход в приложение, запрос минимально необходимых разрешений и разъяснение их необходимости, возможность удалить аккаунт или учетную запись. Проверялась безопасность передачи данных приложения и пользовательских данных, хранение в зашифрованном виде (или в облаке) всех файлов, содержащих данные пользователя. Также оценивалось скрытие паролей по умолчанию, наличие надежных технологий шифрования и доступ самих разработчиков к пользовательской информации.
В ходе исследования эксперты Роскачества с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает приложение, а затем анализировали его на наличие незашифрованных пользовательских данных. Эксперты также проверяли безопасность передачи данных самого приложения (его контента), например, графических элементов интерфейса, которые в случае наличия уязвимости теоретически могут быть заражены вредоносным ПО. Анализировались и запрашиваемые разрешения (в том числе, собирает ли приложение IMEI, Serial Number и MAC Address устройства), а также соответствие так называемому «принципу нулевого знания» (zero-knowledge principle): все данные пользователя должны быть зашифрованы и разработчик не должен иметь к ним доступ. Все приложения его соблюдают. Также во всех программах используется AES-шифрование, что является высоким показателем безопасности.
Баллы, полученные приложениями по результатам оценки безопасности, почти идентично высокие (у большинства — от 4,48 и выше). Чуть хуже оценки у тех приложений, которые не запрещают делать скриншоты с пользовательской информацией и имеют не слишком высокие требования к мастер-паролю: это RememBear, Dashlane и три приложения на Android — Enpass, My Passwords и aWallet. В лидерах (с минимальным отрывом от остальных) Kaspersky, Keeper и oneSafe на Android.
Юристы проанализировали политики конфиденциальности на соответствие российскому законодательству
Важный момент, которому уделялось внимание, — это передача данных третьим лицам. Здесь 0 баллов получил Bitwarden, так как у него есть указания на передачу данных третьим лицам помимо требований, установленных законодательством. Под передаваемыми данными, конечно, не подразумеваются пароли, речь идет об информации о пользователе. Больше половины приложений указывают, что все персональные данные хранятся на территории РФ.
«Даже в такой чувствительной категории, как менеджеры паролей, некоторые разработчики умудряются использовать пользовательские данные и передавать их третьим лицам (но речь, конечно, не идет о паролях). Также большая часть политик конфиденциальности не переведена на русский язык, что может вызвать определенные затруднения при попытке ознакомиться с ними. Из-за относительно простой механики приложений их разработчиками в том числе выступают малоизвестные компании, что может затруднить ведение правовой претензионной работы при возникновении эксцессов. Это следует учитывать при выборе приложения», — считает Никита Куликов, к. ю. н., генеральный директор АНО «ПравоРоботов».
Негативные и позитивные аспекты политик конфиденциальности, на которые юристы рекомендуют обратить внимание, приведены в карточках каждого из приложений — на портале Роскачества.
Исследование проведено в соответствии с методикой испытаний, базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ