Тема щепетильная — безопасность личных паролей и данных!⁠⁠

Всем привет, по професси я "программист-параноик" и хочу кратко рассказать вам как я пришел к тому, что плюнул на корпорации и массовые сервисы хранения паролей и со своей командой написал приложение для хранения паролей.

Хочу поделиться с вами личной болью о том, как сначала крупные корпорации обещают хранить мои данные, а потом я вижу новость о слитых терабайтах. Но самое обидное, что компанию N наказали за это смехотворным штрафом. Повсеместные обещания заботы и сохранности рушатся как карточный домик под дуновением ветра, что не добавляет уверенности в завтрашнем дне.

Волей не волей начинаешь задумываться о том, что пора что-то решать и брать безопасность своих данных в свои руки и делать это максимально комфортно и прозрачно для конечного пользователя.

Есть проблема: пароли потекли

Прошел 2023 год и что же было интересного?! Вот новостные заголовки только за 2023 год:

Объем утекших данных вырос в 2023 году на 33%
В результате утечек данных в 2023 году в открытый доступ попало более 300 млн записей
Число утечек данных из компаний и госорганов в России выросло в разы
В публичный доступ в 2023 году попали данные почти 400 российских организаций

На самом деле утечки личных паролей — это довольно масштабная проблема, о которой задумываешься только тогда, когда эта проблема касается непосредственно тебя.

А теперь по делу и для общего контекста: я человек, который довольно сильно заморочен на паролях. Обычно они выглядят примерно таким образом: Hg8ig^*7fw3~e42he#. Но даже это не всегда спасает, когда твои данные слил внешний сервис.

В 2022 я сидел на работе и позвонила супруга со словами «Что случилось, зачем тебе деньги?». Как кот в ИТ "ученый" я спокойно подумал, что это очередной социальный инжиниринг, пофиг. Сказал: «Забей и не обращай внимание. Ничего не говори им и просто шли на**р». Сказал и мы забыли об этом на пару дней. Пока не оказалось, что спустя пару дней доступ к некоторым моим аккаунтам и платежной карте заблокировали по причине РЕАЛЬНОГО несанкционированного доступа.

Довольно долго пришлось грести лопатой, прежде чем минимизировать урон от ситуации, но когда закончил, я понял, что больше так рисковать не хочу и пора что-то менять…

Исправив последствия, я всерьез задумался о том, чтобы как-то привести в порядок безопасность личных данных, насколько это возможно.

Первый шаг — анализ рынка имеющихся решений. На рынке, менеджеров паролей много и каждый дает свои преимущества, но основная идея большинства — это облако или же внутренние сервера компании (т.е хранение в зашифрованном виде где-то у дяди/тети всех паролей каждого пользователя).

Не знаю как у вас, но мои параноидальные мысли сразу кричат: «Штаааа?! Серьезно?! Но ведь это же как раз и узкое горлышко, т.к. заинтересованному Хакеру М достаточно ломануть доступы в одном месте и, как показывают новости 2023 — слить ВСЕХ. Лишь Один знает, что с ними будет дальше»…

На пути к решению

Разумеется, есть множество готовых решений, но анализируя их мне постоянно не хватало какой-то целостности, лаконичности, простоты и безопасности: где-то внешнее хранилище; где-то приходится много действий совершать для работы с паролями; где-то интерфейс, который вызывает кровь из глаз и т.д..

Со временем пришло осознание, что самый безопасный способ — бумажка, ручка и в тумбу.

И это действительно самое безопасное решение, но категорически неудобное из-за большого количества действий каждый раз, в процессе применения паролей.

Казалось бы: «Чел, угомонись. Используй тетрадку и страдай, коль ты параноик». Но так уж получилось, что есть у меня навык мобильной разработки да и дизайнер у меня тоже есть. И более того, окружение параноиков знакомых тоже есть, кто топил за кастомное решение. Так почему бы не оцифровать тетрадку, но без внешнего сервера — без хранилища стороннего дяди. При этом не потерять возможность переноса между устройствами и максимально защитить свои пароли, чтобы даже таким параноикам как я было комфортно и спокойно на душе.

Ну вооот, опять реклама… Не совсем!

Так и началась история менеджера паролей «Fill Keys: passwords manager».

Который уже сейчас решает основные проблемы, которые и толкнули на его реализацию:

В приложении нет синхронизации через внешний сервер компании (мы это сделали осознанно, чтобы избежать накопления данных и создания узкого горлышка для потенциального Хакера)
При этом, возможность переноса паролей есть и она может производиться вообще любым удобным способом: через любые почтовики, мессенджеры и даже из рук в руки на флешке в зашифрованном виде с применением симметричных алгоритмов
Удобно использовать пароли: один раз занес все в приложение и после, в два клика, используй на нужном сервисе
Ну и мы с ребятами постарались сделать интерфейс приложения максимально свежим в плане интерфейса и максимально интуитивным в использовании. Зачем?! Потому что есть дизайнер =D
Ну и на всякий случай фишечка для лютых параноиков: зашифруй пароли в приложении; скинь на флешку и положи ее в тумбу. Так тоже можно

А будет что-то еще?

Пока что это весь функционал в приложении, но в планах сейчас интенсивно развивать продукт и добавлять возможности, которые будут делать жизнь пользователя проще и безопаснее. Например: добавление генератора; анализатора безопасности используемых паролей; категоризация паролей (рабочие, личные и т.д.) и добавление других документов для хранения.

Хочется нести пользу, когда вокруг столько боли

Почему то в современном мире правит бал следующий подход: развлекайся; впитывай; не задумывайся о последствиях. Из этого строится и весь контент и наше с вами медийное окружение. Порой от этого становится грустно.

Но, к счастью, у нас с командой как-то так случилось, что основным мотиватором является желание нести пользу в массы. Начать решили с не самого простого, но, вероятно, одного из самых актуальных вопросов на сегодняшний день — с безопасности!

В общем, товарищи, если вы тоже переживаете о безопасности своих данных как и мы с командой, то, хочется верить, что Fill Keys поможет вам в этом. Ну а мы с ребятами постараемся сделать этот продукт еще функциональнее и безопаснее для нас с вами.

Спасибо за внимание, у меня все!

Ссылка на проект в Google Play: https://play.google.com/store/apps/details?id=team.fill.keys

Вы смотрите срез комментариев. Показать все

mrmikesv

Чувак, ты боишься, что сольют базу зашифрованных паролей с сервера, но при этом считаешь безопасным передавать базу зашифрованных паролей по почте? Ты точно здоров?

раскрыть ветку (3)

Смотрите, разница в том, что тебе не нужно передавать все пароли. Данная функция дается для того, чтобы ты мог передавать отдельные (замечу, шифрованные) пароли в частных ситуациях: например кому-то из родственников понадобился пасс от сервиса.

Разница здесь чисто статистическая: во-первых, нет агрегации (т.е ты не зависишь от слива других людей, т.е если нацелены на какую-то одну группы, то вероятность того что ты окажешься в ее числе - минимальная, т.к. твои данные не агрегируются с другими такими же данными); во-вторых, риск утраты всей базы ниже, т.к. тебе совершенно не обязательно передавать всю пачку целиком (а для полной передачи, можно на флешку выгрузить и перелить через нее - вообще без применения почтовиков)

раскрыть ветку (2)

В облаке пароли тоже шифрованные, если вы не в курсе. Да и основной источник слива паролей - отнюдь не утечки с серверов менеджеров паролей. Вы или не понимаете, о чем пишете, или глупым текстом рекламируете свой непонятный продукт.

раскрыть ветку (1)

Все верно. Если приложение подразумевает облако, то данные там тоже шифруются, но это не мешает им течь. Где выше вероятность утери пароля: с агрегатора (с общей базы) или с личного телефона?!) Ситуации, когда пользовтель лазает там где не нужно и скачивает что не стоит (что в итоге и становится причиной вредоносов на устройстве) мы упустим, чтобы не усложнять ситуацию)

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку