Тема щепетильная — безопасность личных паролей и данных!
Всем привет, по професси я "программист-параноик" и хочу кратко рассказать вам как я пришел к тому, что плюнул на корпорации и массовые сервисы хранения паролей и со своей командой написал приложение для хранения паролей.
Хочу поделиться с вами личной болью о том, как сначала крупные корпорации обещают хранить мои данные, а потом я вижу новость о слитых терабайтах. Но самое обидное, что компанию N наказали за это смехотворным штрафом. Повсеместные обещания заботы и сохранности рушатся как карточный домик под дуновением ветра, что не добавляет уверенности в завтрашнем дне.
Волей не волей начинаешь задумываться о том, что пора что-то решать и брать безопасность своих данных в свои руки и делать это максимально комфортно и прозрачно для конечного пользователя.
Есть проблема: пароли потекли
Прошел 2023 год и что же было интересного?! Вот новостные заголовки только за 2023 год:
Объем утекших данных вырос в 2023 году на 33%
В результате утечек данных в 2023 году в открытый доступ попало более 300 млн записей
Число утечек данных из компаний и госорганов в России выросло в разы
В публичный доступ в 2023 году попали данные почти 400 российских организаций
На самом деле утечки личных паролей — это довольно масштабная проблема, о которой задумываешься только тогда, когда эта проблема касается непосредственно тебя.
А теперь по делу и для общего контекста: я человек, который довольно сильно заморочен на паролях. Обычно они выглядят примерно таким образом: Hg8ig^*7fw3~e42he#. Но даже это не всегда спасает, когда твои данные слил внешний сервис.
В 2022 я сидел на работе и позвонила супруга со словами «Что случилось, зачем тебе деньги?». Как кот в ИТ "ученый" я спокойно подумал, что это очередной социальный инжиниринг, пофиг. Сказал: «Забей и не обращай внимание. Ничего не говори им и просто шли на**р». Сказал и мы забыли об этом на пару дней. Пока не оказалось, что спустя пару дней доступ к некоторым моим аккаунтам и платежной карте заблокировали по причине РЕАЛЬНОГО несанкционированного доступа.
Довольно долго пришлось грести лопатой, прежде чем минимизировать урон от ситуации, но когда закончил, я понял, что больше так рисковать не хочу и пора что-то менять…
Исправив последствия, я всерьез задумался о том, чтобы как-то привести в порядок безопасность личных данных, насколько это возможно.
Первый шаг — анализ рынка имеющихся решений. На рынке, менеджеров паролей много и каждый дает свои преимущества, но основная идея большинства — это облако или же внутренние сервера компании (т.е хранение в зашифрованном виде где-то у дяди/тети всех паролей каждого пользователя).
Не знаю как у вас, но мои параноидальные мысли сразу кричат: «Штаааа?! Серьезно?! Но ведь это же как раз и узкое горлышко, т.к. заинтересованному Хакеру М достаточно ломануть доступы в одном месте и, как показывают новости 2023 — слить ВСЕХ. Лишь Один знает, что с ними будет дальше»…
На пути к решению
Разумеется, есть множество готовых решений, но анализируя их мне постоянно не хватало какой-то целостности, лаконичности, простоты и безопасности: где-то внешнее хранилище; где-то приходится много действий совершать для работы с паролями; где-то интерфейс, который вызывает кровь из глаз и т.д..
Со временем пришло осознание, что самый безопасный способ — бумажка, ручка и в тумбу.
И это действительно самое безопасное решение, но категорически неудобное из-за большого количества действий каждый раз, в процессе применения паролей.
Казалось бы: «Чел, угомонись. Используй тетрадку и страдай, коль ты параноик». Но так уж получилось, что есть у меня навык мобильной разработки да и дизайнер у меня тоже есть. И более того, окружение параноиков знакомых тоже есть, кто топил за кастомное решение. Так почему бы не оцифровать тетрадку, но без внешнего сервера — без хранилища стороннего дяди. При этом не потерять возможность переноса между устройствами и максимально защитить свои пароли, чтобы даже таким параноикам как я было комфортно и спокойно на душе.
Ну вооот, опять реклама… Не совсем!
Так и началась история менеджера паролей «Fill Keys: passwords manager».
Который уже сейчас решает основные проблемы, которые и толкнули на его реализацию:
В приложении нет синхронизации через внешний сервер компании (мы это сделали осознанно, чтобы избежать накопления данных и создания узкого горлышка для потенциального Хакера)
При этом, возможность переноса паролей есть и она может производиться вообще любым удобным способом: через любые почтовики, мессенджеры и даже из рук в руки на флешке в зашифрованном виде с применением симметричных алгоритмов
Удобно использовать пароли: один раз занес все в приложение и после, в два клика, используй на нужном сервисе
Ну и мы с ребятами постарались сделать интерфейс приложения максимально свежим в плане интерфейса и максимально интуитивным в использовании. Зачем?! Потому что есть дизайнер =D
Ну и на всякий случай фишечка для лютых параноиков: зашифруй пароли в приложении; скинь на флешку и положи ее в тумбу. Так тоже можно
А будет что-то еще?
Пока что это весь функционал в приложении, но в планах сейчас интенсивно развивать продукт и добавлять возможности, которые будут делать жизнь пользователя проще и безопаснее. Например: добавление генератора; анализатора безопасности используемых паролей; категоризация паролей (рабочие, личные и т.д.) и добавление других документов для хранения.
Хочется нести пользу, когда вокруг столько боли
Почему то в современном мире правит бал следующий подход: развлекайся; впитывай; не задумывайся о последствиях. Из этого строится и весь контент и наше с вами медийное окружение. Порой от этого становится грустно.
Но, к счастью, у нас с командой как-то так случилось, что основным мотиватором является желание нести пользу в массы. Начать решили с не самого простого, но, вероятно, одного из самых актуальных вопросов на сегодняшний день — с безопасности!
В общем, товарищи, если вы тоже переживаете о безопасности своих данных как и мы с командой, то, хочется верить, что Fill Keys поможет вам в этом. Ну а мы с ребятами постараемся сделать этот продукт еще функциональнее и безопаснее для нас с вами.
Спасибо за внимание, у меня все!
Ссылка на проект в Google Play: https://play.google.com/store/apps/details?id=team.fill.keys