Hei Habr! Jeg er en ung utvikler som spesialiserer meg på Android-utvikling og informasjonssikkerhet. For ikke lenge siden lurte jeg på: hvordan lagrer Google Chrome lagrede brukerpassord? Ved å analysere informasjon fra nettverket og filene til Chrome selv (artikkelen var spesielt informativ), oppdaget jeg visse likheter og forskjeller i implementeringen av lagring av passord på forskjellige plattformer, og for demonstrasjon skrev jeg applikasjoner for å hente passord fra Android-versjonen av nettleser.

Hvordan det fungerer?

Som vi kan vite fra forskjellige nettpublikasjoner om dette emnet, lagrer Google Chrome på PC passordene til brukerne i følgende katalog:

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" i filen " Innloggingsdata".

Denne filen er en SQLite-database, og det er fullt mulig å åpne og vise den. I bordet pålogginger vi kan se følgende felt av interesse for oss: origin_url(Nettadresse), brukernavn_verdi(Logg Inn), passord_verdi(passord). Passordet er representert som en byte-array, og krypteres ved hjelp av en maskinnøkkel, individuell for hvert system. Flere detaljer finner du i artikkelen. Dermed er det en slags beskyttelse i Windows-klienten.

Android

Men siden jeg er mer interessert i Android, ble min oppmerksomhet rettet mot Android-nettleserklienten.

"Åpne" pakken Google Chrome (com.android.chrome), fant jeg ut at strukturen er veldig lik strukturen til PC-klienten, og det var ikke vanskelig å finne nøyaktig samme database som er ansvarlig for lagring av brukerpassord. Den fullstendige banen til databasen er som følger: "/data/data/com.android.chrome/app_chrome/Default/Login Data". Generelt er denne databasen veldig lik sin "storesøster" fra PC-versjonen, med bare én, men veldig betydelig forskjell - passord lagres her i klartekst. Spørsmålet oppstår: er det mulig å programmatisk trekke ut passord fra databasen? Svaret viste seg å være ganske åpenbart - ja, hvis søknaden din har root-rettigheter.

Gjennomføring

For større klarhet ble det besluttet å lage vårt eget verktøy for å hente passord fra nettleserdatabasen.

For å beskrive arbeidet i et nøtteskall, fungerer det slik:

• Får rot.
• Kopierer Chrome-databasen til sin egen katalog.
• Ved å bruke chmod får du tilgang til en kopi av databasen.
• Åpner databasen og henter informasjon om pålogginger og passord.

Søknaden ble lagt ut på Google Play.

Konklusjon

Som en konklusjon fra arbeidet som er utført, kan vi si at hvis du har root-rettigheter, er det å trekke ut passorddatabasen fra nettleseren og sende den til serveren din en fullstendig løsbar oppgave, og dette faktum bør få deg til å tenke på om du bør stole på enhver applikasjon med superbrukerrettigheter.

Jeg håper denne artikkelen var informativ. Takk for din oppmerksomhet!

La oss forestille oss følgende situasjon. Vi finner en smarttelefon som kjører Android 4.1–4.4 (eller CyanogenMod 10–11), og i stedet for å returnere den til eieren, bestemmer vi oss for å beholde den og trekke ut all den konfidensielle informasjonen vi kan fra den. Vi vil prøve å gjøre alt dette uten spesialiserte verktøy som ulike systemer for direkte å ta en dump fra NAND-minne eller maskinvareenheter for å fjerne S-ON og slik at eieren ikke finner ut hva vi gjør og ikke kan finne eller blokkere eksternt enhet. La meg ta en reservasjon med en gang at dette ikke er en veiledning til handling i det hele tatt, men en måte å utforske sikkerheten til smarttelefoner og gi informasjon til de som ønsker å beskytte dataene sine.

ADVARSEL!

All informasjon gis kun for informasjonsformål. Verken forfatteren eller redaktørene er ansvarlige for mulig skade forårsaket av materialet i denne artikkelen.

Prioriterte handlinger

Så vi har fått tak i en annens smarttelefon. Det spiller ingen rolle hvordan, det er viktig at vi allerede har det. Det første vi må gjøre er å koble det fra mobilnettverket så raskt som mulig, det vil si å følge Gopniks-budet, fjerne og kaste SIM-kortet. Jeg vil imidlertid anbefale å gjøre dette bare hvis SIM-kortet kan tas ut uten å slå av smarttelefonen, det vil si enten ved å løfte batteriet forsiktig, eller gjennom sidesporet hvis det er en smarttelefon med et ikke-flyttbart batteri (Nexus 4 /5, for eksempel). I alle andre tilfeller er det bedre å begrense deg til å slå på flymodus, siden det er ganske mulig at krypteringsmodusen for brukerdata er aktivert i Android, og etter at du har slått den av, vil smarttelefonen være låst til krypteringsnøkkelen er inn.

Du bør heller ikke under noen omstendigheter koble smarttelefonen til et hvilket som helst Wi-Fi-nettverk, da det er mulig at sporingsprogramvaren som er installert på den (og Android 4.4.1 allerede har den innebygd) umiddelbart vil begynne å fungere og du kan støte på " et tilfeldig møte med eieren og vennene hans (du trenger ikke å bekymre deg for politiet, de vil sende et slikt offer). Jeg ville dekket frontkameraet med noe i tilfelle, kanskje det tar bilder nå og de vil bli sendt ved første anledning.

Låseskjerm

Nå som vi har sikret vår person, kan vi begynne utgravningene. Den første hindringen vi må komme rundt er låseskjermen. I 95 % av tilfellene vil den ikke ha beskyttelse, men vi kan ikke glemme de resterende fem prosentene.

Det er tre hovedtyper av sikker låseskjerm i Android. Dette er en firesifret PIN-kode, et mønster eller et ansiktsbilde. For å låse opp de to første, gis det totalt tjue forsøk, delt inn i fem stykker med et "minutt hvile" mellom dem. Det er flere forsøk på å låse opp ved hjelp av et ansiktsbilde, hvoretter smarttelefonen bytter til en PIN-kode. I alle tre tilfellene, etter at alle forsøk mislykkes, låses smarttelefonen og ber om Google-passordet.

Vår oppgave er å prøve å omgå låseskjermen for ikke å falle tilbake på Google-passordet, som vi definitivt ikke vil kunne gjette. Den enkleste måten å gjøre dette på er å bruke en USB- og ADB-tilkobling:

$ adb shell rm /data/system/gesture.key

Eller slik:

$ adb-skall $ cd /data/data/com.android.providers.settings/databases $ sqlite3 settings.db > oppdater systemsettverdi=0 hvor name="lock_pattern_autolock"; > oppdater systemsettverdi=0 hvor name="lockscreen.lockedoutpermanently"; >.avslutt

Denne metoden har imidlertid to problemer. Det krever rotrettigheter og vil ikke fungere i Android 4.3 og høyere, siden tilgang til ADB krever bekreftelse fra enheten, noe som er umulig å gjøre når skjermen er låst. Dessuten kan ADB-tilgang deaktiveres i innstillingene.

Vi kan gå ned et nivå og bruke gjenopprettingskonsollen til å slette låsnøkkelfilen. For å gjøre dette, start bare på nytt i gjenopprettingskonsollen (slå av + strøm på mens du holder nede volum opp-tasten) og flash følgende fil. Den inneholder et skript som vil slette /data/system/gesture.key og fjerne låsen uten å forstyrre gjeldende fastvare.

Problemet med denne tilnærmingen er avhengigheten av en tilpasset gjenopprettingskonsoll. Aksjekonsollen vil ganske enkelt ikke godta filen som signert med feil digital signatur. I tillegg, hvis datakryptering er aktivert, vil telefonen bli låst ved neste oppstart og kan kun lagres ved å fullstendig slette all data, noe som går imot målet vårt.

Et enda lavere nivå er fastboot, det vil si manipulering av enheten på oppstartslasternivå. Det fine med denne metoden er at den ulåste oppstartslasteren lar deg gjøre hva som helst med enheten, inkludert å laste ned og installere en tilpasset gjenopprettingskonsoll. For å gjøre dette, bare slå av smarttelefonen (igjen, vi tar hensyn til datakryptering) og slå den på i bootloader-modus ved å bruke strømknappen + "volum ned". Etter dette kan du koble til enheten ved å bruke fastboot-klienten:

$fastboot-enheter

Nå laster vi ned det "rå" bildet av den tilpassede gjenopprettingskonsollen (med img-utvidelsen) for "vår" enhet og prøver å laste det ned uten installasjon:

$ fastboot boot cwm-recovery.img

Hvis oppstartslasteren til enheten er låst opp, vil smarttelefonen starte på nytt i konsollen, der du kan aktivere ADB-modus, bruke den til å laste ned "oppdateringen", koblingen som er gitt ovenfor, og flashe den. Deretter vil det være nok å starte på nytt for å få full tilgang til smarttelefonen. Forresten, hvis du blir eier av en av Nexus-enhetene, kan du enkelt låse opp bootloaderen slik:

$ fastboot oem låse opp

Men dette er bare mat til ettertanke, siden opplåsingsoperasjonen automatisk tilbakestiller enheten til fabrikkinnstillingene.

La oss nå snakke om hva vi skal gjøre hvis alle disse metodene ikke fungerer. I dette tilfellet kan du prøve å finne en feil i selve låseskjermen. Overraskende, til tross for fraværet av slike i ren Android, finnes de ganske ofte på låseskjermene til proprietær firmware fra produsenten. For eksempel hadde Galaxy Note 2 og Galaxy S 3 som kjører Android 4.1.2 en gang en morsom feil som tillot deg å få tilgang til skrivebordet kort ved å trykke på nødknappen, deretter ICE-knappen (nederst til venstre i oppringeren) og til slutt Hjem knapp. Etter dette dukket skrivebordet opp i bokstavelig talt et halvt sekund, noe som var nok til å fjerne låsen.

En enda dummere feil ble funnet i Xperia Z: du kan slå en kode på nødoppringeren for å gå inn i ingeniørmenyen ( # #7378423## ), bruk den for å komme til NFC Diag Test-menyen og gå deretter ut til skrivebordet med samme trykk på "Hjem"-knappen. Det er veldig vanskelig for meg å forestille meg hvordan slike ville insekter kan dukke opp, men de finnes.

Når det gjelder å omgå mønsteret, er alt ganske enkelt. Den kan deaktiveres på samme måte som PIN-koden, men det er to tilleggsalternativer. For det første, selv til tross for det imponerende antallet mulige nøkkelalternativer, velger folk, på grunn av deres psykologi, oftest en nøkkel som ligner på en av bokstavene i det latinske alfabetet, det vil si den samme Z, U, G, nummer 7 , og så videre, noe som reduserer antallet. Det er dusinvis av muligheter. For det andre, når du skriver inn en nøkkel, etterlater fingeren et overhodet ikke illusorisk merke på skjermen, som, selv uskarpt, er ganske lett å gjette. Det siste minuset kan imidlertid lett kompenseres av en beskyttende matt film, hvor merker rett og slett ikke forblir.

Vel, det siste jeg vil snakke om er den såkalte ansiktskontrollen. Dette er det mest klønete blokkeringsalternativet, som på den ene siden er veldig enkelt å omgå ved ganske enkelt å vise smarttelefonen et bilde av eieren, men på den annen side er det ganske vanskelig, siden uten engang å vite eierens navn, det er ikke mulig å få bildet hans. Selv om det absolutt er verdt å prøve å ta et bilde av deg selv, er det ganske mulig at du ser ut som den forrige eieren.

Innsiden

La oss si at vi gikk forbi låseskjermen. Nå vil våre handlinger være rettet mot å få så mye informasjon som mulig fra smarttelefonen. La meg reservere med en gang at vi ikke får passordet til Google, tjenester som Facebook, Twitter og kredittkortnumre. Verken det ene eller det andre er bare tilgjengelig på en smarttelefon; I stedet for passord brukes autentiseringstokener, som kun gir tilgang til tjenesten fra en gitt smarttelefon, og sistnevnte lagres på serverne til de tilsvarende tjenestene (Google Play, PayPal), og de samme tokenene brukes i stedet.

Dessuten vil du ikke engang kunne kjøpe noe på Google Play, siden de nyeste versjonene tvinger deg til å be om et Google-passord ved hvert kjøp. Denne funksjonen kan forresten deaktiveres, men selv i dette tilfellet vil betydningen av kjøp gå tapt, siden alt innholdet vil være knyttet til en annens konto.

På den annen side kan vi godt, hvis ikke kapre kontoer fullstendig, så i det minste lese brukerens e-post, Facebook og annen personlig informasjon, og det kan allerede være noe interessant der. I dette tilfellet vil Gmail gi en spesiell fortjeneste, som kan brukes til å gjenopprette kontoen din til andre tjenester. Og hvis brukeren ennå ikke har hatt tid til å gå til kommunikasjonsbutikken for å blokkere SIM-kortet, vil det være mulig å bekrefte identiteten hans ved å bruke telefonnummeret. Men du bør bare gjøre dette etter å ha deaktivert alle sikkerhetsmekanismer (vi ønsker ikke å bli sporet ved hjelp av tyverisikring).

Fjerner tyverisikring

Alle applikasjoner for sporing av smarttelefoner som kjører Android kan deles inn i tre grupper: "søppel", "leker" og "pull". De første kjennetegnes ved at de ble skrevet av studenter på tre timer og faktisk representerer de mest vanlige applikasjonene som kan ta data fra en posisjonssensor og sende dem til et ukjent sted. Det spesielle med slik programvare er at de er veldig enkle å oppdage og fjerne. Faktisk er det nok å gå gjennom listen over installert programvare, skrive inn uforståelige navn i søket, identifisere anti-tyveriprogramvare og fjerne dem. Det er akkurat dette som må gjøres i det første trinnet.

Den andre typen søknad er noe som hevder å være et seriøst verktøy, men som i virkeligheten ikke er det. Vanligvis kan slik programvare ikke bare sende koordinater til en ekstern server, men også skjule seg selv og beskytte seg mot sletting. Den andre funksjonen implementeres vanligvis ved å lage applikasjonen som en tjeneste uten GUI. I dette tilfellet vil ikonet ikke være synlig i listen over applikasjoner, men selve applikasjonen vil selvfølgelig henge i bakgrunnen, noe som er lett å bestemme ved hjelp av hvilken som helst prosessbehandler.

Beskyttelse mot sletting i slik "programvare" implementeres vanligvis ved å registrere deg som enhetsadministrator, så den andre handlingen du må ta er å gå til "Innstillinger -> Sikkerhet -> Enhetsadministratorer" og ganske enkelt fjerne merket for alle applikasjonene som er oppført der. Systemet bør be om en PIN-kode eller passord, men hvis det ikke allerede er på låseskjermen, vil tilgang gis umiddelbart. Det er morsomt, men Googles tyverisikring, som faktisk er innebygd i operativsystemet, er deaktivert på nøyaktig samme måte.

Til slutt er den tredje typen applikasjon anti-tyveri, som ble programmert av folk. Hovedforskjellen mellom slike applikasjoner er at de, i tillegg til kamuflasje, også kan registrere seg selv i /system-partisjonen (hvis det er root), noe som gjør det umulig å fjerne dem med standard midler. Det eneste problemet er at de fortsatt vil være synlige i listen over prosesser, og for å deaktivere dem, bare gå til "Innstillinger -> Programmer -> Alle", klikk deretter på ønsket applikasjon og klikk på "Deaktiver" -knappen.

Det er alt beskyttelsen er. Denne listen bør også inkludere vanlige applikasjoner, implementert som en kjernemodul eller i det minste en innebygd Linux-applikasjon, som ingen standard prosessbehandler vil vise, men av en eller annen grunn har jeg ikke sett dem ennå. På den annen side ville ps- og lsmod-kommandoene fortsatt avsløre dem (med mindre det var en skikkelig bakdør), så stealth-nivået ville ikke øke mye.

Rot- og minnedump

Det neste trinnet er å ta en intern minnedump. Vi kan ikke være sikre på at det ikke er noen bokmerker igjen i telefonen, spesielt hvis det er proprietær firmware fra HTC og Samsung, så før du slår på nettverket er det bedre å lagre alle dataene på harddisken vår. Ellers kan de bli slettet som et resultat av en ekstern dump.

For å gjøre dette trenger du definitivt root-rettigheter (med mindre, selvfølgelig, telefonen ikke er rootet ennå). Hvordan du får dem er temaet i en egen artikkel, spesielt siden hver smarttelefon har sine egne instruksjoner. Den enkleste måten er å finne dem på et tematisk forum og utføre dem ved å koble smarttelefonen til datamaskinen via USB. I noen tilfeller vil rooting kreve en omstart, så det er bedre å umiddelbart sørge for at smarttelefondataene ikke er kryptert (Innstillinger -> Sikkerhet -> Kryptering), ellers vil vi miste tilgangen til dem etter omstart.

Når root er oppnådd, kopierer du bare filene til harddisken din ved hjelp av ADB. Vi er kun interessert i partisjonene /data og /sdcard, så vi gjør dette (instruksjoner for Linux):

$ adb root $ adb pull /data $ mkdir sdcard && cd sdcard $ adb pull /sdcard

Alle filer vil bli mottatt i gjeldende katalog. Det skal bemerkes at hvis smarttelefonen ikke har et spor for et SD-kort, vil innholdet på det virtuelle minnekortet være plassert i /data-delen og den andre kommandoen vil ganske enkelt ikke være nødvendig.

Hva du skal gjøre videre med disse filene, vil bare fantasien vise. Først av alt bør du ta hensyn til innholdet i /data/data, alle de private innstillingene til alle installerte applikasjoner (inkludert system) er lagret der. Formatene for lagring av disse dataene kan være helt forskjellige, men den generelle praksisen er å lagre dem i tradisjonelle Android SQLite3-databaser. De er vanligvis plassert langs omtrent følgende stier:

/data/data/com.examble.bla-bla/setting.db

Du kan finne dem alle ved å bruke Linux find-kommandoen, som kjører i den opprinnelige katalogen:

$finn. -navn\*.db

De kan inneholde ikke bare personlige data, men også passord (den innebygde nettleseren lagrer dem nøyaktig slik, og i klar form). Du trenger bare å laste ned en hvilken som helst grafisk databaseadministrator SQLite3 og skrive inn passordstrengen i søkefeltet.

Søknadsforskning

Nå kan vi endelig slå av flymodus slik at smarttelefonen kan kommunisere med Google-tjenester og andre nettsteder. Det skal ikke lenger være et SIM-kort i den, og plasseringsbestemmelse (inkludert ved IP) kan deaktiveres i "Innstillinger -> Plassering". Etter dette vil det ikke lenger være mulig å spore oss.

Hva skal jeg gjøre videre? Gå gjennom korrespondanse i Gmail, finn passord. Spesielt samvittighetsfulle mennesker lager til og med en spesiell mappe for brev med passord og konfidensiell informasjon. Du kan også prøve å be om passordendring på tjenester med bekreftelse via e-post, men for Google, Facebook, PayPal og andre vanlige tjenester vil dette kun fungere hvis du har et telefonnummer, som du må returnere SIM-kortet til kortet på plass.

Generelt er alt standard her. Vi har en e-post, kanskje et telefonnummer, men ingen passord for tjenester. Alt dette burde være nok til å kapre mange kontoer, men om det er nødvendig eller ikke er et mer alvorlig spørsmål. Den samme PayPal- eller WebMoney-kontoen er ekstremt vanskelig å gjenopprette selv for eieren selv, og informasjonen som mottas her vil tydeligvis ikke være nok. Poenget med å kapre kontoer fra Odnoklassniki og andre lignende nettsteder er svært tvilsomt.

Du kan slette /system-partisjonen for mulige bokmerker ved å installere fastvaren på nytt. Dessuten er det bedre å bruke en uoffisiell og flashe den gjennom standard gjenopprettingskonsoll. I dette tilfellet vil ikke anti-tyven kunne sikkerhetskopiere seg selv ved å bruke funksjonene til den tilpassede konsollen.

konklusjoner

Jeg anbefaler på ingen måte å gjøre det som er beskrevet i denne artikkelen. Informasjonen den inneholder er tvert imot ment for personer som ønsker å beskytte dataene sine. Og her kan de trekke flere åpenbare konklusjoner for seg selv.

• For det første: For å beskytte informasjon på en smarttelefon er det bare tre enkle mekanismer som allerede er innebygd i smarttelefonen som er nok: et passord på låseskjermen, datakryptering og deaktivert ADB. Aktivert sammen vil de fullstendig kutte av alle tilgangsveier til enheten.
• For det andre: å ha anti-tyveri på smarttelefonen din er en veldig god idé, men du bør ikke stole 100 % på det. Det beste det kan gi er muligheten til å slette data hvis det blir tatt av en mindre smart tyv.
• Og for det tredje, det mest åpenbare: umiddelbart etter å ha mistet smarttelefonen din, må du tilbakekalle Google-passordet ditt, endre passord på alle tjenester og blokkere SIM-kortet ditt.

Hei Habr! Jeg er en ung utvikler som spesialiserer meg på Android-utvikling og informasjonssikkerhet. For ikke lenge siden lurte jeg på: hvordan lagrer Google Chrome lagrede brukerpassord? Ved å analysere informasjon fra nettverket og filene til Chrome selv (denne artikkelen var spesielt informativ), oppdaget jeg visse likheter og forskjeller i implementeringen av lagring av passord på forskjellige plattformer, og for demonstrasjon skrev jeg applikasjoner for å hente passord fra Android-versjonen av nettleser.

Hvordan det fungerer?

Som vi kan vite fra forskjellige nettpublikasjoner om dette emnet, lagrer Google Chrome på PC passordene til brukerne i følgende katalog:

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" i filen " Innloggingsdata".

Denne filen er en SQLite-database, og det er fullt mulig å åpne og vise den. I bordet pålogginger vi kan se følgende felt av interesse for oss: origin_url(Nettadresse), brukernavn_verdi(Logg Inn), passord_verdi(passord). Passordet er representert som en byte-array, og krypteres ved hjelp av en maskinnøkkel, individuell for hvert system. Du kan lære mer fra denne artikkelen. Dermed er det en slags beskyttelse i Windows-klienten.

Android

Men siden jeg er mer interessert i Android, ble min oppmerksomhet rettet mot Android-nettleserklienten.

"Åpne" pakken Google Chrome (com.android.chrome), fant jeg ut at strukturen er veldig lik strukturen til PC-klienten, og det var ikke vanskelig å finne nøyaktig samme database som er ansvarlig for lagring av brukerpassord. Den fullstendige banen til databasen er som følger: "/data/data/com.android.chrome/app_chrome/Default/Login Data". Generelt er denne databasen veldig lik sin "storesøster" fra PC-versjonen, med bare én, men veldig betydelig forskjell - passord lagres her i klartekst. Spørsmålet oppstår: er det mulig å programmatisk trekke ut passord fra databasen? Svaret viste seg å være ganske åpenbart - ja, hvis søknaden din har root-rettigheter.

Gjennomføring

For større klarhet ble det besluttet å lage vårt eget verktøy for å hente passord fra nettleserdatabasen.

For å beskrive arbeidet i et nøtteskall, fungerer det slik:

• Får rot.
• Kopierer Chrome-databasen til sin egen katalog.
• Ved å bruke chmod får du tilgang til en kopi av databasen.
• Åpner databasen og henter informasjon om pålogginger og passord.

Søknaden ble lagt ut på Google Play.

Konklusjon

Som en konklusjon fra arbeidet som er utført, kan vi si at hvis du har root-rettigheter, er det å trekke ut passorddatabasen fra nettleseren og sende den til serveren din en fullstendig løsbar oppgave, og dette faktum bør få deg til å tenke på om du bør stole på enhver applikasjon med superbrukerrettigheter.

Jeg håper denne artikkelen var informativ. Takk for din oppmerksomhet!

Ettersom livene våre raskt digitaliseres, er vi bokstavelig talt omgitt av en rekke passord. Og når antallet tjenester går opp i dusinvis, er det rett og slett urealistisk å huske passord for dem. Du kan selvfølgelig bruke samme passord overalt, men dette er veldig usikkert. Mistet det - og alle detaljene i livet ditt kan gå til noen som ikke er veldig vennlige. Derfor er det bedre å komme opp med forskjellige passord overalt, og deretter skrive dem ned på et bortgjemt sted.

Men hvordan velge dette stedet? Så det er både praktisk og pålitelig? Det er hundrevis av alternativer. Jeg vil ikke fortelle deg om alle passordlagringsappene. Det vil ta for mye tid fordi jeg har prøvd mange ting. Jeg skal fortelle deg bedre om de to som jeg til slutt slo meg til ro med.

Jeg har brukt gratisappen på Android i mange år nå. B-mapper. Det, i motsetning til mange analoger, er virkelig gratis - det er ingen begrensninger på antall felt i poster, eller på antall poster i seg selv. Databasen lagres som standard i kryptert form, tilgang til den åpnes etter å ha tastet inn et passord eller PIN-kode (ditt valg). For et ekstra beløp kan du aktivere opplåsing av fingeravtrykk (299 rubler).

Utvikleren har jobbet med applikasjonen siden 2009 og ser ut til å ha tenkt på alt. I innstillingene kan du endre utseendet til applikasjonen og kortene, angi tidspunktet for tvungen tømming av utklippstavlen etter at du har kopiert passordet inn i det, la databasen selvdestrueres etter et visst antall feil angitt passord, etc. . og så videre. Paranoiaen til forfatterne har nådd det punktet at du ikke en gang kan ta et skjermbilde i applikasjonen - og dette er forresten helt korrekt.

Du kan finne feil med to ting. For det første er ikke grensesnittet lokalisert - alt er på engelsk. Det er ingen problemer med russiske navn og passord, og alle viktige inskripsjoner dupliseres med tydelige ikoner. Men for noen kan det være en plage.

For det andre er det ingen mulighet for å automatisk synkronisere databasen med skylagringer. Kanskje dette også gjøres for ekstra sikkerhet for passorddatabasen. Men sistnevnte kan lagres som en kryptert fil, sendes til hvilken som helst sky (Dropbox, OneDrive, etc.), og lastes ned derfra til en annen telefon. Prosedyren tar bokstavelig talt et minutt, og alle favorittinnstillingene dine flyttes sammen med databasen.

Så jeg ville nok bare brukt B-mapper, men livet tvang meg til å se etter en multiplattformløsning. Slik at du også kan spionere på spesielt vanskelige passord på Android, iOS og datamaskinen din. Jeg prøvde alt og kom meg til slutt på... Kaspersky Password Manager. Applikasjonen er også gratis som standard, men hvis du ikke legger til penger, kan du bare lagre 15 passord. Hvis du vil ha mer, vennligst betal ekstra. Du kan ikke kjøpe applikasjonen for alltid; lisensen er gyldig i et år. Men dessverre er dette tilfellet med alle anstendige multiplattformspill med nettsynkronisering. Spørsmålet er bare prisen.

Og, hvor rart det enn høres ut, kan det være veldig annerledes i tilfellet med Kaspersky Password Manager. Jeg var dum som kjøpte en lisens direkte gjennom App Store, hvor de belastet meg 1000 rubler. Og på Kaspersky Lab-nettstedet koster det samme bare 450 rubler. Hvis du har kjøpt en lisens for Kaspersky Total Security (1 990 rubler per år for to datamaskiner), vil Password Manager være en gratis bonus.

Siden Password Manager har russiske røtter, er lokalisering fullt ut til stede. Det finnes forskjellige kortformater for nettsteder, apper og personlige data, pluss at det er en egen seksjon for notater. Selvfølgelig også kryptert. Jeg likte at når du skriver inn et passord for et nettsted, blir ikonet automatisk oppdatert i menyen - dette gjør det lettere å ikke gå seg vill når det er mange passord. Dessuten, hvis du åpner nettstedet direkte fra applikasjonen, vil det prøve å sette inn passordet i skjemaet. Det går ikke alltid, fordi skjemaene er skrevet på så mange forskjellige måter. Men noen ganger sparer det virkelig tid.

Passord som angis én gang, lagres i Kaspersky Lab-skyen og er tilgjengelige fra alle autoriserte enheter. Ytterligere beskyttelse er gitt av tilstedeværelsen av et hovedpassord: det vil si at det ikke er nok å legge inn kontoinformasjonen din, du trenger et annet på toppen. Logg på applikasjonen med en PIN-kode, fingeravtrykk, eller - i tilfellet med iPhone X - med ansiktsuttrykk. Det finnes versjoner for PC og Mac, men det er sannsynligvis lettere å få tilgang til det via en nettleser.

Den eneste ulempen med produktet er mangelen på muligheten til å kjøpe en livstidslisens, det er på en eller annen måte tryggere med det. Men det ser ut til at tiden for slike lisenser er i ferd med å renne ut.

Ta vare på passordene dine! Det er for mye å tape med dem. Det er nok å huske de hundrevis av lidende som har glemt detaljene i Bitcoin-lommeboken :)

Visninger: 4604