Ханна Ли (Hannah Li) и Дэвид Эванс (David Evans) из университета Виргинии разработали менеджер паролей Horcrux (PDF), который они сами называют «парольным менеджером для параноиков». Дело в том, что Horcrux работает не совсем так, как другие подобные решения, и в первую очередь он ориентирован на максимальную безопасность.

У Horcrux есть две особенности, которые отличают его от других менеджеров паролей. Для начала стоит отметить, как реализовано автоматическое заполнение веб-форм. Если другие продукты заполняют формы настоящими учетными данными пользователя, то Horcrux подменяет их фальшивкой. Ли и Эванс убеждены, что использование подлинных учетных данных несет большой риск, ведь в теории это позволяет вредоносному JS-скрипту считать их из формы перед отправкой.

Поэтому Horcrux подставляет в формы специальные фальшивки, которые остаются на месте до тех пор, пока пользователь не инициирует отправку формы. Лишь после этого Horcrux перехватывает HTTP POST-запрос и заменяет в нем поддельные учетные данные на настоящие.

Авторы Horcrux признают, что в целом эта идея не нова, ранее исследователи уже предлагали использовать подобные методы, однако ранее их не применяли в менеджерах паролей (в силу проблем с юзабилити и совместимостью). Ли и Эванс, в свою очередь, утверждают, что их решение совместимо с 98% сайтов из топа Alexa.

Второй отличительной особенностью Horcrux является то, как менеджер хранит учетные данные. В отличие от других продуктов, Horcrux не «складывает все яйца в одну корзину» и не доверяет единому хранилищу. Вместо этого учетные данные пользователей распределяются по нескольким серверам. Таким образом, если атакующие сумеют скомпрометировать один из этих серверов, они все равно не завладеют всеми учетными данными пользователей, что минимизирует ущерб.

Более того, распределенные по серверам учетные данные имеют разделенный секрет и защищены с помощью техники кукушкино хеширование. Это гарантирует, что атакующие не смогут определить, верен ли подобранный мастер-пароль. По сути, злоумышленники вряд ли сумеют завладеть хоть какой-то информацией, даже если взломают несколько серверов, хранящих пароли.

В настоящее время Horcrux доступен только в формате аддона для Firefox и пока является лишь прототипом. Найти его можно в репозитории GitHub. Так как решение находится на довольно ранней стадии разработки, пользователям, которые желают опробовать Horcrux в деле, придется самостоятельно хостить серверы для хранения паролей.

9 комментариев

  1. devbutch

    06.07.2017 at 12:07

    Я правильно понял, что перед отправкой запроса на сервер, браузер оповещает софтину об этом, она уже обрабатывает (изменяет) страницу как надо (заполняет формы не шлаком) и уже после этого передаёт управление штатным средствам браузера, которые отправляют пакет?

    • gek0n

      06.07.2017 at 12:23

      А мне кажется (я не знаю), что подмена идёт уже в трафике после того, как браузер отправил запрос.

      И опять никто не говорит о том, что серверами владеют «чужие дяди», которые имеют 100% возможность «компрометировать» пользователей (пусть сами и не могут узнать пароль, что всё равно под сомнением).

      • devbutch

        06.07.2017 at 12:50

        В таком случае, как будет обрабатываться HTTPS и как виджет получает доступ к интерфейсу, на который выплёвывается пакет (как я понимаю, они все работают в песочнице).

  2. Themistocles

    06.07.2017 at 21:59

    Хранить пароли на удаленном сервере? Нет спасибо.

    • Jeffrey Davis

      06.07.2017 at 23:18

      На здоровье. Настоящие чуваки хранят все пароли в голове.

      • Vlад

        09.07.2017 at 14:25

        Неужто вы можете сохранять в голове десятки паролей ?
        Оо-о-о… — тогда вы Уникум.
        У меня вон с 20-25 паролей и написал их аккуратно
        на листе бумаги… — все ОК.

  3. Vanoles

    07.07.2017 at 13:12

    Простите, а почему «кукушкино хеширование» никуда не перенаправляет. Если это не ссылка, то исправьте…

  4. Vlад

    09.07.2017 at 15:15

    —> Админ
    Итересно, перешел на этот самый Gravatar, и услышал следующее:
    «Use a different email address.
    This email provider blocks some of our emails.»
    И что, теперь.нужно менять провойдера, чтобы ублажить Gravatar ?
    (почему нельзя обойтись без сего Gravatar ?)

  5. sss13

    09.07.2017 at 16:34

    >менеджер паролей для параноиков
    >в облаке
    да вы упоролись

Оставить мнение