Добавить в корзинуПозвонить
Найти в Дзене
IT Legend

Почему ваши пароли могут быть в опасности?

17
1 мин
Мы часто видим новости об утечке персональных данных, взломах "зашифрованных" систем. Почему так происходит? Сегодня мы рассмотрим только персональные способы хранения конфиденциальной информации - менеджеры паролей. Большинство менеджеров паролей заверяют: «Ваши данные надежно защищены». Но вопрос — как это проверить? Ответ в архитектуре и технологиях. Типичная схема: Вы вводите мастер-пароль → данные шифруются → уходят на сервер → синхронизируются. Выглядит безопасно, но только на первый взгляд. И самое главное — вам нужно доверять серверу, а это уже проблема. Нормальная модель выглядит иначе: Это называется zero-knowledge, который много где заявлен, но мало где, действительно, реализован. Однако, один пример хорошей архитектуры и приложения я покажу ниже. Если упростить — система должна быть построена так, чтобы сервер, в принципе, не мог прочитать данные, даже если захочет, а протокол передачи данных, в случае перехвата, был шифрованным. Это достигается за счёт нескольких принципо
Оглавление

Мы часто видим новости об утечке персональных данных, взломах "зашифрованных" систем. Почему так происходит?

Сегодня мы рассмотрим только персональные способы хранения конфиденциальной информации - менеджеры паролей.

Большинство менеджеров паролей заверяют: «Ваши данные надежно защищены».

Но вопрос — как это проверить? Ответ в архитектуре и технологиях.

Лучший менеджер паролей в 2026 году Lockly
Лучший менеджер паролей в 2026 году Lockly

Где подвох?

Типичная схема:

Вы вводите мастер-пароль → данные шифруются → уходят на сервер → синхронизируются.

Выглядит безопасно, но только на первый взгляд.

Основные уязвимости

  1. Передача данных без должной защиты
  2. Сервер участвует в криптографии, соответсвенно может получить доступ к вашим данным
  3. Слабая или неправильная KDF (простой brute-force)
  4. Утечки через метаданные
  5. Избыточные разрешения приложений, например к камере или микрофону, майнеры и т.д.

И самое главное — вам нужно доверять серверу, а это уже проблема.

Как должно быть

Нормальная модель выглядит иначе:

  • всё шифруется на клиенте
  • ключ только у пользователя
  • сервер вообще не знает, что хранит

Это называется zero-knowledge, который много где заявлен, но мало где, действительно, реализован. Однако, один пример хорошей архитектуры и приложения я покажу ниже.

Как выглядит надежная защита ваших данных?

Если упростить — система должна быть построена так, чтобы сервер, в принципе, не мог прочитать данные, даже если захочет, а протокол передачи данных, в случае перехвата, был шифрованным.

Это достигается за счёт нескольких принципов:

  1. Шифрование на клиенте
  2. Надёжная KDF - ключ должен выводиться из мастер-пароля
  3. Современная симметричная криптография для хранения данных, например AES-256-GCM или аналогичные схемы с аутентификацией
  4. Zero-knowledge backend, где сервер не знает ключей и не участвует в расшифровке, он только хранит и синхронизирует
  5. Локальное хранение только в зашифрованном виде

В качестве примера, рассмотрим кроссплатформенный проект — Lockly, работающий на всех OS, без необходимости устанавливать приложение.

  • клиентское шифрование
  • использование Argon2id для вывода ключа
  • применение AES-GCM для хранения данных
  • zero-knowledge backend
  • синхронизация без доступа сервера к данным
  • возможность хранить не только login | password, но и другие типы данных
  • простой и удобный интерфейс
  • установка на любую OS, работа без установки
  • offline работа

По моему мнению, на сегодняшний день это одно из лучших бесплатных решений на рынке для хранения ваших персональных данных.