Protect: защита паролей от фишинга

Зачем нужна защита паролей

В рамках комплексной системы защиты Protect Бета-версия Яндекс.Браузера применяет дополнительную защиту паролей, которая направлена против:

  • Фишинга. Злоумышленники делают сайты, очень похожие на настоящие. Пользователь думает, что попал на знакомый сайт, и вводит там пароль. Пароль попадает в руки злоумышленника, который может его использовать для кражи личных данных или денег.
  • Одинаковых паролей. Это серьезная угроза безопасности. Зная пароль к одной учетной записи, злоумышленник может получить доступ ко всем остальным.

    Например, если вы используете один и тот же пароль для входа в личный кабинет на сайте банка и в интернет-магазине, неизвестные вам сотрудники интернет-магазина смогут войти в ваш личный кабинет в банке.

    Вдвойне опасно использовать один и тот же пароль на HTTPS и HTTP-сайтах. Пароль на HTTP-сайте передается через интернет незашифрованным и легко может стать добычей мошенников, которые используют его на HTTPS-сайте для кражи личных данных или денег.

Технология защиты

После того как вы вводите пароль на важном сайте, бета-версия Яндекс.Браузера создает его отпечаток (хэш) и сохраняет в своей базе данных. Когда вы вводите пароли на других сайтах, браузер сравнивает их хэши с базой данных. В случае совпадения в правой части Умной строки появится значок  и всплывающее окно с текстом предупреждения.

Включение защиты на выбранной странице

По умолчанию Бета-версия Яндекс.Браузера защищает пароли на популярных сайтах, например ВКонтакте или Mail.ru. Список важных сайтов формируется браузером, но вы можете расширить его, добавив нужные страницы (например, те, где вы осуществляете онлайн-платежи).

Чтобы включить защиту на выбранной странице:

  1. В правой части Умной строки нажмите любой значок на панели Protect.
  2. В открывшемся окне, в блоке, где отображается статус соединения, нажмите ссылку Подробнее.
  3. В блоке Разрешения включите опцию Защита паролей.

Отключение защиты паролей

Внимание. Мы не рекомендуем этого делать, потому что злоумышленникам будет легче получить доступ к вашим личным данным.
  1. В правой части Умной строки нажмите любой значок на панели Protect.
  2. В блоке Общие настройки безопасности отключите опцию Предупреждать о вводе важных паролей (например, от почты) на незнакомых сайтах.

Хэширование паролей в Яндекс.Браузере

Пароли для важных сайтов хранятся в бета-версии Яндекс.Браузера в виде хэшей. Поскольку пароли не хранятся в открытом виде, даже если злоумышленники украдут базу данных паролей, они не смогут получить доступ к вашим личным данным.

Криптографическое хэширование превращает пароль в уникальную последовательность символов, которую легко использовать для идентификации пароля, но восстановить по ней исходный пароль практически невозможно. Например, строка «hello» после хэширования может превратиться в последовательность «2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824».

Яндекс.Браузер применяет для хэширования алгоритм SCrypt. Этот алгоритм формирует хэш, используя не только центральный процессор, но и большое количество операций чтения-записи в памяти. Такой подход затрудняет подбор паролей, например, хакер не сможет ускорить перебор за счет использования процессора видеокарты. Алгоритм SCrypt используется, например, в криптовалюте LiteCoin.

В результате подбирать шестизначный пароль, включающий буквы в верхнем и нижнем регистре, цифры и спецсимволы, злоумышленнику придется более 100 лет.