Protect: защита паролей от фишинга

Зачем нужна защита паролей

Яндекс.Браузер применяет дополнительную защиту паролей, которая направлена против:

  • Фишинга. Злоумышленники делают сайты, очень похожие на настоящие. Пользователь думает, что попал на знакомый сайт, и вводит там пароль. Пароль попадает в руки злоумышленника, который может его использовать для кражи личных данных или денег.
  • Одинаковых паролей. Это серьезная угроза безопасности. Зная пароль к одной учетной записи, злоумышленник может получить доступ ко всем остальным.

    Например, если вы используете один и тот же пароль для входа в личный кабинет на сайте банка и в интернет-магазине, неизвестные вам сотрудники интернет-магазина смогут войти в ваш личный кабинет в банке.

    Вдвойне опасно использовать один и тот же пароль на HTTPS и HTTP-сайтах. Пароль на HTTP-сайте передается через интернет незашифрованным и легко может стать добычей мошенников, которые используют его на HTTPS-сайте для кражи личных данных или денег.

Технология защиты

После того как вы вводите пароль на важном сайте, Яндекс.Браузер создает его отпечаток (хэш) и сохраняет в своей базе данных. Когда вы вводите пароли на других сайтах, браузер сравнивает их хэши с базой данных. В случае совпадения в правой части Умной строки появится значок  и всплывающее окно с текстом предупреждения.

Включение защиты на выбранной странице

По умолчанию Яндекс.Браузер защищает пароли на популярных сайтах, например ВКонтакте или Mail.ru. Список важных сайтов формируется браузером, но вы можете расширить его, добавив нужные страницы (например, те, где вы осуществляете онлайн-платежи).

Чтобы включить защиту на выбранной странице:

  1. В правой части Умной строки нажмите любой значок на панели Protect.
  2. В открывшемся окне, в блоке, где отображается статус соединения, нажмите ссылку Подробнее.
  3. В блоке Разрешения включите опцию Защита паролей.

Отключение защиты паролей

Внимание. Мы не рекомендуем этого делать, потому что злоумышленникам будет легче получить доступ к вашим личным данным.
  1. В правой части Умной строки нажмите любой значок на панели Protect.
  2. В блоке Общие настройки безопасности отключите опцию Предупреждать о вводе важных паролей (например, от почты) на незнакомых сайтах.

Хэширование паролей в Яндекс.Браузере

Пароли хранятся в Яндекс.Браузере в виде хэшей. Поскольку пароли не хранятся в открытом виде, даже если злоумышленники украдут базу данных паролей, они не смогут получить доступ к вашим личным данным.

Криптографическое хэширование превращает пароль в уникальную последовательность символов, которую легко использовать для идентификации пароля, но восстановить по ней исходный пароль практически невозможно. Например, строка «hello» после хэширования может превратиться в последовательность «2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824».

Яндекс.Браузер применяет для хэширования алгоритм OSCrypt. Этот алгоритм формирует хэш, используя не только центральный процессор, но и большое количество операций чтения-записи в памяти. Такой подход затрудняет подбор паролей, например, хакер не сможет ускорить перебор за счет использования процессора видеокарты. Алгоритм OSCrypt используется, например, в криптовалюте LiteCoin.

В результате подбирать шестизначный пароль, включающий буквы в верхнем и нижнем регистре, цифры и спецсимволы, злоумышленнику придется более 100 лет.