Журнал ПЛАС » Новости » Безопасность » 40 просмотров

Роскачество протестировало менеджеры паролей. Можно ли доверять электронному ключнику?

К Международному дню защиты информации Центр цифровой экспертизы Роскачества провел исследование наиболее популярных мобильных приложений-менеджеров паролей. Основная задача заключалась в том, чтобы выяснить, насколько удобны и функциональны эти продукты, а главное – убедиться в их безопасности.

Роскачество протестировало менеджеры паролей. Можно ли доверять электронному ключнику?

Важность цифровой безопасности пока еще осознают далеко не все. Как сообщала летом 2020 года компания DeviceLock, самыми популярными паролями среди россиян остаются 123456789, qwerty, 12345, password, пароль, йцукен. Россияне предпочитают все те варианты «удобных» паролей, которые хакеры вводят первыми. К тому же такие слабые пароли интернет-пользователи используют одновременно для нескольких аккаунтов. Согласно опросу Avast, 55% российских пользователей применяют одинаковые пароли для нескольких разных учетных записей, хотя 94% опрошенных и осознают, что это опасно.

В июне 2020 года компания «Ростелеком-Солар» сообщила: около 80% российских организаций и компаний не соблюдают базовых правил парольной защиты, и практически в каждой тестируемой корпоративной сети специалистам удалось получить привилегии администратора. Чемпионами по простоте стали пары логин-пароль вида «admin/admin», «admin/12345» и им подобные.

Все это приобретает особенную остроту в сфере стремительного роста киберпреступности: только в прошлом году, еще до пандемии, «Лаборатория Касперского» констатировала рост на 72% количества пользователей, атакованных программами для кражи паролей.

«Приложение-менеджер паролей может решить эту проблему и снизить риск взлома – оно позволяет создавать сложные длинные пароли и безопасно хранить их. Пользователю остается запомнить только один пароль для доступа к данным, так называемый мастер-пароль. Главное – выбрать надежного «ключника», – поясняет Илья Лоевский, заместитель руководителя Роскачества.

Заслуживают ли менеджеры паролей того, чтобы скачивать их? Чтобы выяснить это, Роскачество протестировало 24 приложения: 10 для iOS и 14 для Android. Кроме того, юристы Роскачества изучили политики конфиденциальности сервисов на соответствие Федеральному закону «О персональных данных» (№ 152-ФЗ от 27.07.2006) и выделили негативные и положительные аспекты, на которые пользователям стоит обратить внимание.

В исследование вошли приложения-менеджеры паролей из топ-1000 в рейтинге соответствующей категории в AppStore и топ-500 – в Google Play.

70% приложений на обеих платформах, показавших лучшие результаты по совокупности всех критериев, получили отметку выше 4 баллов. Все приложения получили оценку выше 3,5, что является хорошим показателем. Не рекомендуемых к использованию приложений нет.
Лучшими по совокупности всех критериев являются приложения Kaspersky, Keeper, RoboForm и 1Password.

Испытания проводились по 132 критериям. Во время исследования специалисты создавали пароли вручную и при помощи генераторов паролей, проверяли их анализ, автозаполнение и обновление, на каждом этапе процесса тестируя работу различных функций приложения. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений-менеджеров паролей.

Одна из самых важных потребительских характеристик любого мобильного приложения – это функциональные возможности. Обращает на себя внимание в среднем более высокая оценка приложений для iOS, чем для Android (например, занявший 1 место на iOS Kaspersky находится на 2-ой позиции на Android как раз из-за оценки по функциональности). Тестируя функциональность, специалисты проверяли то, как приложения работают с банковскими картами и документами, как они генерируют пароли, систематизируют их, имеют ли функцию автозаполнения, удаления данных, работают ли в офлайне.

Все исследованные приложения позволяют редактировать пароли и сохранять их при заполнении в браузере. А вот такая полезная функция как автоматический анализ надежности пароля реализована уже не у всех – у Bitwarden и 1Password в мобильной версии она отсутствует, а у Kaspersky реализована только на iOS. Такая же ситуация с анализом дублирующихся паролей. Генератор паролей реализован во всех приложениях. В работе с банковскими картами аутсайдером стал LastPass, тогда как это же приложение и менеджеры SafeInCloud, Kaspersky, oneSafe и Enpass лучше всего себя показали в работе с документами (для Android). На обеих платформах не умеют работать в офлайне LastPass и Bitwarden.

По результатам тестирования наиболее функциональные приложения – Kaspersky и RoboForm на iOS, а также Enpass и RoboForm на Android.

Эксперты протестировали и удобство пользования, проверив, в том числе, наличие адаптации для людей с ограниченными возможностями. Проверка выявила традиционную разницу в оценках не в пользу приложений на iOS. На русский язык переведены также не все приложения.
Наиболее удобные приложения по итогам исследования – SafeInCloud и Kaspersky на iOS, BitWarden, SafeInCloud и Kaspersky – на Android.

Подошли к самому ключевому для данной категории критерию –информационной безопасности.

Для менеджеров паролей он имеет критическую и первостепенную важность, так как эти приложения работают напрямую с «ключами» к аккаунтам пользователей, от которых нередко зависит их благосостояние. Приложения такого типа обязаны обеспечивать безопасность на высшем уровне.

Эксперты оценивали возможность установить пароль на вход в приложение, запрос минимально необходимых разрешений и разъяснение их необходимости, возможность удалить аккаунт или учетную запись. Проверялась безопасность передачи данных приложения и пользовательских данных, хранение в зашифрованном виде (или в облаке) всех файлов, содержащих данные пользователя. Также оценивалось скрытие паролей по умолчанию, наличие надежных технологий шифрования и доступ самих разработчиков к пользовательской информации.

В ходе исследования эксперты Роскачества с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает приложение, а затем анализировали его на наличие незашифрованных пользовательских данных. Эксперты также проверяли безопасность передачи данных самого приложения (его контента), например, графических элементов интерфейса, которые в случае наличия уязвимости теоретически могут быть заражены вредоносным ПО. Анализировались и запрашиваемые разрешения (в том числе, собирает ли приложение IMEI, Serial Number и MAC Address устройства), а также соответствие так называемому “принципу нулевого знания” (zero-knowledge principle): все данные пользователя должны быть зашифрованы и разработчик не должен иметь к ним доступ. Все приложения его соблюдают. Также во всех программах используется AES-шифрование, что является высоким показателем безопасности.

Баллы, полученные приложениями по результатам оценки безопасности, почти идентично высокие (у большинства – от 4,48 и выше). Чуть хуже оценки у тех приложений, которые не запрещают делать скриншоты с пользовательской информацией и имеют не слишком высокие требования к мастер-паролю: это RememBear, Dashlane и три приложения на Android – Enpass, My Passwords и aWallet. В лидерах (с минимальным отрывом от остальных) Kaspersky, Keeper и oneSafe на Android.

Правовая оценка.

Юристы проанализировали политики конфиденциальности на соответствие российскому законодательству (152-ФЗ от 27.07.2006), а также проверили их по нескольким необязательным с точки зрения законодательства, но важным для пользователей критериям. Почти все исследованные приложения показали хорошие результаты, набрав 4 балла и выше.

Важный момент, которому уделялось внимание, – это передача данных третьим лицам. Здесь 0 баллов получил Bitwarden, так как у него есть указания на передачу данных третьим лицам помимо требований, установленных законодательством. Под передаваемыми данными, конечно, не подразумеваются пароли, речь идет об информации о пользователе. Больше половины приложений указывают, что все персональные данные хранятся на территории РФ.

«Даже в такой чувствительной категории, как менеджеры паролей, некоторые разработчики умудряются использовать пользовательские данные и передавать их третьим лицам (но речь, конечно, не идет о паролях). Также большая часть политик конфиденциальности не переведена на русский язык, что может вызвать определенные затруднения при попытке ознакомиться с ними. Из-за относительно простой механики приложений их разработчиками в том числе выступают малоизвестные компании, что может затруднить ведение правовой претензионной работы при возникновении эксцессов. Это следует учитывать при выборе приложения», – считает Никита Куликов, к. ю. н., генеральный директор АНО «ПравоРоботов».

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных