Менеджер паролей Chrome предал мое доверие 13 лет назад. Я никогда не забывал.

Это 13-летний путь, результатом которого стал Neulock — другой подход к управлению паролями. Здесь идут статьи[0] из статей.длина == 2.

Часть I

Это было в 2011 году. «Заражение» все еще было материалом для кино; люди общались, используя монохромные каракули вместо дожей Лягушки Пепе и Шиба-Ину, а Дейенерис Таргариен была маленькой девочкой, которая заставила варварского Кхала Дрого найти любовь.

Именно тогда Google Chrome впервые сделал это предложение.

Вы хотите, чтобы Google Chrome сохранил ваш пароль для этого сайта?

Сохранить этот пароль? Это то, что сейчас делают браузеры? Ого, спасибо, Хром, это так удобно! Если подумать, большинство паролей я ввожу в веб-браузере, так что это отличное место для их сохранения.

Кроме того, что самое худшее может случиться? Chrome — это программа, установленная на моем компьютере. Мой компьютер! Я опытный пользователь Debian Linux, и нигде во Вселенной нет более безопасного места, чем мой жесткий диск!

Конечно, Хром, давай. Сохраните этот пароль, следующий и каждый пароль, который я ввожу в поля ввода.

Обман

Пока я не купил еще один компьютер. После отказа от предустановленной Windows в пользу любого дистрибутива Linux, который мне нравился в то время, следующим шагом была установка Chrome. До выхода Firefox Quantum оставалось еще шесть лет, так что выбора не было.

Войдите в свой аккаунт Google? Конечно, почему бы и нет? Давайте проверим Facebook или что-то еще, и… эй, ты помнишь мое имя пользователя, Chrome? Хорошо, давайте войдем в Facebook. Подождите, а почему поле пароля уже заполнено звездочками? Нет, дорогой Chrome, это, должно быть, ошибка, я только что купил этот компьютер, твоя локальная база данных нетронута. Вы поймете свою ошибку, как только я нажму кнопку входа. И… я в деле?

Я немедленно пошел проверить настройки Chrome. То, что я увидел, только усилило мой ужас. Все веб-сайты и имена пользователей, которые я сохранял, были в списке. Открытые пароли можно было получить всего одним щелчком мыши.

Два ожидания были нарушены. Первое и самое важное: я никогда не ожидал, что Chrome загрузит мои пароли на серверы Google без запроса согласия. Они попросили меня сохранить пароли и не разглашать их!

Второе ожидание было принятием желаемого за действительное с моей стороны. Мне стыдно. Google — одна из самых крутых технологических компаний в мире, а ее инженеры считаются гениями, совершающими невозможное между матчами по пинг-понгу в Googleplex. Я думал, что Chrome хранит мои пароли каким-то сверхбезопасным способом и извлекает каждый пароль только в нужное время, чтобы ввести его, как ниндзя, в точное поле ввода, где он и должен быть. Я не ожидал увидеть их все в открытом виде.

И я был не единственным, кто был шокирован. Эллиот Кембер назвал безопасность паролей Chrome «безумной ». В ходе дальнейшего обсуждения Джастин Шу, начальник службы безопасности Chrome, просто довольно высокомерно отмахнулся от этого . Сэр Тим Бернерс-Ли встал на сторону Кембера, назвав менеджер паролей Chrome « способом получить пароли вашей старшей сестры ».

После этого опыта я так и не научился доверять никакому менеджеру паролей, хотя и знал, что это лучше, чем выдумывать странные пароли в моей глупой человеческой голове. Но, как говорят в Бразилии, собака, укушенная змеей, боится даже колбасы. На португальском языке это не имеет смысла.

Лучший менеджер паролей

Следующие десять лет я провел, блуждая по пустыне незащищенности паролей. Мне хотелось иметь лучший менеджер паролей, но все они, похоже, следовали одному и тому же принципу: соберите все свои пароли в «хранилище», зашифруйте его своим главным ключом и загрузите это хранилище на свои облачные серверы. Я никогда не мог доверять этой модели. Они реализуют сквозное шифрование, верно? Существует ли бэкдор для «восстановления ключа», который можно использовать? Или, может быть, Джастин Шу все-таки был прав: ваши пароли «тривиально восстанавливаются» из любого приложения, которое их хранит, а попытки усложнить утечку паролей — «все это просто театр». В этом смысле попытка защитить ваши пароли, кроме доверия к менеджеру паролей, была затеей новичка.

В 2019 году я устроился в департамент информационных технологий Министерства иностранных дел Бразилии. Там я следил за техническим директором и техническим гуру Фабио Середа . Я многому у него научился и взял на себя руководство после его ухода. Кибербезопасность всегда была на повестке дня, поскольку это министерство производило около 80% всей секретной информации федерального правительства Бразилии, а его деятельность охватывала 240 мест на всех обитаемых континентах. Мы постоянно подвергались нападкам самых страшных аббревиатур в мире, поэтому нам нужно было всегда быть начеку. За эти годы, постоянно сталкиваясь с проблемами в различных областях кибербезопасности, я начал собирать принципы лучшего менеджера паролей.

Принцип №0: вся криптография взломана или рано или поздно будет взломана.

Там, где я работал, был музей дипломатической связи. Там было полно кодовых книг, чугунных шифровальных машин, портативных тарелочных антенн, адаптеров TELEX и нескольких экземпляров печально известной машины Crypto AG C-52 . Это была демонстрация полуторавековой секретной связи между штабом и бразильскими посольствами и дипломатическими миссиями за рубежом. Все они полагались на какую-то криптовалюту для хранения секретов. Вся эта криптовалюта теперь взломана.

Если вы думаете о менеджере паролей, то тот факт, что вся криптовалюта в конечном итоге будет взломана, не пугает. Допустим, на взлом криптографического протокола уходит в среднем 15 лет. Просто меняйте пароли каждые пару лет, и все будет в порядке. Хороший менеджер паролей должен время от времени обновлять свою криптовалюту, чтобы вы всегда были на шаг впереди.

Самое страшное заключается в том, что невозможно узнать, был ли уже нарушен протокол. Или, что еще хуже, если бы он был разработан с намеренной скрытой уязвимостью, как это было в случае с машиной Crypto AG. Спецслужбы и киберпреступные организации держат свои нулевые дни в тайне так долго, как только могут.

Чем больше я видел, как системы безопасности корпоративного уровня последнего поколения сливают секретную информацию, иногда катастрофически зрелищными способами, тем меньше я доверял модели хранилища, используемой всеми облачными менеджерами паролей.

До недавнего времени эти опасения носили чисто теоретический характер. Как написал коллега-хакернунер @hossam26644 :

Нет ничего плохого в использовании менеджера паролей Google, Microsoft, Apple, 1password, Bitwarden или чего-то еще. Люди используют их уже давно, и до сих пор проблем не было.

Он был прав 25 июля 2022 года. Однако он не доверял никому из них и снова оказался прав. Год спустя появились убедительные доказательства того, что пресловутые утечки LastPass привели к взлому некоторых ценных хранилищ и потере денег людьми. Более 150 человек, более 35 миллионов долларов денег.

Распространенным заблуждением является то, что для взлома зашифрованного хранилища необходимо скомпрометировать сам алгоритм AES . LastPass напомнил нам, насколько проще взломать шифрование. AES имеет сильные позиции, но LastPass принял неудачные решения по внедрению: слишком короткие требования к мастер-ключу, слишком мало итераций, и у некоторых пользователей остались хранилища, которые можно было легко взломать методом грубой силы.

Принцип №1: логистика часто является самым слабым звеном безопасности

Правительственные криптоаналитики слишком хорошо знали Принцип №0. Это одни из самых умных людей, которых я когда-либо встречал, и немногие из них стали бы вкладывать деньги в что-то, защищенное одной лишь криптографией.

Самые осторожные из них настаивали на использовании одноразового блокнота (OTP) для критически безопасной связи. Фактически они заложили это требование в правила передачи и хранения сверхсекретных документов.

В принципе, шифр OTP невозможно взломать. Это простая операция XOR над открытым текстом (данными) и буфером случайных значений той же длины, что и данные (ключ OTP). При повторном выполнении операции XOR шифра против того же ключа открытый текст восстанавливается.

Несмотря на то, что OTP не поддается взлому с точки зрения криптоанализа, он имеет несколько неудобств:

• Каждый ключ OTP никогда не может быть использован повторно;
• Ключ OTP должен быть не меньше длины открытого текста;
• Ключ симметричен и должен быть предварительно передан между отправляющей и принимающей сторонами.

Для международной организации снабжение каждого офиса OTP-ключами — это крупная непрерывная логистическая операция. Хуже того, это ахиллесова пята всей модели безопасности! Потому что для того, чтобы все крипто-удивительные возможности OTP оставались правдой, вам нужна идеальная логистика, как в пути, так и в состоянии покоя.

Должна ли Ева перехватить ваши OTP-ключи по дороге к месту назначения? С этого момента все ваши коммуникации будут скомпрометированы.

Должна ли Ева физически взломать вашу безопасную комнату и украсть ключ OTP? С этого момента все ваши коммуникации, а может быть, и предыдущие, будут скомпрометированы, если использованные части ключа не были должным образом стерты с носителя.

Если вы реализуете ключи OTP как фрагменты случайных байтов размером 1 ГБ, которые используются при отправке информации, вам явно не хватает прямой и обратной секретности.

В конце концов, идеальная криптография — это способ переложить ответственность с команды кибербезопасности на команду физической безопасности.

Аналогичная проблема возникает и с офлайн-менеджерами паролей: они жертвуют доступностью ради конфиденциальности, оставляя вам логистический беспорядок, в котором нужно разобраться.

Любой, кто использует локальную копию KeePass , знает, что вам необходимо сделать резервную копию своего хранилища. Эта резервная копия должна быть внешней на случай, если память вашего компьютера выйдет из строя. Вам необходимо поддерживать актуальность резервной копии. И убедитесь, что никто не имеет к нему доступа. И не держите их всех в своем доме, чтобы они не стали жертвами наводнения и пожара. И не загружайте их на Google Диск; в противном случае вы больше не будете использовать автономный менеджер паролей. И…

Принцип №2: когда пользовательское устройство взломано, игра окончена

Однажды мне позвонил мой начальник. Она хотела поделиться PDF-файлом с десятью людьми из высшего эшелона. Эта информация должна оставаться в их глазах только три дня. Она знала, что у них есть стимул поделиться этим документом со своими командами, чтобы получить преимущество. Такую информацию следует предоставлять лично, но covid. Поэтому она попросила меня сделать так, чтобы этот PDF-файл невозможно было копировать и распространять.

— Невозможно, — ответил я.

Мой босс был послом. Это дипломатический эквивалент генерала. Послы не привыкли слышать «нет» в качестве ответа.

Я терпеливо объяснил, что в информатике, когда вы даете кому-то разрешение на чтение ресурса, вы неявно даете ему разрешение на копирование и распространение. Права доступа к информации не подчиняются законным правам. Даже если бы мы каким-то образом сделали неудобным делиться файлом, они могли бы просто сфотографировать свои экраны на свои телефоны и поделиться ими через WhatsApp. Если они могут видеть документ на экране, то и их камеры тоже.

Джастин Шу был прав. Если кто-то получит полный доступ к вашему компьютеру (или телефону), он получит полный доступ к информации, к которой вы, пользователь, можете получить доступ через это устройство. Он прав, но это не оправдывает его внедрение в Chrome такого паршивого менеджера паролей.

Для менеджера паролей это означает, что защита устройства пользователя всегда имеет решающее значение. Если на сервере произойдет утечка, злоумышленникам все равно придется преодолеть трудности со взломом хранилищ. Но если хакер получит полный контроль над компьютером, на котором работает клиент менеджера паролей, ничто не помешает ему украсть все пароли.

Такое случается довольно часто в криптосообществе. У пользователя Алисы есть несколько десятков BTC, что делает ее миллионером. Во-первых, ее подвергли доксингу или она вообще никогда не скрывала свою личность. Она хранит копию своей исходной фразы в локальном менеджере паролей на своем рабочем столе. «Это не облачный менеджер паролей; Я застрахована от утечек», — думает она. Хакеры нашли способ заставить ее установить бэкдор на свой компьютер. Если они действительно хороши, они могут сделать это без взаимодействия с пользователем. На следующее утро она просыпается с пустым кошельком.

Несмотря на всю мрачность и мрачность, связанную с компрометацией пользовательских устройств, есть и положительная сторона: защита наших собственных устройств как пользователей — это то, что находится под нашим контролем. Утечки сервера нет. Более 150 человек, которые потеряли миллионы из-за утечки сервера LastPass, не несут никакой ответственности за утечки или за внедрение LastPass неадекватных стандартов шифрования.

Если компрометация пользовательских устройств является катастрофическим вектором атаки, независимо от модели безопасности менеджера паролей, и если мы, как пользователи, в любом случае должны защищать наши устройства, не было бы хорошо, если бы это был единственный вектор атаки? Если бы мы могли создать онлайн- менеджер паролей, в котором никакие секреты никогда не покидают пользовательские устройства, чтобы пользователям не приходилось беспокоиться о вещах, находящихся вне их контроля, таких как безопасность сервера и детали реализации AES?

Ингредиенты лежат на столе.

Коллега автора @hossam26644 продолжил в своей статье : «Может быть, я помешан на безопасности, но я не хочу доверять свои пароли какой-либо организации, независимо от ее обещаний и/или репутации». Он снова прав. Предполагается, что кибербезопасность должна быть проверенной и поддающейся проверке, а не основанной на доверии и репутации.

Три принципа, изложенные выше, легли в основу моей разработки Neulock Password Manager . Мне потребовалось три года идей и итераций, чтобы прийти к его нынешней форме: проверяемому облачному менеджеру паролей, который обеспечивает нулевое знание по своей конструкции, а не за счет шифрования. Пароли синхронизируются на всех пользовательских устройствах с помощью облака, но никакие секреты никогда не покидают эти устройства. Компрометация облачных серверов не может привести к утечке каких-либо секретов, поскольку секреты никогда не достигают облака.

Три года создания Neulock будут описаны в Части II.