Центр цифровой экспертизы Роскачества провел исследование наиболее популярных мобильных приложений – менеджеров паролей. В условиях все более высокого проникновения сетевых технологий в повседневную жизнь и растущего количества паролей растет и количество уязвимых «точек входа», через которые злоумышленники могут проникнуть в аккаунт или устройство пользователя и похитить его персональные данные или платежную информацию.

Насколько серьезна ситуация с паролями сегодня, ясно показывает статистика. В 2020 году средний интернет-пользователь имеет как минимум несколько десятков, а то и сотни паролей: для социальных сетей, почты, банков, форумов, интернет-магазинов и т. д. При этом, если везде используется один и тот же несложный пароль, для злоумышленника не составит труда, один раз взломав жертву, «угнать» и все остальные важные аккаунты.

Как сообщали летом 2020 года DeviceLock, самыми популярными паролями среди россиян остаются анекдотически простые комбинации из цифр и букв, которые легко подобрать: 123456789, qwerty, 12345, password, пароль, йцукен. Иными словами, все те варианты, которые находятся на первой странице в словаре автоматического перебора у хакеров.

Компании в плане безопасности паролей выглядят не сильно лучше частных лиц: как сообщала в июне 2020 года компания «Ростелеком-Солар», около 80% российских компаний не соблюдают базовых правил парольной защиты, и практически в каждой тестируемой корпоративной сети специалистам удалось получить привилегии администратора. Чемпионами стали пары «логин – пароль» вида «admin/admin», «admin/12345» и им подобные.

Интернет-пользователи в России не только применяют ненадежные пароли, но и используют их везде, одновременно для многих аккаунтов. Согласно опросу Avast, 55% российских пользователей применяют одинаковые пароли для нескольких разных учетных записей, хотя 94% и осознают, что это опасно. Так проще, ведь мозг среднего человека не в состоянии запоминать множество сложных и разных паролей, а держать их где-то записанными в текстовом файле или на листке бумаги не слишком удобно.

Все это приобретает особенную остроту в сфере стремительного роста киберпреступности: только в прошлом году, еще до пандемии, «Лаборатория Касперского» констатировала рост на 72% количества пользователей, атакованных программами для кражи паролей.

Идеальным решением парольной проблемы для пользователя сегодня будет программа – менеджер паролей, которая автоматически импортирует все пароли, которые хранит в защищенном виде. Пользователю, таким образом, нужно помнить только один пароль – для доступа к паролям, так называемый мастер-пароль.

С момента своего возникновения менеджеры паролей сильно обогатились в плане функциональности, и к моменту перехода в мобильный формат фактически превратились в целые «органайзеры» со множеством полезных возможностей. Центр цифровой экспертизы Роскачества при подготовке исследования постарался охватить все возможные аспекты таких приложений.

Чтобы выяснить, насколько приложения – менеджеры паролей функциональные, качественные и безопасные, Роскачество протестировало 24 приложения: 10 для iOS и 14 для Android. Кроме того, юристы АНО «ПравоРоботов» изучили политики конфиденциальности сервисов на соответствие Федеральному закону «О персональных данных» (№ 152-ФЗ от 27.07.2006) и выделили негативные и положительные аспекты, на которые пользователям стоит обратить внимание.

В исследование вошли менеджеры паролей из топ-1000 в рейтинге приложений соответствующей категории в App Store и топ-500 – в Google Play. Для тестирования на обеих платформах отбирались только приложения, которые обновлялись не позднее года назад. Для удобства чтения названия приложений в тексте сокращены.

70% приложений на обеих платформах, показавших лучшие результаты по совокупности всех критериев, получили отметку выше 4 баллов. Все приложения получили оценку выше 3,5, что является хорошим показателем. Не рекомендованных для использования нет.

По результатам тестирования, наиболее функциональные приложения – Kaspersky и RoboForm на iOS, а также Enpass и RoboForm на Android.

Наиболее удобные – SafeInCloud и Kaspersky на iOS, на Android это Bitwarden, SafeInCloud и Kaspersky.

Что касается информационной безопасности, все без исключения приложения показали хорошие результаты – 4 балла и более. Оценки у некоторых продуктов были снижены лишь за отсутствие запрета на скриншоты с чувствительной информацией и за недостаточно высокую степень сложности мастер-пароля.

Лучшими по совокупности всех критериев признаны приложения Kaspersky, Keeper, RoboForm и 1Password.

Оцените исследование: ответьте на два коротких вопроса

Испытания проводились по 132 критериям. Во время исследования специалисты использовали приложения как рядовые пользователи: создавали пароли вручную и при помощи генераторов паролей, проверяли их анализ, автозаполнение и обновление, на каждом этапе процесса тестируя работу различных функций приложения. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений – менеджеров паролей.

Каждый из критериев получил свой «вес» (то есть определенное влияние на итоговый балл) в зависимости от своей значимости, оцененной по результатам предварительного экспертного совещания, что позволило в итоге сформировать максимально объективную оценку.

менеджеры паролей 2020

Наибольшее количество скачиваний (более 10 млн) среди исследованных приложений менеджеров паролей у Keeper. Более 5 млн – у LastPass, более миллиона – у лидеров исследования Kaspersky, SafeInCloud и еще нескольких приложений.

О лучших менеджерах паролей читайте ЗДЕСЬ.

Функциональность

Одна из самых важных потребительских характеристик любого мобильного приложения – это функциональные возможности. В этом исследовании соответствующая группа параметров испытаний (64 критерия) составила 35% от итоговой оценки приложений. Обращает на себя внимание в среднем более высокая оценка приложений для iOS, чем для Android (например, занявший 1-е место на iOS Kaspersky находится на 2-й позиции на Android как раз из-за оценки по функциональности). Подробности приведены ниже в детальном разборе, а также в карточках приложений.

Итак, пройдемся по наиболее важным функциям.

Работа с логинами и паролями. Это одна из ключевых групп критериев, по которым оценивалось выполнение тех функций, ради которых пользователь, собственно, и устанавливает приложение. Все исследованные приложения позволяют добавлять новые логины и пароли, редактировать их, сохранять при заполнении в браузере.

менеджеры паролей

А вот такая полезная функция, как автоматический анализ надежности пароля, реализована уже не у всех: у Bitwarden и 1Password в мобильной версии она отсутствует, а у Kaspersky реализована только на iOS. Та же самая ситуация с анализом дублирующихся паролей.

менеджеры паролей 2020

Историю прошлых сохраненных паролей можно просмотреть только в половине исследованных приложений. Только в 1Password, SafeInCloud, oneSafe и Kaspersky (а также в PasswordSafe на Android) можно добавить несколько пар логинов и паролей для одного сайта. Сохранение паролей без логина не реализовано в Kaspersky, RoboForm и Dashlane, в остальном являющихся фаворитами исследования.

Работа с банковскими картами – вторая важная группа функциональных критериев, позволяющая обезопасить платежные данные пользователя. Аутсайдером здесь стал LastPass, у которого на обеих платформах отсутствуют и сканирование банковской карты (эта функция в целом есть у трех приложений на iOS и четырех на Android), и отображение данных банковских карт в зашифрованном виде.

Bitwarden, Keeper и RememBear, в остальном проявившие себя здесь положительно, не позволяют сохранить информацию о банке. Android-приложения My Passwords и PasswordSafe получили по данной группе критериев 0 баллов, так как они не работают с банковскими картами.

Работа с документами. Следующая важная группа функциональных критериев касается работы с документами пользователя.

Большинство приложений для iOS проявили себя хорошо, набрав 4 балла и выше. Оценка была снижена у всех приложений, кроме 1Password и Keeper, за отсутствие возможности распознать данные с фото (впрочем, на Android этой функции нет вообще ни у одного приложения). RoboForm и Dashlane получили низкие оценки, так как в них отсутствует возможность сохранять файлы и фото с помощью камеры. RememBear получил 0, так как функция работы с документами у этого приложения отсутствует вовсе.

На Android лучше всего себя показали LastPass, SafeInCloud, Kaspersky, oneSafe и Enpass – эти приложения набрали больше 4 баллов. Балл снижен у 1Password за невозможность добавить фото с помощью камеры смартфона. У aWallet аналогично RememBear функциональность работы с документами отсутствует.

Работа с заметками. В этой группе критериев оценивалась возможность в приложении создавать, редактировать, копировать и удалять пользовательские заметки. Все приложения на обеих платформах получили максимальный балл по этим параметрам.

Генератор паролей. Один из главных критериев в исследовании. Это то, от чего зависит надежность паролей, создаваемых пользователем.

Сложность пароля, как известно, увеличивается на порядок при добавлении букв разного регистра и спецсимволов, что в сочетании с достаточно большой длиной (от 12 символов, а лучше больше) практически гарантирует его невзламываемость. По итогам анализа почти все приложения получили максимальный балл по этим параметрам, за исключением SafeInCloud (где нельзя настроить регистр) и MyPasswords (где нельзя настроить параметры генерации).

Помимо возможности добавить в пароль усложняющие его параметры, эксперты анализировали возможность исключить одинаковые символы (на iOS есть только у RoboForm и Dashlane, на Android – у них же плюс Enpass, aWallet и PasswordSafe), а также проверяли, работает ли генератор паролей без необходимости входа в приложение (у всех приложений, кроме SafeInCloud, Roboform, Dashlane, oneSafe на iOS и SafeInCloud, oneSafe, Enpass, My Passwords, aWallet на Android).

Без влияния на итоговую оценку дополнительно рассматривалось разделение пароля на блоки (то есть возможность создания пароля в виде набора слов, разделенных между собой дефисами: на iOS есть только у 1Password, RememBear и oneSafe, на Android – у них же и Enpass) и демонстрация сгенерированного пароля с разделением символов на разные цвета: на iOS есть у всех, кроме Kaspersky, RoboForm и Keeper, на Android – у 50% приложений.

Автозаполнение данных в мобильном браузере (на примере Safari, Opera Touch, «Яндекс» – на iOS; Google Chrome, Opera, «Яндекс» – на Android). Также проверялось автозаполнение в мобильных приложениях. Результаты по автозаполнению для обеих категорий оказались идентичны: почти все приложения получили наивысший балл – кроме oneSafe, MyPasswords, aWallet и PasswordSafe на Android, в которых возможность автозаполнения отсутствует.

Систематизация данных. Здесь эксперты оценивали возможность создавать папки в хранилище, наличие категорий данных (пароли, банковские карты, личные данные, документы и др.), возможность добавлять данные из хранилища в избранное, проводить сортировку данных в хранилище (по алфавиту, дате добавления и др.). Проверялась также реализация в приложении строки поиска данных из хранилища.

Хорошую оценку за соответствие всем критериям получили Kaspersky, RoboForm и oneSafe на обеих платформах. Аутсайдерами стали Dashlane и MyPasswords, в которых присутствует только базовая функциональность по систематизации.

Без влияния на балл также оценивалась возможность добавления тегов и меток к данным. Она обнаружилась у 1Password, Dashlane и SafeInCloud на обеих платформах, а также у Enpass и MyPasswords на Android. Таким образом, уступившие по основной функциональности приложения выигрывают в деталях.

Работа с веб-ресурсами. В данной группе критериев эксперты смотрели, реализована ли в приложении функция сканирования онлайн-баз скомпрометированных паролей на предмет утечки паролей пользователя. На iOS такая функция присутствует у Kaspersky, Bitwarden, 1Password, Keeper и Dashlane. На Android – у тех же, за вычетом Kaspersky и с добавлением Enpass.

Также проверялось, реализована ли в приложении функция внесения конкретного веб-ресурса в черный список для ограничения автозаполнения данных. Она оказалась только в RoboForm и Android-версии Bitwarden.

Экспорт данных из приложения. Здесь специалисты оценивали, насколько полноценно и удобно реализована возможность экспортировать данные пользователя из хранилища приложения. В частности, проверялось наличие функции резервного копирования данных (в том числе автоматического), открытия доступа к данным для других контактов и функции сохранения данных в облачном хранилище. Также проверялось наличие функции копирования данных в буфер обмена.

Максимальный балл на обеих платформах за реализацию экспорта получили RoboForm и RememBear. У Kaspersky была снижена оценка за отсутствие функции экспорта как таковой (при наличии резервного копирования). В целом наиболее сильно разделились оценки при учете функции автоматического резервного копирования – на обеих платформах она присутствует только у 50% приложений.

Без влияния на балл оценивалась возможность выбрать формат экспортируемых данных (csv, json). Она присутствует только в Bitwarden и Android-версии PasswordSafe.

Импорт данных. Здесь эксперты проверяли, как в приложениях реализована функция импорта паролей, сохраненных в браузере (на примере Safari, Opera Touch, «Яндекс.Браузера», Microsoft Edge, Brave – на iOS; Google Chrome, Opera, «Яндекс.Браузера», Brave, Microsoft Edge – на Android). Она обнаружилась только в RoboForm и Android-версии Dashlane.

Дополнительно, без влияния на балл, проверялось, как в приложении реализована функция импорта паролей из файлов. На iOS эта функция реализована только в 1Password и oneSafe, на Android – в oneSafe, My Passwords, aWallet и PasswordSafe.

Удаление данных. Для приложений, которые напрямую связаны с безопасностью, является важным «заметание следов», удаление ненужной информации. Эксперты проверяли, как реализована в приложениях функция самоуничтожения с последующим удалением всех сохраненных данных пользователя (работает в SafeInCloud, 1Password, Keeper и oneSafe на iOS, на Android функция есть в этих же приложениях, за вычетом oneSafe, а также в Enpass, My Passwords, aWallet и PasswordSafe).

Функция удаления сохраненных в буфер обмена данных по таймеру на iOS отсутствует только в SafeInCloud, RememBear и Dashlane, на Android – в 40% приложений.

Офлайн-работа приложения. Эксперты проверяли, реализована ли в приложении возможность офлайн-работы с данными. На обеих платформах она отсутствует в LastPass и Bitwarden.

Для более полного впечатления эксперты также проверяли следующие функции без влияния на итоговые оценки:

  • Временное сокрытие данных с устройства – есть только в 1Password (на обеих платформах) и oneSafe (только на iOS).

  • Встроенный VPN – есть только в Dashlane (на обеих платформах).

  • Встроенный браузер – на iOS есть в 1Password, Keeper, oneSafe и RoboForm; на Android к ним добавляется LastPass.

  • Возможность бесплатно ознакомиться с основной функциональностью приложения (бесплатная версия, или ограниченная бесплатная функциональность, или демо-период) – есть везде, кроме 1Password (на обеих платформах) и oneSafe (только на iOS).

По результатам тестирования наиболее функциональными приложениями стали Kaspersky и RoboForm на iOS, а также Enpass и RoboForm на Android.

Как создать надежный мастер-пароль, читайте ЗДЕСЬ.

менеджеры паролей 2020

менеджеры паролей 2020

Удобство пользования

Простота и удобство пользования мобильными приложениями – менеджерами паролей оценивались экспертами по 12 группам критериев, которые составили в сумме 17% от итоговой оценки приложений.

При оценке простоты и качества навигации эксперты определяли, насколько легко определить, где пользователь находится, находился и куда он может переместиться в дальнейшем, а также подсчитывали минимально необходимое количество действий (кликов) для выполнения важных сценариев программы.

В числе таких сценариев: создание нового объекта в хранилище, блокировка приложения, копирование пароля в буфер обмена, удаление пароля, создание папки в хранилище, переход на домашнюю страницу и к генератору паролей, редактирование объектов и переход к поиску объектов по хранилищу. Большинство приложений на обеих платформах оказались достаточно удобными в использовании и получили 3,5 балла и более. Заметное исключение представляет версия oneSafe для iOS (2,25 балла), в которой нужно сделать достаточно много лишних кликов, чтобы добраться до функции, при этом на Android удобство в этом приложении реализовано заметно лучше (3,1 балла).

Отдельно оценивался реализованный вариант демонстрации пароля крупным шрифтом – такая возможность есть в LastPass, 1Password, Dashlane (только на iOS) и oneSafe.

Отдельную группу критериев составила настройка внешнего вида приложения, где эксперты оценивали поддержку в приложении ночного режима (темная тема оформления). Такая функция есть у всех менеджеров паролей, за исключением Android-версий LastPass, Kaspersky и Keeper.

Без влияния на балл также оценивалась реализация в приложении функции изменения цветовой темы приложения. На iOS она есть у Bitwarden, Keeper и oneSafe, на Android – у них же, а также у SafeInCloud, MyPasswords и PasswordSafe.

Кросс-платформенность одинаково хорошо реализована во всех приложениях.

Помощь в приложении во всех менеджерах паролей реализована на одинаково высоком уровне, за исключением Dashlane (на обеих платформах в приложении не реализован чат или форма обратной связи с поддержкой) и oneSafe на платформе Android (нет справки по использованию сервиса).

Адаптация для людей с ограниченными возможностями выявила традиционную разницу в оценках не в пользу приложений на iOS. Это обусловлено спецификой мобильных платформ: поддержка приложениями динамического шрифта реализована в Android на системном уровне, в то время как на iOS разработчикам необходимо добавлять ее вручную. Полностью отсутствует поддержка динамического шрифта на iOS у Keeper и RememBear, у остальных она реализована хотя бы частично. В SafeInCloud, Bitwarden и oneSafe поддержка таких возможностей реализована полностью.

Русскоязычная адаптация отсутствует у LastPass, RememBear и Dashlane.

Наиболее удобные приложения по итогам исследования – SafeInCloud и Kaspersky на iOS, BitWarden, SafeInCloud и (с минимальным отрывом в 0,1 балла) Kaspersky – на Android.

7.jpg

6.jpg

Производительность и надежность

Данная группа из шести критериев составила 10% от общей оценки. Все менеджеры паролей в ходе тестирования зарекомендовали себя как стабильные и надежные, устойчивые к внешним прерываниям.

Существенная разница наблюдалась между размерами файлов для iOS и Android: больше половины менеджеров паролей получили 0 баллов на iOS за размер файла более 100 мегабайт, в то время как на Android размер файлов значительно меньше (половина приложений получила высокие оценки в 4 и 5 баллов).

В целом все менеджеры паролей по производительности и надежности получили высокие оценки (4,4 и выше), что следует считать очень хорошим показателем.

Информационная безопасность

Информационная безопасность для менеджеров паролей имеет критическую и первостепенную важность, так как эти приложения работают напрямую с «ключами» к аккаунтам пользователя, от которых нередко зависит его благосостояние. Поэтому приложения такого типа обязаны обеспечивать безопасность на высшем уровне.

В этом исследовании группа параметров испытаний безопасности составила 23% от итоговой оценки приложений. Эксперты оценивали возможность установить пароль на вход в приложение, запрос минимально необходимых разрешений и разъяснение их необходимости, возможность удалить аккаунт или учетную запись. Проверялись безопасность передачи данных приложения и пользовательских данных, хранение в зашифрованном виде (или в облаке) всех файлов, содержащих данные пользователя. Также оценивались скрытие паролей по умолчанию, наличие надежных технологий шифрования и доступ самих разработчиков к пользовательской информации.

Баллы, полученные приложениями по результатам исследования, почти идентично высокие. Это объясняется тем, что пользователи ожидают от этих приложений повышенной безопасности, и разработчики вкладывают максимум усилий в ее обеспечение. Большинство приложений получили баллы 4,48 и выше. Чуть хуже (но все равно очень хорошие – 4,08) оценки у тех приложений, которые не запрещают делать скриншоты с пользовательской информацией и одновременно имеют не слишком высокие требования к мастер-паролю: это RememBear, Dashlane и три приложения на Android – Enpass, My Passwords и aWallet.

В ходе исследования эксперты Роскачества с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает приложение, а затем анализировали его на наличие незашифрованных пользовательских данных. По результатам тестирования все приложения получили максимальный балл. Эксперты также проверяли безопасность передачи данных самого приложения (его контента), например графических элементов интерфейса, которые в случае наличия уязвимости теоретически могут быть заражены вредоносным ПО. По данному параметру все приложения, участвовавшие в исследовании, также были удостоены высшей оценки.

Во всех исследованных приложениях используется AES-шифрование, что является высоким показателем безопасности.

Кроме того, проверялась корректность запрашиваемых разрешений и доступов (в том числе собирает ли приложение IMEI, Serial Number и MAC Address устройства). Все приложения работают в этом плане максимально корректно.

Оценивалось соответствие и так называемому «принципу нулевого знания» (zero-knowledge principle): все данные пользователя должны быть зашифрованы и разработчик не должен иметь к ним доступ. Все приложения его соблюдают.

Также все приложения скрывают пароли по умолчанию и безопасно хранят пользовательские данные.

В целом все программы показали себя как безопасные и надежные с минимальными различиями в оценках (все выше 4 баллов). Чуть выше балл, чем у остальных, у Kaspersky, Keeper и oneSafe на Android.

Правовая оценка

Проверку на соответствие политик конфиденциальности приложений – менеджеров паролей требованиям закона «О персональных данных» (№ 152-ФЗ от 27.07.2006) проводили юристы автономной некоммерческой организации «ПравоРоботов». В этом исследовании соответствующая группа параметров испытаний составила 10% от итоговой оценки приложений.

Юристы проанализировали политики на соответствие российскому законодательству, а также проверили их по нескольким необязательным с точки зрения законодательства, но важным для пользователей критериям.

В целом все исследованные приложения показали хорошие результаты, набрав 4 балла и выше.

Важный момент, которому уделялось внимание, – это передача данных третьим лицам. Здесь 0 баллов получил Bitwarden, так как у него есть указания на передачу данных третьим лицам помимо требований, установленных законодательством (также не указаны эти самые третьи лица), остальные приложения по этому параметру получили высокие оценки. Под передаваемыми данными, конечно, не подразумеваются пароли, речь идет об информации о пользователе (например, контактная информация).

Больше половины приложений указывают, что все персональные данные хранятся на территории РФ. Русскоязычная версия политик конфиденциальности есть только у Kaspersky, SafeInCloud и Keeper. У LastPass и RoboForm отсутствует расшифровка использованной в документации терминологии.

Куликов
Никита Куликов
к. ю. н., генеральный директор АНО «ПравоРоботов»

– В целом большинство проверенных менеджеров паролей соответствуют достаточно высоким стандартам защищенности данных, так как применяют сквозное шифрование и не хранят данные пользователей на своих серверах. Но, несмотря на это, факт остается фактом: даже в такой чувствительной категории, как менеджеры паролей, некоторые разработчики умудряются использовать пользовательские данные и передавать их третьим лицам (но речь, конечно, не идет о паролях). Также бóльшая часть политик конфиденциальности не переведена на русский язык, что может вызвать определенные затруднения при попытке ознакомиться с ними. А из-за относительно простой механики приложений их разработчиками в том числе выступают малоизвестные компании, что может затруднить ведение правовой претензионной работы при возникновении эксцессов. Это следует учитывать при выборе.


Негативные и позитивные аспекты политик конфиденциальности, на которые юристы рекомендуют обратить внимание, приведены в карточках каждого из приложений.

Выводы

Лучшими по совокупности всех критериев признаны:

iOS:

1.   Kaspersky (4,49)

2.   Keeper (4,39)

3.   RoboForm (4,39)

4.   1Password (4,35)

5.   SafeInCloud (4,31)

Android:

1.   Keeper (4,44)

2.   Kaspersky (4,42)

3.   RoboForm (4,39)

4.   1Password (4,38)

5.   SafeInCloud (4,34)

Исследование проведено в соответствии с методикой испытаний, базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ 277-2018.

менеджеры паролей 2020

менеджеры паролей

Оцените исследование: ответьте на два коротких вопроса

Журнал
Наверх

добавлен к сравнению