Как надежно не забыть надежный пароль?

Последнее время, все чаще и чаще, встречаются статьи и новости о проблеме хранения паролей, их потери, взломах и безуспешных, слезных попытках восстановить самые заветные фразы. Пруфы:

• успех
• если давно не плакали
• продаем курсы надежной надежности! дешево!
• Тут — помните, надежный пароль надежно забывается!
• И тут — не уми… унывайте, пацаны
• И даже тут — самый надежный способ хранения

Наша «команда» — я и еще один гений инженерной мысли — пытаемся упростить жизнь человекам в будущем, но уже сейчас («And we give it back to you…the people» © )!

А так как мы склонны верить в антиутопическое будущее, где мы все будем лежать в грязной ванне, а жизнь будет протекать в виртуальном "Meta-пространстве", оплата подписки на PornHub будет происходить при помощи "бетховенов", а доказательства владения картиной Малевича будет происходить через NFT, то пароль, написанный на бумаге, быстро намокнет, да и в целом будет неактуален. Для тех, кто не верит сестрам Вачевски, мы можем помочь с сохранением всяких секретов, паролей и seed-фраз уже сейчас, да так, чтобы о них никто не узнал. Если интересно, добро пожаловать ниже в статью… Будет много слов и совсем немного картинок.

Искренне уверен, что все читающие эту статью, задаются вопросом: «Как хранить свою seed-фразу от крипто-кошелька "где деньги лежат» или где хранить пароль от lastpass/1password, то есть — где хранить пароль от всех паролей?". А так же, смею предугадать, что варианты хранения будут следующие: на бумажке, в голове, облаке (iCloud, google disk, dropbox и пр.) и даже сердечке… Но как мы убедились выше, надежность всего этого — «крайне МАЛА»…

Именно поэтому мы создали децентрализованное хранилище секретов с шифрованием, репликацией данных, блэкджеком... и на сладкое — с модным словом passwordless… Пока, правда, без алгоритма сжатия (Привет, Кремниевая Долина). А еще не нужно регистрироваться… совсем… от слова — абсолютли!

КАК ЭТО РАБОТАЕТ?

Установив приложение, все что нужно - это ввести какой-то уникальный Nickname - так же как в любой соц. сети, это сделано для того, чтобы максимально упростить процесс создания своего секретного хранилища для наших дорогих пользователей из мета-вселенной будущего, и как было сказано, тем самым вы инициируете процесс создания своего личного "облака" (кому удобнее - кластера). Доступ к которому, как раз, и будет происходить по этому имени (без регистрации и смс).

На первом шаге, как только вы "зарегистрировались", то есть выбрали себе Nickname, ваше собственное "облако" состоит только из одного устройства - вашего телефона (потом будут лаптопы, часы, холодильники пылесосы..), и в целом, работу можно начинать, пользоваться MetaSecret уже сейчас. Но самое настоящее "погружение в кроличью нору" начнется только тогда, когда вы добавите больше устройств в свою сеть. Но об этом позже.

Процесс создания пароля также прост, как "one...two...three". Пользователь вводит описание пароля и сам пароль, а дальше, как говаривал Джереми Кларксон: "воздух попадает в турбину, происходит магия и машина едет быстрее".

Так вот, наша магия, используя заклинания (Схему разделения секрета Шамира. ссылка для душнил), разрывает ваш пароль на части, как meta-тузик meta-грелку (по умолчанию на три части), шифрует с помощью проклятий (Integrated Encryption Scheme (ChaCha20-Poly1305). для душнил опять сюда) и распределяет исключительно в вашем "облачке".

Итак.... надежно сохранили, теперь надо надежно прочитать!

Чтобы восстановить разорванный на meta-клочья секрет (показать на экране), необходимо минимум 2 части... Однако, так как пока у нашего миллионера всего одно устройство (назовем его "Любимый Айфончик") в вашем "облаке", то все зашифрованные части его секрета хранятся только на нем, что, как можно догадаться, не совсем безопасно. Хранить все яйца в одной корзине и бла бла бла...

Для полного погружения в безопасное (светлое) будущее успешному пользователю необходимо подключить еще два устройства ("5-ый айфоня на пенсии, дорог как память" и "Ламповый планшетик"). Процесс добавления новых устройств происходит все по тому же NickName, который был выбран изначально. Спешу опередить душнил, добавление в кластер (или облако) возможно лишь при одобрении (кровью) от владельца "Любимого Айфончика", поэтому Вовка-сосед, узнав ваш Nickname, не сможет залезть к вам в "карман". После успешных манипуляций разделенные части секрета распределяются строго на подключенные устройства. После чего восстановление пароля возможно лишь посылкой и одобрением запроса на устройствах облака и при личном разрешении "владельца облака". В общем-то, механизм прост и понятен.

Подводя итоги: Вы создаете "облако" из трех устройств (в будущем можно выбрать самостоятельно необходимое количество). Введеный пароль разделяется на части "особой уличной магией" и зашифровывается (не используя интернет и сервер. Все происходит локально на вашем устройстве), а части рассылаются (вот тут пока нужен сервер, но в этот момент все уже секретно и зашифровано) на оставшиеся устройства. Для просмотра пароля, вам необходимо с одного из устройств отправить запрос на другие и получить от одного из них одобрение. Таким образом, даже дяденька майор с паяльником и прочими интересными инструментами не сможет получить от вас желаемых секретов, конечно если вы не носите все устройства с собой.

КАКИЕ ФИШКИ?

• Потеря, поломка одного устройства, не ведет к головной боли! Мы сделали всё, для того чтобы заменить факт знания пароля (который можно забыть) на факт "владения" устройствами (то есть авторизация по отпечатку пальца или распознаванию лица, которые вы врядли забудете - "а голову ты дома не забыл?"). И пользователь всегда сможет восстановить пароль на двух других устройствах. И даже если случилось страшное и телефон попал к злоумышленнику, то без вашего осознанного "Согласен" по нажатию на кнопку на другом устройстве, кул хацкер не получит доступ к желанным крипто-миллионам, потому что на одном устройстве хранится только одна часть секрета и невозможно восстановить секрета не имея второй части.
• Мы не используем единую базу данных, а раз нет базы данных паролей на сервере, значит и нельзя взломать и украсть то, чего нет. Стоит заметить (ох уж эти хейтеры), на данном этапе мы, все-таки, используем сервер и БД, для хранения сопутсвующей информации о пользователе (которая как мы помним сильно упрощает процесс создания своего облака), но ваших секретов на сервере нет.
• И уже в разработке версия 2.0, в которой будет ещё больше магии мы планируем отказаться от использования центральной Базы Данных (да да, всё по заветам нашего горячо любимого Сатоши). Ваша база будет распределена только между вашими устройствами, сервер будет играть только роль шины (не Pirelli) для передачи зашифрованной информации между устройствами.
• Не нужно запоминать мастер пароль, так как его нет - о это прекрасное слово passwordless! Но и тут мы пошли дальше и наш passwordless встроен в общую систему и является своего рода "распределенным"... но об этом как-нибудь в другой раз.
• Проект полностью open source (клик сюда)

КАКИЕ ОГРАНИЧЕНИЯ?

• Главное ограничение сейчас - готовая версия лишь для iOS. Но мы уже работаем над Android и Web версией. В планах desktop версии.

КАКИЕ ПЛАНЫ?

• Отказаться от БД на сервере и сделать систему более плоской, и мы уже знаем как этого достичь.
• Для всех кто в шапочке из фольги - сделать возможность распределять части пароля полностью оффлайн, то есть без интернета.
• Хранить не только текстовую информацию.

ЧТО ДАЛЬШЕ?

Для всех неравнодушных... приложение можно попробовать по ссылке. Для всех кто хочет просто сказать, какие мы "умные" - добро пожаловать в комментарии, мы обожаем критику :)