Как надежно не забыть надежный пароль?
Последнее время, все чаще и чаще, встречаются статьи и новости о проблеме хранения паролей, их потери, взломах и безуспешных, слезных попытках восстановить самые заветные фразы. Пруфы:
- успех
- если давно не плакали
- продаем курсы надежной надежности! дешево!
- Тут — помните, надежный пароль надежно забывается!
- И тут — не уми… унывайте, пацаны
- И даже тут — самый надежный способ хранения
Наша «команда» — я и еще один гений инженерной мысли — пытаемся упростить жизнь человекам в будущем, но уже сейчас («And we give it back to you…the people» © )!
А так как мы склонны верить в антиутопическое будущее, где мы все будем лежать в грязной ванне, а жизнь будет протекать в виртуальном "Meta-пространстве", оплата подписки на PornHub будет происходить при помощи "бетховенов", а доказательства владения картиной Малевича будет происходить через NFT, то пароль, написанный на бумаге, быстро намокнет, да и в целом будет неактуален. Для тех, кто не верит сестрам Вачевски, мы можем помочь с сохранением всяких секретов, паролей и seed-фраз уже сейчас, да так, чтобы о них никто не узнал. Если интересно, добро пожаловать ниже в статью… Будет много слов и совсем немного картинок.
Искренне уверен, что все читающие эту статью, задаются вопросом: «Как хранить свою seed-фразу от крипто-кошелька "где деньги лежат» или где хранить пароль от lastpass/1password, то есть — где хранить пароль от всех паролей?". А так же, смею предугадать, что варианты хранения будут следующие: на бумажке, в голове, облаке (iCloud, google disk, dropbox и пр.) и даже сердечке… Но как мы убедились выше, надежность всего этого — «крайне МАЛА»…
Именно поэтому мы создали децентрализованное хранилище секретов с шифрованием, репликацией данных, блэкджеком... и на сладкое — с модным словом passwordless… Пока, правда, без алгоритма сжатия (Привет, Кремниевая Долина). А еще не нужно регистрироваться… совсем… от слова — абсолютли!
КАК ЭТО РАБОТАЕТ?
Установив приложение, все что нужно - это ввести какой-то уникальный Nickname - так же как в любой соц. сети, это сделано для того, чтобы максимально упростить процесс создания своего секретного хранилища для наших дорогих пользователей из мета-вселенной будущего, и как было сказано, тем самым вы инициируете процесс создания своего личного "облака" (кому удобнее - кластера). Доступ к которому, как раз, и будет происходить по этому имени (без регистрации и смс).
На первом шаге, как только вы "зарегистрировались", то есть выбрали себе Nickname, ваше собственное "облако" состоит только из одного устройства - вашего телефона (потом будут лаптопы, часы, холодильники пылесосы..), и в целом, работу можно начинать, пользоваться MetaSecret уже сейчас. Но самое настоящее "погружение в кроличью нору" начнется только тогда, когда вы добавите больше устройств в свою сеть. Но об этом позже.
Процесс создания пароля также прост, как "one...two...three". Пользователь вводит описание пароля и сам пароль, а дальше, как говаривал Джереми Кларксон: "воздух попадает в турбину, происходит магия и машина едет быстрее".
Так вот, наша магия, используя заклинания (Схему разделения секрета Шамира. ссылка для душнил), разрывает ваш пароль на части, как meta-тузик meta-грелку (по умолчанию на три части), шифрует с помощью проклятий (Integrated Encryption Scheme (ChaCha20-Poly1305). для душнил опять сюда) и распределяет исключительно в вашем "облачке".
Итак.... надежно сохранили, теперь надо надежно прочитать!
Чтобы восстановить разорванный на meta-клочья секрет (показать на экране), необходимо минимум 2 части... Однако, так как пока у нашего миллионера всего одно устройство (назовем его "Любимый Айфончик") в вашем "облаке", то все зашифрованные части его секрета хранятся только на нем, что, как можно догадаться, не совсем безопасно. Хранить все яйца в одной корзине и бла бла бла...
Для полного погружения в безопасное (светлое) будущее успешному пользователю необходимо подключить еще два устройства ("5-ый айфоня на пенсии, дорог как память" и "Ламповый планшетик"). Процесс добавления новых устройств происходит все по тому же NickName, который был выбран изначально. Спешу опередить душнил, добавление в кластер (или облако) возможно лишь при одобрении (кровью) от владельца "Любимого Айфончика", поэтому Вовка-сосед, узнав ваш Nickname, не сможет залезть к вам в "карман". После успешных манипуляций разделенные части секрета распределяются строго на подключенные устройства. После чего восстановление пароля возможно лишь посылкой и одобрением запроса на устройствах облака и при личном разрешении "владельца облака". В общем-то, механизм прост и понятен.
Подводя итоги: Вы создаете "облако" из трех устройств (в будущем можно выбрать самостоятельно необходимое количество). Введеный пароль разделяется на части "особой уличной магией" и зашифровывается (не используя интернет и сервер. Все происходит локально на вашем устройстве), а части рассылаются (вот тут пока нужен сервер, но в этот момент все уже секретно и зашифровано) на оставшиеся устройства. Для просмотра пароля, вам необходимо с одного из устройств отправить запрос на другие и получить от одного из них одобрение. Таким образом, даже дяденька майор с паяльником и прочими интересными инструментами не сможет получить от вас желаемых секретов, конечно если вы не носите все устройства с собой.
КАКИЕ ФИШКИ?
- Потеря, поломка одного устройства, не ведет к головной боли! Мы сделали всё, для того чтобы заменить факт знания пароля (который можно забыть) на факт "владения" устройствами (то есть авторизация по отпечатку пальца или распознаванию лица, которые вы врядли забудете - "а голову ты дома не забыл?"). И пользователь всегда сможет восстановить пароль на двух других устройствах. И даже если случилось страшное и телефон попал к злоумышленнику, то без вашего осознанного "Согласен" по нажатию на кнопку на другом устройстве, кул хацкер не получит доступ к желанным крипто-миллионам, потому что на одном устройстве хранится только одна часть секрета и невозможно восстановить секрета не имея второй части.
- Мы не используем единую базу данных, а раз нет базы данных паролей на сервере, значит и нельзя взломать и украсть то, чего нет. Стоит заметить (ох уж эти хейтеры), на данном этапе мы, все-таки, используем сервер и БД, для хранения сопутсвующей информации о пользователе (которая как мы помним сильно упрощает процесс создания своего облака), но ваших секретов на сервере нет.
- И уже в разработке версия 2.0, в которой будет ещё больше магии мы планируем отказаться от использования центральной Базы Данных (да да, всё по заветам нашего горячо любимого Сатоши). Ваша база будет распределена только между вашими устройствами, сервер будет играть только роль шины (не Pirelli) для передачи зашифрованной информации между устройствами.
- Не нужно запоминать мастер пароль, так как его нет - о это прекрасное слово passwordless! Но и тут мы пошли дальше и наш passwordless встроен в общую систему и является своего рода "распределенным"... но об этом как-нибудь в другой раз.
- Проект полностью open source (клик сюда)
КАКИЕ ОГРАНИЧЕНИЯ?
- Главное ограничение сейчас - готовая версия лишь для iOS. Но мы уже работаем над Android и Web версией. В планах desktop версии.
КАКИЕ ПЛАНЫ?
- Отказаться от БД на сервере и сделать систему более плоской, и мы уже знаем как этого достичь.
- Для всех кто в шапочке из фольги - сделать возможность распределять части пароля полностью оффлайн, то есть без интернета.
- Хранить не только текстовую информацию.
ЧТО ДАЛЬШЕ?
Для всех неравнодушных... приложение можно попробовать по ссылке. Для всех кто хочет просто сказать, какие мы "умные" - добро пожаловать в комментарии, мы обожаем критику :)
Комментарий недоступен
Супер! Рад, что это вы сами предложили! Можно! И это будет реализовано уже совсем скоро. Вы сможете "разбрасывать" свои части паролей (мы их называе шАры, от слова "shares") на всякие дропбоксы и гугл диски.
Комментарий недоступен
к сожалению, эта идея в нашем бэклоге уже давненько. а вот если что-то новое предложите - готовы отписать крипто-копеечку ))
Комментарий недоступен
Крутая идея, но пока без копеечки. Нечто подобное обсуждали буквально пару дней назад ) Но как я уже писал - нас двое из ларца, пока. Поэтому рук не хватает... А вы полезный человек для крипто-общественности )))
Комментарий недоступен
У вас есть крипто-кошелек для этого? )
Комментарий недоступен
действительно, что это я. А где вы храните seed-фразу? ))
Комментарий недоступен
А говорили нет участка ))) Ну тогда бумажка уже сгнила. И мы не можем переслать вам денег ) Потому что, они не дойдут до вас ) Могу предложить более надежное решение для хранения паролей и сид фраз! Расскать? ))
Комментарий недоступен
а как же кукуруза на пляже, если вы на пляже не Тихого океана?
и не верьте всему, что написано в интернете )
-это я во время прочтения статьи
Комментарий недоступен
Зачем? Смысл их наоборот не таскать, а спрятать поглубже в землю. и доставать только в экстренных случаях. Мы не менеджер пароля ) Хотя и эта функция будет позже )
Комментарий недоступен
Можете закопать у соседа ) У него есть участок?
кстати, про бетонные шахты. Есть очень интересный кейс. Есть РЕАЛЬНО шахта, по-моему в швейцарии, она должна была спасть от ядерных ракт. Но сейчас - это банк аппаратных кошельков. То есть условный Василий, едет в Швейцарию с аппаратным кошельком, на котором 10000 бетховенов, заходит в эту шахту, отдает свой крипто кошелек чужим дядям и получает ключик как от банковской ячейки. Сейчас - это считается надежным хранилищем... Но как мы понимаем - все очень условно
Комментарий недоступен
Да мы не собираемся ее продавать ) Такая корова нужна самому )
спасибо за советы ,обязательно воспользуюсь (нет)
почему? Что вызвало отвержение?
Комментарий недоступен
достаточно мобильника и часов )
Комментарий недоступен
Постойте-ка, а зачем таскать с собой миллионы? Часто у вас с собой кредитка на которой лежат все ваши сбережения накопленные за всю жизнь?
Насколько я понимаю эти ребятки сделали возможность не потерять сид фразу от кошелька на котором дофига денег. А для всего остального есть виза, как говорится)
Кстати на одном подкасте у Лекса Фридмана Виталик Бутерин рассказывал как он сид фразу восстанавливал с холодного кошелька чтобы продать не помню какие коины на 6 лярдов. Это была целая спец операция) он там звонил родителям и они с бумажки ему диктовали вторую часть сид фразы
Вы про этот момент: https://youtu.be/XW0QZmtbjvs?t=382 ?
да да, это оно)
Зачем? Вам на пляже нужны биткоины? Крипто-кукурузу покупать? ))
Комментарий недоступен
пусть крадут. Второй-то у вас. Ничего не случится. а третий у соседа закопан
Комментарий недоступен
Мы рассмотрим этот вариант ) Возможно подадимся
Комментарий недоступен
Пока нет. Это и есть самое большое ограничение НА ДАННЫЙ МОМЕНТ. Но в планах - компьютеры, браузер версия, умные часы, планшеты...
Комментарий недоступен
На данный момент да.
Комментарий недоступен
Как написано в статье выше, начать работать можно и с одним устройством ) Второй телефон, можно взять у мамы в соседней комнате )
Ну по идее 2 телефона как минимум всегда есть - муж и жена плюс один из родителей. У человека, как они там написали, скорее всего есть ламповый айпадик. Ноутбук - если добавят конечно поддержку. Старый телефон у всех точно где-нибудь валяется.
А так, было бы прикольно ещё и сохранять куски сид фраз в разных облаках, тогда схема станет намного гибче
когда многие конкуренты предлагают аналогичные услуги, что сопоставите?
После прочтения, возможно, отпадет вопрос о конкурентах. Если нет, то уточните, что за конкуренты? Если все же останутся вопросы, я смогу ответить еще раз, в чем же преимущество.
Ежедневно мы сами пытаемся найти конкурентов. Иногда это ПОЧТИ получается, но в основном, все продукты скатываются к обычным менеджерам паролей