Как и зачем мы развиваем идею локального безопасного хранения аутентификационных данных в эпоху облачных технологий

Аппаратный менеджер паролей Крипто Какаду как альтернатива облачным хранилищам

В закладки

Сейчас уже трудно представить жизнь без интернет-сервисов. Когда-то мы стояли в очередях чтобы подать документы для оформления услуги, теперь все доступно в пару кликов. С развитием технологий происходит оцифровка данных, а вместе с ним копится количество личных кабинетов, к которым нужно помнить ссылки, логины, пароли. Постоянная запись на бумажках и заметках телефона увеличивает шансы потери паролей с их трудоёмким восстановлением. Также существует опасность остаться без данных из-за вирусов или потери устройства. Если сейчас уже никого не удивить специальными сервисами или встроенными плагинами в браузере, то пару лет назад эта проблема не была такой актуальной как сейчас.

Идея

Зарождение проекта Крипто Какаду началось в середине 2017 года с личного опыта одного из наших инженеров, который в домашних условиях собрал первое устройство для хранения собственных паролей. Даже первый вариант показался ему удобным, так в команду поступило предложение заняться разработкой совершенно нового продукта на рынке электроники.

Мы искали решение, которое бы закрывало большинство наших потребностей – устройство с шифровкой данных для безопасного хранения в офлайн, универсальное, простое в использовании и доступное каждому.

Аппаратный менеджер паролей работает по принципу USB HID устройства - он эмулирует стандартную клавиатуру при подключении к компьютеру и по команде вводит текстовые данные в формы для заполнения на сайтах и в приложениях. По этой же причине наше изобретение нельзя заразить вирусами: компьютер распознает его как клавиатуру, на которую нельзя ничего передать. Для защиты данных мы выбрали проверенные надежные способы шифрования: алгоритм AES-256 и хеш-функцию SHA-256.

MVP и первый прототип

Первый прототип был собран нами за 7 дней, проработка базовой прошивки заняла ещё чуть меньше 2 недель. Прототип, представленный руководству компании, был далёк от того, что мы имеем сейчас, но в нас поверили и проект получил одобрение.

Первые версии аппаратного менеджера паролей

Первые прототипы представляли собой обычную плату с электронными компонентами и USB-разъемом, позже к ним добавился дисплей. Для управления было решено использовать две кнопки и колесико-энкодер, чтобы максимально упростить использование. В процессе разработки кнопки и энкодер несколько раз меняли свои места, чтобы устройством было удобнее управлять, держа в руках.

Наш инженер-конструктор спроектировал больше 15 вариантов корпусов, все из которых строились вокруг выбранной конструкции платы и органов управления. Такой подход к проектированию электроники – сначала плата, потом корпус – стандартная практика для хардкорной радиоаппаратуры для связи или космоса, где важен не внешний вид изделия, а функциональность. Позже мы поняли, что для потребительской электроники лучше работает вариант, когда конструкция подстраивается под дизайн, а профессионального промдизайнера стоит привлекать уже на этапе идеи. Но в условиях ограниченного бюджета и времени было решено обойтись своими силами. В итоге у нас получилось нечто напоминающее mp3 плеер из 2000-х. Мы решили, что в этом даже есть какая-то ретро-изюминка и остановились на одном из вариантов дизайна.

Параллельно с разработкой железа и пром-дизайна шла работа над софтом, с помощью которого осуществлялась запись данных на устройство. После двухнедельного тестирования программы Crypto Kakadu Manager на потенциальных пользователях, мы составили список замечаний в отдел разработки, устранили их в течении 5 дней и собрали приложение для Windows и MacOS. Получился интуитивный и удобный программный менеджер паролей, который можно использовать даже без самой флешки – для создания защищенной базы личных данных, но также без облачной синхронизации.

Интерфейс программы Crypto Kakadu Manager

Старт серийного производства и первые продажи

Первую партию, 5000 шт., было решено изготовить в России – так мы получили возможность плотнее контролировать производственный процесс и быстрее вносить необходимые коррективы. Впоследствии это принесло как свои плюсы, так и минусы. Но подробнее об этом расскажем позже.

Продажи запустили в тестовом режиме в июле 2019 года - проверяли гипотезы и получали фидбэки от реальных покупателей. По итогам запуска, поняли, что на данном этапе, достаточно иметь чат с тех поддержкой и встать на маркет-плейсы с фулфилментом. Людям в данном B2C-сегменте необязательно связываться с менеджером для совершения покупки, только чтобы получить ответы на возникшие вопросы в процессе использования устройства. Нам незачем содержать штат менеджеров, колл-центр и собственный отдельный склад под этот проект. Подключили все основные маркетплейсы для максимального охвата аудитории: «Озон», «Вайлдберриз», «СДЭК-Маркет», «Алиэкспресс», «Алибаба», также в процессе переговоры с «Беру» и «Гудс». Помимо этого, мы привлекаем партнерские интернет-магазины.

Аппаратный менеджер паролей – эксклюзив для России, никто его специально не ищет, так как никто старательно не продвигал подобные устройства до этого. Маркетплейсы идут нам на уступки и создают отдельную категорию товаров.

«Гудс» и «Беру» пока не удостоились чести представлять нашу продукцию, так как не создают под нас новую категорию товаров «Устройства для хранения паролей». Служба поддержки этих маркетплейсов работает через раз, также возникли сложности с вилкой процентов в «Озоне». Львиная доля расходов уходит на маркетинг и продвижение, и, если часть этих расходов готовы брать на себя партнеры, пусть и за комиссию, для нового бренда в сфере компьютерного железа это только плюс.

А чем пользуетесь вы для хранения паролей? Или блокнот с ручкой – ваши лучшие помощники?

Вы бы приобрели для себя данный продукт?
Да
Сомневаюсь
Показать результаты
Переголосовать
Проголосовать

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Михаил Колосов", "author_type": "self", "tags": ["\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438_\u0431\u0443\u0434\u0443\u0449\u0435\u0433\u043e","\u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430","\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440_\u043f\u0430\u0440\u043e\u043b\u0435\u0439"], "comments": 26, "likes": 11, "favorites": 10, "is_advertisement": false, "subsite_label": "tribuna", "id": 89509, "is_wide": false, "is_ugc": true, "date": "Thu, 24 Oct 2019 15:25:19 +0300", "is_special": false }
0
{ "id": 89509, "author_id": 383049, "diff_limit": 1000, "urls": {"diff":"\/comments\/89509\/get","add":"\/comments\/89509\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/89509"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199116, "last_count_and_date": null }
26 комментариев
Популярные
По порядку
Написать комментарий...
1

Не очень понятно, есть ли защита от физического доступа к устройству (украли, потерял и тд. , и использовали для входа в аккаунты владельца)?

Ответить
5

Защита есть, и она многоуровневая:
1) Флешка защищена 4-х значным пин кодом, который устанавливает сам пользователь в момент записи паролей. После 5 неправильных попыток ввода устройство блокируется, а при последующих попытках ввода все данные стираются. Таким образом мы защищаем данные от перебора. При каждом запуске выводится оставшееся количество попыток до стирания устройства. Это позволит увидеть, пытался ли кто-то подобрать пин в ваше отсутствие.
2) Информация хранятся в памяти устройства в зашифрованном виде с применением алгоритма шифрования AES256. Мы используем микроконтоллер с защитой от чтения, которая предотвращает попытки прочитать информацию, будь то прошивка устройства или пользовательские данные. Снять защиту возможно только путем полного стирания памяти микроконтроллера. В этом случае помимо пользовательской информации сотрется и прошивка устройства.
Ключ шифрования уникален для каждого устройства. Он генерируется из комбинации случайных чисел и ID микроконтроллера. При каждом обновлении данных в устройстве ключ шифрования генерируется заново, то есть даже при сохранении в Крипто Какаду одних и тех же данных дважды, ключ шифрования, а следовательно и зашифрованные данные будут отличаться. Случайная последовательность генерируется бесконечно и обновляется в буфере в оперативной памяти в течение всего времени работы устройства.
3) Теоретически есть способ «физического» послойного сканирования микроконтроллера для доступа к хранящемуся в нем уникальному ключу шифрования. Однако это очень дорогостоящая операция, и в 90-95 % случаев такие попытки послойного сканирования оканчиваются неудачей. Поэтому, если вы не храните на Крипто Какаду коды доступа к запуску ракет, бояться нечего 😊
Если вы потеряли Крипто Какаду или его украли ничего страшного не случится. Посторонние не получат доступ к вашим паролям, потому что не знают пин-кода. Единственное, что они смогут сделать, это записать собственные данные на Крипто Какаду. При этом предыдущие пароли будут стерты.
Подробнее о вопросах безопасности можно почитать у нас на сайте в разделе частых вопросов https://kakadu.io/faq

Ответить
0

Спасибо за развернутый ответ! Продукт реально интересный.

Ответить
1

Спасибо за статью, Интересный продукт!
Есть ли зарубежные аналоги?
Кто целевая аудитория ваших устройств?

Ответить
0

Здравствуйте, спасибо)
Еще перед стартом проекта мы провели исследование рынка и нашли двух наиболее близких конкурентов – стартапы из Швейцарии и США, которые уже запустились с помощью краудфандинга. Оба эти устройства не устраивали нас по ряду причин. Один девайс состоял из смарт-карты, на которую записывается информация, и ридера – получалось маленькое устройство из двух частей, которым не так удобно пользоваться, а риск потери увеличивался в два раза. К тому же такое решение получалось потенциально дороже при производстве. У второго аппаратного менеджера не было дисплея и корпуса, по сути, это была обычная плата с кнопками, которая запоминала всего 24 записи. Ну и конечно, эти устройства не продавались официально в России, а провезти их через границу, когда в описании содержатся такие любимые таможней слова как «шифрование» и «криптография» – задача не для слабонервных. 
Практически одновременно с началом разработки нашего прототипа, свой проект аппаратного менеджера паролей Pastilda представила команда Third Pin из Питера. У него была другая логика подключения и работы. К сожалению, ребята остановили проект (https://habr.com/ru/company/thirdpin/blog/407633/).
Больше всего флешка «Какаду» оказалась похожа – как дизайном, так и функционалом – на аппаратные криптокошельки, такие как Ledger, Trezor. Аппаратный криптокошелек – это физическое устройство, которое по сути является токеном для программного сервиса или онлайн криптокошелька и жестко привязано к их функционалу. В отличие от них «Какаду» дает больше свободы пользователю в плане выбора, какие данные хранить: он не привязан к конкретному сервису или кибервалюте, и позволяет хранить ключи от множества кошельков и бирж одновременно.

Ответить
0

Есть ли зарубежные аналоги?

Есть даже отечественные, причём достаточно давно. Первый их продукт сейчас уже выглядит кирпичненько :)
https://habr.com/ru/post/155949/

Они, кстати, не только флешки выпускают, но и уничтожители дисков, например (да, коробка с таким магнитным импульсом, что незакреплённые 3.5" диски подпрыгивают, а закреплённым — отрывает головы):
https://habr.com/ru/company/samurai/blog/176987/

Ответить
1

Уже думали над поиском со инвестора для тиражирования и выхода на рынки ЕС и США? а вот истории о том, что доброе руководство дало зелёный свет на разработку выглядят особенно умилительно ) 

Ответить
0

А как можно восстановить свои пароли, если устройство сломалось или потерялось? 

Ответить
1

Здравствуйте,
если устройство сломалась или потерялось, восстановить информацию можно с помощью резервной копии. Она создается с помощью программы Какаду Менеджер и хранится в зашифрованном виде на компьютере, внешнем диске или в облаке – где решит сам пользователь. Ни мастер-пароль от копии, ни сами пароли не хранятся нигде в открытом виде. Можно просто пользоваться паролями из резервной копии или купить новый Крипто Какаду и записать на него резервную копию.

Ответить
0

Спасибо. А соединять устройство с компьютером можно только проводом? Как быть с планшетами и телефонами?

И по поводу Какаду менеджера, без него устройство будет работать?

Ответить
3

В данной версии подключение через USB кабель. Провод для компьютера идет в комплекте. Провод USB - microUSB/typеС для телефона или планшета надо покупать отдельно. Работать будет с любым устройством, поддерживающим подключение внешней клавиатуры.
Какаду Менеджер нужен для генерирования и записи паролей на флешку и создания резервной копии. То есть, когда вы только купили устройство и оно пустое, записать на него пароли можно только через Какаду Менеджер. Далее устройство работает автономно, софт не требуется. Хотим перезаписать/добавить/изменить базу паролей, хранящуюся на нем – снова используем Какаду Менеджер.

Кстати, скоро выйдет новая версия на технологиях Bluetooth с вводом данных через мобильное приложение, но об этом мы напишем в другой статье)

Ответить
0

4тр дорого.

Ответить
0

Здравствуйте.
Да, всегда хочется сделать дешевле, стараемся). Но при небольшой серии сократить все издержки тяжело при всем желании. Если интересно, напишем статью на тему запуска производства в России). В текущую цену входят затраты на разработку и поддержку, комиссия маркетплейсов и софт Какаду Менеджер, который можно использовать отдельно от флешки. 

Ответить
0

Т.е. чтобы ввести пароль от яндекса мне нужно потратить 3-5 минут своего времени? 
Способ хранения надежный, но очень неудобный.

Ответить
0

Здравствуйте, на самом деле все гораздо быстрее. Весь процесс записи данных на устройство через программу Какаду Менеджер занимает меньше минуты. В дальнейшем, вход в любой записанный аккаунт Яндекса займет 3 секунды или 3 клика)
Видео об этом есть на главной странице нашего сайта. Посмотреть его можно,
кликнув по кнопке «Видео: быстрый старт».

Ответить
0

Выберите в 3 клика аккаунт, ага :)

Ответить
0

Мне кажется вы не в ту сторону копаете. 
Вам бы запартнериться с 1Pass/KeePass и использовать их как софт, а вы были бы только хранилищем - они запрашивают пароль у вашего девайса, а вы отдаете после подтверждения пином.
Смысла в HID девайсе нет.

Ответить
0

Не раскрыта в статье тема перспективы. Очень хотелось бы расширения базы данных. Сейчас это  - жёстко настроенная таблица с полями логин-адрес-пароль. Хотелось бы несколько профилей (к примеру, включающие пин, телефон, и тд), в том числе и настраиваемый. Генератор паролей в программе-менеджере тоже можно сделать настраиваемым - только цифры (для пинов), цифры и буквы в различных вариантах, в том числе и по настраимваемым шаблонам (я, к примеру, привык к формату пароля вида ***-***-***-***), с знаками или без них и тд.

Ответить
0

Здравствуйте! Сейчас работаем над многими функциями, о которых вы написали выше, доводим до ума. С перспективами планируем написать отдельную статью, так как нам есть, что сказать и это тема отдельной статьи) Спасибо, что написали о пожеланиях, обратная связь важна!

Ответить
0

А почему маркетплейсы? Там же ЦА не та совсем мне кажется. Его продажа удел контор по IT-безопасности.

Ответить
0

Здравствуйте! Сотрудничаем и с такими компаниями, но это про b2b. Маркетплейсы же для b2c скорее. Ведём работу в разных направлениях))

Ответить
0

вы один момент не учли - 99% людей пользуются одним паролем везде, и он у них записан в голове, поэтому смысла в вашем изобретении я не вижу

Ответить
0

Добрый вечер! Не могу согласиться с вашим комментарием, так как всё же большинство людей уже начинают задумываться о безопасности своих данных и устанавливают разные пароли в кабинетах и соц сетях. А запомнить сложные комбинации даже для 5-7 кабинетов не так просто. Осознанность в вопросах безопасности данных уже начинает появляться у людей!

Ответить
0

на основании чего вы решили что большинство людей так делает? И самое главное если вас захотят взломать никакой пароль вас не спасет, я думаю с этим вы спорить не будете

Ответить
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovx", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "disable": true, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cgxmr", "p2": "gnwc" } } } ] { "page_type": "default" }