Компанія-засновник служби електронної пошти з наскрізним шифруванням Proton Mail оголосила про запуск власного захищеного менеджера паролів Proton Pass. Нині обмежене коло користувачів може випробувати його бета-версію, але з часом програму відкриють для широкого загалу безплатно.
В Proton Pass можна зберігати паролі, адреси електронної пошти, URL-адреси та нотатки. Як і інші продукти компанії, Proton Pass використовує наскрізне шифрування (E2EE), яке має захистити вашу особисту інформацію від сторонніх очей (третіх сторін і у тому числі самого Proton).
Today we’re launching the Proton Pass beta.
With Pass, we’re applying our privacy and encryption knowledge to a service that many of you have asked for.
Later on, Proton Pass will become a free password manager for all Proton users. Learn more here: https://t.co/9V4FlSWaYh pic.twitter.com/tkLl7SZN5S
— Proton (@ProtonPrivacy) April 20, 2023
Для розшифровки даних потрібен ключ користувача, а криптографічні операції виконуються локально на вашому пристрої. Навіть якщо сервери Proton зламають, ці дані все одно мають бути в безпеці.
«Це важливо, тому що, здавалося б, нешкідлива інформація (наприклад, збережені URL-адреси, які багато інших менеджерів паролів не шифрують) може бути використана для створення дуже детального профілю про вас. Наприклад, якщо зловмисник побачить, що у вас збережено паролі для облікового запису Grindr чи фан-сайту Манґа, він дізнається багато про вас як про людину, навіть якщо фактично не матиме доступу до вашого облікового запису», — написав засновник і генеральний директор Proton Енді Єн.
Така модель безпеки «нульового знання» — той самий тип функції, який рекламували інші популярні менеджери паролів, зокрема 1Password і LastPass. Останній став жертвою серйозного витоку даних минулого року – після того, як хакери викрали його вихідний код і зашифровані сховища паролів, експерти з безпеки розкритикували відповідь компанії, а дослідник Джеремі Ґосні заявив, що «твердження LastPass про «нульове знання» є наглою брехнею».
Новий менеджер паролів компанії з’явився трохи більше ніж за рік після того, як Proton придбала SimpleLogin – інструмент, який дозволяє користувачам надсилати анонімні листи. Єн каже, що це придбання підвищило «можливості компанії щодо розробки менеджера паролів, не впливаючи на роботу інших служб Proton», і що це має допомогти зменшити ризики, пов’язані з використанням незахищеного менеджера паролів з асортиментом продуктів Proton.
Proton планує випустити свій менеджер паролів з відкритим вихідним кодом, а також пропонує до $10 000 винагороди для дослідників безпеки, які знайдуть вразливі місця в Proton Pass та інших його продуктах. Наразі програма доступна в бета-версії на настільних комп’ютерах, Android, iOS і як розширення браузера для Brave і Google Chrome, а незабаром з’явиться розширення для Firefox.