Как правильно организовать хранение паролей в Андроид?

Давайте пока о том как нельзя хранить пароли в Android. Первое что нельзя делать — хранить (сохранять) пароли в браузере и это касается не только мобильных устройств, но и пользователей персональных компьютеров. Также нельзя хранить пароли в текстовых файлах или заметках. Лучший способ хранение паролей Android — использование менеджеров паролей.

Ну а теперь поговорим о том как правильно организовать хранение паролей Адроид. Я расскажу вам как выбрать хранитель паролей для Андроид и покажу как скачать, настроить и использовать популярный и всеми полюбившийся бесплатный менеджер паролей на Андроид.

Вас также может заинтересовать статья « «, в которой мы рассказывали как с помощью приложения «Брандмауэр без рут» защитить мобильное устройство.

• Предисловие
• Хранилище паролей KeePassDroid
• Установка KeePassDroid
• Добавление новой записи
• Работа с паролями
• Редактирование записи
• Генератор сложных паролей
• Блокировка базы паролей
• Резервное копирование базы
• Изменение главного пароля
• Таймер очистки буфера
• Таймер блокировки базы

Почему именно KeePassDroid?

На сегодняшний день это самый надежный менеджер паролей. Недавний приложений для хранения паролей на Андроид показал, что большинство из них имеют большие проблемы и использование их небезопасно.

Как оказалась менеджеры паролей My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password хранят пароли в виде открытого текста, а в их коде можно найти ключи шифрования.

Вывод: хранение паролей Android с помощью приложения KeePass! Причем везде как на Андроид с помощью KeePassDroid так и на ПК с помощью KeePass.

Хранение паролей Android в KeePassDroid

KeePassDroid — маленькое бесплатное приложение для надежного хранения паролей и конфиденциальных данных в зашифрованном виде. Поддерживает работу с *.kdb базами версии KeePass 1.x/2.x и выше.

Установка KeePassDroid

Для начать необходимо скачать KeePassDroid. Переходим по ссылке на Google Play и нажимаем кнопку установить.

Приложение требует следующие разрешения. Соглашаемся и нажимаем «Принять».

После установки запускаем программу, нажав на кнопку «Открыть».

Также вы можете скачать KeePassDroid APK файл из источника, с официального сайта.

Примечание. Не в коем случае не качайте APK-файлы с варез-сайтов и форумов. По моему опыту могу сказать: половина из них заражены вредоносными программами.

Если у вас есть файл хранилища паролей, откройте его кнопкой «Открыть». Если вы в первый раз используете приложение, то тогда придется для начала создать базу данных паролей.

Откроется окно «Изменение пароля базы». Нужно придумать пароль, который будет защищать базу паролей от несанкционированного доступа (мастер-пароль).

Этот пароль должен быть уникальным и . Этот единственный пароль который вам придется запомнить. Только с его помощью вы сможете открывать свою базу паролей KeePass.

В будущем главный пароль можно будет изменить. Главное его не забыть!

Во второй строке следует повторить пароль.

Поле «Файл-ключ» можете не заполнять. Это пункт служит для того, чтобы открывать файл паролей с помощью как мастер-пароля, так и привязки к определенному (выбранному вами) файлу. Если выбранный вами файл отсутствует, злоумышленник не сможет открыть хранилище паролей.

После создания базы KeePass появится главное окно программы:

Добавление новой записи

Для удобства работы менеджер паролей KeePassDroid умеет хранить информацию о паролях в группах. По умолчанию программа создают две группы Email и Internet.

Вы можете изменить названия этих групп или вовсе удалить их. Ну и конечно же вы можете создавать собственные группы для удобства работы с паролями.

Для этого нужно нажать на кнопку «Новая группа» и ввести название новой группы.

Вы также можете изменять иконку группы.

В окне добавления записи есть несколько полей.

Ни одно из полей, кроме первого, не является обязательным.

• Название. У каждой записи о пароле должно быть название, по которому его можно будет опознать и найти в базе. В моем случае — почта Gmail.
• Логин. Имя пользователя, которое вместе с паролем служит для авторизации на сайте.
• Ссылка. Адрес веб-сайта, куда будет осуществляться вход.
• Пароль: Пароль для доступа к вашей учетной записи на сайтах. С правой стороны кнопка генератора паролей — удобного способа создания сложного пароля.
• Подтверждение. Повторный ввод пароля.
• Комментарий. В этом поле можно указать любую информацию касаемо учетной записи.

Примечание. Изменяя пароль в базе KeePassDroid, вы не изменяете его автоматически на сайте. KeePassDroid — безопасное хранилище паролей. Приложение лишь хранит ваши данные локально и ничего более.

После того как заполните нужные поля, нажмите «Сохранить» и ваш новый пароль появится в группе.

Работаем с паролями

Сохраненный в менеджере пароль может быть довольно длинным и сложным, запомнить такой пароль конечно нелегко, но к счастью, можно копировать пароль из базы в буфер обмена, и после этого вставлять в браузере на сайте.

Это делается просто. Открываем хранилище паролей и находим запись с нужным паролем. Тапаем (нажимаем) по кнопке меню программы.

После чего появится окно с несколькими пунктами. Нажмите на пункт поместить в буфер памяти логин или пароль.

Теперь откройте нужный сайт или приложение, тапните по соответствующему полю, а после по всплывающему слову «Вставить».

Редактирование записи

Пользователь может изменить пароль или другие данные учетной записи авторизации на сайте. Из соображений безопасности я рекомендую иногда менять пароли (хотя бы раз в год).

Нажимаем по группе и находим нужную запись.

После чего нажимаем «Правка», делаем изменения и жмем «Сохранить».

Генератор сложных паролей

Длинные пароли, состоящие из случайных символов разных множеств — надежное средство защиты от взлома, но на деле их не так уж и просто создать. Как правило пользователь для запоминания привносит в придумываемый им пароль свою логику. После чего пароль становится менее стойким. В рассматриваемом нами хранителе паролей есть свой генератор паролей, который помогает преодолеть эту проблему.

Открываем окно создания или редактирования записи. Нажимаем на кнопку с тремя точками рядом с полем для ввода пароля.

Появляется окно генератора паролей.

По умолчанию вам будет предложен 8-символьный пароль, но я рекомендую выбирать пароли посложнее, т,е подлиннее и с использованием специальных символов: верхний и нижний регистры букв и цифры, а также дефис и подчеркивание, что позволяет увеличить стойкость пароля.

«Быстрые кнопки» дают возможность выбора (6, 8, 12, 16 знаков). Вы также можете установить длину пароля вручную. Если сайт для которого вы заводите учетную запись не устанавливает специальных ограничений на длину пароля, то советую выбирать 20-символьный или более длинный пароль. В моем примере пароль имеет длину 28 знаков.

Щелкаем по кнопке «Создать пароль».

Если пароль вам по какой-то причине не нравится, можно щелкать по этой кнопке снова для повторного создания пароля.

В конце тапаем по кнопке «Принять».

Блокировка базы паролей

Зачем нужно блокировка базы?

Это необходимо в случаях если вы используя KeePassDroid, захотите прерваться, отойти и т.д. и на какое-то время вам придется оставить ваш телефон без присмотра. С точки зрения информационной безопасности это неоправданный риск. В таких случаях вы можете заблокировать базу, не прекращая работу приложения.

Делается это так: жмем по иконке замка в верхней части окна.

KeePassDroid возвращает нас ко входу в базу, где нужно снова ввести мастер-пароль.

Резервное копирование базы

База KeePassDroid — файл, который по дефолту имеет расширение.kdb. По умолчанию база находится в папке keepass. Вот полный адрес:

/mnt/sdcard/keepass

Важно. Расширение.kdb «выдает» базу паролей. Злоумышленнику довольно легко об этом догадаться. Если он даже на короткое время получит доступ к вашему телефону, он может скопировать или отправить по почте себе файл паролей, чтобы в будущем постараться узнать главный пароль и заполучить ваши данные. Лучше если злоумышленник не будет знать, где именно хранится ваш файл паролей. Поэтому я рекомендую:

• Переименовать файл.kdb, дав ему не связанное ни с чем по смыслу название и расширение.
• Переместить файл хранилища паролей из папки в которой он хранится по умолчанию в другую папку, где он не будет привлекать внимание. (Не храните файл паролей в папке которая может быть удаленна!).

Для этого можно использовать любой файловый менеджер или сделать это подключив телефон к компьютер.

Чтобы сделать резервную копию паролей, достаточно скопировать файл.kdb на компьютер (флешку или другой носитель). Помните, что файл можно открыть и в программе KeePass на разных операционных системах. О том как использовать KeePass на Windows вы можете узнать перейдя по ссылке в начале статьи.

Изменение главного пароля

Вы можете изменить главный пароль в любое время. Я рекомендую делать это как можно чаще, даже если пароль не был скомпрометирован.

Открываем базу паролей (как обычно).

Нажимаем по значку вызова меню в правой верхней части экрана.

В появившемся меню выбираем «Пароль базы».

Представим себе следующую ситуацию. Мы находим смартфон под управлением Android 4.1–4.4 (ну или CyanogenMod 10–11) и вместо того, чтобы вернуть его хозяину, решаем оставить себе и вытащить из него всю конфиденциальную информацию, которую только сможем. Все это мы попытаемся сделать без специализированных инструментов вроде различных систем для прямого снятия дампа с NAND-памяти или хардварных устройств для снятия S-ON и так, чтобы владелец не узнал о том, что мы делаем, и не смог удаленно отыскать или заблокировать устройство. Сразу оговорюсь, что все это вовсе не руководство к действию, а способ исследовать безопасность смартфонов и дать информацию тем, кто хочет уберечь свои данные.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Первоочередные действия

Итак, нам в руки попал чужой смартфон. Не важно, каким образом, важно, что он уже у нас. Первое, что мы должны сделать, - это как можно быстрее отвязать его от сотовой сети, то есть, следуя завету гопников, вынуть и выкинуть SIM-карту. Однако делать это я бы рекомендовал только в том случае, если SIM-карту удастся вынуть, не выключая смартфон, то есть либо осторожно приподняв батарею, либо через боковой слот, если это смартфон с несъемной батареей (Nexus 4/5, например). Во всех остальных случаях лучше ограничиться включением режима полета, так как вполне возможно, что в Android активирован режим шифрования пользовательских данных и после отключения смартфон будет заблокирован до ввода ключа шифрования.

Также ни в коем случае нельзя подключать смартфон к какой бы то ни было сети Wi-Fi, так как, возможно, установленное на нем ПО для отслеживания (а в Android 4.4.1 оно уже встроено) сразу начнет свою работу и можно нарваться на «случайную» встречу с владельцем и его друзьями (о полиции можно не беспокоиться, она такого пострадавшего пошлет). Фронтальную камеру я бы на всякий случай чем-нибудь заклеил, возможно, она делает снимки уже сейчас и они будут отправлены при первом удобном случае.

Экран блокировки

Теперь, когда мы обезопасили свою персону, можно начать раскопки. Первое препятствие, которое нам придется обойти, - это экран блокировки. В 95% случаев он не будет иметь защиты, однако об остальных пяти процентах мы забывать не можем.

Защищенный экран блокировки в Android может быть трех основных типов. Это четырехзначный пин-код, графический ключ или снимок лица. На разблокировку первых двух дается в общей сложности двадцать попыток, разделенных по пять штук с «минутой отдыха» между ними. На разблокировку по снимку лица есть несколько попыток, после которых смартфон переключается на пин-код. Во всех трех случаях после провала всех попыток смартфон блокируется и спрашивает пароль Google.

Наша задача - попытаться обойти экран блокировки так, чтобы не скатиться к паролю Google, подобрать который уже точно не удастся. Самый простой способ это сделать - используя подключение по USB и ADB:

$ adb shell rm /data/system/gesture.key

Либо так:

$ adb shell $ cd /data/data/com.android.providers.settings/databases $ sqlite3 settings.db > update system set value=0 where name="lock_pattern_autolock"; > update system set value=0 where name="lockscreen.lockedoutpermanently"; > .quit

Однако у этого метода есть две проблемы. Он требует прав root и не сработает в Android 4.3 и выше, так как для доступа к ADB нужно подтверждение со стороны устройства, что в условиях залоченного экрана сделать невозможно. Более того, доступ по ADB может быть отключен в настройках.

Мы можем спуститься на уровень ниже и для удаления файла с ключом блокировки использовать консоли восстановления. Для этого достаточно перезагрузиться в консоль восстановления (выключение + включение с зажатой клавишей увеличения громкости) и прошить следующий файл . Он содержит скрипт, который удалит /data/system/gesture.key и снимет блокировку, не нарушая работу текущей прошивки.

Проблема этого подхода - зависимость от кастомной консоли восстановления. Стоковая консоль просто не примет файл как подписанный неверной цифровой подписью. Кроме того, в случае, если активировано шифрование данных, во время следующей загрузки телефон будет заблокирован и его спасет только полное удаление всех данных, что идет вразрез с нашей задачей.

Еще более низкий уровень - это fastboot, то есть манипуляция устройством на уровне загрузчика. Красота этого метода в том, что разблокированный загрузчик позволяет делать с устройством что угодно, включая загрузку и установку кастомной консоли восстановления. Для этого достаточно выключить смартфон (опять же делаем скидку на шифрование данных) и включить его в режиме загрузчика с помощью кнопки питания + «громкость вниз». После этого к устройству можно будет подключиться с помощью fastboot-клиента:

$ fastboot devices

Теперь скачиваем «сырой» образ кастомной консоли восстановления (с расширением img) для «нашего» устройства и пытаемся его загрузить без установки:

$ fastboot boot cwm-recovery.img

Если загрузчик девайса разлочен, смартфон перезагрузится в консоль, через которую можно будет активировать режим ADB, залить с его помощью «обновление», ссылка на которое приведена выше, и прошить его. Далее достаточно будет перезагрузиться, чтобы получить полный доступ к смартфону. Кстати, если ты стал обладателем одного из Nexus-устройств, его загрузчик можно легко разблокировать вот так:

$ fastboot oem unlock

Но это просто информация к размышлению, так как операция разблокировки автоматически сбрасывает устройство до заводских настроек.

Теперь о том, что делать, если все эти способы не сработали. В этом случае можно попытаться найти баг в самом экране блокировки. Удивительно, но, несмотря на отсутствие таковых в чистом Android, они довольно часто находятся в экранах блокировок фирменных прошивок от производителя. Например, в Galaxy Note 2 и Galaxy S 3 на базе Android 4.1.2 когда-то была найдена смешная ошибка, которая позволяла на короткое время получить доступ к рабочему столу, просто нажав кнопку «Экстренный вызов», затем кнопку ICE (слева внизу в номеронабирателе) и, наконец, кнопку «Домой». После этого буквально на полсекунды появлялся рабочий стол, чего вполне хватало, чтобы убрать блокировку.

Еще более тупой баг был найден в Xperia Z: можно было набрать на экстренном номеронабирателе код для входа в инженерное меню (# #7378423## ), с помощью него попасть в меню NFC Diag Test и далее выйти на рабочий стол тем же нажатием кнопки «Домой». Мне очень трудно представить, как могли появиться такие дикие баги, но они есть.

Что касается обхода графического ключа, тут все довольно просто. Он может быть отключен таким же способом, как и пин-код, но здесь есть еще две дополнительные возможности. Во-первых, даже несмотря на внушительное количество возможных вариантов ключей, люди в силу своей психологии чаще всего выбирают ключ, похожий на одну из букв латинского алфавита, то есть те самые Z, U, G, цифра 7 и так далее, что сводит количество возможностей к парам десятков. Во-вторых, при вводе ключа палец оставляет на экране совсем не иллюзорный след, который, даже смазанный, довольно легко угадывается. Впрочем, последний минус может быть легко нивелирован защитной матовой пленкой, на которой следы просто не остаются.

Ну и последнее, о чем хотелось бы сказать, - это так называемый фейсконтроль. Это самый топорный вариант блокировки, который, с одной стороны, очень легко обойти, просто показав смартфону фотку владельца, но с другой - довольно трудно, так как, не зная даже имени владельца, раздобыть его фотографию не представляется возможным. Хотя попробовать сфоткать самого себя, конечно, стоит, вполне возможно, что ты похож на предыдущего владельца.

Внутри

Допустим, что мы обошли экран блокировки. Теперь наши действия будут направлены на то, чтобы вытащить как можно больше информации со смартфона. Сразу оговорюсь, что пароль Google, сервисов вроде Facebook, Twitter и номера кредитных карт нам не достанутся. Ни тех, ни других на смартфоне просто нет; вместо паролей используются аутентификационные токены, которые дают доступ к сервису только с данного смартфона, а вторые хранятся на серверах соответствующих служб (Google Play, PayPal), а вместо них используются те же токены.

Более того, не удастся даже купить что-то в Google Play, так как его последние версии принудительно запрашивают пароль Google при каждой покупке. Эту функцию, кстати, можно отключить, но даже в этом случае смысл покупок будет потерян, так как весь контент будет привязан к чужому аккаунту.

С другой стороны, мы вполне можем если не угнать аккаунты полностью, то хотя бы почитать почту, Facebook и другую личную инфу пользователя, а там уже может оказаться что-то интересное. Особый профит в этом случае даст Gmail, который можно будет использовать для того, чтобы восстановить аккаунт к другим сервисам. А если пользователь при этом еще не успел сходить в салон связи, чтобы заблокировать SIM-карту, то можно будет подтвердить идентичность и с помощью номера телефона. Вот только заниматься этим стоит лишь после отключения всех защитных механизмов (мы же не хотим, чтобы нас отследили с помощью антивора).

Удаляем антивор

Все приложения для отслеживания смартфона под управлением Android можно разделить на три группы: «трэш», «игрушки» и «потянет». Первые отличаются тем, что написаны студентами техникумов за три часа и, по сути, представляют собой самые обычные приложения, умеющие снимать данные с датчика положения и отправлять их непонятно куда. Особая прелесть таких софтин в том, что их очень просто обнаружить и удалить. Фактически достаточно пройтись по списку установленного софта, вбить в поиск непонятные названия, выявить антиворы и удалить их. Именно это и нужно сделать на первом этапе.

Второй тип приложений - это уже что-то претендующее на серьезный инструмент, но на деле им не являющееся. Обычно такой софт умеет не только отсылать координаты на удаленный сервер, но и прятать себя, а также защищаться от удаления. Вторая функция обычно реализуется с помощью создания приложения в виде сервиса без графического интерфейса. В этом случае его иконка не будет видна в списке приложений, но само приложение, конечно же, будет висеть в фоне, что легко определить с помощью любого менеджера процессов.

Защита от удаления в подобном «софте» обычно реализована через прописывание себя в администраторы устройства, поэтому второе действие, которое нужно сделать, - это пойти в «Настройки -> Безопасность -> Администраторы устройства» и просто снять галочки со всех перечисленных там приложений. Система должна запросить пин-код или пароль, но если на экране блокировки его уже нет, то доступ будет открыт сразу. Смешно, но гугловский антивор, фактически встроенный в ОС, отключается точно таким же образом.

Наконец, третий тип приложений, - это антиворы, программированием которых занимались люди. Основное отличие подобных приложений в том, что кроме маскировки они также умеют прописывать себя в раздел /system (если есть root), из-за чего удалить их стандартными средствами становится невозможно. Беда только в том, что в списке процессов они по-прежнему будут видны, а чтобы их отключить, достаточно перейти в «Настройки -> Приложения -> Все», затем ткнуть по нужному приложению и нажать кнопку «Отключить».

Вот и вся защита. В этом списке также должны быть и нормальные приложения, реализованные в виде модуля ядра или хотя бы нативного Linux-приложения, которое ни один стандартный менеджер процессов не покажет, но я почему-то таких еще не видел. С другой стороны, команды ps и lsmod все равно бы их выдали (если это только не правильный бэкдор), так что уровень скрытности повысился бы не сильно.

Root и дамп памяти

Следующий шаг - снятие дампа внутренней памяти. Мы не можем быть уверены, что в телефоне не осталось никаких закладок, особенно если это фирменная прошивка от HTC и Samsung, поэтому перед включением сети лучше сохранить все его данные на нашем жестком диске. Иначе они могут быть удалены в результате удаленного дампа.

Для этого в обязательном порядке нужны права root (если, конечно, телефон еще не рутован). Как их получить, тема отдельной статьи, тем более что для каждого смартфона свои инструкции. Проще всего найти их на тематическом форуме и выполнить, подключив смартфон к компу по USB. В некоторых случаях рутинг потребует перезагрузки, поэтому лучше сразу убедиться, не зашифрованы ли данные смартфона (Настройки -> Безопасность -> Шифрование), иначе после ребута мы потеряем к ним доступ.

Когда root будет получен, просто копируем файлы на жесткий диск с помощью ADB. Нас интересуют только разделы /data и /sdcard , поэтому делаем так (инструкции для Linux):

$ adb root $ adb pull /data $ mkdir sdcard && cd sdcard $ adb pull /sdcard

Все файлы будут получены в текущий каталог. При этом следует учесть, что если в смартфоне нет слота для SD-карты, то содержимое виртуальной карты памяти будет находиться в разделе /data и вторая команда просто не понадобится.

Что дальше делать с этими файлами, покажет только фантазия. В первую очередь следует обратить внимание на содержимое /data/data , там хранятся все приватные настройки всех установленных приложений (в том числе системных). Форматы хранения этих данных могут быть совершенно различны, но общей практикой считается хранение в традиционных для Android базах данных SQLite3. Обычно они располагаются по примерно таким путям:

/data/data/com.examble.bla-bla/setting.db

Найти их все можно с помощью команды find в Linux, запущенной в первоначальном каталоге:

$ find . -name \*.db

В них могут содержаться не только личные данные, но и пароли (встроенный браузер хранит их именно так, причем в открытом виде). Достаточно лишь скачать любой графический менеджер баз данных SQLite3 и вбить в его поле поиска строку password.

Исследование приложений

Теперь мы наконец можем отключить режим полета, чтобы смартфон смог связаться с сервисами гугла и другими сайтами. SIM-карты в нем уже не должно быть, а определение местоположения (в том числе по IP) можно отключить в «Настройки -> Местоположение». После этого отследить нас уже не получится.

Что делать дальше? Пройтись по переписке в Gmail, отыскать пароли. Особо щепетильные люди даже создают специальную папочку для писем с паролями и конфиденциальной информацией. Также можно попробовать запросить смену пароля на сервисах с подтверждением с помощью email, но в случае Google, Facebook, PayPal и другими нормальными сервисами это сработает только при наличии номера телефона, для чего придется вернуть SIM-карту на место.

В общем и целом здесь все стандартно. У нас есть email, возможно, номер телефона, но нет паролей от сервисов. Всего этого должно быть достаточно для угона многих аккаунтов, но нужно это или нет - вопрос более серьезный. Тот же аккаунт PayPal или WebMoney восстановить чрезвычайно трудно даже самому владельцу, и полученной информации здесь явно будет недостаточно. Смысл угонять аккаунты от «Одноклассников» и других подобных сайтов очень сомнительный.

Очистить раздел /system от возможных закладок можно, просто переустановив прошивку. Причем использовать лучше неофициальную и прошивать через стандартную консоль восстановления. В этом случае антивор не сможет сделать бэкап самого себя с помощью функций кастомной консоли.

Выводы

Я ни в коем случае не призываю поступать так, как описано в этой статье. Приведенная в ней информация, наоборот, предназначена для людей, которые хотят защитить свои данные. И вот здесь они могут сделать для себя несколько очевидных выводов.

• Первый: для защиты информации на смартфоне достаточно всего трех простых механизмов, уже встроенных в смартфон: пароль на экране блокировки, шифрование данных и отключенный ADB. Активированные все вместе, они полностью отрежут все пути доступа к устройству.
• Второй: иметь на смартфоне антивор очень хорошая идея, но не стоит полагаться на него на 100%. Лучшее, что он может дать, - это возможность удалить данные, если попадется не особо умный вор.
• Ну и третье, самое очевидное: сразу после потери смартфона необходимо отозвать пароль Google, поменять пароли на всех сервисах и заблокировать SIM-карту.

Я уже много лет пользуюсь замечательным сервисом хранения паролей LastPass и считаю, что он является лучшим в своем роде. Однако для платформы Android этот сервис предлагает только платный вариант использования, что подходит далеко не всем. Поэтому в этой статье мы рассмотрим, как вытащить свои пароли из LastPass, перенести их в Android и организовать их надёжное хранение и удобное использование.

1. Экспорт паролей из LastPass

Извлечь свои пароли из этого сервиса очень просто, процесс займёт всего несколько кликов. Для этого необходимо зайти в веб-интерфейс сервиса и в главном меню выбрать пункт «Экспорт». После этого необходимо указать имя файла и место его сохранения на своём компьютере.

2. Конвертация паролей LastPass в пароли KeePass

Для работы с паролями на мобильном устройстве будем использовать программу . Она имеет клиенты практически для всех платформ, хорошо зарекомендовала себя с точки зрения безопасности, удобна и бесплатна. Но прежде чем перенести свои пароли на мобильное устройство, их необходимо преобразовать в понятный для этой программы вид. Эта возможность существует в десктопной версии KeePass.

Установите KeePass на свой компьютер и создайте новую базу паролей, указав в качестве места размещения одну из папок в Dropbox. Затем импортируйте файл с паролями LastPass в созданную вами базу паролей.

3. Keepass2Android

После того, как ваши пароли оказались в понятном для KeePass виде, можно уже перенести их непосредственно в мобильное устройство. Для этого лучше всего использовать мобильный клиент Keepass2Android, который умеет синхронизировать базу паролей через Dropbox. Установите эту программу, а затем откройте созданную вами ранее базу паролей.

4. Автоматическое заполнение паролей

Одна из самых удобных функций LastPass - это возможность автоматического заполнения учётных данных на сохранённых сайтах. В Keepass2Android тоже есть подобная функция, хотя реализована она немного по-другому. Программа имеет специальную клавиатуру, с помощью которой и вводятся пароли. Происходит это следующим образом.

1. Вы открываете в браузере (поддерживаются практически все обозреватели для Android) страницу авторизации.
2. С помощью меню «Отправить» переправляете эту страницу в Keepass2Android. Программа находит подходящий для этой страницы пароль в своей базе.
3. Затем перед вами появляется предложение выбрать клавиатуру. Выбираем вариант Keepass2Android.
4. Появляется специальная клавиатура, на которой с помощью специальных клавиш можно в один клик ввести в нужные поля ваш логин и пароль для открытой страницы.

Теперь вы будете иметь на своём мобильном гаджете хорошо защищённую и синхронизируемую базу данных, содержащую все ваши пароли. Кроме этого, мы получаем возможность удобного ввода паролей с помощью специальной клавиатуры, что позволяет очень быстро и удобно входить на нужные вам сайты.

Если вы забыли свой пасс от сети и из-за этого не можете подключить к ней другие устройства, а доступа к компьютеру нет – вам помогут наши инструкции о том, как посмотреть пароль от WiFi на Андроид.

С их помощью вы сможете узнать всю необходимую информацию, имея при себе только смартфон ли планшет под управлением Android OS.

Метод 1. Просмотр с помощью файловой системы

Самый быстрый способ узнать кодовое слово – это посмотреть его с используя систему мобильного гаджета.

Обратите внимание, что выполнить этот способ можно лишь в том случае, если смартфон раньше был подключен к определенному маршрутизатору.

Андроид работает по тому же принципу, что и системы Unix. Основа построения всех функций системы – это отдельные конфигурационные показатели, которые содержат в себе необходимые настройки операционной системы.

Все они также хранятся в определённых опциях конфигураций. Просмотреть их может любой пользователь, на телефоне которого установлены права root.

В версиях ОС без прав суперпользователя юзеры не смогут просматривать системные конфигурации. Следуйте инструкции:

• Зайдите в проводник. Рекомендуется использовать Total File Commander или ES File Explorer, так как эти программы способны отобразить все типы данных, которые есть в памяти устройства;
• В главном окне проводника выберите «Встроенная память телефона» (не SD-карту);
• Перейдите в директорию data/misc/wifi/;
• В открывшейся папке найдите wpa_supplicant.conf. В более ранних версиях ОС Андроид он может иметь названия, состоящие только из цифр, поэтому просто откройте несколько объектов с расширением.CONF, пока не найдете документ с нужным содержимым.

Откройте найденный файл. Его содержимое появится в консоли будет выглядеть следующим образом:

В нем файле хранится имя сети и все необходимые для соединения параметры.

В строке «PSK» указано значение пароля. В этом случае, кодовым словом для соединения с Wi-Fi сетью WLAN_P6 будет «abcdoorioo».

В нем будут указаны параметры для всех когда-либо подключённых к телефону маршрутизаторов.

Метод 2. Использование браузера

Данный способ не требует наличия на смарт-устройстве прав суперпользователя.

Для выполнения задачи понадобится только браузер и соединение с глобальной сетью.

Этот метод аналогичен тому, как можно посмотреть данные Wi-Fi на обычном компьютере.

Следуйте инструкции:

• Подключитесь к маршрутизатору, доступ к которому нужно посмотреть;
• Теперь откройте обозреватель. Рекомендуем использовать Chrome, Opera или Firefox. Эти браузеры способны без проблем отобразить все особенности окна настроек разных моделей Wi-Fi;
• В адресной строчке введите адрес локального хоста 127.0.0.1 или 127.0.0.0. Разные модели могут использовать любой из двух адресов, поэтому вводите их поочередно пока в браузере не появится окошко для авторизации (сроки «логин» и «пароль»);
• Введите логин – admin и пароль – admin. Если пара данных для входа не подошла, посмотрите нужное значение на нижней панели маршрутизатора и повторите попытку;
• После успешной авторизации в браузере откроется окно настроек. Зайдите во вкладку «Безопасность». В ней вы сможете просмотреть ключ и изменить его.

Заметьте, открытые в браузере настройки помогут вам изменить существующий ключ и ряд других настроек маршрутизатора только с помощью смартфона или планшета.

Метод 3. Использование сторонних программ

Посмотреть конфигурацию отдельных сетей можно используя сторонние программы.

Они позволяют не искать системные файлы самостоятельно. Вся нужная информация о нем будет представлена в приложении и удобно оформлена в форме таблицы.

WiFi Key Recovery - одна из таких утилит. В главном окне приложения отображается информация об имени производителя смартфона и точное время последнего обновления конфигурационных файлов.

Утилита открывает информацию о Wi-Fi автоматически. Пользователь может найти конкретное подключение с помощью текстового поля для поиска.

Достаточно просто ввести имя необходимой сети, чтобы она поднялась на первое место в списке подключений.

Каждое подключение разделено на отдельные блоки, каждый из которых имеет следующие параметры:

• SSID – имя используемого ранее маршрутизатора;
• PSK – искомая строка пароля;
• KEY MGMT – наименование типа шифрования, которое используется в конкретной сети.

Просмотр ключа от Wi-Fi на Андроид позволит вам быстро узнать информацию для входа в сеть маршрутизатора.

Таким образом, вы сможете подключить другие гаджеты, не используя для просмотра ключа компьютер.

Тематические видеоролики:

Привет Хабр! Я молодой разработчик, специализирующийся на Android-разработке и информационной безопасности. Не так давно я задался вопросом: каким образом Google Chrome хранит сохраненные пароли пользователей? Анализируя информацию из сети и файлы самого хрома (особенно информативной была эта статья), я обнаружил определенные сходства и отличия в реализации сохранения паролей на разных платформах, и для демонстрации написал приложения для извлечения паролей из Android версии браузера.

Как это работает?

Как мы можем знать из разных публикаций в сети на эту тему, Google Chrome на ПК хранит пароли своих пользователей в следующей директории:

«C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\» в файле "Login Data ".

Данный файл является базой данных SQLite, и его вполне можно открыть и посмотреть. В таблице logins мы можем видеть следующие, интересующие нас поля: origin_url (адрес сайта), username_value (логин), password_value (пароль). Пароль представлен байтовым массивом, и зашифрован через машинный ключ, индивидуальный для каждой системы. Подробнее можно узнать из этой статьи. Таким образом, какая-никакая защита в Windows клиенте присутствует.

Android

Но так как я больше увлекаюсь Android"ом, то мое внимание забрал на себя, соответственно, Android-клиент браузера.

«Расковыряв» пакет Google Chrome (com.android.chrome ), я обнаружил, что его структура очень напоминает структуру ПК-клиента, и не составило труда найти точно такую же базу данных, отвечающую за хранение паролей пользователя. Полный путь к БД следующий: "/data/data/com.android.chrome/app_chrome/Default/Login Data" . В целом, эта база данных очень похожа на свою «старшую сестру» из ПК-версии, имея лишь одно, но очень значительное отличие - пароли тут хранятся в открытом виде. Возникает вопрос: можно ли программно извлечь пароли из базы? Ответ оказался весьма очевидным - да, если у вашего приложения есть root-права.

Реализация

Для большей наглядности было решено сделать свой инструмент для извлечения паролей из базы данных браузера.

Если описать его работу в двух словах, то оно работает так:

• Получает root.
• Копирует базу данных Chrome в свою директорию.
• С помощью chmod получает доступ к копии БД.
• Открывает БД, и извлекает информацию о логинах и паролях.

Приложение было размещено в Google Play .

Вывод

Как вывод из проделанной работы, можно сказать, что при наличии root-прав, вытащить базу паролей из браузера и отправить ее на свой сервер - задача вполне решаемая, и этот факт должен заставлять задуматься над тем, стоит ли доверять какому-либо приложению права суперпользователя.

Надеюсь, эта статья была информативной. Спасибо за внимание!