ИНВЕСТИЦИОННЫЙ ПОРТАЛ ВОЛГОГРАДСКОЙ ОБЛАСТИ

Зачем нужен мастер-пароль? Советы по созданию мастер-пароля от Роскачества

Центр цифровой экспертизы Роскачества провел исследование наиболее популярных менеджеров паролей для платформ iOS и Android. Эти приложения позволяют сохранять в безопасности пользовательские пароли, персональные и платежные данные.

Всего Роскачество протестировало 24 приложения в российском сегменте магазинов App Store и Google Play (10 для iOS и 14 для Android). Полностью исследование можно прочитать ЗДЕСЬ.

Как придумать длинный пароль? Как создать надежный пароль, который легко запомнить? Для чего нужна программа для генерации паролей? Поможет ли приложении для генерации сложного пароля? На эти вопросы отвечают эксперты Центра цифровой экспертизы.

Что такое мастер-пароль и зачем он нужен?

В числе 64 функциональных критериев, по которым проводился анализ приложений, одним из ключевых была работа генератора паролей.

Сгенерированные при помощи такой функции пароли – оптимальное решение проблемы слабых и повторяющихся на разных сайтах паролей. Сегодня такой генератор – это обязательный компонент практически каждого менеджера паролей.

Вместе с тем у каждой программы для генерации паролей есть уязвимое место – мастер-пароль, открывающий путь ко всем остальным. Его придется выучить наизусть.

Мастер-пароль – это такой «ключ» от сейфа, в котором лежат все ваши остальные пароли. Его необходимо запомнить для того, чтобы не пришлось держать в голове десятки или даже сотни других паролей, которые после ввода мастер-пароля можно будет подставлять автоматически. Соответственно, важно позаботиться о том, чтобы мастер-пароль был надежным и защищенным.

Каким должен быть надежный пароль?

Характеристики надежного пароля, который подойдет, чтобы стать мастер-паролем:

• 12 и более символов.

• Содержит заглавные и строчные буквы с добавлением цифр и специальных символов (тире, вопросительный знак и пр.).

• Не связан с вашими персональными данными, которые можно угадать или узнать в соцсетях (например, дата рождения – своя или родственников, телефон, фамилия или имя в разных интерпретациях и пр.).

Чем более длинный и сложный пароль вы выберете, тем меньше возможность его взломать методом автоматического перебора (брутфорс). Добавление каждого следующего уровня сложности (количество символов и их разнообразие) на порядки усложняет задачу хакеру. Генерация сложных паролей, которые длиннее 12 символов и в которых используются все четыре разных типа символов, делает взлом маловероятным.

Как создать надежный пароль который легко запомнить

Есть разные способы и мнемотехники, чтобы запомнить длинный сложный пароль. Например, такая: вспомните слова своей любимой песни, которые вы знаете наизусть, и запишите первые буквы одного из куплетов или припева. Замените буквы ударных слов на заглавные и добавьте несколько произвольных цифр. Создание мастер-пароля высокого уровня сложности закончено! Аналогичным образом можно поступить с любимыми стихами или цитатами.

Можно ли создать длинный пароль с помощью приложения?

В самих же генераторах есть возможность придумать длинный пароль. Например, в приложении RoboForm можно задать длину вплоть до 512 символов (такой пароль взломать перебором невозможно, для этого потребуется время, сопоставимое с целыми эпохами), в Bitwarden можно создать 120-символьный пароль. В Kaspersky, 1Password и Enpass длина составляет 99 символов, что также невероятно много.

Мы рекомендуем сгенерировать пароль 12–20 символов с использованием чисел, букв разного регистра и спецсимволов.

В ходе исследования Роскачества по итогам анализа генераторов паролей почти все приложения получили максимальный балл.

Лучшими с точки зрения генерации сложных паролей были признаны RoboForm и Dashlane на iOS, на Android они также получили очень высокие оценки, но самый функциональный генератор на этой платформе по итогу у PasswordSafe. Полностью исследование можно прочитать ЗДЕСЬ.

Использование Мастер-пароля для защиты сохранённых имён пользователя и паролей

Мастер-пароль заменяется на Основной пароль. Firefox удаляет из браузера терминологию, которая была определена как уничижительная или разобщающая. Узнайте больше, почему мы производим это изменение.

Firefox может сохранять имена пользователей и пароли, которые Вы используете для доступа к онлайн-услугам, например, сайтам банков и электронной почте. На общих компьютерах лучше пользоваться основным паролем.

Несколько устройств/профилей: Основные пароли устанавливаются локально и не синхронизируются между профилями и устройствами. Если вы используете больше одного устройства или профиля, используйте отдельные основные пароли.

Важно: После того, как Вы определили и установили основной пароль, он будет запрашиваться для каждой сессии Firefox, когда Firefox должен будет получить доступ к вашим сохранённым паролям. Это также касается случаев, когда вы хотите добавить, удалить или отобразить пароль.

По умолчанию Firefox не использует основные пароли (ранее известный как мастер-пароль) для защиты сохранённых имён пользователя и паролей. Чтобы установить основной пароль:

1. Щёлкните по кнопке меню , чтобы открыть панель меню.
2. Щёлкните .

3. Щёлкните по меню Firefox Lockwise (три точки), затем нажмите .

   • В меню Настройки Firefox панели перейдите к разделу
     Логины и Пароли.

4. Установите галочку рядом с Использовать основной пароль, чтобы открыть окно Сменить основной пароль. & * ( ).
5. Вы должны также убедиться, что определили свой пароль таким образом, что вам его будет запомнить легко, а другим будет трудно угадать. Поступив таким образом, вы будете уверены, что вы и только вы можете получить доступ к этой защищённой информации. Для дополнительной информации о выборе паролей прочитайте статью Выбор безопасного пароля для защиты вашей личности.
6. Введите пароль второй раз, чтобы подтвердить, что вы ввели его правильно.

7. Чтобы установить основной пароль нажмите OK.
8. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.

Если вы решили, что вам не нужен больше ваш основной пароль, вы можете в любой момент его удалить:

Важно: Без установленного основного пароля, любой кто имеет доступ к вашему компьютеру, может просматривать пароли, сохранённые в Firefox.

1. Щёлкните по кнопке меню , чтобы открыть панель меню.
2. Щёлкните .

3. Щёлкните по меню Firefox Lockwise (три точки), затем нажмите .

   • В меню Настройки Firefox панели перейдите к разделу Логины и Пароли.
4. Снимите галочку рядом с Использовать основной пароль.
5. Введите текущий пароль, чтобы подтвердить право собственности на аккаунт.
6. Щёлкните Удалить.
7. Щёлкните OK в появившемся диалоговом окне для подтверждения его удаления.
8. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.

1. Щёлкните по кнопке меню и выберите НастройкиНастройки.
2. Выберите панель .
3. Снимите галочку «Использовать мастер-пароль». Откроется диалоговое окно Удаление мастер-пароля.
4. Введите текущий мастер-пароль, чтобы подтвердить, что вам разрешено его удалить.
5. Нажмите Удалить.
6. Нажмите OK в диалоговом окне, чтобы подтвердить его удаление.
7. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.

Вы также можете в любой момент сменить ваш основной пароль:

1. Щёлкните по кнопке меню , чтобы открыть панель меню.
2. Щёлкните .

3. Щёлкните по меню Firefox Lockwise (три точки), затем нажмите .

   • В меню Настройки Firefox панели перейдите к разделу Логины и Пароли.
4. Щёлкните Сменить основной пароль.
5. Введите текущий пароль, чтобы подтвердить право собственности на аккаунт.
6. Дважды введите новый основной пароль.
   • Если оставить два поля пустыми, ваш основной пароль будет удалён.
7. Чтобы принять изменённый основной пароль, нажмите ОК.
8. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.

1. Щёлкните по кнопке меню и выберите НастройкиНастройки.
2. Выберите панель .
3. Нажмите Сменить мастер-пароль. Откроется диалоговое окно Смена мастер-пароля.
4. Введите текущий мастер-пароль, чтобы подтвердить, что вам разрешено его сменить.
5. Введите новый мастер-пароль дважды.
   • Если оставить оба поля пустыми, то мастер-пароль будет удалён.
6. Подтвердите смену мастер-пароля нажав ОК.
7. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.

Статья основана на информации с Master password (mozillaZine KB)

Я забыл свой Мастер Пароль. Что делать?

Мастер-пароль это пароль, созданный Вами при установке и настройке программы Sticky Password. Он разблокирует закодированную БД и предоставляет доступ к сохраненным в Sticky Password данным. Ваш мастер-пароль нигде не хранится – мы не можем Вам его послать или обновить.

Ваш мастер-пароль

При вводе мастер-пароля обратите внимание на следующие факторы. Возможно, это поможет:

• это пароль, который Вы создали при установке Sticky Password
• пароль нужно вводить с учетом регистра символов

Удостоверьтесь в правильности настройки клавиатуры. Проверьте клавишы CapsLock, NumLock и любые другие настройки, которые могли повлиять на набираемые символы. Для того, чтобы видеть, какие символы Вы используете при вводе мастер-пароля, используйте иконку с нарисованным глазом. Она находится справа в поле ввода.

Возможно ли восстановить мастер-пароль?

У нас нет доступа к Вашему мастер-паролю. В целях безопасности он нигде не хранится, и именно поэтому восстановление забытого мастер-пароля невозможно.

Если Вы забыли Ваш мастер-пароль, Вы не сможете извлечь регистрационные данные и пароли из закодированной БД или получить доступ к Sticky Password. Вам будет необходимо сбросить данные StickyAccount и переустановить Sticky Password на всех Ваших устройствах:

1. Сбросить данные StickyAccount

   Ваш мастер-пароль защищает доступ к StickyAccount, который хранит информацию о лицензии программы, списке доверенных устройств и закодированных облачных резервных копиях данных (если вы пользуетесь данной функцией). Именно поэтому Вам необходиме сбросить данные StickyAccount.

   Для сброса данных StickyAccount кликните на ссылку ниже, при этом Вас попросят ввести Ваш StickyID (адрес эл.почты, который был указан при регистрации). Затем Вы получить письмо со специальным кодом безопасности, который Вы должны будете ввести для подтверждения личных данных, и запрос сброса данных StickyAccount.

   Сбросить мой StickyAccount *

   * Внимание: Сброс данных StickyAccount и БД приведет к удалению всех данных Sticky Password, связанных с этим StickyID. Удаленные данные восстановлению не подлежат. Лицензия продукта будет распространяться на новый StickyAccount, но только в случае сохранения прежнего адреса эл.почты (StickyID).

2. Переустановить Sticky Password на основном устройстве

   После сброса данных StickyAccount:

   • удалите приложение Sticky Password с основного устройста не сохраняя данные (см.ниже)
   • переустановите приложение и СОЗДАЙТЕ НОВЫЙ StickyAccount, используя тот же адрес эл.почты, который у Вас был до этого. В этом случае действие лицензии программы будет перенесено на новый StickyAccount. На этом же этапе Вам будет предложено создать новую БД с новым мастер-паролем.

3. Переустановите Sticky Password на всех дополнительных устройствах

   Как только Вы переустановили Sticky Password на основном устройстве, тоже следует проделать с дополнительными устройствами:

   • удалите приложение Sticky Password со всех других устройстве не сохраняя данные (см.ниже)
   • переустановите приложение и СОЕДИНИТЕ С СУЩЕСТВУЮЩИМ StickyAccount, используя тот же адрес эл.почты (StickyID)

Как удалить приложение с вашего устройства без сохранения данных

• Windows — при удалении приложения нажмите «Нет», когда будет предложено сохранить данные («Хотите сохранить данные?»).
• Android и iOS — удалите приложение (во время удаления все данные будут автоматически удалены с устройства).
• Mac — запустите приложение и перейдите в строку состояния Sticky Password в верхней части Вашего экрана — Файл — Сбросить БД паролей.

Вы также можете связаться с нашей тех.поддержкой, написав нам с Вашего адреса эл.почты (StickyID) письмо на адрес [email protected] Наша команда тех.поддержки поможет Вам сбросить данные StickyAccount, и подскажет, как снова начать использовать Sticky Password с новым мастер-паролем.

Protect: шифрование паролей. Справка

Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.

Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.

1. Создать мастер-пароль
2. Изменить мастер-пароль
3. Удалить мастер-пароль
4. Частота запроса мастер-пароля
5. Если вы забыли мастер-пароль

2. Нажмите Настройки.

3. В блоке Пароли и карты не зашифрованы нажмите Создать мастер-пароль.

4. Если вы используете пароль для вашей учетной записи на компьютере, введите его в окне запроса системного пароля.

5. Введите мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.

6. Для подтверждения введите мастер-пароль повторно.

7. Чтобы восстановить доступ к хранилищу, если вы забудете мастер-пароль, создайте запасной ключ шифрования.

Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на компьютере, ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.

2. Введите текущий мастер-пароль.

3. Нажмите Настройки.

4. В блоке Пароли и карты зашифрованы нажмите Сменить мастер-пароль.

5. В открывшемся окне введите текущий мастер-пароль.

6. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.

7. Введите мастер-пароль еще раз для подтверждения.

После этого зашифрованный с помощью мастер-пароля ключ шифруется заново и при ближайшей синхронизации передается на другие устройства. Мастер-пароль не сохраняется ни на компьютере, ни на сервере.

2. Введите текущий мастер-пароль.

3. Нажмите Настройки.

4. В блоке Пароли и карты зашифрованы нажмите Удалить мастер-пароль.

5. В открывшемся окне введите мастер-пароль для подтверждения.

После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.

Браузер запрашивает мастер-пароль при сохранении новых паролей, автоматической подстановке паролей в формы авторизации, а также при попытках открыть хранилище паролей. Вы можете отрегулировать частоту запроса мастер-пароля браузером:

2. Введите текущий мастер-пароль.

3. Нажмите Настройки.

4. В поле Запрашивать мастер-пароль для доступа к паролям и картам выберите нужную частоту: после перезапуска браузера, после блокировки компьютера, раз в час или раз в 5 минут. Чем чаще запрашивается мастер-пароль, тем надежнее защита хранилища.

5. В открывшемся окне введите мастер-пароль для подтверждения.

Вы также можете отключить запрос мастер-пароля. Для этого отключите опцию Запрашивать мастер-пароль для доступа к паролям и картам. В результате браузер перестанет запрашивать мастер-пароль для доступа к хранилищу паролей. При этом:

• Мастер-пароль не удаляется, а записывается в базу данных в зашифрованном виде. Ключ шифрования сохраняется на компьютере и защищается средствами операционной системы.

• Сохраненные ранее пароли остаются зашифрованными мастер-паролем. При сохранении нового пароля или расшифровке старого браузер использует старый мастер-пароль, не запрашивая его у пользователя.

• В процессе синхронизации все пароли отправляются на другие устройства в зашифрованном виде. На других устройствах эти пароли будут подставляться в формы авторизации, и для их расшифровки вам потребуется ввести мастер-пароль.

• Отключать запрос мастер-пароля на каждом из ваших устройств придется вручную. Так сделано из соображений безопасности — чтобы, например, пароли на устройстве, к которому имеет доступ кто-то посторонний, не стали ему доступны без вашего ведома.

Если вы забыли мастер-пароль и у вас есть запасной ключ шифрования:

1. В форме ввода мастер-пароля нажмите Не помню пароль.

2. В открывшемся окне установите переключатель в положение Сбросить мастер-пароль. Нажмите Продолжить.

3. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.

4. Введите новый мастер-пароль еще раз для подтверждения. Нажмите Продолжить.

5. На странице Яндекс.Паспорта введите пароль вашей учетной записи на Яндексе.

6. После этого мастер-пароль обновится, а все пароли в хранилище будут перешифрованы.

Если вы забыли мастер-пароль и запасного ключа шифрования у вас нет, браузер не сможет восстановить ваши пароли. Он перестанет их подставлять в формы авторизации, и вы не сможете просмотреть их в менеджере. Вам останется только удалить все пароли вместе с ключом шифрования. При этом, если вы используете пароль для вашей учетной записи на компьютере, его надо будет ввести, чтобы подтвердить права на удаление паролей.

Если вы забыли мастер-пароль или не можете разблокировать 1Password

Что делать, если возникли трудности с разблокировкой 1Password, мастер-пароль утерян или он не подходит.

Пароль, который вы используете для разблокировки 1Password называется мастер-паролем. Мастер-пароль также используется для входа на сайт 1Password.com, если у вас есть аккаунт 1Password.

Если вы забыли свой мастер-пароль, попробуйте восстановить его с помощью указанных ниже шагов. Как только приложение 1Password будет разблокировано, вы сможете изменить свой мастер-пароль.

Если вы думаете, что помните свой мастер-пароль

Если вы уверены, что знаете мастер-пароль, но он не принимается приложением 1Password, попробуйте выполнить следующие шаги:

• Убедитесь, что вы правильно набираете символы в верхнем и нижнем регистрах. При включенном Caps Lock, поле для ввода мастер-пароля показывает символ Caps Lock ⇪.
• Попробуйте использовать старые пароли. Если вам удастся разблокировать приложение при помощи старого пароля, вы можете затем изменить мастер-пароль.
• Попробуйте ввести свой пароль в другом приложении, например, в любом текстовом редакторе, и убедитесь, что вы всё вводите верно. Затем скопируйте и вставьте его в 1Password.
• Если у вас несколько сейфов или аккаунтов 1Password, попробуйте остальные пароли.
• Если мастер-пароль содержит пробелы, попробуйте набрать его с пробелами и без них.
• Если мастер-пароль содержит акцентированные или специальные символы, попробуйте набрать его с ними и без них.
• Если у вас в системе используется несколько языков, убедитесь, что во время набора мастер-пароля включена верная раскладка клавиатуры.

 

Если вы не знаете мастер-пароль или он не принимается

Для вашей безопасности ваш мастер-пароль:

• никогда не передаётся через интернет;
• никогда не записывается локально;
• никогда неизвестен нам в компании 1Password;
• известен только вам;
• это единственный способ расшифровать ваши данные.

Это гарантирует, что ваши данные надёжно защищены от злоумышленников. Это также означает, что никто не может сбросить ваш мастер-пароль. Тем не менее, вы можете попробовать восстановить доступ к данным самостоятельно.

Восстановить, используя другое устройство

Если 1Password используется на нескольких устройствах, проверьте, работает ли мастер-пароль на них. (Если у вас есть аккаунт 1Password, не забудьте попробовать зайти в него на сайте 1Password.com.)

Если ваш мастер-пароль работает везде, кроме одного устройства, то вы можете начать заново на устройстве, где пароль не подходит, и затем синхронизировать данные с другими устройствами.

Восстановить, используя ваш семейный или командный аккаунт

Другой член аккаунта может восстановить доступ к вашему аккаунту. Это позволит вам выбрать новый мастер-пароль.

Восстановить, используя Touch ID или Face ID

Если 1Password используется на iOS-устройстве с Touch ID или Face ID, попробуйте использовать Touch ID или Face ID для разблокировки. Если при открытии 1Password вам не предлагается использовать эту опцию, нажмите на кнопку под полем ввода мастер-пароля.

Период разблокировки приложения с помощью Touch ID или Face ID истечёт через некоторое время. Немедленно примите меры, чтобы найти свой мастер-пароль или сохранить свои данные:

• Найдите логин в своём личном сейфе (“Personal vault”) под названием «Аккаунт 1Password» (“1Password Account”). Ваш мастер-пароль может быть сохранён там.
• Экспортируйте свои данные из 1Password, пока у вас всё ещё есть доступ. После этого вы сможете создать новый аккаунт или сейф и импортировать данные туда.

Восстановить из резервной копии на компьютере Mac

Каждый день 1Password создаёт резервные копии всех автономных сейфов на вашем компьютере Mac. Если вы используете 1Password для Mac без аккаунта 1Password, попробуйте восстановить резервную копию своих автономных сейфов с того дня, когда мастер-пароль работал. Всё, что было добавлено или изменено после создания этой резервной копии будет потеряно.

Если вы всё ещё не можете разблокировать 1Password

Если вы попробовали все вышеописанные шаги или уверены, что не сможете вспомнить свой мастер-пароль, вам будет необходимо удалить свои данные в 1Password и начать заново.

Узнать больше

Как изменить мастер-пароль | 1Password

Если у вас есть по крайней мере один автономный сейф в 1Password, пароль для этого первого автономного сейфа (который называется «Основным») разблокирует 1Password. Вы можете изменить этот мастер-пароль в настройках:

1. Откройте и разблокируйте 1Password.
2. В верхнем меню выберите «Сейф» (Vault) > «Переключить сейф» (Switch to Vault) > «Основной» (Primary).
3. Затем перейдите в «1Password» > «Настройки» (Preferences).
4. Перейдите во вкладку «Безопасность» (Security) и выберите «Изменить мастер-пароль» (Change Master Password).

Если у вас есть по крайней мере один автономный сейф в 1Password, пароль для этого первого автономного сейфа (который называется «Основным») разблокирует 1Password. Вы можете изменить этот мастер-пароль в настройках:

1. Откройте и разблокируйте 1Password.
2. Нажмите на значок «Настройки» (Settings) и затем «Безопасность» (Security).
3. Нажмите «Изменить мастер-пароль» (Change Master Password).

Пароль для первого сейфа, который вы добавили в 1Password, разблокирует приложение, независимо от того, является ли он автономным сейфом или сейфом в вашем аккаунте 1Password.

Если первый добавленный сейф является частью аккаунта 1Password

Измените свой мастер-пароль на сайте 1Password.com:

1. Войдите в свой аккаунт на 1Password.com.
2. Нажмите на имя аккаунта в правом верхнем углу и выберите «Мой профиль» (My Profile).
3. Нажмите «Изменить мастер-пароль» (Change Master Password).

После этого, обновите свой мастер-пароль в приложении:

1. Запустите и разблокируйте 1Password с помощью своего старого мастер-пароля.
2. Нажмите на красный баннер с ошибкой аутентификации и войдите со своим новым мастер-паролем.

Если первый добавленный сейф – автономный

Выберите «Изменить сейф», чтобы изменить свой мастер-пароль:

1. Нажмите «Все сейфы» в левом верхнем углу и выберите «Вид» > «Показать сейфы» (Ctrl + D). Если у вас уже выбран какой-то сейф, то в левом верхнем углу вы увидите иконку и название сейфа вместо иконки «Всех сейфов».
2. Нажмите рядом с названием нужного автономного сейфа и выберите «Изменить сейф».

Если у вас есть по крайней мере один автономный сейф в 1Password, пароль для этого первого автономного сейфа (который называется «Основным») разблокирует 1Password. Вы можете изменить этот мастер-пароль в Настройках:

1. Откройте и разблокируйте 1Password.
2. Выберите иконку «Настроек (Settings), далее «Безопасность» (Security).
3. Нажмите «Изменить мастер-пароль» (Change Master Password).

Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4 / Хабр

Новые инструменты, старые методы. Проводим обратную разработку и находим фатальный недостаток 1Password.

Все любят менеджеры паролей. Они великолепны по многим причинам. Лично у меня в менеджере более 200 записей. С таким большим количеством конфиденциальных данных в одном месте важно понимать масштаб ущерба в случае компрометации вашей записи, будь то вредоносные программы, эксплоиты или просто компьютер, оставленный без присмотра на несколько минут. Washington Post недавно опубликовала статью, основанную на нашем исследовании. Эта статья помогает довести людей, что не все менеджеры паролей одинаковы.

Я свято верил, что заблокированный парольный менеджер надёжно защищён. Если кто-то получит доступ к моему компьютеру, то максимум может рассчитывать на кучку случайных байтов, поскольку информация надёжно вычищается из памяти.

Это верно для 1Password 4 (Обратите внимание, что последняя версия на сегодня седьмая). Прежде чем перейти на него несколько лет назад я проверил, что в памяти действительно нет паролей в открытом виде, когда менеджер в заблокированном состоянии. Так что в случае компрометации злоумышленнику придётся иметь дело с зашифрованным хранилищем.

Хранилище заперто!

В этом состоянии в памяти нет ни парольных записей, ни мастер-пароля. Очень разумно и правильно, и 1Password 4 прошёл эту проверку. Или нет?

Чтобы избавить от скучных деталей, скажу сразу: мы смогли восстановить мастер-пароль из заблокированного инстанса в 1Password 4, как показано ниже.

Разблокировка 1Password 4 и восстановление мастер-пароля

В анимации показано, что 1Password 4 сначала разблокируется нормальным способом, а затем запирается. После этого мы запускаем нашу утилиту multipass, которая успешно восстанавливает пароль. Утилита эксплуатирует неправильную обработку поля ввода пароля в 1Password 4, чтобы восстановить обфусцированный буфер мастер-пароля, деобфусцировать его, автоматически разблокировать 1Password 4 и, наконец, отобразить мастер-пароль в консоли.

Первый шаг при оценке менеджера паролей: проверить наличие мастер-пароля в памяти в открытом виде. Это возможно в любом hex-редакторе, который способен взаимодействовать с пространством памяти процесса. Например, бесплатный редактор HxD. С его помощью можно открыть пространство памяти 1Password 4.

Мы сразу попадаем в первую читаемую область пространства памяти 1Password 4.

Пример представления памяти HxD

Пока ничего особенного. Но можно выполнить поиск. Например, как выглядит ситуация, если набрать пароль в окне разблокировки 1Password 4, но не нажать кнопку «Разблокировать»:

Запертое хранилище 1Password 4 с введённым мастер-паролем в поле

Наверняка пароль где-то в памяти?

Открываем HxD, но поиск строки с нашим мастер-паролем (“Z3Superpass#”) не даёт результатов.

Похоже, 1Password как-то шифрует или обфусцирует форму по мере её ввода. Если процедура работает правильно, то всё хорошо.

Чтобы узнать, почему мастер-пароль нельзя найти в памяти, когда он явно присутствует в диалоговом окне разблокировки, следует найти код, который с ним взаимодействует. Тут есть несколько способов. Можно отследить обработку событий клавиатуры и мыши путём локализации ‘GetMessage’, ‘PeekMessage’, ‘GetWindowText’ или других Windows API, которые обычно обрабатывают пользовательский ввод. Так мы найдём буфера, куда записываются нажатия клавиш, а через них выйдем на подпрограмму шифрования/обфускации. Но это долгий и подверженный ошибкам процесс, особенно с большими фреймворками, которые иногда очень странно управляют памятью, так что для отслеживания буфера придётся сделать множество копий и преобразований.

Вместо этого используем собственный инструмент Thread Imager, созданный для обратной разработки «странных» проприетарных протоколов на прикладном уровне. Он поможет определить, в каком месте памяти 1Password 4 взаимодействует с нашим мастер-паролем. Инструмент «автоматически» идентифицирует области кода в 1Password 4, которые взаимодействуют с обфусцированным паролем (он просто подсвечивает инструкции, которые взаимодействуют с интересующими данными, для дальнейшего анализа). Результат выглядит примерно так:

Thread Imager находит код 1Password 4, который взаимодействует с необфусцированным мастер-паролем

Поскольку мастер-пароль хранится в памяти в обфусцированном виде, то инструмент должен первым делом показать, в каком месте происходит обфускация.

Фрагмент из первого результата показывает, что первое появление мастер-пароля сопровождается переходом кода с адреса 0x7707A75D на 0x701CFA10.

Подробная запись в Thread Imager подсвечивает переход кода с с 0x7707A75D на 0x701CFA10, при этом на буфер с мастер-паролем ссылаются регистры EAX и ECX

Изучение этого места 0x7707A75D в отладчике (x64dbg) подтверждает нашу теорию. Действительно, впервые строка ‘Z3superpass#’ встречается при завершении работы функции декодирования ‘RtlRunDecodeUnicodeString’ из библиотеки ntdll. dll.

После небольшого анализа ясно, что для обфускации пароля используются именно эти две функции: ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Так мастер-пароль прячут от примитивного копирования из памяти, вот почему раньше мы не могли найти его в hex-редакторе.

Если изучить закодированный буфер в конце работы функции RtlRunEncodeUnicodeString, то зашифрованная строка с мастер-паролем выглядит так:

Зашифрованный мастер-пароль

После RtlRunDecodeUnicodeString’ он декодируется:

Расшифрованный мастер-пароль

Интересно, что эта область сохраняется по тому же адресу 0x00DFA790 и мы буквально можем наблюдать её изменение при вводе пароля в окно разблокировки 1Password 4:

‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — простые функции, которые изменяют строку простой операцией XOR. Это не так уж плохо: похоже, это стандартный метод маскировки всех нативных редактирующих управляющих элементов Windows при установленном флаге ‘ES_PASSWORD’.

Проблема в том, что после разблокировки 1Password 4 зашифрованный мастер-пароль не очищается из памяти.

Хуже того, он остаётся в памяти и после блокировки 1Password 4. То есть у нас есть заблокированное хранилище паролей, но с зашифрованным мастер-паролем в памяти.

И что ещё хуже, поскольку мы взаимодействуем с диалоговым окном ввода мастер-пароля, одна и та же область памяти повторно используется вместе с тем же значением XOR, что даёт нам лёгкий доступ к закодированному буферу для создания эксплоита.

Чтобы создать надёжный эксплоит для 1Password 4, нужно получить более чёткое представление, как мастер-пароль обрабатывается рабочими процессами программы. С помощью вышеупомянутых инструментов мы построили диаграмму выходных данных (рисунок ниже).

По такой диаграмме легче понять, где и какие задействуются библиотеки, чтобы надёжно идентифировать области в памяти, откуда можно извлечь мастер-пароль.

Что мы имеем на данный момент? У нас запертое хранилище, а где-то в памяти хранится обфусцированный пароль, поскольку программа не почистила за собой память надлежащим образом.

Чтобы извлечь его, нужно вызвать процедуру в 1Password 4, которая инициирует ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Таким образом она покажет расположение буфера памяти с закодированным мастер-паролем.

Область памяти с обфусцированным мастер-паролем

Без этого буфера пришлось бы погрузиться в бездну внутренних процедур и элементов управления Windows и связанных с ними механизмов управления памятью. Может, такой анализ и позволяет легко найти буфер, но мы не пошли по этому пути.

Похоже, единственный способ вызвать ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — это ввести в символ в диалоговое окно ввода мастер-пароля. Так мы получаем нужный буфер. Но мы не знаем длину пароля.

Мы решили эту проблему путём перехвата кода, который обращается к первому символу нашего буфера, блокируя попытку изменения. Эта подпрограмма находится в цикле обработки сообщений управляющего элемента в comctl32, который обрабатывает управление буфером соответствующих элементов. Вызов ‘memmove’ со смещением 0x70191731 перезаписывает буфер введённым символом:

(Побочный эффект: выделенная строка (жёлтая) обновляет всю строку пароля)

Теперь мы, наконец, получили всё, что нужно для создания эксплоита. Следующие шаги позволят нам извлечь мастер-пароль:

1. Хук ‘memmove’, чтобы предотвратить перезапись первого байта мастер-пароля.
   
2. Хук ‘RtlRunEncodeUnicodeString’, чтобы получить расположение буфера обфусцированного мастер-пароля.
   
3. Хук ‘RtlRunDecodeUnicodeString’ для обращения к обфусцированному буферу, полученному на предыдущем этапе.
   
4. Ввод символа в поле ввода пароля и отказ от шага 1 (сохранение всего мастер-пароля), перенаправление шага 2 на шаг 3 для декодирования обфусцированного мастер-пароля.

Для выполнения всех этих действий создаём DLL с кодом обработчика всех этих хуков. Библиотека внедряется в процесс 1Password 4, отправляет один символ в диалоговое окно мастер-пароль, запуская шаги memmove, RtlRunEncodeUnicodeString и RtlRunDecodeUnicodeString, которые мы можем перехватить — и производя нашу магию по восстановлению обфусцированного мастер-пароля. Большая часть магии происходит в DetourRtlRunEncodeUnicodeString, это хук для функции ‘RtlRunEncodeUnicodeString’, показанный ниже:

Что приводит нас к окончательному результату: разблокировка запертого хранилища 1Password 4 любой версии при помощи глючной процедуры в используемых Windows API:

Когда мы впервые углубились во внутренности 1Password 4, то ожидали встретить какую-то сложную систему защиты и ожидали, что вся секретная информация будет очищаться из памяти, как это происходит в процедурах PBKDF2 и других областях, где используется мастер-пароль. Соответствующие записи тоже очищаются. Однако по недосмотру поле ввода пароля рассматривается как стандартный элемент управления Windows API со скрытым паролем, что подрывает безопасность 1Password 4.

Что такое мастер-пароль Dashlane? — Дашлейн

Что такое мастер-пароль Dashlane?

При создании учетной записи Dashlane вы создаете логин и мастер-пароль. Ваш мастер-пароль — это ваш закрытый ключ для шифрования всех ваших данных, сохраненных в Dashlane. После успешного ввода мастер-пароля Dashlane сможет расшифровать ваши данные локально на вашем устройстве и предоставить вам доступ к вашим сохраненным данным.

Ваш главный пароль:

• Всегда частный
• Никогда не хранится на наших серверах
• Никогда не передавалось через Интернет
• Никогда не делился с Dashlane
• Известно только вам

Ваш мастер-пароль подобен ключу от сейфа.Если у вас есть правильный ключ, вы можете открыть сейф. В противном случае сейф останется закрытым. Ключ никогда не перемещается вместе с сейфом, но всегда остается с вами.

Обратите внимание, что если вы являетесь пользователем Dashlane Business с включенной системой единого входа (SSO), это не относится к вам, поскольку вы не используете мастер-пароль. Чтобы получить подробное описание того, как шифруются ваши данные и как вы входите в систему при использовании SSO с Dashlane, мы рекомендуем вам ознакомиться с этой статьей.

Как выбрать надежный мастер-пароль?

Мы применяем самые строгие требования к мастер-паролю в отрасли. Чтобы защитить вас, даже у Dashlane нет ключа к вашим зашифрованным данным, и ваш мастер-пароль не может быть восстановлен. Таким образом, очень важно выбрать уникальный пароль, который является сложным, но вы не забудете его. Также важно выбрать пароль, который вы никогда не использовали ни на одном другом веб-сайте. Кроме того, чтобы узнать больше о выборе надежного пароля, обратитесь к этому сообщению в блоге.

По умолчанию ваш мастер-пароль должен содержать 8 или более символов, включая следующие:

• 1 заглавная буква
• 1 строчная буква
• 1 номер

Мы не рекомендуем использовать символы, поскольку на разных клавиатурах и устройствах не всегда есть нужные символы.

Мобильные опции

Мы понимаем, что набор текста может быть утомительным, особенно при использовании мобильного устройства, поэтому мы предусмотрели легкодоступные функции, такие как разблокировка по отпечатку пальца или пин-код. Эти параметры будут действовать как ваш мастер-пароль, если они включены, однако вам все равно придется время от времени вводить мастер-пароль, а также после перезапуска устройства.

Для Android:

Для iOS:

Как выбрать хороший мастер-пароль

Используйте генератор паролей 1Password, чтобы убедиться, что ваш мастер-пароль уникален, случайен и легко запоминается.

Ваш мастер-пароль защищает все, что вы храните в 1Password, поэтому важно выбрать подходящий. Ваш мастер-пароль должен быть уникальным, случайным и запоминающимся, и использование генератора паролей 1Password гарантирует, что это так.

Ваш мастер-пароль должен быть уникальным

Чаще всего злоумышленники получают доступ к личной информации, получая пароль, который вы используете для одной учетной записи (часто тот, который также не защищен), и пытаясь использовать его для других ваших учетных записей. Вот почему все ваши пароли должны быть уникальными, особенно это касается мастер-пароля.

Используйте мастер-пароль, который нигде больше не использовался.

Ваш мастер-пароль должен быть случайным

Инструменты, которые злоумышленники используют для подбора паролей, разработаны с учетом всех уловок, которые мы используем, когда сами придумываем пароли. Когда наши пароли анализируются компьютерами, они не так случайны, как нам хотелось бы думать. Пусть ваш компьютер предложит пароль, который надежнее, чем у злоумышленников.

Используйте мастер-пароль, предложенный генератором паролей.

Ваш мастер-пароль должен быть запоминающимся

Уникальный и случайный пароль предотвратит нападение злоумышленников, но важно, чтобы вы не мешали самому себе. В целях вашей конфиденциальности и безопасности никто в 1Password не может получить доступ к вашему мастер-паролю или восстановить вашу учетную запись. Вот почему ваш мастер-пароль должен быть таким, который вы никогда не забудете.

Используйте мастер-пароль, который вы можете запомнить:

• Используйте пробелы или дефисы между словами, чтобы упростить ввод главного пароля.
• Регулярно применяйте свой новый мастер-пароль.
• Запишите свой мастер-пароль, пока не сохраните его в памяти.
• Запишите свой мастер-пароль в свой аварийный комплект и храните его в надежном месте.

Ваш мастер-пароль не должен соответствовать каким-либо конкретным требованиям к цифрам, символам или заглавным буквам. Если вам неудобно ими пользоваться, не делайте этого.

Используйте генератор паролей 1Password

Лучший мастер-пароль — это тот, который вы не выбираете сами.Используйте генератор паролей 1Password, чтобы создать уникальный, случайный и запоминающийся мастер-пароль.

Защитите свой мастер-пароль

Что такое мастер-пароль — PassCamp

Как пользователь PassCamp, очень важно знать , что такое мастер-пароль , , почему важно и , как он защищает ваши данные .

В кибер-мире существует различных угроз информационной безопасности , и вам крайне важно принять меры против этих угроз.Вот почему каждый бит данных, который вы храните в PassCamp, всегда зашифрован . Поскольку вы, вероятно, добавите свою самую конфиденциальную информацию на платформу управления паролями, зашифрованные данные должны быть легко доступны для пользователя, но полностью недоступны для всех остальных.

Мы используем технологии шифрования AES и RSA , чтобы все, что вы храните в PassCamp, было безопасным и недоступным для злоумышленников, таких как хакеры. Это также означает, что вы и только вы можете разблокировать эти данные с вашим мастер-паролем .Никто, даже сотрудники PassCamp, не могут получить доступ к вашей конфиденциальной информации.

Когда новый пользователь создает свою учетную запись PassCamp, он также создает мастер-пароль. Он используется для аутентификации доступа к учетной записи пользователя PassCamp. Это должен быть сильный , уникальный и никогда не использоваться в качестве пароля для любого другого приложения или веб-сайта. Ключ также должен быть , легко запоминающимся, , поскольку вы будете использовать его для входа в свою учетную запись и расширение PassCamp каждый день.Пользователи также не должны никому сообщать свой мастер-пароль .

Считайте его единственным ключом от вашего сейфа, который невозможно воспроизвести. Только вы должны знать свой мастер-пароль, и он должен храниться в безопасности — даже мы не сможем сбросить пароль, если вы его забудете! Конечно, тот факт, что это единственный пароль, который вам нужно запомнить, значительно упрощает задачу. Вы можете узнать больше о концепции защиты паролей здесь .

К сожалению, если вы потеряете свой мастер-пароль, единственный способ восстановить вашу учетную запись — это сбросить все данные, которые в ней хранились. Это потому, что ни мы, ни кто-либо еще не можем просматривать все, что вы храните в своей учетной записи PassCamp.

Подробнее о PassCamp :

Как изменить свой мастер-пароль на Android

Мастер-пароль играет важную роль в обеспечении безопасности ваших паролей, поэтому вы всегда должны быть уверены, что он надежен и, конечно же, уникален! Давайте посмотрим, насколько просто изменить мастер-пароль на устройстве Android.

Почему так важен ваш мастер-пароль

Ваш главный пароль — , единственный пароль, который вам нужно запомнить — . Это пароль , который используется для защиты всех ваших паролей , хранящихся в вашей зашифрованной базе данных, а также для аутентификации соединения между приложением Sticky Password на ваших устройствах и вашей облачной учетной записью StickyAccount на наших серверах. Только ВЫ знаете свой мастер-пароль.

У нас в Sticky Password нет доступа к вашему мастер-паролю. В целях безопасности ваш мастер-пароль нигде не хранится, поэтому мы не можем «повторно отправить» его вам и не можем «сбросить» его .

Предварительные требования

Чтобы иметь возможность изменить свой мастер-пароль, убедитесь, что вы в сети.

Важно: Если вы используете несколько устройств — имейте в виду, что после того, как вы изменили свой мастер-пароль на одном устройстве (первом), изменение будет синхронизировано со всеми вашими онлайн-устройствами.Более того, в следующий раз, когда вы начнете использовать приложение Sticky Password на любом из других устройств, на каждом устройстве вам будет предложено ввести старый мастер-пароль еще раз.

Как изменить мастер-пароль

1. Нажмите кнопку Меню в верхнем левом углу.

2. Выберите Настройки .

3. Tap Защита приложений .

4. Введите свой мастер-пароль и нажмите Разблокировать .

5. Нажмите Изменить главный пароль .

6. Начните с ввода нового мастер-пароля и нажмите Продолжить .

7. Подтвердите новый мастер-пароль и нажмите Изменить мастер-пароль .

   Вот и все! Ваш мастер-пароль был успешно изменен. Не забывайте, что если вы используете несколько устройств, вам будет предложено ввести старый мастер-пароль на каждом из них еще раз.

Как им пользоваться?

Раз, два, входи.

Хорошая безопасность зависит от простоты использования.

Используя мастер-пароль, вход на любой веб-сайт включает следующие шаги:

1. Разблокируйте приложение Master Password.
2. Найдите свой сайт и скопируйте его ключ.
3. Войдите на сайт, вставив ключ в поле пароля.

---

Большинство браузеров попросят вас «сохранить» пароль сайта. Если вас это устраивает, это хороший способ пропустить описанные выше шаги и в следующий раз войти в систему еще быстрее.

Начиная.

Как объяснялось, мастер-пароль не является менеджером паролей или хранилищем. Он не предназначен для хранения существующих паролей к сайту — это нарушит принципы, которые он поддерживает, и лишит его преимуществ перед обычными менеджерами паролей.

В результате самая большая кривая для принятия мастер-пароля связана с заменой паролей всех ваших существующих учетных записей на криптографически безопасные ключи, сгенерированные мастер-паролем.

---

Я хочу картинки.

Хорошо. Вот Роберт на своем iPhone:

Он хочет подписаться на Twitter . Роберт заполнил все поля, кроме пароля. Не желая беспокоиться о том, в чем будет заключаться его секрет Twitter , он переключается на мастер-пароль.

Конечно, он начинает с разблокировки своего пользователя с помощью его мастер-пароля.
Роберт может пропустить этот шаг, зайдя в настройки мастер-пароля и настроив его либо на сохранение своего мастер-ключа, либо на запоминание логина, но он предпочитает не делать этого.

Он создает пароль для Twitter , используя его голое доменное имя: twitter.com .
Он знает , а не , чтобы использовать mobile.twitter.com или Twitter или что-нибудь нестандартное, потому что это будет очень трудно правильно вспомнить позже.Если у него несколько учетных записей Twitter, он может добавить к имени префикс имени пользователя и @ : [защита электронной почты] , [защита электронной почты] .

Если веб-сайт, на котором подписывается Роберт, запрещает символы по какой-то глупой причине, Роберт может вместо этого изменить тип на Basic или что-то подобное. Роберт также может увеличить сложность, чтобы получить еще более безопасный пароль, если он захочет.

Когда сайт был добавлен в мастер-пароль, для него был создан пароль и скопирован на его монтажный стол.
Теперь Роберт просто переключается обратно в Safari и вставляет свой новый пароль, который он не хочет помнить, в поле пароля Twitter . Все сделано!

Используйте основной пароль для защиты сохраненных логинов и паролей

Основной пароль заменяет главный пароль. Firefox удаляет терминологию из браузера, которая была определена как оскорбительная или исключающая. Узнайте больше о том, почему мы вносим это изменение.

Firefox может сохранять имена пользователей и пароли, которые вы используете для доступа к онлайн-сервисам, таким как банковские операции и сайты электронной почты. & * ().

Вам также следует определить свой пароль таким образом, чтобы его было легко запомнить, но было трудно угадать другим. Таким образом, вы гарантируете, что вы и только вы сможете получить эту защищенную информацию. Дополнительные сведения о выборе паролей см. В разделе Создание надежных паролей для обеспечения безопасности вашей личности.

Введите пароль второй раз, чтобы подтвердить, что вы ввели его постоянно.

Чтобы установить основной пароль, нажмите OK.

Закройте страницу about: settings . Любые сделанные вами изменения будут автоматически сохранены.

По умолчанию Firefox не использует основные пароли для защиты сохраненных учетных данных. Чтобы определить основной пароль:

1. Щелкните кнопку меню и выберите Параметры. Настройки. Параметры.
2. Щелкните панель.
3. Галочка Использовать основной пароль .
   • Появится диалоговое окно «Изменить основной пароль».& * ().
   • Вам также следует определить свой пароль таким образом, чтобы его было легко запомнить, но было трудно угадать другим. Таким образом, вы гарантируете, что вы и только вы сможете получить эту защищенную информацию. Дополнительные сведения о выборе паролей см. В разделе Создание надежных паролей для обеспечения безопасности вашей личности.
4. Введите пароль второй раз, чтобы подтвердить, что вы ввели его постоянно.

5. Чтобы установить основной пароль, нажмите OK.
6. Закройте страницу about: settings . Любые сделанные вами изменения будут автоматически сохранены.

Если вы решите, что вам больше не нужен основной пароль, вы можете удалить его в любое время:

Важно: Без основного пароля кто-либо, имеющий доступ к вашему компьютеру, может просмотреть пароли, которые вы сохранили в Firefox.

1. Щелкните кнопку меню, чтобы открыть панель меню.
2. Щелкните.

3. Щелкните меню Firefox Lockwise (три точки), затем щелкните.

   • Параметры Firefox Откроется панель с разделом Логины и пароли .
4. Снимите флажок рядом с Использовать основной пароль .
5. Введите текущий пароль, чтобы подтвердить свое право собственности на учетную запись.
6. Щелкните Удалить.
7. Нажмите OK в появившемся диалоговом окне, чтобы подтвердить его удаление.
8. Закройте страницу about: settings .Любые сделанные вами изменения будут автоматически сохранены.

1. Щелкните кнопку меню и выберите Параметры. Настройки. Параметры.
2. Щелкните панель.
3. Снимите отметку Используйте мастер-пароль . Откроется диалоговое окно «Удалить мастер-пароль».
4. Введите текущий пароль, чтобы подтвердить, что у вас есть права на его удаление.
5. Щелкните Удалить.
6. Нажмите OK в появившемся диалоговом окне, чтобы подтвердить его удаление.
7. Закройте страницу about: settings .Любые сделанные вами изменения будут автоматически сохранены.

Вы также можете изменить свой основной пароль в любое время:

1. Щелкните кнопку меню, чтобы открыть панель меню.
2. Щелкните.

3. Щелкните меню Firefox Lockwise (три точки), затем щелкните.

   • Параметры Firefox Откроется панель с разделом Логины и пароли .
4. Щелкните Изменить основной пароль.
5. Введите текущий пароль, чтобы подтвердить свое право собственности на учетную запись.
6. Дважды введите новый основной пароль.
   • Если оставить два поля пустыми, ваш основной пароль будет удален.
7. Чтобы принять измененный основной пароль, нажмите OK.
8. Закройте страницу about: settings . Любые сделанные вами изменения будут автоматически сохранены.

1. Щелкните кнопку меню и выберите Параметры. Настройки. Параметры.
2. Щелкните панель.
3. Щелкните Изменить главный пароль.
4. Введите текущий пароль, чтобы подтвердить, что у вас есть права на его изменение.
5. Дважды введите новый мастер-пароль.
   • Если оставить два поля пустыми, мастер-пароль будет удален.
6. Чтобы принять измененный мастер-пароль, нажмите OK.
7. Закройте страницу about: settings . Любые сделанные вами изменения будут автоматически сохранены.

На основе информации из мастер-пароля (mozillaZine KB)

Защитите свои пароли Thunderbird мастер-паролем

Thunderbird может сохранять пароли для каждой учетной записи, поэтому вам не нужно повторно вводить их при проверке новых сообщений.Вы можете просмотреть их и удалить те, которые больше не используете.

Что делать, если вы используете общий компьютер и не хотите, чтобы другие видели ваши сохраненные пароли? Благодаря функции мастер-пароля Thunderbird потребует от вас ввести мастер-пароль, чтобы просмотреть или использовать пароли, которые вы сказали Thunderbird запомнить. Если у вас установлен мастер-пароль, вам нужно будет вводить его только один раз за сеанс.

Хотите запретить другим видеть ваши сообщения? Лучший безопасный метод, если вы используете компьютер совместно, — это создать отдельную учетную запись пользователя WindowsMacOSOS в операционной системе для каждого человека и убедиться, что для вашей учетной записи WindowsMacOSOS требуется пароль.Thunderbird хранит учетные записи, сообщения и информацию о паролях отдельно для каждой учетной записи операционной системы. Более слабый метод — изменить скрытое предпочтение mail.password_protect_local_cache в редакторе конфигурации на True. Это предотвратит отображение электронной почты до тех пор, пока не будет введен мастер-пароль. Однако он ничего не делает с вашей почтой, хранящейся на жестком диске в виде простого текстового файла. Использование учетной записи операционной системы действительно решает эту проблему.

По умолчанию Thunderbird не использует мастер-пароль для защиты сохраненных учетных данных.Чтобы определить мастер-пароль:

1. В верхней части окна Thunderbird щелкните меню и выберите. В строке меню щелкните меню и выберите. В верхней части окна Thunderbird щелкните меню и выберите или нажмите кнопку меню и выберите.
2. Выберите панель.
3. Выберите вкладку.
4. Поставьте галочку рядом с Используйте мастер-пароль .

   
   
   
   

5. Появится диалоговое окно Изменить главный пароль .& * ().
6. Кроме того, не забудьте сделать пароль таким, который вам будет легко запомнить, но трудно угадать другим, чтобы гарантировать, что вы и только вы сможете получить эту безопасную информацию.
7. Пароль необходимо ввести дважды, чтобы убедиться, что вы можете вводить его постоянно.

   
   
   
   

8. Чтобы установить мастер-пароль, нажмите OK.

Теперь, когда ваш мастер-пароль установлен, Thunderbird предложит вам ввести его в первый раз, когда вам понадобится просмотреть или использовать пароль для сеанса.

1. В верхней части окна Thunderbird щелкните меню и выберите. В строке меню щелкните меню и выберите. В верхней части окна Thunderbird щелкните меню и выберите или нажмите кнопку меню и выберите.
2. Выберите панель.
3. Выберите вкладку.
4. Щелкните Изменить главный пароль.
5. Введите текущий мастер-пароль, чтобы подтвердить, что у вас есть права на его изменение.
6. Дважды введите новый мастер-пароль.
7. Нажмите ОК.

Выполните указанные выше действия, чтобы изменить пароль, но оставьте оба поля нового мастер-пароля пустыми.

Если вы забыли свой мастер-пароль, вы можете его сбросить.