Каждый термин объяснён
без жаргона

Секретная строка символов, которую вы используете, чтобы доказать, что это вы, при доступе к сервису. Это цифровой ключ, защищающий ваши аккаунты. Надёжный пароль длинный, уникальный для каждого сервиса, случайный и трудноугадываемый.

Зашифрованный контейнер, где менеджер паролей хранит все ваши учётные данные, защищённые заметки и конфиденциальные данные. Это как цифровой сейф: его можно открыть только мастер-паролем. Всё внутри зашифровано и нечитаемо без правильного ключа.

Единственный пароль, который нужно помнить в менеджере паролей. Он действует как мастер-ключ, разблокирующий хранилище и генерирующий криптографический ключ для расшифровки всех данных. Это единственный пароль, который нигде не хранится — он существует только в вашей голове.

Процесс идентификации в системе или приложении путём ввода учётных данных (обычно имени пользователя и пароля) для доступа к аккаунту. «Login» — существительное (процесс входа), а «log in» — глагол (действие входа).

Процесс формального завершения активной сессии в приложении или сервисе. При выходе токены сессии становятся недействительными, а данные очищаются из памяти, не позволяя другим пользователям того же устройства получить доступ к вашему аккаунту.

Набор данных, идентифицирующий вас в системе: обычно имя пользователя (или email) плюс пароль. Может также включать цифровые сертификаты, аппаратные токены или биометрические данные.

Любые конфиденциальные данные, которые должны оставаться приватными: пароли, API-ключи, токены, сертификаты или любая информация, предоставляющая доступ к системам. Современные менеджеры паролей позволяют хранить секреты всех видов, не только пароли.

Процесс преобразования читаемых данных в нечитаемый формат с использованием математического алгоритма и ключа. Только тот, у кого есть правильный ключ, может обратить процесс (расшифровать) и прочитать исходную информацию. Это основа всей безопасности в менеджерах паролей.

Наиболее широко используемый стандарт шифрования, в настоящее время считающийся невзламываемым. Число «256» относится к размеру ключа в битах: 2^256 возможных комбинаций. Взлом методом перебора занял бы больше времени, чем возраст вселенной, даже со всеми компьютерами мира. Это тот же стандарт, который правительства используют для секретной информации.

Алгоритм, превращающий мастер-пароль (читаемый текст) в 256-битный криптографический ключ для шифрования. Он делает это, выполняя тысячи повторных математических операций, делая атаки перебором крайне медленными. Если хакер попытается протестировать миллионы паролей, PBKDF2 сделает это на годы вместо секунд.

Процесс генерации криптографического ключа из секрета (обычно мастер-пароля) с использованием специализированного алгоритма, такого как PBKDF2, Argon2 или bcrypt. Результат — двоичный ключ фиксированной длины, детерминированный (один и тот же пароль всегда даёт один ключ) и необратимый (нельзя получить пароль из ключа).

Уникальное случайное значение, добавляемое к паролю перед деривацией или хранением. Гарантирует, что два пользователя с одинаковым паролем получат совершенно разные ключи. Защищает от атак по словарю и радужных таблиц (предварительно вычисленных списков распространённых хэшей).

Модель, где данные шифруются на устройстве-источнике и расшифровываются только на устройстве-получателе. Никакой посредник (ни провайдер сервиса, ни сервер) не может прочитать данные в процессе передачи. Это основа WhatsApp, Signal и менеджеров с нулевым разглашением, таких как Cleverpass.

Система безопасности, требующая двух независимых доказательств идентичности для доступа: что-то, что вы <em>знаете</em> (пароль), и что-то, что вы <em>имеете</em> (телефон, временный код) или что-то, чем вы <em>являетесь</em> (биометрия). Даже если пароль украден, без второго фактора войти невозможно.

6-значный числовой код, меняющийся каждые 30 секунд, используемый как второй фактор аутентификации. Ваше приложение-аутентификатор (Google Authenticator, Authy…) генерирует его с помощью математического алгоритма, комбинирующего секретный ключ с текущим временем. Без вашего устройства код невозможно угадать.

Возможность разблокировать менеджер паролей с помощью уникальных физических данных тела: отпечатка пальца (Touch ID), распознавания лица (Face ID) или радужки. Быстрее и удобнее ввода мастер-пароля, хотя он по-прежнему требуется периодически или при переустановке приложения.

Система, позволяющая аутентифицироваться один раз для доступа к множеству сервисов без повторного ввода учётных данных. Наиболее распространённый пример — «Войти через Google» или «Продолжить с Apple». Центральная идентичность управляет доступом ко всем федеративным сервисам.

Криптографические учётные данные, полностью заменяющие пароли. Используют пару ключей — публичный/приватный: сайт хранит публичный ключ, а вы держите приватный на устройстве. Для аутентификации вы доказываете владение приватным ключом с помощью локальной биометрии или PIN. Устойчивы к фишингу, потому что приватный ключ никогда не передаётся.

Функция автоматического обнаружения полей имени пользователя и пароля в приложениях и браузерах и заполнения их сохранёнными учётными данными одним касанием. Устраняет необходимость вводить длинные сложные пароли вручную.

Мера того, насколько трудно угадать или взломать пароль автоматизированными атаками. Рассчитывается на основе длины, разнообразия символов (прописные, строчные, цифры, символы) и случайности. Часто выражается в битах энтропии или как оценка слабый/средний/сильный/очень сильный.

Инструмент автоматического создания случайных безопасных паролей на основе заданных параметров: длины, типов символов, слов или символов. Устраняет человеческую привычку создавать предсказуемые пароли или использовать одни и те же.

Процесс поддержания хранилища обновлённым и согласованным на всех устройствах (телефон, планшет, компьютер). Когда вы добавляете или изменяете учётные данные на одном устройстве, изменения автоматически распространяются на другие через облачное хранилище.

Строка данных, представляющая подтверждённую идентичность или разрешение на доступ. Вместо отправки пароля с каждым запросом на сервер система выдаёт токен при аутентификации. Последующие запросы используют этот токен. Если токен истекает или отзывается, нужно аутентифицироваться заново.

Краткосрочный токен (минуты или часы), авторизующий доступ к определённым ресурсам. Отправляется с каждым запросом для подтверждения разрешения. Поскольку он краткосрочный, если его перехватят, окно атаки мало. Часто используется в API и системах OAuth.

Долгосрочный токен (дни или месяцы), используемый только для получения новых токенов доступа при их истечении, без необходимости повторного ввода учётных данных пользователем. Отправляется только на сервер аутентификации, не с каждым запросом, что снижает вероятность кражи.

Модель проектирования системы, где провайдер услуги не имеет технического доступа к конфиденциальным данным пользователя. Данные шифруются на устройстве пользователя до того, как покидают его, и провайдер хранит (или передаёт) только уже зашифрованные данные, которые невозможно расшифровать. Даже по решению суда невозможно раскрыть пароли, потому что математически нет доступа к ним.

Стандартный протокол, позволяющий приложению получать доступ к ресурсам другого от вашего имени без передачи пароля. Когда приложение просит «Подключиться через Google», оно использует OAuth. Вы даёте приложению разрешение на доступ к определённым данным Google (например, Drive), но Google никогда не передаёт ваш пароль приложению.

Мера случайности и непредсказуемости пароля или криптографического ключа, выраженная в битах. Больше битов энтропии означает больше возможных комбинаций и труднее угадать. Пароль с 128 битами энтропии имеет 2^128 возможных комбинаций — практически невозможно взломать.

Инцидент безопасности, при котором конфиденциальные данные доступны, скопированы или украдены без авторизации. Может затронуть миллионы пользователей одновременно при взломе компании. Пароли, утёкшие при взломах, часто появляются в даркнете и используются в последующих атаках.

Пароль, который был раскрыт в утечке данных или известен злоумышленникам. Скомпрометированный пароль следует немедленно изменить на каждом сервисе, где он используется. Современные менеджеры паролей сравнивают ваши пароли с базами данных утечек и предупреждают вас.

Атака социальной инженерии, при которой злоумышленник выдаёт себя за доверенное лицо (банк, соцсеть, компания), чтобы обманом заставить вас ввести учётные данные на поддельном сайте. Обычно приходит по email, SMS или мессенджеру со ссылкой на копию легитимного сайта.

Техника атаки, при которой систематически перебираются все возможные комбинации паролей, пока не найдётся правильная. С современными компьютерами простой 8-символьный пароль можно взломать за часы. Поэтому длина имеет значение, и поэтому PBKDF2 замедляет каждую попытку.

Автоматизированная атака, при которой комбинации имени пользователя/пароля, утёкшие в предыдущих взломах, пробуются на других сервисах. Работает, потому что многие используют один пароль на нескольких сайтах. Если ваш пароль утёк с форума, злоумышленники пробуют его на банке или email.

Атака, при которой третья сторона перехватывает коммуникацию между двумя сторонами (например, вами и сайтом), при этом ни одна не знает об этом. Злоумышленник может читать, изменять или вставлять данные. Сквозное шифрование делает перехват данных бесполезным: даже при захвате они зашифрованы.