company_banner

Команда Firefox выпустила для своих пользователей менеджер паролей Lockbox



    Вчера, 26 марта, команда разработчиков браузера Firefox представила новый продукт под названием Firefox Lockbox — менеджер паролей для мобильный устройств. Согласно странице FAQ проекта, сейчас доступна только версия для iOS, но «в ближайшее время появится и вариант для устройств под управлением Android». Возможно, FAQ просто не обновили, потому что в Google Play приложение уже есть и доступно для скачивания. Также для ознакомления можно посмотреть репозиторий проекта на GitHub.

    Идея Firefox Lockbox одновременно и проста до банальности, и весьма символична, так как решает очень распространенный пользовательский кейс: извлечение паролей из браузера. Firefox Lockbox — по своей сути, тот же менеджер паролей, что и 1password или KeePass, однако имеет из коробки синхронизацию с одним из популярных браузеров. Приложение позволяет извлекать пользовательские пароли и переносить их в приложение без этапа передачи в открытом виде (если делать выгрузку логинов-паролей руками). Конечно, далеко не все пользователи способны извлечь свои данные, а некоторые даже не подозревают о такой возможности.

    Но во всей этой истории есть несколько больших «но»: Lockbox работает только с аккаунтами Firefox, плюс не до конца понятно, кому он нужен и почему Mozilla выпускает моно-приложение для хранения паролей вместо того, чтобы заниматься более важными вещами.

    Firefox как браузер переживает не лучшие времена. Согласно информации сервиса Statista, за 2018 год доля Firefox снизилась с 14% в январе до 10% в декабре с нижней точкой в 9,1% в ноябре.



    При этом за тот же период доля Chrome возросла с 50 до 70% — основной прирост пользовательской базы Google получила за счет пользователей IE и Edge, что в конце прошлого года вылилось в отказ от дальнейшей разработки Edge на движке EdgeHTML и переход на Chromium. По другим оценкам доля Chrome чуть меньше — 65% десктопных устройств, но Firefox от этого не легче: его доля все так же оценивается в районе 9%. Браузер от Mozilla не может тягаться по уровню комфорта с Google Chrome в плане пользовательского опыта мультиплатформы, что также негативно влияет на показатели FF.

    А нужен ли вообще Firefox Lockbox?


    Первая мысль, которая посещает любого человека, знающего о существовании 1password или KeePass: «а зачем вообще нужен Lockbox»?

    На самом деле придумать массовый юзеркейс для нового приложения от Firefox достаточно сложно. Все выглядит слишком специфично: Lockbox прибит гвоздями к Firefox и синхронизирует пароли только из него. Конечно, при миграции на ПК с, например, Chrome на FF, встроенные инструменты последнего позволяют вытащить все журналы и пароли из браузера Google, но что дальше?

    Вполне вероятно, основная задача Lockbox — облегчить жизнь уже имеющимся пользователям Firefox на ПК и ноутбуках в плане UX на мобильных устройствах. Мы знаем, что FF для мобильных устройств как минимум специфичен, да и выбору браузера на том же Android-смартфоне пользователи уделяют намного меньше внимания, нежели при работе через полноценную станцию в виде ПК или ноутбука. Основной способ применения Lockbox выглядит следующим образом: «если вы работаете на ПК через Firefox, вам не надо будет думать о запоминании паролей и ручном вводе на мобильном устройстве, просто раскатайте Lockbox».

    Решение это, как минимум, спорное. Firefox Lockbox — просто костыль, прокладка между браузером на ПК и мобильными устройствами, которая облегчит жизнь уже существующей пользовательской базе, но абсолютна бесполезна в плане привлечения новых пользователей, потому что на Chrome есть G-аккаунт, которому не нужны приложения для хранения паролей. Из преимуществ можно выделить только AES-256-GCM шифрование, протокол onepw и использование PBKDF2 и HKDF.

    При этом в описании приложения в Google Play и appStore указано, что требуемая версия Android — 7.0 и выше, а iOS — 11.0 и выше, то есть под целевую аудиторию Firefox Lockbox подпадают только современные устройства, вышедшие на рынок в последние несколько лет. Назвать подобный подход к разработке не слишком дальновидными — это не сказать ничего. При все уменьшающейся доле рынка браузеров, команда разработки просто отсекла всех тех, кто пользуется устаревшими по мнению маркетологов, но еще рабочими девайсами. Да и актуальность Lockbox вызывает массу вопросов, когда на рынке уже минимум десятилетие существуют более хардкорные альтернативы.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    А каким менеджером паролей пользуетесь вы?

    • 36,4%KeePass.274
    • 7,0%1Password.53
    • 10,0%Храню все в учетной записи Google.75
    • 12,6%Запоминаю.95
    • 17,0%Другое.128
    • 16,9%LastPass.127
    ITSumma
    294,02
    Собираем безумных людей и вместе спасаем интернет
    Поделиться публикацией

    Комментарии 49

      +3
      Прикрепите в опросе менеджер паролей LastPass. Сам им пользуюсь.
        –9

        Событие, к сожалению, вполне в стиле файрфокса последних нескольких лет. Firefox давно уже стал превращаться в комбайн из каких-то ненужных хреней (pdf.js, Pocket, Hello, теперь вот это), равно как и Mozilla, занимающаяся чем угодно (в основном маркетингом), только не техническим развитием браузера. Для ценителей прекрасного: privacynotincluded — промо-сайт от Mozilla, рекламирующий айпады, amazon kindle и тд. под соусом "отчётов о приватности". Но, справедливости ради, спасибо хотя бы за Servo и Rust.

          –3
          А как они испоганили новую вкладку с миниатюрами страниц. Теперь, лично для меня это нечто неюзабельное. И отдельный камень в огород мозилы — неотключаемая проверка обновлений.
            +3
            И отдельный камень в огород мозилы — неотключаемая проверка обновлений.

            about:config -> app.update.auto -> false

            Хотя возможно это именно сами обновления, а не проверялка на наличие таковых. Ну проверялку можно в app.update.interval максимально отсрочить.
              0
              Этот ключ не существует уже с октября 2018 в регулярных выпусках.
              Не прибегая к политикам, можно лишь отключить автоматическую установку, но не уведомления о наличии.

              Отключить уведомления можно только через политики.
                +1
                В FF 66.0.1 на маке этот ключ есть. Может он не работает(я не проверял), но он есть.
                  +1
                  Точно, порылся в истории изменений: его удалили только в Windows-сборках.
              +1
              неотключаемая проверка обновлений.
              Всё прекрасно отключается через политики. Создать JSON-файл политик и положить его в нужное место, вроде бы, несложно.
              +2
              Hello
              Уже давно нет.

              теперь вот это
              Кто-то заставляет ставить в браузер дополнение, чтобы потом говорить, что он превращается в комбайн?
                +2
                а как же недавнее обновление движка?
                0

                Есть еще Dashlane

                  –1
                  Это не тот Firefox, папку с профилем которого можно скопировать на другой компьютер, запуститься под этим профилем и посмотреть сохраненные пароли? :)
                    +3
                    Это если без мастер пароля?
                      0
                      Без мастер пароля можно копировать))
                        +1
                        Копировать файл можно в любом случае. Защита файлов на диске от копирования — это уже задача операционной системы (если пользователь не зашифровал диск, а кто-то загрузился с LiveCD, то этот кто-то может скопировать вообще любой файл в системе).

                        С мастер-паролем сам файл, в котором хранятся пароли, зашифрован. Его копирование вам ничего не даст.
                        0
                        Без мастер пароля, разумеется. Но по-умолчанию лис его и не требует, таким образом очень много пользователей, не понимая того, хранят пароли в не зашифрованной базе.
                        Хром эту задачу решил без мастер-паролей.
                          +1
                          «решил»?
                          От кражи файла/файлов защитил, а от посмотреть пароли без кражи?
                        +1
                        Да, а чего вы ожидали, если у вас пароли хранятся незашифрованными?
                          0
                          Я ничего не ожидал — я хромом пользуюсь :) Хром, кстати, по-умолчанию, шифрует пароли и при хищении папки профиля — ничего не покажет без ввода пароля от гугловской учётки.
                          Вот это нормальный подход, когда даже незнайка в безопасности.
                            +1
                            без ввода пароля от гугловской учётки
                            А Firefox позволяет шифровать пароли вообще без всякой учётки. Без гугловской, без мозилловской. Именно поэтому шифрование не включено по умолчанию.

                            Вы сравниваете Firefox без учётки с Chrome с учёткой. Попробуйте сравнить с Chrome, когда в него тоже не заведена гугловская учётка?
                              0
                              Раз вы попросили, то я это воспроизвел :)
                              Установил на чистой винде в виртуалке последний хром и зашел на mail.ru, сохранив пароль. На своей машине убрал свою папку профиля и запустил хром (он, естественно, повел себя как свежеустановленный). Закрыл хром и переместил папку профиля из виртуалки, с заменой файлов.
                              Далее я запустил хром и что увидел? История из виртуалки на месте, а в паролях пусто.

                              Я вас ни в чём не убеждаю, я просто говорю о том, что браузер по-умолчанию должен заботиться о пользователе, в мире миллиард пользователей интернета — сколько из них айтишников?
                                0
                                строго говоря, это не означает, что пароли нельзя прочитать из файлов. Если они шифруются без ввода чего-либо, то было бы интересно узнать, как именно это работает.
                                  0
                                  Прочитать и расшифровать можно (например, ChromePass), но только на той же машине.
                                    +2
                                    Не знаю как там сейчас обстоят дела, но раньше под виндой Chrome использовал DPAPI. Там примерно такая шляпа:
                                    — Для каждой учётной записи Windows существует свой мастер-ключ.
                                    — Если учётная запись Windows защищена паролем, мастер-ключ дополнительно им шифруется.
                                    — Если учётная запись Windows НЕ защищена паролем и разработчик не озаботился эту ситуацию обработать (попросить пароль для хранилища), то данные будут «немножко зашифрованы» — от других пользователей на этой же системе.

                                    Таким образом чтобы спереть пароли из хрома простым копированием профиля, нужно чтобы учётка была не запаролена (либо знать пароль) и вместе с профилем забрать ключи из %APPDATA%\Microsoft\Protect.

                                    Подробнее: habr.com/ru/post/148602
                                    +1
                                    История из виртуалки на месте, а в паролях пусто.
                                    Это правильно сделано. Тут Chrome впереди, не спорю. Насколько я помню, у Mozilla были планы заменить всю текущую схему хранения паролей (потому что дефолтный менеджер писался кучу лет назад и использует недостаточно сильную криптогрфию) на Lockbox, поэтому они решили сосредоточиться на его развитии, а текущую реализацию не трогать, раз уж ей всё равно суждено помереть.

                                    В принципе, если Lockbox допилят до возможности хранить пароли безопасно даже без входа в учётную запись Mozilla, то можно уже и заменять.
                            +13
                            Браузер от Mozilla не может тягаться по уровню комфорта с Google Chrome в плане пользовательского опыта мультиплатформы
                            Пользуюсь Firefox на Linux, Windows, Android, все синхронизируется — никаких проблем. Что такого удобного в Хроме?
                              +5
                              Просто некоторые люди больше доверяют компании, которая продаёт их данные, чем компании, которая не занимается их продажей.
                                +1
                                Несколько наивно подозревать Google в краже паролей, по продолжать использовать Android.
                                  +2
                                  Я думаю, что за все эти 10+ лет существования Андроида, и при том количестве энтузиастов, работающих с их кодом, кто-то всё-таки заметил бы утечку паролей с устройств. А вот то, что происходит за пределами устройства, это уже совсем грязный бизнес.
                                +3
                                На хроме не выскакивает надоедливая реклама хрома в поиске гугла. Вот и весь секрет его популярности.
                                  +1
                                  ниразу её не видел — uBlock, наверное :)
                                    0

                                    uBlock на Андроидном Хроме?

                                      0
                                      не, но на андроиде я тоже не видел надоедливой рекламы хрома :)
                                  +1

                                  (Не)навязчивая реклама и встраивание в ось по умолчанию.
                                  Ещё заметил появление хрома в installShield'ах. Или что там сейчас распространено.

                                  –1
                                  Дыра номер 2 в топе (после ДиД). Зачем ломать все подряд, если можно сломать менеджер паролей (расшифровать) конкретного человека (но непонятно зачем) и получить все и сразу?

                                  p.s. Каким бы не был сложен пароль, он на 99.(9)% сливает многофакторной авторизации. И ломать не нужно хранилище паролей. Сломать сайт, найти недовольного сотрудника, повалить и сдампить…
                                    +6
                                    не могу не вклиниться, когда ругают любимый браузер.
                                    Может ФФ и неидеален на всех платформах, но он до сих пор тот самый браузер, который я могу настроить как хочу, блокировать что хочу и как хочу, ставить любые дополнения и тп. На андроиде использовал его еще с бэты. Он с каждым релизом все лучше и лучше. Пару скачиваний назад, обновление принесло серьезное ускорение рендера. Хотя первые версии были реально тормозные.
                                    По сабжу, может приложуха и маленькую аудиторию найдет, но думаю она продолжит развиваться.

                                    Идеальных браузеров до сих пор нет…
                                      0
                                      Это приложение — именно то, в чём я нуждался. Добавить ещё генерацию паролей и пр. фишки менеджеров паролей и будет супер.
                                      Мобильный FF — тоже без альтернатив. Какой ещё мобильный браузер поддерживает дополнения?
                                        0
                                        Яндекс браузер в какой-то мере, я им пользуюсь. У огнелиса неудобный интерфейс на андроиде.
                                      –3
                                      А как же Kaspersky Password Manager?
                                        0
                                        Платный, закрытый? Серьёзно?
                                        –5

                                        После того как они плюнули в лицо пользователям и разработчикам отключив нативные расширения и сделав интерфейс Аля Google Chrome, за, что получили в Arch Linux переименование ярлыков в Google Chrome — странно, что им вообще кто пользуется. Пора бы уже им сменить движок, как Opera — и отправиться на свалку. По факту уже осталось 2.5 браузера. Ещё немного и будет один Google intranet.

                                          +3
                                          Про расширения уже обсуждалось на хабре, да и не раз. Скорее положительный ход, чем отрицательный.
                                          А интерфейс — вообще такое себе. Вкусовщина, одним словом.
                                          Маловато чтобы на свалку отправляться.
                                            –1
                                            Положительный разве что в том смысле, что совсем положили на существующих пользователей, попытавшись отхватить что-то от Хрома. Но нет, обойдутся. Конечно, нужна альтернатива Хрому, но клонированием делу не поможешь.
                                          –2

                                          Как люди пользуются Keepass, я не понимаю. Совершенно же нефункциональная и неюзабельная хрень.
                                          Долгое время плакал, кололся, но с плясками и танцами запускал лет 15 как всеми забытый Password commander. Потом сидел на самописном велосипеде. А с год назад внезапно обнаружил enpass. Жалкое подобие левой руки, конечно (нет шаблонизатора, нельзя сделать кнопку запуска программы, нельзя прикрепить файл, да и интерфейс подпорчен новомодным material раком), но в принципе съедобно. Есть linux/windows/android etc, синхронизация через любые облака. Рекомендую.

                                            –1

                                            А, основное забыл. Оно proprietary & closed source, и написано индусами.
                                            Так что паранойя до сих пор щекочется, это да.

                                              0
                                              Эээ всмысле закрытые? Вот же исходники github.com/dlech/KeePass2.x
                                              И даже на сайте программы написанно что лицензия Open Source software (GPL)
                                                0

                                                я об enpass

                                            0
                                            Господа, в чем отличие от связки «синхронизация аккаунта Firefox на ПК и смартфоне + мастер пароль» от Lockbox? Два раза перечитал статью, так и не понял.
                                              0
                                              Lockbox — это по задумке отдельное приложение для хранения паролей, как указано в статье конкурент KeePass к примеру.
                                              Т.е. не обязательно только веб пароли в нем хранить, а можно например от 1С или от банковских карт ;)
                                              Есть приложения для мобильных платформ, а для ПК — приложение это сам Firefox
                                              Задумка хорошая для рядовых пользователей, которым лень разбираться еще и с KeePass
                                              Для аудитории Хабра не факт

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое