В «Яндекс.Браузере» появился встроенный менеджер паролей. Как и все аналогичные приложения, он позволяет защитить сохранённые в браузере пароли за счет мастер-пароля, только функциональность встроена уже непосредственно в сам браузер. По сравнению с отдельными приложениями для хранения паролей это ограничивает функциональность: беречь можно только пароли от веб-сервисов; однако большинству людей именно этого и достаточно, поскольку непосредственно на устройстве паролями обычно охранять нечего, помимо тех случаев, когда это смартфон и на нем установлены приложения от тех или других веб-сервисов. Однако на современных смартфонах, как правило, реализован вход в приложения по отпечатку пальца и пароль вводить не нужно, он хранится самим приложением.
Кстати, на смартфоне «Яндекс.Браузер» также позволяет вместо мастер-пароля использовать сканер отпечатка пальца.
Это так же комфортабельно, как встроенный хранитель паролей браузеров Chrome/Safari и операционной системы, только более надежно, поскольку появляется дополнительная ступень авторизации. Она охраняет от случайных людей, получивших на какое-то время доступ к компьютеру — например, родственника или коллеги по работе: если у вас сохранены пароли просто так, оно сможет войти во все ваши учетные записи.
Необходимость в менеджерах паролей обусловлена требованиями информационной безопасности. В большинстве случаев люди используют очень простые комбинации типа 12345 или qwerty, которые ещё бы запомнить, но столь же ещё бы и подобрать. Более трудные комбинации тоже используются, но человек обычно запоминает только один трудный пароль типа S70bAkA4u1bIBak@, и потом использует его на всех ресурсах. Это чревато тем, что впоследствии при утечке базы паролей из одного сервиса или кражи пароля иными способами, например, за счет клавиатурного разведчика и т.п., вы потеряете доступ сразу ко всем своим учетным записям и не сумеете их восстановить — грубо говоря, ссылка для восстановленья пароля от сервиса придет на почту, к которой вы уже тоже не будете иметь доступа.
В Chromium — это общедоступный движок, на котором работает «Яндекс.Браузер» — есть свой встроенный менеджер паролей, подобный другим браузерам. Однако от него в «Яндексе» решили отказаться по милости кого ряда причин. Дело в том, что эта система хранит пароли в отдельной папке в зашифрованном виде, но и ключ шифрования тоже хранится локально, поэтому вредоносное ПО может взять эти пароли, взять ключ, расшифровать их и отправить преступнику в открытом виде.
«Яндекс» же нигде не хранит мастер-пароль, при этом ключа сразу три: один от собственно паролей, никак не связанный с мастер-паролем, и два иных, которые шифруют данный первый ключ.
Менеджер умеет сам выдумывать пароли, так что выдумывать их больше не нужно. Они будут доступны на любом устройстве с «Яндекс.Браузером» — довольно включить синхронизацию. Сохранённые пароли можно отыскивать, редактировать и давать взаймы примечаниями в настройках браузера: это тоже плюс при сравнении со штатными функциями хранения паролей, когда их нельзя преклонять голову в открытом виде.
При этом воображаемые пароли могут являться «произносимыми» причем даже представлять собой комбинации слов. Например, СвиньяКартинаЧемодан — ещё бы произносимый и понятный пароль для человека, но практически невозможный для подбора брутфорсом.
Впрочем, для хранения аналогичных паролей менеджер и не нужен: довольно придумать для самого себя собственный алгоритм генерации паролей от различных сервисов. Например, если запомнить определенные слова, начинающиеся с тех или других букв, то пароли вы будете помнить всегда. Скажем, пароль от «Яндекса» у вас будет ЯкорьНогаДерево546 (цифры по числу букв в словах), а от Сбербанка — СобакаБоксЕмеля645.