Введение

В условиях повсеместной цифровизации и роста количества онлайн-сервисов проблема обеспечения безопасности персональных данных становится критически важной. Киберпреступность постоянно эволюционирует, а пользователи зачастую не обладают достаточными знаниями и навыками для защиты своей цифровой идентичности. Это создает серьезные угрозы как на индивидуальном уровне, так и для общества в целом. Приведённый в работе [1] анализ публичных исследований паролей из баз утечек 2023–2025 годов показал, что более 80 % паролей не только не соответствуют рекомендациям Национального института стандартов и технологий США (National Institute of Standards and Technology — NIST) [2] по длине, а свыше 90 % из них не удовлетворяют корпоративным стандартам сложности, а стакже требованиям приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 11.04.2025 г. № 117 [3]. Более того, как показало исследование, проведенное компанией Comperitech [4], до сих пор пользователями наиболее часто используются пароли «123456», «admin» и «password», т. е. пользователи не меняют своего поведения из-за неудобства или непонимания рисков утечки конфиденциальных данных и даже утраты денег со своих счетов. Это обстоятельство диктует необходимость включения в менеджеры паролей обучающего компонента, не только модуля, оповещающего пользователя о том, что придуманный им пароль уязвим.

1. Обзор наиболее популярных российских менеджеров паролей

После объявления политики импортозамещения российский рынок менеджеров паролей стал активно развиваться и на ем сейчас можно найти продукты с различными функциональными возможностями, ориентированные как на индивидуальных пользователей, так и на бизнес, государственные структуры, а также на предприятия и организации с повышенными требованиями к обеспечению информационной безопасности, наиболее популярные из них входят в «Топ 5 лучших». Рассмотрим их ниже.

Первым и, пока, единственным менеджером паролей, получившим 30 апреля 2026 года сертификат ФСТЭК, стал менеджер «Пассворк», созданный ООО «Пассворк». При этом «Пассворк» получил 4-й уровень доверия, что как отмечено на сайте производителя [5], подтверждает его соответствие требованиям безопасности регулируемых отраслей и объектов критической инфраструктуры. Функциональные возможности этого менеджера включают: оповещение о старых, слабых и скомпрометированных паролях; обеспечение тонкой настройки прав доступа для папок; управление правами пользователей с помощью групп; сохранение всех действий и изменений, обеспечение совместной работы и др. Работает «Пассворк» под управлением операционных систем Linux, Windows, iOS и Android обеспечивая расширения для браузеров Chrome, Edge, Firefox и Safari.

Kaspersky Password Manager — решение широко известной компании «Лаборатория Касперского» [6] предназначено для хранения паролей и конфиденциальных данных с поддержкой популярных операционных систем и платформ как для частных лиц, так и для бизнеса и госсектора. Использует шифрование алгоритмом AES для создания ключей. Поддерживает автозаполнение и генерацию паролей, биометрическую аутентификацию, двухфакторную аутентификацию.

BearPass — менеджер паролей для бизнеса, как отмечено на сайте его производителя [7] обеспечивает безопасное управление личными и корпоративными учётными данными. Использует алгоритм AES-256-GCM и ключи RSA 2048 для защиты данных. Поддерживает двухфакторную аутентификацию (2FA), интеграцию с технологией единого входа SSO (Single Sign-On) и открытым протоколом для доступа к централизованным каталогам LDAP (Lightweight Directory Access Protocol), аудит паролей и мониторинг даркнета. Производитель этого менеджера предлагает облачные решения и локальные установки.

Особо отметим занявшую первое место в номинации «Информационная безопасность» на конкурсе «ПРОФ-IT. Инновация-2025» облачную платформу TeamDo, которая, как указывает на своем сайте [8] ее производитель компания «Адекс», позволяет хранить корпоративные пароли в защищённом хранилище с поддержкой двухфакторной аутентификации и ролевого управления, а также включает функции отслеживания предоставленных доступов, инвентаризации цифровых и материальных активов, цифровые чек-листы. Для шифрования в TeamDo используется комбинированный алгоритм AES и RSA с 1024-битным ключом.

Еще один менеджер паролей, предназначенный для централизованного хранения и организации доступа к паролям для систем и сервисов — «ОдинКлюч» [9] может быть развёрнут как в инфраструктуре заказчика, так и в виде SaaS-решения. Для обеспечения защиты информации применяется алгоритм шифрования ГОСТ 34.12–2018. Инструмент предоставляет функционал для контроля над паролями, генерации сложных уникальных комбинаций и безопасного обмена конфиденциальной информацией, фиксирует действия пользователей в журнале аудита, что позволяет проводить расследование инцидентов. Этот менеджер включен в реестр отечественного программного обеспечения и в настоящее время проходит сертификацию ФСТЭК России.

Из приведенного обзора менеджеров паролей следует, что среди их богатых функциональных возможностей обучающая составляющая остается ограниченной.

2. Описание приложения «PassShield»

Приложение «PassShield» было разработано с целью исследования возможности включения обучающего компонента — тренажера пользователей, которое может быть использовано в качестве прототипа для будущих разработок. Оно представляет собой комплексное веб-приложение, сочетающее в себе безопасное локальное хранение паролей с использованием клиент-сайд шифрования (Client-Side Encryption, CSE) с использованием алгоритма AES-256 и интерактивный тренажер.

Выбор в пользу клиент-сайд шифрования обусловлен тем, что это единственная архитектура, которая гарантирует математическую конфиденциальность. Шифрование на стороне клиента означает, что сервер не шифрует данные, которые он хранит для пользователя, а оставляет шифрование на стороне клиента, предоставляя ему полный контроль над процессом. Этим провайдер как поставщик услуг доказывает, что не может получить доступ к незашифрованным данным, поскольку изначально не имел доступа к ключам шифрования. Теоретически это означает, что пользователям не нужно доверять провайдеру в вопросах конфиденциальности их данных.

Поведение приложения «PassShield» в процессе взаимодействия с ним пользователя представлено на рисунке 1 в виде диаграммы состояний, которая визуализирует, как пользователь в зависимости от выбора им вида действия перемещается между основными функциональными модулями, и показывает, какие состояния система принимает в процессе работы. Каждый переход между состояниями от авторизации через главное меню к работе с модулями хранилища, генератора, проверки паролей и интерактивного тренажёра организован по строгому алгоритму, обеспечивающему защиту конфиденциальных данных за счёт локального хранения, клиент-сайд шифрования и немедленного очищения оперативной памяти после выполнения операций, что в сочетании с образовательным компонентом формирует у пользователя не только практический инструмент для управления паролями, но и устойчивые навыки цифровой гигиены.

Рис. 1. Диаграмма состояний приложения PassShield

При построении архитектуры приложения были учтены следующие ключевые принципы:

1. Безопасность через нулевое доверие (Zero Trust). Сервер не имеет доступа к данным пользователя. Шифрование и хранение происходят исключительно на стороне клиента;
2. Кроссплатформенность. Приложение работает в любом современном браузере, поддерживающем PWA, что обеспечивает доступность на различных операционных системах;
3. Приватность. Отсутствие облачного хранения паролей исключает риски массовых утечек и предоставляет пользователю полный контроль над данными.

Архитектура приложения, построенная с учетом указанных принципов и схемы клиент-сайд веб-приложения с локальным хранением данных, что обеспечивает максимальную безопасность и конфиденциальность, представлена на рисунке 2 в виде диаграммы развертывания.

Рис. 2. Диаграмма развертывания приложения PassShield

На диаграмме развертывания представлены следующие элементы:

1. Узел: «Устройство пользователя». Представляет конечное устройство, на котором работает приложение. Это может быть персональный компьютер, ноутбук, планшет или смартфон, на которых установлены следующие компоненты:

– Веб браузер (PWA). Основная среда выполнения приложения. Браузер интерпретирует HTML, CSS и JavaScript, обеспечивая пользовательский интерфейс и логику работы. Поддержка стандарта Progressive Web App (PWA) позволяет установить приложение на устройство для оффлайн-доступа и улучшенного пользовательского опыта;

– Модуль «Клиент-сайд шифрование». Криптографический модуль, реализующий алгоритм AES-256 для шифрования и расшифровки данных непосредственно на устройстве пользователя. Ключи шифрования никогда не покидают устройство;

– Локальное хранилище. База данных, где сохраняются зашифрованные пароли и данные пользователя. Все данные хранятся только на устройстве пользователя.

2. Узел «Application Server». Сервер, предоставляющий статические файлы приложения (HTML, CSS, JavaScript). Не хранит пользовательские данные или пароли, что исключает риски массовых утечек. Статические файлы. Исходный код фронтенд-приложения, загружаемый браузером при первом обращении.
3. Узел «Внешние API». Включает интеграцию с сервисом Have I Been Pwned (HIBP), который используется для проверки паролей на наличие в известных утечках данных.
4. Облако: «HTTP/Internet». Символизирует сеть Интернет, через которую осуществляется взаимодействие между браузером, сервером и внешними API. Все соединения защищены протоколом HTTPS.

Ниже описаны связи информационные связи межу элементами системы.

1. Веб-браузер ↔ Статические файлы (Application Server). Браузер загружает исходный код приложения с сервера по защищённому HTTPS-соединению. После загрузки приложение работает автономно.
2. Клиент-сайд шифрование ↔ Веб-браузер ↔ Локальное хранилище. Взаимодействие осуществляется через JavaScript API. Пароли шифруются перед сохранением в локальное хранилище и расшифровываются только на устройстве пользователя.
3. Устройство пользователя ↔ HIBP (Внешние API). При проверке пароля на надёжность браузер отправляет только хеш-префикс пароля в API HIBP для проверки его наличия в утечках. Сам пароль не передаётся.

Данная архитектура обеспечивает высокий уровень безопасности, соответствует современным тенденциям веб-разработки и удовлетворяет требованиям к конфиденциальности и доступности.

3 Примеры работы приложения

На рисунке 3 представлено окно программы в режиме «Обзор безопасности» в котором пользователю выведены сведения о состоянии хранилища ранее созданных паролей, средняя оценка их стойкости, а также о прогрессе в обучении пользователя.

Рис. 3. Окно программы в режиме «Обзор безопасности»

В данном случае в рабочем окне программы пользователю выведена информация о том, что им создано 18 паролей из которых 3 за последний месяц для отмеченных аккаунтов. Средняя надежность этих паролей составляет 82 %. При этом в хранилище отмечены 2 повторяющихся пароля что требует их замены в соответствии с рекомендациями в виде проактивных подсказок для повышения безопасности паролей. Также пользователю напоминается, что он прошел 4 уровня обучения.

На рисунке 4 представлено окно программы в режиме «Генератор паролей». Здесь для создания стойкого и уникального пароля пользователю предлагается выбрать требуемые параметры для него. После выбора пользователем необходимых опций для пароля и нажатия кнопки «Сгенерировать» программа выводит созданный пароль вместе с оценкой его стойкости.

Рис. 4. Окно программы в режиме «Генератор паролей»

На рисунке 5 представлено окно программы в режиме «Обучающий тренажер», в котором программа информирует пользователя о том, какие именно темы обучения он уже прошел и какие он продолжает изучать. Для закрепления теоретических знаний программа предлагает пользователю выполнить практическое задание.

Рис. 5. Окно программы в режиме «Обучающий тренажер»

На рисунке 6 представлено окно программы в режиме «Хранилище паролей», в котором пользователь может видеть без открытого отображения паролей список сервисов, для которых он за некоторое время создал эти пароли и цветовую индикацию уровня их надежности.

Рис. 6. Окно программы в режиме «Хранилище паролей»

Заключение

Практическое использование менеджера «PassShield» позволило получить следующие результаты:

1. Повысился уровень парольной защиты данных пользователей за счет того, что ключ шифрования и процесс расшифровки данных никогда не покидают его устройства. Это означает, что даже в случае перехвата передаваемых данных или компрометации сервера злоумышленник не получит доступ к конфиденциальной информации, так как она зашифрована ключом, которым он не обладает. Модель безопасности строится по принципу «нулевого доверия» к инфраструктуре разработчика, что максимально снижает риски внутренних угроз и утечек с серверной части.
2. Снизились риски компрометации аккаунтов пользователей, что стало прямым следствием улучшения защиты паролей и снижения вероятности успешного взлома учетных записей методами грубого подбора (brute-force) и использования украденных учетных данных. За счет интеграции с API Have I Been Pwned обеспечена своевременная реакция пользователя на утечки данных, что минимизирует потенциальный ущерб.
3. Реализована возможность формирования у неквалифицированных пользователей устойчивых навыков кибербезопасности. Образовательный компонент обеспечивает долгосрочный эффект, который сохранится даже при прекращении использования самого приложения.

Таким образом, решения, заложенные в проект менеджера «PassShield», успешно апробированы на практике и могут быть рекомендованы для использования в популярных менеджерах паролей, что будет способствовать увеличению их функциональности и, в конечном итоге, повышению уровня защищенности данных пользователей.

Литература:

1. Мукашев, А. Р. Статистический анализ парольных политик на основе данных публичных исследований / А. Р. Мукашев // Молодой ученый. — № 16 (619). — 2026. — С. 42–45.
2. Grassi, P. Digital Identity Guidelines: Authentication and Lifecycle Management / P. Grassi, E. Newton, R. Perlner et. al. // Special Publication (NIST SP). — Gaithersburg, MD: National Institute of Standards and Technology. — 2017. — 79 p. https://doi.org/10.6028/NIST.SP.800–63b
3. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений [Электронный ресурс] // URL: https://normativ.kontur.ru/document?moduleId=1&documentId=500478&ysclid=mp2b95j88f257172095 (дата обращения: 17.04.2026).
4. 123456 — всё еще король. Исследование 2 миллиардов паролей 2025 года показало, что мы ничему не учимся [Электронный ресурс] // URL: https://www.securitylab.ru/news/565848.php (дата обращения: 17.04.2026).
5. Менеджер паролей и секретов для бизнеса и госсектора Пассворк [Электронный ресурс] // URL: https://passwork.ru/ (дата обращения: 03.04.2026)
6. Лаборатория Касперского. Kaspersky Password Manager [Электронный ресурс] // URL: https://www.kaspersky.ru/lp/password-manager (дата обращения: 03.04.2026)
7. Российский облачный менеджер паролей для бизнеса BearPassCloud [Электронный ресурс] // URL: https://bearpass.ru/cloud (дата обращения: 03.04.2026)
8. Менеджер паролей TeamDo [Электронный ресурс] // URL: https://teamdo.ru/passwords/ (дата обращения: 03.04.2026)
9. Менеджер паролей российских разработчиков — Один Ключ [Электронный ресурс] // URL: https://одинключ.рф/ (дата обращения: 03.04.2026)