Биометрический менеджер паролей APC BioPod


Наверное, каждый смотрел голливудские боевики (хотя бы краем глаза — укрыться от них в наше время некуда), где на секретных базах за семью замками хранится золото партии/достояние империи, и замки там сплошь не простые, а умеющие всячески вас измерить и решить, что с вами делать. Первая мысль, возникающая при взгляде на данное устройство: «Вот теперь и у нас, простых смертных, появилась возможность превратить свой дом в такую базу». Воображение сразу рисует отдельный домашний компьютер с подключенной видеокамерой, сенсор, прикрученный к двери вместо замка, и естественно радиоуправляемые запоры на металлических дверях… впрочем, я замечтался. Пока у нас на столе одно определенное устройство, с которым мы сейчас и будем знакомиться.

Железная часть

На сайте производителя данное устройство можно найти в разделе Networking and cable solutions: Biometric Security под названием Biometric Password Manager. Здесь имеется информация по двум моделям:

  • APC PERSONAL BIOMETRIC USB POD (код BIOPOD)
  • APC BIOMETRIC PASSWORD MANAGER EMEA (код BIOPOD-EC)

Единственное их отличие заключается в сертификатах: FCC Part 15 Class B — для BIOPOD и CE, FCC Part 15 Class B — для BIOPOD-EC.

С точки зрения начинки BIOPOD представляет собой биометрический сенсор Entre Pad AES3500 — третий по счету сенсор отпечатков компании AuthenTec и второй в линейке Entre Pad (разрешение 128 х 120 пикселей с плотностью 500 dpi, размер 14 x 14 мм), изготовленный с использованием технологии True Print (используется эффект отражения радиочастотных сигналов от нижнего, живого слоя кожи, что теоретически позволяет воссоздать рельеф пальца и не зависеть от таких мешающих факторов как повреждения и загрязнения кожи). (www.authentec.com/)

К слову, такие же сенсоры применяются в ноутбуках Samsung X10.

Питается устройство от шины USB, по ней же и данные передает (используется USB 1.1 — больше в данном случае и не нужно). Пожалуй, стоит отметить две резиновых ножки — благодаря им устройство прочно стоит на столе (а будь оно потяжелее, то им можно было бы колоть орехи ;))

Драйверы

На прилагающемся к устройству диске можно найти драйверы под Windows XP, Windows ME, Windows 2000 и Windows 2000 Server и, хотя на нем и написано о совместимости с Windows 98/98 SE, против ожидания, драйверы под эти операционные системы я не нашел. Проверив работу устройства под Win XP и Win 2K, могу сказать, что там оно работает как часы.

Так же отсутствует поддержка таких широко распространенных в узких кругах операционных систем, как Mac OS и Linux. В последнем случае, правда, энтузиасты уже вовсю их пишут (c результатами можно ознакомиться здесь или здесь), да и сама AuthenTec заявляет об их скором появлении — вместе с драйверами для PalmOS. Это не может не радовать, так же как и возможная поддержка устройством BioAPI.

Установка

Подключив устройство к свободному порту USB на задней панели компьютера, вставляем прилагающийся диск в привод CD-ROM. Автоматом стартует установка драйверов — новое оборудование нашлось без сучка, без задоринки даже на моей порядком покалеченной Windows XP. После этого в Системе появилось новое устройство в разделе «Контроллеры USB»: AuthenTec AES3500 TruePrint Sensor.

Затем честно выползло окошко, намекающее на то, что неплохо бы установить с прилагающегося диска программу OmniPass для работы с данным устройством. Что я и сделал, после чего система ушла в перезагрузку, а на появившемся после этого экране выбора пользователя я лицезрел дополнительный квадратик рядом с приглашением системы ввести имя пользователя и пароль. Поскольку отпечатков мы пока ещё не зарегистрировали, спокойно «не замечаем» его, жмем ОК и заходим в систему как обычно — такой способ программа тоже допускает (хотя логичнее было бы предположить полную замену пароля входа в систему на отпечаток — и к тому же более безопасно, но такой опции я не нашел).

Первое что мы видим после входа — это окно OmniPass Enrollment Wizard — программы отвечающей за регистрацию отпечатков пользователя (первый пользователь OmniPass создается автоматически на основе информации из текущей учетной записи пользователя Windows).

Сразу убираем галочку Show Enroll Wizard at startup, ибо, скорее всего, больше он нам не понадобится (при необходимости можно вызвать специально, кликнув на кнопке Enroll Finger в окне главной программы), и приступаем к регистрации своих немытых лап в системе :)

Для тех, кто пока не научился правильно прикладываться, предусмотрена кнопочка Practice. Дальше лично я выбирал указательный палец правой руки — это, как мне кажется, наиболее естественный вариант. После 10-15 прикладываний соображаем, что палец лучше доводить до упора в стенку углубления: тогда картинка получается более-менее повторяющейся. Кстати данная загвоздка возникает, как мне кажется, из-за слишком маленьких размеров чипа — он едва охватывает половину подушечки пальца.

Потренировались и хватит: жмем кнопку Enroll, выбираем пальчик и захватываем отпечаток.

Целых 8 раз для верности.

Кстати, из-за моей медлительности обнаружился интересный факт: если около минуты не прикасаться к сенсору, то программа по каким-то своим причинам считает, что время вышло:

Осталось пройти проверку распознавания, и мы зарегистрированы в системе. OmniPass создает у себя нового пользователя и спрашивает: готовы ли мы под ним залогиниться.

Программное обеспечение

Вот мы и подошли к главной части данного комплекса — ведь без адекватного ПО мы имеем всего лишь устройство для получения красивых картинок папиллярных узоров наших пальцев ;)

Программой для работы с паролями естественно является OmniPass — менеджер паролей от компании Softex Inc. Это основное приложение для работы с биосенсором, которое и занимается хранением и подстановкой нужных паролей. Версия на диске — 2.0.81, но, установив программу, её тут же можно обновить с сайта компании (через программу Weblink, которая устанавливается вместе с OmniPass). Текущая на момент написания обзора версия — 2.0.91 (на сайте также можно приобрести коммерческую версию 3.5).

Сразу же после установки в области значков «Панели задач» появляется новый значок в виде ключика.

Двойной клик на нем вызывает OmniPass Controll Center — окошко, через которое осуществляется вся настройка и работа с данным устройством. Она же вызывается из «Панели управления» или меню «Пуск».

Правый клик на том же значке вызовет появление главного и единственного меню в этой программе.

Кроме возможностей хранения паролей пользователя, программа предлагает так же шифрование/скрытие отдельных папок и файлов пользователя. Если кликнуть правой кнопкой мыши на любом файле, то можно заметить появившиеся дополнительные пункты контекстного меню, предлагающие зашифровать или расшифровать файл.

Но об этом чуть ниже.

Что же — указательный палец внесли в список, теперь попробуем запомнить пароли для моей новой Identity/Личины :) Стоит отдельно отметить терминологию данной программы:

  • User — либо пользователь Windows либо только OmniPass (данная опция выбирается галочкой в Enrollment Wizard), для которого она может зарегистрировать до 10 индивидуальных отпечатков. Для идентификации потом достаточно будет приложить любой из них.
  • Identity — роль, позволяет одному и тому же человеку, использующему какое-либо приложение, вводить в него различные пары имя/пароль в зависимости от каких либо своих соображении (например, дома он или на работе). Отпечатки пальцев при этом используются те же самые.

Полевые испытания

Работа с паролями и пользователями

Запоминаем пароли

Итак, перейдем непосредственно к истязанию. Вооружаемся OmniPass User Guide, который утверждает, что достаточно загрузить любой сайт с формой «имя/пароль» в браузер, как OmniPass это тут же распознает и выдаст всплывающую подсказку. Если кликнуть по ней, то курсор превратится в ключик.

И запомнит идентификационную информацию при клике на выбранном окне. Как и ожидалось, нормально у него это получается только с Internet Explorer, и то не каждый раз, прискорбно… Любителям других браузеров придется разочароваться — автоопределение здесь или не срабатывает или срабатывает не вовремя.

Вручную добавить пароль в список можно самостоятельно, щелкнув правой кнопкой крыски на значке в области значков и выбрав пункт меню Remember Password (Запомнить пароль). После этого курсор превратиться в уже известный нам ключик и потребует щелкнуть им по окошку, содержащему формы с желаемыми паролями.

Вот тут-то и начинаются косяки: если для IE действительно сохраняется имя и пароль, то под другими браузерами творится форменный беспредел: информация запоминается неверно — все последующие попытки зайти на избранные сайты с использованием таких браузеров как Firefox, Mozilla и иже с ними — провалились:

  • под Mozilla, например, сохраняется только адрес странички и что с ним дальше делать не совсем ясно
  • под FireFox поля с паролями даже не определяются программой
  • под Opera попытка сохранить пароль (только вручную) вообще вызывает сообщение об ошибке: мол, пароли на страничке не обнаружены!

Отдельная история с ICQ: сама OmniPass не определяет, что в этом маааленьком окошке есть пароль. Вот если вбить пароль вручную и указать на него программе, то последующие входы будут обслуживаться замечательно.

Похоже разработчикам стоит задуматься над улучшением распознавания паролей программой, а то за них это сделают другие :)

Роемся в паролях

Рассмотрим теперь, как управиться с уже сохраненными наборами драгоценной информации. Здесь все очень просто — работа с паролями сосредоточена на вкладке Password Vault (Свод паролей).

В окошке Friendly name (Сокращенное имя) отображается имя, которое вы задаете данной комбинации сайта и его логина/пароля, а рядом в правом окошке собственно сам Username и Password. Кстати — нажатием кнопочки Unmask Values можно открыть содержимое сохраненных полей и даже отредактировать его, что несколько снижает уровень безопасности, с моей точки зрения. С другой стороны, доступ на вкладку также ограничен:

Храним пароли

Немного расстраивает то, что данные о зарегистрированных пальцах и пользователях хранятся программой не на устройстве, что было бы вполне логично и безопасно, а в файлах данных на конкретном компьютере. То есть предполагается, что оно не станет персональным хранителем паролей, а будет использоваться стационарно.

Индивидуальная пользовательская информация хранится в файлах sfinger.dat, username.dat, userset.dat и usersite.dat в каталоге программы. К счастью, прямым копированием в другую систему они не подключаются.

Однако пользователю не придется забивать пароли каждый раз при переходе на другую машину: создателями предусмотрена возможность экспорта и импорта пользователей. Все необходимые для этого средства сосредоточены на первой вкладке главного окна.

При экспорте программа создает файл с расширением opi и просит запомнить имя пользователя, домен и мастер-пароль для последующего импорта пользователя в другую систему. Могут возникнуть проблемы, если пользователь был не чисто OmniPass-овским — тогда перед импортом придется создать такого же пользователя (то же имя, пароль и домен) на целевой машине.

Удивила заявленная на сайте «особенность» — возможность регистрировать до 20 индивидуальных отпечатков: сама программа позволяет запомнить максимум 10 для каждого пользователя. Кстати, если вы зарегистрировали уже какое-то количество пальцев в системе, вы не найдете способа удалить их: такие функции не предусмотрены — по крайней мере в версии программы распространяемой вместе с устройством.

Также не совсем ясен смысл заявленной в руководстве пользователя особенности — «Совместимость с Microsoft Credential Manager»: добавляемые туда пароли не появляются в списке пользователя программы OmniPass.

Шифрование файлов

А теперь как обещалось, рассмотрим подробнее вторую главную возможность OmniPass. Процедура шифрования запускается при правом клике на файле или папке и выборе соответствующего пункта меню (см. выше).

Программа попросит вас идентифицировать себя

выведет забавное предупреждение:

и покажет окошко со статусом процесса

Зашифрованному файлу дописывается расширение opf, оригинал пропадает. Для шифрования программа использует доступные в системе CSP (Cryptografic Service Provider) и по умолчанию: Microsoft Base Cryptographic Provider 1.0 — лично я тут же сменил его на Microsoft Strong Cryptographic Provider на второй вкладке программы:

Расшифровка происходит аналогично после выбора второго пункта меню:

Интересно, что этот второй пункт меню появляется только после того как мы зашифруем на логическом диске хотя бы один файл и пропадает на других дисках.

Стоит отметить, что хотя разработчики и говорят об интернационализации программы — сделано это как-то «кусочно-линейно», то есть лишь в Enrollment Wizard (и то не все), и в различных отдельных пунктах меню — видимо там, где было не лень ;) Хотелось бы полной языковой поддержки.

Что же, теперь попробуем посчитать плюсы и…

Начнем с минусов:

  • Не подойдет пользователям использующим что-то кроме Internet Explorer — поддержка других браузеров сильно хромает или отсутствует.
  • Не предусмотрена возможность отключить срабатывание программы для некоторых приложений — для тех, которые спокойно обходятся без необходимости ввода паролей (ICQ который самостоятельно запоминает пароль), или для тех, которые вообще не являются формами запроса ввода пароля (окна загрузки файлов через браузер, например) — периодически вылезающее окошко с предложением ввести пароли немного раздражает. Возможным решением было бы отслеживать формы в фоновом режиме и срабатывать только когда пользователь прикасается пальцем к сенсору
  • Из-за своего легкого веса устройство довольно непрочно стоит на столе, практически висит на шнуре
  • Слишком маленький размер сенсора: практически он охватывает только половину подушечки пальца — пока поймаешь нужный квадратик поверхности своего пальца можно потратить достаточно много времени.
  • Если по каким-либо причинам автозаполнение ранее запомненных полей логин/пароль не срабатывает, нет никакой возможности запустить его вручную.
  • Нет возможности отключить стандартное окошко входа в систему, что несколько повысило бы уровень безопасности
  • Хранение отпечатков и паролей на компьютере, а не в самом устройстве — снижает переносимость и безопасность
  • Заявленная Руководством пользователя в списке особенностей BioPod International Language Support реализована не полностью, а, скажем так, местами, и не поддается ручной настройке.

А теперь хорошие новости:

  • Нет претензий к качеству и скорости распознавания отпечатков: биосенсор работает отменно
  • Достаточно удобна как замена для входа в систему и заполнения различных паролей на сайтах, наблюдается определенная экономия времени
  • Также подхватывает любые системные окошки с запросом пароля — например, при блокировке компьютера или при использовании пароля на хранитель экрана.
  • Устранение ввода паролей вручную дает возможность сделать их более длинными и трудными для взлома
  • Регистрация нескольких пальцев позволяет использовать тот, который удобен
  • Естественно, поддерживается Microsoft Passport, так как он так же требует ввода пароля

И напоследок: на диске с драйверами в папке setup неожиданно обнаружилась программка ATDiag.exe непонятного назначения — видимо, из инструментария самой AuthenTec: запустив её можно полюбоваться на свой отпечаток в соответствующем окошке, и подивится на функцию Force Finger Detect подключение которой почему-то никаких результатов не дает. Зато генерится некая отладочная информация в папочку Program Files\AuthenTec.

Сухой остаток или «Итоги» без Киселева

Аппаратная часть отработала на твердую 5, а вот софт сыроват и нуждается в доработке. BioPod замечательно подойдет для тех, кто использует Internet Explorer и большое количество паролей — людям по долгу службы просматривающим большое количество защищенных страниц (хотя мне вполне хватает менеджера паролей Mozilla ;)).

Безопасность системы, конечно, несколько повышается, но не в той мере какой хотелось бы имея биосканер. С другой стороны, имеем решение доступное каждому.





Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.