Обзор 2FAS Pass – новый менеджер паролей с архитектурой local-first и поддержкой WebDAV

Приложение 2FAS Pass представляет собой менеджер паролей, построенный на архитектуре local-first. В отличие от популярных облачных решений, где данные хранятся на серверах провайдера, здесь зашифрованные хранилища (Vaults) по умолчанию находятся исключительно на устройстве пользователя.

Разработчики, известные по приложению 2FAS Auth, представили новый продукт с открытым исходным кодом, который находится в стадии активной разработки. В основе проекта — приоритет пользовательского контроля над данными и отсутствие привязки к конкретному поставщику услуг.

Основой безопасности выступает модель Zero-Knowledge (разработчик не имеет доступа к данным пользователя). Все процессы шифрования и дешифровки происходят на конечном устройстве. Для защиты данных используется алгоритм AES-256-GCM, а ключи шифрования формируются на базе мастер-пароля и 15 секретных слов с применением функции деривации ключа Argon2id.

Скачать 2FAS Pass

Сравнение с KeePass и ключевые преимущества

Для пользователей, знакомых с KeePass и его форками (KeePassXC, KeePassDX), концепция 2FAS Pass покажется знакомой, так как оба решения используют локальное хранение баз данных. Однако между ними есть существенные различия в подходе к удобству использования и синхронизации.

Преимущества 2FAS Pass перед классическими вариациями KeePass:

• Интегрированная экосистема: 2FAS Pass предлагает более связную работу между мобильным приложением и расширением для браузера "из коробки", не требуя сложной настройки портов или установки сторонних плагинов.
• Простая синхронизация: В то время как пользователям KeePass часто приходится вручную настраивать синхронизацию файла базы данных через сторонние облачные клиенты, 2FAS Pass имеет встроенную поддержку нативной синхронизации (iCloud/Google Drive) и протокола WebDAV.
• Современный интерфейс: Приложение изначально разрабатывается с упором на мобильные платформы, предлагая более современный визуальный стиль и навигацию.

При этом стоит учитывать, что KeePass – это зрелый продукт с двадцатилетней историей, огромным количеством плагинов и полной независимостью от конкретного разработчика. 2FAS Pass – новый менеджер паролей, функциональность которого активно дорабатывается и расширяется.

Механизм подключения браузерного расширения

Одной из технических особенностей 2FAS Pass является способ взаимодействия мобильного приложения и расширения для браузера на рабочем компьютере.

Даже если пользователь не использует облачную синхронизацию, он может передавать пароли в браузер. Смартфон выступает в роли локального сервера аутентификации. При попытке входа на сайт расширение устанавливает защищенное соединение напрямую с мобильным устройством (через сканирование QR-кода или локальный канал связи). Дешифровка данных происходит на смартфоне, после чего необходимые учетные данные передаются в браузер.

Такой подход позволяет использовать расширение на чужих или общедоступных компьютерах без риска оставить на них копию базы паролей - после разрыва соединения данные в браузере не сохраняются.

Почему отсутствует встроенный 2FA-аутентификатор

В 2FAS Pass намеренно не реализована функция генерации одноразовых кодов (TOTP), хотя разработчик имеет успешный опыт в создании таких инструментов. Это решение продиктовано принципом разделения ответственности и повышения безопасности.

Хранение паролей и кодов второго фактора в одной базе данных создает единую точку отказа. Если злоумышленник получит доступ к менеджеру паролей, он скомпрометирует и логин, и второй фактор защиты. Разделение функциональности на два приложения (2FAS Pass для паролей и 2FAS Auth для кодов) гарантирует, что компрометация одного компонента не приведет к полной потере контроля над аккаунтами.

Уровни безопасности и защита данных

В приложении реализована уникальная система трехуровневой защиты записей (Security Tiers), позволяющая балансировать между удобством и безопасностью:

• Secret (Секретный): Стандартный уровень. Данные полностью доступны для автозаполнения в браузере и приложениях. Используется для массовых аккаунтов.
• Highly Secret (Особо секретный): Автозаполнение возможно, но требует обязательного подтверждения биометрией или мастер-паролем на смартфоне при каждом запросе. Подходит для важных сервисов.
• Top Secret (Совершенно секретный): Автозаполнение отключено. Просмотреть данные можно только вручную внутри мобильного приложения. Предназначено для критически важной информации (например, seed-фразы криптокошельков).

Стоимость и возможности платной версии

Приложение распространяется по модели Freemium. Базовые функции безопасности доступны бесплатно, но существуют ограничения на объем хранимых данных и удобство синхронизации.

Различия версий:

Free (Бесплатная):

• Лимит записей: до 200 элементов.
• Синхронизация: отсутствует автоматическая синхронизация между несколькими устройствами (Multi-device Sync). Доступен только бэкап и работа на одном устройстве.
• Тайм-аут расширения: менее 60 минут (требуется частое повторное сопряжение с телефоном).
• Ограничение расширения: поддержка только одного активного браузера.

Unlimited (Платная - $11.99/год):

• Лимит записей: неограниченно.
• Синхронизация: полноценная синхронизация между любым количеством устройств (iOS, Android).
• Поддержка WebDAV: возможность использования собственного сервера (NAS, Nextcloud) для синхронизации, исключая передачу данных в iCloud или Google Drive.
• Тайм-аут расширения: неограничен (постоянное соединение без необходимости частого подтверждения).
• Количество устройств: без ограничений.

Ответы на частые технические вопросы

Где физически хранятся пароли при включенной синхронизации?

При использовании Google Drive или iCloud файл базы данных помещается в скрытую папку приложения (Application Data), недоступную для прямого просмотра пользователем через файловый менеджер облака. При использовании WebDAV файл хранится в указанной пользователем директории на его сервере. В обоих случаях данные передаются и хранятся исключительно в зашифрованном виде (AES-256).

Что произойдет при потере телефона?

Для восстановления доступа необходим "Комплект для расшифровки" (Decryption Kit), содержащий 15 секретных слов. Если синхронизация была включена, данные восстановятся из облака. Если нет – данные будут утеряны вместе с устройством, так как 2FAS не хранит копии ключей пользователей.

Как работает автозаполнение на поддоменах?

В настройках записи предусмотрен выбор правил совпадения URL (Matching Rule). Пользователь может указать, как именно приложение должно определять сайт: по базовому домену, точному совпадению хоста и порта, началу строки или полному совпадению URL. Это решает проблему автозаполнения на сложных корпоративных порталах и локальных ресурсах.

Важно учитывать, что 2FAS Pass – это новый продукт, находящийся в стадии активного роста. Как и любое новое программное обеспечение, он может страдать от «детских болезней», особенно в части автозаполнения. Менеджеры паролей требуют времени для накопления базы исключений под верстку тысяч различных сайтов, поэтому на данном этапе алгоритмы могут не всегда корректно определять поля ввода.

Однако открытость разработчиков и архитектура приложения вселяют надежду на быстрое устранение этих недочетов. Команда проекта демонстрирует высокую скорость выпуска патчей, оперативно исправляя критические ошибки.