2FAS Pass

Обзор

2FAS Pass — новый менеджер паролей от создателей популярного приложения двухфакторной аутентификации 2FAS Auth. Построен на архитектуре local-first с zero-knowledge шифрованием AES-256-GCM: все пароли хранятся исключительно на устройстве пользователя, а опциональная синхронизация через WebDAV, iCloud или Google Drive подключается только по желанию.

Что такое 2FAS Pass

2FAS Pass — кроссплатформенный менеджер паролей с открытым исходным кодом, в котором зашифрованные хранилища (Vaults) по умолчанию никогда не покидают устройство. Здесь нет обязательной регистрации аккаунта, центральных серверов разработчика и облачной привязки. Приложение полностью работоспособно в офлайн-режиме, а каждое хранилище получает уникальный UUID и собственный набор криптографических ключей.

Исходный код приложений для Android и iOS опубликован на GitHub. Любой желающий может проверить реализацию шифрования и убедиться в отсутствии скрытых механизмов сбора данных. Такая прозрачность — важное преимущество перед коммерческими менеджерами с закрытым кодом.

Кому подходит и сценарии использования

Хранение паролей полностью без облака

Пользователи, которые не доверяют облачным сервисам или обеспокоены масштабными утечками, могут использовать 2FAS Pass как полностью автономное хранилище. Приложение работает офлайн, доступ к записям защищён мастер-паролем и биометрией. Никакие данные не отправляются на внешние серверы — всё остаётся на смартфоне.

Self-hosted синхронизация через WebDAV

Владельцы NAS-систем Synology, QNAP или self-hosted решений вроде Nextcloud и ownCloud могут настроить синхронизацию зашифрованных хранилищ через протокол WebDAV. Vault шифруется специальным ключом eKey ещё до отправки на сервер — провайдер хранения видит только шифротекст и физически не может прочитать содержимое.

Автозаполнение в браузере без хранения паролей на ПК

Браузерное расширение не является самостоятельным хранилищем — оно подключается к смартфону через QR-код или локальное соединение. Пароли не копируются и не кэшируются в браузере, что снижает риски при компрометации компьютера. Автозаполнение работает по правилам URL-matching.

Переход с другого менеджера паролей

2FAS Pass поддерживает импорт данных из 1Password, Bitwarden и популярных браузеров. Это упрощает миграцию без ручного переноса каждой записи и снижает барьер входа для новых пользователей.

Архитектура и шифрование

Local-first модель

Все данные хранятся локально в зашифрованном виде с использованием системных хранилищ: iOS Keychain на устройствах Apple и Android Keystore на Android-смартфонах. Центральных серверов не существует — архитектура по умолчанию полностью децентрализована, что исключает единую точку отказа и минимизирует последствия массовых утечек.

Приложение поддерживает несколько независимых Vaults — каждое хранилище с уникальным идентификатором и собственным набором ключей. Это удобно для разделения личных и рабочих учётных записей.

Криптографический стек

• AES-256-GCM — основной алгоритм шифрования, обеспечивающий одновременно конфиденциальность и аутентичность данных
• Argon2id — функция формирования Master Key из мастер-пароля, устойчивая к brute-force и GPU-атакам
• 15 Secret Words — восстановительная фраза с энтропией 160 бит по стандарту BIP-39
• HMAC-SHA256 — используется для генерации Per-Vault ключей: tKey для стандартного доступа, sKey для записей повышенной секретности, eKey для синхронизации
• Zero-knowledge — шифрование и дешифровка происходят исключительно на устройстве пользователя, ни разработчик, ни провайдер синхронизации не имеют доступа к данным

Мастер-пароль должен содержать минимум 9 символов. Совместно с 15 Secret Words он обеспечивает двойную энтропию, существенно повышающую стойкость защиты от перебора.

Уровни защиты записей (Security Tiers)

2FAS Pass предлагает три уровня безопасности для отдельных записей, позволяя гибко управлять доступом к разным категориям данных:

• Secret — стандартный уровень: запись доступна через автозаполнение и браузерные расширения без дополнительных подтверждений
• Highly Secret — при каждом обращении требуется дополнительная биометрическая аутентификация, автозаполнение работает с подтверждением
• Top Secret — максимальная изоляция: запись доступна только внутри мобильного приложения, автозаполнение и расширения полностью отключены

Такая гранулярность позволяет назначить повышенную защиту банковским аккаунтам, крипто-кошелькам или корпоративным сервисам, не усложняя доступ к менее чувствительным паролям.

Синхронизация и WebDAV

Доступные варианты

• iCloud — нативная синхронизация для экосистемы Apple
• Google Drive — нативная синхронизация для Android-устройств
• WebDAV — универсальный протокол для кросс-платформенной синхронизации, совместимый с Nextcloud, Synology, QNAP и другими self-hosted платформами

Как устроен процесс

Перед любой передачей хранилище шифруется ключом eKey непосредственно на устройстве. На удалённом сервере хранятся только зашифрованные файлы. Конфликты между устройствами при одновременном редактировании разрешаются автоматически по временным меткам с учётом возможного дрейфа часов. Изменения, сделанные в офлайне, кэшируются локально и отправляются при появлении соединения.

Для WebDAV необходимо указать URL сервера, логин и пароль. Функция доступна только в платной версии Unlimited.

Восстановление доступа

При утере устройства восстановление возможно офлайн — достаточно файла Vault, 15 Secret Words и мастер-пароля. Приложение позволяет заблаговременно сгенерировать Decryption Kit — PDF-документ с QR-кодом и восстановительной фразой для хранения в безопасном месте. Без одновременного наличия Vault-файла и учётных данных восстановление невозможно, поэтому к резервным копиям стоит отнестись ответственно.

Платформы и расширения

Мобильные приложения

• Android — доступно в Google Play, исходный код на GitHub
• iOS — доступно в App Store, исходный код на GitHub

Мобильное приложение является основным интерфейсом для всей работы: создание и редактирование записей, генерация паролей, хранение банковских карт и заметок, биометрическая защита, автозаполнение в приложениях.

Браузерные расширения

• Google Chrome
• Mozilla Firefox

Расширение работает как удалённый клиент — подключается к мобильному приложению по локальной сети через QR-код или прямое соединение. Дешифровка данных происходит на смартфоне, в самом браузере пароли не хранятся. Для работы расширения смартфон должен находиться в той же сети, что и компьютер.

Полноценных десктопных приложений на данный момент нет — все данные создаются и редактируются исключительно на мобильных устройствах.

Разделение с 2FAS Auth

2FAS Pass намеренно не включает функции генерации одноразовых кодов (TOTP/2FA). Разработчики сознательно разделили пароли и коды двухфакторной аутентификации по разным приложениям: 2FAS Pass — для паролей, 2FAS Auth — для OTP-кодов. Такой подход устраняет единую точку отказа и минимизирует последствия при компрометации одного из приложений.

Тарифные планы

Free (бесплатно)

• До 200 сохранённых записей
• 1 браузерное расширение
• Только резервное копирование без multi-device синхронизации
• Тайм-аут браузерного расширения — до 60 минут
• WebDAV недоступен

Unlimited (~$10–12 в год)

• Неограниченное количество записей
• Неограниченное количество браузерных расширений
• Полноценная multi-device синхронизация через iCloud, Google Drive и WebDAV
• Тайм-аут расширения без ограничений
• Полная поддержка WebDAV

Бесплатная версия подойдёт для базового использования на одном устройстве. Платная подписка снимает все лимиты и открывает полноценную кросс-платформенную синхронизацию.

Сравнение с аналогами

2FAS Pass и KeePass

Оба решения хранят данные локально и имеют открытый исходный код. KeePass — зрелый проект с более чем 20-летней историей, ориентированный на десктоп, с ручной синхронизацией через сторонние плагины. 2FAS Pass предлагает встроенную синхронизацию (iCloud, Google Drive, WebDAV), современный мобильный интерфейс и нативное браузерное расширение. Однако у 2FAS Pass пока нет десктопного клиента, тогда как KeePass покрывает все платформы через форки.

2FAS Pass и Bitwarden

Bitwarden — облачный менеджер паролей с собственными серверами и возможностью self-hosted развёртывания. 2FAS Pass принципиально отличается отсутствием центральных серверов: данные по умолчанию не покидают устройство. Bitwarden функциональнее и зрелее, предлагает десктопные приложения и широкую экосистему. 2FAS Pass выигрывает в минимализме, приватности и полном отсутствии vendor lock-in.

2FAS Pass и 1Password

1Password — коммерческий облачный менеджер с закрытым кодом, ориентированный на удобство и командную работу. 2FAS Pass занимает противоположную нишу: открытый код, local-first архитектура, отсутствие обязательных аккаунтов и полный контроль пользователя над данными. Поддерживается импорт из 1Password для упрощённой миграции.

Преимущества

• Полный контроль над данными — нет центральной базы, которую можно взломать массово
• Гибкая синхронизация — от полного офлайна до WebDAV на собственном сервере
• Гранулярная безопасность — три уровня защиты записей для разных категорий данных
• Открытый исходный код — прозрачность и возможность независимого аудита
• Отсутствие vendor lock-in — импорт из популярных менеджеров и свободный экспорт
• Разделение паролей и 2FA — минимизация последствий при компрометации
• Множественные Vaults — независимые хранилища для разных целей
• Современный интерфейс — чистый мобильный UI без рекламы

Ограничения

• Нет полноценного десктопного приложения — работа на ПК только через браузерное расширение, привязанное к смартфону в той же сети
• Бесплатная версия ограничена 200 записями и одним браузерным расширением
• WebDAV доступен только в платной подписке
• Молодой проект — возможны неточности автозаполнения и отсутствие отдельных функций зрелых конкурентов
• Зависимость от мобильного приложения при работе в браузере — десктопное редактирование записей невозможно
• Нет встроенной поддержки TOTP — для кодов двухфакторной аутентификации нужно отдельное приложение 2FAS Auth
• Необходимо ответственно хранить Secret Words и Decryption Kit — без них восстановление при утере устройства невозможно

Выводы

2FAS Pass — перспективный менеджер паролей для пользователей, которые ставят приватность и контроль над данными выше удобства облачных решений. Архитектура local-first, zero-knowledge шифрование AES-256-GCM с Argon2id, три уровня безопасности записей и поддержка WebDAV делают его сильным выбором для владельцев NAS-систем и приверженцев self-hosted инфраструктуры. Открытый исходный код, принципиальное разделение паролей и кодов 2FA, а также импорт из популярных менеджеров снижают порог входа и упрощают миграцию. Несмотря на молодость проекта и отсутствие десктопных приложений, 2FAS Pass заслуживает внимания как одна из наиболее приватных и прозрачных альтернатив на рынке менеджеров паролей.