Pull to refresh

Comments 122

Использую KeePass, ибо такое интимное дело как хранение личных паролей стоит доверять лишь открытым программам.
Тот факт, что программа идет с открытыми исходными кодами означает только что там нет зловредных «закладок» от самих разработчиков (и только если хоть один человек сам просмотрел эти исходники, а не понадеялся на «гуру»). На дыры в коде его открытость никак не влияет в сравнении с проприетарным ПО.
И уж совсем никак не влияет на дыры в других программах (Адоб, Винда, Офис и т.п.) через которые к вам и прийдет 0-day кейлоггер и считает ввод с клавиатуры.

KeePess отличная программа, но не нужно быть фанатиком в стиле Столмана.
тот факт, что пароли сами не «сольются» на сервера разработчиков, уже огромный плюс опенсорсных менеджеров паролей.
по поводу 0-day кейлоггера: не все пользуются windows.
UFO landed and left these words here
UFO landed and left these words here
На том же андроиде, не обязательно ставить из маркета – можно самому скомпилировать (предварительно скачав sdk, который даже установки не требует) и установить на аппарат.
UFO landed and left these words here
Так причём тут маркеты? Либо им доверяем, либо нет. Если нет, то если нужна прога — качаем исходники, собираем, профит.
UFO landed and left these words here
UFO landed and left these words here
Быть параноиком так уж до конца :)
Может у когото в ДНК закладки заложены и человек сам по какойто кодовой фразе все пароли расскажет
А в-общем, довольно не реально написать идеальную программу, в которой можно было бы быть уверененным на все 100%, не важно open source или нет. В мире всё взаимосвязанно, в том числе и в компьютерном (железо, OS, soft, сеть, ...) — закладка или ошибка может быть везде.

С моей точки зрения, уж если доверять комуто свои пароли так уж точно не облачному сервису, разве что ты сам перед отправкой всё шифруешь.

Как уже писали выше keepass отличная программа. И мне она нравится не из-за того что она open source и можно проверить код, а из-за того что существует огромное количество плагинов к ней и если мне чего либо в ней не хватает, то поборов свою лень, я смогу добавить в неё то что мне нужно будет.
Вы же не сравниваете количество кода здесь, причем на .net, и количество сишного кода в freebsd?
В последней версии KeePass есть функция ввода пароля через «Secure Desktop», т.е. большинство кейлогеров теперь не страшно))
Галерея Safari Extensions показывает, что есть еще менеджер паролей Mitto и RoboForm расширение для Safari на Windows
Здесь еще не хватает StickyPassword или в обертке от Касперского Kaspersky Password Manager. Пользуюсь платной версией StickyPassword и на мой взгляд она превосходит перечисленные в этом обзоре продукты, кроме LastPass, по тому, что не пользовался и не могу сравнить.
Единственным недостатком можно считать отсутствие поддержки линукса и мака.
«Он был бы замечательным бегуном, но был один недостаток. У него не было ног»
UFO landed and left these words here
Я вообще ничего не заметил про безопасность.
Про безопасность достаточно:
1. алгоритм шифрования указан для всех решений
2. упоминается о возможности включения преобразования ключа, для защиты от брутфорса
3. рассказывается о месте хранения базы, локально(в каталоге с по или в любом выбранном месте, например в dropbox), в облаке.
4. указывается про открытые и закрытые исходники (можно сделать вывод о гипотетической опасности увода паролей разработчиками у по с закрытым кодом)
Этой информации более чем достаточно, что бы сделать вывода о пезопасности
Добавил способы шифрования баз, место их хранения и заметку про недавний взлом LastPass.
Добавьте, пожалуйста, еще информацию о том, умеют ли эти программы генерировать стойкие пароли. Например, keepass умеет.
все умеют. ЛастПасс и 1Пассворд точно умеют.
Такжe существуют сторонние программы, работающие с базами KeePass — под Linux и Mac OS X, например, KeePassX.
Важное замечание: KeePassX совместим только с базами KeePass 1.x, но не с базами KeePass 2.x
И, как мне кажется, KeePassX тут следовало рассмотреть как отдельную программу, базирующуюся на кодовой ветке KeePass 1.x.
UFO landed and left these words here
А почему способ синхронизации базы через Dropbox указан только для программы 1Password? Что мешает использовать репликацию через тот же Dropbox (и иные аналогичные сервисы) для файлов-баз других программ (например, для KeePass и KeePassX)?
В 1Password Dropbox интегрирован в программу, достаточно указать данныe доступа и ПО все делает самостоятельно. Про то, что синхронизация в KeePass возможна (в том числе и через DropBox) написано в тексте.
Так и делаю, синхронизирую kdb-файл через Dropbox и использую KeePassX на Ubuntu и KeePassDroid на Android.
UFO landed and left these words here
У оперы свой менеджер паролей есть.
Не полноценный, правда, но есть.
Вместе с удобством, хранение базы на серверах также представляет собой риск: не так давно LastPass был взломан, и владельцы сервиса в обязательном порядке заставили всех клиентов сменить их мастер-пароли.

А можно пруфлинк? Насколько мне известно была зафиксирована лишь аномальная активность на одном из серверов, про взлом речи не было. После этого пароли _рекомендовали_ сменить и даааалеко не всем клиентам. Меня, например, менять мастер-пароль никто не заставлял и даже не рекомендовал.
Пруфлинка не нашел, изменил текст. Извиняюсь, если ввел в заблуждение.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Думаю прикупить usb fingerprint сканер, и начать использовать с ним keepass. Получится подружить keepass + fingerprint сканер, у кого-то был опыт?
UFO landed and left these words here
Это я понимаю, при физическом доступе недругов всегда найдется способ обойти защиту, будь то подделка правильного ввода (или даже не подделка, я ведь рядом), терморектальный криптоанализ и тд. или вы имели ввиду подделку правильного ввода удаленно (трояном)?

Но моя цель немного другая. Просто не хочу вводить пароль постоянно. Также не хочу хранить файл ключ, хотя этот вариант более удобен, но украсть файл с флешки проще чем мой палец. Нужна защита от троянов, допустим сперли базу и чтобы сделать с ней ничего не могли без моего пальца :) Пока хз подойдет ли для этого keepass, буду разбираться.
UFO landed and left these words here
Думаю в наших краях будет проще вломиться в квартиру со всеми вытекающими, чем караулить мою кружку на работе и проводить с ней различные манипуляции. Наверно любите фантастику, и шпионские боевики? :)

Пока по старинке буду использовать пароль, но fingerprint не отбрасываю.
А где была? Я на нашёл, нашёл только пачку статей про надёжность сканеров, завис на 20 минут. Подскажете?
Недавно заметил странную особенность у lastpass. Решил там сменить свой логин, т.е. email. Сменил, и думаю, а что будет если я попытаюсь залогиниться из хрома с помощью их расширения. Попробовал, расширение выдало мне, что такой email не найден, но при этом заполнило все формы! Получается, что это расширение хранит все пароли у вас на компьютере.
Конечно хранит. Чтобы не было зависимости от интернета. На каждом компьютере, где используется lastpass хранится локальная копия паролей.
Пусть хранит, ладно, но зачем заполнять формы при неправильном вводе логина и пароля. Вот в чем вопрос
А зачем мне мои пароли, когда нет интернета?

Вот падение самого LastPass — это дааа…
UFO landed and left these words here
А как интегрировать keepass в Оперу? Не нашел на в экстеншенах оперы ни на сайте keepass расширени.
Расширения нет, но KeePass вроде умеет вводить пароли через AutoType.
он не интегрируется, просто умеет сам заполнять поля по хоткею.
Я юзаю js, который добавляет название домена в title страницы. Коряво, но хоть как-то работает =\
>LastPass был взломан, и владельцы сервиса в обязательном порядке заставили всех клиентов сменить их мастер-пароли

Не заставляли они, а рекомендовали поменять, если пароль недостаточно надежный. Я, например, не менял
Недавно в интернете?
Эх, молодые мои годы… Все мы проходим через этот этап. Сначала блокнотик с ручкой, потом *.txt файлик на компьютере и только уж потом, умудрённые опытом, мы заводим программы для хранения паролей.

А на самом деле это неплохая идея: сразу перескочить на последний этап, минуя предыдущие. Попробуйте, вам понравится :)
И наивысшая стадия надежности — хранение большей части паролей в голове.
Если, конечно, память позволяет.
Голова как носитель, к сожалению, неустойчива к внешним негативным воздействиям, бывает же амнезия в результате несчастного случая.
у врачей- с шифрованием все в порядке… они сами иногда свой почерк разобрать не могут =-)))
Ненадёжная получается база, тогда нужно минимум два блокнотика для сверки записей!
Важная особенность 1Password не отражена. Хранилище (называется agile keychain) представляет из себя папку с html-файлом, который можно открыть в любом браузере (в т.ч. Opera Mobile) и получить полноценный 1Password-интерфейс. Ничто не мешает эту папку синхронизировать через Dropbox и открывать на том же мобильнике.
И еще одна удобная особенность: интеллектуальное заполнение данных кредиток.

Кроме того в 1P можно хранить лицензионные данные для ПО. Ну и хранение «абстрактных» файлов, например приватных ключей.
Добавлю b-folders.

Win, OS X, Android, Linux. Синхронизируется локально. 256-bit AES.
SPB Wallet
256-bit AES, интеграция с IE и Firefox, файл с паролями можно синхронизировать через Dropbox
Клиенты для Win, Mac, WinMobile, Symbian S60, Android, iOS
Поддерживаю. Подсел на SPBWallet еще во времена пользования pocketPC с Windows Mobile 2003. С тех пор наросла большая база паролей и куда-то мигрировать уже и не думаю.
Добавлю — синхронизация через Gmail. Как следствие, копия базы всегда есть и в вашем ящике на гмыле, в качестве бекапа.
Все в ней хорошо (сам пользуюсь), кроме одного — тормозов разработчиков. Нет ни плагина под актуальные версии FF, ни нормального приложения для iPad.
Попробуйте SuperGenPass. Ничего нигде не хранит, а генерирует пароль на основе мастер-пароля и домена.
А если домена нет? Не обязательно ведь пароли должны быть только к сайтам.
Ну введи вместо домена название программы — никаких проблем :-)
Ага, а потом через годик я и не вспомню как я писал название программы: с заглавными буквами или нет, с пробелами или нет, в какой раскладке.
А ведь пароли еще нужны для доступа к серверам, к зашифрованным контейнерам и тд.
Вообщем, не удобный способ.
Я думал себе такое написать, а потом вспомнил, что от одного сайта может быть несколько паролей и еще куча случаев-исключений. Поэтому не стал браться.
UFO landed and left these words here
UFO landed and left these words here
А потом флешку кто-то украдет/потеряется/поломается.
KeePass при помощи плагинов можно автоматически синхронизировать между компьютерами
Может для RoboForm и LastPass сделать две колонки (бесплатная/платная версии)? А то получается что LastPass весь такой белый и пушистый, а по факту — большая часть возможностей доступна только по платной подписке.
Несколько лет назад я устраивал свой мини-тест менеджеров паролей. На первом месте для меня была не уйма поддерживаемых алгоритмов шифрования (хотя само по себе это плюс), а удобство. Для этого класса программ интуитивность и ненавязчивость интерфейса крайне важны, там даже один лишний клик будет раздражать. А некоторые софтописатели, к сожалению, пытаются сделать чуть-ли не парольную 1С-Бухгалтерию, как-будто я пароли только и буду, что по папочкам раскладывать и систематизировать по 10 параметрам.

В итоге остановился на Personal Passworder.
Просто, удобно, понятно, ненавязчиво. Но при этом весь жизненно важный функционал в наличии.
Он, похоже, только под Windows? В современных реалиях нужно как минимум поддерживать работу на мобильных платформах.
Мм… Видимо, да, только под Win.
Мобильными платформами не интересовался в виду ненужности лично мне.

Да и вообще, у меня есть ощущение (возможно, ошибочное — не навязываю), что десктопный и мобильный миры вообще слабо пересекаются в смысле софта. И там, и сям свои собственные оптимальные решения.

Предпочитаю запоминать все пароли, тренирую память.
Да и в нужный момент, они всегда под рукой. Вне зависимости от того, откуда я выйду в интернет (компьютер/ноутбук/телефон/планшет) и вне зависимости от того, какая платформа там будет.
на все-все сайты? пароли из букв, цифр и спецзнаков? нереально =))
Молодость зеленость ;) у человека наверно еще нет паролей которые вбивал 1-3 года назад, и не пользовался три года, а потом попробуй вспомни…
У меня есть пароли, которые я придумал еще в 2004 году и я их помню.
Все они для меня что-то значат.

А у Вас либо короткая память, либо Вы просто привыкли пользоваться программами, которые все запоминают за Вас.
У меня куча паролей которые я придумал в 199Х и даже не смотря на то что не пользуюсь ими, помню. Телефон моих школьных знакомых, с которыми я не разговаривал 10 лет, я все еще могу вспомнить. Это не меняет того факта, что если я придумал пароль, вбил его два раза в жизни, и на два года ушел от этой железки, то есть 90% вероятность, что этот пароль я не вспомню.

Есть конечно способ использовать один пароль на все, но вы же сами знаете ответ?:)
Пользуюсь Kaspersky Password Manager, но огорчает что разработчики не обновляют вовремя плагины автозаполнения к браузерам и приходится им постоянно долбить в саппорт. Так же у него есть портабл версия которая одним кликом синхронизируется на любой компьютер.
UFO landed and left these words here
Возможно, у вас феноменальная память. Но я даже нe представляю себе, как я смог бы хранить все мои пароли в голове — на данный момент в моей базе KeePass 114 записей, из них подавляющее большинство длиннее 20 символов, со всеми возможными классами символов.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Тут самое важное не оказаться в ситуации, когда в старости вы будете по прежнему помнить ваши 540 паролей из десятка случайных цифробукв, зато забывать снимать штаны в туалете. Человеческая память это конечный ресурс.
UFO landed and left these words here
UFO landed and left these words here
И все равно, ничего лучше Password Commander'а, даже спустя 3-года после остановки его разработки, так и не вышло. Печаль.
Полностью поддерживаю. Как жаль что дальнейшая разработка его не видётся.
А вы пробовали KeePass? Я в свое время думал на него переехать именно потому что Password Commander не поддерживается, да и корни у них вроде общие, но так и не переехал. Вы пробовали, он хуже Password Commander-а?
У KeePass и Password Commander'а общих корней быть не может, Password Commander разрабатывался с нуля Анваром Хусяиновым и Сергеем Пономаренко на Delphi, далее разработку проекта продолжила компания Атис (atis.ru), в которой я имел честь работать в смежном отделе, сейчас де факто проектом владеет Илья Ванявкин, и насколько мне известно имеет планы на его развитие, так что возможно для нас еще не все потеряно. Проблематика развития Password Commander'а в том что развивать платформу на нативном WinAPI и Delphi крайне не дешевое удовольствие. А KeePass насколько я понял Open Source проект и полностью написан на управляемом коде (C#).

По поводу сравнения KeePass с PasswordCommander'ом, с точки зрения юзера писал еще Экслер. Но тут нужен более глубокий анализ, которого я не проводил. Сходу могу сказать что Password Commander «чист» с точки зрения нашего законодательства, в нем не используются алгоритмы шифрования с ключем более стойким чем 48-ми битный. Необходимый уровень безопасности обеспечивается за счет плагинов шифрования от сторонних разработчиков, которые скачиваются отдельно от Password Commander'а. По идеи, что бы применять тот же KeePass в госорганах нужно либо получить соотвествующую лицензию на право применения алгоритмов шифрования оперирующих ключём длиннее 48-бит, либо сделать как Password Commander. Только вот не уверен что адаптация под Российские (любую другие) законодательные тонкости входит в планы разработчиков. Да и не факт что это так уж актуально.

P.S. В деталях мог напутать. Давно это было.
1Password — лучший для мака вариант. Интелектуальная система для заполнения как кредит-карточек, так и паролей на сайты. Любой менеджер паролей можно оценивать по удобству использования хранимой в нем информации. Если для заполнения данных кредитки на сайте мне нужно сделать больше одного действия, то что-то с менеджером паролей не то.
UFO landed and left these words here
UFO landed and left these words here
Я уже несколько лет использую отечественную разработку Password Commander, но такое ощущение, что автор забросил проект.
Сначала использовал LastPass, но сейчас использую KeePass под Linux, Windows и Android.
UFO landed and left these words here
А keepass получится нескольким пользователям юзать? Нужно для техподдержки где-то хранить обобщенно пароли
Было бы здорово обновить эту статью по состоянию на текущий момент (начало 2016 года)…
Only those users with full accounts are able to leave comments. Log in, please.