Pull to refresh

Comments 132

>Что думаете?
>Количество падений сервиса за последние 6 месяцев
Онлайн хранилки паролей? Спасибо — не надо.

Я еще удивился почему keepassx нет в таблице.
Когда я с телефона хочу зайти на сайт, а он не пускает, потому что у меня другой IP — Lastpass как онлайн хранилка хорошо мне помогает, т.к. я буквально клацаю одну кнопку и вход выполнен.

Подскажите, как это работает у keepassx?
Синхронизация БД через syntching

Можете рассказать подробнее?
Я использую на винде KeePass с плагином для синхронизации с GoogleDrive, на андроиде Keepass2Android, который из коробки умеет синхронизироваться с Google Drive (Dropbox, OneDrive, OwnCloud, sftp, ftp, http), но вот с линуксом беда. Там использую KeePassX, который плагинов не имеет, а в KeePass (с mono) тот плагин для GoogleDrive не работает.

Да, тоже по линуксу интересует вопрос, плагины к dropbox оказались нерабочими.
Не вполне понимаю, о каких плагинах речь, у меня база KeePassXC просто лежит в папке Dropbox'а и синхронизирована со всеми устройстами, где мне нужно. В папке кроме файла хранилища также всякое прочее барахло, которое мне хотелось бы иметь под рукой, причем в актуальной версии.
Да просто беда в том, что не использую дропбокс (а яндекс диск, там места больше), вот и приходится извращаться. Хотя, конечно, можно использовать оба, и дропбокс чисто для синхронизации паролей…
Что подробнее? Есть syntching на телефоне/пк/nas в нем лежит файлик от keepassx ну в общем все.
Кстати, подскажите, как в KeePass сделать сохранение заполненной формы в Chrome/FF? Поставил KeePass, поставил плагин chromeIPass и AutoTypeSearch, а он ни в какую не предлагает мне сохранить только что заполненную в хроме форму. И кнопок никаких типа сохранить текущее содержимое броузера (типа Robofrom) как форму в KeePass не вижу. Как это делается?
И мне самому надо где то хостить этот самый syntching?
нет, отдельный сервер не нужен. peer-to-peer
Так а кто будет вторым пиром? Мне комп и телефон надо иногда по времени пересекать, чтобы на телефон синхронизировало? ~_~

ПС: просто ветка начинается с того, что онлайн хранилки не нужны. А как синхронизировать адекватно — я что-то не понимаю.
да, надо иногда по времени пересекать, чтобы на телефон синхронизировало.
или ставьте третий хост.
На самом деле не обязательно пересекать. У syncthing есть публичные релеи, если у вас нет своего, только скорость трансфера через них не очень, данные там шифруются до пересылки. т.е. 3ий хост не нужен.

Я для себя нашёл следующий вариант: на десктопе keepassxc, по умолчанию выставленный на файл в директории синхронизации, а на Android — оффлайн файл в Google Drive + ярлык на домашний экран.

Или аналогично, но с dropbox.
Немного не в тему: какой клиент под линукс для Google drive используете?
UFO just landed and posted this here
Мне менеджеры паролей кажутся ещё одним очагом уязвимости. Лучше доверять своей памяти, и быть уверенным что пароля в открытом виде нет нигде.
У меня уникальный пароль от почты и соответственно от гуглоакка, плюс двухфакторная авторизация, и уникальные с небольшими изменениями пароли от самых важных вещей, вроде пейпала, и стандартный пароль от всего остального. Даже если этот стандартный пароль угонят, я смогу всё восстановить на почту.

Кстати говоря, однажды этот стандартный пароль попал в открытый доступ после взлома твиттера. Но не беда, спустя пару дней я провёл ревизию всех аккаунтов и поменял пароль абсолютно везде. Всё равно это по хорошему нужно делать раз в пару лет.

По мне, так техника всегда надежней человека.

Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски. Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным. Если пароль из 18 символов, на брутфорс уйдёт несколько сотен лет при любом раскладе.
Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски.

Почему неизбежно? Странное утверждение.


Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным

Профит не только в этом. Например, никогда не введется пароль на фишинговый сайт-двойник какого-либо сервиса, удобная автозамена паролей, отсутствие человеческого фактора наконец.

Потому что все ваши пароли хранятся в каком-то месте. Пусть это и зашифровано мастер паролем. Утечёт мастер-пароль, и все, все без исключения пароли будут скомпрометированы. Обнаружится дыра в безопасности, 0-day, или что-то ещё — аналогично.

Я и так не ввожу пароли на сайты двойники :)

Я признаю, что пассворд менеджер очень удобен для казуалов, но для продвинутых пользователей он не нужен.

Да, они хранятся в одном месте, но все-таки 21й век на дворе и 2FA никто не отменял.


Я и так не ввожу пароли на сайты двойники :)

От ошибок никто не застрахован, излишняя самоуверенность плохой товарищ параноика (а ведь быть лайт-параноиком обязательно, когда столько всего храниться в сети).


А на счет нужности/ненужности было бы интересно какие-нибудь исследования почитать — наверняка проводились. Может кто и поделится ссылкой.

Ну вот у меня например больше сотни логинов/паролей на всяких железках (да да, они у меня разные), пароли от разных почт на разных почтовых серверах (внешне не связанные друг с другом) и т.п… И все это только для работы. Плюс ко всему часть паролей нужно шарить между коллегами (те же пароли от железок).

Я подхожу под Ваше определение казуала?

И да, я не везде хожу по паролю. Там где можно я использую SSO и сертификаты, но на случай отказа SSO всегда нужен пароль от локаладмина.
Да, в случае если пароли нужно часто шарить, то понимаю Вас. Я не предполагал такой вариант использования, он имеет мест быть.

семейный человек?
Я шарю часть паролей даже с супругой — зачем для тех же магазинов заводить разные учётки?


OFF: а ещё шарю адресную книгу и календарь, чтобы так же не заморачиваться на ручную синхронизацию

Я шарю часть паролей даже с супругой

Пароли от жены должны быть скрыты в первую очередь! Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
для тех же магазинов заводить разные учётки?

Так может вообще не проходить авторизацию? Зачем париться то?
а ещё шарю адресную книгу и календарь

Ну это вполне не оффтоп — объясняет Вашу позицию. Вы находитесь в суперпозиции «неуловимого Джо». Потому Вам и скрывать нечего. Не все такие безобидные, как Вы. Да и поймать тот момент, когда Джо станет кому-то интересен довольно сложно, так что лучше перебдеть.
Пароли от жены должны быть скрыты в первую очередь!

Так не все пароли шарятся же. В рамках 1password заведены несколько сейфов, часть из которых пошарена с супругой, отдельные сейфы под каждого заказчика/работодателя (чтобы не путаться и можно было грохнуть одним махом), один для мамы, другой для тёщи и т.д. — так проще помогать или обновлять "устаревшие" пароли.


Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.

те, кому я пошарил сейф, вполне просвещены на тему отсылки "на сторону" приватных данных. Родители "курс молодого бойца" прошли уже несколько лет как и обеспечена удалённая поддержка и прочее. Супруге я доверяю — если ей не доверять, то кому тогда?


Так может вообще не проходить авторизацию? Зачем париться то?

Это позволяет одному накидать в корзину, а второму сделать заказ. Или накидать в одну корзину каждому что хочется и сделать единый заказ. Плюс накопление всяких бонусов от магазина и прочие плюшки


Вы находитесь в суперпозиции...

Да нет — есть несколько календарей. У каждого персональный и один общий. Так удобнее планировать — если что-то затрагивает более чем одного, то заносится в общий, а если только одного, то в личный. Например рабочие события в рабочее время нужны только мне — их кладу в личный календарь.
С контактами иначе — тут единый список.

Супруге я доверяю — если ей не доверять, то кому тогда?

"… должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе." Возможно у меня просто проф. деформация.
Это позволяет одному накидать в корзину, а второму сделать заказ.

А, Вы в этом смысле…
У каждого персональный и один общий.

Ну т.е. он не свободно расшарен, а расшарен ограниченному списку лиц. Наподобие календаря в MS exchange/Zimbra? Ну тогда в принципе норм.
но для продвинутых пользователей он не нужен.


А что нужно для продвинутых пользователей чтобы хранить 2300 форм, заполнявшихся в разное время в течение 14 лет?
Утечет пароль от Вашей почты, дальше сценарий?)
Я его сменю. Потому что восользоваться не смогут — двухфакторная авторизация. А гугл меня оповестит о попытке логина на новом устройстве.
Если эти 18 символов состоят из слов с некоторыми вариациями, на подбор его уйдет несколько минут) ну, может быть, часов)
Если знать какие слова использовать. Но generally, вы не правы. Пароль вида "&Fd(^3Kf{" — 9 символов и для суперкомпьютера это было бы действительно пара минут (если не учесть что от триллионов запросов в секунду упадёт от ддоса гугл, упадёт интернет на всей планете и взорвётся оптоволокно. Но если взять пароль вида «elhijodelagranputa» — 18 символов, его даже суперкомпьютер не подберёт за пару тысяч лет. Потому что геометрическая прогрессия, потому что слова можно использовать из любого языка (тут испанский), миксовать, и достаточно вставить всего один символ или цифру между словами, как весь алгоритм сломается. А если сделать намеренную ошибку, вообще никогда не угадает. Стандартный брутфорс почти всегда будет эффективнее мудрёных алгоритмов.

чем 18символьный пароль из случайного набора букв, знаков и цифр хуже 18символьного пароля из слов "на разных языках", но использующий те же латинские буквы? или предполагается, что не только слова, но и сами символы тоже из используемого языка? Но если так, то какова вероятность, что система умеет хранить не-ANSCII символы корректно? Только проверкой сразу же после регистрации "чистой" авторизации.

Лучше доверять своей памяти

Нет проблем, если вы пользуетесь всего одним-двумя сервисом в интернете.
Проблемы с запоминанием паролей в памяти начинаются, если таких сервисов становится десятки и сотни. Тут кроме запоминания самих паролей встает вопрос запоминания и адресов этих сервисов.
Честно, у меня крайне редко возникают проблемы. У меня 2 почты, основная и фейковая. На основной стоит уникальный пароль, он не используется больше нигде. Есть 2 пароля, под которыми я регистрируюсь на большинстве сайтов. На фейковой почте вообще простой. Вида eeeeee123. Угонят — плевать, это аккаунты на один раз. Основной пароль тоже из 9 символов, и используется для большинства аккаунтов. Вроде тут, на хабре. Ну даже если угонят, я всё равно смогу восстановить через почту. Ставить уникальные пароли для каждого сайта — оверкилл.

Так что с запоминанием тоже проблем нет. Максимум с 3 раза ввожу правильный пароль.

Да всё время использования этой системы, менял пароль 2 раза. Один из них для безопасности, один раз база паролей твиттер утекла, вместе с моим паролем. Больше никогда не было никаких инцидентов.
То есть если угонят пароль от одного сервиса, угонят от всех?
Что вы делаете, если регистрируетесь на новом сервисе и вдруг обнаруживаете, что ваш основной пароль (9 символов) этот сервис не принимает и требует чего-то другого. Вот у вас уже 2 основных пароля.
Вот я скорее казуал, а вовсе не продвинутый, как вы, юзер. Но в моём менеджере паролей порядка 300 записей. Некоторые из них (порядка 5-7) по требованию безопасности меняются раз в 3-12 месяца (не я эти требования писал). Что мне делать с ними?
Моё мнение, осутствие менеджера паролей заставляет людей выворачиваться и использовать более простые пароли (те же 9 символов, слова, инкрементные части). С менеджером я спокойно генерю пароли любой сложности и не парюсь сложностью их запоминания.
Помнить пароли конечно тоже надо. У меня есть несколько таких — от самого менеджера (15 символов — комбинация словарной части и случайно сгенерённого куска), от почты основной (аналогично почти) и ещё несколько несложных от несильно критичных вещей.
От всех не критически важных аккаунтов, в теории. Всё это восстанавливается через почту.
Если я захожу и мой основной пароль не подходит, то я попробую ещё один вариант. Это если я уверен, что регистрировался. Потом восстановлю пароль на почту. Но такое на практике ещё не было.
Скорее бывает «так, тут вроде я фейковый аккаунт регистрировал», пробую, и подходит. Не всегда, но приятно использовать фейковую почту/пароль для большинства аккаунтов, которые не требуют защищённости. И не получать рассылки, спам, и так далее.
От каких всех?
Во первых где взять списки этих «всех» сервисов?

Во вторых что при использовании памяти, что при использовании интернет-хранилок. Пароль везде ОДИН. Все эти ластпасы и прочая ересь(имхо) хоть и создают зилионозначные ультра-хардкор-ватерпруф-ноускоп-360-пог пароли, но для доступа к этим паролям нужен все тотже мастер пароль.

Еще одно неудобство которое я испытал когда пробовал пользоватся паролехранилками то что они не универсальны. Однажды я пытался на заправке посреди Германии войти в почту пароль от которой был сгенерирован в хранилке. Для этого нужно возить с собой либо устройство где УЖЕ установлена эта хранилка, либо опятьже вводить один пароль для доступа ко всем паролям что как по мне — глупо.

В итоге Ваш сценарий прекрасно работает — угоняем мастер пароль, и получаем как все пароли так и список всех сервисов к которым эти пароли привязаны.

Конечно в ситуации когда у вас 1000 КОРПОРАТИВНЫХ паролей это может быть удобно. Но безопасности данные системы ни капли не добавляют.

это не безопасность со стороны владельца пароля, а безопасность, что если ваш логин/пароль угонят с сервиса M, то он не будет подходить к сервису K.

Если перейдёте на фишинговый сайт, то приложение просто откажется вводить логин и пароль, а вот вручную можно ввести даже не заметив, что сайт-то ненастоящий. Рассказы про то, что нужно быть внимательне бла-бла-бла не принимаются. И на старуху бывает проруха, и опытные пользователи ошибаются, причин может быть масса.
Выше прочитал, что у вас не очень много сервисов, которыми вы пользуетесь. Я вот посмотрел, у меня в базе паролей почти 200 записей. Держать это всё в голове, да к чёрту, хватает более важной информации, которую приходится постоянно держать в голове.
Я ни разу не попадал на фишинговый сайт. Вообще ни разу.

Не десяток, думаю около 40 основных. То, что на фейковой почте не считаю, там легко может быть пара сотен однодневных аккаунтов, которые время от времени пригождаются.

Я забыл упомянуть, что пользуюсь встроенным в хром менеджером паролей. Это заметно меняет картину, наверное. Я стараюсь минимизировать количество программ, сервисов которыми пользуюсь. То есть ставить программу и сервис ради того, что возможно слегка лучше того что есть — это слабая причина.
В Хроме можно довольно просто посмотреть пароли, которые он там сохранил.
Для этого нужно знать пароль от системы. Считайте это таким же мастер паролем, как в паспорте менеджерах.

Не совсем так. Не скажу за текущую версию хрома, но в прошлом было несколько случаев, когда выяснялось, что надёжность шифрования паролей в браузерах мастер-паролем, скажем так, была очень не на высоте. Доверия им в этом смысле уже нет. Кроме того, хранить пароли в браузере не очень хорошая идея, потому что пароли бывают не только от веб-сайтов, и браузер бывает не только один.

Ну не знаю, у меня только в основной базе паролей ~450 записей. А ещё есть отдельные базы по разным рабочим проектам, и там в каждом от 10 до 30 записей.
Помимо паролей есть необходимость сохранять ключевые файлы, резервные коды, данные логинов, почт (у меня не 1 email), адреса сайтов, ключи от программ, доп. информацию о секретных вопросах, на какой номер телефона привязано, адрес сервера, автонаборы VNC/RDP, ключи от ssh и т.д.
Провести ревизию по списку из менеджера тоже удобнее, чем вспоминать что и где из головы)

У меня голова бы уже лопнула от таких запоминаний)
Использую исключительно KeePass, т.к. не доверяю хранение паролей внешним сервисам
Ну с кипасом один тонкий момент: хранить нужно надежно и в непубличном доступе. Если используете чужое_облако, то есть маленький шанс, что по дифам файла будет восстановлен секретный ключ со всеми вытекающими.
А раз в случае целенаправленного взлома со стороны сервиса может быть уязвим и кипас, то разницы между кипасом и ластпасом/etc в этом смысле особой нет.
Восстановить ключ по diff`ам баз на данный момент слишком сложно (подобная уязвимость была в старых версиях KeePass) и не всегда возможно (я бы даже сказал, в 99% случаев невозможно)

Разница в том, что «взломав» LastPass/etc злоумышленник получает доступ к данным многих пользователей без необходимости расшифровывать их данные.
А взломав облако с кучей шифрованых баз ему нужно будет потратить слишком большое кол-во средств на взлом лишь одной базы, и с очень маленьким шансом на успех. На его месте проще установить keylogger или memory grabber на целевую систему, но от этого уже мало что может спасти.

А в целом верно, идеального инструмента нет, у всех свои уязвимости)
Если ты заменишь «один пароль для всего остального» на рандомные в менеджере, то твоя защищённость резко увеличится. А которые в голове, те пусть в голове и будут.

Кроме того, для многих ресурсов LastPass может регулярно менять пароль автоматически, да хоть раз в неделю.
В смысле, автоматически? А по какому принципу? Ведь нет универсального способа смены пароля в разных сервисах/сайтах/приложениях. Как они такого добились?
Написали скрипты для многих популярных сайтов. В фоне открывается броузер и LastPass там сам кликает нужные кнопки, вписывает старые-новые пароли и т.д.
Однажды за довольно немалую сумму купил 1password — пользовался и всё нравилось. Но тут вышла новая версия, программулина обновилась (ну или я неглядя обновил) и она стала работать по подписочной системе. Платить за уже купленную прогу не хотелось, поэтому я попытался откатиться, но не тут-то было — все данные заморозились (стали доступны только для чтения), уже месяц бодаюсь с суппортом — у них там малосвязанная между собой тикет-система, поэтому после каждого сообщения они у меня запрашивают багрепортный файлик из приложения ) В общем, или платите за подписку, или не обновляйтесь, или пользуйтесь чем-то другим, иначе рискуете тоже попасть на квест.
>иначе рискуете тоже попасть на квест
вся суть облачных сервисов/приложений — владелец может в любой момент поменять правила и данные накроются медным тазом…
Вполне себе существует standalone версия (7я), которая прекрасно работает без подписки. Видимо так же «навечно» (=
Если я правильно понял, то апгрейд до него платный (качается с сайта). Либо из апстора качается бесплатная версия, которая только через подписку. Из общения с поддержкой я понял, что у меня из вариантов — только вернуться к 6-ой версии, но для этого надо в неё как-то перенести данные с 7 версии (которые они заморозили). Ну либо делать экспорт и ручками всё переносить, но это каменный век и как последний вариант.
ммм, не могу согласиться. standalone версия (которая просто так не лежит в открытом доступе, но которую можно приобрести в итоге, у них же с сайта) нормально ставится, нормально обновляется уже год (или сколько там прошло с момента релиза 7). Проблем не возникало. Это кроме вариантов с сайта обычной версии и через аппстор, но там все подписки в итоге. Постараюсь нагуглить, как я покупал standalone.

upd: Вспомнил! При первой установке 1password 7 без лицензии, он выдавал окошечко, где предлагал или оформить подписку или купить standalone версию. Стоила она на 20 июня 2018 около $46.
Но в целом да, купившим <=6ю версию, пришлось/придется купить 7ю. Иначе никак. Жадность, она такая
UFO just landed and posted this here
Больше года прошло, полет нормальный. Никаких подписок, standalone версия как работала так и работает.
Была такая же ситуация — апдейтнулся случайно на новую версию по подписке, которая открыла мой файл с паролями в режиме read only. Поняв ошибку, без проблем скачал 6.8.9 (мак), и продолжил ей пользоваться, по своему старому купленному ключу. Файл с паролями не побился, все работает. Система — Mojave.
До появления Bitwarden не пользовался менеджерами паролей, но теперь не знаю ничего удобнее)
У него есть как у Робоформа менеджер личностей (имя, адрес, паспорт), менеджер кредитных карт?

Да. Есть все вышеперечисленное.

Несколько лет использую Enpass — не понимаю, почему его нигде не упоминают :(
Поддерживает все платформы, в том числе Chrome.
Разовая плата для снятия ограничения на количество записей.
Ранее долгое время пользовался KeePassX, всем устраивал. Но затем возникла необходимость в удобном кроссплатформенном клиенте и пришлось делать аналогичное сравнение всех доступных менеджеров паролей. Основными требованиями были кроссплатформенность и отсутствие привязки к проприетарному облаку менеджера паролей, возможность синхронизации между клиентами (через разные облака, так сказать, общего доступа) и возможность запрета доступа к сети. Перепробовал много, включая Dashlane. В итоге тоже остановился на Enpass и на 100% им доволен. Плата за мобильный клиент компенсируется удобством и стабильностью. Единственное, не уверен что он также хорошо подойдет автору статьи, т.к. у него весьма строгие требования к поддержке корпоративных функций, а я их не использую и в рассмотрение не брал.
Да, уже увидел, тестирую сейчас.
Пока не понял, как работает автозаполнение в браузере на Android. И ценник в 400 рублей за мобильное приложение немного смущает.
Я в браузере обычно автозаполняю через их клавиатуру. А 400 рублей единожды — это не подписка каждый месяц :)
UFO just landed and posted this here

Замените Yubikey на "Ключ Безопасности". Yubikey это продукт компании Yubico, который так же поддерживает U2F/FIDO2. Стандартный термин "Ключ Безопасности"

Имелся в виду именно Yubikey, а не абстрактный «ключ безопасности», не надо ничего менять.

Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2

Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2

И что? Если Yubikey поддерживает эту технологию, и Dashlane ее тоже поддерживает, то я не вижу никаких противоречий.

Представьте себе если бы все называли все стандарты по своему, на примере WIFI:


  • Пользуйтесь Циснетов в нашем кафе!
  • Устройство с поддержкой Хуавейфай
  • Наш телефон работает совместим со всеми устройствами поддерживающими Гуглвейвы

Точно так же с ключами безопасности. Все FIDO ключи безопасности могут делать все тоже. Но из за того что люди используют именно название продукта одноименной компании, это вводит людей в замешательство что только Юбикий работает с этим сайтом, когда у тебя всегда есть десятки альтернатив, которые еще и стоят дешевле в большинстве случаев

Я оценил ваши минусы в мою карму и комментарии, благодарю.
Теперь по делу. Запомнить «Yubikey» проще, чем малопонятные аббревиатуры, обозначающие технологии, и среднестатистическому (не гику) потребителю будет проще ориентироваться, если будет написано «поддерживается работа с Yubikey», нежели «поддерживает стандарт FIDO U2F/FIDO2». Те, кто «шарит» — и так поймут, что есть альтернативы, а условный некто с Yubikey в кармане прочитает, что его устройство поддерживается, и будет пользоваться. Он ни сном ни духом не разбирается в стандартах, ему достаточно знания, что у него в кармане лежит устройство для двухфакторной аутентификации, а уж какие там у него внутри стандарты — это для специалистов и интересующихся.

всегда есть десятки альтернатив

Ну и кто им, этим альтернативам, виноват, что Yubikey на слуху и упоминается в таблице, а они — нет?

Та же судьба, что у Ксерокса (который вообще Зиракс), Полароида и других бессменных лидеров

Онлайн-менеджерами паролей вообще пользоваться не безопасно. Например, в том же Bitwarden его разработчики видят прямым текстом, к каким сайтам у вас сохранены пароли, могут их редактировать и выборочно удалять. А то, что слабые пароли можно сбрутфорсить при взломе онлайн-базы, и так очевидно.

Bitwarden можно хостить в собственной инфраструктуре

Как-то мутно описана эта функция: на главной написано, что это платно ($1/month self-hosting), в справке указано, что даже на своём хостинге нужно оплачивать premium features, хотя в чём конкретно они заключаются — не ясно.
Можно, пожалуйста, поподробнее про Bitwarden, с источниками? Они на своём сайте в описании крипто утверждают, что шифруется практически всё (https://help.bitwarden.com/article/what-information-is-encrypted/).
В прошлом году тестировал его, нужно было удалить много записей за один запрос, а такой функции вообще не было. Написал разработчикам, они ответили, что такой функции пока что действительно нет, но они могут вручную удалить те записи, которые я им укажу. Собственно на этом ознакомление и закончилось, если они с тех пор начали шифровать данные более полно — отлично.
SafeInCloud, ушел на него с LastPass, функционал весь есть, все устраивает. Так же имеется псевдоспокойствие что шифрованный файлик с паролями не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
Ничего не замечаете? ;)
Вот мне тоже интересно, люди отказываются от облачных хранилищ паролей, но аккуратно хранят файл с паролями в гуглах-дропбоксах…

Файл с паролями KeePass имеет открытый формат, использует правильные современные и стойкие алгоритмы, так что никакой проблемы если к нему получат доступ взломав dropbox/etc. просто нет — если на нём стоит достаточно сложный мастер-пароль то ломать его брутфорсом можно до бесконечности.


Проблема же облачных сервисов вроде LastPass в том, что зачастую они либо не обеспечивают аналогичный KeePass уровень защиты (т.е. сервису известно о паролях клиента значительно больше информации, чем просто "они есть" — как в случае с базой KeePass в dropbox), либо защита обеспечивается чем-то вроде веб-клиента/плагина, который может быть легко обновлён/подменён на лету (в т.ч. конкретно для отдельного пользователя) самим сервисом, что позволит сервису получить полный доступ к паролям как только юзер в следующий раз введёт мастер-пароль.

И, всё же, разница есть. Поскольку имеется возможность сменить облако или вообще на свой сервер лить (я про правильные менеджеры паролей, про SafeInCloud не в курсе.)

На личном NAS тоже можно разместить файл базы safeincloud.
Имхо неспециализированные облака более безопасны для хранения защищенных файлов, т.к. кроме них содержат миллиарды других файлов, а тот же ластпасс при взломе общего хранилища сливает конкретно базы пользователей с логинами и паролями, пусть и зашифрованными

Это как хранить деньги не в специализированном банковском хранилище, а в подвале на даче.


Да, если будут грабить банк, то уж точно ради денег, а на дачу, авось, и не полезут...

Неверная аналогия, тут скорее сравнивать надо банковскую ячейку в частном банке (еще неизвестно кто к ней имеет доступ из сотрудников банка) и личное бомбоубежище с гермоворотами (в случае с домашним самостоятельно собранным NAS) или же иголкой в стоге сена в случае хранения в дропбоксе и аналогах.
Замечаю следующее: «за безопасность хранилища отвечаю сам».
Аналогично перешёл на SafeInCloud с Pocket.
Принципиальная разница с «облачниками» в том, что здесь шифруют и хранят разные, не связанные люди. То есть тот, кто хранит, узнать и прое̶фукать узнанное не может. Про утечку моих паролей с этими всеми облачниками я в новостях не прочту :-D
С другой стороны, конечно, более известные и проверенные, вроде keepassx ещё и морально надёжнее, так как их математика проверена большей толпой экспертов.
Но последний раз, когда я проверял keepassx эндцать лет назад — это было user hostile… непотребство. Именно с него я убежал на Pocket.
В статье рассмотрены комбайны, а не парольные менеджеры.

FYI: pass / tpm. Вся дополнительная функциональность или добавляется внешними средствами, или возможно не нужна:

— нужна поддержка usb токена? шифруем PGP ключом, привязанным к токену
— нужна синхронизация? прямое копирование, rsync, rcp, как угодно
— поддержка разных профилей? это вообще задача пользователя, а не менеджера паролей
— администратор имеет доступ к моим данным? В топку такой парольный менеджер сразу
— нужна вставка в браузер? xclip + вставка из системного буфера обмена (pass умеет его чистить) и не морочить себе голову, не такая уж это проблема с безопасностью, тк если у вас скомпрометирован clipboard, то сохранность паролей в менеджере является лишь одной из проблем.
KeePass под Windows и KeePassX под macOS. Устраивает всем, кроме интерфейса из конца девяностых.

Под macOS есть macpass, который не выглядит в ней инородно, но к сожалению, не умеет многие фичи, доступные в KeePass и KeePassXC, такие как новые алгоритмы и TOTP. Хотя, может быть, уже умеет, я не следил за ним где-то около года.

UFO just landed and posted this here

KeePass умеет автозаполнение. Я использую KeePassXC под Linux и Keepass2Android на телефоне — оба отлично это умеют. Причём KeePassXC даже двумя способами — по хоткею и через браузерный плагин. Так что никакого смысла какие-либо пароли держать не в KeePass (исключая мастер-пароль в голове) — просто нет.

Общался в свое время с разработчиком SafeInCloud по поводу версии под Linux, в результате он сказал переходить на Enpass. Видимо, версии под Linux не просто нет, но и не предвидится.
давно пользовался LastPass. последние несколько лет доверяю свою жизнь гуглу. в последнем хроме интеграции довольно таки неплохая, да и генерация паролей для логин форм мне понравилась
KeePass для Win
Для андройд тоже KeePass
И для linux тоже keepass. Только не помню точное название пакета.

Файл лежит в дропбоксе и синхронизируется со всеми с кем потребуется.

А раньше тоже lastpass пользовался, да.
Для рабочих нужд сделал self-hosted KeeWeb с доступом к базе через WebDAV. Есть веб-интерфейс и идентичное ему электрон-приложение.

1Password поддерживает работу с YubiKey. Но кажется поддержку добавили не так давно.

пару лет уж как точно есть


А если про статью — то там про 1Password ещё частично "наврали" — и сохраниться предлагает под Linux и автоподстановка в нужную форму есть. Не хватает только GUI клиента

Поковырял Enpass, умеет всё то же самое, что и KeePass, только красивый. А также Enpass завёлся на q4os. KeePass тоже заводился, но плагин для Dropbox не работал, поэтому пользоваться было неудобно. Но вот $7 за мобильное приложение — многовато, как по мне. KeePass — открытый проект, и кто-нибудь его подхватит в случае чего, а с Enpass никаких гарантий. Стоит ли оно $7?
У меня на ArchLinux работает Keepass через wine c плагином KeeAnywhere все прекрасно синхронизируется с Google Drive. Для автодополнения в браузерах стоит плагин KeePassHttpX(спец версия для linux). Префикс wine без mono, нативный net framework.
UFO just landed and posted this here
Keepassxc не поддерживает плагины, насколько я понял.
А у меня в том же префиксе wine еще foobar2000 и Winbox для Mikrotik стоит :)

А какие плагины нужны? BTW, вообще сама идея плагинов, особенно не от автора оригинального приложения, для менеджера паролей — меня немного напрягает.

А чего просто не положить файл с базой Keepass в каталог, который синхронизируется с google drive любой доступной утилитой, ничего не знающей про Keepass? У меня так лежит файл в каталоге дропбокса.

А потому что на андроиде keepass нативно поддерживает gdrive и берет базу оттуда, точно также на ноутбуке. Т.е. у меня одна база на gdrive и разные устройства её от туда берут, а потом сохраняют :)
Но причина использования KeePass с плагином под Wine, а не KeePassXC с тем же grive2, так и не раскрыта :)
Сейчас изучу что за grive2, спасибо за наводку.
А какую утилиту для синхронизации в Windows использовать? Есть что-то кроме «installbackupandsync» от google,
Использую плагин GoogleSyncPlugin к KeePass. За пару лет проблем не было. Главное, чтобы файл, который синхронизируется лежал вне досягаемости синхронизации «installbackupandsync», иначе конфликт будет.
Многие комментирующие перешли с LP на другой менеджер паролей.
Может кто-нибудь поделиться почему?
Например,
1. выше безопасность из-за таких-то фич
2. выше юзабельность из-за таких-то фич
3. уменьшилось доверие к бренду LP (по важности это, пожалуй, номер 1)

А то ощущение, что народ просто устал от бренда lastpass и хочет что-нибудь новенькое.
Я пользуюсь LP много лет, вроде все было нормально. Но недавно произошел инцидет, вызвавший задумчивость: с помощью кода, присланного на секретный email не удалось сбросить 2FA. Не знаю, в чем дело, надо проверить еще раз.

Когда несколько лет тому назад переходил, то критерием было:
0) Работа не только с паролями, но и адресами, карточками и т.п.
1) прозрачная синхронизация и работа между окна/пингвины/роботы/надгрызки не только внутри браузера, но и простым клиентом
2) возможность располагать карточки не в одной папке — в 1Password это реализовано через теги
3) Общие пароли (семейный доступ). При этом, видеть все карточки сразу — как личные, так и общие, без потребности переключаться между ними

Для личного пользования использую KeePass. В компании решили довериться Passwork. Отношусь пока со скепсисом. Ребята из техподдержки с пеной у рта доказывают, что его сделали русские ребята и с ними всегда можно связаться.

Читаю комментарии и вижу, что народ рекомендует другие менеджеры. Вообщем, что думаете о Passwork? Подключили пробный период, поэтому можно еще все поменять.
Декстопные клиенты Bitwarden на Electron, что сильно снижает интерес к нему.
Корпоративный чатик на электроне, хранилка паролей на электроне, IDE на электроне — так вот зачем мы покупаем ноутбуки с 16Gb оперативки :)
Sign up to leave a comment.

Articles