Комментарии 29
CyberARK! ;)
Как насчет решений от Hashicorp?
Вы бы ещё наличие API добавили в качестве критерия выбора. Мне кажется, для «корпораций» это актуально.
Год назад присматривались к Passwork: отклонили, так как они ничего не смогли предложить для доступа к паролям из ansible и terraform.
Для Bitwarden у Ansible из коробки lookup plugin имеется... правда под капотом он вместо API (который у Bitwarden есть) просто вызывает консольный клиент Bitwarden.
Согласен, наличие API важная штука. У меня довольно много критериев получилась - табличка строк так на 30. Тут проблема больше с публикацией - решил в итоге оставить только самые базовые показатели. Помимо API еще много чего корпоратам нужно - SSO, LDAP, 2FA. Целый список, в общем.
Syspass, для ценителей - teampass, пара плагинов к nextcloud… чистый опенсорц, без бесплатных версий на 5 человек и без ldap:)
Работаю на удалёнке.
Был у меня менеджер паролей и я использовал в качестве пароля сложный сгенеренный пароль символов из 100, который при логине мне заполнял парольный менеджер.
А потом служба безопасности решила, что всё это глупости и запретило Copy-Paste из RDP и в RDP.
Теперь у меня минимально проходящий по политике самый простой пароль, потому, что каждый раз его надо набивать вручную, а набить вручную сложный пароль более 100 символов физически невозможно.
Подозреваю, что это решение очень сильно увеличило общую безопасность.
И это не единственный момент. Очень часто когда СБ пытается что-то улучшить из самых лучших побуждений - в итоге всё скатывается к бумажке, приклеенной на монитор.
По Bitwarden стоило бы добавить, что есть Vaultwarden - альтернативная реализация серверной части, которая, по заверениям создателей, более шустрая и, что может быть важно для тех, кто испытывает затруднения с оплатой за рубеж, - предоставляет весь расширенный функционал бесплатно.
И ещё наличие встроенного TOTP-аутентификатора для 2FA тоже, мне кажется, полезная штука и это неплохо было бы добавить в сравнение. У Bitwarden/Vaultwarden таковой есть, про остальные упомянутые решения не знаю.
Спасибо. Да, меня уже покритикиовали за недостаточность критериев для сравнения. Отписал выше, что всего критериев больше 30, и Вы конечно же правы - там еще много чего нужно, помимо 2FA даже. Подумаю, может быть тогда ссылку просто дам на таблицу с полным бенчмарком, доофрмив ее в Google Sheets. Большие таблицы тут не очень удобно публиковать.
Использование totp в самом хранилище паролей, тем более онлайновом - ну такое. Зачем totp вообще нужен, если он хранится вместе с паролем?
Но концептуально, в passwork поле для хранения totp тоже есть (не уверен точно, было ли оно на март 23-го).
Надо бы упомянуть nextcloud, который может, конечно, гораздо больше.
Вы про плагин к KeePassXC для шеринга паролей?
Nextcloud это свободный сервер для создания своего облачного хранилища и клиент для доступа к нему. По ссылке, которую я привёл выше, перечислены менеджеры паролей, которые можно разделить на две группы.
Независимые приложения, которые могут эффективно использовать Nextcloud для хранения и синхронизации своих файлов с паролями (например keepass)
Приложения, которые встраиваются непосредственно в сам Nextcloud, то есть фактически расширения Nextcloud
Это интересно, кстати. Но если оно работает как расширение к браузеру, то с такими приложениями надо учитывать нюанс - для браузерных расширений, насколько я помню, недоступен механизм браузера для безопасного хранения паролей - т.е. расширения либо что-то мудрят сами, либо хранят пароль в plaintext, либо не хранят их вообще и надо вводить каждый раз.
Потому это надо учитывать, если у приложения есть браузерное расширение: по какой схеме идёт работа с паролем для доступа к хранилищу паролей? Если оно хранится в plaintext на компе - то такая себе безопасность...
Статья всё-таки про парольные менеджеры, а не про сервисы облачного хранения.
Вообще одно другому не противоречит - менеджеры той или иной степени интеграции с облаком существуют, и как бы даже в статье не упоминались. И степень интеграции бывает разной - бывает облако ему нужно просто как файлпомойка, а бывате, что на стороне облака (того же NC) - сервис. А упомянутый NC нынче не только webdav-файлпомойка с клиентами синхронизации.
psono?
Vailtwarden хорош, да.
А почему забыли фактически про лидера 1password ?
Почему не KeePass ?
Кто-нибудь может сказать что-нибудь про Psono?
Подскажете хотябы 1 парольный менеджер, кроме закрывающегося trezor, который может обеспечить сохранность паролей (естественно кроме непосредственно тех, к которым был запрошен доступ пользователем) при использовании на заражённой машине?
Т.е. расшифровываться пароли должны по одному и без мастер пароля.
Выбираем корпоративный менеджер паролей: обзор популярных решений