Как стать автором
Обновить

Комментарии 54

По-моему, Яндекс браузер закрыл вопрос хранения и генерации паролей. Я раньше пользовалась keepass, но сейчас, мне кажется, подобным программам настало время умереть как классу.

Вопрос места хранения паролей всё-таки весьма деликатен. И доверять его браузеру…
По-прежнему лучшей системой является автономная хранилка (вроде того же keepass) с хранением файла в облаке. Для облака это просто файл, так что риск компрометации не растёт. Но появляется возможность использовать эти пароли на разных устройствах, чего нет в предлагаемом в посте варианте. И в варианте яндекс-браузера тоже разнообразие меньше желаемого мной.
А еще лучше — в своем облаке :)
или так… Но — в браузере?

А что не так с браузером? Он хранит пароли в открытом виде? У себя на сервере?


Нашел описание: https://habr.com/ru/post/134982/ вроде как нормально зашифровано все. У меня есть ощущение, что не хуже чем у keepass. Удобство однозначно выше — у меня пароли и на телефоне (не только в браузере!) и на компе синхронизированы, и только несколько паролей я реально храню в голове (они ещё со вторым фактором, но на случай если я "потеряю" разблокированный смартфон, я их и не сохраняю нигде)

Я предпочитаю разъединять факт хранения паролей в файле и обеспечение доступа отовсюду. Если синхронизатор знает, что синхронизует пароли — это уже ущерб.
У pass под андроид тоже есть клиент, чем я успешно пользуюсь уже несколько лет, синхронизируя всё через гит-сервер. Вполне себе удобно.

А что не так с браузером?

Потенциально уязвимость браузера может привести к утечке ваших паролей.
Не подумайте, я ни в коем случае Вам не навязываю, просто к сведению.

Он вроде не умеет вставлять пароли и предлагать автозаполнение? Вот если я открою какой-то сайт в браузере, или приложение любое — он мне сам предложит вставить/придумать/сохранить пароль?


Если умеет — то да, разницы в удобстве никакой, а независимость от корпораций и проприетарных облаков даёт значительное преимущество. Если/когда Гугл закроет свой менеджер паролей — ваше приложение будет работать.


Про уязвимости ничего не скажу — все что угодно может быть уязвимым, пока не встречал программы, которые бы не могли сломать. Если только по принципу неуловимого Джо.

В «базовой комплектации» — нет не умеет, но вроде есть разные плагины, добавляющие эту функциональность.
Он хранит пароли в открытом виде? У себя на сервере?
Хром хранит у себя на сервере, да, если синхронизация включена.

вроде как нормально зашифровано все
При отсутствии мастер-пароля троян может расшифровать БД с паролями, зашифрованную с помощью DPAPI без какого-либо труда. Проблема будет в том случае, если кто-то пытается достать файлы без входа в учётную запись Windows.

Хранить то хранит. Но не в открытом же виде. А как раз в зашифрованном и закрытом мастер паролем.


С локальной бд аналогично. Выше ссылка.


Троян может "расшифровать" что угодно, просто перекватив ввод с клавиатуры. Хром тут более уязвимый только потому, что популярный и стоит у каждого почти.

Хранить то хранит. Но не в открытом же виде. А как раз в зашифрованном и закрытом мастер паролем.
Предлагаю проверить

С локальной бд аналогично. Выше ссылка.
Я ходил по ссылке и кроме ссылки ещё и сам работал с DPAPI. Хром шифрует свои локальные базы данных с помощью машинного ключа, а значит любое ПО, запущенное текущим локальным пользователем получает доступ к этим БД без какого-либо перехвата клавиатуры пользователя.

Только что на Chrome 89 убедился, что в настройках хранения пароля указать мастер-ключ невозможно и для этого необходимо устанавливать стороннее расширение. Я считаю, что это уже не считается заслугой Chrome.

Троян может «расшифровать» что угодно, просто перекватив ввод с клавиатуры
Перехват клавиатуры с инъекцией в чужой процесс на порядок более заметен антивирусными системами, чем обращение к DPAPI с машинным ключом.
  1. Браузер — программа, KeePass — программа. В чём разница каким программистам доверять. Яндекс в этом смысле даже понадёжней выглядит.


  2. Пароли из браузера тоже можно использовать на любом устройстве. Не вижу проблемы. Синхронизация же работает.


  3. Ну а насчёт разнообразия вы что имеете ввиду?


keepass (приведена только для примера) — локально работающая программа, для неё можно заблокировать все выходы в инет, если и попытается. Пароли не должны уходить наружу именно как пароли.
Пароли из браузера тоже можно использовать на любом устройстве
не совсем так, уже писали, что пароли нужны не только для веба. И не только пароли. В защищённом хранилище удобно хранить многое, что можно назвать «личной информацией». Вовсе и не пароли, но то, что хочется иметь под рукой — и не светить ими.
Именно это разнообразие, разнообразие хранимого, и имелось в виду.

Я использую хранилище в Я.Браузере не только для веб паролей. Весь функционал для этого там есть, зачем что-то ещё?!


У меня такое впечатление, что у многих на Хабре присутствует снобизм: "пароли хранить в браузере — фуу… Кошерно только в специализированной программе, лучше, чтобы интерфейс был из командной строки. Вот тогда это по IT-шному."


А чем плох браузер, я так и не поняла. Разве что потенциально более дыряв, т.к. программа слишком большая и сложная, и вызывает большой интерес у вредителей?

Потенциально более дыряв — да. Данные хранятся в системе, из которой бывают утечки — два. Если запароливание и хранение разделены, то утечки облака ничем мне не грозят.

Браузер, как никто другой, и так знает (если ему надо) вашу поднаготную: и сайт посещаемые, и банкинг, и пароли, которые вы вводите. Это смешно — пользоваться браузером, но при этом говорить, что хранение паролей в нём — не-е, это не секьюрно, Яндекс их стырит.

Браузер сталкивается только с малой толикой моих паролей. И вообще не знает прочих секретов. Да и касательно паролей — лично я храню в нём только (жму "запомнить") самые неважные вещи. Те которые если завтра утекут — да и бог с ними. А самые важные вещи не доверяю даже софту вроде pass.


это не секьюрно, Яндекс их стырит.

Скорее не сам yandex, а что-нибудь ориентированное на yandex browser (или любой другой). К слову old school Opera хранила свои пароли в wands.dat (точное название файла не помню). И огромное количество всякой вирусни первым же делом пыталось утащить этот файл. Со всеми вытекающими.


Касательно хранения паролей в браузере. Не совсем понятно о чём спор и почему такой категоричный. Очевидно ведь что это непрофильная возможность данного софта, посему и представляет из себя примитивный UI с парой кнопочек и 4 input-ами. Если вам этого достаточно — why not, каждому по потребностям, но заявления в духе:


подобным программам настало время умереть как классу

с моей колокольни выглядят очень странно. За это у вас -20. Не из-за не любви к yandex browser или yandex, а за категоричность. "Мне не надо = никому не надо".


Есть профессиональный продуманный софт (откройте хотя бы настройки того же Keepass XC, пощёлкайте UI, посмотрите и пощупайте интеграции), а есть любительский. А есть, как вот в статье описано, более CLI подход. В зависимости от степени вашей "гиковости" и у вас и пожелания к софту будут совсем разные.


Это разделение в софте оно ведь повсюду. Есть упрощённый софт с минимальным порогом входа и простыми возможностями, минимумом настроек. Есть более профессиональные тулы, которые требуют порой многих лет освоения, а есть совсем уж гиковский велосипед где гик конструирует вокруг своих предпочтений целую экосистему. И тут вы вкатываетесь к гикам на трёхколёсном велосипеде со словами: "ваши mountain bikes это каменный век". For what?


Ну и по аккуратнее со всем что касается security. Может показаться что эта тема простая как два пальца, а на деле это бездонный колодец.

у меня — много личной конфиденциальной информации, которая никак не относится к веб-страницам. И которую я храню там же, в парольной программе. Может быть, потому у меня и отношение такое.
Для связности оставлю пост про него habr.com/ru/company/yandex/blog/344382

Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.
Pass — это вообще шелл-скрипт, по-сути, с открытым кодом.Можно проверить что он делает. По сути он просто обёртка для шифровщика gpg, чтобы удобно одной командой зашифровывать\расшифровывать текстовые файлики. Хранилище паролей — обычная папка с этими текстовыми файликами. Плюс прикручена синхронизация через гит.
В этом смысле это просто максимальна простая и понятная утилита, понятно как она работает, и понятно насколько она защищена. Но предполагает ответственность пользователя за безопасность данных в том числе — если вы скомпрометируете свои ключи шифрования, сам себе злой буратина. Короче вопрос сохранности паролей — тут скорее вопрос доверия к самому себе, а не к Яндексу/Мозилле или еще кому-то. В этом смысле просто каждому своё, кому неохота, тот и не заморачивается. А, ну и автор приложения также разработчик wireguard, так что есть к нему кредит доверия как к специалисту по безопасности.
Народ возможно стриггерился на Яндекс.браузер, поскольку хэйтить яндекс приятно и полезно, особенно вспоминая яндекс-бары и прочую дичь, которую приходилось отовсюду ссаными тряпками выносить. Да и сейчас яндекс-браузер во все щели ломится.
Хранить пароли в браузере это как онлайн банкинг на смартфоне. Вроде все надёжно, но при потере его имеете большие проблемы и много суеты. Браузер при работе взаимодействует с внешними сайтами с разной степенью защищённости и вредоносности. Вы это не можете контролировать. Программа хранения паролей имеет минимальный периметр взаимодействия с внешними сайтами и соответственно угрозами.
У многих присутствует логика в этом вопросе. Разве пароли бывают только для сайтов? Как насчет паролей, которые предназначены для входа в разные там программы?

Хранение паролей в браузере слишком сильно привязывает вас к одному браузеру. Бывает случаи, когда приходится работать в двух разных браузерах одновременно, например.

Что касается хранения паролей на сервере Яндекс, так тут каждый сам выбирает кому доверять, для кого-то это Яндекс, для кого-то Apple или Google или еще что-то.
Если уж говорить о доверии к браузерам в плане приватности, то разве что Firefox ещё заслуживает какого-то доверия, и то не без вопросов. С KeePassXC я хотя бы не сомневаюсь, что он надёжно шифрует хранилище и не сольёт эти пароли куда-либо. Яндекс-браузер же лично у меня вызывает даже меньше доверия, чем MS Edge.
Правильно говорите у я.браузера такое же доверие как и к Амиго, подумайте просто на досуге, кто возражает в поддержку браузерного хранения: зачем Яндексу и Майл.ру делать свои браузеры на базе Хромиума? Для того чтобы контролировать потоки трафика, мониторить пользовательские предпочтения и другие факторы, которые многие бы не хотели чтобы распространять среди незнакомых людей. Ну и подумайте почему все так против гугла и хрома в плане приватности. Вспомните недавнюю историю с Яндексом про увольнение админов почты, думаете с паролями у них намного лучше? Вы сами видели как хранятся и передаются ваши пароли? Это конечно не значит, что открытым текстом, но когда вы сами выбираете алгоритм шифрования, пароль шифрования и сами шифруете — это более серьезная причина использовать менеджеры паролей. Кроме того, не забываем про аудиты безопасности и опенсорсность против проприетарных решений. Чтобы потом не удивляться, когда в Хроме пароли (зашифрованные) показывались по ссылке в вашем браузере (довольно долго была такая «фича») любому, кто сел за ваш комп «проверить почту».

Доверяете Яндексу? Молодцы, только не забывайте, что даже у ФБ были гигантские утечки данных, а они обязаны о них уведомлять и за неуведомление им будет Ай-Ай-Ай, а Яндексу за такое же ничего не будет, потому что «любая фраза Пескова». Я не хочу сказать, что Яндекс плохой, просто всегда нужно помнить, что есть человеческий фактор и даже, если кому-то сейчас все равно, что его пароль от его почты для спама куда-то утечёт, то это ещё не значит, что через несколько лет это окажется проблемой.

Где логика? Вы не доверяете злому браузеру хранение паролей, поэтому храните их в другом месте. Потом, чтобы где-то авторизоваться, открываете это надёжное место и вбиваете пароль… в браузере.


Если браузер тырит пароли, как вы подозреваете, то он точно также может их тырить при авторизации.

Тут скорее речь про хранение. Одно дело — хранение лично у вас и тут вопрос безопасности ложится на ваши плечи.

Другое — если пароли будут сохранены где-то на серверах компании (про возможность красть во время ввода не говорим, т.к. если машина заражена, что все данные автоматически скомпрометированы), которые неизвестно как защищаются и неизвестно как шифруются (если вообще шифруются).

Первый способ в чём-то даже более секьюрно выглядит хотя бы из-за того, что хакерским группам интереснее ломать компанию, чем какого-то noname-юзера.
Чтобы потом не удивляться, когда в Хроме пароли (зашифрованные) показывались по ссылке в вашем браузере (довольно долго была такая «фича») любому, кто сел за ваш комп «проверить почту».

Вот кстати да, это даже не баг, это общая культура.
Для синхронизации Pass использует гит. Когда вы создаете локальное хранилище паролей, сразу создается локальный репозиторий. Можно добавить свой ремоут на своём сервере, можно просто синхронизировать через гитхаб/гитлаб. Приватный ключ хранится не в репе (если специально его туда не положить, ведь хранилище — это просто папка).
Я пользуюсь pass на винде (через WSL, он у меня давно стоит), ubuntu, макоси и iOs.
Поправочка, репа создается дополнительно командой:
pass git init
Надёжнее 7z архива с паролем пожалуй сейчас всё равно ничего не придумали.
По моему самое время как раз не забить на хранение паролей, сделать аппаратное хранилище + хеш генератор, чтоб компьютер видел пароль 1 раз при регистрации на ресурсе.

А как быть с разными устройствами при аппаратном хранении?

Bluetooth, USB?
Только пароли используются не только в браузере
Да и сделали так что никуда их не вытащить и мигрировать на другой браузер с этими паролями не реально. Перенести в другой менеджер паролей тоже невозможно. Единственное что мне посоветовали в техподдержке копипастом копировать пароли из их менеджера паролей, а когда пароле более 1к то это уже бред. Сейчас в меня сохранено 1173 пароля.
Вот как-то не уверен, что пора заниматься похоронами. Смотрите:
1. вы не просто используете паролехранилище Я., вы замыкаете себя на этом браузере и др. приложениях. Я. между тем весьма агрессивно собирает на вас досье. «Гони природу в дверь, она влетит в окно».
2. Браузер отличается от специализированных приложений уязвимостью. Это большое и сложное приложение с вечной кучей багов, которое выполняет код с непонятно каких сайтов.
3. Конкретно в паролехранилищах браузеров довольно часто обнаруживают уязвимости. По крайней мере, гораздо чаще, чем в спец. программах.
4. Общая культура безопасности в компаниях, разрабатывающих спец. приложения, выше. А безопасность — это не просто «у нас AES256, все надежно защищено, мамой клянусь». Это куча мелочей. Ну вот, например, сейчас провел тест в хелпе Я.браузера и в lastpass: поискал информацию, сколько раз нужно взять хеш пароля, чтобы получить ключ. В lastpass все нашел быстро — там целый документ, посвященный всяким нюансам защиты. В Я.б по содержанию и поиску не нашел. То, что яндекс считает, что пользователям это не важно, уже симптоматично.
4. Специализированные приложения заметно функциональнее. Хотя это, я согласен, важно не всегда. Часто базового функционала(сгенерировать, запомнить и вставить в форму пароль) достаточно.
5. Не уверен, что я правильно делаю, но в принципе яндексу я верю. Верю, что он добросовестный и тырить пароли просто так не будет (в отличие от всей персональной информации, до которой сможет дотянуться). Но я уверен, что если к нему придут/уже пришли люди в погонах, он не откажет в просьбе вставить, например, в шифрование бекдор. Если вы живете в той же стране, что и люди в погонах, это не очень.
6. И насчет того, нужно ли бояться яндекса, он ведь все равно может своровать пароли из формы, независимо от способа ввода. КМК, бояться все равно нужно: a) вы заходите на все сайты из одного браузера, без выбора. б). На часть сайтов вы вообще никогда не заходите из браузера, на часть — заходите редко. Ловить вас, когда вы зайдете на «интересный» сайт, не очень-то и удобно. в). Да и палево это, прямо из форм воровать пароли. Заметят такой «функционал». Гораздо тише и безопаснее взять всё хранилище и взломать с помощью бекдора или уязвимости. Да и пароли сразу все получите, а не будете из форм собирать в час по чайной ложке.

Как-то так)

Вопрос гибкости Яндекс, Хром да даже нативный Огнелис ну никак не решает. Тут можно доступ к паролям разным людям раздать, насколько хватит фантазии.

Хранить пароли от веб ресурсов в браузере вещь удобная. Для этих целей ничего лучше и не придумаешь. Но вот хранить пароли от виртуалок (RSA-ключ используется тоже), пин коды и номера карточек да и прочих радостей в браузере как-то сомнительно. Как по удобству так и по безопасности.
В принципе не обязательно локальный гит, я держу в приватном на гитлабе.
Некоторые не очень параноящие граждане пишут, что даже и ключи туда можно положить (только если они запаролены, естественно). В крайнем случае будет спален только список ваших акканунтов (точнее, названий которые вы им присвоили в пасс) — но в моем случае это не чувствительная информация.
Хотя недавно был забавный случай. Вижу в списке своих паролей некий «mancentral» и не помню, от чего он. Сую название в гугл — выдает какие-то гей-знакомства. Потом оказалось, что это пароль от ManusсriptCentral — системы отправки научных статей в Radiocarbon.

Там внутри этих файлов можно еще что угодно дополнительное писать, в том числе комментарии "что это вообще такое за пароль".

Экселевские таблицы давно напрашиваются как хранилище паролей. Но зависимость от большой (как части еще большего пакета) и небесплатной программы сдерживает.

vim умеет работать с зашифрованными файлами
Надо переходить на системы не требующие пароли, а не придумывать тысяча первый способ как этими паролями управлять.

Только вот и беспарольные системы тоже небезопасны, временный ключ который выдает тебе сервис можно пререхватить. Причем весьма банальным фишингом. Потому что беспарольные системы расхолаживают.

Ну раз уж мы тут про системы хранения паролей говорим, то я бы лучше воспользовался собственной системой шифрования. Какая-нибудь система сдвигов многомерной матрицы. (Количество комбинаций в кубике Рубика 6x6 — дает 10^116, что уже больше чем 2^256)

Вот только, что делать с программой дешифрации. Ее тоже надо хранить в безопасном, но доступном месте. Значит алгоритм должен быть такой простой, чтобы воссоздать такой скрипт можно было бы по памяти, в случае его утери. Или чтобы программа дешифрации основывалась на каком-нибудь известном алгоритме (не обязательно предназначенном для шифрования).

Раскодировать такое не будет под силу никому. Только социальная инженерия, паяльник или квантовый компьютер.
переехал пару лет назад с keepass на pass (ну точнее на gopass), доволен

под винду есть ещё удобное к нему github.com/geluk/pass-winmenu
bitwarden.com — есть такая хранилка с открытым исходным кодом, бери и пользуйся

pass + синхронизация устройств через syncthing, сервер которого крутится на копеечном rpi zero. Работает как часы. И никаких зависимостей от сторонних сервисов. И полная уверенность в том что в будущем база паролей останется юзабельной, даже если pass внезапно исчезнет с лица земли — потому что формат хранения это обычный текстовый файл.

Около 15 лет храню пароли в программе Password Boss (Portable), если надо — беру с собой на флешке. Но для доступа требуется комп с Windows, т.е. для просмотра паролей на смартфоне не годится. Сейчас столкнулся с тем, что невозможно сделать hard-copy базы паролей или экспортировать их в другую программу, которая имела бы Android-версию. Создатели были озабочены безопасностью и функция экспорта просто не предусмотрена. Приходится «жевать кактус»… В принципе всё остальное устраивает, если бы не неудобства с паролями на смартфоне.
Может реализую со временем вариант с удалённым рабочим столом, когда будет свой постоянно включенный сервер. Но тут опять встаёт вопрос безопасности.

Вот тут пишут что из Password Boss можно экспортировать пароли в JSON формате, ну а потом уже не должно составить сложности сконвертировать их формат, который примут другие менеджеры паролей.
Хотя возможно там про какой-то другой Password Boss рассказывают.

Это, видимо, другая программа. Проект от Ammosoft закрыт.
Программа была бесплатна для русскоязычных пользователей.
Сейчас бы доверять сохранению паролей в браузере…
Keepass. Надежен и достаточно прост. Аналогов для себя не нашел.
Выглядит довольно мило, но все еще нет.
Пока мало что может сравниться с KeePass и парой его плагинов. Например, что умеют оба:
1. Репликация в файл (для подхода резервирования 3-2-1)
2. Кросс системный UI в виде понятного outliner
3. Подставлять креды в формочки веба.
4. Подставлять ssh key и пароль от него. Pass должен уметь через pipe конвейер, keepass умеет через UI плагин. На unix придется тащить mono, что бы запускать все эти перделки на .net.
5. Хранить любое барахло, приложенное в «дополнение» к записи. Очень абстрактно, чуть детальнее:
5.1 В kee можно бинари/блобы приложить к entity и зашифровать. Вы неявно ограничены только адекватным размером БД для быстрой репликации и скоростью расшифровки.
5.2 в pass (как и линукс) все — файл, содержимое которого можно зашифровать.

Что особого есть только у keepass
1. Простота расшифровки и вообще порога вхождения. Нужно только помнить мастер-фразу что бы расшифровать. Не нужно пыхтеть с key файлами или key серверами или с сохранением [в безопасности] приватного файла. Да это может быть необходимо в каких-нибудь редких случаях работы на режимных объектах, но обыватель не оценит.
2. Шифрование вообще всех данных, не только пароля. Является чувствительным данными, если в менеджере хранить карточки, пины, cvc и прочие штуки которые нужно прятать ото всех обывателю.
3. Авторитет и «медийность». [Практически] все сотрудники ИБ слышали о нем и готовы втащить в периметр, что бы обычные сотрудники пользовались. Многое остальное протаскивается настолько медленно и со скрипом, что грусть-печаль.
4. Возможность сделать [или купить] отдельное хардварное устройство для забивки паролей, которое нестрашно потерять. Я бы понаблюдал за тем, как бы подскакивал человек, у которого утекла флешка с приватным файлом, при попытке реализации задумки на pass.

Было бы не честно, не сделать аналогичный абзац про «умеет только pass», но список у меня скудный.
1. Без mono и .net зависимостей пробрасывать креды/секреты в формочки или ssh агент именно unix окружении.

pass хорошо интегрируется через GnuPG c U2F ключами вроде Yubikey.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.