Комментарии 122
Использую KeePass, ибо такое интимное дело как хранение личных паролей стоит доверять лишь открытым программам.
Тот факт, что программа идет с открытыми исходными кодами означает только что там нет зловредных «закладок» от самих разработчиков (и только если хоть один человек сам просмотрел эти исходники, а не понадеялся на «гуру»). На дыры в коде его открытость никак не влияет в сравнении с проприетарным ПО.
И уж совсем никак не влияет на дыры в других программах (Адоб, Винда, Офис и т.п.) через которые к вам и прийдет 0-day кейлоггер и считает ввод с клавиатуры.
KeePess отличная программа, но не нужно быть фанатиком в стиле Столмана.
И уж совсем никак не влияет на дыры в других программах (Адоб, Винда, Офис и т.п.) через которые к вам и прийдет 0-day кейлоггер и считает ввод с клавиатуры.
KeePess отличная программа, но не нужно быть фанатиком в стиле Столмана.
тот факт, что пароли сами не «сольются» на сервера разработчиков, уже огромный плюс опенсорсных менеджеров паролей.
по поводу 0-day кейлоггера: не все пользуются windows.
по поводу 0-day кейлоггера: не все пользуются windows.
НЛО прилетело и опубликовало эту надпись здесь
А что мешает скомпилить самому?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Быть параноиком так уж до конца :)
Может у когото в ДНК закладки заложены и человек сам по какойто кодовой фразе все пароли расскажет
Может у когото в ДНК закладки заложены и человек сам по какойто кодовой фразе все пароли расскажет
А в-общем, довольно не реально написать идеальную программу, в которой можно было бы быть уверененным на все 100%, не важно open source или нет. В мире всё взаимосвязанно, в том числе и в компьютерном (железо, OS, soft, сеть, ...) — закладка или ошибка может быть везде.
С моей точки зрения, уж если доверять комуто свои пароли так уж точно не облачному сервису, разве что ты сам перед отправкой всё шифруешь.
Как уже писали выше keepass отличная программа. И мне она нравится не из-за того что она open source и можно проверить код, а из-за того что существует огромное количество плагинов к ней и если мне чего либо в ней не хватает, то поборов свою лень, я смогу добавить в неё то что мне нужно будет.
С моей точки зрения, уж если доверять комуто свои пароли так уж точно не облачному сервису, разве что ты сам перед отправкой всё шифруешь.
Как уже писали выше keepass отличная программа. И мне она нравится не из-за того что она open source и можно проверить код, а из-за того что существует огромное количество плагинов к ней и если мне чего либо в ней не хватает, то поборов свою лень, я смогу добавить в неё то что мне нужно будет.
Вы же не сравниваете количество кода здесь, причем на .net, и количество сишного кода в freebsd?
В последней версии KeePass есть функция ввода пароля через «Secure Desktop», т.е. большинство кейлогеров теперь не страшно))
Галерея Safari Extensions показывает, что есть еще менеджер паролей Mitto и RoboForm расширение для Safari на Windows
Здесь еще не хватает StickyPassword или в обертке от Касперского Kaspersky Password Manager. Пользуюсь платной версией StickyPassword и на мой взгляд она превосходит перечисленные в этом обзоре продукты, кроме LastPass, по тому, что не пользовался и не могу сравнить.
НЛО прилетело и опубликовало эту надпись здесь
Я вообще ничего не заметил про безопасность.
Про безопасность достаточно:
1. алгоритм шифрования указан для всех решений
2. упоминается о возможности включения преобразования ключа, для защиты от брутфорса
3. рассказывается о месте хранения базы, локально(в каталоге с по или в любом выбранном месте, например в dropbox), в облаке.
4. указывается про открытые и закрытые исходники (можно сделать вывод о гипотетической опасности увода паролей разработчиками у по с закрытым кодом)
Этой информации более чем достаточно, что бы сделать вывода о пезопасности
1. алгоритм шифрования указан для всех решений
2. упоминается о возможности включения преобразования ключа, для защиты от брутфорса
3. рассказывается о месте хранения базы, локально(в каталоге с по или в любом выбранном месте, например в dropbox), в облаке.
4. указывается про открытые и закрытые исходники (можно сделать вывод о гипотетической опасности увода паролей разработчиками у по с закрытым кодом)
Этой информации более чем достаточно, что бы сделать вывода о пезопасности
Добавил способы шифрования баз, место их хранения и заметку про недавний взлом LastPass.
Такжe существуют сторонние программы, работающие с базами KeePass — под Linux и Mac OS X, например, KeePassX.Важное замечание: KeePassX совместим только с базами KeePass 1.x, но не с базами KeePass 2.x
И, как мне кажется, KeePassX тут следовало рассмотреть как отдельную программу, базирующуюся на кодовой ветке KeePass 1.x.
А почему способ синхронизации базы через Dropbox указан только для программы 1Password? Что мешает использовать репликацию через тот же Dropbox (и иные аналогичные сервисы) для файлов-баз других программ (например, для KeePass и KeePassX)?
В 1Password Dropbox интегрирован в программу, достаточно указать данныe доступа и ПО все делает самостоятельно. Про то, что синхронизация в KeePass возможна (в том числе и через DropBox) написано в тексте.
Так и делаю, синхронизирую kdb-файл через Dropbox и использую KeePassX на Ubuntu и KeePassDroid на Android.
У оперы свой менеджер паролей есть.
Не полноценный, правда, но есть.
Не полноценный, правда, но есть.
Вместе с удобством, хранение базы на серверах также представляет собой риск: не так давно LastPass был взломан, и владельцы сервиса в обязательном порядке заставили всех клиентов сменить их мастер-пароли.
А можно пруфлинк? Насколько мне известно была зафиксирована лишь аномальная активность на одном из серверов, про взлом речи не было. После этого пароли _рекомендовали_ сменить и даааалеко не всем клиентам. Меня, например, менять мастер-пароль никто не заставлял и даже не рекомендовал.
Думаю прикупить usb fingerprint сканер, и начать использовать с ним keepass. Получится подружить keepass + fingerprint сканер, у кого-то был опыт?
НЛО прилетело и опубликовало эту надпись здесь
Это я понимаю, при физическом доступе недругов всегда найдется способ обойти защиту, будь то подделка правильного ввода (или даже не подделка, я ведь рядом), терморектальный криптоанализ и тд. или вы имели ввиду подделку правильного ввода удаленно (трояном)?
Но моя цель немного другая. Просто не хочу вводить пароль постоянно. Также не хочу хранить файл ключ, хотя этот вариант более удобен, но украсть файл с флешки проще чем мой палец. Нужна защита от троянов, допустим сперли базу и чтобы сделать с ней ничего не могли без моего пальца :) Пока хз подойдет ли для этого keepass, буду разбираться.
Но моя цель немного другая. Просто не хочу вводить пароль постоянно. Также не хочу хранить файл ключ, хотя этот вариант более удобен, но украсть файл с флешки проще чем мой палец. Нужна защита от троянов, допустим сперли базу и чтобы сделать с ней ничего не могли без моего пальца :) Пока хз подойдет ли для этого keepass, буду разбираться.
А где была? Я на нашёл, нашёл только пачку статей про надёжность сканеров, завис на 20 минут. Подскажете?
Недавно заметил странную особенность у lastpass. Решил там сменить свой логин, т.е. email. Сменил, и думаю, а что будет если я попытаюсь залогиниться из хрома с помощью их расширения. Попробовал, расширение выдало мне, что такой email не найден, но при этом заполнило все формы! Получается, что это расширение хранит все пароли у вас на компьютере.
LastPass поддерживает Symbian.
А как интегрировать keepass в Оперу? Не нашел на в экстеншенах оперы ни на сайте keepass расширени.
>LastPass был взломан, и владельцы сервиса в обязательном порядке заставили всех клиентов сменить их мастер-пароли
Не заставляли они, а рекомендовали поменять, если пароль недостаточно надежный. Я, например, не менял
Не заставляли они, а рекомендовали поменять, если пароль недостаточно надежный. Я, например, не менял
в таблице не хватает колонки «блокнотик с ручкой»
Недавно в интернете?
Эх, молодые мои годы… Все мы проходим через этот этап. Сначала блокнотик с ручкой, потом *.txt файлик на компьютере и только уж потом, умудрённые опытом, мы заводим программы для хранения паролей.
А на самом деле это неплохая идея: сразу перескочить на последний этап, минуя предыдущие. Попробуйте, вам понравится :)
Эх, молодые мои годы… Все мы проходим через этот этап. Сначала блокнотик с ручкой, потом *.txt файлик на компьютере и только уж потом, умудрённые опытом, мы заводим программы для хранения паролей.
А на самом деле это неплохая идея: сразу перескочить на последний этап, минуя предыдущие. Попробуйте, вам понравится :)
С шифрованием у блокнотика беда!
Важная особенность 1Password не отражена. Хранилище (называется agile keychain) представляет из себя папку с html-файлом, который можно открыть в любом браузере (в т.ч. Opera Mobile) и получить полноценный 1Password-интерфейс. Ничто не мешает эту папку синхронизировать через Dropbox и открывать на том же мобильнике.
Добавлю b-folders.
Win, OS X, Android, Linux. Синхронизируется локально. 256-bit AES.
Win, OS X, Android, Linux. Синхронизируется локально. 256-bit AES.
SPB Wallet
256-bit AES, интеграция с IE и Firefox, файл с паролями можно синхронизировать через Dropbox
Клиенты для Win, Mac, WinMobile, Symbian S60, Android, iOS
256-bit AES, интеграция с IE и Firefox, файл с паролями можно синхронизировать через Dropbox
Клиенты для Win, Mac, WinMobile, Symbian S60, Android, iOS
Поддерживаю. Подсел на SPBWallet еще во времена пользования pocketPC с Windows Mobile 2003. С тех пор наросла большая база паролей и куда-то мигрировать уже и не думаю.
Добавлю — синхронизация через Gmail. Как следствие, копия базы всегда есть и в вашем ящике на гмыле, в качестве бекапа.
Добавлю — синхронизация через Gmail. Как следствие, копия базы всегда есть и в вашем ящике на гмыле, в качестве бекапа.
Все в ней хорошо (сам пользуюсь), кроме одного — тормозов разработчиков. Нет ни плагина под актуальные версии FF, ни нормального приложения для iPad.
Попробуйте SuperGenPass. Ничего нигде не хранит, а генерирует пароль на основе мастер-пароля и домена.
НЛО прилетело и опубликовало эту надпись здесь
Использую Password Safe, к которой приложил руку Брюс Шнайер.
Ещё для KeePass есть куча плагинов:
keepass.info/plugins.html
keepass.info/plugins.html
KeePass при помощи плагинов можно автоматически синхронизировать между компьютерами
Может для RoboForm и LastPass сделать две колонки (бесплатная/платная версии)? А то получается что LastPass весь такой белый и пушистый, а по факту — большая часть возможностей доступна только по платной подписке.
Несколько лет назад я устраивал свой мини-тест менеджеров паролей. На первом месте для меня была не уйма поддерживаемых алгоритмов шифрования (хотя само по себе это плюс), а удобство. Для этого класса программ интуитивность и ненавязчивость интерфейса крайне важны, там даже один лишний клик будет раздражать. А некоторые софтописатели, к сожалению, пытаются сделать чуть-ли не парольную 1С-Бухгалтерию, как-будто я пароли только и буду, что по папочкам раскладывать и систематизировать по 10 параметрам.
В итоге остановился на Personal Passworder.
Просто, удобно, понятно, ненавязчиво. Но при этом весь жизненно важный функционал в наличии.
В итоге остановился на Personal Passworder.
Просто, удобно, понятно, ненавязчиво. Но при этом весь жизненно важный функционал в наличии.
Предпочитаю запоминать все пароли, тренирую память.
Да и в нужный момент, они всегда под рукой. Вне зависимости от того, откуда я выйду в интернет (компьютер/ноутбук/телефон/планшет) и вне зависимости от того, какая платформа там будет.
Да и в нужный момент, они всегда под рукой. Вне зависимости от того, откуда я выйду в интернет (компьютер/ноутбук/телефон/планшет) и вне зависимости от того, какая платформа там будет.
на все-все сайты? пароли из букв, цифр и спецзнаков? нереально =))
Молодость зеленость ;) у человека наверно еще нет паролей которые вбивал 1-3 года назад, и не пользовался три года, а потом попробуй вспомни…
У меня есть пароли, которые я придумал еще в 2004 году и я их помню.
Все они для меня что-то значат.
А у Вас либо короткая память, либо Вы просто привыкли пользоваться программами, которые все запоминают за Вас.
Все они для меня что-то значат.
А у Вас либо короткая память, либо Вы просто привыкли пользоваться программами, которые все запоминают за Вас.
У меня куча паролей которые я придумал в 199Х и даже не смотря на то что не пользуюсь ими, помню. Телефон моих школьных знакомых, с которыми я не разговаривал 10 лет, я все еще могу вспомнить. Это не меняет того факта, что если я придумал пароль, вбил его два раза в жизни, и на два года ушел от этой железки, то есть 90% вероятность, что этот пароль я не вспомню.
Есть конечно способ использовать один пароль на все, но вы же сами знаете ответ?:)
Есть конечно способ использовать один пароль на все, но вы же сами знаете ответ?:)
Пользуюсь Kaspersky Password Manager, но огорчает что разработчики не обновляют вовремя плагины автозаполнения к браузерам и приходится им постоянно долбить в саппорт. Так же у него есть портабл версия которая одним кликом синхронизируется на любой компьютер.
НЛО прилетело и опубликовало эту надпись здесь
Возможно, у вас феноменальная память. Но я даже нe представляю себе, как я смог бы хранить все мои пароли в голове — на данный момент в моей базе KeePass 114 записей, из них подавляющее большинство длиннее 20 символов, со всеми возможными классами символов.
Тут самое важное не оказаться в ситуации, когда в старости вы будете по прежнему помнить ваши 540 паролей из десятка случайных цифробукв, зато забывать снимать штаны в туалете. Человеческая память это конечный ресурс.
И все равно, ничего лучше Password Commander'а, даже спустя 3-года после остановки его разработки, так и не вышло. Печаль.
Полностью поддерживаю. Как жаль что дальнейшая разработка его не видётся.
А вы пробовали KeePass? Я в свое время думал на него переехать именно потому что Password Commander не поддерживается, да и корни у них вроде общие, но так и не переехал. Вы пробовали, он хуже Password Commander-а?
У KeePass и Password Commander'а общих корней быть не может, Password Commander разрабатывался с нуля Анваром Хусяиновым и Сергеем Пономаренко на Delphi, далее разработку проекта продолжила компания Атис (atis.ru), в которой я имел честь работать в смежном отделе, сейчас де факто проектом владеет Илья Ванявкин, и насколько мне известно имеет планы на его развитие, так что возможно для нас еще не все потеряно. Проблематика развития Password Commander'а в том что развивать платформу на нативном WinAPI и Delphi крайне не дешевое удовольствие. А KeePass насколько я понял Open Source проект и полностью написан на управляемом коде (C#).
По поводу сравнения KeePass с PasswordCommander'ом, с точки зрения юзера писал еще Экслер. Но тут нужен более глубокий анализ, которого я не проводил. Сходу могу сказать что Password Commander «чист» с точки зрения нашего законодательства, в нем не используются алгоритмы шифрования с ключем более стойким чем 48-ми битный. Необходимый уровень безопасности обеспечивается за счет плагинов шифрования от сторонних разработчиков, которые скачиваются отдельно от Password Commander'а. По идеи, что бы применять тот же KeePass в госорганах нужно либо получить соотвествующую лицензию на право применения алгоритмов шифрования оперирующих ключём длиннее 48-бит, либо сделать как Password Commander. Только вот не уверен что адаптация под Российские (любую другие) законодательные тонкости входит в планы разработчиков. Да и не факт что это так уж актуально.
P.S. В деталях мог напутать. Давно это было.
По поводу сравнения KeePass с PasswordCommander'ом, с точки зрения юзера писал еще Экслер. Но тут нужен более глубокий анализ, которого я не проводил. Сходу могу сказать что Password Commander «чист» с точки зрения нашего законодательства, в нем не используются алгоритмы шифрования с ключем более стойким чем 48-ми битный. Необходимый уровень безопасности обеспечивается за счет плагинов шифрования от сторонних разработчиков, которые скачиваются отдельно от Password Commander'а. По идеи, что бы применять тот же KeePass в госорганах нужно либо получить соотвествующую лицензию на право применения алгоритмов шифрования оперирующих ключём длиннее 48-бит, либо сделать как Password Commander. Только вот не уверен что адаптация под Российские (любую другие) законодательные тонкости входит в планы разработчиков. Да и не факт что это так уж актуально.
P.S. В деталях мог напутать. Давно это было.
1Password — лучший для мака вариант. Интелектуальная система для заполнения как кредит-карточек, так и паролей на сайты. Любой менеджер паролей можно оценивать по удобству использования хранимой в нем информации. Если для заполнения данных кредитки на сайте мне нужно сделать больше одного действия, то что-то с менеджером паролей не то.
НЛО прилетело и опубликовало эту надпись здесь
Я уже несколько лет использую отечественную разработку Password Commander, но такое ощущение, что автор забросил проект.
Сначала использовал LastPass, но сейчас использую KeePass под Linux, Windows и Android.
1Password есть и под Windows Phone 7
forum.agile.ws/index.php?/topic/3360-1password-for-windows-phone-7-is-here/
forum.agile.ws/index.php?/topic/3360-1password-for-windows-phone-7-is-here/
Коллеги, этим www.moiparoli.ru никто не пользовался? Можно ли ему доверять?
А keepass получится нескольким пользователям юзать? Нужно для техподдержки где-то хранить обобщенно пароли
Было бы здорово обновить эту статью по состоянию на текущий момент (начало 2016 года)…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Популярные менеджеры паролей в сравнении