Как происходил переход Robo -> Bitw? Есть какой то инструмент по переносу? Заметки тоже перенеслись? Каких то проблем при переносе не было?
После использования и того и другого почему Битварден? Какие у него преимущества? Если сравнивать робоформ и битварден по прошествии времени какие у каждого плюсы-минусы?
Также нужно хорошо понимать, что при использовании менеджера паролей вы, по сути, отдаете в чужие руки очень конфиденциальную информацию, поэтому ни в коем случае не нужно использовать какие-то непонятные менеджеры паролей, а также менеджеры, откуда утекали данные или их взламывали.
Какие выводы? Главный вывод - менеджер паролей обязательно нужно использовать!
По логике - использовать нужно только понятные менеджеры, которые пока не скомпрометировали, или в которых не выявили утечек (что для любой программы - только дело времени и желания).
По цитате runcyclexcski
as Dominik Reichl, the administrator of KeePass, states, "neither KeePass nor any other password manager can magically run securely in a spyware-infected, insecure environment."[15]
Из-за подобных сомнений не использую до сих пор ни облака, ни менеджеры паролей и с интересом слежу за новостями беспарольного будущего, которое уже наступает.
Из-за подобных сомнений не использую до сих пор ни облака, ни менеджеры паролей и с интересом слежу за новостями беспарольного будущего, которое уже наступает.
Ну так проблема в том, что в "spyware-infected, insecure environment" достаточно набрать пароль и ку-ку - злоумышленник его знает. Наличие или отсутствия локального или находящегося на собственном сервере менеджера паролей не играет роли (хотя в этом случае можно спереть все пароли скопом, а не по мере использования). Другое дело, если менджер пароля "облачный" - тогда да, появляется солидная потенциальная точка интереса хакеров.
Для себя есть pass, там поддержка git, синхронизировать удобно. Есть клиент для Android. А в организации мы пользуемся Passbolt, очень хорошо продуманный софт.
Алекс, можно добавить также, что Bitwarden имеет селф-хост версии для всех основных платформ NAS и путем довольно несложных действий можно организовать полностью собственное облачное решение (я, например, так и сделал)
Там в докере. Плюс есть ещё проект vaultvarden (bitwarden-rs в девичестве, переименовали, чтобы не было путаницы), написанный на rust. Отличие в нетребовательности к ресурсам, в особенности к памяти.
Ага, если родной bitwarden сервак самому хостить, там куча контейнеров, а vaultvarden хоть на одноплатник ARM в докер ставь.
Там в докере. Плюс есть ещё проект vaultvarden (bitwarden-rs в девичестве, переименовали, чтобы не было путаницы), написанный на rust. Отличие в нетребовательности к ресурсам, в особенности к памяти.
Как вариант - обычный текстовый файл с паролями. Храним на компе, копия в облаке. Пароли открытым текстом. Что делать, если украдут/подсмотрят? Не страшно. В действительности к каждому паролю надо добавлять секретный суффикс или префикс. А вот его и держим в голове. В файле пароль "Feb21!abc", а действительности надо вводить "Feb21!abc+88". И не нужно лишних программ.
Как вариант - обычный текстовый файл с паролями. Храним на компе, копия в облаке. Пароли открытым текстом. Что делать, если украдут/подсмотрят? Не страшно. В действительности к каждому паролю надо добавлять секретный суффикс или префикс. А вот его и держим в голове.В файле пароль "Feb21!abc", а действительности надо вводить "Feb21!abc+88". И не нужно лишних программ.
Можно ещё запаролировать файл с заготовками паролей. Или пароли - цифрами, а в столе - неприметный 15 том сочинений В.И.Ленина...
Тогда к суффиксу надо предъявлять те же требования, что и к паролю - длина, набор символов, и прочее. В частности, не использовать один суффикс в нескольких сайтах.
После этого возникает вопрос - где хранить суффиксы? В парольном менеджере? Тогда почему не сами пароли?
- Вождь! Hу почему у нас, индейцев, такие плохие имена? То ли дело у французов: Франсуа, Анри, Габриэль... - Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань...
- Вождь! Hу почему у нас, индейцев, такие плохие имена? То ли дело у французов: Франсуа, Анри, Габриэль... - Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань... Так что ты не прав, Бычий Хрен!
Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение...
Использую бесплатный онлайн-менеджер Keymemo уже лет 13. Ни на что не жалуюсь. Причем после каждого изменения в базе он присылает запароленный архив на почту. Даже если сервер ляжет, последняя копия будет в почте. описание проекта на хабре - habr.com
Bitwarden использовал модуль SweetAlert2 от украинского разработчика для вывода оповещений. Некоторое время назад данный разработчик ввел следующий функционал - при обнаружении русского языка браузера или при хостинге хранилища на домене ru/рф проигрывается гимн Украины. В некоторых версиях модуля так же блокировались кнопки навигации и добавлялись всплывающие оповещения. Разработчики Biwarden занялись заменой модуля, но в некоторых версиях зависимость все еще оставалась.
Много лет использую Enpass. Полёт нормальный. 1. платный (у меня было такое требование) - но не подписка, а одноразовая покупка, где-то было $20-30 2. никаких серверов, всё локально, синхронизация лаптоп-телефон через мой Dropbox (шифрованный файл) 3. все нужные примочки и масса мне ненужных (избыточных) 4. удобно и быстро
давным-давно придумали такие полезные приложения, как менеджеры паролей Угу-угу! А потом что-нибудь случится с менеджером паролей и все ваши мощные но незапомненные пароли улетают коту под хвост. Например, очень даже реальный вариант: Менеджер паролей вводит ссанкции против всех жителей России и обрубает доступ. Легко! Примеров с другими сервисами и сайтами уже куча.
Не, ну его к лешему. Лучше по старинке: или запоминать или хотя бы держать все свои пароли в записанном виде оффлайн. Я предпочитаю придумывать пароли по алгоритму, чтобы легко запоминались, но одновременно были сложными.
П.С. Я допускаю использование менеджера параллельно для удобства. Но генерация бессмысленных паролей, которые сам хрен запомнишь -- это плохая идея, как по мне.
Я не запомню пароли к ~ 300 сайтам. И не запомню столько мнемонических правил, даже если их будет всего несколько.
Придумать пароль - лично для меня сложно. Фантазия буксует.
Ну ОК, придумал при регистрации, запомнил.
Проблема в том, что все это в "быстрой" памяти. И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.
Использовать одинаковые/похожие пароли для разных учеток - откровенно плохая идея.
Менеджер паролей в этом плане - хороший инструмент, глупо им не пользоваться... сейчас.
В детстве многие по 50-100 телефонных номеров помнили, я тоже.
А сейчас не помню ни номер жены, ни свой рабочий мобильник.
Это плохо, но это факт, и, подозреваю, я не один такой.
Я допускаю использование менеджеров паролей. Но осторожно. Да, это удобно, но много нюансов, поэтому без восторга. Меня больше отталкивает идея с генерацией паролей, про которую так все упоенно жужжат. Имхо, пароли нужно помнить самому, чтобы не остаться у разбитого корыта, если менеджер подохнет (обанкротится, ограничит доступ для вашей страны и т.п.) или бэкап потеряется\профукается. А для этого пароли нужно придумывать строго самому по мнемоническому алгоритму, а не генерировать незапоминаемый мусор из случайных символов. Т.е. всегда представляю, что может наступить такой день, когда у меня не осталось ни доступа к менеджеру, ни бэкапов, ни записанных паролей.
Главный вывод - менеджер паролей обязательно нужно использовать!
Очень спорное утверждение. Все страхи уже перечислены ниже в комментариях.
Нет, пароли надо держать в голове. Рекомендую мнемонику. Придумываем правило для своих паролей. Например: [Слово1-Слово2(МесяцГод)Слово3-Слово4]. МесяцГод - когда заставили поменять пароль. Откуда брать слова? Можно наугад, из любимых фраз, из предложений книги в общественном достоянии. Например, [I-Hope(0912)This-Helps] Или так: ^^mY^^favoritE_09_12_sitE^^exleR^^ Главное, придумав, не менять это правило.
Разные фразы? Как запоминать? Как привязывать к сайтам?
Обычно запоминать, как вы запоминаете любые другие данные вроде имен, адресов или номеров телефонов. Поскольку речь об осмысленных фразах, а не о случайном наборе символов, то запоминать несложно.
Дома в строю темнели сквозь ажур, Рассвет уже играл на мандолине. Краснела дева В дальний Сингапур Вы уносились в гоночной машине. Повержен в пыль надломленный тюльпан. Умолкла страсть Безволие... Забвенье О шея лебедя! О грудь! О барабан и эти палочки - трагедии знаменье!
Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и все помножил на три, так как вспомнил святую троицу. Паровоза он не нашел. Так он и до сих пор стоит на шестнадцатом пути.
Можно взять любую фразу или слово и посчитать контрольную сумму типа MD5, SHA256 и т.д., использовать её в качестве пароля, который всегда легко восстановить. Остаётся добавить 1-2 символа для удовлетворения требования «сложности». Например, слову exler соответсвует MD5: 9a0a2c08c6fc6aa928c0865ecc037e58. Команда для Unix: echo -n exler | md5 Для Windows: certutil -hashfile file.txt md5 (file.txt - файл с текстом)
Или так: берем фразу, из нее - только согласные буквы, если буква первая в слове - она становится заглавной. Получается последовательность строчных и заглавных букв, она не должна быть короче 13 символов. Этого уже достаточно для надежного пароля, но если сайт требует более сложный пароль, то к последовательности букв добавляем пару цифр и любой из допустимых спецсимволов. Этот хвост нужно запомнить, он будет одинаковым для всех паролей. Запоминаем фразу и наличие или отсутствие "хвоста".
в сериале Зеленое Крыло была классная сцена, где Мак и Гай рассказывают Мартину, который трясется перед экзаменом, как легче запоминать сложные наборы данных (там речь идет о перечне лицевых костей, если не ошибаюсь).. жаль, не могу найти на ютубе.. хорошая демонстрация предлагаемой вами схемы 😄
Как через год-другой вспомнить месяц/год когда меняли пароль? Слова то разные для разных сайтов? Если одинаковые то какой смысл а если разные то как запоминать слова? Записывать? Ну и чем это лучше запоминания паролей?
Держать под рукой "книгу в общественном достоянии" это класс совет 😄... Тогда придется записывать "для пароля взять слово 5 на странице 20, потом слово 12 на странице 36, потом ..." Припоминаю какой то старый фильм про разведчиков, где шифровальщики сидели и слушали стихи какого то запрещенного поэта, чтоб ключевую фразу вычислить.
Хочу добавить, что ничего не мешает использовать Bitwarden на собственном хостинге. Есть проект нетребовательный к ресурсам под названием vaulwarden, но можно гонять и родной.
Если кому хочется полностью бесплатно - always free tier сервер оракла или Гугла, плюс dyndns (я использую попклярный afraid.org), чтобы не надо было помнить ip.
Основное преимущество - генерация totp-паролей для двухфакторной аутентификации.
Уж тогда купить себе домен. Какой-нибудь pupkin.me обойдется в 12 - 15 долларов в год. Примотайте его к loadBalancer - и забудьте про мирскую суету. В гугл можно еще и бесплатный сертификат наладить.
Много лет пользуюсь SafeInCloud - очень приличный менеджер паролей. Долго скакал между различными приложениями, но в конечном итоге остановился на этом. Оплата требуется только один раз - за возможность синхронизации между различными платформами. Синхронизируется на выбор с помощью GDrive, Dropbox, OneDrive или по WebDav.
Вопрос: что делать, если по какой-то причине софт превратится в тыкву (нет доступа в облако, вышли из бизнеса, их взломали и пр). Как выцарапывать пароли? А то получится, как с забытым паролем на биткойн-кошельке.
Пока пароль у меня утек один, вместе с небезывестной базой данных ЛинкедИН в ~2013 году.
База того же bitwarden доступна локально, синхронизируется только через сервер, а если еще и хостится на своих серверах, то проблемы "утечек практически решены. Останется только вариан "дыры" в самом софте, но даже при таком раскладе - твой сервер еще должны "нащупать".
Вопрос был не "вводить", а как иметь доступ без интернета. Тем не менее, парольные менеджеры хороши ещё тем, что наряду с паролями в таком же зашифрованном виде там можно и иную информацию хранить. Например, пины к банковским карточкам.
Обычно данные храняться у вас локально, в облаке только синхронизация и бэкап. Тот же Roboform всё хранит локально, поэтому отлично работает без интернета.
После того, как у меня утекли логины и пароли администратора к двум серверам из Evernote (сам дурак, да), я очень нервно отношусь к идее хранения критичных для безопасности данных в облаке.
Для себя лично пользуюсь Bitwarden, все клиетские логины-пароли-учетки-ip-лицензии лежат в KeePassXC, синхронизация между моими устройствами настроена через Syncthing.
У Bitwarden, кстати, можно серверную часть развернуть на своем сервере.
Ну всё же Evernote — это записная книжка, а не хранилище паролей. Поэтому некорректно сравнивать сервис, который и не планирует ничего шифровать с менеджером паролей, в котором ваши пароли в чистом виде храниться не должны по определению. Да, возможности утечек тут тоже возможны в теории, если у сервиса есть и ваш мастер-пароль (но не должно быть). Однако же разница существенная.
Помнил, что Экслер использовал много лет Roboform, и потому был удивлён, когда узнал, что теперь уже фаворит совсем другой. Было бы очень интересно почитать сравнительную статью Roboform - BitWarden, а также как переходить с Roboform на BitWarden, какие могут быть подводные камни. Автор ведь через это прошёл.
А то я уже много лет на платном (позже семейном) Roboform, и хочется понять, чем BitWarden выиграл в гонке.
"Bitwarden official server is a stack of like a dozen separate containers that use multiple GB of ram to run. Vaultwarden is a single container that takes about 30MB of ram to run" (отсюда), и т.д. Это если юзать их официальное облако Я думаю, Vaultwarden хорош в качестве хост-программы для базы паролей, но не как клиент; например, "Bitwarden clients save the vault locally so if my server goes down I still have access to all my password. They just wont sync", а Vaultwardenовский клиент такого, вроде бы, не умеет. Ну а ещё на офф-сайте пишут русским по белому: "This is a community project. We can not guarantee 100% uptime! This is not an official vaultwarden instance, maintained by the repository owners. We are currently running on a HA Kubernetes Cluster. But power loss, network outages or human errors can not be excluded. Be sure to make regular encrypted backups! We make regular 3-2-1 backups of the server, but we are not responsible for data loss!" Такшта вот..
Пользуюсь родной от эпл связкой ключей, к ним доверия больше и он бесплатный ( первый менеджер ластпас как-то накрылся, так и не смог восстановить главный пароль). Разве у Гугла нет чего-то подобного?
Совершенно верно. Нам оно совершенно не нужно за исключением редких случаев необходимости запоминания отдельных и не связанных с вводом на сайты данных. Но не у всех Эпол…
Уже много лет сижу на Bitwarden. После череды громких утечек (привет, LastPass). Поднял опенсорсный сервер у себя на малинке. Плюс база bitwarden каждую ночь архивируется в облако, естественно в зашифрованном виде.
Ломают и утечки есть. Нет в жизни совершенства. Вот и асинхронное шифрование грозятся кватовыми компутерами сломать... И будут (и есть) новые методы стойкие даже с квантовыми вычислениями. Борьба меча и щита будет вечной.
Хотелось бы еще знать что делать, когда пользуешься подобным сервисом много лет, а потом база паролей утекает. Менять пароли на всех сайтах и записывать на бумажку? Переходить на другой подобный сервис?
Нужно расширение добавить в браузер, и там уже активировать автозаполнение (по умолчанию оно выключено, и вызывается комбинацией Ctrl+Shift+L). Расширение для ГуглХрома, например, находится тут.
Еще один важный момент - бесплатная версия (а точнее, бесплатный тарифный план) позволяет хранить неограниченное количество паролей и использовать менеджер на неограниченном количестве устройств.
*мурлычет на мотив "вечернего звона"* Бесплатный сыр, бесплатный сыр Бесплатный сыыыр захватит мииир!
Вы же сейчас вписались доказывать параноику, что за ним не следят! 😉 Причем на уровне "зуб даю!", причем мы даже не знакомы... Только без обид, оке?
А я разве говорил что за ним не следят? Я говорил что если люди что то предлагают бесплатно, это не значит что оно реально бесплатно, это значит что оно оплачено кем то другим.
У Мешка есть заветная флешка с честно купленным RoboformToGo - локальнее некуда! Её перестали поддерживать, заменив облачной EveryWhere, она перестала интегрироваться в браузеры, но пока еще дышит. А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...
KeePass - программа с доступным открытым исходным кодом. Если не веришь разработчику, можешь сам проверить код и собрать бинарники, что делает достаточно большое количество народа. Базу KeePass хранит локально, т.ч ни о каких деньгах под данные пользователей речи не идет. С другой стороны это позволяет хранить базу на любом облачном сервисе.
Вы же сейчас вписались доказывать параноику, что за ним не следят! 😉 Причем на уровне "зуб даю!", причем мы даже не знакомы... Только без обид, оке? И фамилие Мешка не Петров и не Боширов, и 90% его логинов-паролей можно написать на ближайшем заборе, никакого урона это не причинит. Но отдать дяде оставшиеся 10... 😡
Вы ничего не слышали про Open Source? В мире достаточно много проектов, которые за базовые вещи денег не берут, это их реклама (на которую они так же "не тратят денег", работает сарафанное радио). Они зарабатывают на корпоративщиках и тех, кому базовых функций мало.
Так как раз лучше, чтобы показывал! Альтруизм в голове не укладывается: разработать отличную программу, держать место под данные пользователей (а это точно стоит денег!) - и всё нахаляву, за бульон от яиц?..
Дурацкий вопрос по уточнению подразумеваемого, но явно не озвученного: это всё облачное? RoboformToGo на флешке для параноиков был (и помер) последним?..
Дурацкий вопрос по уточнению подразумеваемого, но явно не озвученного: это всё облачное? RoboformToGo на флешке для параноиков был (и помер) последним?..
Bitwarden позволяет создавать свои собственные облака. Кстати, надо будет дописать.
Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение, к тому же - довольно примитивное
Браузер Vivaldi - есть версия для PC, есть для Android. Синхронизируются между собой на основании учётной записи Vivaldi. Очень удобно 😄 Насчёт примитивности - не знаю.
Прочитала про Bitwarden пару лет назад и эти пару лет использую его. Очень удобная штука оказалась. Но я там хранила только самые важные пароли - типа платежных систем или почты. Не знала, что можно пароли импортировать из браузера. Надо будет поразбираться. Спасибо за статью!
"The threat actor first gained unauthorized access to portions of their development environment, source code, and technical information through a single compromised developer's laptop."
Написано, что в 2022 году через лаптоп девелопера взломали. Думаю, всё-таки, их ломали потому, что у них тупо больше людей "бесплатно". Tакое может произойти со всеми (если задались целью взломать... может, какой-то юзер с миллионами в крипте засел). Если мастер-пароль супер-длинный, то не декриптили бы.
Я согласен, но я не понимаю, чем принципиально отличаyuтся другие пассворд-манагеры. Любого супер-админа можно "компромайз", если очень надо. Может, потому, что у ластпасса просто больше людей (см гистограмму ВОРОНОК)?
Я согласен, но я не понимаю, чем принципиально отличаyuтся другие пассворд-манагеры. Любого супер-админа можно "компромайз", если очень надо. Может, потому, что у ластпасса просто больше людей (см гистограмму ВОРОНОК)?
Т.е. если пассворд из условных 25 символов, может, норм? Судя, по описанию, такое может прозойти с кем угодно."The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "
Т.е. если пассворд из условных 25 символов, может, норм? Судя, по описанию, такое может прозойти с кем угодно.
"The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "
LastPass не попал в список, хотя вроде Вы им пользовались раньше?
Я им никогда не пользовался, я его пробовал и пришел к выводу, что он сильно уступает Roboform'у. Кроме того, у них база утекала неоднократно, так что в топку LastPass.
Как происходил переход Robo -> Bitw?
Есть какой то инструмент по переносу?
Заметки тоже перенеслись? Каких то проблем при переносе не было?
После использования и того и другого почему Битварден? Какие у него преимущества?
Если сравнивать робоформ и битварден по прошествии времени какие у каждого плюсы-минусы?
По цитате runcyclexcski
В файле пароль "Feb21!abc", а действительности надо вводить "Feb21!abc+88". И не нужно лишних программ.
После этого возникает вопрос - где хранить суффиксы? В парольном менеджере? Тогда почему не сами пароли?
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань...
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань... Так что ты не прав, Бычий Хрен!
описание проекта на хабре - habr.com
1. платный (у меня было такое требование) - но не подписка, а одноразовая покупка, где-то было $20-30
2. никаких серверов, всё локально, синхронизация лаптоп-телефон через мой Dropbox (шифрованный файл)
3. все нужные примочки и масса мне ненужных (избыточных)
4. удобно и быстро
Угу-угу!
А потом что-нибудь случится с менеджером паролей и все ваши мощные но незапомненные пароли улетают коту под хвост. Например, очень даже реальный вариант:
Менеджер паролей вводит ссанкции против всех жителей России и обрубает доступ. Легко! Примеров с другими сервисами и сайтами уже куча.
Не, ну его к лешему. Лучше по старинке: или запоминать или хотя бы держать все свои пароли в записанном виде оффлайн. Я предпочитаю придумывать пароли по алгоритму, чтобы легко запоминались, но одновременно были сложными.
П.С. Я допускаю использование менеджера параллельно для удобства. Но генерация бессмысленных паролей, которые сам хрен запомнишь -- это плохая идея, как по мне.
Придумать пароль - лично для меня сложно. Фантазия буксует.
Ну ОК, придумал при регистрации, запомнил.
Проблема в том, что все это в "быстрой" памяти. И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.
Использовать одинаковые/похожие пароли для разных учеток - откровенно плохая идея.
Менеджер паролей в этом плане - хороший инструмент, глупо им не пользоваться... сейчас.
В детстве многие по 50-100 телефонных номеров помнили, я тоже.
А сейчас не помню ни номер жены, ни свой рабочий мобильник.
Это плохо, но это факт, и, подозреваю, я не один такой.
А вы говорите - пароли...
Меня больше отталкивает идея с генерацией паролей, про которую так все упоенно жужжат. Имхо, пароли нужно помнить самому, чтобы не остаться у разбитого корыта, если менеджер подохнет (обанкротится, ограничит доступ для вашей страны и т.п.) или бэкап потеряется\профукается. А для этого пароли нужно придумывать строго самому по мнемоническому алгоритму, а не генерировать незапоминаемый мусор из случайных символов. Т.е. всегда представляю, что может наступить такой день, когда у меня не осталось ни доступа к менеджеру, ни бэкапов, ни записанных паролей.
Нет, пароли надо держать в голове. Рекомендую мнемонику. Придумываем правило для своих паролей. Например: [Слово1-Слово2(МесяцГод)Слово3-Слово4]. МесяцГод - когда заставили поменять пароль. Откуда брать слова? Можно наугад, из любимых фраз, из предложений книги в общественном достоянии. Например,
[I-Hope(0912)This-Helps]
Или так:
^^mY^^favoritE_09_12_sitE^^exleR^^
Главное, придумав, не менять это правило.
Рассвет уже играл на мандолине.
Краснела дева
В дальний Сингапур
Вы уносились в гоночной машине.
Повержен в пыль надломленный тюльпан.
Умолкла страсть Безволие... Забвенье
О шея лебедя!
О грудь!
О барабан и эти палочки -
трагедии знаменье!
Это для мастер-пароля подходит но никак не для сайтов.
Разные фразы? Как запоминать? Как привязывать к сайтам?
Например, слову exler соответсвует MD5: 9a0a2c08c6fc6aa928c0865ecc037e58.
Команда для Unix: echo -n exler | md5
Для Windows: certutil -hashfile file.txt md5 (file.txt - файл с текстом)
Запоминаем фразу и наличие или отсутствие "хвоста".
нашел здесь: ссылка
там несколько кусочков.. второй 25:30 - там самая соль
Слова то разные для разных сайтов? Если одинаковые то какой смысл а если разные то как запоминать слова?
Записывать? Ну и чем это лучше запоминания паролей?
Держать под рукой "книгу в общественном достоянии" это класс совет 😄...
Тогда придется записывать "для пароля взять слово 5 на странице 20, потом слово 12 на странице 36, потом ..."
Припоминаю какой то старый фильм про разведчиков, где шифровальщики сидели и слушали стихи какого то запрещенного поэта, чтоб ключевую фразу вычислить.
Если кому хочется полностью бесплатно - always free tier сервер оракла или Гугла, плюс dyndns (я использую попклярный afraid.org), чтобы не надо было помнить ip.
Основное преимущество - генерация totp-паролей для двухфакторной аутентификации.
Примотайте его к loadBalancer - и забудьте про мирскую суету. В гугл можно еще и бесплатный сертификат наладить.
Пока пароль у меня утек один, вместе с небезывестной базой данных ЛинкедИН в ~2013 году.
Это не только к паролям относится.
Для себя лично пользуюсь Bitwarden, все клиетские логины-пароли-учетки-ip-лицензии лежат в KeePassXC, синхронизация между моими устройствами настроена через Syncthing.
У Bitwarden, кстати, можно серверную часть развернуть на своем сервере.
А то я уже много лет на платном (позже семейном) Roboform, и хочется понять, чем BitWarden выиграл в гонке.
Теперь собираюсь с духом, чтобы захостить базу данных паролей на своей Synology через VaultWarden...
1) ни слова о лидере локального менеджера паролей Keepass и продвинутом форке keepassXC
2) в списке bitwarden , но ни слова не сказано о его полностью бесплатном форке к тому же более производительным vaultwarden
Я думаю, Vaultwarden хорош в качестве хост-программы для базы паролей, но не как клиент; например, "Bitwarden clients save the vault locally so if my server goes down I still have access to all my password. They just wont sync", а Vaultwardenовский клиент такого, вроде бы, не умеет.
Ну а ещё на офф-сайте пишут русским по белому:
"This is a community project. We can not guarantee 100% uptime!
This is not an official vaultwarden instance, maintained by the repository owners.
We are currently running on a HA Kubernetes Cluster.
But power loss, network outages or human errors can not be excluded.
Be sure to make regular encrypted backups!
We make regular 3-2-1 backups of the server, but we are not responsible for data loss!"
Такшта вот..
А тут - инструкции на русском: www.comss.ru
Разве у Гугла нет чего-то подобного?
Борьба меча и щита будет вечной.
PS ага, расширение надо поставить, тогда будет предлагать сохранить
Расширение для ГуглХрома, например, находится тут.
Бесплатный сыр, бесплатный сыр
Бесплатный сыыыр захватит мииир!
Ну хотя бы рекламу показывает?
Да и просто зашифрованный локально файл хранить в облаках.
О, KeePass нашелся! Который 2android. Надо бы сесть базы синхронизировать. Вручную...
А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...
Базу KeePass хранит локально, т.ч ни о каких деньгах под данные пользователей речи не идет. С другой стороны это позволяет хранить базу на любом облачном сервисе.
И фамилие Мешка не Петров и не Боширов, и 90% его логинов-паролей можно написать на ближайшем заборе, никакого урона это не причинит. Но отдать дяде оставшиеся 10... 😡
Они зарабатывают на корпоративщиках и тех, кому базовых функций мало.
Но у нее база не в облаках. Ну разве как физический файл ее туда можно.
может кому понадобится, чтобы совсем отвязаться от чужих серверов
github.com
Насчёт примитивности - не знаю.
Не знала, что можно пароли импортировать из браузера. Надо будет поразбираться. Спасибо за статью!
en.wikipedia.org
Написано, что в 2022 году через лаптоп девелопера взломали. Думаю, всё-таки, их ломали потому, что у них тупо больше людей "бесплатно". Tакое может произойти со всеми (если задались целью взломать... может, какой-то юзер с миллионами в крипте засел). Если мастер-пароль супер-длинный, то не декриптили бы.
en.wikipedia.org
неее нафиг нафиг
"The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "