Почему необходимо использовать менеджер паролей, какой из них лучше

12.09.2023 16170   Комментарии (140)

Специалисты постоянно говорят о том, что совершенно недопустимо использовать простые пароли, которые легко взломать, также предельно порочная практика - использовать один и тот же пароль для разных сервисов. 

Я писал статью о том, как придумывать и запоминать устойчивые пароли, однако обычно нет смысла запоминать разные пароли, тем более что это достаточно непросто, потому что давным-давно придумали такие полезные приложения, как менеджеры паролей, так что самое правильное и предельно логичное решение - придумать один-единственный устойчивый пароль к менеджеру паролей, а пароли ко всяким сервисам генерировать с помощью самого менеджера паролей (они все предоставляют такую возможность) и запоминать в учетной записи менеджера. 

Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение, к тому же - довольно примитивное. 

Поэтому нужно подобрать для себя хороший, надежный и безопасный менеджер паролей, и использовать именно его на всех платформах. Этот менеджер будет хранить ваши пароли в облаке, и они будут вам доступны на любых устройствах и любых платформах. 

Начать использовать менеджер паролей можно в любой момент, и вам не придется долго заниматься его настройкой и переносить туда все свои логины-пароли. Потому что это все можно делать постепенно. Если вы храните логины-пароли в голове, или же они у вас трогательно записаны на листочке, то нужно просто установить менеджер паролей, а когда в процессе работы вы будете заходить на какие-то сервисы, то там нужно будет разлогиниться, затем залогиниться, введя пароль/логин, и разрешить менеджеру паролей запомнить эти данные. 

Если вы понимаете, что используете неустойчивый пароль для какого-то сервиса, а хороший менеджер паролей сам вам подскажет, насколько устойчив тот или иной пароль, то нужно сразу же сгенерировать новый пароль в менеджере, поменять на него старый пароль в сервисе, а менеджер при этом запомнит новые данные для входа. 

Также нужно хорошо понимать, что при использовании менеджера паролей вы, по сути, отдаете в чужие руки очень конфиденциальную информацию, поэтому ни в коем случае не нужно использовать какие-то непонятные менеджеры паролей, а также менеджеры, откуда утекали данные или их взламывали. 

На самом деле вполне достаточно известных, надежных и хорошо себя зарекомендовавших менеджеров паролей - как платных, так и бесплатных, - чтобы использовать именно их, а не какие-то подозрительные поделки.  

Давайте же в данной статье и рассмотрим, какие именно основные менеджеры паролей сейчас существуют, какие возможности они предоставляют, и какие у них плюсы и минусы. 

Bitwarden

Один из лучших, если не самый лучший, менеджер паролей. Он имеет полностью открытый исходный код, который проверяется различными сторонними компаниями по кибербезопасности. И этим Bitwarden в лучшую сторону отличается от менеджеров с закрытым кодом, в случае которых вы не можете на сто процентов быть уверенными в том, что ваши данные там надежно защищены. 

Еще один важный момент - бесплатная версия (а точнее, бесплатный тарифный план) позволяет хранить неограниченное количество паролей и использовать менеджер на неограниченном количестве устройств. Почти у всех остальных известных менеджеров паролей бесплатный тарифный план предполагает серьезные ограничения и на количество логинов-паролей, и на число устройств, где этот менеджер используется. 

При этом для бесплатного тарифного плана доступные такие важные функции, как генератор логинов/паролей, двухфакторная аутентификация, безопасный обмен текстом с использованием сквозного шифрования, функция автоматического удаления данных, экспорт ваших данных, импорт данных из большинства других менеджеров паролей и систем хранения паролей в браузерах. 

Премиум-подписка вам обойдется в совершенно смешные $10 в год, а там уже будет доступен защищенный обмен файлами (не только текстом), анализ логинов-паролей на уязвимость, немедленный доступ, многоуровневая идентификация и другие возможности. 

Ну и всего $40 в год - это уже семейный план до 6 пользователей, что тоже очень удобно. 

NordPass

Менеджер паролей от компании, создавшей NordVPN. У него тоже есть привлекательный бесплатный план для одного пользователя, который не ограничивает количество сохраненных логинов/паролей и количество используемых устройств, и там доступно автозаполнение, импорт и экспорт, заполнение форм личными данными, генератор паролей, автоматическая синхронизация всех устройств и многоуровневая аутентификация. Также бесплатный план позволяет в течение месяца тестировать премиальный план со всеми его функциями. 

Премиальный план обойдется в €36 в год, но это только для первых двух лет, после этого в год уже нужно будет платить €72. Расширенные функции включают анализ уязвимости паролей, доступ на случай чрезвычайных ситуаций, защита от фишинга, безопасный обмен файлами через облачное хранилище.     

Менеджер доступен для всех основных платформа, имеет расширения для браузеров Chrome, Firefox, Edge, Brave, Safari и Opera.

Учитывая наличие бесплатного плана без серьезных ограничений, я бы, пожалуй, поставил его на второе место по привлекательности после Bitwarten.

Roboform

Известный и популярный менеджер паролей (я сам его раньше использовал много лет, но потом перешел на Bitwarden), обладающий очень продвинутыми возможностями, однако бесплатный тарифный план ограничен одним устройством и небольшим количеством логинов-паролей, так что им пользоваться практически невозможно. 

Впрочем, обычная подписка стоит всего $24 в год, что никак не выглядит разорительным, особенно учитывая тот факт, насколько важно использовать хороший менеджер паролей и что можно потерять, если его не использовать. 

Этот менеджер существует практически под все платформы и имеет плагины для всех основных браузеров, там есть мощный генератор паролей, анализ паролей на безопасность, автоматический бэкап ваших данных, возможность хранения персональных карточек для заполнения различных экранных форм, защищенное хранение данных банковских карт, идентификация по биометрии (это очень удобно и для ПК, и для смартфона) и другие возможности.    

1Password 

Безопасный и удобный менеджер паролей с красивым интерфейсом и некоторыми полезными и даже уникальными функциями. Правда, тут уже никакого бесплатного тарифного плана нет, но есть 14-дневный пробный период. Индивидуальная лицензия обойдется в $36 в год. Кроме стандартного набора функций - возможность безопасно делиться паролями, возможность сохранять данные банковских карт, анализ безопасности сохраненных паролей. 

И одна из уникальных возможностей этого менеджера - режим путешествия. При включении этого режима все элементы хранилища, которые вы не пометили как "Безопасные для путешествий", надежно скрываются, и посторонние не смогут получить доступ к вашим данными даже если смартфон попадет к ним в руки. 

Keeper

Бесплатного тарифного плана здесь нет, но годовой доступ премиального плана обойдется всего в $34. 

Приложения для Windows, MacOS, Linux, Android и iOS, плагины для браузеров Chrome, Firefox, Safari, Edge и Opera.

Безопасный обмен паролями, безопасный обмен данными, анализ уязвимости хранимых паролей, функция BreathWatch, которая осуществляет мониторинг даркнета на предмет скомпроментированных учетных данных, автономный доступ к данным без подключения к Сети.


Вот такой краткий обзор основных менеджеров паролей. Какие выводы? Главный вывод - менеджер паролей обязательно нужно использовать! Запомнить один-единственный устойчивый пароль - совершенно точно несложно, зато пароли ко всем остальным сервисам будут разные и реально устойчивые. 

Один из лучших менеджеров паролей, к тому же еще и имеющий вполне пристойный бесплатный тарифный план - Bitwarden. За ним идет NordPass, у которого тоже нормальный бесплатный план. Остальные менеджеры платные, но стоят недорого, и как минимум Roboform и 1Password вполне заслуживают внимания.

Любой менеджер паролей можно попробовать в деле, а потом решить - нравится или нет, стоит за него платить или нет.

Тут главное - в любом случае начать использовать менеджер паролей, потому что без него - никуда!

© 1998–2023 Alex Exler
12.09.2023

Комментарии 140

Кто что может сказать про менеджер паролей Касперского?
15.09.23 14:41
0 0

Можно просто выложить пароли в открытый доступ - результат будет тот же.
17.09.23 22:00
0 0

Интересно было бы узнать:

Как происходил переход Robo -> Bitw?
Есть какой то инструмент по переносу?
Заметки тоже перенеслись? Каких то проблем при переносе не было?

После использования и того и другого почему Битварден? Какие у него преимущества?
Если сравнивать робоформ и битварден по прошествии времени какие у каждого плюсы-минусы?
ab
15.09.23 09:29
0 0

Я помню когда уходил с LastPass, несколько дней выбирал между кучей этих пассменеджеров, в итоге выбрал Avira Password Manager и весьма им доволен, а тут о нём ни одного упоминания 😒 Странно...
14.09.23 12:32
1 0

Также нужно хорошо понимать, что при использовании менеджера паролей вы, по сути, отдаете в чужие руки очень конфиденциальную информацию, поэтому ни в коем случае не нужно использовать какие-то непонятные менеджеры паролей, а также менеджеры, откуда утекали данные или их взламывали.
Какие выводы? Главный вывод - менеджер паролей обязательно нужно использовать!
По логике - использовать нужно только понятные менеджеры, которые пока не скомпрометировали, или в которых не выявили утечек (что для любой программы - только дело времени и желания).

По цитате runcyclexcski
as Dominik Reichl, the administrator of KeePass, states, "neither KeePass nor any other password manager can magically run securely in a spyware-infected, insecure environment."[15]
Из-за подобных сомнений не использую до сих пор ни облака, ни менеджеры паролей и с интересом слежу за новостями беспарольного будущего, которое уже наступает.
13.09.23 12:03
0 1

Из-за подобных сомнений не использую до сих пор ни облака, ни менеджеры паролей и с интересом слежу за новостями беспарольного будущего, которое уже наступает.
Ну так проблема в том, что в "spyware-infected, insecure environment" достаточно набрать пароль и ку-ку - злоумышленник его знает. Наличие или отсутствия локального или находящегося на собственном сервере менеджера паролей не играет роли (хотя в этом случае можно спереть все пароли скопом, а не по мере использования). Другое дело, если менджер пароля "облачный" - тогда да, появляется солидная потенциальная точка интереса хакеров.
14.09.23 16:44
0 0

Sticky Password Premium один я использую?
13.09.23 11:49
0 0

Мой друг использовал до недавно - купил когда-то по хорошей скидке. С моей подачи переехал на битварден на селф-хостинге.
14.09.23 07:09
0 2

Для себя есть pass, там поддержка git, синхронизировать удобно. Есть клиент для Android. А в организации мы пользуемся Passbolt, очень хорошо продуманный софт.
12.09.23 22:05
0 0

Алекс, можно добавить также, что Bitwarden имеет селф-хост версии для всех основных платформ NAS и путем довольно несложных действий можно организовать полностью собственное облачное решение (я, например, так и сделал)
12.09.23 20:15
0 0

Там в докере. Плюс есть ещё проект vaultvarden (bitwarden-rs в девичестве, переименовали, чтобы не было путаницы), написанный на rust. Отличие в нетребовательности к ресурсам, в особенности к памяти.
Ага, если родной bitwarden сервак самому хостить, там куча контейнеров, а vaultvarden хоть на одноплатник ARM в докер ставь.
14.09.23 19:23
0 0

Там в докере. Плюс есть ещё проект vaultvarden (bitwarden-rs в девичестве, переименовали, чтобы не было путаницы), написанный на rust. Отличие в нетребовательности к ресурсам, в особенности к памяти.
12.09.23 21:15
0 1

Как вариант - обычный текстовый файл с паролями. Храним на компе, копия в облаке. Пароли открытым текстом. Что делать, если украдут/подсмотрят? Не страшно. В действительности к каждому паролю надо добавлять секретный суффикс или префикс. А вот его и держим в голове.
В файле пароль "Feb21!abc", а действительности надо вводить "Feb21!abc+88". И не нужно лишних программ.
12.09.23 20:08
13 3

Тогда к суффиксу надо предъявлять те же требования, что и к паролю - длина, набор символов, и прочее. В частности, не использовать один суффикс в нескольких сайтах.

После этого возникает вопрос - где хранить суффиксы? В парольном менеджере? Тогда почему не сами пароли?
17.09.23 22:03
0 0

Мой менеджер паролей - Илон Маск. Когда нужно придумать новый пароль, пишу ему в Х и прошу придумать хорошее, простое имя для ребёнка.
12.09.23 18:17
2 4

пишу ему в Х и прошу придумать хорошее, простое имя для ребёнка
типа j7yDf3$×/;frF23%/6¿
14.09.23 19:47
0 0

- Вождь! Hу почему у нас, индейцев, такие плохие имена? То ли дело у французов: Франсуа, Анри, Габриэль...
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань...
... Нет, ты неправ X Æ A-12
12.09.23 21:12
0 0

- Вождь! Hу почему у нас, индейцев, такие плохие имена? То ли дело у французов: Франсуа, Анри, Габриэль...
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань... Так что ты не прав, Бычий Хрен!
12.09.23 19:10
3 0

А встроенный Google Password Manager который в Chrome?
12.09.23 17:40
3 0

а какой там алгоритм encryption?
12.09.23 20:14
0 0

Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение...
12.09.23 17:42
4 0

Использую бесплатный онлайн-менеджер Keymemo уже лет 13. Ни на что не жалуюсь. Причем после каждого изменения в базе он присылает запароленный архив на почту. Даже если сервер ляжет, последняя копия будет в почте.
описание проекта на хабре - habr.com
12.09.23 16:32
0 4

А если угонят почтовый аккаунт?
17.09.23 22:05
0 0

Bitwarden использовал модуль SweetAlert2 от украинского разработчика для вывода оповещений. Некоторое время назад данный разработчик ввел следующий функционал - при обнаружении русского языка браузера или при хостинге хранилища на домене ru/рф проигрывается гимн Украины. В некоторых версиях модуля так же блокировались кнопки навигации и добавлялись всплывающие оповещения. Разработчики Biwarden занялись заменой модуля, но в некоторых версиях зависимость все еще оставалась.
12.09.23 16:26
1 2

Много лет использую Enpass. Полёт нормальный.
1. платный (у меня было такое требование) - но не подписка, а одноразовая покупка, где-то было $20-30
2. никаких серверов, всё локально, синхронизация лаптоп-телефон через мой Dropbox (шифрованный файл)
3. все нужные примочки и масса мне ненужных (избыточных)
4. удобно и быстро
12.09.23 15:54
2 2

Про Dashlane забыли. Пользуюсь им уже много лет, проблем не было.
12.09.23 14:25
2 2

Могу предположить твой мастер-пароль. No spaces, I presume? 😉

давным-давно придумали такие полезные приложения, как менеджеры паролей
Угу-угу!
А потом что-нибудь случится с менеджером паролей и все ваши мощные но незапомненные пароли улетают коту под хвост. Например, очень даже реальный вариант:
Менеджер паролей вводит ссанкции против всех жителей России и обрубает доступ. Легко! Примеров с другими сервисами и сайтами уже куча.

Не, ну его к лешему. Лучше по старинке: или запоминать или хотя бы держать все свои пароли в записанном виде оффлайн. Я предпочитаю придумывать пароли по алгоритму, чтобы легко запоминались, но одновременно были сложными.

П.С. Я допускаю использование менеджера параллельно для удобства. Но генерация бессмысленных паролей, которые сам хрен запомнишь -- это плохая идея, как по мне.
12.09.23 13:47
5 6

И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.
++
12.09.23 15:36
1 1

Я не запомню пароли к ~ 300 сайтам. И не запомню столько мнемонических правил, даже если их будет всего несколько.

Придумать пароль - лично для меня сложно. Фантазия буксует.

Ну ОК, придумал при регистрации, запомнил.

Проблема в том, что все это в "быстрой" памяти. И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.

Использовать одинаковые/похожие пароли для разных учеток - откровенно плохая идея.

Менеджер паролей в этом плане - хороший инструмент, глупо им не пользоваться... сейчас.

В детстве многие по 50-100 телефонных номеров помнили, я тоже.

А сейчас не помню ни номер жены, ни свой рабочий мобильник.

Это плохо, но это факт, и, подозреваю, я не один такой.

А вы говорите - пароли...
12.09.23 15:30
2 9

Я допускаю использование менеджеров паролей. Но осторожно. Да, это удобно, но много нюансов, поэтому без восторга.
Меня больше отталкивает идея с генерацией паролей, про которую так все упоенно жужжат. Имхо, пароли нужно помнить самому, чтобы не остаться у разбитого корыта, если менеджер подохнет (обанкротится, ограничит доступ для вашей страны и т.п.) или бэкап потеряется\профукается. А для этого пароли нужно придумывать строго самому по мнемоническому алгоритму, а не генерировать незапоминаемый мусор из случайных символов. Т.е. всегда представляю, что может наступить такой день, когда у меня не осталось ни доступа к менеджеру, ни бэкапов, ни записанных паролей.
12.09.23 15:16
3 2

Кто мешает периодически делать бэкапы? Или совсем опенсорс использовать?
12.09.23 14:32
0 2

Главный вывод - менеджер паролей обязательно нужно использовать!
Очень спорное утверждение. Все страхи уже перечислены ниже в комментариях.

Нет, пароли надо держать в голове. Рекомендую мнемонику. Придумываем правило для своих паролей. Например: [Слово1-Слово2(МесяцГод)Слово3-Слово4]. МесяцГод - когда заставили поменять пароль. Откуда брать слова? Можно наугад, из любимых фраз, из предложений книги в общественном достоянии. Например,
[I-Hope(0912)This-Helps]
Или так:
^^mY^^favoritE_09_12_sitE^^exleR^^
Главное, придумав, не менять это правило.
12.09.23 13:40
7 4

Разные фразы? Как запоминать? Как привязывать к сайтам?
Обычно запоминать, как вы запоминаете любые другие данные вроде имен, адресов или номеров телефонов. Поскольку речь об осмысленных фразах, а не о случайном наборе символов, то запоминать несложно.
13.09.23 08:05
0 0

Сразу вспоминается цитата из "Швейка" про запоминание номера паровоза...
Так там ещё лучше была история. Про то, как зашифровали, используя как ключ второй том двухтомника "Грехи отцов", а расшифровать пытались первым.
13.09.23 02:04
0 1

Дома в строю темнели сквозь ажур,
Рассвет уже играл на мандолине.
Краснела дева
В дальний Сингапур
Вы уносились в гоночной машине.
Повержен в пыль надломленный тюльпан.
Умолкла страсть Безволие... Забвенье
О шея лебедя!
О грудь!
О барабан и эти палочки -
трагедии знаменье!
12.09.23 21:00
0 1

Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и все помножил на три, так как вспомнил святую троицу. Паровоза он не нашел. Так он и до сих пор стоит на шестнадцатом пути.
12.09.23 17:08
1 3

Запоминаем фразу и наличие или отсутствие "хвоста".
Одну фразу на все сайты??? Так это получится один пароль.
Это для мастер-пароля подходит но никак не для сайтов.

Разные фразы? Как запоминать? Как привязывать к сайтам?
12.09.23 17:07
0 0

Можно взять любую фразу или слово и посчитать контрольную сумму типа MD5, SHA256 и т.д., использовать её в качестве пароля, который всегда легко восстановить. Остаётся добавить 1-2 символа для удовлетворения требования «сложности».
Например, слову exler соответсвует MD5: 9a0a2c08c6fc6aa928c0865ecc037e58.
Команда для Unix: echo -n exler | md5
Для Windows: certutil -hashfile file.txt md5 (file.txt - файл с текстом)
12.09.23 15:42
0 2

Нет, пароли надо держать в голове.
Это работает, если надо запоминать один пароль в год. А не 20 разных на 20 разных сайтов. И в конторе заставляют пароль менять раз в месяц.
12.09.23 15:13
0 0

Или так: берем фразу, из нее - только согласные буквы, если буква первая в слове - она становится заглавной. Получается последовательность строчных и заглавных букв, она не должна быть короче 13 символов. Этого уже достаточно для надежного пароля, но если сайт требует более сложный пароль, то к последовательности букв добавляем пару цифр и любой из допустимых спецсимволов. Этот хвост нужно запомнить, он будет одинаковым для всех паролей.
Запоминаем фразу и наличие или отсутствие "хвоста".
12.09.23 14:42
0 0

Сразу вспоминается цитата из "Швейка" про запоминание номера паровоза...
12.09.23 14:30
0 2

Мак и Гай рассказывают Мартину
Вспомнились пресловутые "Майк" и "Ник":

в сериале Зеленое Крыло была классная сцена,
о! сезон 1, серия 6, 24:21
нашел здесь: ссылка
там несколько кусочков.. второй 25:30 - там самая соль
12.09.23 14:18
0 0

Главное, придумав, не менять это правило.
в сериале Зеленое Крыло была классная сцена, где Мак и Гай рассказывают Мартину, который трясется перед экзаменом, как легче запоминать сложные наборы данных (там речь идет о перечне лицевых костей, если не ошибаюсь).. жаль, не могу найти на ютубе.. хорошая демонстрация предлагаемой вами схемы 😄
12.09.23 14:15
0 0

Как через год-другой вспомнить месяц/год когда меняли пароль?
Слова то разные для разных сайтов? Если одинаковые то какой смысл а если разные то как запоминать слова?
Записывать? Ну и чем это лучше запоминания паролей?

Держать под рукой "книгу в общественном достоянии" это класс совет 😄...
Тогда придется записывать "для пароля взять слово 5 на странице 20, потом слово 12 на странице 36, потом ..."
Припоминаю какой то старый фильм про разведчиков, где шифровальщики сидели и слушали стихи какого то запрещенного поэта, чтоб ключевую фразу вычислить.
12.09.23 14:11
0 7

Хочу добавить, что ничего не мешает использовать Bitwarden на собственном хостинге. Есть проект нетребовательный к ресурсам под названием vaulwarden, но можно гонять и родной.

Если кому хочется полностью бесплатно - always free tier сервер оракла или Гугла, плюс dyndns (я использую попклярный afraid.org), чтобы не надо было помнить ip.

Основное преимущество - генерация totp-паролей для двухфакторной аутентификации.
12.09.23 13:33
1 2

А что даст злоумышленнику подмена DNS, если тогда клиентское приложение просто никуда не подключится?
14.09.23 07:04
0 0

Уж тогда купить себе домен. Какой-нибудь pupkin.me обойдется в 12 - 15 долларов в год.
Примотайте его к loadBalancer - и забудьте про мирскую суету. В гугл можно еще и бесплатный сертификат наладить.
13.09.23 22:02
0 0

dns spoofing самая простая атака, которую легко организовать на стороне провайдера ... поэтому лучше все таки IP адрес
13.09.23 14:08
0 0

Много лет пользуюсь SafeInCloud - очень приличный менеджер паролей. Долго скакал между различными приложениями, но в конечном итоге остановился на этом. Оплата требуется только один раз - за возможность синхронизации между различными платформами. Синхронизируется на выбор с помощью GDrive, Dropbox, OneDrive или по WebDav.
12.09.23 13:29
0 0

Вопрос: что делать, если по какой-то причине софт превратится в тыкву (нет доступа в облако, вышли из бизнеса, их взломали и пр). Как выцарапывать пароли? А то получится, как с забытым паролем на биткойн-кошельке.

Пока пароль у меня утек один, вместе с небезывестной базой данных ЛинкедИН в ~2013 году.
12.09.23 13:04
0 3

Вопрос был не "вводить", а как иметь доступ без интернета. Тем не менее, парольные менеджеры хороши ещё тем, что наряду с паролями в таком же зашифрованном виде там можно и иную информацию хранить. Например, пины к банковским карточкам.
13.09.23 09:46
0 1

А куда вы вводите пароли без интернета?
13.09.23 06:46
0 0

Тот же Roboform всё хранит локально, поэтому отлично работает без интернета.
думаю KeePassXC
12.09.23 22:16
0 1

Обычно данные храняться у вас локально, в облаке только синхронизация и бэкап. Тот же Roboform всё хранит локально, поэтому отлично работает без интернета.
12.09.23 19:52
0 2

Селфхостинг битвардена. И регулярные бекапы.
12.09.23 13:34
0 2

Периодически делать локальные бэкапы. В файлик, например, выгружать, хранить на флешке в сейфе/в зашифрованном руками архиве в другом облаке/и пр.

Это не только к паролям относится.
12.09.23 13:29
0 1

После того, как у меня утекли логины и пароли администратора к двум серверам из Evernote (сам дурак, да), я очень нервно отношусь к идее хранения критичных для безопасности данных в облаке.

Для себя лично пользуюсь Bitwarden, все клиетские логины-пароли-учетки-ip-лицензии лежат в KeePassXC, синхронизация между моими устройствами настроена через Syncthing.

У Bitwarden, кстати, можно серверную часть развернуть на своем сервере.
12.09.23 12:52
0 4

Ну всё же Evernote — это записная книжка, а не хранилище паролей. Поэтому некорректно сравнивать сервис, который и не планирует ничего шифровать с менеджером паролей, в котором ваши пароли в чистом виде храниться не должны по определению. Да, возможности утечек тут тоже возможны в теории, если у сервиса есть и ваш мастер-пароль (но не должно быть). Однако же разница существенная.
12.09.23 19:50
0 0

Помнил, что Экслер использовал много лет Roboform, и потому был удивлён, когда узнал, что теперь уже фаворит совсем другой. Было бы очень интересно почитать сравнительную статью Roboform - BitWarden, а также как переходить с Roboform на BitWarden, какие могут быть подводные камни. Автор ведь через это прошёл.

А то я уже много лет на платном (позже семейном) Roboform, и хочется понять, чем BitWarden выиграл в гонке.
12.09.23 12:36
0 4

Большое спасибо за (ещё один) волшебный пендель в направлении BitWarden, я таки решился и наконец перешёл на него (с ЛастПасса).
Теперь собираюсь с духом, чтобы захостить базу данных паролей на своей Synology через VaultWarden...
12.09.23 12:31
0 1

Интересная статья..

1) ни слова о лидере локального менеджера паролей Keepass и продвинутом форке keepassXC

2) в списке bitwarden , но ни слова не сказано о его полностью бесплатном форке к тому же более производительным vaultwarden
12.09.23 12:10
1 16

это форк серверной части, интерес может вызвать у тех кто собирается поднимать свой сервер где-то на клауде или еще что-то подобное
12.09.23 14:30
0 0

"Bitwarden official server is a stack of like a dozen separate containers that use multiple GB of ram to run. Vaultwarden is a single container that takes about 30MB of ram to run" (отсюда), и т.д. Это если юзать их официальное облако
Я думаю, Vaultwarden хорош в качестве хост-программы для базы паролей, но не как клиент; например, "Bitwarden clients save the vault locally so if my server goes down I still have access to all my password. They just wont sync", а Vaultwardenовский клиент такого, вроде бы, не умеет.
Ну а ещё на офф-сайте пишут русским по белому:
"This is a community project. We can not guarantee 100% uptime!
This is not an official vaultwarden instance, maintained by the repository owners.
We are currently running on a HA Kubernetes Cluster.
But power loss, network outages or human errors can not be excluded.
Be sure to make regular encrypted backups!
We make regular 3-2-1 backups of the server, but we are not responsible for data loss!
"
Такшта вот..
12.09.23 12:36
0 0

Нужна статья как перенести все данные с LastPass на Bitwarden. Мне, например, это очень актуально.
12.09.23 11:59
0 0

выше (ниже)
"раньше" 😄
12.09.23 18:19
0 0

Через импорт в файл и экспорт этого файла, вам там уже выше (ниже) дали инструкцию.
12.09.23 13:00
0 0

Ссылка на инструкцию есть прямо в веб-интерфейсе BitWarden-а, ведёт на bitwarden.com
А тут - инструкции на русском: www.comss.ru
12.09.23 12:39
0 1

Пользуюсь родной от эпл связкой ключей, к ним доверия больше и он бесплатный ( первый менеджер ластпас как-то накрылся, так и не смог восстановить главный пароль).
Разве у Гугла нет чего-то подобного?
12.09.23 11:54
2 2

Совершенно верно. Нам оно совершенно не нужно за исключением редких случаев необходимости запоминания отдельных и не связанных с вводом на сайты данных. Но не у всех Эпол…
12.09.23 17:57
0 0

Они не кроссплатформенные .
12.09.23 11:58
0 2

Уже много лет сижу на Bitwarden. После череды громких утечек (привет, LastPass). Поднял опенсорсный сервер у себя на малинке. Плюс база bitwarden каждую ночь архивируется в облако, естественно в зашифрованном виде.
12.09.23 11:48
0 0

Эти менеджеры паролей точно никто никогда не взломает? А то получится ситуация - вот вам всё на блюдечке.
12.09.23 11:34
0 2

Ломают и утечки есть. Нет в жизни совершенства. Вот и асинхронное шифрование грозятся кватовыми компутерами сломать... И будут (и есть) новые методы стойкие даже с квантовыми вычислениями.
Борьба меча и щита будет вечной.
12.09.23 12:02
0 1

Хотелось бы еще знать что делать, когда пользуешься подобным сервисом много лет, а потом база паролей утекает. Менять пароли на всех сайтах и записывать на бумажку? Переходить на другой подобный сервис?
12.09.23 11:34
0 6

Хуже если рушится.
Да, и в этом случае тоже. И что потом делать? Если дядя всё профукал, все твои пароли у дяди, а ты их не знаешь.

Sounds reassuring.

а потом база паролей утекает
Хуже если рушится. Вон у Bitwarden'а в условиях использования не стесняясь "в любой момент можем послать юзера в сад"...

А где же у Битвардена функция заполнения пароля на сайтах? Что-то я не нашел

PS ага, расширение надо поставить, тогда будет предлагать сохранить
12.09.23 11:11
0 0

Нужно расширение добавить в браузер, и там уже активировать автозаполнение (по умолчанию оно выключено, и вызывается комбинацией Ctrl+Shift+L).
Расширение для ГуглХрома, например, находится тут.
12.09.23 12:02
0 1

Enpass тоже самое, что 1Password только без подписки
12.09.23 11:07
0 0

«И тогда мы им сказали, что все их пароли будут знать только они»
12.09.23 11:00
2 3

Еще один важный момент - бесплатная версия (а точнее, бесплатный тарифный план) позволяет хранить неограниченное количество паролей и использовать менеджер на неограниченном количестве устройств.
*мурлычет на мотив "вечернего звона"*
Бесплатный сыр, бесплатный сыр
Бесплатный сыыыр захватит мииир!

Ну хотя бы рекламу показывает?
12.09.23 10:41
6 4

Несколько устройств без хранения у дяди с синхронизацией - возможно. Гуглите Syncthing.

Да и просто зашифрованный локально файл хранить в облаках.

А что ты будешь делать, если воры квартиру обнесут? Без облаков никак.

поставить свой локальный хостинг
Занадто!
О, KeePass нашелся! Который 2android. Надо бы сесть базы синхронизировать. Вручную...

А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...
Надо стать "дядей" и поставить свой локальный хостинг с блекджеком и прочим.

Вы же сейчас вписались доказывать параноику, что за ним не следят! 😉 Причем на уровне "зуб даю!", причем мы даже не знакомы... Только без обид, оке?
А я разве говорил что за ним не следят? Я говорил что если люди что то предлагают бесплатно, это не значит что оно реально бесплатно, это значит что оно оплачено кем то другим.

У Мешка есть заветная флешка с честно купленным RoboformToGo - локальнее некуда! Её перестали поддерживать, заменив облачной EveryWhere, она перестала интегрироваться в браузеры, но пока еще дышит.
А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...

KeePass - программа с доступным открытым исходным кодом. Если не веришь разработчику, можешь сам проверить код и собрать бинарники, что делает достаточно большое количество народа.
Базу KeePass хранит локально, т.ч ни о каких деньгах под данные пользователей речи не идет. С другой стороны это позволяет хранить базу на любом облачном сервисе.

Вы же сейчас вписались доказывать параноику, что за ним не следят! 😉 Причем на уровне "зуб даю!", причем мы даже не знакомы... Только без обид, оке?
И фамилие Мешка не Петров и не Боширов, и 90% его логинов-паролей можно написать на ближайшем заборе, никакого урона это не причинит. Но отдать дяде оставшиеся 10... 😡

Вы ничего не слышали про Open Source? В мире достаточно много проектов, которые за базовые вещи денег не берут, это их реклама (на которую они так же "не тратят денег", работает сарафанное радио).
Они зарабатывают на корпоративщиках и тех, кому базовых функций мало.

У нас она используется для хранения паролей всех клиентов - включая несколько федеральных министерств.

Но у нее база не в облаках. Ну разве как физический файл ее туда можно.

Так как раз лучше, чтобы показывал! Альтруизм в голове не укладывается: разработать отличную программу, держать место под данные пользователей (а это точно стоит денег!) - и всё нахаляву, за бульон от яиц?..

KeePass не показывает.

Это макбук на изображении?
Алекс презентует вражеские ноутбуки? 😉
12.09.23 10:29
10 1

Дурацкий вопрос по уточнению подразумеваемого, но явно не озвученного: это всё облачное? RoboformToGo на флешке для параноиков был (и помер) последним?..
12.09.23 10:28
1 1

статья на хабре, как раз про установку своего self-hosted сервера
может кому понадобится, чтобы совсем отвязаться от чужих серверов
12.09.23 11:47
0 1

Да, читал про него.
12.09.23 11:21
0 0

мало того, есть OSS'ная замена их совершенно неприлично жирному серверу: VaultWarden называется

github.com
12.09.23 11:18
0 0

Дурацкий вопрос по уточнению подразумеваемого, но явно не озвученного: это всё облачное? RoboformToGo на флешке для параноиков был (и помер) последним?..
Bitwarden позволяет создавать свои собственные облака. Кстати, надо будет дописать.

KeepassXC или подобные с базой в облаке.
Есть аналоги, открывающие базу и на линуксе и на айос.
Универсально, бесплатная версия дает полный функционал для одной базы (если на айосах, за деньги можно купить премиум: доступ к нескольким базам, вход по физическому ключу u2f). На других платформах бесплатна совсем.
В отличие от оригинального Keepass больше нравится внешний вид и иконки 😄
12.09.23 10:19
0 9

Насколько я знаю, KeePass был скомпроментирован возможностью получения мастер-ключа из дампа памяти.
Согласно Bикe, если Windows компромайзд, то ничего сделать уже нельзя regardless

A 2019 Independent Security Evaluators study described KeePass as well as other widely used password managers as being unable to control Windows 10's tendency to leave passwords in cleartext in RAM after they are displayed using Windows controlled GUI.[14] In addition, several GitHub projects (KeeFarce, KeeThief, Lazanga) specifically attack a running KeePass to steal all data when the host is compromised. KeePass cannot prevent password theft and, as Dominik Reichl, the administrator of KeePass, states, "neither KeePass nor any other password manager can magically run securely in a spyware-infected, insecure environment."[15]
12.09.23 20:24
0 2

Это как надо постаратся, чтобы получить дамп памяти... И чтобы винда не заорала благим матом, что кто то копается в ее внутреностяз 😃 Чисто 'миссия невыполнима'...
Такие, чисто гипотечические 'уязвимости' часто появляются, но применить их...
12.09.23 19:33
0 2

Ну вот достаточно один раз дать промашку и доверие теряется. Как было в случае с TrueCrypt.

Не помню подробностей, да и ни к чему они мне. KeePass не единственный инструмент на рынке.

Насколько я знаю, KeePass был скомпроментирован возможностью получения мастер-ключа из дампа памяти.

П.С. данная уязвимость была исправлена в KeePass v2.54

KeePassXC - это форк сообщества инструмента KeePass. Отличный инструмент, позволяет хранить базу, как в облаке, так и локально. К тому же имеет открытый исходный код. KeePass скомпроментирован, были такие новости.

Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение, к тому же - довольно примитивное
Браузер Vivaldi - есть версия для PC, есть для Android. Синхронизируются между собой на основании учётной записи Vivaldi. Очень удобно 😄
Насчёт примитивности - не знаю.
12.09.23 10:13
1 0

В спаме ничего нет? У меня оно точно ушло (сужу по почтовому клиенту).

Повторил в 11:36 по Москве.
Ничего там не вижу.

Повторил в 11:36 по Москве.

Про браузер Opera я предпочитаю не вспоминать. Ну его... 😉
12.09.23 11:24
2 0

Браузер Vivaldi - есть версия для PC, есть для Android. Синхронизируются между собой на основании учётной записи Vivaldi.
в Опере (из старых версий которой и растут корни Вивальди) точно также
12.09.23 11:09
0 0

зачем экзотический браузер для этого использовать.
Не вижу ничего экзотического в Vivaldi. Пользуюсь им достаточно давно, почему и упомянул.
12.09.23 10:44
1 0

Я Вам вчера письмо отправил. Волнуюсь, дошло ли.
Видимо, не дошло. Лучше повторить на toffler@gmail.com.

Так в чём заключена примитивность?
В возможностях.

Синхронизируются между собой на основании учётной записи Vivaldi.
так это все основные браузеры тоже умеют. зачем экзотический браузер для этого использовать.
12.09.23 10:29
0 1

Я знаю. Потому что сравнивал.
Так в чём заключена примитивность?

Я Вам вчера письмо отправил. Волнуюсь, дошло ли.

Насчёт примитивности - не знаю.
Я знаю. Потому что сравнивал. Впрочем, "кому и кобыла невеста" 😄

Прочитала про Bitwarden пару лет назад и эти пару лет использую его. Очень удобная штука оказалась. Но я там хранила только самые важные пароли - типа платежных систем или почты.
Не знала, что можно пароли импортировать из браузера. Надо будет поразбираться. Спасибо за статью!
12.09.23 10:09
0 2

LastPass не попал в список, хотя вроде Вы им пользовались раньше?
12.09.23 10:04
1 0

У них база каждый год утекает
не каждый! всего через год! )
en.wikipedia.org
12.09.23 13:33
0 2

"The threat actor first gained unauthorized access to portions of their development environment, source code, and technical information through a single compromised developer's laptop."

Написано, что в 2022 году через лаптоп девелопера взломали. Думаю, всё-таки, их ломали потому, что у них тупо больше людей "бесплатно". Tакое может произойти со всеми (если задались целью взломать... может, какой-то юзер с миллионами в крипте засел). Если мастер-пароль супер-длинный, то не декриптили бы.
12.09.23 13:25
0 0

Я согласен, но я не понимаю, чем принципиально отличаyuтся другие пассворд-манагеры. Любого супер-админа можно "компромайз", если очень надо. Может, потому, что у ластпасса просто больше людей (см гистограмму ВОРОНОК)?
теща упала на ножик и так 3 раза
en.wikipedia.org
12.09.23 13:16
0 1

Я согласен, но я не понимаю, чем принципиально отличаyuтся другие пассворд-манагеры. Любого супер-админа можно "компромайз", если очень надо. Может, потому, что у ластпасса просто больше людей (см гистограмму ВОРОНОК)?
12.09.23 13:14
0 1

Т.е. если пассворд из условных 25 символов, может, норм? Судя, по описанию, такое может прозойти с кем угодно."The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "
вот что там написано в очень много слов )
12.09.23 13:12
1 1

LastPass не попал в список
неее нафиг нафиг
Т.е. если пассворд из условных 25 символов, может, норм? Судя, по описанию, такое может прозойти с кем угодно.

"The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "
12.09.23 13:09
0 0

да где же он бесплатный! я за него много лет платил.
12.09.23 11:19
0 3

LastPass не попал в список
неее нафиг нафиг
12.09.23 10:49
0 2

Неудивительно, потому что LastPass сто лет уже существует, и он бесплатный. Но дырявый. Но бесплатный.
12.09.23 10:49
0 1

Печаль, а я чёт юзаю его столько лет и даже не подозревал, что они дырявые 😒
Несколько раз их ломали. Я бы не рисковал.
12.09.23 10:48
0 2

Печаль, а я чёт юзаю его столько лет и даже не подозревал, что они дырявые 😒
12.09.23 10:45
0 0

LastPass не попал в список, хотя вроде Вы им пользовались раньше?
Я им никогда не пользовался, я его пробовал и пришел к выводу, что он сильно уступает Roboform'у. Кроме того, у них база утекала неоднократно, так что в топку LastPass.
12.09.23 10:15
0 4

Хренова 😄
12.09.23 10:10
0 0

У них база каждый год утекает
12.09.23 10:04
0 5