Восемь с половиной лет дома и на работе я использовал парольный менеджер LastPass, установив его всего через пару лет после выхода первой версии. Поэтому логично, что заступив на должность вице-президента по управлению деятельности компании Quantopian (а потом директора IT-безопасности), я внедрил LastPass в качестве корпоративного менеджера паролей. В течение нескольких лет он удовлетворял нас и по функциональности, и по качеству поддержки, оказываемой компанией.
Однако в 2015 году LogMeIn приобрела LastPass, и ситуация начала меняться. И качество продукта, и поддержка стали ухудшаться с момента приобретения, так что теперь наступил момент, когда мы решили отказаться от этой программы и оценить альтернативы.
Мы создали подробный чеклист и проверили по нему пять парольных менеджеров: LastPass, 1Password, Dashlane, Bitwarden и Keeper. В итоге мы решили, что наилучшим выбором для нашей компании будет Bitwarden, и мы начали процесс миграции с LastPass на Bitwarden.
Очевидно, что наши приоритеты и требования могут не совпадать с вашими, поэтому ниже приводится описание функциональности, на которой мы сосредоточились в своей оценке.
Даже если наши приоритеты отличаются от ваших, вы всё равно можете воспользоваться нашей оценкой! Ниже приведена таблица с результатами [в оригинальной версии статьи есть интерактивная сетка, которую можно настроить, чтобы оставить только те требования, которые вам нужны и сравнить любые 2?6 продуктов по конкретным характеристикам — прим. пер.].
Приоритеты системы управления паролями Quantopian
Мы используем парольный менеджер на Mac OS, Windows, Linux, Android и iOS. Он должен поддерживать все эти платформы. Самое главное, что полная функциональность не может зависеть от приложения, которое доступно только в Mac OS и/или Windows. Другими словами, отсутствие полной поддержки Linux сразу ставит крест на программе. Это исключает 1Password и Dashlane.
Недавно мы начали выдавать всем сотрудникам токены Yubikey с требованием использовать их для двухфакторной аутентификации во всех возможных приложениях и сервисах. Хотя поддержка YubiKey не рассматривалась как жёсткое требование, но тоже влияла на наш выбор. Конечно, мы отклонили бы любой парольный менеджер вообще без поддержки 2FA. К счастью, все пять продуктов обладают такой поддержкой в той или иной форме.
Кроме рабочих паролей, мы рекомендуем сотрудникам использовать парольный менеджер и для личных паролей, и стараемся упростить эту задачу. Несмотря на различные проблемы с LastPass, должны признать, что их функциональность «связанного личного аккаунта» — золотой стандарт для этой конкретной проблемы. Поэтому мы оценивали другие продукты в сравнении с LastPass по данному вопросу. Dashlane и Keeper плохо решают проблему, остальные предлагают вполне адекватные решения.
Очевидно, поскольку мы собирались перейти с LastPass на новый сервис, то важной была возможность импортировать данные из LastPass. К счастью, у всех продуктов есть такая возможность.
Ряд функций, которые мы рассмотрели, актуальны только в корпоративной (т. е. деловой) среде. Например, для личного использования, вероятно, вы не будете заботиться о связанных личных учётных записях, детальном контроле доступа или о том, какие возможности есть у администратора компании, но для нас это тоже важно.
Не в последнюю очередь имеет значение, чтобы наш парольный менеджер активно поддерживался, и чтобы люди из техподдержки реагировали на вопросы поддержки, запросы функций и отчёты об ошибках. Мы определённо подтверждаем это в случае с Bitwarden. Например, в какой-то момент во время нашей оценки мы представили отчёт об ошибке Bitwarden через их Github; один из мейнтенеров исправил баг через 17 минут, а всего через несколько дней патч ушёл в релиз.
Интерактивная сетка со сравнительными оценками
В интерактивной таблице со сравнительными оценками по умолчанию отображаются все пункты контрольного списка. Но если прокрутить вниз, то можно снять флажки с ненужных характеристик и/или выбрать для сравнения две конкретные программы.
Результаты
| Функция | 1Password | Dashlane | Bitwarden | LastPass | Keeper | Zoho Vault |
|---|---|---|---|---|---|---|
| Поддержка Chrome | да | да | да | да | да | да |
| Поддержка Firefox | да | да | да | да | да | да |
| Поддержка Edge | да | да | да | да | да | нет |
| Поддержка Safari | да | да | да | да | да | да |
| Поддержка Mac OS | да | да | да | да | да | да |
| Поддержка Windows | да | да | да | да | да | да |
| Поддержка Linux | слабо | слабо | да | да | да | да |
| Консольный клиент Mac OS | слабо | нет | да | слабо | да | нет |
| Консольный клиент Windows | слабо | нет | да | слабо | да | нет |
| Консольный клиент Linux | слабо | нет | да | слабо | да | нет |
| Поддержка Android, с автозаполнением | да | да | да | да | да | слабо |
| Автозаполнение Android в Chrome | да | да | да | да | да | нет |
| Автозаполнение Android, рабочий профиль | да | да | нет | да | да | да |
| Автозаполнение Android показывает полные имена пользователей | да | да | да | да | нет | нет |
| Поддержка iOS, включая автозаполнение | да | да | да | да | да | да |
| Двухфакторная аутентификация | да | да | да | да | да | да |
| Поддержка YubiKey в браузере (Enterprise) | нет | нет | да | да | да | нет |
| Поддержка YubiKey в браузере (Personal) | нет | нет | да | да | да | нет |
| Поддержка YubiKey в Android | нет | нет | да | да | нет | нет |
| Поддержка YubiKey в iOS | нет | нет | да | да | нет | нет |
| Сохранение паролей в Android | да | да | да | да | да | да |
| Сохранение паролей в iOS | да | да | да | да | да | да |
| Вход по отпечатку пальца в Android | да | да | да | да | да | да |
| Вход по отпечатку пальца в iOS | да | да | да | да | да | да |
| Синхронизация между устройствами | да | да | да | да | да | да |
| Импорт из LastPass | да | да | да | да | да | да |
| Различие рабочих и личных профилей при импорте из LastPass | нет | нет | нет | да | нет | нет |
| Сохранение папок LastPass folders в каком-то виде при импорте | да | сомнительно | да | да | да | да |
| Привязка личного аккаунта (или эквивалент) | да | слабо | да | да | нет | нет |
| Сохранение местоположения (работа/дом) в момент создания | да | нет | да | да | нет | нет |
| Сохранение местоположения (папка/коллекция/постранство) редактируется в веб-приложении | да | нет | да | да | да | да |
| Осмысленная проверка силы мастер-пароля | да | нет | да | да | да | да |
| История паролей в Linux | да | нет | да | да | да | да |
| История паролей в Windows | да | да | да | да | да | да |
| История паролей в Mac OS | да | да | да | да | да | да |
| Безопасные заметки | да | да | да | да | да | слабо |
| Вложения к заметкам в Linux | нет | нет | да | да | да | да |
| Вложения к заметкам в Windows | да | да | да | да | да | да |
| Вложения к заметкам в Mac OS | да | да | да | да | да | да |
| Общие папки с контролем доступа на Linux | да | нет | да | да | да | да |
| Общие папки с контролем доступа на Windows | да | да | да | да | да | да |
| Общие папки с контролем доступа на Mac OS | да | да | да | да | да | да |
| Разные группы с настраиваемым контролем доступа | нет | нет | да | нет | да | да |
| Вложенные папки | нет | нет | да | да | да | слабо |
| Противостояние невидимым формам автозаполнения | да | да | да | нет | да | неизвестно |
| Плагин браузера заполняет только указанную форму | нет | неизвестно | нет | нет | неизвестно | да |
| Плагин браузера отображает иконку на полях формы | да | да | нет | да | да | да |
| Плагин браузера предлагает сохранить новые сайты на Linux | нет | да | да | да | да | да |
| Плагин браузера предлагает сохранить новые сайты на Windows | неизвестно | да | да | да | да | да |
| Плагин браузера предлагает сохранить новые сайты на Mac OS | неизвестно | да | да | да | да | да |
| Поддержка 2FA при авторизации в хранилище паролей | нет | нет | да | нет | нет | нет |
| Автозаполнение в браузере отключено по умолчанию | да | нет | да | нет | нет | да |
| Автозаполнение в браузере можно отключить | да | нет | да | да | да | да |
| Администратор может переустановить пароли | да | да | нет | да | нет | нет |
| У администратора есть доступ к приватным данным других пользователей | да | нет | нет | да | да | нет |
| Админы могут переустановить 2FA пользователей | да | нет | нет | да | нет | да |
| 2FA можно принудительно внедрить на корпоративном уровне | нет | нет | нет | да | да | да |
| Есть возможность аудита 2FA на уровне организации | да | нет | да | да | да | нет |
| Экспорт под Linux | нет | нет | да | да | да | да |
| Экспорт под Windows | да | да | да | да | да | да |
| Экспорт под Mac OS | да | да | да | да | да | да |
| Экспорт аттачментов | неизвестно | неизвестно | нет | нет | нет | нет |
| Отклик на баг-репорты и запросы новых функций | нет | неизвестно | да | нет | нет | неизвестно |
| Open source | нет | нет | да | нет | нет | нет |
| Есть функция self-host | слабо | нет | да | нет | нет | нет |
| Корпоративная лицензия, месяц | 7,99 | 4 | 3 | 6 | 3,75 | 3,6 |
| Стоимость для одного пользователя, месяц (без аттачментов или YubiKey) | 2,99 | 4,99 | 0 | 2 | 2,5 | 0 |
| Стоимость для одного пользователя, месяц (с аттачментами и YubiKey) | 2,99 | 4,99 | 0,84 | 2 | 2,5 | 0 |
| Информативна ли страница со статусом сервиса | да | да | нет | да | нет | да |
| Количество падений сервиса за последние 6 месяцев | 1 | 12 | 0 | 12 | 0 | 2 |
Что думаете?
Вы проводили аналогичную оценку для себя или своей компании? Если да, то каков был окончательный выбор и каковы решающие факторы?
Да пребудет с вами безопасность!
Комментарии (114)
Gurturok
25.12.2018 14:53+2>Что думаете?
>Количество падений сервиса за последние 6 месяцев
Онлайн хранилки паролей? Спасибо — не надо.
Я еще удивился почему keepassx нет в таблице.MonkAlex
25.12.2018 15:26Когда я с телефона хочу зайти на сайт, а он не пускает, потому что у меня другой IP — Lastpass как онлайн хранилка хорошо мне помогает, т.к. я буквально клацаю одну кнопку и вход выполнен.
Подскажите, как это работает у keepassx?Gurturok
25.12.2018 15:29+1Синхронизация БД через syntching
Alex_ME
25.12.2018 16:22Можете рассказать подробнее?
Я использую на винде KeePass с плагином для синхронизации с GoogleDrive, на андроиде Keepass2Android, который из коробки умеет синхронизироваться с Google Drive (Dropbox, OneDrive, OwnCloud, sftp, ftp, http), но вот с линуксом беда. Там использую KeePassX, который плагинов не имеет, а в KeePass (с mono) тот плагин для GoogleDrive не работает.MahMahoritos
25.12.2018 20:11Не вполне понимаю, о каких плагинах речь, у меня база KeePassXC просто лежит в папке Dropbox'а и синхронизирована со всеми устройстами, где мне нужно. В папке кроме файла хранилища также всякое прочее барахло, которое мне хотелось бы иметь под рукой, причем в актуальной версии.
Alex_ME
25.12.2018 21:27Да просто беда в том, что не использую дропбокс (а яндекс диск, там места больше), вот и приходится извращаться. Хотя, конечно, можно использовать оба, и дропбокс чисто для синхронизации паролей…
Gurturok
26.12.2018 12:07Что подробнее? Есть syntching на телефоне/пк/nas в нем лежит файлик от keepassx ну в общем все.
MonkAlex
25.12.2018 16:46И мне самому надо где то хостить этот самый syntching?
RouR
25.12.2018 17:03нет, отдельный сервер не нужен. peer-to-peer
MonkAlex
25.12.2018 17:35Так а кто будет вторым пиром? Мне комп и телефон надо иногда по времени пересекать, чтобы на телефон синхронизировало? ~_~
ПС: просто ветка начинается с того, что онлайн хранилки не нужны. А как синхронизировать адекватно — я что-то не понимаю.RouR
25.12.2018 17:51да, надо иногда по времени пересекать, чтобы на телефон синхронизировало.
или ставьте третий хост.
5m1l3
25.12.2018 19:17На самом деле не обязательно пересекать. У syncthing есть публичные релеи, если у вас нет своего, только скорость трансфера через них не очень, данные там шифруются до пересылки. т.е. 3ий хост не нужен.
DerRotBaron
25.12.2018 17:07+2Я для себя нашёл следующий вариант: на десктопе keepassxc, по умолчанию выставленный на файл в директории синхронизации, а на Android — оффлайн файл в Google Drive + ярлык на домашний экран.
irondsd
25.12.2018 15:19Мне менеджеры паролей кажутся ещё одним очагом уязвимости. Лучше доверять своей памяти, и быть уверенным что пароля в открытом виде нет нигде.
У меня уникальный пароль от почты и соответственно от гуглоакка, плюс двухфакторная авторизация, и уникальные с небольшими изменениями пароли от самых важных вещей, вроде пейпала, и стандартный пароль от всего остального. Даже если этот стандартный пароль угонят, я смогу всё восстановить на почту.
Кстати говоря, однажды этот стандартный пароль попал в открытый доступ после взлома твиттера. Но не беда, спустя пару дней я провёл ревизию всех аккаунтов и поменял пароль абсолютно везде. Всё равно это по хорошему нужно делать раз в пару лет.ilyaster
25.12.2018 16:49+1По мне, так техника всегда надежней человека.
irondsd
25.12.2018 17:07-2Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски. Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным. Если пароль из 18 символов, на брутфорс уйдёт несколько сотен лет при любом раскладе.
ilyaster
25.12.2018 17:25+3Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски.
Почему неизбежно? Странное утверждение.
Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным
Профит не только в этом. Например, никогда не введется пароль на фишинговый сайт-двойник какого-либо сервиса, удобная автозамена паролей, отсутствие человеческого фактора наконец.
irondsd
25.12.2018 17:30-1Потому что все ваши пароли хранятся в каком-то месте. Пусть это и зашифровано мастер паролем. Утечёт мастер-пароль, и все, все без исключения пароли будут скомпрометированы. Обнаружится дыра в безопасности, 0-day, или что-то ещё — аналогично.
Я и так не ввожу пароли на сайты двойники :)
Я признаю, что пассворд менеджер очень удобен для казуалов, но для продвинутых пользователей он не нужен.ilyaster
25.12.2018 17:37Да, они хранятся в одном месте, но все-таки 21й век на дворе и 2FA никто не отменял.
Я и так не ввожу пароли на сайты двойники :)
От ошибок никто не застрахован, излишняя самоуверенность плохой товарищ параноика (а ведь быть лайт-параноиком обязательно, когда столько всего храниться в сети).
А на счет нужности/ненужности было бы интересно какие-нибудь исследования почитать — наверняка проводились. Может кто и поделится ссылкой.
hokum13
26.12.2018 11:33Ну вот у меня например больше сотни логинов/паролей на всяких железках (да да, они у меня разные), пароли от разных почт на разных почтовых серверах (внешне не связанные друг с другом) и т.п… И все это только для работы. Плюс ко всему часть паролей нужно шарить между коллегами (те же пароли от железок).
Я подхожу под Ваше определение казуала?
И да, я не везде хожу по паролю. Там где можно я использую SSO и сертификаты, но на случай отказа SSO всегда нужен пароль от локаладмина.irondsd
26.12.2018 13:57Да, в случае если пароли нужно часто шарить, то понимаю Вас. Я не предполагал такой вариант использования, он имеет мест быть.
Borz
26.12.2018 14:24семейный человек?
Я шарю часть паролей даже с супругой — зачем для тех же магазинов заводить разные учётки?
OFF: а ещё шарю адресную книгу и календарь, чтобы так же не заморачиваться на ручную синхронизацию
hokum13
26.12.2018 15:18Я шарю часть паролей даже с супругой
Пароли от жены должны быть скрыты в первую очередь! Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
для тех же магазинов заводить разные учётки?
Так может вообще не проходить авторизацию? Зачем париться то?
а ещё шарю адресную книгу и календарь
Ну это вполне не оффтоп — объясняет Вашу позицию. Вы находитесь в суперпозиции «неуловимого Джо». Потому Вам и скрывать нечего. Не все такие безобидные, как Вы. Да и поймать тот момент, когда Джо станет кому-то интересен довольно сложно, так что лучше перебдеть.Borz
26.12.2018 15:33Пароли от жены должны быть скрыты в первую очередь!
Так не все пароли шарятся же. В рамках 1password заведены несколько сейфов, часть из которых пошарена с супругой, отдельные сейфы под каждого заказчика/работодателя (чтобы не путаться и можно было грохнуть одним махом), один для мамы, другой для тёщи и т.д. — так проще помогать или обновлять "устаревшие" пароли.
Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
те, кому я пошарил сейф, вполне просвещены на тему отсылки "на сторону" приватных данных. Родители "курс молодого бойца" прошли уже несколько лет как и обеспечена удалённая поддержка и прочее. Супруге я доверяю — если ей не доверять, то кому тогда?
Так может вообще не проходить авторизацию? Зачем париться то?
Это позволяет одному накидать в корзину, а второму сделать заказ. Или накидать в одну корзину каждому что хочется и сделать единый заказ. Плюс накопление всяких бонусов от магазина и прочие плюшки
Вы находитесь в суперпозиции...
Да нет — есть несколько календарей. У каждого персональный и один общий. Так удобнее планировать — если что-то затрагивает более чем одного, то заносится в общий, а если только одного, то в личный. Например рабочие события в рабочее время нужны только мне — их кладу в личный календарь.
С контактами иначе — тут единый список.hokum13
26.12.2018 17:51Супруге я доверяю — если ей не доверять, то кому тогда?
"… должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе." Возможно у меня просто проф. деформация.
Это позволяет одному накидать в корзину, а второму сделать заказ.
А, Вы в этом смысле…
У каждого персональный и один общий.
Ну т.е. он не свободно расшарен, а расшарен ограниченному списку лиц. Наподобие календаря в MS exchange/Zimbra? Ну тогда в принципе норм.
Revertis
25.12.2018 17:18+1Лучше использовать хэши от пароля+соли+домена :)
addons.mozilla.org/firefox/addon/art-password
Приложение под Андроид (без разрешений сети) тоже есть.
Bonio
25.12.2018 18:59+1Лучше доверять своей памяти
Нет проблем, если вы пользуетесь всего одним-двумя сервисом в интернете.
Проблемы с запоминанием паролей в памяти начинаются, если таких сервисов становится десятки и сотни. Тут кроме запоминания самих паролей встает вопрос запоминания и адресов этих сервисов.irondsd
25.12.2018 19:22-1Честно, у меня крайне редко возникают проблемы. У меня 2 почты, основная и фейковая. На основной стоит уникальный пароль, он не используется больше нигде. Есть 2 пароля, под которыми я регистрируюсь на большинстве сайтов. На фейковой почте вообще простой. Вида eeeeee123. Угонят — плевать, это аккаунты на один раз. Основной пароль тоже из 9 символов, и используется для большинства аккаунтов. Вроде тут, на хабре. Ну даже если угонят, я всё равно смогу восстановить через почту. Ставить уникальные пароли для каждого сайта — оверкилл.
Так что с запоминанием тоже проблем нет. Максимум с 3 раза ввожу правильный пароль.
Да всё время использования этой системы, менял пароль 2 раза. Один из них для безопасности, один раз база паролей твиттер утекла, вместе с моим паролем. Больше никогда не было никаких инцидентов.YaMishar
26.12.2018 09:11+1То есть если угонят пароль от одного сервиса, угонят от всех?
Что вы делаете, если регистрируетесь на новом сервисе и вдруг обнаруживаете, что ваш основной пароль (9 символов) этот сервис не принимает и требует чего-то другого. Вот у вас уже 2 основных пароля.
Вот я скорее казуал, а вовсе не продвинутый, как вы, юзер. Но в моём менеджере паролей порядка 300 записей. Некоторые из них (порядка 5-7) по требованию безопасности меняются раз в 3-12 месяца (не я эти требования писал). Что мне делать с ними?
Моё мнение, осутствие менеджера паролей заставляет людей выворачиваться и использовать более простые пароли (те же 9 символов, слова, инкрементные части). С менеджером я спокойно генерю пароли любой сложности и не парюсь сложностью их запоминания.
Помнить пароли конечно тоже надо. У меня есть несколько таких — от самого менеджера (15 символов — комбинация словарной части и случайно сгенерённого куска), от почты основной (аналогично почти) и ещё несколько несложных от несильно критичных вещей.irondsd
26.12.2018 09:52От всех не критически важных аккаунтов, в теории. Всё это восстанавливается через почту.
Если я захожу и мой основной пароль не подходит, то я попробую ещё один вариант. Это если я уверен, что регистрировался. Потом восстановлю пароль на почту. Но такое на практике ещё не было.
Скорее бывает «так, тут вроде я фейковый аккаунт регистрировал», пробую, и подходит. Не всегда, но приятно использовать фейковую почту/пароль для большинства аккаунтов, которые не требуют защищённости. И не получать рассылки, спам, и так далее.
SONce
26.12.2018 15:54От каких всех?
Во первых где взять списки этих «всех» сервисов?
Во вторых что при использовании памяти, что при использовании интернет-хранилок. Пароль везде ОДИН. Все эти ластпасы и прочая ересь(имхо) хоть и создают зилионозначные ультра-хардкор-ватерпруф-ноускоп-360-пог пароли, но для доступа к этим паролям нужен все тотже мастер пароль.
Еще одно неудобство которое я испытал когда пробовал пользоватся паролехранилками то что они не универсальны. Однажды я пытался на заправке посреди Германии войти в почту пароль от которой был сгенерирован в хранилке. Для этого нужно возить с собой либо устройство где УЖЕ установлена эта хранилка, либо опятьже вводить один пароль для доступа ко всем паролям что как по мне — глупо.
В итоге Ваш сценарий прекрасно работает — угоняем мастер пароль, и получаем как все пароли так и список всех сервисов к которым эти пароли привязаны.
Конечно в ситуации когда у вас 1000 КОРПОРАТИВНЫХ паролей это может быть удобно. Но безопасности данные системы ни капли не добавляют.Borz
26.12.2018 16:01это не безопасность со стороны владельца пароля, а безопасность, что если ваш логин/пароль угонят с сервиса M, то он не будет подходить к сервису K.
batja84
25.12.2018 19:33+1Если перейдёте на фишинговый сайт, то приложение просто откажется вводить логин и пароль, а вот вручную можно ввести даже не заметив, что сайт-то ненастоящий. Рассказы про то, что нужно быть внимательне бла-бла-бла не принимаются. И на старуху бывает проруха, и опытные пользователи ошибаются, причин может быть масса.
Выше прочитал, что у вас не очень много сервисов, которыми вы пользуетесь. Я вот посмотрел, у меня в базе паролей почти 200 записей. Держать это всё в голове, да к чёрту, хватает более важной информации, которую приходится постоянно держать в голове.irondsd
25.12.2018 19:38Я ни разу не попадал на фишинговый сайт. Вообще ни разу.
Не десяток, думаю около 40 основных. То, что на фейковой почте не считаю, там легко может быть пара сотен однодневных аккаунтов, которые время от времени пригождаются.
Я забыл упомянуть, что пользуюсь встроенным в хром менеджером паролей. Это заметно меняет картину, наверное. Я стараюсь минимизировать количество программ, сервисов которыми пользуюсь. То есть ставить программу и сервис ради того, что возможно слегка лучше того что есть — это слабая причина.Kirhgoff
26.12.2018 23:29В Хроме можно довольно просто посмотреть пароли, которые он там сохранил.
irondsd
27.12.2018 02:17Для этого нужно знать пароль от системы. Считайте это таким же мастер паролем, как в паспорте менеджерах.
powerman
27.12.2018 02:26Не совсем так. Не скажу за текущую версию хрома, но в прошлом было несколько случаев, когда выяснялось, что надёжность шифрования паролей в браузерах мастер-паролем, скажем так, была очень не на высоте. Доверия им в этом смысле уже нет. Кроме того, хранить пароли в браузере не очень хорошая идея, потому что пароли бывают не только от веб-сайтов, и браузер бывает не только один.
Sing303
25.12.2018 21:10Ну не знаю, у меня только в основной базе паролей ~450 записей. А ещё есть отдельные базы по разным рабочим проектам, и там в каждом от 10 до 30 записей.
Помимо паролей есть необходимость сохранять ключевые файлы, резервные коды, данные логинов, почт (у меня не 1 email), адреса сайтов, ключи от программ, доп. информацию о секретных вопросах, на какой номер телефона привязано, адрес сервера, автонаборы VNC/RDP, ключи от ssh и т.д.
Провести ревизию по списку из менеджера тоже удобнее, чем вспоминать что и где из головы)
У меня голова бы уже лопнула от таких запоминаний)
Использую исключительно KeePass, т.к. не доверяю хранение паролей внешним сервисамhokum13
26.12.2018 16:35Ну с кипасом один тонкий момент: хранить нужно надежно и в непубличном доступе. Если используете чужое_облако, то есть маленький шанс, что по дифам файла будет восстановлен секретный ключ со всеми вытекающими.
А раз в случае целенаправленного взлома со стороны сервиса может быть уязвим и кипас, то разницы между кипасом и ластпасом/etc в этом смысле особой нет.Sing303
26.12.2018 16:49Восстановить ключ по diff`ам баз на данный момент слишком сложно (подобная уязвимость была в старых версиях KeePass) и не всегда возможно (я бы даже сказал, в 99% случаев невозможно)
Разница в том, что «взломав» LastPass/etc злоумышленник получает доступ к данным многих пользователей без необходимости расшифровывать их данные.
А взломав облако с кучей шифрованых баз ему нужно будет потратить слишком большое кол-во средств на взлом лишь одной базы, и с очень маленьким шансом на успех. На его месте проще установить keylogger или memory grabber на целевую систему, но от этого уже мало что может спасти.
А в целом верно, идеального инструмента нет, у всех свои уязвимости)
cpcat
26.12.2018 16:31Если ты заменишь «один пароль для всего остального» на рандомные в менеджере, то твоя защищённость резко увеличится. А которые в голове, те пусть в голове и будут.
Кроме того, для многих ресурсов LastPass может регулярно менять пароль автоматически, да хоть раз в неделю.
Boomburum
25.12.2018 15:23Однажды за довольно немалую сумму купил 1password — пользовался и всё нравилось. Но тут вышла новая версия, программулина обновилась (ну или я неглядя обновил) и она стала работать по подписочной системе. Платить за уже купленную прогу не хотелось, поэтому я попытался откатиться, но не тут-то было — все данные заморозились (стали доступны только для чтения), уже месяц бодаюсь с суппортом — у них там малосвязанная между собой тикет-система, поэтому после каждого сообщения они у меня запрашивают багрепортный файлик из приложения ) В общем, или платите за подписку, или не обновляйтесь, или пользуйтесь чем-то другим, иначе рискуете тоже попасть на квест.
Gurturok
25.12.2018 15:31+1>иначе рискуете тоже попасть на квест
вся суть облачных сервисов/приложений — владелец может в любой момент поменять правила и данные накроются медным тазом…
Boggard
25.12.2018 15:47Вполне себе существует standalone версия (7я), которая прекрасно работает без подписки. Видимо так же «навечно» (=
Boomburum
25.12.2018 15:49Если я правильно понял, то апгрейд до него платный (качается с сайта). Либо из апстора качается бесплатная версия, которая только через подписку. Из общения с поддержкой я понял, что у меня из вариантов — только вернуться к 6-ой версии, но для этого надо в неё как-то перенести данные с 7 версии (которые они заморозили). Ну либо делать экспорт и ручками всё переносить, но это каменный век и как последний вариант.
Boggard
25.12.2018 16:20ммм, не могу согласиться. standalone версия (которая просто так не лежит в открытом доступе, но которую можно приобрести в итоге, у них же с сайта) нормально ставится, нормально обновляется уже год (или сколько там прошло с момента релиза 7). Проблем не возникало. Это кроме вариантов с сайта обычной версии и через аппстор, но там все подписки в итоге. Постараюсь нагуглить, как я покупал standalone.
Boggard
25.12.2018 16:31Но в целом да, купившим <=6ю версию, пришлось/придется купить 7ю. Иначе никак. Жадность, она такая
Vanyayo
26.12.2018 15:22Была такая же ситуация — апдейтнулся случайно на новую версию по подписке, которая открыла мой файл с паролями в режиме read only. Поняв ошибку, без проблем скачал 6.8.9 (мак), и продолжил ей пользоваться, по своему старому купленному ключу. Файл с паролями не побился, все работает. Система — Mojave.
Alkop
25.12.2018 15:45Несколько лет использую Enpass — не понимаю, почему его нигде не упоминают :(
Поддерживает все платформы, в том числе Chrome.
Разовая плата для снятия ограничения на количество записей.undisclosed
25.12.2018 16:45+1Ранее долгое время пользовался KeePassX, всем устраивал. Но затем возникла необходимость в удобном кроссплатформенном клиенте и пришлось делать аналогичное сравнение всех доступных менеджеров паролей. Основными требованиями были кроссплатформенность и отсутствие привязки к проприетарному облаку менеджера паролей, возможность синхронизации между клиентами (через разные облака, так сказать, общего доступа) и возможность запрета доступа к сети. Перепробовал много, включая Dashlane. В итоге тоже остановился на Enpass и на 100% им доволен. Плата за мобильный клиент компенсируется удобством и стабильностью. Единственное, не уверен что он также хорошо подойдет автору статьи, т.к. у него весьма строгие требования к поддержке корпоративных функций, а я их не использую и в рассмотрение не брал.
Ryav
25.12.2018 19:02А что скажите о синхронизации по ftp, умеет?
Bringoff
26.12.2018 17:12
Ryav
26.12.2018 17:14Да, уже увидел, тестирую сейчас.
Пока не понял, как работает автозаполнение в браузере на Android. И ценник в 400 рублей за мобильное приложение немного смущает.Bringoff
27.12.2018 11:58Я в браузере обычно автозаполняю через их клавиатуру. А 400 рублей единожды — это не подписка каждый месяц :)
ClearAirTurbulence
26.12.2018 12:41раньше пользовался 1password, после того, как они подались в облако — сижу на старой версии, плавно переезжая на enpass
У enpass интерфес фиговатый, но работает неплохо.
При этом оба синхронизируются через дропбокс и другие облака.
herrjemand
25.12.2018 16:09Замените Yubikey на "Ключ Безопасности". Yubikey это продукт компании Yubico, который так же поддерживает U2F/FIDO2. Стандартный термин "Ключ Безопасности"
JC_IIB
25.12.2018 17:09-1Имелся в виду именно Yubikey, а не абстрактный «ключ безопасности», не надо ничего менять.
herrjemand
25.12.2018 17:36Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2
JC_IIB
25.12.2018 18:09-1Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2
И что? Если Yubikey поддерживает эту технологию, и Dashlane ее тоже поддерживает, то я не вижу никаких противоречий.herrjemand
25.12.2018 18:36+1Представьте себе если бы все называли все стандарты по своему, на примере WIFI:
- Пользуйтесь Циснетов в нашем кафе!
- Устройство с поддержкой Хуавейфай
- Наш телефон работает совместим со всеми устройствами поддерживающими Гуглвейвы
Точно так же с ключами безопасности. Все FIDO ключи безопасности могут делать все тоже. Но из за того что люди используют именно название продукта одноименной компании, это вводит людей в замешательство что только Юбикий работает с этим сайтом, когда у тебя всегда есть десятки альтернатив, которые еще и стоят дешевле в большинстве случаев
JC_IIB
25.12.2018 18:48Я оценил ваши минусы в мою карму и комментарии, благодарю.
Теперь по делу. Запомнить «Yubikey» проще, чем малопонятные аббревиатуры, обозначающие технологии, и среднестатистическому (не гику) потребителю будет проще ориентироваться, если будет написано «поддерживается работа с Yubikey», нежели «поддерживает стандарт FIDO U2F/FIDO2». Те, кто «шарит» — и так поймут, что есть альтернативы, а условный некто с Yubikey в кармане прочитает, что его устройство поддерживается, и будет пользоваться. Он ни сном ни духом не разбирается в стандартах, ему достаточно знания, что у него в кармане лежит устройство для двухфакторной аутентификации, а уж какие там у него внутри стандарты — это для специалистов и интересующихся.
всегда есть десятки альтернатив
Ну и кто им, этим альтернативам, виноват, что Yubikey на слуху и упоминается в таблице, а они — нет?
mSnus
26.12.2018 10:02Та же судьба, что у Ксерокса (который вообще Зиракс), Полароида и других бессменных лидеров
simplix
25.12.2018 16:47Онлайн-менеджерами паролей вообще пользоваться не безопасно. Например, в том же Bitwarden его разработчики видят прямым текстом, к каким сайтам у вас сохранены пароли, могут их редактировать и выборочно удалять. А то, что слабые пароли можно сбрутфорсить при взломе онлайн-базы, и так очевидно.
foldr
25.12.2018 16:58Bitwarden можно хостить в собственной инфраструктуре
simplix
27.12.2018 21:05Как-то мутно описана эта функция: на главной написано, что это платно ($1/month self-hosting), в справке указано, что даже на своём хостинге нужно оплачивать premium features, хотя в чём конкретно они заключаются — не ясно.
alexdesyatnik
26.12.2018 09:20Можно, пожалуйста, поподробнее про Bitwarden, с источниками? Они на своём сайте в описании крипто утверждают, что шифруется практически всё (https://help.bitwarden.com/article/what-information-is-encrypted/).
simplix
27.12.2018 21:01В прошлом году тестировал его, нужно было удалить много записей за один запрос, а такой функции вообще не было. Написал разработчикам, они ответили, что такой функции пока что действительно нет, но они могут вручную удалить те записи, которые я им укажу. Собственно на этом ознакомление и закончилось, если они с тех пор начали шифровать данные более полно — отлично.
cepokko
25.12.2018 17:46SafeInCloud, ушел на него с LastPass, функционал весь есть, все устраивает. Так же имеется псевдоспокойствие что шифрованный файлик с паролями не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
GeMir
25.12.2018 19:01+1не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
Ничего не замечаете? ;)JC_IIB
25.12.2018 19:07Вот мне тоже интересно, люди отказываются от облачных хранилищ паролей, но аккуратно хранят файл с паролями в гуглах-дропбоксах…
powerman
26.12.2018 10:16Файл с паролями KeePass имеет открытый формат, использует правильные современные и стойкие алгоритмы, так что никакой проблемы если к нему получат доступ взломав dropbox/etc. просто нет — если на нём стоит достаточно сложный мастер-пароль то ломать его брутфорсом можно до бесконечности.
Проблема же облачных сервисов вроде LastPass в том, что зачастую они либо не обеспечивают аналогичный KeePass уровень защиты (т.е. сервису известно о паролях клиента значительно больше информации, чем просто "они есть" — как в случае с базой KeePass в dropbox), либо защита обеспечивается чем-то вроде веб-клиента/плагина, который может быть легко обновлён/подменён на лету (в т.ч. конкретно для отдельного пользователя) самим сервисом, что позволит сервису получить полный доступ к паролям как только юзер в следующий раз введёт мастер-пароль.
Ryav
25.12.2018 19:10И, всё же, разница есть. Поскольку имеется возможность сменить облако или вообще на свой сервер лить (я про правильные менеджеры паролей, про SafeInCloud не в курсе.)
cepokko
25.12.2018 20:14На личном NAS тоже можно разместить файл базы safeincloud.
Имхо неспециализированные облака более безопасны для хранения защищенных файлов, т.к. кроме них содержат миллиарды других файлов, а тот же ластпасс при взломе общего хранилища сливает конкретно базы пользователей с логинами и паролями, пусть и зашифрованнымиmSnus
26.12.2018 10:04Это как хранить деньги не в специализированном банковском хранилище, а в подвале на даче.
Да, если будут грабить банк, то уж точно ради денег, а на дачу, авось, и не полезут...
cepokko
26.12.2018 10:38Неверная аналогия, тут скорее сравнивать надо банковскую ячейку в частном банке (еще неизвестно кто к ней имеет доступ из сотрудников банка) и личное бомбоубежище с гермоворотами (в случае с домашним самостоятельно собранным NAS) или же иголкой в стоге сена в случае хранения в дропбоксе и аналогах.
EndUser
27.12.2018 00:27Замечаю следующее: «за безопасность хранилища отвечаю сам».
Аналогично перешёл на SafeInCloud с Pocket.
Принципиальная разница с «облачниками» в том, что здесь шифруют и хранят разные, не связанные люди. То есть тот, кто хранит, узнать и прое?фукать узнанное не может. Про утечку моих паролей с этими всеми облачниками я в новостях не прочту :-D
С другой стороны, конечно, более известные и проверенные, вроде keepassx ещё и морально надёжнее, так как их математика проверена большей толпой экспертов.
Но последний раз, когда я проверял keepassx эндцать лет назад — это было user hostile… непотребство. Именно с него я убежал на Pocket.
Cheater
25.12.2018 17:57+1В статье рассмотрены комбайны, а не парольные менеджеры.
FYI: pass / tpm. Вся дополнительная функциональность или добавляется внешними средствами, или возможно не нужна:
— нужна поддержка usb токена? шифруем PGP ключом, привязанным к токену
— нужна синхронизация? прямое копирование, rsync, rcp, как угодно
— поддержка разных профилей? это вообще задача пользователя, а не менеджера паролей
— администратор имеет доступ к моим данным? В топку такой парольный менеджер сразу
— нужна вставка в браузер? xclip + вставка из системного буфера обмена (pass умеет его чистить) и не морочить себе голову, не такая уж это проблема с безопасностью, тк если у вас скомпрометирован clipboard, то сохранность паролей в менеджере является лишь одной из проблем.
GeMir
25.12.2018 18:01+3KeePass под Windows и KeePassX под macOS. Устраивает всем, кроме интерфейса из конца девяностых.
Andrusha
25.12.2018 20:22Под macOS есть macpass, который не выглядит в ней инородно, но к сожалению, не умеет многие фичи, доступные в KeePass и KeePassXC, такие как новые алгоритмы и TOTP. Хотя, может быть, уже умеет, я не следил за ним где-то около года.
pmcode
26.12.2018 06:52Для чего-то важного: онлайн-банкинга, госуслуг, работы — keepass. Не понимаю как такую инфомацию можно доверить внешней системе, к которой ты имеешь доступ только как к услуге.
Для того что не жалко потерять (99% сайтов) — любая бесплатная софтина. Лишь бы была функция автозаполнения и плагины для лисы и хрома. LastPass пока устраивает.powerman
26.12.2018 10:20KeePass умеет автозаполнение. Я использую KeePassXC под Linux и Keepass2Android на телефоне — оба отлично это умеют. Причём KeePassXC даже двумя способами — по хоткею и через браузерный плагин. Так что никакого смысла какие-либо пароли держать не в KeePass (исключая мастер-пароль в голове) — просто нет.
alex101andr
26.12.2018 10:20SafeInCloud. Версии для linux правда нет.
Bringoff
26.12.2018 17:15Общался в свое время с разработчиком SafeInCloud по поводу версии под Linux, в результате он сказал переходить на Enpass. Видимо, версии под Linux не просто нет, но и не предвидится.
justsamter
26.12.2018 11:51давно пользовался LastPass. последние несколько лет доверяю свою жизнь гуглу. в последнем хроме интеграции довольно таки неплохая, да и генерация паролей для логин форм мне понравилась
Vantela
26.12.2018 15:25KeePass для Win
Для андройд тоже KeePass
И для linux тоже keepass. Только не помню точное название пакета.
Файл лежит в дропбоксе и синхронизируется со всеми с кем потребуется.
А раньше тоже lastpass пользовался, да.
cpcat
26.12.2018 16:13+1Для рабочих нужд сделал self-hosted KeeWeb с доступом к базе через WebDAV. Есть веб-интерфейс и идентичное ему электрон-приложение.
Smasher
26.12.2018 17:131Password поддерживает работу с YubiKey. Но кажется поддержку добавили не так давно.
Borz
26.12.2018 17:30пару лет уж как точно есть
А если про статью — то там про 1Password ещё частично "наврали" — и сохраниться предлагает под Linux и автоподстановка в нужную форму есть. Не хватает только GUI клиента
Ryav
26.12.2018 21:40Поковырял Enpass, умеет всё то же самое, что и KeePass, только красивый. А также Enpass завёлся на q4os. KeePass тоже заводился, но плагин для Dropbox не работал, поэтому пользоваться было неудобно. Но вот $7 за мобильное приложение — многовато, как по мне. KeePass — открытый проект, и кто-нибудь его подхватит в случае чего, а с Enpass никаких гарантий. Стоит ли оно $7?
scorpidim
27.12.2018 13:04У меня на ArchLinux работает Keepass через wine c плагином KeeAnywhere все прекрасно синхронизируется с Google Drive. Для автодополнения в браузерах стоит плагин KeePassHttpX(спец версия для linux). Префикс wine без mono, нативный net framework.
Crandel
27.12.2018 14:48Зачем вайн когда есть keepassxc?
scorpidim
28.12.2018 09:35Keepassxc не поддерживает плагины, насколько я понял.
А у меня в том же префиксе wine еще foobar2000 и Winbox для Mikrotik стоит :)powerman
28.12.2018 09:37А какие плагины нужны? BTW, вообще сама идея плагинов, особенно не от автора оригинального приложения, для менеджера паролей — меня немного напрягает.
scorpidim
28.12.2018 09:43У меня конкретно связь с google drive, так как там лежит база
powerman
28.12.2018 09:47А чего просто не положить файл с базой Keepass в каталог, который синхронизируется с google drive любой доступной утилитой, ничего не знающей про Keepass? У меня так лежит файл в каталоге дропбокса.
scorpidim
28.12.2018 09:52А потому что на андроиде keepass нативно поддерживает gdrive и берет базу оттуда, точно также на ноутбуке. Т.е. у меня одна база на gdrive и разные устройства её от туда берут, а потом сохраняют :)
Andrusha
28.12.2018 15:17Но причина использования KeePass с плагином под Wine, а не KeePassXC с тем же grive2, так и не раскрыта :)
A1054
27.12.2018 23:57Многие комментирующие перешли с LP на другой менеджер паролей.
Может кто-нибудь поделиться почему?
Например,
1. выше безопасность из-за таких-то фич
2. выше юзабельность из-за таких-то фич
3. уменьшилось доверие к бренду LP (по важности это, пожалуй, номер 1)
А то ощущение, что народ просто устал от бренда lastpass и хочет что-нибудь новенькое.
Я пользуюсь LP много лет, вроде все было нормально. Но недавно произошел инцидет, вызвавший задумчивость: с помощью кода, присланного на секретный email не удалось сбросить 2FA. Не знаю, в чем дело, надо проверить еще раз.VJean
28.12.2018 05:49LastPass взломан, меняйте ваш мастер-пароль 16 июня 2015
Пользователи LastPass уязвимы для простейшей фишинговой атаки в Chrome 18 января 2016
LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода 23 марта 2017
Еще в начале 2010 годов было много криков на слабую защиту.
Borz
28.12.2018 08:57Когда несколько лет тому назад переходил, то критерием было:
0) Работа не только с паролями, но и адресами, карточками и т.п.
1) прозрачная синхронизация и работа между окна/пингвины/роботы/надгрызки не только внутри браузера, но и простым клиентом
2) возможность располагать карточки не в одной папке — в 1Password это реализовано через теги
3) Общие пароли (семейный доступ). При этом, видеть все карточки сразу — как личные, так и общие, без потребности переключаться между ними
buglife
Roboform рассматривали?
GritsanY
Это перевод статьи.