Я много лет искал подходящую мне хранилку паролей и недавно наткнулся на Pass на HackerNews. Идея хранить пароли в git-репозитории может выглядеть странно, но в целом это неплохая идея, потому что:
- Я держу гит-репозиторий локально у себя на компе
- Все пароли защищены GPG шифрованием, поэтому даже при получении SSH-доступа к моему компьютеру утечка не повлияет на безопасность
Я использую -c чтобы копировать/вставлять пароли. Есть расширение для браузера, но копипейст лично мне удобнее. Проблемы синхронизации с телефоном и всеми linux-дейвайсами тоже не стоит (потому что это всего лишь git).
Делюсь с вами переводом приветственной странички Pass.
Управление паролями должно быть простым и следовать философии Unix. Используя pass, каждый Ваш пароль находится внутри зашифрованного файла gpg, имя которого совпадает с именем ресурса или веб сайта к которому данный пароль привязан. Эти зашифрованные файлы могут быть организованы в удобные иерархии папок, скопированы с носителя на носитель и, в общем, обработаны с помощью любых утилит управления файлами командной строки.
С pass управлять отдельными файлами паролей становится крайне просто. Все пароли хранятся в ~ / .password-store, а pass предоставляет несколько удобных команд для добавления, редактирования, генерации и получения паролей. Это очень короткий и простой Shell скрипт. Он способен временно помещать пароли в буфер обмена и отслеживать изменения паролей с помощью git.
Вы можете редактировать хранилище паролей, используя стандартные команды оболочки unix вместе с командами pass. Нет никаких необычных форматов файлов или новых парадигм для изучения. Присутствует bash completion, так что вы можете просто нажать Tab для быстрого заполнения имени или команды,, а также подсказки для zsh и fish, доступных в папке /completion. Очень активное сообщество пользователей pass создало множество необычных клиентов и графических интерфейсов для разных платформ, а также расширений для самого pass.
Команды pass подробно описана на странице руководства.
Как используется хранилище паролей
Мы можем перечислить все существующие пароли в хранилище:
zx2c4@laptop ~ $ pass
Password Store
+-- Business
¦ +-- some-silly-business-site.com
¦ L-- another-business-site.net
+-- Email
¦ +-- donenfeld.com
¦ L-- zx2c4.com
L-- France
+-- bank
+-- freebox
L-- mobilephone
Мы так же можем отображать пароли:
zx2c4@laptop ~ $ pass Email/zx2c4.com
sup3rh4x3rizmynam3
Или скопировать их в буфер:
zx2c4@laptop ~ $ pass -c Email/zx2c4.com
Copied Email/jason@zx2c4.com to clipboard. Will clear in 45 seconds.
Появится удобный диалог ввода пароля с использованием стандартного gpg-агента (который может быть настроен на поддержание сессии в течение нескольких минут), поскольку все пароли зашифрованы.
Мы можем добавить существующие пароли в хранилище с помощью insert:
zx2c4@laptop ~ $ pass insert Business/cheese-whiz-factory
Enter password for Business/cheese-whiz-factory: omg so much cheese what am i gonna do
Эта функция так же работает с многострочными паролями или другими данными с помощью --multiline или -m, а пароли можно редактировать в текстовом редакторе по умолчанию, используя pass edit pass-name.
Утилита может генерировать ( generate ) новые пароли, используя / dev / urandom:
zx2c4@laptop ~ $ pass generate Email/jasondonenfeld.com 15
The generated password to Email/jasondonenfeld.com is:
$(-QF&Q=IN2nFBx
Можно сгенерировать пароли без символов, используя --no-symbols или -n, а так же скопировать его в буфер обмена вместо того, чтобы отображать его в консоли, используя --clip или -c.
Конечно же, пароли можно удалить:
zx2c4@laptop ~ $ pass rm Business/cheese-whiz-factory
rm: remove regular file ‘/home/zx2c4/.password-store/Business/cheese-whiz-factory.gpg’? y
removed ‘/home/zx2c4/.password-store/Business/cheese-whiz-factory.gpg’
Если хранилищем паролей выступает репозиторий git, поскольку каждая манипуляция создает фиксацию git, вы можете синхронизировать хранилище паролей с помощью pass git push и pass git pull, которые вызывают git-push или git-pull в хранилище.
Вы можете прочитать больше примеров и функций на здесь.
Настройка
Для начала есть одна команда для инициализации хранилища паролей:
zx2c4@laptop ~ $ pass init "ZX2C4 Password Storage Key"
mkdir: created directory ‘/home/zx2c4/.password-store’
Password store initialized for ZX2C4 Password Storage Key.
Здесь ZX2C4 Password Storage Key — это идентификатор ключа GPG. Вы можете использовать свой стандартный ключ GPG или использовать альтернативный, специально для хранилища паролей, как показано выше. Можно указать несколько ключей GPG для использования pass в группе, а разные папки могут иметь разные ключи GPG с помощью -p.
Мы можем дополнительно инициализировать хранилище паролей как репозиторий git:
zx2c4@laptop ~ $ pass git init
Initialized empty Git repository in /home/zx2c4/.password-store/.git/
zx2c4@laptop ~ $ pass git remote add origin kexec.com:pass-store
Если репозиторий git инициализирован, pass создает коммит внутри этого репозитория git каждый раз, когда манипулируют хранилищем паролей.
На странице руководства есть более подробный пример инициализации.
Скачивание pass
Текущая версия — 1.7.3.
Ubuntu / Debian
$ sudo apt-get install passFedora / RHEL
$ sudo yum install passopenSUSE
$ sudo zypper in password-storeGentoo
# emerge -av passArch
$ pacman -S passMacintosh
Хранилище паролей доступно через диспетчер пакетов Homebrew:
$ brew install passFreeBSD
# portmaster -d sysutils/password-storeTarball
Архив содержит общий makefile, для которого достаточно выполнить простую команду sudo make install.
Репозиторий Git
Вы можете просмотреть репозиторий git или клонировать репозиторий:
$ git clone https://git.zx2c4.com/password-store
Все выпуски помечены тегами, и теги подписаны с помощью 0xA5DE03AE.
Организация данных
Имена пользователей, пароли, PIN-коды, веб-сайты, метаданные и так далее
Хранилище паролей не требует какой-либо конкретной схемы или типа организации ваших данных, поскольку это просто текстовый файл, который может содержать произвольные данные. Хотя наиболее распространенным случаем является хранение одного пароля для каждой записи, некоторые опытные пользователи решают, что хотели бы хранить в хранилище паролей не только свой пароль, но и дополнительно хранить ответы на секретные вопросы, URL-адреса веб-сайтов и другую конфиденциальную информацию или метаданные. Поскольку хранилище паролей не требует собственной схемы, вы можете выбрать свою организацию. Существует множество допустимых структур.
Один из подходов — использовать многострочные функции pass (--multiline или -m in insert) и хранить сам пароль в первой строке файла, а дополнительную информацию — в последующих строках. Например, Amazon / bookreader может выглядеть так:
Yw|ZSNH!}z"6{ym9pI
URL: *.amazon.com/*
Username: AmazonianChicken@example.com
Secret Question 1: What is your childhood best friend's most bizarre superhero fantasy? Oh god, Amazon, it's too awful to say...
Phone Support PIN #: 84719
Это предпочтительная организационная схема, используемая автором.
Параметры --clip / -c копируют в буфер обмена только первую строку такого файла, тем самым упрощая получение пароля для форм входа в систему, сохраняя при этом дополнительную информацию в том же файле.
Другой подход — использовать папки и хранить каждый фрагмент данных внутри файла в этой папке. Например, Amazon / bookreader / password будет содержать пароль читателя внутри каталога Amazon / bookreader, а Amazon / bookreader / secretquestion1 будет содержать секретный вопрос, Amazon / bookreader / sensitivecode будет содержать что-то еще, связанное с учетной записью читателя и так далее. Можно так же сохранить пароль в Amazon / bookreader, а дополнительные данные — в Amazon / bookreader.meta. И еще один подход может заключаться в использовании многострочности, как описано выше, но помещать шаблон URL-адреса в имя файла, а не внутри файла.
В общем — возможности здесь чрезвычайно многочисленны, и есть много других организационных схем, не упомянутых выше; у Вас есть свобода выбора того, что лучше всего соответствует вашему рабочему процессу.
Расширения для пропуска
Чтобы облегчить пользователям реализацию разнообразных вариантов использования, pass поддерживает расширения. Расширения, установленные в / usr / lib / password-store / extensions (или их разновидности, зависящие от дистрибутива), всегда включены. А те расширения, которые установлены в ~ / .password-store / .extensions / COMMAND.bash, включены, если переменная среды PASSWORD_STORE_ENABLE_EXTENSIONS имеет значение true. Дополнительные сведения см. На странице руководства.
Сообщество создало множество таких расширений:
- pass-tomb: управлять хранилищем паролей в TOMB
- pass-update: простой процесс обновления паролей
- pass-import: универсальный инструмент для импорта из других менеджеров паролей
- pass-extension-tail: способ печати только хвоста файла
- pass-extension-wclip: плагин для использования wclip в Windows
- pass-otp: поддержка токенов одноразового пароля (OTP)
Совместимые клиенты
Сообщество pass собрало впечатляющий список клиентов и графических интерфейсов для различных платформ:
- passmenu: чрезвычайно полезный и замечательный скрипт dmenu
- qtpass: кроссплатформенный клиент с графическим интерфейсом
- Android-Password-Store: приложение для Android
- passforios: приложение для iOS
- pass-ios: (старое) приложение для iOS
- passff: плагин Firefox
- browserpass: плагин Chrome
- Pass4Win: клиент для Windows
- pext_module_pass: модуль для Pext
- gopass: приложение Go с графическим интерфейсом
- upass: интерфейс интерактивной консоли
- alfred-pass: интеграция Альфреда
- pass-alfred: интеграция Альфреда
- pass.applescript: интеграция с OS X
- pass-git-helper: интеграция учетных данных git
- password-store.el: пакет emacs
- XMonad.Prompt.Pass: запрос для Xmonad
Переход на pass
Чтобы освободить данные о паролях из лап других (раздутых) менеджеров паролей, разные пользователи придумали разные организации хранения паролей, которые лучше всего подходят для них. Некоторые пользователи предоставили сценарии, чтобы помочь импортировать пароли из других программ:
- 1password2pass.rb: импортирует данные 1Password txt или 1pif
- keepassx2pass.py: импортирует XML-данные KeepassX
- keepass2csv2pass.py: импортирует данные Keepass2 CSV
- keepass2pass.py: импортирует XML-данные Keepass2
- fpm2pass.pl: импортирует XML-данные менеджера паролей Figaro.
- lastpass2pass.rb: импортирует данные Lastpass CSV
- kedpm2pass.py: импортирует данные Ked Password Manager
- revelation2pass.py: импортирует данные Revelation Password Manager
- gorilla2pass.rb: импортирует данные Password Gorilla
- pwsafe2pass.sh: импортирует данные PWSafe
- kwallet2pass.py: импортирует данные KWallet
- roboform2pass.rb: импортирует данные Roboform
- password-exporter2pass.py: импортирует данные экспортера паролей
- pwsafe2pass.py: импортирует данные pwsafe
- firefox_decryptgithub.com/Unode/firefox_decrypt/#readme: полнофункциональный интерфейс паролей Firefox, который поддерживает экспорт для передачи
Авторские права и лицензия
pass был написан Джейсоном А. Доненфельдом из zx2c4.com и распространяется под лицензией GPLv2 +.
Внести свой вклад
Это очень активный проект со значительным количеством участников. Лучший способ внести свой вклад в хранилище паролей — это присоединиться к списку рассылки и отправлять патчи в формате git. Вы также можете присоединиться к обсуждению в #pass на Freenode.
Наши серверы можно использовать для хранения любой информации.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
Tyusha
По-моему, Яндекс браузер закрыл вопрос хранения и генерации паролей. Я раньше пользовалась keepass, но сейчас, мне кажется, подобным программам настало время умереть как классу.
Bedal
Вопрос места хранения паролей всё-таки весьма деликатен. И доверять его браузеру…
По-прежнему лучшей системой является автономная хранилка (вроде того же keepass) с хранением файла в облаке. Для облака это просто файл, так что риск компрометации не растёт. Но появляется возможность использовать эти пароли на разных устройствах, чего нет в предлагаемом в посте варианте. И в варианте яндекс-браузера тоже разнообразие меньше желаемого мной.
allex
А еще лучше — в своем облаке :)
Bedal
или так… Но — в браузере?
vmkazakoff
А что не так с браузером? Он хранит пароли в открытом виде? У себя на сервере?
Нашел описание: https://habr.com/ru/post/134982/ вроде как нормально зашифровано все. У меня есть ощущение, что не хуже чем у keepass. Удобство однозначно выше — у меня пароли и на телефоне (не только в браузере!) и на компе синхронизированы, и только несколько паролей я реально храню в голове (они ещё со вторым фактором, но на случай если я "потеряю" разблокированный смартфон, я их и не сохраняю нигде)
Bedal
Я предпочитаю разъединять факт хранения паролей в файле и обеспечение доступа отовсюду. Если синхронизатор знает, что синхронизует пароли — это уже ущерб.
ogost
У pass под андроид тоже есть клиент, чем я успешно пользуюсь уже несколько лет, синхронизируя всё через гит-сервер. Вполне себе удобно.
Потенциально уязвимость браузера может привести к утечке ваших паролей.
Не подумайте, я ни в коем случае Вам не навязываю, просто к сведению.
vmkazakoff
Он вроде не умеет вставлять пароли и предлагать автозаполнение? Вот если я открою какой-то сайт в браузере, или приложение любое — он мне сам предложит вставить/придумать/сохранить пароль?
Если умеет — то да, разницы в удобстве никакой, а независимость от корпораций и проприетарных облаков даёт значительное преимущество. Если/когда Гугл закроет свой менеджер паролей — ваше приложение будет работать.
Про уязвимости ничего не скажу — все что угодно может быть уязвимым, пока не встречал программы, которые бы не могли сломать. Если только по принципу неуловимого Джо.
ogost
В «базовой комплектации» — нет не умеет, но вроде есть разные плагины, добавляющие эту функциональность.
bgBrother
При отсутствии мастер-пароля троян может расшифровать БД с паролями, зашифрованную с помощью DPAPI без какого-либо труда. Проблема будет в том случае, если кто-то пытается достать файлы без входа в учётную запись Windows.
vmkazakoff
Хранить то хранит. Но не в открытом же виде. А как раз в зашифрованном и закрытом мастер паролем.
С локальной бд аналогично. Выше ссылка.
Троян может "расшифровать" что угодно, просто перекватив ввод с клавиатуры. Хром тут более уязвимый только потому, что популярный и стоит у каждого почти.
bgBrother
Tyusha
Браузер — программа, KeePass — программа. В чём разница каким программистам доверять. Яндекс в этом смысле даже понадёжней выглядит.
Пароли из браузера тоже можно использовать на любом устройстве. Не вижу проблемы. Синхронизация же работает.
Ну а насчёт разнообразия вы что имеете ввиду?
Bedal
keepass (приведена только для примера) — локально работающая программа, для неё можно заблокировать все выходы в инет, если и попытается. Пароли не должны уходить наружу именно как пароли.
не совсем так, уже писали, что пароли нужны не только для веба. И не только пароли. В защищённом хранилище удобно хранить многое, что можно назвать «личной информацией». Вовсе и не пароли, но то, что хочется иметь под рукой — и не светить ими.Именно это разнообразие, разнообразие хранимого, и имелось в виду.
Tyusha
Я использую хранилище в Я.Браузере не только для веб паролей. Весь функционал для этого там есть, зачем что-то ещё?!
У меня такое впечатление, что у многих на Хабре присутствует снобизм: "пароли хранить в браузере — фуу… Кошерно только в специализированной программе, лучше, чтобы интерфейс был из командной строки. Вот тогда это по IT-шному."
А чем плох браузер, я так и не поняла. Разве что потенциально более дыряв, т.к. программа слишком большая и сложная, и вызывает большой интерес у вредителей?
Bedal
Потенциально более дыряв — да. Данные хранятся в системе, из которой бывают утечки — два. Если запароливание и хранение разделены, то утечки облака ничем мне не грозят.
Tyusha
Браузер, как никто другой, и так знает (если ему надо) вашу поднаготную: и сайт посещаемые, и банкинг, и пароли, которые вы вводите. Это смешно — пользоваться браузером, но при этом говорить, что хранение паролей в нём — не-е, это не секьюрно, Яндекс их стырит.
faiwer
Браузер сталкивается только с малой толикой моих паролей. И вообще не знает прочих секретов. Да и касательно паролей — лично я храню в нём только (жму "запомнить") самые неважные вещи. Те которые если завтра утекут — да и бог с ними. А самые важные вещи не доверяю даже софту вроде pass.
Скорее не сам yandex, а что-нибудь ориентированное на yandex browser (или любой другой). К слову old school Opera хранила свои пароли в wands.dat (точное название файла не помню). И огромное количество всякой вирусни первым же делом пыталось утащить этот файл. Со всеми вытекающими.
Касательно хранения паролей в браузере. Не совсем понятно о чём спор и почему такой категоричный. Очевидно ведь что это непрофильная возможность данного софта, посему и представляет из себя примитивный UI с парой кнопочек и 4 input-ами. Если вам этого достаточно — why not, каждому по потребностям, но заявления в духе:
с моей колокольни выглядят очень странно. За это у вас -20. Не из-за не любви к yandex browser или yandex, а за категоричность. "Мне не надо = никому не надо".
Есть профессиональный продуманный софт (откройте хотя бы настройки того же Keepass XC, пощёлкайте UI, посмотрите и пощупайте интеграции), а есть любительский. А есть, как вот в статье описано, более CLI подход. В зависимости от степени вашей "гиковости" и у вас и пожелания к софту будут совсем разные.
Это разделение в софте оно ведь повсюду. Есть упрощённый софт с минимальным порогом входа и простыми возможностями, минимумом настроек. Есть более профессиональные тулы, которые требуют порой многих лет освоения, а есть совсем уж гиковский велосипед где гик конструирует вокруг своих предпочтений целую экосистему. И тут вы вкатываетесь к гикам на трёхколёсном велосипеде со словами: "ваши mountain bikes это каменный век". For what?
Ну и по аккуратнее со всем что касается security. Может показаться что эта тема простая как два пальца, а на деле это бездонный колодец.
Bedal
у меня — много личной конфиденциальной информации, которая никак не относится к веб-страницам. И которую я храню там же, в парольной программе. Может быть, потому у меня и отношение такое.
faiwer
Вы про вот этот менеджер паролей говорите?
Это да :)
BarakAdama
Для связности оставлю пост про него habr.com/ru/company/yandex/blog/344382
dead_undead
Pass — это вообще шелл-скрипт, по-сути, с открытым кодом.Можно проверить что он делает. По сути он просто обёртка для шифровщика gpg, чтобы удобно одной командой зашифровывать\расшифровывать текстовые файлики. Хранилище паролей — обычная папка с этими текстовыми файликами. Плюс прикручена синхронизация через гит.
В этом смысле это просто максимальна простая и понятная утилита, понятно как она работает, и понятно насколько она защищена. Но предполагает ответственность пользователя за безопасность данных в том числе — если вы скомпрометируете свои ключи шифрования, сам себе злой буратина. Короче вопрос сохранности паролей — тут скорее вопрос доверия к самому себе, а не к Яндексу/Мозилле или еще кому-то. В этом смысле просто каждому своё, кому неохота, тот и не заморачивается. А, ну и автор приложения также разработчик wireguard, так что есть к нему кредит доверия как к специалисту по безопасности.
Народ возможно стриггерился на Яндекс.браузер, поскольку хэйтить яндекс приятно и полезно, особенно вспоминая яндекс-бары и прочую дичь, которую приходилось отовсюду ссаными тряпками выносить. Да и сейчас яндекс-браузер во все щели ломится.
Doginov
Хранить пароли в браузере это как онлайн банкинг на смартфоне. Вроде все надёжно, но при потере его имеете большие проблемы и много суеты. Браузер при работе взаимодействует с внешними сайтами с разной степенью защищённости и вредоносности. Вы это не можете контролировать. Программа хранения паролей имеет минимальный периметр взаимодействия с внешними сайтами и соответственно угрозами.
eclipse20
У многих присутствует логика в этом вопросе. Разве пароли бывают только для сайтов? Как насчет паролей, которые предназначены для входа в разные там программы?
Хранение паролей в браузере слишком сильно привязывает вас к одному браузеру. Бывает случаи, когда приходится работать в двух разных браузерах одновременно, например.
Что касается хранения паролей на сервере Яндекс, так тут каждый сам выбирает кому доверять, для кого-то это Яндекс, для кого-то Apple или Google или еще что-то.
Darkhon
Если уж говорить о доверии к браузерам в плане приватности, то разве что Firefox ещё заслуживает какого-то доверия, и то не без вопросов. С KeePassXC я хотя бы не сомневаюсь, что он надёжно шифрует хранилище и не сольёт эти пароли куда-либо. Яндекс-браузер же лично у меня вызывает даже меньше доверия, чем MS Edge.
mrBarabas
Правильно говорите у я.браузера такое же доверие как и к Амиго, подумайте просто на досуге, кто возражает в поддержку браузерного хранения: зачем Яндексу и Майл.ру делать свои браузеры на базе Хромиума? Для того чтобы контролировать потоки трафика, мониторить пользовательские предпочтения и другие факторы, которые многие бы не хотели чтобы распространять среди незнакомых людей. Ну и подумайте почему все так против гугла и хрома в плане приватности. Вспомните недавнюю историю с Яндексом про увольнение админов почты, думаете с паролями у них намного лучше? Вы сами видели как хранятся и передаются ваши пароли? Это конечно не значит, что открытым текстом, но когда вы сами выбираете алгоритм шифрования, пароль шифрования и сами шифруете — это более серьезная причина использовать менеджеры паролей. Кроме того, не забываем про аудиты безопасности и опенсорсность против проприетарных решений. Чтобы потом не удивляться, когда в Хроме пароли (зашифрованные) показывались по ссылке в вашем браузере (довольно долго была такая «фича») любому, кто сел за ваш комп «проверить почту».
Доверяете Яндексу? Молодцы, только не забывайте, что даже у ФБ были гигантские утечки данных, а они обязаны о них уведомлять и за неуведомление им будет Ай-Ай-Ай, а Яндексу за такое же ничего не будет, потому что «любая фраза Пескова». Я не хочу сказать, что Яндекс плохой, просто всегда нужно помнить, что есть человеческий фактор и даже, если кому-то сейчас все равно, что его пароль от его почты для спама куда-то утечёт, то это ещё не значит, что через несколько лет это окажется проблемой.
Tyusha
Где логика? Вы не доверяете злому браузеру хранение паролей, поэтому храните их в другом месте. Потом, чтобы где-то авторизоваться, открываете это надёжное место и вбиваете пароль… в браузере.
Если браузер тырит пароли, как вы подозреваете, то он точно также может их тырить при авторизации.
valsaven
Тут скорее речь про хранение. Одно дело — хранение лично у вас и тут вопрос безопасности ложится на ваши плечи.
Другое — если пароли будут сохранены где-то на серверах компании (про возможность красть во время ввода не говорим, т.к. если машина заражена, что все данные автоматически скомпрометированы), которые неизвестно как защищаются и неизвестно как шифруются (если вообще шифруются).
Первый способ в чём-то даже более секьюрно выглядит хотя бы из-за того, что хакерским группам интереснее ломать компанию, чем какого-то noname-юзера.
A1054
Вот кстати да, это даже не баг, это общая культура.
dead_undead
Для синхронизации Pass использует гит. Когда вы создаете локальное хранилище паролей, сразу создается локальный репозиторий. Можно добавить свой ремоут на своём сервере, можно просто синхронизировать через гитхаб/гитлаб. Приватный ключ хранится не в репе (если специально его туда не положить, ведь хранилище — это просто папка).
Я пользуюсь pass на винде (через WSL, он у меня давно стоит), ubuntu, макоси и iOs.
dead_undead
Поправочка, репа создается дополнительно командой:
Scinolim
Надёжнее 7z архива с паролем пожалуй сейчас всё равно ничего не придумали.
Ivanii
По моему самое время как раз не забить на хранение паролей, сделать аппаратное хранилище + хеш генератор, чтоб компьютер видел пароль 1 раз при регистрации на ресурсе.
Tyusha
А как быть с разными устройствами при аппаратном хранении?
Ivanii
Bluetooth, USB?
Ilusha
Только пароли используются не только в браузере
Fenix957
Да и сделали так что никуда их не вытащить и мигрировать на другой браузер с этими паролями не реально. Перенести в другой менеджер паролей тоже невозможно. Единственное что мне посоветовали в техподдержке копипастом копировать пароли из их менеджера паролей, а когда пароле более 1к то это уже бред. Сейчас в меня сохранено 1173 пароля.
A1054
Вот как-то не уверен, что пора заниматься похоронами. Смотрите:
1. вы не просто используете паролехранилище Я., вы замыкаете себя на этом браузере и др. приложениях. Я. между тем весьма агрессивно собирает на вас досье. «Гони природу в дверь, она влетит в окно».
2. Браузер отличается от специализированных приложений уязвимостью. Это большое и сложное приложение с вечной кучей багов, которое выполняет код с непонятно каких сайтов.
3. Конкретно в паролехранилищах браузеров довольно часто обнаруживают уязвимости. По крайней мере, гораздо чаще, чем в спец. программах.
4. Общая культура безопасности в компаниях, разрабатывающих спец. приложения, выше. А безопасность — это не просто «у нас AES256, все надежно защищено, мамой клянусь». Это куча мелочей. Ну вот, например, сейчас провел тест в хелпе Я.браузера и в lastpass: поискал информацию, сколько раз нужно взять хеш пароля, чтобы получить ключ. В lastpass все нашел быстро — там целый документ, посвященный всяким нюансам защиты. В Я.б по содержанию и поиску не нашел. То, что яндекс считает, что пользователям это не важно, уже симптоматично.
4. Специализированные приложения заметно функциональнее. Хотя это, я согласен, важно не всегда. Часто базового функционала(сгенерировать, запомнить и вставить в форму пароль) достаточно.
5. Не уверен, что я правильно делаю, но в принципе яндексу я верю. Верю, что он добросовестный и тырить пароли просто так не будет (в отличие от всей персональной информации, до которой сможет дотянуться). Но я уверен, что если к нему придут/уже пришли люди в погонах, он не откажет в просьбе вставить, например, в шифрование бекдор. Если вы живете в той же стране, что и люди в погонах, это не очень.
6. И насчет того, нужно ли бояться яндекса, он ведь все равно может своровать пароли из формы, независимо от способа ввода. КМК, бояться все равно нужно: a) вы заходите на все сайты из одного браузера, без выбора. б). На часть сайтов вы вообще никогда не заходите из браузера, на часть — заходите редко. Ловить вас, когда вы зайдете на «интересный» сайт, не очень-то и удобно. в). Да и палево это, прямо из форм воровать пароли. Заметят такой «функционал». Гораздо тише и безопаснее взять всё хранилище и взломать с помощью бекдора или уязвимости. Да и пароли сразу все получите, а не будете из форм собирать в час по чайной ложке.
Как-то так)
shaggyone
Вопрос гибкости Яндекс, Хром да даже нативный Огнелис ну никак не решает. Тут можно доступ к паролям разным людям раздать, насколько хватит фантазии.
westex
Хранить пароли от веб ресурсов в браузере вещь удобная. Для этих целей ничего лучше и не придумаешь. Но вот хранить пароли от виртуалок (RSA-ключ используется тоже), пин коды и номера карточек да и прочих радостей в браузере как-то сомнительно. Как по удобству так и по безопасности.
dead_undead
В принципе не обязательно локальный гит, я держу в приватном на гитлабе.
Некоторые не очень параноящие граждане пишут, что даже и ключи туда можно положить (только если они запаролены, естественно). В крайнем случае будет спален только список ваших акканунтов (точнее, названий которые вы им присвоили в пасс) — но в моем случае это не чувствительная информация.
Хотя недавно был забавный случай. Вижу в списке своих паролей некий «mancentral» и не помню, от чего он. Сую название в гугл — выдает какие-то гей-знакомства. Потом оказалось, что это пароль от ManusсriptCentral — системы отправки научных статей в Radiocarbon.
aragaer
Там внутри этих файлов можно еще что угодно дополнительное писать, в том числе комментарии "что это вообще такое за пароль".
RumataEstora
Экселевские таблицы давно напрашиваются как хранилище паролей. Но зависимость от большой (как части еще большего пакета) и небесплатной программы сдерживает.
kt97679
vim умеет работать с зашифрованными файлами
lxsmkv
Надо переходить на системы не требующие пароли, а не придумывать тысяча первый способ как этими паролями управлять.
Только вот и беспарольные системы тоже небезопасны, временный ключ который выдает тебе сервис можно пререхватить. Причем весьма банальным фишингом. Потому что беспарольные системы расхолаживают.
Ну раз уж мы тут про системы хранения паролей говорим, то я бы лучше воспользовался собственной системой шифрования. Какая-нибудь система сдвигов многомерной матрицы. (Количество комбинаций в кубике Рубика 6x6 — дает 10^116, что уже больше чем 2^256)
Вот только, что делать с программой дешифрации. Ее тоже надо хранить в безопасном, но доступном месте. Значит алгоритм должен быть такой простой, чтобы воссоздать такой скрипт можно было бы по памяти, в случае его утери. Или чтобы программа дешифрации основывалась на каком-нибудь известном алгоритме (не обязательно предназначенном для шифрования).
Раскодировать такое не будет под силу никому. Только социальная инженерия, паяльник или квантовый компьютер.
f1045
переехал пару лет назад с keepass на pass (ну точнее на gopass), доволен
под винду есть ещё удобное к нему github.com/geluk/pass-winmenu
random1st
bitwarden.com — есть такая хранилка с открытым исходным кодом, бери и пользуйся
anonymous
pass + синхронизация устройств через syncthing, сервер которого крутится на копеечном rpi zero. Работает как часы. И никаких зависимостей от сторонних сервисов. И полная уверенность в том что в будущем база паролей останется юзабельной, даже если pass внезапно исчезнет с лица земли — потому что формат хранения это обычный текстовый файл.
chnav
Около 15 лет храню пароли в программе Password Boss (Portable), если надо — беру с собой на флешке. Но для доступа требуется комп с Windows, т.е. для просмотра паролей на смартфоне не годится. Сейчас столкнулся с тем, что невозможно сделать hard-copy базы паролей или экспортировать их в другую программу, которая имела бы Android-версию. Создатели были озабочены безопасностью и функция экспорта просто не предусмотрена. Приходится «жевать кактус»… В принципе всё остальное устраивает, если бы не неудобства с паролями на смартфоне.
Может реализую со временем вариант с удалённым рабочим столом, когда будет свой постоянно включенный сервер. Но тут опять встаёт вопрос безопасности.
valery1707
Вот тут пишут что из
Password Bossможно экспортировать пароли вJSONформате, ну а потом уже не должно составить сложности сконвертировать их формат, который примут другие менеджеры паролей.Хотя возможно там про какой-то другой
Password Bossрассказывают.chnav
Это, видимо, другая программа. Проект от Ammosoft закрыт.
Программа была бесплатна для русскоязычных пользователей.
MaxCage
Сейчас бы доверять сохранению паролей в браузере…
Keepass. Надежен и достаточно прост. Аналогов для себя не нашел.
McGrog
Выглядит довольно мило, но все еще нет.
Пока мало что может сравниться с KeePass и парой его плагинов. Например, что умеют оба:
1. Репликация в файл (для подхода резервирования 3-2-1)
2. Кросс системный UI в виде понятного outliner
3. Подставлять креды в формочки веба.
4. Подставлять ssh key и пароль от него. Pass должен уметь через pipe конвейер, keepass умеет через UI плагин. На unix придется тащить mono, что бы запускать все эти перделки на .net.
5. Хранить любое барахло, приложенное в «дополнение» к записи. Очень абстрактно, чуть детальнее:
5.1 В kee можно бинари/блобы приложить к entity и зашифровать. Вы неявно ограничены только адекватным размером БД для быстрой репликации и скоростью расшифровки.
5.2 в pass (как и линукс) все — файл, содержимое которого можно зашифровать.
Что особого есть только у keepass
1. Простота расшифровки и вообще порога вхождения. Нужно только помнить мастер-фразу что бы расшифровать. Не нужно пыхтеть с key файлами или key серверами или с сохранением [в безопасности] приватного файла. Да это может быть необходимо в каких-нибудь редких случаях работы на режимных объектах, но обыватель не оценит.
2. Шифрование вообще всех данных, не только пароля. Является чувствительным данными, если в менеджере хранить карточки, пины, cvc и прочие штуки которые нужно прятать ото всех обывателю.
3. Авторитет и «медийность». [Практически] все сотрудники ИБ слышали о нем и готовы втащить в периметр, что бы обычные сотрудники пользовались. Многое остальное протаскивается настолько медленно и со скрипом, что грусть-печаль.
4. Возможность сделать [или купить] отдельное хардварное устройство для забивки паролей, которое нестрашно потерять. Я бы понаблюдал за тем, как бы подскакивал человек, у которого утекла флешка с приватным файлом, при попытке реализации задумки на pass.
Было бы не честно, не сделать аналогичный абзац про «умеет только pass», но список у меня скудный.
1. Без mono и .net зависимостей пробрасывать креды/секреты в формочки или ssh агент именно unix окружении.
mikhailian
passхорошо интегрируется через GnuPG c U2F ключами вроде Yubikey.