Расскажу, как я решился переехать на менеджер паролей, и какие шаги для этого предпринял. Если вы всё ещё храните пароли в голове, этот знак свыше для вас.
Выберите менеджер паролей
Есть платные и бесплатные. Облачные и локальные. С синхронизацией и без. Выбирайте на свой вкус.
Долгое время пользовался KeePassX, синхронизируя базу между устройствами с помощью Resilio. В этом году переехал на BitWarden. Знаю друзей, которые пользуются 1Password, LastPass и другими.
Убедитесь, что выбранный менеджер хорошо работает там, где вы им будете пользоваться - на ПК, мобильном и так далее. К примеру, десктопное приложение KeePassX мне очень нравится, но мобильный клиент в использовании не так удобен. У BitWarden, напротив, менее богатый функционал десктопного приложения, но очень удобные плагины в браузер и модуль автозаполнения на Android.
Настройте менеджер паролей
Создайте учётную запись
Установите приложение на смартфон
и включите автозаполнение паролей, если оно там естьДобавьте плагин в браузеры
и войдите в учётную запись в плагине - чтобы сохранять новые пароли и подставлять имеющиесяУстановите десктопное приложение на ПК
при наличии, поможет на следующем этапе.
Вроде бы очевидные шаги, но убедитесь, что вы сделали их. Иначе менеджер паролей сразу покажется неудобной затеей.
Соберите свои пароли
Даже если вы думаете, что не пользуетесь менеджером паролей, у вас наверняка они накопились.
Firefox: about:logins → ... → Export Logins
Chrome: chrome://settings/passwords → Saved Passwords → ... → Export Passwords
Это даст вам один или несколько CSV-файлов с логинами и паролями. Практически все менеджеры без проблем смогут их импортировать в новую базу.
На этом этапе я насобирал порядка 800 сайтов с сохранёнными логинами и паролями. Хороший повод вспомнить, где вы наследили за свою цифровую жизнь.
Импортируйте пароли в выбранный менеджер, а затем навсегда удалите эти CSV-файлы.
Поменяйте пароли на собранных сайтах
Это самый трудозатратный этап, но и самый ценный. На свои 800 сайтов я потратил около двух недель с перерывами на работу и сон. Алгоритм был простой:
Открыть сохранённый URL
Попытаться залогиниться
Восстановить, если не получилось
Решить, сохранять учётку на этом ресурсе или удалить
(старые сайт знакомств; полумёртвые форумы, где ваши сообщения спустя 15 лет тянут на 15 лет колонии-поселения, и так далее)Сменить пароль на рандомный, используя генератор паролей
всякий менеджер паролей это умеет
Конечно, примерно половина сайтов и учётных записей была уже мертва. При этом в процессе чистки я обращал внимание, что нередко использовал одинаковый или очень похожий пароль как на стрёмном форуме, который давно могли взломать, так и на вполне нужном портале. Помогает осознать, что держать в голове надёжные пароли для такого количества сайтов просто невозможно.
Никогда больше не придумывайте пароли сами
С этого дня силой заставляйте себя генерировать пароли сразу в менеджере, и никогда не придумывать даже самые простые пароли для "левых" сайтов самостоятельно. Выработайте привычку не только хранить пароли в менеджере, но и активно пользоваться им.
Как правило, плагин от менеджера паролей будет предлагать генерировать пароли при регистрации. Потратьте несколько минут на изучение, как работает эта функция, чтобы сохранить себе многие часы в будущем.
И, разумеется, никому никогда не рассказывайте мастер-пароль.
Комментарии (87)
eps
30.11.2022 17:00+12Настройте менеджер паролей
- Создайте учётную запись
В первом пункте ошибка. Правильно будет «1. Убедитесь, что для вашего менеджера паролей не нужна учётная запись».
И пропущен ещё один пункт:
X. Настройте резервное копирование базы паролей на принадлежащий вам носитель.
bromzh
30.11.2022 17:041. Убедитесь, что для вашего менеджера паролей не нужна учётная запись
Ну если self-hosted и open source, то можно. Но доверять чужим дядям из 1password или подобным глупо. Особенно в последнее время, когда доступ блочат по географическому признаку.
eps
30.11.2022 17:33self-hosted и open source
плюс требуется входить в учётную запись себе на своём сервере?
Это буквально только BitWarden такой странный. И после создания учётки он попытается отправить письмо (надо серверу ещё SMTP настраивать). BitWarden я в соседнем комментарии не рекомендую, в том числе из-за этих ненужных сложностей
andreymal
30.11.2022 17:39Лично для меня одна из главных фишек bitwarden — возможность безопасным образом поделиться отдельными (не всеми сразу) паролями с другими людьми (например, с семьёй или с коллегами по работе), и для такой задачи возможность регистрации нескольких учёток на одном сервере выглядит логичной. Это основная причина, почему я выбрал именно bitwarden (keepass конечно тоже классный, но не для этой задачи)
А неофициальный сервер vaultwarden позволяет отключить подтверждение почты при регистрации
skozharinov
01.12.2022 01:04+1Если не хочется при любом изменении в базе паролей вручную разносить её обновления по устройствам на флэшке, то какая-то учётная запись в процессе участвовать всё равно будет.
andreymal
01.12.2022 04:27Syncthing не требует учётных записей (ну или разве что Device ID считать за учётную запись)
eps
01.12.2022 09:32Тут все путают «менеджер паролей» и «менеджер паролей с синхронизацией». Статья про «менеджер паролей», и я говорю про него же.
Важно, чтобы менеджер паролей не требовал учётку для создания и хранения базы. Это значит, что база лежит на моём компьютере в виде файла.
Как синхронизировать файлы, мы все знаем с 2008-го года: положить в облачное хранилище вроде Dropbox (или на сетевой диск).
Если база зашифрована надёжным паролем, её можно класть куда угодно — секреты не утекут, даже если утечёт файл
eps
30.11.2022 17:27+7Недавно переехал с 1Password (который с версии 8 стал непригодным с точки зрения ИБ).
Рассматривал варианты:
- Minimalist. Mac OS + iOS, коммерческий, iCloud sync. В целом сойдёт, если Mac + iPhone, даёт отличное заполнение паролей средствами OS, и, если что, есть экспорт.
- BitWarden. Все советуют. Ужасный клиент на Web+JS, но зато под всё. Заполнение паролей через браузерные дополнения с криптографией внутри дополнения. Sync через спец. сервер. Рекомендуемый сервер коммерческий, наполовину платный; свой selfhost-тить оказалось сложно.
- Экосистема KeePass вокруг базы формата kdbx. Много приложений: простой и понятный AuthPass под всё, продвинутый KeePassXC под desktop, отличный StrongBox под Mac / iOS, и т.д. База — файл; можно синхронизировать-бекапить как хочется, вариантов импорта-экспорта тоже полно. Выбрал это, рекомендую. Пока через DropBox sync, но сменить вообще не проблема
bromzh
30.11.2022 18:29Minimalist. Mac OS + iOS, коммерческий, iCloud sync. В целом сойдёт, если Mac + iPhone, даёт отличное заполнение паролей средствами OS, и, если что, есть экспорт.
А зачем он нужен, если есть нативная ключница, которая тоже синхронизируется между твоими устройствами?
eps
30.11.2022 18:49Верно подмечено. Но у встроенной ключницы есть минусы по сравнению с Minimalist:
-
Не умеет OTP(умеет) -
Минимум доп полей
А поля нужны: связанная почта, вопросы восстановления, сертификаты, прочее. Можно часть скидывать в «примечания», но неудобно.
- Плохо с импортом-экспортом
- «Все яйца в одной корзине» — не хочется хранить файл с паролями у тех ребят, которые его могут расшифровать.
- Стандартное решение — значит, очевидная цель для атаки.
Плюсы тоже есть, конечно. Но не про них разговор. И раньше iCloud keychain был ещё хуже, по привычке в него не верю
Aelliari
30.11.2022 18:56TOTP iCloud keychain же уже умеет?
eps
30.11.2022 19:05Да, внезапно нашёл. Далеко спрятано. Нужно создать запись, потом открыть запись, потом ткнуть «Изменить» и там оно будет под непонятным названием «код проверки». «OTP», «TOTP», «одноразовый пароль», «двухфакторная аутентификация» там не написано
-
skozharinov
01.12.2022 01:09свой selfhost-тить оказалось сложно
Vaultwarden настраивается проще некудаAelliari
01.12.2022 16:53В целом и bitwarden не сложное. По крайней мере в докер-контейнерах. Хотя vaultwarden у меня год крутился без контейнера, самостоятельно собранный с гитхаба, периодически обновляясь
Salivaxx
30.11.2022 18:14+5С учетом того как банили в менеджерах паролей - пользователей из РФ. Использовать менеджер онлайн - бред.
Проще всего: Использовать бразуерный только для паролей от фильмотеки и пиратских сайтов + сайты с порнушкой. Но не более. + не кто не отменяет того что там тебя могут забанить.
P.s: 5 банов в гугле
1)Более 10 отзывов к приложениям за 4 минуты
2)Нарушение политики Гугл
3)Бан без причины
4)Фейк аккаунт удален через 4месяца после того как туда не входил
5)Удален за хранение порнушкиwtigga Автор
30.11.2022 18:15+1банили в менеджерах паролей - пользователей из РФ
Совсем мимо меня прошло. Не поделитесь ссылками?
ZlobniyShurik
30.11.2022 18:17+12Голосую за KeePass.
Автономно, удобно, компактно. Одна и та же база в локальной шаре/с флешки нормально открывается что с окошек, что с пингвина. И, да, OpenSource.
wtigga Автор
02.12.2022 08:46Я по тем же причинам пришёл на KeePass, но ушёл, когда настало время учить родню менеджерам пролей. Потому очень много мелких проблем и неудобностей, с которыми ещё готов мириться продвинутый пользователь, и которые доставляют массу неудобств всем остальным.
Периодически нарушалась синхронизация файла
Часто слетала синхронизация плагина с десктопным клиентом
Через раз работало сохранение паролей в мобильном клиенте
и прочие радости кривого UX в open source
Сейчас у меня KeePass работает только в качестве шифрованного контейнера для бэкапа паролей.
ZlobniyShurik
02.12.2022 09:07Мне и проще и сложнее - по любым вопросам с сайтами/паролями родня идёт ко мне. И доступ исключительно из дома. Хочешь работать с мобилы - работай, но из дома! ;)
Так что есть 3 копии базы на разных носителях - файл-шара, как основная; рейд на другой машине, как резерв; флэшка, как оффлайн-резерв.
Соответственно, синхронизация вручную, когда вспомню о её необходимости. Не круто, но в моём случае этого достаточно, так как изменения в базу вносятся, в среднем, раз в месяц-два.
Все семейные явки/логины/пароли в единой базе, которую я монопольно контролирую :)
Не вопрос поискать что-то более сложное и совершенное, но дома пока просто не возникало в этом нужды.
А вот для работы, да, там Keepass маловат будет - хотелось бы доступ по ролям, группам, e.t.c. Но я, к сожалению, не знаю такой автономной софтины (исключительно свой сервер, opensource, лёгкое и компактное), хотя наверняка таковая есть.
anone9466
30.11.2022 19:04+2Keepass.
Docker образ на своем сервере https://hub.docker.com/r/antelle/keeweb (можно и самому собрать, у них в репе есть dockerfile). Доступ через браузер с любого устройства.
Сама база в гугл драйве
Еженедельно копируется в дропбокс через https://www.cloudhq.net/g_suite
skozharinov
01.12.2022 01:13-3Держать свой сервер и хранить базу в гугле и дропбоксе, пусть даже и зашифрованную? Очень странное решение
habramaru
30.11.2022 19:13+1Чтобы перестать боятся, переходите на мнемонику. Есть полностью бесплатное и многофункциональное решение passamaru.com
Проект всё ещё развивается, но уже сейчас превосходит некоторые именитые аналоги. Если вы используете мнемонику, то в таком случае пароли физически нигде не хранятся, а значит и красть нечего. В некоторых случаях можно даже не создавать записей в хранилище и не использовать мастер-пароль.
Суть в том, что каждый раз при использовании пароля вы его восстанавливаете по памяти, делая всего пару кликов. Правда по началу нужно немного привыкнуть, зато потом про старые менеджеры паролей точно забудите.
lorc
30.11.2022 21:10+1Попытался открыть его. Получил ошибку "Your connection was interrupted".
Если я понимаю, идея в том, что я ввожу адрес сайта, мнемонику и оно генерирует мне пароль? Тогда естественный вопрос - что будет когда этот сервис закроется? Или будут проблемы с доступом к нему, как у меня сейчас?
habramaru
30.11.2022 21:42+2Я правильно понял, что у вас сайт не открылся? Из какой страны вы открывали или каким браузером, если не секрет. Я проверю. (я разработчик, если что)
В общем сайт - это подробная инструкция с примерами. А passamaru - это приложение для windows 10/11 и android. Можно скачать в официальных магазинах, всё бесплатно и без ограничений. Из-за текущей ситуации в мире iOS и web-версию запустить пока не представляется возможным (может уже никогда, как знать).
В приложении реализовано куча всяких мнемонических инструментов и на их основе вы сами придумываете своё правило для генерации всех ваших паролей так, как вам удобно. Нужна лишь основа, например: адрес сайта, логин, любое слово, серийный номер диска, имя wi-fi сети или даже один символ или цифра. Можно даже использовать мнемоническую таблицу в программе и нажав всего одну ячейку получить пароль любой сложности и любой длины. Или можно хранить начальную часть пароля в программе, а остальное восстанавливать при необходимости.
Синхронизация в некоторых случаях по сути не нужна, а мастер-пароль (если он вообще нужен) можно также использовать мнемонический без необходимости его запоминать и где-то хранить.
В общем, попробуйте открыть сайт, там всё описано и даже в картинках.
lorc
30.11.2022 23:42Я правильно понял, что у вас сайт не открылся? Из какой страны вы открывали или каким браузером, если не секрет.
Ага. Хром последних версий, из Украины.
В общем, попробуйте открыть сайт, там всё описано и даже в картинках.
Ну собственно уже на этом этапе меня и ждал фейл.
habramaru
01.12.2022 00:17В общем, сайт находится на российском хостинге, потому что другие варианты размещения мне недоступны.
Могу посоветовать разве что использовать https:// в начале адреса, потому что хабр автоматически подставляет http://. Но что-то мне подсказывает, что это пустая трата времени.
Или через vpn сменить страну на любую другую. В моём vpn нет варианта подключиться через Украину, проверить наличие блокировки не могу.
Mayurifag
30.11.2022 19:21+3Завидую всем, кто ещё не использует менеджер паролей: у вас есть выбор. Я вот очень-очень привык к KeepassXC и уже долгое время пользуюсь встроенной фичей сохранения ssh ключа из/в ssh-agent по блокировке-разблокировке базы. Очень удобно, когда между системами переезжаешь и становится гораздо проще генерировать ssh ключ на каждый сервис, если захочешь. С Windows, правда, безпроблемно у меня это не работало, но вот на маке и разных линуксах всё идеально.
Так вот, в Vaultwarden, который я бы хотел у себя захостить и попробовать, этой встроенной фичи нет, а пользоваться обходными путями по типу https://github.com/joaojacome/bitwarden-ssh-agent и https://github.com/omegion/ssh-manager мне не хочется.
s_f1
30.11.2022 19:29+2Плюсуюсь в лагерь тех, кто вычисляет пароли на лету. У меня – это хеш-функция от имени сайта / сервиса. Для всей неважной ерунды (привет, хабр) – пара паролей, которые могу хоть сам назвать ))
И ещё – если менеджер паролей позволяет узнать пароль, получив физический доступ к компьютеру – я бы таким не пользовался.habramaru
30.11.2022 19:58Чуть выше написано про passamaru. Смысл примерно тот же, но более продвинуто и с учётом разных заморочек.
laatoo
01.12.2022 12:49+1хеш-функция от имени сайта / сервиса
Что делать когда домен сервиса пройдет через ряд ребрендингов типа mega.co.nz-> mega.nz -> mega.io, money.yandex.ru -> yoomoney.ru итп? страдать?
s_f1
01.12.2022 22:12Во-первых, URL для меня значения не имеет – если я придумал пароль для сайта «Хабр», то пусть он переезжает хоть куда, покуда он остается Хабром. Во-вторых, если уж кардинальные изменения – пароль можно и поменять – не думаю, что такое случается часто. На моей памяти я так делал пару раз всего.
XanKraegor
30.11.2022 19:39Добрый день! Может кто-то подсказать Standalone-вариант, который можно использовать с синхронизацией через например Dropbox вместе с семьей? Я вижу это так: например, три сейфа: один мой, два других для родителей. Я имею доступ ко всем троим, например знаю пароли всех троих, чтобы подсказать родителям, если что-то потребуется, родители имеют доступ только к своим.
В том же Bitwarden есть кроме семейной подписки и возможность self-host (про это даже отдельная статья на Хабре была), но мне ближе вариант, когда контейнер синхронизируется через Dropbox или что-то похожее, а не постоянно следить за безопасностью и обновлениями еще одного сервера :)
MechanicusJr
30.11.2022 20:51-1волт с выгрузкой по расписанию или мастер слейв. хоть в контейнере хоть как
SunUp
30.11.2022 21:10+1Пользуясь подходящим случаем порекламирую немного open source менеджер паролей не хранящий пароли LessPass с которым как-то случайно довелось столкнуться, может кому-то он и пригодится. Не являюсь экспертом в области ИБ, примененный там подход имеет право на жизнь?
inkelyad
30.11.2022 21:42Вообще говоря, если злодею недоступен мастер-пароль, то и из базы данных паролей он ничего не вытащит. (считаем, что там шифрование этой базы нормально сделано). А если мастер-пароль он добыл -- то он пользуясь тем же приложением те же самые пароли сгенерирует.
grigorra
30.11.2022 21:56Мой вариант в быту:
Для действительно важного (почта, госуслуги, банк и еще парочка) - пароли в голове.
Если у вас важных сервисов 10+ - ну извините :-)
Для всего остального - вводить белиберду и каждый раз сбрасывать, даже не пытаясь запоминать. Сервисы с авторизацией без пароля по коду из смс/ссылке из письма - для меня идеально на этот случай.На работе же пока шифрованные заметки + windows credential manager. Пока не придумал чем заменить.
habramaru
01.12.2022 00:54Уже писал в этой теме про https://passamaru.com Не нужно ничего хранить в голове или в программе. Просто вводите название сервиса, адрес сайта, название банка или вообще что угодно, затем делаете пару кликов (а можно и не делать) и программа вычислит ваш пароль.
А на работе ... зависит от того, что это за работа. Но шифрованные заметки в программе тоже есть.
grigorra
01.12.2022 07:40Мне кажется, или эта приложенька от фаната мортал комбата для фанатов мортал комбата? Замени пароль на "вниз-вперед-удар рукой".
habramaru
01.12.2022 09:45Ну, общий смысл примерно такой, только здесь комбинаций малость побольше будет.
В любом случае это гораздо лучше, чем хранить все пароли в одном менеджере, каким бы крутым он ни был, или пытаться запомнить что-то типа << :A[l$f:,R(AV~^O9G;clO9rQ)7FxR2d6 >>, или писать << password12345>> задом наперёд два раза (второй раз обязательно капслоком).
Ввели, например, адрес сайта и сразу получили сложный пароль. Можно даже ничего дополнительно не нажимать, если лень. А если на работе пароль нужно регулярно менять, то создайте пустую запись в хранилище и используйте дату редактирования этой записи в качестве основы или вместо реального пароля храните несколько случайных символов, типа << X28 >>. Такой пароль можно менять хоть каждый день, при этом его легко запомнить при необходимости.
harimis
01.12.2022 13:21Кстати, весьма хороший пароль. 22 символа. цифру бы ещё добавить и заглавную букву)
wtigga Автор
02.12.2022 08:42Что делать, когда на одном сайте есть несколько учёток?
habramaru
02.12.2022 10:49Храните логины в программе и только логины.
Ситуации у всех разные, но главная идея passamaru никогда и ни в каком виде не хранить пароли. Физически пароли нигде не должны быть записаны. Ни в программе, ни на листочке под клавиатурой, ни где-то ещё. И уж тем более не должно быть автоматической синхронизации через третьих лиц с привязкой к аккаунту.
Общая рекомендация такая. Если возможно, выберете для себя несколько наиболее важных паролей (штук пять, не больше, иначе запутаетесь) и для них не создавайте никаких записей вообще. Запомните только логины или что вам удобно. Для всех остальных паролей храните только вспомогательную информацию, например те же логины или несколько случайных символов. Если у вас десятки не связанных общей логикой паролей, то в голове всё держать не получится, придётся что-то хранить. Главное, не храните сами пароли.
Реальный пример из жизни. У меня, как и у многих, есть домашняя сеть wi-fi. Она защищена максимально сложным и максимально длинным паролем. При этом сам пароль нигде не хранится. Буквально его нигде нет. Нет даже записи в программе. И я не помню его наизусть и даже не пытался запомнить. Всё, что мне нужно для вычисления пароля, это знать имя сети и дополнительно сделать пару кликов. Всё. Если сменить имя сети, то изменится и пароль.
Ещё реальный пример. Шифруем несколько жёстких дисков максимально сложными паролями, используя для этого несколько первых символов серийного номера устройства. Все пароли разные и ни один пароль нигде не хранится. И опять же, нет записей в программе.
Для начинающих пользователей самое сложное в программе, это придумать свою собственную модель поведения. Ещё раз повторюсь, что ситуации у всех разные.
askv
02.12.2022 13:27+2Не знаю, как тут картинки вставить:
https://xkcd.com/538/
https://xkcd.ru/538/habramaru
02.12.2022 13:48+1Как и было сказано, ситуации бывают разные. От аналогового криптоанализа мало что поможет, разве что жить вне досягаемости с телохранителем.
Мнемоника хороша тем, что даже получив доступ к устройству и хранилищу паролей, самих паролей там найти не получится. И как раз это решает большую часть проблем.
inkelyad
02.12.2022 14:07+1Получить доступ к устройству == получить доступ к тому, что в него вводилось. Поэтому злодей точно так же успешно, как хозяин, все эти пароли сгенерирует, пользуясь собранной информацией о нажатиях. А если информации о нажатиях нет (т.е. нет мастер-пароля) - то и просто из криптоконтейнера ничего не вытащишь. Поэтому мне не очень понятно, против какой угрозы мы защищаемся, отказываясь от хранения.
habramaru
02.12.2022 14:47Это если речь идёт о трояне, который отслеживает все ваши действия. А если просто кого-то посадить за мой рабочий компьютер, то он вряд ли сможет получить доступ к моей почте.
В обычном менеджере паролей у вас только мастер-пароль, который открывает доступ ко всему. В passamaru несколько степеней защиты: пин-код, мастер-ключ (он как раз может помочь при отслеживании нажатий, это одно из его предназначений), последовательность действий, начальное значение (которое не обязательно должно быть очевидным, типа адреса сайта) и мастер-пароль (который скрывает начальные значения).
При этом нет необходимости обязательной синхронизации, что является узким местом. Если помните начальное значение, то на любом устройстве сможете восстановить пароль. Само собой, пользоваться нужно доверенными устройствами.
inkelyad
02.12.2022 14:55Все равно не понял. Чем, собственно, пин+последовательность действий+мастер-ключ+все остальное отличается просто от одного мастер ключа? Мне так кажется - ничем. Просто некоторые символы этого мастер-ключа вводятся таким вот нестандартным способом.
Можно готовый сценарий, где видно, как 'кто-то севший за рабочий комп' смог воспользоваться паролями из криптоконтейнера, но не смог - сгерерированными паролями?
Единственное, с чем можно согласится - это что синхронизация не нужна. Да и то, оно обладает сомнительной полезностью, поскольку всякую побочную информацию, связанную с учеткой -- все равно синхронизировать надо.
habramaru
02.12.2022 15:55(сначала писал один комментарий, потом решил написать другой, в итоге совместил)
-------------------
Допустим, ваше хранилище паролей взломали, не важно как. Все ваши пароли оказались у взломщика.
Допустим взломали хранилище паролей passamaru. И ... ничего страшного. Я вообще мастер-пароль не использую.
-------------------
Вы можете договориться в семье и использовать какой-то семейный алгоритм поведения для генерации семейных паролей. Не нужно пересылать пароли туда-сюда или хранить их на дверце холодильника, вместо этого можно сказать, теперь используем ячейку 51 или я поменял имя домашней сети. А дальше вся семья знает, что делать.
-------------------
Допустим вы используете пароль типа: bR;|PQ/?&lan|:Wl<V$afv2{\dybYeXiog"afNBme!bP!\L|AihU*~B!wBvc&a[W
В обычном менеджере паролей он хранится с использованием супер стойкого шифрования с супер надёжным ключом, а в passamaru он не хранится.
-------------------
Мастер-пароль один и его нужно или помнить или где-то хранить. Помимо этого его нужно каждый раз вводить, что иногда бывает бесит. Кто-то может запомнить сложный мастер-пароль, а кто-то нет. Из-за чего многие используют слово пароль в качестве пароля.
В passamaru несколько простых неизвестных, которые проще запомнить и проще ввести. Не нужно придумывать сложных комбинаций, даже не обязательно использовать пин-код или что-то ещё. Хотите ввести мастер-пароль, просто нажмите три раза ячеку с номером 17 и всё. Не хотите, вообще не используйте мастер-пароль, так тоже можно.
Программа может генерировать сложные пароли нажатием всего одной кнопки. Опять же привет тем, кто использует слово пароль в качестве пароля на всех сайтах.
inkelyad
02.12.2022 16:37Допустим, ваше хранилище паролей взломали, не важно как. Все ваши пароли оказались у взломщика.
Не пойдет. Вопрос формулировался именно про то, против какого способа взлома мы защищаемся. Потому что если 'неважно как' - то троян, записавший весь ввод и передавший информацию о том, что этим способом генерации пользуются -- это тоже 'все ваши пароли оказались у взломщика'.
Из-за чего многие используют слово пароль в качестве пароля.
Хотите ввести мастер-пароль, просто нажмите три раза ячеку с номером 17 и всё.
И чем второе отличается от первого? Кроме того, парольный менеджер с базой точно так же генерирует сложные пароли нажатием одной кнопки. - с точки зрения использования есть только одно лишнее действие в самом начале - создать запись в нем, что 'у меня такая-то учетка есть'.
habramaru
02.12.2022 19:20Вы делаете упор на то, что в системе обязательно сидит троян и всё кому-то сливает. В таком случае не поможет ничего. Это проблема конкретного пользователя, который использует заражённую систему. Здесь нечего обсуждать, всё и так понятно.
Я же вам говорю о том, что взлом хранилища, в котором нет паролей не имеет практического смысла.
Допустим вы стали целью (ну, не вы конкретно, а кто-то там). Ваш архив скачали из облака и взломали, потратив какое-то количество времени и ресурсов. Все пароли из этого архива стали доступны злоумышленникам.
Проделав тоже самое с архивом passamaru (кстати там используется сразу два алгоритма шифрования с двумя ключами), злоумышленники не получат паролей, потому что их там нет. Даже не обязательно с архивом. Я уже приводил пример с моим рабочим компьютером. Вот кто-то сел за мой разблокированный компьютер и запустил passamaru (мастер-пароля там нет). Всё, что он там увидит, это логины, ссылки на сайты, некоторое количество комментариев и ни одного пароля. Что с этим делать? Для постороннего эта информация бесполезна. Программа не хранит пин-код или последовательность действий. Более того, для некоторых паролей я вообще не создавал записей. В хранилище нет информации о некоторых почтовых ящиках, кое-каких аккаунтах на кое-каких сайтах и зашифрованных дисках.
Просто представьте себя на месте злоумышленника. Вот вы потратили время на взлом архива, а там нет ни одного пароля. Что вам это даст?
inkelyad
02.12.2022 19:32+1Ваш архив скачали из облака и взломали, потратив какое-то количество времени и ресурсов.
Т.е. защищаемся от кривого шифрования?
Вот кто-то сел за мой разблокированный компьютер и запустил passamaru (мастер-пароля там нет).
Кто-то запустил KeePass и точно так же ничего не увидел.
Просто представьте себя на месте злоумышленника. Вот вы потратили время на взлом архива, а там нет ни одного пароля. Что вам это даст?
На месте злоумышленника я сразу исхожу из того, что контейнер не ломается (ну ладно, самые очевидные пароли/их отсудствия можно попробовать на случай того, что пользователю совсем пофиг)
А с вашей программой: "Ага, перебираем небольшое количество пин-кодов и такое же небольшое количество вариантов действий для таких-то сайтов и популярных сайтов и их сокращений"
Для дисков: "Как там объяснялось? Серийники плюс короткие какие-то короткие добавки к ним? И это в brute-forcer добавим".
habramaru
02.12.2022 19:50Я вас огорчу. Ломается любая защита. Вопрос лишь в наличии ресурсов и необходимости.
По поводу перебора. Вы не учитываете в расчётах мастер-ключ. Он очень сильно усложняет задачу.
Получается << пин-код + мастер-ключ + последовательность действий + начальное значение >> дохрелион комбинаций.
Я повторюсь, в этой программе всё зависит от пользователя, степень защиты настраивается под конкретные требования.
habramaru
02.12.2022 16:02Допустим у вас есть пожилой родственник, которому трудно вводить сложный мастер-пароль. В passamaru ему достаточно нажать всего на одну кнопку, чтобы сгенерировать пароль и ещё одну кнопку, чтобы скопировать созданный пароль. Не нужны ни пин-код, ни мастер-пароль, ни сложная последовательность действий.
inkelyad
02.12.2022 16:40С практической точки зрения не отличается от того, что я создам в традиционном менеджере базу без пароля. Он будет ругаться, но дальнейшее что с точки зрения использования (ткнуть в запись и скопировать когда-то сгенерированный пароль), что с точки зрения безопасности (никак не защищено от похищения) -- все то же самое.
habramaru
02.12.2022 19:31Отличается тем, что в обычном менеджере паролей вы обязательно должны создать запись и сохранить в ней логин с паролем, а в passamaru как хотите, так и поступайте. Запись создавать не обязательно.
Взлом фактически превращается в обычный перебор всех возможных комбинаций. А если у вас сотня паролей, то и подобрать перебором нужно сотню паролей. Сравните с подбором одного мастер-пароля.
Тут нужно пояснить, что всё зависит от пользователя. Чем хитрее действует пользователь, тем сложнее будет подобрать пароль. В этом фишка passamaru, она не заставляет вас делать то, что вы делать не хотите и не будет ругаться, если вы не задали мастер-пароль или ещё что-то.
2FED
30.11.2022 22:54+1Странно, что до сих пор ни разу нигде не встречал упоминания такого менеджера паролей, как Enpass. На мой взгляд он вобрал все лучшее из keepass (селф хостед, с поддержкой нескольких баз паролей и возможностью настройки синхронизации кучей способов) и облачных менеджеров паролей (плагины для браузеров, приложения для мобильных, плагины для мобильных браузеров, поддержкой OTP, разблокировки базы биометрией и прочих удобных удобностей).
И ценовая политика у него очень лояльная, и удобство пользования на высоте, и данные хранятся на вашей стороне, а не у какого-то дяди. Но, видимо ребята не умеют в маркетинг, поэтому продукт особо нигде не светится.
yroman
01.12.2022 00:26+1В свое время посматривал на него, пока сидел на 1Password. После того, как ребята из 1Password перестали продлевать подписку жителям РФ, попрощался с ними и перешёл на KeepassXC/StrongBox. В Enpass поднапрягло отсутствие аудита безопасности (я не нашел нигде об этом упоминание) и индийская команда разработки, так что переезжать к ним не стал.
GuessWh0
01.12.2022 07:55Macpass (кейпас для мака)
Соль в голове
Ключ в одном облаке
-
База в другом облаке
Жду когда они прикрутят авторизацию в базу по отпечатку и будет вообще удобно
mordoorg
01.12.2022 07:55Пользовался и пользуюсь Lockwise от Firefox. Обидно конечно, что его решили перенести полностью в браузер, при этом прекратив поддерживать отдельное приложение. Не знаю, что мешало FF вмонтировать просто в браузер Lockwise, при этом оставив приложения рабочим.
PNAGAEV
01.12.2022 10:05Я как-то съездил на курсы CEH и три дня сидел с выпавшей челюстью, после этого вернулся домой и все свои пароли сделал уникальными. У меня порядка 500 паролей, и хранить их в голове не получится. Я тогда посмотрел и выбрал для себя LastPass, года три или четыре платил и всё меня устраивало. В этом году, если честно, не охота искать вариант с оплатой, посмотрел Kaspersky Password Manager, за 900р в год вполне приличный продукт и импорт есть из CSV. Поэтому я просто "импортозаместился" :-)
citius
01.12.2022 17:10+1Главное чтобы товарищу майору ваши пароли не понадобились, потому что они теперь ему доступны.
bromzh
02.12.2022 12:09после этого вернулся домой и все свои пароли сделал уникальными
Но какой в этом смысл, если вы отдали их сторонним дядям сами?
Komandir_Bublik
02.12.2022 09:02-1Я пользовался платным Dashlane около полугода. Иногда неправильно что-то обрабатывает, то пароль, то логин. Решил сменить везде на один большой и хороший пароль. Больше не пользуюсь менеджером паролей, тем более тот же LastPass уже 2 раз взламывают.
habramaru
02.12.2022 11:15Откройте для себя мир мнемоники, как https://passamaru.com. Сможете везде использовать максимально сложные и самое главное разные пароли. К тому же, это бесплатно.
stan_volodarsky
... сложить все яйца в одну корзину? Я не понял зачем.
bromzh
Они в любом случае в одной корзине. Сохраняете пароли в браузере? Утечёт пароль от учётки, пароли раскроются. Сохраняете пароли в менеджере паролей? Утечёт мастер-пароль, пароли раскроются. Используете одинаковые пароли на разных сайтах? Утечёт пароль с одного сайта, пароли раскроются.
Единственный способ хранить всё не в одной корзине - держать в голове уникальный и достаточно длинный пароль для каждого сайта, и менять эти пароли периодически.
edogs
С точки зрения корзины всё еще хуже - подавляющее большинство сайтов восстанавливает пароль на почтовый ящик. Ушел он - ушло всё. Даже если держишь в голове уникальные пароли для сайтов.
Двухфакторная утентификация? Автоматически решает вопрос одной корзины и ряд других проблем, но на многих сайтах имплементирована криво и может обходиться.
Используем генератор паролей на базе "мыло сайт соль". Соль в голове, переодически меняем. В критичных местах двухфакторка. И запоминать не сложно и в случае утери доступа к хранилкам паролей/ноуту в следствии утери допустим - восстановить не проблема.
aborouhin
А ещё и попробуй реализуй 2FA для self-hosted почты, которую надо забирать по IMAP, например... Тут помогает IMAP-сервер сделать доступным только через VPN, а в VPN уже пускать с 2FA, но решение неидеально (VPN на мобильных устройствах по разным причинам пользователи могут захотеть временно отключать, а почта должна приходить мгновенно 24х7).
eps
От какой учётки? Браузеры в основном сохраняют в (или шифруют через) OS keychain, из которой вытащить что-то довольно сложно, тем более удалённо. Надо локальный доступ к машине. А если у зловреда он есть, о какой-то безопасности вообще сложно говорить.
База паролей — файл. Надо, чтобы злоумышенник получил файл и мастер-пароль. Если их не хранить в одном месте, это минимум две корзины. Если прошляпить обе, конечно, тогда всё плохо.
А вот это да. Добавлю: он точно утечёт. Слишком часто утекают
K0styan
А как они тогда кросс-платформенно синхронизируют базы?
*под учёткой выше, я так понимаю, подразумевалась учётка производителся браузера
bromzh
Учётка пользователя. Ну вообще я веду к тому, что по факту везде есть узкое место. Сам пользуюсь keepass + синхронизация через дропбокс + клиенты на устройствах. Для меня самый приемлемый вариант. Единственное узкое место - надёжность мастер-пароля.
unwrecker
А как же вариант генерации индивидуальных паролей для сайтов алгоритмом, хранящимся в голове? Я пользуюсь именно этим методом. Да, имея 2 взломанных учётки с разных сайтов можно алгоритм разгадать, но алгоритмов у меня тоже несколько.
bak
Пользовался какое-то время - не удобно.
1) Не всегда очевидно от какого доменного имени генерировать. Бывает что сайты меняют доменное имя, пароли бывают не только от сайтов, ну и тд.
2) Нельзя сменить пароль если по каким то причинам старый не устраивает.
3) Иногда пароли не подходят по каким-то критериям
4) Это тупо не удобно - у меня алгоритм средней сложности и в уме быстро не посчитаешь, каждый тратишь время чтоб сгенерировать.
По итогу пересел на менеджер паролей.
habramaru
Попробуйте использовать https://passamaru.com . Это отличный инструмент для генерации мнемонических паролей по алгоритмам. Все сложные вычисления программа сделает за вас, вам нужно сделать лишь пару кликов.
Придумайте свой алгоритм и используйте его для всех паролей. Всё, что можете запомнить, держите в голове. Всё, что не можете запомнить (или что часто меняется), храните в программе. Главное, что сами пароли нигде не хранятся, но их можно легко восстановить по памяти за несколько секунд.
Общий принцип такой: вводите основу будущего пароля (адрес сайта, серийный номер зашифрованного диска, дату рождения, кличку животного, да что угодно, хоть одну цифру), затем делаете пару кликов и всё, пароль готов. Можно и параметры задать: длину и набор символов.
ReinRaus
Последние пару месяцев потихоньку переезжаю на такие пароли: один сложный пароль удовлетворяющий большинству нелепых требований длиной 12 символов, а сзади к нему дописываю google, habr и тп. Если какой-нибудь из взломанных сайтов не будет хранить пароли в открытом виде, то утечка на одном сайте не приведёт к взлому учётных записей с других сайтов.
skozharinov
Пароль может утечь не только из базы сервиса, где он хранился в открытом виде.
andreymal
Хэш моего сверхсложного пароля однажды успешно вскрыли на ныне мёртвом сайте hashes.org (откуда туда попал хэш и какой конкретно алгоритм хэширования использовался — к сожалению, до сих пор не знаю)
Если алгоритм составления пароля слишком очевидный, то достаточно вскрыть один такой хэш, чтобы получить доступ ко всем сайтам сразу
wtigga Автор
Что вы делаете, когда у вас несколько учётных записей на одном сервисе?
Как вы запоминаете, какой логин или имейл использовался?
Что вы делаете, когда сервис (особенно корпоративный) требует менять пароль каждые 3 месяца?
Что делать, если один из сайтов имеет ограничение, например, 12 символов для пароля (причём про ограничение известно только в момент регистрации)?
...
Я тоже когда-то использовал систему, подобную вашей. И через пару лет понял, что после определённого порога в ней накапливается столько исключений, что она перестаёт работать.
regint
Попробуйте enpass, пожизненная лицензия достаточно дешева, можно активировать свою лицензию на нксколько своих устройств, судя по всему без органичений.
Поддерживает все браузеры, без затыков как у дорогушего 1password, который рассказывает что Яндекс.Браузер они не считают безопасным и можно пользоваться только с "костылями некоторыми"
Возможность локальной синхронизации, а также возможность синхронизации с личным облачным хранилищем, нет привязки к облаку ПО.
Есть клиенты под "все" операционные системы.
Может в чем то он и уступает 1password, dashlane, но плюсы все это переурывают.