С каждым годом хакеры становятся всё изощреннее в методах отъёма честно нажитого у пользователей интернета. Поэтому нужно всегда быть начеку и заботиться о защите своих персональных данных. Инструменты для этого известны: надёжное шифрование и защищённый парольный менеджер, внутри которого хранятся секреты, а пароль доступа знаете только вы (плюс дополнительная аппаратная защита через 2FA).

Посмотрим, что нового появилось в этой области за последнее время. А посмотреть есть на что.

Примечание. Мы не будем упоминать менеджер паролей Chrome из-за нескольких серьёзных недостатков, которые не позволяют назвать его полноценным парольным менеджером.



Во-первых, он работает только в браузере, а хранилище привязано к аккаунту Google. В случае потери доступа к аккаунту — например, пользователя заблокируют за нарушение условий YouTube или Gmail — он потеряет доступ ко всем сохранённым паролям. Во-вторых, в нём отсутствует ряд важных функций, в том числе 2FА, зашифрованное хранилище, отдельное приложение и др. В-третьих, Google Password Manager работает внутри экосистемы Google, которая заточена на трекинг пользователей со сбором персональных данных для продажи рекламодателям. В-четвёртых, исходный код Google Password Manager закрыт, так что насчёт его надёжности остаётся лишь доверять заверениям Google.

▍ Проблемы LastPass


В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.

Напомним, что в декабре 2022 года LastPass сообщил о взломе, в результате которого хакеры похитили хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 млн пользователей. В марте 2023-го опубликованы результаты расследования со всеми подробностями инцидента (точнее, двух инцидентов).

Эхо того взлома аукается до сих пор. Каждый раз, когда вы узнаёте в новостях о краже у какого-то пользователя крипты на шестизначные суммы — это может быть несчастный пользователь LastPass, до учётных данных которого наконец-то добрались злоумышленники. Все базы давно ходят на чёрном рынке, а брутфорс хэшей идёт полным ходом.

Например, разработчики известного криптокошелька MetaMask выявили набор улик, которые связывают недавние кражи из кошельков MetaMask именно с прошлогодней утечкой LastPass. Судя по всему, воры добрались до зашифрованных контейнеров. Жертвами последних краж стали более 150 человек, в общей сложности у этих людей похищено криптовалюты на сумму более $35 млн:


Движение украденной крипты от жертв, которые использовали LastPass для хранения seed-фразы для кошелька, источник

Представители MetaMask говорят, что сам профиль жертв не характерен для таких краж. Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков. Никто из них не сообщил о взломе почты или телефона, что обычно предшествует краже крипты на большие суммы.

Среди этих полутора сотен жертв — сотрудники авторитетных криптоорганизаций, венчурные капиталисты, профессиональные программисты-разработчики протоколов DeFi и смарт-контрактов, девопсы, которые запускали полноценные узлы в распределённой сети, и др.

Наблюдая за всеми этими кражами в течение года, сейчас исследователи пришли к выводу, что почти всех жертв объединяет одно: они использовали LastPass для хранения seed-фразы.

▍ Опенсорс. Bitwarden Secrets Manager


Чтобы минимизировать вероятность критических багов (и утечки паролей), желательно использовать опенсорсные программы, исходный код которых проверен сообществом и прошёл аудит.

Из опенсорсных парольных менеджеров четыре самых известных:


Особенно популярен первый из них, BitWarden, c большой аудиторией преданных пользователей.

Как раз Bitwarden недавно выпустил новый опенсорсный инструмент Secrets Manager, менеджер секретов. В реальности это центральное зашифрованное хранилище со сквозным шифрованием, которым пользуется некая группа, компания или организация. В идеале — отдел разработки, девопсы и IT.

Вкратце алгоритм работы программы показан на видео:

Менеджер секретов — это безопасная альтернатива другим методам обмена секретной информацией в команде разработчиков. Например, некоторые предпочитают для простоты включить секретный ключ API непосредственно в код программы (в тестовый релиз) или обмениваться файлами .env по электронной почте.

Обычно к секретной информации в группе разработке относится следующее:

  • ключи API;
  • сертификаты аутентификации пользователей;
  • пароли к базам данных;
  • сертификаты SSL и TLS;
  • закрытые ключи шифрования;
  • ключи SSH;
  • и т. д.

В интернете почти каждый день сообщают об утечке подобной информации в результате кибератак или простой безалаберности на каком-то этапе разработки. Год назад исследователи Synantec обнаружили валидные токены для доступа к AWS в 75% приложений iOS и Android.

Проблема настолько распространённая, что на GitHub даже запустил систему оповещения владельцев репозиториев о неправильных конфигурациях, приводящих к раскрытию секретов.



В свою очередь, независимые исследователи выпустили опенсорсные инструменты для поиска секретов в открытых бакетах AWS S3, например, утилиту S3cret Scanner.

Secrets Manager от Bitwarden призван решить эту проблему. Это удобный способ генерации, обмена и деплоя секретов в командах разработчиков, а также назначения гранулярных прав доступа для отдельных пользователей и групп. Исходный код программы открыт. Бесплатная версия поддерживает неограниченное количество секретов, двух пользователей, три проекта и три учётные записи служб. На данный момент Bitwarden Secrets Manager поддерживает интеграцию с GitHub Actions, но в будущем обещают интеграцию с Kubernetes, Terraform и Ansible.

Однако есть «интересный» момент: с недавних пор в библиотеку sweetalert2, которая используется в веб-версии Bitwarden, был добавлен скрипт, автоматически проигрывающий гимн Украины и блокирующий навигацию при определённых условиях (например, если в браузере установлен русский язык или локацией пользователя является Россия/Беларусь). Создатели Bitwarden обещают, что удалят эту зависимость в сентябрьском релизе (подробности можно почитать здесь), но сам факт внедрения подобных скриптов несколько настораживает.

Proton Pass


Из других новостей в этой индустрии нужно отметить появление нового бесплатного парольного менеджера Proton Pass (beta) от известной компании Proton AG, которая разрабатывает сервис электронной почты и другие популярные продукты для безопасности.



Proton Pass обеспечивает сквозное шифрование (E2E) не только для паролей, но и для другой чувствительной информации, которую вы вводите в поля браузера на сайтах: имя пользователя, почтовый адрес и т. д. Это действительно важно. Другие менеджеры оставляют в открытом виде некоторые поля с метаданными, в том числе URL'ы сайтов, а по этой информации можно составить очень подробный профиль человека и фактически деанонимизировать его.

Proton Pass использует алгоритм хэширования паролей bcrypt (а не PBKDF2, как LastPass — после утечки их базы стало ясно, что такие хэши относительно легко сбрутить: по оценке разработчика 1Password, брутфорс 2³² хэшей PBKDF2-H256 на GPU стоит примерно $6). Для аутентификации в Proton применяется защищённая реализация протокола Secure Remote Password (SRP).

Недавно Proton Pass прошёл аудит Cure53. Есть встроенный аутентификатор 2FA и утилита для импорта паролей из других менеджеров.

Proton Pass работает по стандартному алгоритму: при регистрации на новом сайте генерирует уникальный сильный пароль и сохраняет его в зашифрованном хранилище. Но кроме пароля он также предлагает сгенерировать уникальный email для этого сайта. Это дополнительная мера защиты приватности (скрытия личности) при регистрации.


Схема скрытия личности через одноразовый email в Proton Pass

Не секрет, что многие сайты сейчас зарабатывают на трекинге пользователей, составляя досье и продавая эту информацию сторонним покупателям, в том числе рекламным агентствам. Даже Google не стесняется отслеживать поведение пользователей Chrome — и передавать эту информацию рекламодателям со списком уникальных ключевых слов для каждого человека (по результатам анализа сайтов, которые он открывал в браузере).

Если везде регистрироваться под одним и тем же адресом электронной почты, то профилирование выполняется автоматически. Вот почему Proton предлагает рандомизировать адреса. С рандомными адресами в случае утечки информации с этого сайта злоумышленник не получает ничего, кроме одноразового email'а. Настоящий адрес останется в безопасности, туда не придёт спам и фишинговые письма.

Бесплатная версия включает неограниченное количество логинов и заметок, неограниченное количество устройств и десять псевдонимов, скрытых за специально созданными адресами электронной почты. Платная версия за €3,99 в месяц работает без ограничений.

Proton Pass совместим со всеми популярными браузерами: Chrome, Firefox, Edge, Brave на десктопе и iOS/Android. Поддержки Safari пока нет.

Подводя итог, проприетарным парольным менеджерам не стоит доверять безоговорочно. Утечки данных того же LastPass стали уже постоянным явлением. А сейчас ещё и 1Password отличился, в течение года используя неправильный формат даты, не совпадающий с локалью пользователя. В опенсорсе таких багов не бывает, если код прошёл независимый аудит и всестороннюю проверку.

Telegram-канал с розыгрышами призов, новостями IT и постами о ретроиграх ????️

Комментарии (76)


  1. Nurked
    13.09.2023 14:06
    +55

    Вообще не понимаю, почему люди просто игнорируют KeePassXC? Вот тут его просто вскользь упомянули.

    Берём KeePassXC, ставим вместе с SyncThing и радуемся жизни. У меня не было проблем с тем, чтобы синхронизировать базы между разношёрстными устройствами. Два ноутбука на Linux, один на Windows и телефон на Andorid. База синхронизируется по P2P протоколу. Ни на какие сайты её заливать не надо. Можно шарить через шару. Можно попробовать onion.

    В базе есть OTP, так что не надо отчитываться дяде Гуглу о том, какие у вас есть OTP. И бесконечное количество замечательных рюшечек, которые можно спокойно себе игнорировать.

    Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux. Более того, есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь. Но при этом, программа пять раз спросит, прежде чем выдавать ваши пароли кому попало.

    У вас обзор какой-то странный вышел. Вы рассказали про четыре альтернативы, а тему по ним раскрыли только по одной.


    1. atrost
      13.09.2023 14:06
      -13

      Вообще не понимаю, почему люди просто игнорируют KeePassXC?

      Вещь хорошая, но не для всех. Неоднократно пользователи теряли сертификат и на этом всё :) По СМС не восстановить.


      1. mm3
        13.09.2023 14:06
        +15

        По СМС не восстановить.

        Там где доступ можно восстановить только по СМС, пароль как первый фактор авторизации становится не нужен и безопасность определяется только четырьмя цифрами передающимися по открытому каналу.


        1. atrost
          13.09.2023 14:06
          +3

          Там где доступ можно восстановить только по СМС

          Я про это и написал, что данное решение подходит не всем. Большинство, будет использовать стоковое решение из браузера или ОС, восстанавливая доступ периодически по СМС :)

          добавлю /s

          а то минусов опять насуют


      1. SanSYS
        13.09.2023 14:06

        В тех же битварден и 1пасс тоже не восстановить (в персональной редакции), ибо пасс юзается как часть ключа для шифрования, так что его тоже не следует терять (и секрет с сервера тоже, который придумываете не вы)

        поправьте, если ошибаюсь:

        https://support.1password.com/forgot-account-password/

        в битвардене с виду также https://bitwarden.com/help/forgot-master-password/

        было бы странно иначе

        почему люди просто игнорируют KeePassXC?

        потому что у платных решений – хорошая платная маркетинговая кампания, их имена на слуху/в топе поисковой выдачи

        Вероятно авторы статей плотненько с подобным и не поработали


    1. xakep666
      13.09.2023 14:06
      +1

      Более того, он умеет добавлять ключи в ssh-агент, а при блокировке базы удалять. Что, по моему мнению, тоже повышает безопасность, так как с диска его уже не прочитать.


    1. seepeeyou
      13.09.2023 14:06

      У их форка вроде до сих пор внешнего аудита безопасности не было.


    1. b00
      13.09.2023 14:06
      +1

      >Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.

      Не можете какую-то готовую инструкцию порекомендовать на эту тему?

      KepassXC + Syncthing давно использую на разных устройствах, в Linux и ssh ключи из него в агент автоматом добавляются. А вот как системный менеджер секретов - было бы интересно попробовать.


      1. Nurked
        13.09.2023 14:06
        +2

        Посмотрю, напишу.


    1. geher
      13.09.2023 14:06

      KeePassXC

      телефон на Andorid

      А оно разве под андроид есть (именно XC)?

      А если нет, то какой андроидный клиент лучше?


      1. Nurked
        13.09.2023 14:06

        Ой. Извините. Пользую Keepass2Android. У него хорошо с синхронизацией парольных фаилов.


        1. Fealune
          13.09.2023 14:06

          У меня из него когда-то на спор вытащили все пароли, правда при условии наличия физического доступа к девайсу и без сопоставления логин-пароль-url. Как - не признались) но по идее если бы тупо сбрутфорсили мастер пароль, то получили бы и логины и urlы


      1. snx
        13.09.2023 14:06
        +5

        Попробуйте KeePassDX


        1. hogstaberg
          13.09.2023 14:06
          +1

          А вот он как раз не умеет автоматически перечитывать измененные другим приложением (читай syncthing) файлы. Приходится каждый раз руками тыкать.


    1. 13werwolf13
      13.09.2023 14:06

      Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.

      использовать базу своего kdbx в качестве kwallet базы - мечта. но не осуществимая..

      ИЛИ НЕТ? может я просто отстал от жизни?? что означает ваше сообщение выше?


      1. RTFM13
        13.09.2023 14:06

        Есть вкладка "Settings - Secret Service Integration". Это не оно?

        У меня она задизейблена "Another secret service is running (PID: 1234, Executable: /usr/bin/kwalletd5). Please stop/remove it before re-enabling the Secret Service Integration....", на основной оси не хочу проверять, а виртуалки нет в данный момент под рукой.


        1. 13werwolf13
          13.09.2023 14:06

          ну это всё же немного не то:
          1) это одностаронняя связь
          2) это попытка заменить а не интегрироватьс


    1. B7W
      13.09.2023 14:06

      На всякий случай оставлю тут ссылку на https://keeweb.info/


      1. pokatomnik
        13.09.2023 14:06

        Оно сейчас скорее мертво чем живо, активно ищется мейнтейнер. Ну и в README сказано что реализованы базовые вещи.
        https://github.com/keeweb/keeweb/issues/2022


    1. it1804
      13.09.2023 14:06

      Не обязательно KeePassXC, он мне показался жутко неудобным, хотя может UI и улучшили, конечно со старых времён, когда хотел смигрировать. Пользуюсь 10+ лет оригинальным KeePass, Linux+изредка Windows параллельно. Конечно с синхронизацией вот тут не сильно удобно, KeePassXC в этом плане намного лучше. Собственно по этой причине и хотел перейти на него несколько лет назад.


    1. volk0ff
      13.09.2023 14:06

      Пользуюсь keepass2 (портабл версия, которую даже не обновляю). Сейчас узнал о существовании keepassXC.

      Это продукт от какой то другой конторы, форк, или исходный софт ребрендинг сделал? Вдруг вы а курсе.

      Спасибо!


      1. dwdraugr
        13.09.2023 14:06
        +1

        Скорее пересоздание того же самого на кроссплатформенных началах (написан на Qt) и с чуть большим участием комьюнити. Жизнь на их репе в гитхабе бурлит и кипит


    1. johnfound
      13.09.2023 14:06

      Я использую и все прекрасно. А раз все прекрасно, то нечего и комментировать. :DDDD


    1. Mike-M
      13.09.2023 14:06

      есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь.

      Давно присматриваюсь к KeePass(XC).
      Смущает то, что для автоматического ввода паролей нужно перед открытием браузера запускать десктоп-клиент.
      "Родной" менеджер паролей в Firefox не требует дополнительных телодвижений.
      И сочетание клавиш нажимать не требуется.


    1. enkryptor
      13.09.2023 14:06

      На Андроид устройствах он есть? Я так сходу не нашёл.


      1. enkryptor
        13.09.2023 14:06

        Отбой, увидел Keepass2Android, извините.


        1. 13werwolf13
          13.09.2023 14:06

          рекомендую KeepassDX, и выглядит приятнее, и работает не хуже, и дополнительные фишечки есть и UX поприятнее


    1. RomanSkrypin
      13.09.2023 14:06

      А еще можно купить самый дешевый "вечный" VPS по цене годовой подписки 1password и этот kdbx файлик синхронизировать со всем зоопарком своих устройств по SSH.


    1. vikarti
      13.09.2023 14:06

      Я вот его не использую в том числе потому что на момент когда последний раз делался анализ на что мигрировать, с KeePass выяснилось что:


      • под каждую клиентскую платформу — свое приложение
      • не все они полностью совместимы между собой
      • интеграция через что-то вроде SyncThing внезапно работает не везде (не работала например на браузерных расширениях даже на Windows не говоря про ChromeOS), а где работает — различается функционал (простейший поиск сайтов — не везде)
      • даже там где оно работает — получилось поймать конфликты синхронизации(!)
      • андроид-версия (уж не помню что именно из рекомендованного на сайте) тупит часто, и вообще не хочет работать в DeX-режиме. Вне DeX — не поддерживается штатный autofill андроида а только accessibility services.

      Да, весьма возможно что за 4 года хоть что-то из этого — поправили. Только вот зачем если был найден Bitwarden? Ничего из описанных проблем — нет, opensource, включая серверную часть, с минимальной абоненткой, с возможностью вообще по-сути-официальную-пиратку использовать с VaultWarden'ом в качестве сервера которому плевать на оплату.


      Ну да — возможно ситуация изменилась, как с XMPP, недавно попросили в том числе меня написать список того почему XMPP НЕ использую а использую Matrix, а потом была серия комментариев (не факт что корректных но все же) которые сводились к тому что чуть ли не половина пунктов "ну да, это была проблема, но уже нет, см ссылку Y/потому что X".


    1. alnite
      13.09.2023 14:06
      +1

      Спасибо, добрый человек, за связку KeePassXC + SyncThing. Наконец-то смогу "переехать" с Keepass2Android на комп. А вот в существующую базу KeePassXC можно "вкачать" пароли накопленные в Chrome?



  1. ifap
    13.09.2023 14:06
    +15

    Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков.

    Передавать пароль третьей стороне - это серьезное отношение к безопасности? Ну не знаю, не знаю...


  1. anzay911
    13.09.2023 14:06
    +13

    Моя паранойя не доверяет облачным хранилищам любой степени надёжности. В лучшем случае зашифрованный бэкап.


    1. CptAFK
      13.09.2023 14:06
      +5

      По мне лучший вариант это Enpass, достаточно дёшев, можно купить пожизненную лицензию иии позволяет хранить базу паролей в облачном хранилище, выбранном вами)

      Да, все ещё облако, не помню, если там owncloud или nextcloud, но для особой паранои там есть локальна синхронизация.


  1. afransdev
    13.09.2023 14:06
    +1

    Любой сторонний сервис может также попасть как LastPass.Поэтому если рассматривать для работы, то лучшее решение это полный контроль своей базы даных на собственном ресурсе. Тогда и утечек не будет, а если ушло, то сам виноват. По юзабилити в команде я бы сказал, что ServiceLockBox удобнее всего и на marketplace azure еще у них версия есть. Мы развернули у себя и живем спокойно.


  1. Vindicar
    13.09.2023 14:06
    +7

    Как пользовался KeePass, так и пользуюсь. Он с плагином ещё и TOTP умеет, вообще замечательно стало.


    1. AlexanderS
      13.09.2023 14:06

      А какой плагин выбрали, если не секрет?


      1. Vindicar
        13.09.2023 14:06

        KeePassOTP

        С гитхабом работает хорошо, со стимом не пробовал - там гемморойно добывать secret, чтобы пароли генерились.


  1. vagonovozhaty
    13.09.2023 14:06
    +3

    Bitwarden — не только парольный менеджер, но и музыкальный стриминговый сервис


    1. NikitaCartes
      13.09.2023 14:06
      +1

      Тут даже не сам факт волнует, а то как просто встроить бэкдор в хранилище паролей.


      1. vikarti
        13.09.2023 14:06
        +1

        А собственно что именно защищает KeePass (любой из клиентов) от таких вот сюрпризов? Особенно с учетом что конкретный мейнтейнер может решить что время проявить активную общественную позицию (и плевать на в том числе и на новостные статьи что обнаружен бэкдор) и только форкать. Ну так Bitwarden'овские клиенты тоже форкаются.


        Кстати вот у меня оный стриминговый сервис НЕ работает и не работал. Хотя судя по условиям активации — должен бы.


    1. karavan_750
      13.09.2023 14:06

      @ru_vds Как активный пользователь Bitwarden, призываю вас упомянуть в статье этот факт. По моему, по рискам для пользователей он сравним с атакой на LastPass.


      1. editor_ruvds
        13.09.2023 14:06

        Спасибо, добавили информацию в статью.


        1. karavan_750
          13.09.2023 14:06

          Однако есть «интересный» момент: с недавних пор разработчики добавили на сайт Bitwarden скрипт, который автоматически проигрывает гимн Украины при определённых условиях (например, если в браузере установлен русский язык).

          Не совсем так. Разработчики Bitwarden скрипт не добавляли, его добавил автор либы, которую использует Bitwarden для отрисовки web-интерфейса.


        1. Boomka
          13.09.2023 14:06
          +3

          Дополните еще, пожалуйста, что не разработчики Bitwarden добавили, а разработчик js библиотеки sweetalert2, которая теперь позиционируется как naziware protestware. В Bitwarden просто обновили версию библиотеки. Если веб-версией не пользоваться, то ничего страшного случиться не должно, хотя кто знает, какие ещё они там зависимости в нативном клиенте и бэкенде используют.

          Кстати, опенсорсный форк проекта Vaultwarden использует тот же фронтенд, так что там проблема тоже наблюдается.

          Это не отменяет факта, что в Bitwarden очень неохотно что-то по этому поводу делают.

          Самое худшее в ситуации — то, что помимо воспроизведения гимна (что само по себе относительно безобидно), либа блокирует всю навигацию на странице, если она решила, что вы из России/Беларуси. А может и пароли на pastebin постить.

          Вот вам и грязная сторона опенсорса.


          1. editor_ruvds
            13.09.2023 14:06

            Поправили, спасибо за уточнение!


  1. suprunchuk
    13.09.2023 14:06

    NordPass навсегда


    1. Mike-M
      13.09.2023 14:06
      +2

      Не-а, никогда:
      NordPass stores all your passwords, passkeys, credit cards, secure notes, and other sensitive information in the cloud


  1. Cobalt
    13.09.2023 14:06
    -1

    Про хваленый BitWarden забыли сказать самое важное - без ВПН не работает на терретории богоспасаемой


    1. Japet
      13.09.2023 14:06
      +1

      На территории высокодуховной можно захостить собственный инстанс сервера и зависеть только от правильного VPN до дома.


    1. grvelvet
      13.09.2023 14:06
      +1

      Работает все прекрасно.


    1. vikarti
      13.09.2023 14:06
      +1

      Каким образом он у меня работает? В том числе и на смартфонах без активного VPN


  1. AlexanderS
    13.09.2023 14:06
    +3

    В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.

    История учит, что ничему не учит. Казалось бы, после такой компроментации проект закрываться должен, но нет… пользователи ценят удобство в первую очередь, а не безопасность)


  1. WladW
    13.09.2023 14:06
    +1

    Хочу упомянуть SafeinCloud, есть версии для любых мобильных систем, MAC и Windows, Linux увы нет, синхронизация между устройствами, я настроил базу паролей в своём NAS облаке.


    1. MAXXL
      13.09.2023 14:06

      Тоже его использую, но похоже автор перестал поддерживать свое детище-обновлений нет уже год. На заявленные баги обещали сделать исправления, но год прошел и ничего нет. У Вас при синхронизации через свое NAS облако не слетают периодически настройки подключения к нему?


      1. WladW
        13.09.2023 14:06

        Пару раз слетали, а так то нет, синхронизирую через WebDav, с правильным SSL сертификатом.


        1. MAXXL
          13.09.2023 14:06

          Аналогично, WebDav на Synology, с их сертификатом. И настройки непредсказуемо слетают.Может несколько месяцев работать, а может через день изчезать.


  1. 13werwolf13
    13.09.2023 14:06
    +3

    Парольные менеджеры 2023 года: что нового?

    а собственно ничего нового то и нет. на манеже всё те же.
    битварден для тех кому нужен сервер и шаринг сИкретов между несколькими УЗ (а так же для тех кого не воротит от убогого электроноклиента), keepass{,x,xc} для тех кому просто нужен непробиваемый, удобный, функциональный, безопасный личный менеджер паролей. ну а все остальные если честно не заслуживают внимания, особенно те которые позволяют забить на первый фактор аутентификации и сбросить его через СМС которое как известно являет собой не второй фактор аутентификации а дыру в безопасности.


  1. GuessWh0
    13.09.2023 14:06
    +1

    Задумался куда импортировать пароли с хрома и что бы менеджер паролей сам вставлял пароли в хром, после фразы учетку могут внезапно заблокировать и доступ к паролям и отп будет недоступен. Использую макпасс, базу храню в айклауде, ключ в другом аблаке и пароль только в голове.


  1. ogost
    13.09.2023 14:06
    +2

    Пользуюсь GNU pass (https://passwordstore.org) много лет. Использует gpg для шифрования, умеет в гит, умеет в OTP, умеет autotype в любое приложение, имеются клиенты и плагины под разные платформы.


    1. siberianlaika
      13.09.2023 14:06

      Аналогично. К нему еще куча интеграций! Я к примеру использую его с плагином к браузеру, а сами пароли веду через плагин в GNU/Emacs. Есть клиенты для терминала и GUI. По сути pass это больше соглашение, как и в каком формате хранить секретные данные, клиента можно написать полностью своего.
      Но упоминают это решение редко, видимо потому, что за ним не стоит никаких компаний, которые всячески продвигают свои saas или приложения.


      1. uranik
        13.09.2023 14:06
        +2

        А еще нет кнопки download для винды, вот и пользователей не будет.


  1. LazyZeroed
    13.09.2023 14:06

    Можно ещё упомянуть teampass. Пробовал его лет 5-6 тому назад. Тогда было ощущение недоделанности.


  1. Viacheslav01
    13.09.2023 14:06

    Использую PasswordSafe, беда есть только под WIN на маке приходится держать виртуалку. Авто вставки чего бы то ни было, отключены напрочь.


    1. Mike-M
      13.09.2023 14:06

      Понравился классический интерфейс.
      Но клиент под Андроид портирован и поддерживается только одним человеком — bus factor.


  1. i81
    13.09.2023 14:06

    А вот как по мне, при выборе менеджеров паролей многие не смотрят на очень важную особенность - способ организации базы данных. У всех, кроме почившего "Сейф+" (автор оставил разработку) база хранится в одном файле, что есть проблема если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации (доки, и прочие файлы) раздувают БД до неприличных размеров и когда это один файл - это начинает быть проблемой.

    Я вот ищу уже который год, и нет ничего на замену Сейфа :(


    1. isden
      13.09.2023 14:06
      +1

      1Password standalone (т.е. не клауд по подписке). Разбивает базу на несколько файлов (+аттачи отдельно).


    1. inkelyad
      13.09.2023 14:06
      -1

      если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации

      А стоит ли на такой сценарий смотреть? Менеджер личной информации - отдельные требования к нему есть. Довольно обширные - смотри обсуждения прямо тут на хабре. А пароль к нему же (если он сам шифрует) или к шифрованному контейнеру можно уже в менеджере паролей хранить.

      В обратную сторону - когда пароли хочешь хранить в каком-нибудь таком менеджере еще можно как-то понять, но использовать базу данных парольного менеджера - как то странно выглядит?


      1. i81
        13.09.2023 14:06

        А можно ссылку на обсуждение пожалуйста


        1. inkelyad
          13.09.2023 14:06
          +1

          А можно ссылку на обсуждение пожалуйста

          Я имел в виду приблизительно такие. Они тут регулярно появляются.

          А так алгоритм приблизительно такой: ищем на том же alternativeto.net алтернативы этому самому Obsidian или какому еще знакомому названию. Или сразу по тегу Note-taking Tools.

          А потом поиском ищем в Хабре все, что нашлось:
          Obsidian, Joplin, Evernote ну и так далее.


    1. s7eepz
      13.09.2023 14:06
      +1

      enpass


  1. igrishaev
    13.09.2023 14:06

    Только unix pass (это который git + gpg + bash).


  1. uranik
    13.09.2023 14:06
    +2

    Почему разработчики браузеров не сделают стандратное api для всех пассоврд менеджеров, чтобы по нему эти менежджеры могли коннектиться с браузерами и передавать приватные данные. А то нажимать хоткеи в keepass для авторизации на страницах и гонять пароли через буфер ос, как то прошлым веком попахивает.


    1. inkelyad
      13.09.2023 14:06

      Сейчас - уже смысла нет. Точнее, я бы предпочел, чтобы всякие интерфейсы для WebAuthn и Passkeys активнее писали. Последние, кстати, ну вот в явном виде та информация, что в 'менеджер паролей' просится.


      1. vikarti
        13.09.2023 14:06

        А есть. 1Password так умеет.
        Но вот только 1Password активно сопротивляется попыткам его использовать. Даже на уровне создания аккаунта. Можно конечно обойти но… уж лучше Google'овский встроенный в Chrome/Android софт для синхронизации Passkeys.


  1. Leonardo66rus
    13.09.2023 14:06

    Пользуюсь KeePass в связке с яндекс.диском в принципе устраивает, на телефоне KeePassDroid в связке с этим же файлом на я.диске