С каждым годом хакеры становятся всё изощреннее в методах отъёма честно нажитого у пользователей интернета. Поэтому нужно всегда быть начеку и заботиться о защите своих персональных данных. Инструменты для этого известны: надёжное шифрование и защищённый парольный менеджер, внутри которого хранятся секреты, а пароль доступа знаете только вы (плюс дополнительная аппаратная защита через 2FA).
Посмотрим, что нового появилось в этой области за последнее время. А посмотреть есть на что.
Примечание. Мы не будем упоминать менеджер паролей Chrome из-за нескольких серьёзных недостатков, которые не позволяют назвать его полноценным парольным менеджером.
Во-первых, он работает только в браузере, а хранилище привязано к аккаунту Google. В случае потери доступа к аккаунту — например, пользователя заблокируют за нарушение условий YouTube или Gmail — он потеряет доступ ко всем сохранённым паролям. Во-вторых, в нём отсутствует ряд важных функций, в том числе 2FА, зашифрованное хранилище, отдельное приложение и др. В-третьих, Google Password Manager работает внутри экосистемы Google, которая заточена на трекинг пользователей со сбором персональных данных для продажи рекламодателям. В-четвёртых, исходный код Google Password Manager закрыт, так что насчёт его надёжности остаётся лишь доверять заверениям Google.
▍ Проблемы LastPass
В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.
Напомним, что в декабре 2022 года LastPass сообщил о взломе, в результате которого хакеры похитили хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 млн пользователей. В марте 2023-го опубликованы результаты расследования со всеми подробностями инцидента (точнее, двух инцидентов).
Эхо того взлома аукается до сих пор. Каждый раз, когда вы узнаёте в новостях о краже у какого-то пользователя крипты на шестизначные суммы — это может быть несчастный пользователь LastPass, до учётных данных которого наконец-то добрались злоумышленники. Все базы давно ходят на чёрном рынке, а брутфорс хэшей идёт полным ходом.
Например, разработчики известного криптокошелька MetaMask выявили набор улик, которые связывают недавние кражи из кошельков MetaMask именно с прошлогодней утечкой LastPass. Судя по всему, воры добрались до зашифрованных контейнеров. Жертвами последних краж стали более 150 человек, в общей сложности у этих людей похищено криптовалюты на сумму более $35 млн:
Движение украденной крипты от жертв, которые использовали LastPass для хранения seed-фразы для кошелька, источник
Представители MetaMask говорят, что сам профиль жертв не характерен для таких краж. Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков. Никто из них не сообщил о взломе почты или телефона, что обычно предшествует краже крипты на большие суммы.
Среди этих полутора сотен жертв — сотрудники авторитетных криптоорганизаций, венчурные капиталисты, профессиональные программисты-разработчики протоколов DeFi и смарт-контрактов, девопсы, которые запускали полноценные узлы в распределённой сети, и др.
Наблюдая за всеми этими кражами в течение года, сейчас исследователи пришли к выводу, что почти всех жертв объединяет одно: они использовали LastPass для хранения seed-фразы.
▍ Опенсорс. Bitwarden Secrets Manager
Чтобы минимизировать вероятность критических багов (и утечки паролей), желательно использовать опенсорсные программы, исходный код которых проверен сообществом и прошёл аудит.
Из опенсорсных парольных менеджеров четыре самых известных:
Особенно популярен первый из них, BitWarden, c большой аудиторией преданных пользователей.
Как раз Bitwarden недавно выпустил новый опенсорсный инструмент Secrets Manager, менеджер секретов. В реальности это центральное зашифрованное хранилище со сквозным шифрованием, которым пользуется некая группа, компания или организация. В идеале — отдел разработки, девопсы и IT.
Вкратце алгоритм работы программы показан на видео:
Менеджер секретов — это безопасная альтернатива другим методам обмена секретной информацией в команде разработчиков. Например, некоторые предпочитают для простоты включить секретный ключ API непосредственно в код программы (в тестовый релиз) или обмениваться файлами
.env по электронной почте.Обычно к секретной информации в группе разработке относится следующее:
- ключи API;
- сертификаты аутентификации пользователей;
- пароли к базам данных;
- сертификаты SSL и TLS;
- закрытые ключи шифрования;
- ключи SSH;
- и т. д.
В интернете почти каждый день сообщают об утечке подобной информации в результате кибератак или простой безалаберности на каком-то этапе разработки. Год назад исследователи Synantec обнаружили валидные токены для доступа к AWS в 75% приложений iOS и Android.
Проблема настолько распространённая, что на GitHub даже запустил систему оповещения владельцев репозиториев о неправильных конфигурациях, приводящих к раскрытию секретов.
В свою очередь, независимые исследователи выпустили опенсорсные инструменты для поиска секретов в открытых бакетах AWS S3, например, утилиту S3cret Scanner.
Secrets Manager от Bitwarden призван решить эту проблему. Это удобный способ генерации, обмена и деплоя секретов в командах разработчиков, а также назначения гранулярных прав доступа для отдельных пользователей и групп. Исходный код программы открыт. Бесплатная версия поддерживает неограниченное количество секретов, двух пользователей, три проекта и три учётные записи служб. На данный момент Bitwarden Secrets Manager поддерживает интеграцию с GitHub Actions, но в будущем обещают интеграцию с Kubernetes, Terraform и Ansible.
Однако есть «интересный» момент: с недавних пор в библиотеку sweetalert2, которая используется в веб-версии Bitwarden, был добавлен скрипт, автоматически проигрывающий гимн Украины и блокирующий навигацию при определённых условиях (например, если в браузере установлен русский язык или локацией пользователя является Россия/Беларусь). Создатели Bitwarden обещают, что удалят эту зависимость в сентябрьском релизе (подробности можно почитать здесь), но сам факт внедрения подобных скриптов несколько настораживает.
Proton Pass
Из других новостей в этой индустрии нужно отметить появление нового бесплатного парольного менеджера Proton Pass (beta) от известной компании Proton AG, которая разрабатывает сервис электронной почты и другие популярные продукты для безопасности.
Proton Pass обеспечивает сквозное шифрование (E2E) не только для паролей, но и для другой чувствительной информации, которую вы вводите в поля браузера на сайтах: имя пользователя, почтовый адрес и т. д. Это действительно важно. Другие менеджеры оставляют в открытом виде некоторые поля с метаданными, в том числе URL'ы сайтов, а по этой информации можно составить очень подробный профиль человека и фактически деанонимизировать его.
Proton Pass использует алгоритм хэширования паролей bcrypt (а не PBKDF2, как LastPass — после утечки их базы стало ясно, что такие хэши относительно легко сбрутить: по оценке разработчика 1Password, брутфорс 2³² хэшей PBKDF2-H256 на GPU стоит примерно $6). Для аутентификации в Proton применяется защищённая реализация протокола Secure Remote Password (SRP).
Недавно Proton Pass прошёл аудит Cure53. Есть встроенный аутентификатор 2FA и утилита для импорта паролей из других менеджеров.
Proton Pass работает по стандартному алгоритму: при регистрации на новом сайте генерирует уникальный сильный пароль и сохраняет его в зашифрованном хранилище. Но кроме пароля он также предлагает сгенерировать уникальный email для этого сайта. Это дополнительная мера защиты приватности (скрытия личности) при регистрации.
Схема скрытия личности через одноразовый email в Proton Pass
Не секрет, что многие сайты сейчас зарабатывают на трекинге пользователей, составляя досье и продавая эту информацию сторонним покупателям, в том числе рекламным агентствам. Даже Google не стесняется отслеживать поведение пользователей Chrome — и передавать эту информацию рекламодателям со списком уникальных ключевых слов для каждого человека (по результатам анализа сайтов, которые он открывал в браузере).
Если везде регистрироваться под одним и тем же адресом электронной почты, то профилирование выполняется автоматически. Вот почему Proton предлагает рандомизировать адреса. С рандомными адресами в случае утечки информации с этого сайта злоумышленник не получает ничего, кроме одноразового email'а. Настоящий адрес останется в безопасности, туда не придёт спам и фишинговые письма.
Бесплатная версия включает неограниченное количество логинов и заметок, неограниченное количество устройств и десять псевдонимов, скрытых за специально созданными адресами электронной почты. Платная версия за €3,99 в месяц работает без ограничений.
Proton Pass совместим со всеми популярными браузерами: Chrome, Firefox, Edge, Brave на десктопе и iOS/Android. Поддержки Safari пока нет.
Подводя итог, проприетарным парольным менеджерам не стоит доверять безоговорочно. Утечки данных того же LastPass стали уже постоянным явлением. А сейчас ещё и 1Password отличился, в течение года используя неправильный формат даты, не совпадающий с локалью пользователя. В опенсорсе таких багов не бывает, если код прошёл независимый аудит и всестороннюю проверку.
Telegram-канал с розыгрышами призов, новостями IT и постами о ретроиграх ????️
Комментарии (76)
ifap
13.09.2023 14:06+15Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков.
Передавать пароль третьей стороне - это серьезное отношение к безопасности? Ну не знаю, не знаю...
anzay911
13.09.2023 14:06+13Моя паранойя не доверяет облачным хранилищам любой степени надёжности. В лучшем случае зашифрованный бэкап.
CptAFK
13.09.2023 14:06+5По мне лучший вариант это Enpass, достаточно дёшев, можно купить пожизненную лицензию иии позволяет хранить базу паролей в облачном хранилище, выбранном вами)
Да, все ещё облако, не помню, если там owncloud или nextcloud, но для особой паранои там есть локальна синхронизация.
afransdev
13.09.2023 14:06+1Любой сторонний сервис может также попасть как LastPass.Поэтому если рассматривать для работы, то лучшее решение это полный контроль своей базы даных на собственном ресурсе. Тогда и утечек не будет, а если ушло, то сам виноват. По юзабилити в команде я бы сказал, что ServiceLockBox удобнее всего и на marketplace azure еще у них версия есть. Мы развернули у себя и живем спокойно.
Vindicar
13.09.2023 14:06+7Как пользовался KeePass, так и пользуюсь. Он с плагином ещё и TOTP умеет, вообще замечательно стало.
AlexanderS
13.09.2023 14:06А какой плагин выбрали, если не секрет?
Vindicar
13.09.2023 14:06С гитхабом работает хорошо, со стимом не пробовал - там гемморойно добывать secret, чтобы пароли генерились.
vagonovozhaty
13.09.2023 14:06+3Bitwarden — не только парольный менеджер, но и музыкальный стриминговый сервис
NikitaCartes
13.09.2023 14:06+1Тут даже не сам факт волнует, а то как просто встроить бэкдор в хранилище паролей.
vikarti
13.09.2023 14:06+1А собственно что именно защищает KeePass (любой из клиентов) от таких вот сюрпризов? Особенно с учетом что конкретный мейнтейнер может решить что время проявить активную общественную позицию (и плевать на в том числе и на новостные статьи что обнаружен бэкдор) и только форкать. Ну так Bitwarden'овские клиенты тоже форкаются.
Кстати вот у меня оный стриминговый сервис НЕ работает и не работал. Хотя судя по условиям активации — должен бы.
karavan_750
13.09.2023 14:06@ru_vds Как активный пользователь Bitwarden, призываю вас упомянуть в статье этот факт. По моему, по рискам для пользователей он сравним с атакой на LastPass.
editor_ruvds
13.09.2023 14:06Спасибо, добавили информацию в статью.
karavan_750
13.09.2023 14:06Однако есть «интересный» момент: с недавних пор разработчики добавили на сайт Bitwarden скрипт, который автоматически проигрывает гимн Украины при определённых условиях (например, если в браузере установлен русский язык).
Не совсем так. Разработчики Bitwarden скрипт не добавляли, его добавил автор либы, которую использует Bitwarden для отрисовки web-интерфейса.
Boomka
13.09.2023 14:06+3Дополните еще, пожалуйста, что не разработчики Bitwarden добавили, а разработчик js библиотеки sweetalert2, которая теперь позиционируется как
naziwareprotestware. В Bitwarden просто обновили версию библиотеки. Если веб-версией не пользоваться, то ничего страшного случиться не должно, хотя кто знает, какие ещё они там зависимости в нативном клиенте и бэкенде используют.Кстати, опенсорсный форк проекта Vaultwarden использует тот же фронтенд, так что там проблема тоже наблюдается.
Это не отменяет факта, что в Bitwarden очень неохотно что-то по этому поводу делают.
Самое худшее в ситуации — то, что помимо воспроизведения гимна (что само по себе относительно безобидно), либа блокирует всю навигацию на странице, если она решила, что вы из России/Беларуси. А может и пароли на pastebin постить.
Вот вам и грязная сторона опенсорса.
suprunchuk
13.09.2023 14:06NordPass навсегда
Mike-M
13.09.2023 14:06+2Не-а, никогда:
NordPass stores all your passwords, passkeys, credit cards, secure notes, and other sensitive information in the cloud
Cobalt
13.09.2023 14:06-1Про хваленый BitWarden забыли сказать самое важное - без ВПН не работает на терретории богоспасаемой
Japet
13.09.2023 14:06+1На территории высокодуховной можно захостить собственный инстанс сервера и зависеть только от правильного VPN до дома.
vikarti
13.09.2023 14:06+1Каким образом он у меня работает? В том числе и на смартфонах без активного VPN
AlexanderS
13.09.2023 14:06+3В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.
История учит, что ничему не учит. Казалось бы, после такой компроментации проект закрываться должен, но нет… пользователи ценят удобство в первую очередь, а не безопасность)
WladW
13.09.2023 14:06+1Хочу упомянуть SafeinCloud, есть версии для любых мобильных систем, MAC и Windows, Linux увы нет, синхронизация между устройствами, я настроил базу паролей в своём NAS облаке.
MAXXL
13.09.2023 14:06Тоже его использую, но похоже автор перестал поддерживать свое детище-обновлений нет уже год. На заявленные баги обещали сделать исправления, но год прошел и ничего нет. У Вас при синхронизации через свое NAS облако не слетают периодически настройки подключения к нему?
13werwolf13
13.09.2023 14:06+3Парольные менеджеры 2023 года: что нового?
а собственно ничего нового то и нет. на манеже всё те же.
битварден для тех кому нужен сервер и шаринг сИкретов между несколькими УЗ (а так же для тех кого не воротит от убогого электроноклиента), keepass{,x,xc} для тех кому просто нужен непробиваемый, удобный, функциональный, безопасный личный менеджер паролей. ну а все остальные если честно не заслуживают внимания, особенно те которые позволяют забить на первый фактор аутентификации и сбросить его через СМС которое как известно являет собой не второй фактор аутентификации а дыру в безопасности.
GuessWh0
13.09.2023 14:06+1Задумался куда импортировать пароли с хрома и что бы менеджер паролей сам вставлял пароли в хром, после фразы учетку могут внезапно заблокировать и доступ к паролям и отп будет недоступен. Использую макпасс, базу храню в айклауде, ключ в другом аблаке и пароль только в голове.
ogost
13.09.2023 14:06+2Пользуюсь GNU pass (https://passwordstore.org) много лет. Использует gpg для шифрования, умеет в гит, умеет в OTP, умеет autotype в любое приложение, имеются клиенты и плагины под разные платформы.
siberianlaika
13.09.2023 14:06Аналогично. К нему еще куча интеграций! Я к примеру использую его с плагином к браузеру, а сами пароли веду через плагин в GNU/Emacs. Есть клиенты для терминала и GUI. По сути pass это больше соглашение, как и в каком формате хранить секретные данные, клиента можно написать полностью своего.
Но упоминают это решение редко, видимо потому, что за ним не стоит никаких компаний, которые всячески продвигают свои saas или приложения.
LazyZeroed
13.09.2023 14:06Можно ещё упомянуть teampass. Пробовал его лет 5-6 тому назад. Тогда было ощущение недоделанности.
Viacheslav01
13.09.2023 14:06Использую PasswordSafe, беда есть только под WIN на маке приходится держать виртуалку. Авто вставки чего бы то ни было, отключены напрочь.
Mike-M
13.09.2023 14:06Понравился классический интерфейс.
Но клиент под Андроид портирован и поддерживается только одним человеком — bus factor.
i81
13.09.2023 14:06А вот как по мне, при выборе менеджеров паролей многие не смотрят на очень важную особенность - способ организации базы данных. У всех, кроме почившего "Сейф+" (автор оставил разработку) база хранится в одном файле, что есть проблема если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации (доки, и прочие файлы) раздувают БД до неприличных размеров и когда это один файл - это начинает быть проблемой.
Я вот ищу уже который год, и нет ничего на замену Сейфа :(
isden
13.09.2023 14:06+11Password standalone (т.е. не клауд по подписке). Разбивает базу на несколько файлов (+аттачи отдельно).
inkelyad
13.09.2023 14:06-1если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации
А стоит ли на такой сценарий смотреть? Менеджер личной информации - отдельные требования к нему есть. Довольно обширные - смотри обсуждения прямо тут на хабре. А пароль к нему же (если он сам шифрует) или к шифрованному контейнеру можно уже в менеджере паролей хранить.
В обратную сторону - когда пароли хочешь хранить в каком-нибудь таком менеджере еще можно как-то понять, но использовать базу данных парольного менеджера - как то странно выглядит?
i81
13.09.2023 14:06А можно ссылку на обсуждение пожалуйста
inkelyad
13.09.2023 14:06+1А можно ссылку на обсуждение пожалуйста
Я имел в виду приблизительно такие. Они тут регулярно появляются.
А так алгоритм приблизительно такой: ищем на том же alternativeto.net алтернативы этому самому Obsidian или какому еще знакомому названию. Или сразу по тегу Note-taking Tools.
А потом поиском ищем в Хабре все, что нашлось:
Obsidian, Joplin, Evernote ну и так далее.
uranik
13.09.2023 14:06+2Почему разработчики браузеров не сделают стандратное api для всех пассоврд менеджеров, чтобы по нему эти менежджеры могли коннектиться с браузерами и передавать приватные данные. А то нажимать хоткеи в keepass для авторизации на страницах и гонять пароли через буфер ос, как то прошлым веком попахивает.
inkelyad
13.09.2023 14:06Сейчас - уже смысла нет. Точнее, я бы предпочел, чтобы всякие интерфейсы для WebAuthn и Passkeys активнее писали. Последние, кстати, ну вот в явном виде та информация, что в 'менеджер паролей' просится.
vikarti
13.09.2023 14:06А есть. 1Password так умеет.
Но вот только 1Password активно сопротивляется попыткам его использовать. Даже на уровне создания аккаунта. Можно конечно обойти но… уж лучше Google'овский встроенный в Chrome/Android софт для синхронизации Passkeys.
Leonardo66rus
13.09.2023 14:06Пользуюсь KeePass в связке с яндекс.диском в принципе устраивает, на телефоне KeePassDroid в связке с этим же файлом на я.диске
Nurked
Вообще не понимаю, почему люди просто игнорируют KeePassXC? Вот тут его просто вскользь упомянули.
Берём KeePassXC, ставим вместе с SyncThing и радуемся жизни. У меня не было проблем с тем, чтобы синхронизировать базы между разношёрстными устройствами. Два ноутбука на Linux, один на Windows и телефон на Andorid. База синхронизируется по P2P протоколу. Ни на какие сайты её заливать не надо. Можно шарить через шару. Можно попробовать onion.
В базе есть OTP, так что не надо отчитываться дяде Гуглу о том, какие у вас есть OTP. И бесконечное количество замечательных рюшечек, которые можно спокойно себе игнорировать.
Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux. Более того, есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь. Но при этом, программа пять раз спросит, прежде чем выдавать ваши пароли кому попало.
У вас обзор какой-то странный вышел. Вы рассказали про четыре альтернативы, а тему по ним раскрыли только по одной.
atrost
Вещь хорошая, но не для всех. Неоднократно пользователи теряли сертификат и на этом всё :) По СМС не восстановить.
mm3
Там где доступ можно восстановить только по СМС, пароль как первый фактор авторизации становится не нужен и безопасность определяется только четырьмя цифрами передающимися по открытому каналу.
atrost
Я про это и написал, что данное решение подходит не всем. Большинство, будет использовать стоковое решение из браузера или ОС, восстанавливая доступ периодически по СМС :)
добавлю /s
а то минусов опять насуют
SanSYS
В тех же битварден и 1пасс тоже не восстановить (в персональной редакции), ибо пасс юзается как часть ключа для шифрования, так что его тоже не следует терять (и секрет с сервера тоже, который придумываете не вы)
поправьте, если ошибаюсь:
в битвардене с виду также https://bitwarden.com/help/forgot-master-password/
было бы странно иначе
потому что у платных решений – хорошая платная маркетинговая кампания, их имена на слуху/в топе поисковой выдачи
Вероятно авторы статей плотненько с подобным и не поработали
xakep666
Более того, он умеет добавлять ключи в ssh-агент, а при блокировке базы удалять. Что, по моему мнению, тоже повышает безопасность, так как с диска его уже не прочитать.
seepeeyou
У их форка вроде до сих пор внешнего аудита безопасности не было.
b00
>Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.
Не можете какую-то готовую инструкцию порекомендовать на эту тему?
KepassXC + Syncthing давно использую на разных устройствах, в Linux и ssh ключи из него в агент автоматом добавляются. А вот как системный менеджер секретов - было бы интересно попробовать.
Nurked
Посмотрю, напишу.
geher
А оно разве под андроид есть (именно XC)?
А если нет, то какой андроидный клиент лучше?
Nurked
Ой. Извините. Пользую Keepass2Android. У него хорошо с синхронизацией парольных фаилов.
Fealune
У меня из него когда-то на спор вытащили все пароли, правда при условии наличия физического доступа к девайсу и без сопоставления логин-пароль-url. Как - не признались) но по идее если бы тупо сбрутфорсили мастер пароль, то получили бы и логины и urlы
snx
Попробуйте KeePassDX
hogstaberg
А вот он как раз не умеет автоматически перечитывать измененные другим приложением (читай syncthing) файлы. Приходится каждый раз руками тыкать.
13werwolf13
использовать базу своего kdbx в качестве kwallet базы - мечта. но не осуществимая..
ИЛИ НЕТ? может я просто отстал от жизни?? что означает ваше сообщение выше?
RTFM13
Есть вкладка "Settings - Secret Service Integration". Это не оно?
У меня она задизейблена "Another secret service is running (PID: 1234, Executable: /usr/bin/kwalletd5). Please stop/remove it before re-enabling the Secret Service Integration....", на основной оси не хочу проверять, а виртуалки нет в данный момент под рукой.
13werwolf13
ну это всё же немного не то:
1) это одностаронняя связь
2) это попытка заменить а не интегрироватьс
B7W
На всякий случай оставлю тут ссылку на https://keeweb.info/
pokatomnik
Оно сейчас скорее мертво чем живо, активно ищется мейнтейнер. Ну и в README сказано что реализованы базовые вещи.
https://github.com/keeweb/keeweb/issues/2022
it1804
Не обязательно KeePassXC, он мне показался жутко неудобным, хотя может UI и улучшили, конечно со старых времён, когда хотел смигрировать. Пользуюсь 10+ лет оригинальным KeePass, Linux+изредка Windows параллельно. Конечно с синхронизацией вот тут не сильно удобно, KeePassXC в этом плане намного лучше. Собственно по этой причине и хотел перейти на него несколько лет назад.
volk0ff
Пользуюсь keepass2 (портабл версия, которую даже не обновляю). Сейчас узнал о существовании keepassXC.
Это продукт от какой то другой конторы, форк, или исходный софт ребрендинг сделал? Вдруг вы а курсе.
Спасибо!
dwdraugr
Скорее пересоздание того же самого на кроссплатформенных началах (написан на Qt) и с чуть большим участием комьюнити. Жизнь на их репе в гитхабе бурлит и кипит
johnfound
Я использую и все прекрасно. А раз все прекрасно, то нечего и комментировать. :DDDD
Mike-M
Давно присматриваюсь к KeePass(XC).
Смущает то, что для автоматического ввода паролей нужно перед открытием браузера запускать десктоп-клиент.
"Родной" менеджер паролей в Firefox не требует дополнительных телодвижений.
И сочетание клавиш нажимать не требуется.
enkryptor
На Андроид устройствах он есть? Я так сходу не нашёл.
enkryptor
Отбой, увидел Keepass2Android, извините.
13werwolf13
рекомендую KeepassDX, и выглядит приятнее, и работает не хуже, и дополнительные фишечки есть и UX поприятнее
RomanSkrypin
А еще можно купить самый дешевый "вечный" VPS по цене годовой подписки 1password и этот kdbx файлик синхронизировать со всем зоопарком своих устройств по SSH.
vikarti
Я вот его не использую в том числе потому что на момент когда последний раз делался анализ на что мигрировать, с KeePass выяснилось что:
Да, весьма возможно что за 4 года хоть что-то из этого — поправили. Только вот зачем если был найден Bitwarden? Ничего из описанных проблем — нет, opensource, включая серверную часть, с минимальной абоненткой, с возможностью вообще по-сути-официальную-пиратку использовать с VaultWarden'ом в качестве сервера которому плевать на оплату.
Ну да — возможно ситуация изменилась, как с XMPP, недавно попросили в том числе меня написать список того почему XMPP НЕ использую а использую Matrix, а потом была серия комментариев (не факт что корректных но все же) которые сводились к тому что чуть ли не половина пунктов "ну да, это была проблема, но уже нет, см ссылку Y/потому что X".
alnite
Спасибо, добрый человек, за связку KeePassXC + SyncThing. Наконец-то смогу "переехать" с Keepass2Android на комп. А вот в существующую базу KeePassXC можно "вкачать" пароли накопленные в Chrome?
Nurked
Что то в этом роде. https://www.howtogeek.com/70801/how-to-import-your-saved-browser-passwords-into-keepass/