Pull to refresh

Comments 11

По работе с .kdbx поделюсь неким опытом. У меня классический KeePass на компьютере с Windows 10 (по памяти на Линуксе, когда был ещё KeePassX из AUR, не от всего защищал, а в мануалах оригинального есть, например, настройки, которые можно установить только в файле конфигурации, но не через GUI), так там есть инструкция как защиту от брутфорса организовать, а это важно при использовании облака. По умолчанию используется мало памяти и много итераций. В соответствии с рекомендацией поменял на 1Gb памяти и дюжину итераций для Argon2id (это важно, поскольку по результатам исследования только с некоторого количества итераций обеспечивается приемлемая защита), шифрование ChaCha20. На компьютере открывается за 6 секунд примерно, на телефоне с Keepass2android порядка пары минут. Теперь облако. В условиях блокировок мобильного интернета для себя нашёл "Облако Mail.ru" - обеспечивает доступ по WebDav, что работает и на телефоне и на компе, но платно. Вот так примерно.

 "Облако Mail .ru" не вы нашли а вам навязали…  «в условиях блокировок мобильного интернета»

Можно просто хранить xkdx на gdrive:
- не нужно ничего синхронизировать
- если включена версионность, мы имеем автоматически бакапы
Пользуюсь так уже много лет.

Нужная и хорошая статья! К сожалению многие просто ленятся создавать уникальные пароли на сервисы и использовать менеджеры паролей.

KeePassXC крут, но ему не хватает некоторых функций, типа истории правок, что незаменимо при разрешении конфликтов Syncthing (поди разберись где там был конфликт). Пользуюсь для этого оригинальным KeePass в Wine.

Алсо, "подружить" flatpacked KeePassXC с flatpacked браузером - тот еще квест. Но нет ничего невозможного.

А так, KeePassXC делает жизнь счастливей почти сразу после установки. Чего только стоят Passkeys, которые можно таскать от системы к системе.

Полезная статья, многие до сих пор пароли где попало хранят. Буду на нее ссылаться.

Статья действительно хорошая, но у такой схемы синхронизации с помощью Syncthing есть нюансы:

  1. Если вы отредактировали базу паролей на ноутбуке, и выключили его не синхронизировав его с остальными устройствами. Потом отредактировали базу на другом устройстве и тоже забыли её синхронизировать, и будут жёсткие рассинхроны по всем базам.

Из личного опыта - основная проблема KeePass как раз конфликты синхронизации.

Долгое время пытался использовать схему с KeePassXC и Syncthing на 3 устройствах - домашний пк, рабочий пк (который соответственно в офисе) и еще телефон.

Возможно что-то коряво настроил, но из коробки постоянно возникали конфликты с файлами на разных устройствах. Syncthing постоянно не мог почему-то синхронизировать папки, иногда просто не видел другие устройства, иногда прогресс бар синхронизации мог зависнуть на 97% процентов и больше не двигаться. Это происходило еще до 22 года и повальных блокировок всего и вся.

И зачастую в Syncthing лезешь, только когда ты открыл базу с паролями, чтобы ввести пароль на нужном ресурсе - а он не подходит. Почему? Вспоминаем, что для этого аккаунта ты менял пароль пару дней/недель назад. Syncthing что-то не синхронизировал. Лезешь в папку с базой, а там лежит штук 5 файлов sync-conflict. Откуда взялись эти 5 файлов? В какой из баз нужный мне пароль? Как выяснить, что именно произошло? Ты просто хотел ввести пароль - получил квест.

Причем в статье очень наивно описан процесс слияния разных баз. "Просто откройте основную базу, откройте конфликтную копию и сравните, какие записи отличаются" - этот подход просто не работает. Точнее работает, но по времени очень затратен, и велик риск ошибки. Даже если в слиянии участвует всего 2 базы, количество записей в ней - это несколько десятков в лучшем случае. А пароли в каждой записи могут меняться, как писал выше. Причем наивно думать, что нужно просто брать самую актуальную по времени изменения записи. Может быть такое, что дописал какой-то комментарий или добавил новое поле - а пароль старый. То есть - чтобы точно не утратить возможность войти на ресурс, нужно сравнивать все поля - логин, пароль, коммент, и другие.

Я в итоге решал конфликты путем выгрузки всех баз в csv формат, затем сравнивал через плагин Notepad++ Compare или спец софтом, и потом итоговый файл импортировал обратно. И это очень плохой подход. Так как в процессе слияния выходит, что все пароли лежат в явном виде на компьютере и по времени ручное слияние занимает много времени.

Причем в самом KeePassXC есть в меню пункт "Объединить с другой базой данных". Я когда первый раз увидел этот пункт, думал - я спасен. Там наверное откроется удобное форма для слияния баз, сразу увижу, в чем разница. Ага, щазз. Ты просто указываешь вторую базу и все. Он что-то слил, база обновилась. Но что слил, в чем разница между базами - кто его знает. Пытался пользоваться пару раз этой функцией, но до конца не разобрался, как это работает. А документацию читать я даже не подумал, честно говоря. Просто хочу в моменте ввести логин/пароль, и решать актуальную задачу, а не воевать с менеджером паролей или Syncthing.

В итоге, спустя несколько лет мучений и страданий - арендовал простенькую вдэску и накатил vaultwarden. По сравнению с KeePassXC и Syncthing - просто потрясающе - 0 конфликтов и 0 утраченных паролей из-за конфликтов. Не нравится только, как устроена работа с изображениями. Если в KeePassXC можно было посмотреть приложенный файл прямо внутри программы, то vaultwarden может только скачать это изображение на устройство, а ты уже сам его открываешь.

Вывод у меня такой - никому не рекомендую использовать связку KeePass + Syncthing для хранения паролей. А уж тем более людям, которые не близки к айти. Лучше арендуйте сервер и установите vaultwarden (если вы айтишиник). Или купите подписку на проприетарный менеджер паролей, если лень возиться с сервером (или вы не айтишник) - Касперский или еще какой, с которым не возникнет проблем с оплатой в РФ.

Уже много лет пользуюсь такой связкой. Конфликтов вместе с syncthing не было. При этом еще поддерживается история изменений для записей. Плюс удобно хранить всякие важные файлы, сканы доков. Ну особенно связка с sh, храним все ключи здесь в том числе и gnupg. После чего можно настроить связку с агентом и по комбинации на c-h добавлять ключ в агента при этом пароль автоматически подвязывается. Также можно через CLI подтянуть пароль или API key для проекта написав функцию на питоне. С gnupg такой интеграции нет, но можно хранить ключ и пароль к нему. И вот ключ можно уже подтягивать автоматически. Можно кастомные иконки использовать.

У keepass есть один существенный недостаток - нет разграничения прав доступа. Если есть некие credentials, к которым нужен совместный доступ, то kbdx не подойдёт.

Совместный доступ удобен, например, в семейном сценарии, где часть ключей общая (жкх, магазины). Все члены семьи имеют свою учётку и могут хранить личные пароли, а также настраивать совместное использование в рамках группы.

Плюс, у warden'a есть шикарная опция Emergency Access, которая позволяет назначенной учётной записи получить доступ ко всей базе, если с главным администратором что-то произойдёт. Так я могу быть уверен, что некоторые важные доступы не будут утрачены.

Vaultwarden (раньше назывался bitwarden_rs). Bitwarden хоть и имеет лицензию, позволяющую поставить его бесплатно, как self-hosted решение, всё же коммерческий продукт.

Во-первых, он намного более прожорливый в плане ресурсов - мой домашний Vaultwarden на один контейнер с чуть больше чем сотней записей ест 130 Мб памяти, Bitwarden со старта хочет полгигабайта и может отожраться почти до гигабайта.

Во-вторых, Bitwarden некоторые довольно удобные фишки закрыл за платной подпиской. Например, генерацию TOTP кодов и тот самый Emergency access, когда моё доверенное лицо получит доступ к базе, если со мной что-то произойдёт.

В-третьих, все дополнительные плюшки в виде расширения браузера и десктопного приложения полностью совместимы с Vaultwarden.

Так что я не нашёл причин ставить платный официальный warden. Экономный, так же, как официальный, умеет работать с разными базами данных, есть API, плагины и приложения работают без проблем, есть поддержка двухфакторки, TOTP. Слегка упоротый в плане концепций и настройки после keepass'а, конечно, но разобраться вполне можно.

Sign up to leave a comment.

Articles