Comments 58
Ну и не забывайте про бэкапы сервера.
Не слышал про него спасибо, надо будет попробовать применить.
Бэкапы это да, обязательно нужно их делать, на домашнем сервере рейд настроен. Железка конечно шумит, но автономность радует.
Маловероятно что два диска одновременно выйдут из строя. Так что за сохранность данных я спокоен.
Есть куча способов потерять информацию при стопроцентно рабочем оборудовании.
Сильный скачок напряжения и последующий выход из строя компонентов, которые к нему подключены -- вот, например, один из немногих сценариев когда два диска одновременно могут уйти к MFM/RLL прадедам.
А ещё можно данные удалить самому случайно. Вот второй сценарий.
RAID -- это не бекап, верно сказано.
Жаль, что до сих пор "проскакивает" фраза "RAID - это не бэкап". За годы существования технологии, ИМХО, каждый причастный уже должен был это выучить наизусть и никогда, никогда не считать RAID сколь-нибудь смахивающим на бэкап решением! Только отказоустойчивость/бесперебойность/производительность, не более!
Я на практике видел, как одновременно умерло 10 дисков. За секунду, какое-то мгновение. Как это произошло? Человеческий фактор и отсутствие четкого стандарта на отстегивающиеся кабели блоков питания. У старого и нового БП была разная распиновка. Новый БП - старые кабели. Вместо 5 вольт на электронику диска пришло 12, она и сгорела. Часть дисков я потом помог восстановить, в них сгорели лишь супрессоры и предохранители, но часть так и осталась лежать со сгоревшими контроллерами. Лично я с новым БП поставил бы и родные кабели, но кто-то так не делает, как оказалось.
Пожар одновременно может вывести и большее количество дисков.
Как-то сложно. Чем вас не устраивает KeePass?
Полностью автономный (зашифрованные базы паролей можно хранить у себя лично)
Поддержка на большинстве платформ (приложения разные, база паролей одна)
Если очень хочется можно синхронизировать базу паролей через клауд (например, через DropBox)
Если стремно/не по политикам вливать данные в клауд - можно хранить в локальных файлах и синхронизировать через WiFI (или любым другим способом). Например, используя cron таски в известных сетях
Куча настроек для автовввода и автодополнения. На виндовс, мак ос т ай ос точно работает. В винде можно создавать шорткаты, которые, к примеру, могут создавать RDP сессию с указанным логин/паролем (в других системах я это делать не пробовал)
По умолчанию KeePass шифрует базу используя AES-256, что является общепризнанным стандартом
Да, согласен keepass по функционалу закрывает все потребности. Выбор пал на vw чисто субъективно из-за интерфейса
Bitwarden сильно проще. Поставил сервер, поставил плагины в браузеры — и всё, больше ни про что не надо думать — как гонять файл с паролями, как обеспечивать доступ нескольким пользователям и т.п.
Нуу… так всегда :) чем меньше безопасности, тем больше удобства :)
Возьмите, хотя бы наличие сервера. У кипасс сервера нету. Нет сервера - нечего ломать :)
Так точно, именно поэтому те же ядерные установки (включая мирные) отключают от сети.
Это не значит что вы должны поступать так же, тем не менее это не повод выставлять наружу (или в DMZ) дополнительный вектор атаки в виде парольного менеджера. Зависит от ваших требований к безопасности, конечно.
Я, конечно, тоже местами параноик, но всё равно, в борьбе удобства и максимальной безопасности я выбираю удобство. При сохранении приемлемого уровня безопасности, само собой. И уровень безопасности битвордена мне кажется вполне достаточным «для дома для семьи».
Считаю, что от случайной атаки он вполне защитит, особенно если включить двухфакторную аутентификацию (пока не включил, но думаю про Authy).
А чем выставленный наружу парольный менеджер отличается от выставленного наружу облака, в котором лежит файл с паролями?
Тем, что в случае взлома облачный парольный менеджер потенциально начинает работать против вас. Тогда как утёкшая база с паролями — это зашифрованный набор байт, совершенно бесполезный без мастер-ключа.
как обеспечивать доступ нескольким пользователямВот это ключевой момент. Если пользователь один, то плюсы Bitwarden превращаются уже в минусы — надо поднимать сервер и так далее. Усложнение там, где оно не нужно.
А вот если пользователь не один, то таки да.
У keepass две основные проблемы, которые не позволили перейти на него:
Разношерстные клиенты под разные платформы (Linux, Windows, браузеры, Android, iOS, и да, мне нужны все)
С синхронизацией все плохо: если добавить запись на одном устройстве оффлайн, а потом на другом - то базы уже не синхронизировать, bitwarden хотя бы честно говорит, что нельзя добавить запись оффлайн.
Хочу перейти с keepassx на bitwarden из-за проблем синхронизации файлов keepassx.
Где-то инета не было когда сохранял файл, где-то клиент остался открытым и из-за лок-файла не сохранить новый пароль в другом месте. Где-то с другим пользователем начал одновременно редактировать его…
Пока файл keepass один, пользователь один, и пару клиентов, то всё ок. Как только несколько файлов, несколько устройств и несколько пользователей, то вылезает куча проблем.
Обычный keepass 2.x умеет синкать базы, а также имеет опцию сохранить базу после любого редактирования. Также есть опция всегда синкать а не перетирать. Обе отключены по умолчанию, но если их включить, а использование лок файла и так уже вырублено по умолчанию, что и вам советую, и получается прекрасно, просто редактируйте и всё работает, использую с кучи мест. Если конечно у вас apple то там вроде хуже с клиентами.
KeePassXC - современный форк keepassx, прекрасно работающий на маке, и с синхронизацией там все отлично
Полностью согласен, как перешёл на него - нарадоваться не могу, ниже про клиенты на айос писали, там тоже все можно и найти и нормально все работает с одной и той же базе. У меня на дропбоксе лежит база, откуда ее открываю и на маке и на вин и на айос, из минусов - значки в клиентах разные по умолчанию (сарказм офф, хотя значки действительно разные по умолчанию)
KeePass не работает нормально на macOS и iOS, хорошее официальное приложение только под Windows.
KeePassium - для iOS
KeePassXC для мака.
KepassXC - отлично работает.
Моя статья по теме паролей для домохозяек https://dewil.notion.site/e89c98cf12574fd68064c94bc34193f7
Бардак с клиентами.
Невозможность (на найденом browser extension, вроде это tusk был) нормально кэшировать авторизацию (вводи по новой далеко не только пароль) и это подана как фича, сохранение пароля нового из web extension — ни ни
Тупизм с Autofill на андроиде. Он работает… странно.
Еще больший тупизм с Autofill на андроиде в режиме DeX.
Синхронизация методом — вот вам файлы, любитесь как хотите… смущает. особенно когда один файл не текстового формата. Был уже неприятный опыт с другими приложениями.
Все это тестировалось в 2016 году правда. После сюрпризов LastPass'а, после некоторого периода с Dashlane(там свои проблемы) в итоге Bitwarden был выбран.
За заявленную опенсорсность и совместимость.
На VaultWarden все сегодня переехало за пару часов (пришлось только экспорт-файл лить по частям)
+1, сам давно пользую, вещь удобная, особенно тем, что можно хранить не только пароли, но и различные нужные записи. Хранил базы паролей на гугле, а как на хонор перешел - перетащил в яндекс. С длинным мастер-паролем на облаках хранить нестрашно. Из дополнительной фичи отмечу, что из-под винды можно в настройках задействовать ввод пароля через окно uac. Более безопасно против кейлоггеров и всяких принтскринеров. Ну и плюсом то, что на телефоне оно еще удобнее, чем на компе) Ещинственное, под линуксом некоторые плагины (к примеру, для гуглосинхронизации) требуют net framework, который лично я пока не разобрался, можно ли воткнуть.
Я погуглил весь интернет и так и не нашел клиента на Android, который бы умел одновременно:
В автозаполнение паролей для ВСЕХ браузеров под этой ОС
В синхронизацию через WebDav. Суть в том что в свете последних события доверять дропбоксу = использовать обычный Bitwarden с его облачными серверами, а WebDav - это универсальный интерфейс, в который могут многие облака, тот же Яндекс. Очень был бы рад если бы Вы меня переубедили и сказали что я плохо искал и вот оно то самое приложение под Android.
В автозаполнение паролей для ВСЕХ браузеров под этой ОС
bitwarden такого не умеет (у меня, по крайней мере). Обычно просто копируешь пароль из клиента и вставляешь потом в браузере. Изредка может вылезти кнопка его запуска на какой-то форме, но она больше мешает, чем помогает.
в свете последних события доверять дропбоксу
В свете последних событий любым облакам доверять не стоит. Тем более — яндексу с его утечками. Битворден хотя бы можно у себя захостить.
Позвольте с Вами не согласиться:
bitwarden такого не умеет (у меня, по крайней мере)
Этот клиент для меня номер один по тем параметрам которые мне надо. Я не настолько параноик, и больше боюсь закрытия сервиса в РФ чем его возможных уязвимостей. И не пользуюсь им именно из-за этого (хотя долгое время пользовался).
Обычно просто копируешь пароль из клиента и вставляешь потом в браузере
Полагать что пароли в буфере обмена хранить безопасно, на мой взгляд немного опрометчиво
Изредка может вылезти кнопка его запуска на какой-то форме, но она больше мешает, чем помогает.
Именно это API Android, появившееся в 8.1, кажется и является безопасным способом автоподстановки паролей и другой чувствительной информации. И как раз с этим я наблюдаю проблемы у ВСЕХ клиентов, совместимых с Keepass под Android кроме Bitwarden. Но это мой опыт, у Вас он может быть другим.
В свете последних событий любым облакам доверять не стоит
И да и нет, но как я уже писал выше, мне важнее доступность чем уязвимости. Безопасных облаков на 100% не существует, но такие риски лично я готов принять.
Еще раз повторюсь: я ищу клиент только для себя и под свои нужды, в моем посте нет цели оспорить Вашу позицию или какие-то правила ИБ.
"Цифровая свобода" и docker, Google Pixel, chrome, github, dropbox...
Ща мы тут смузи хлебнём и натыкаем мышкой очередной сервис, даже не поняв что делаем.
Неужели действительно девопсерство настолько влияет на саму способность думать?
Чебурнет действительно необходим. Хотябы на время, чтоб понять что такое локальная машина, что такое сеть, что такое "без гуглов", "без stackoverfow","без облачков" .
Любое что лезет в "неваше облако" - уже не ваше. А "неваше облако" любое, что физически не ваше. Любой код, работу которого вы не понимаете - может оказаться миной замедленного действия.
Ща мы тут смузи хлебнём и натыкаем мышкой очередной сервис, даже не поняв что делаем.
К сожалению, иначе сегодня многое не запустить. Либо бери контейнер, либо вот тебе кучамусора, из которой надо попытаться собрать рабочий продукт. На инструкции по развёртыванию программ на живом железе многие разработчики забивают.
Если посмотреть что было "до": Сохранённые в хроме пароли.
т.е. доступ имел юзер, гугл, хром и все партнёры и заказчики гугла и хрома. Но на ответственности и репутации гугла и хрома.
Что стало "после": Пароли теперь зависят от дырявого докера, добропорядочности малоизвестного проекта на гитхабе с неизвестными разработчиками, добропорядочности авторов всех используемых проектом vw библиотек, зависят от поддержки https сертификата, работоспособности rpi, помимо сети доступов и т.д. При всём при том, что гугель итак получит доступ ко всем вашим паролям. (а заодно где, с кем, когда были, что делали, и т.д.)
Может всё-же разобраться локально со своими паролями, не раскидывая их по сети всем желающим?
Больше похоже на выстрел себе в ногу, Вам не кажется?
т.е. доступ имел юзер, гугл, хром и все партнёры и заказчики гугла и хрома
И весь софт в системе, который мог почитать хромовский профиль.
Пароли теперь зависят от дырявого докера
Он дырявый?
обропорядочности малоизвестного проекта на гитхабе с неизвестными разработчиками, добропорядочности авторов всех используемых проектом vw библиотек, зависят от поддержки https сертификата, работоспособности rpi, помимо сети доступов
В любом случае вы кому-то доверяете. Не хотите доверять — есть ручка и блокнот.
Ну, справедливости ради, пароли на сервер уже шифрованные идут и их утечка сама по себе не так сильно критична, во-вторых, можно этот образ и самому собрать. Это скорее для клиента более актуально. И хром можно на файрфокс поменять. Но я в целом даже согласен с вышеописанным, интересно, только, а что вы конкретно предлагаете под "разобраться локально", то есть как удобно пароли между девайсами синкать?
что мешает посмотреть на содержимое Dockerfile и воспроизвести на живом железе? Ну, кроме лени, конечно же...
Интересно , а какая есть опен-сорсная замена Roboform? В упор не найду ничего, что также встраивалось бы в броузеры и заполняло сохраненные ранее формы по одному клику (а не только логины с паролями)
А он может как Roboform сдампить все поля ввода на странице сам и сохранить их как пасскарту?
Но я видел аддоны для браузеров, которые что-то подобное делают.
addons.mozilla.org/en-US/firefox/addon/autoformer
addons.mozilla.org/ru/firefox/addon/autofill-quantum
Но сам не пробовал — это не самая востребованная среди меня функция.
>> Например Google Photos, раньше для хранения фото с телефонов Google Pixel был безлимит на загрузку фото в оригинальном качестве, но в какой-то момент Google изменил правила и теперь безлимитное хранилище доступно только для загрузки фото в сжатом качестве.
Кроме самого первого пикселя. Купил с алиэкспресс в прошлом году, всё по прежнему безлимитно и бесплатно. Загружаю с фотоаппарата фотки в пиксель - вуаля, всё в облаке. Проверки на "чем снято" нет(пока нет, конечно, могут и добавить).
Vaultwarden в зависимостях использует SweetAlert2, который с помощью js пытается в веб версии вставить mp3 с гимном Украины, если в браузере используется русский язык, либо если домен в зоне ru/рф
У меня браузер блокирует загрузку файла из-за политики безопасности и весь js на странице авторизации падает.
Домены вроде не только ru/su/рф, но и by.
В багтеркере пишут, что начали замену библиотеки, но когда закончат — непонятно.
В общем, разработчики в курсе и "работают над этим".
Не Vaultwarden, а оригинальный веб-клиент Bitwarden, а из него уже прилетело и в патченый веб-клиент Vaultwarden. В браузерном расширении и в приложениях такого нет
весь js на странице авторизации падает
JS не падает, это тот же SweetAlert2 вешает pointer-events: none
на <body>
— если его убрать, то можно пользоваться (но зачем, если есть приложения?)
Цифровая свобода. Часть 1. Менеджер паролей