Pull to refresh

Comments 93

Вообще не понимаю, почему люди просто игнорируют KeePassXC? Вот тут его просто вскользь упомянули.

Берём KeePassXC, ставим вместе с SyncThing и радуемся жизни. У меня не было проблем с тем, чтобы синхронизировать базы между разношёрстными устройствами. Два ноутбука на Linux, один на Windows и телефон на Andorid. База синхронизируется по P2P протоколу. Ни на какие сайты её заливать не надо. Можно шарить через шару. Можно попробовать onion.

В базе есть OTP, так что не надо отчитываться дяде Гуглу о том, какие у вас есть OTP. И бесконечное количество замечательных рюшечек, которые можно спокойно себе игнорировать.

Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux. Более того, есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь. Но при этом, программа пять раз спросит, прежде чем выдавать ваши пароли кому попало.

У вас обзор какой-то странный вышел. Вы рассказали про четыре альтернативы, а тему по ним раскрыли только по одной.

Вообще не понимаю, почему люди просто игнорируют KeePassXC?

Вещь хорошая, но не для всех. Неоднократно пользователи теряли сертификат и на этом всё :) По СМС не восстановить.

По СМС не восстановить.

Там где доступ можно восстановить только по СМС, пароль как первый фактор авторизации становится не нужен и безопасность определяется только четырьмя цифрами передающимися по открытому каналу.

Там где доступ можно восстановить только по СМС

Я про это и написал, что данное решение подходит не всем. Большинство, будет использовать стоковое решение из браузера или ОС, восстанавливая доступ периодически по СМС :)

добавлю /s

а то минусов опять насуют

В тех же битварден и 1пасс тоже не восстановить (в персональной редакции), ибо пасс юзается как часть ключа для шифрования, так что его тоже не следует терять (и секрет с сервера тоже, который придумываете не вы)

поправьте, если ошибаюсь:

https://support.1password.com/forgot-account-password/

в битвардене с виду также https://bitwarden.com/help/forgot-master-password/

было бы странно иначе

почему люди просто игнорируют KeePassXC?

потому что у платных решений – хорошая платная маркетинговая кампания, их имена на слуху/в топе поисковой выдачи

Вероятно авторы статей плотненько с подобным и не поработали

Более того, он умеет добавлять ключи в ssh-агент, а при блокировке базы удалять. Что, по моему мнению, тоже повышает безопасность, так как с диска его уже не прочитать.

У их форка вроде до сих пор внешнего аудита безопасности не было.

>Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.

Не можете какую-то готовую инструкцию порекомендовать на эту тему?

KepassXC + Syncthing давно использую на разных устройствах, в Linux и ssh ключи из него в агент автоматом добавляются. А вот как системный менеджер секретов - было бы интересно попробовать.

KeePassXC

телефон на Andorid

А оно разве под андроид есть (именно XC)?

А если нет, то какой андроидный клиент лучше?

Ой. Извините. Пользую Keepass2Android. У него хорошо с синхронизацией парольных фаилов.

У меня из него когда-то на спор вытащили все пароли, правда при условии наличия физического доступа к девайсу и без сопоставления логин-пароль-url. Как - не признались) но по идее если бы тупо сбрутфорсили мастер пароль, то получили бы и логины и urlы

Тут просматривается еще два вектора атаки.

  1. Менеджер буфера обмена (внутренний или сторонний). Если пароли вставляются через него, то все они прекрасно видны в истории этого менеджера. А потому не забывайте эту историю за собой чистить.

  2. Если доступ к хранилищу паролей закрыт не паролем, а ключевым файлом, который хранится на устройстве, особенно если для удобства он автоматически подставляется в диалоге ввода пароля/ключевого файла. Но тогда тот же вопрос, что и к подбору мастер-пароля (получили бы полный доступ).

Первое кстати может быть, продемонстрировали мне только доступ к одному конкретному аккаунту... на десктопе у меня KeePassXC чистит историю буфера, не знаю умеет ли он это на телефоне
Второе мимо, там был ключевой файл+пароль

Тогда у меня еще был включен QuickUnlock, возможно это как-то с ним связано (может он хранить в памяти расшифрованную базу? И возможно ли ее выдернуть оттуда, если девайс не рутован?)

Попробуйте KeePassDX

А вот он как раз не умеет автоматически перечитывать измененные другим приложением (читай syncthing) файлы. Приходится каждый раз руками тыкать.

Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.

использовать базу своего kdbx в качестве kwallet базы - мечта. но не осуществимая..

ИЛИ НЕТ? может я просто отстал от жизни?? что означает ваше сообщение выше?

Есть вкладка "Settings - Secret Service Integration". Это не оно?

У меня она задизейблена "Another secret service is running (PID: 1234, Executable: /usr/bin/kwalletd5). Please stop/remove it before re-enabling the Secret Service Integration....", на основной оси не хочу проверять, а виртуалки нет в данный момент под рукой.

ну это всё же немного не то:
1) это одностаронняя связь
2) это попытка заменить а не интегрироватьс

Не обязательно KeePassXC, он мне показался жутко неудобным, хотя может UI и улучшили, конечно со старых времён, когда хотел смигрировать. Пользуюсь 10+ лет оригинальным KeePass, Linux+изредка Windows параллельно. Конечно с синхронизацией вот тут не сильно удобно, KeePassXC в этом плане намного лучше. Собственно по этой причине и хотел перейти на него несколько лет назад.

Пользуюсь keepass2 (портабл версия, которую даже не обновляю). Сейчас узнал о существовании keepassXC.

Это продукт от какой то другой конторы, форк, или исходный софт ребрендинг сделал? Вдруг вы а курсе.

Спасибо!

Скорее пересоздание того же самого на кроссплатформенных началах (написан на Qt) и с чуть большим участием комьюнити. Жизнь на их репе в гитхабе бурлит и кипит

Я использую и все прекрасно. А раз все прекрасно, то нечего и комментировать. :DDDD

есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь.

Давно присматриваюсь к KeePass(XC).
Смущает то, что для автоматического ввода паролей нужно перед открытием браузера запускать десктоп-клиент.
"Родной" менеджер паролей в Firefox не требует дополнительных телодвижений.
И сочетание клавиш нажимать не требуется.

Автоматический ввод паролей это дыра, вообще-то. Был прецедент, когда на страницу сайта инжектили невидимое поле для ввода пароля - ну браузер пароль и вставлял туда автоматически.

Может и дыра. Но за примерно 25 лет я ни разу в нее не угодил )


Функциональность, комфорт и экономия времени для меня гораздо важнее, чем забота о безопасности, которая, на мой взгляд, больше похожа на происки маркетологов, чем на реальную опасность.


Разумеется, я не пользуюсь менеджером паролей для доступа к банку.
А всё остальное — пусть эти хакеры хоть обсмотрятся, например, моими фотками в облаке, если угонят аккаунт.
У меня на всё двойное резервирование на разных планетах сервисах и континентах ))

Разумеется, я не пользуюсь менеджером паролей для доступа к банку.

То есть для банка (или даже нескольких банков) у вас пароль, который можно запомнить? Это храбро.

А в чем проблема запомнить 10 знаков, включая заглавные буквы, цифры и спец. символы?
И как работаете с паролями вы, если считаете, что менеджер паролей — это дыра, а собственная память — это храбро?

Проблема в том, что и десять знаков по хорошему маловато, и паролей больше чем один. У меня не очень стандартный случай с большим количеством счетов, но наверное у большинства людей на хабре этих паролей хотя бы два-три и некоторые вводятся ну может пару раз в год. Запомнить что-то сложнее "названиебанка123" при таких раскладах безнадёжная затея.

И вы не поняли, менеджер паролей это отличная идея, а не дыра. Дыра - это автозаполнение паролей. Менеджером я пользуюсь уже давно, но никаких безкликовых интеграций нет.

Я тоже не заморачивался.

Потом у меня ломанули и зашифровали два совершенно разных сервера на разных площадках.

Общего у них бывало только одно: доступы, логины и пароли к ним лежали в Evernote (сам дурак, конечно).

Но знаю людей, у которых банковские флешки постоянно воткнуты в комп, а файлик с паролями в.txt лежит на рабочем столе. Там, правда, еще код по СМС должен приходить, но тем не менее.

За 23 года практики я встретил использование менеджеров паролей два раза, оба - it-специалисты. А вот у бухгалтеров - ни разу. Две попытки научить - ни к чему не привели. Им удобнее текстовый файлик или вообще бумажки (потом любимая игра "угадай пароль").

Цифровую гигиену никто не отменял.
Есть замечательная фраза Эйнштейна:
В мире существует две бесконечности: Вселенная и человеческая глупость. Впрочем, насчет Вселенной я не уверен.

На Андроид устройствах он есть? Я так сходу не нашёл.

Отбой, увидел Keepass2Android, извините.

рекомендую KeepassDX, и выглядит приятнее, и работает не хуже, и дополнительные фишечки есть и UX поприятнее

А еще можно купить самый дешевый "вечный" VPS по цене годовой подписки 1password и этот kdbx файлик синхронизировать со всем зоопарком своих устройств по SSH.

А можно пример, у кого купить такой vps? Мне на будущее.

Я вот его не использую в том числе потому что на момент когда последний раз делался анализ на что мигрировать, с KeePass выяснилось что:


  • под каждую клиентскую платформу — свое приложение
  • не все они полностью совместимы между собой
  • интеграция через что-то вроде SyncThing внезапно работает не везде (не работала например на браузерных расширениях даже на Windows не говоря про ChromeOS), а где работает — различается функционал (простейший поиск сайтов — не везде)
  • даже там где оно работает — получилось поймать конфликты синхронизации(!)
  • андроид-версия (уж не помню что именно из рекомендованного на сайте) тупит часто, и вообще не хочет работать в DeX-режиме. Вне DeX — не поддерживается штатный autofill андроида а только accessibility services.

Да, весьма возможно что за 4 года хоть что-то из этого — поправили. Только вот зачем если был найден Bitwarden? Ничего из описанных проблем — нет, opensource, включая серверную часть, с минимальной абоненткой, с возможностью вообще по-сути-официальную-пиратку использовать с VaultWarden'ом в качестве сервера которому плевать на оплату.


Ну да — возможно ситуация изменилась, как с XMPP, недавно попросили в том числе меня написать список того почему XMPP НЕ использую а использую Matrix, а потом была серия комментариев (не факт что корректных но все же) которые сводились к тому что чуть ли не половина пунктов "ну да, это была проблема, но уже нет, см ссылку Y/потому что X".

Спасибо, добрый человек, за связку KeePassXC + SyncThing. Наконец-то смогу "переехать" с Keepass2Android на комп. А вот в существующую базу KeePassXC можно "вкачать" пароли накопленные в Chrome?

Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков.

Передавать пароль третьей стороне - это серьезное отношение к безопасности? Ну не знаю, не знаю...

Моя паранойя не доверяет облачным хранилищам любой степени надёжности. В лучшем случае зашифрованный бэкап.

По мне лучший вариант это Enpass, достаточно дёшев, можно купить пожизненную лицензию иии позволяет хранить базу паролей в облачном хранилище, выбранном вами)

Да, все ещё облако, не помню, если там owncloud или nextcloud, но для особой паранои там есть локальна синхронизация.

Любой сторонний сервис может также попасть как LastPass.Поэтому если рассматривать для работы, то лучшее решение это полный контроль своей базы даных на собственном ресурсе. Тогда и утечек не будет, а если ушло, то сам виноват. По юзабилити в команде я бы сказал, что ServiceLockBox удобнее всего и на marketplace azure еще у них версия есть. Мы развернули у себя и живем спокойно.

Как пользовался KeePass, так и пользуюсь. Он с плагином ещё и TOTP умеет, вообще замечательно стало.

А какой плагин выбрали, если не секрет?

KeePassOTP

С гитхабом работает хорошо, со стимом не пробовал - там гемморойно добывать secret, чтобы пароли генерились.

А ввод как организовали? Через горячую кнопку? Просто есть сайты, где под каждую циферку отдельное поле сделано и либо надо открывать окошко и оттуда всё вводить или делать автоввод, который потом ещё придётся править, когда на этом сайте в очередной раз интерфейс переделают — жутко неудобно.

Ну на гитхабе поле ввода одно, так что просто копировать-вставить.

А так да, я бы настраивал автоввод.

Тут даже не сам факт волнует, а то как просто встроить бэкдор в хранилище паролей.

А собственно что именно защищает KeePass (любой из клиентов) от таких вот сюрпризов? Особенно с учетом что конкретный мейнтейнер может решить что время проявить активную общественную позицию (и плевать на в том числе и на новостные статьи что обнаружен бэкдор) и только форкать. Ну так Bitwarden'овские клиенты тоже форкаются.


Кстати вот у меня оный стриминговый сервис НЕ работает и не работал. Хотя судя по условиям активации — должен бы.

@ru_vds Как активный пользователь Bitwarden, призываю вас упомянуть в статье этот факт. По моему, по рискам для пользователей он сравним с атакой на LastPass.

Спасибо, добавили информацию в статью.

Однако есть «интересный» момент: с недавних пор разработчики добавили на сайт Bitwarden скрипт, который автоматически проигрывает гимн Украины при определённых условиях (например, если в браузере установлен русский язык).

Не совсем так. Разработчики Bitwarden скрипт не добавляли, его добавил автор либы, которую использует Bitwarden для отрисовки web-интерфейса.

Дополните еще, пожалуйста, что не разработчики Bitwarden добавили, а разработчик js библиотеки sweetalert2, которая теперь позиционируется как naziware protestware. В Bitwarden просто обновили версию библиотеки. Если веб-версией не пользоваться, то ничего страшного случиться не должно, хотя кто знает, какие ещё они там зависимости в нативном клиенте и бэкенде используют.

Кстати, опенсорсный форк проекта Vaultwarden использует тот же фронтенд, так что там проблема тоже наблюдается.

Это не отменяет факта, что в Bitwarden очень неохотно что-то по этому поводу делают.

Самое худшее в ситуации — то, что помимо воспроизведения гимна (что само по себе относительно безобидно), либа блокирует всю навигацию на странице, если она решила, что вы из России/Беларуси. А может и пароли на pastebin постить.

Вот вам и грязная сторона опенсорса.

Не-а, никогда:
NordPass stores all your passwords, passkeys, credit cards, secure notes, and other sensitive information in the cloud

Про хваленый BitWarden забыли сказать самое важное - без ВПН не работает на терретории богоспасаемой

На территории высокодуховной можно захостить собственный инстанс сервера и зависеть только от правильного VPN до дома.

Каким образом он у меня работает? В том числе и на смартфонах без активного VPN

В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.

История учит, что ничему не учит. Казалось бы, после такой компроментации проект закрываться должен, но нет… пользователи ценят удобство в первую очередь, а не безопасность)

Хочу упомянуть SafeinCloud, есть версии для любых мобильных систем, MAC и Windows, Linux увы нет, синхронизация между устройствами, я настроил базу паролей в своём NAS облаке.

Тоже его использую, но похоже автор перестал поддерживать свое детище-обновлений нет уже год. На заявленные баги обещали сделать исправления, но год прошел и ничего нет. У Вас при синхронизации через свое NAS облако не слетают периодически настройки подключения к нему?

Пару раз слетали, а так то нет, синхронизирую через WebDav, с правильным SSL сертификатом.

Аналогично, WebDav на Synology, с их сертификатом. И настройки непредсказуемо слетают.Может несколько месяцев работать, а может через день изчезать.

Парольные менеджеры 2023 года: что нового?

а собственно ничего нового то и нет. на манеже всё те же.
битварден для тех кому нужен сервер и шаринг сИкретов между несколькими УЗ (а так же для тех кого не воротит от убогого электроноклиента), keepass{,x,xc} для тех кому просто нужен непробиваемый, удобный, функциональный, безопасный личный менеджер паролей. ну а все остальные если честно не заслуживают внимания, особенно те которые позволяют забить на первый фактор аутентификации и сбросить его через СМС которое как известно являет собой не второй фактор аутентификации а дыру в безопасности.

Задумался куда импортировать пароли с хрома и что бы менеджер паролей сам вставлял пароли в хром, после фразы учетку могут внезапно заблокировать и доступ к паролям и отп будет недоступен. Использую макпасс, базу храню в айклауде, ключ в другом аблаке и пароль только в голове.

Пользуюсь GNU pass (https://passwordstore.org) много лет. Использует gpg для шифрования, умеет в гит, умеет в OTP, умеет autotype в любое приложение, имеются клиенты и плагины под разные платформы.

Аналогично. К нему еще куча интеграций! Я к примеру использую его с плагином к браузеру, а сами пароли веду через плагин в GNU/Emacs. Есть клиенты для терминала и GUI. По сути pass это больше соглашение, как и в каком формате хранить секретные данные, клиента можно написать полностью своего.
Но упоминают это решение редко, видимо потому, что за ним не стоит никаких компаний, которые всячески продвигают свои saas или приложения.

А еще нет кнопки download для винды, вот и пользователей не будет.

Можно ещё упомянуть teampass. Пробовал его лет 5-6 тому назад. Тогда было ощущение недоделанности.

Использую PasswordSafe, беда есть только под WIN на маке приходится держать виртуалку. Авто вставки чего бы то ни было, отключены напрочь.

Понравился классический интерфейс.
Но клиент под Андроид портирован и поддерживается только одним человеком — bus factor.

А вот как по мне, при выборе менеджеров паролей многие не смотрят на очень важную особенность - способ организации базы данных. У всех, кроме почившего "Сейф+" (автор оставил разработку) база хранится в одном файле, что есть проблема если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации (доки, и прочие файлы) раздувают БД до неприличных размеров и когда это один файл - это начинает быть проблемой.

Я вот ищу уже который год, и нет ничего на замену Сейфа :(

1Password standalone (т.е. не клауд по подписке). Разбивает базу на несколько файлов (+аттачи отдельно).

если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации

А стоит ли на такой сценарий смотреть? Менеджер личной информации - отдельные требования к нему есть. Довольно обширные - смотри обсуждения прямо тут на хабре. А пароль к нему же (если он сам шифрует) или к шифрованному контейнеру можно уже в менеджере паролей хранить.

В обратную сторону - когда пароли хочешь хранить в каком-нибудь таком менеджере еще можно как-то понять, но использовать базу данных парольного менеджера - как то странно выглядит?

А можно ссылку на обсуждение пожалуйста

А можно ссылку на обсуждение пожалуйста

Я имел в виду приблизительно такие. Они тут регулярно появляются.

А так алгоритм приблизительно такой: ищем на том же alternativeto.net алтернативы этому самому Obsidian или какому еще знакомому названию. Или сразу по тегу Note-taking Tools.

А потом поиском ищем в Хабре все, что нашлось:
Obsidian, Joplin, Evernote ну и так далее.

Почему разработчики браузеров не сделают стандратное api для всех пассоврд менеджеров, чтобы по нему эти менежджеры могли коннектиться с браузерами и передавать приватные данные. А то нажимать хоткеи в keepass для авторизации на страницах и гонять пароли через буфер ос, как то прошлым веком попахивает.

Сейчас - уже смысла нет. Точнее, я бы предпочел, чтобы всякие интерфейсы для WebAuthn и Passkeys активнее писали. Последние, кстати, ну вот в явном виде та информация, что в 'менеджер паролей' просится.

А есть. 1Password так умеет.
Но вот только 1Password активно сопротивляется попыткам его использовать. Даже на уровне создания аккаунта. Можно конечно обойти но… уж лучше Google'овский встроенный в Chrome/Android софт для синхронизации Passkeys.

[sarcasm]Потому что юзеры должны использовать менеджер паролей в самом браузере, и обязательно с облачной синхронизацией, а не сторонние небезопасные приблуды.[/sarcasm]

Пользуюсь KeePass в связке с яндекс.диском в принципе устраивает, на телефоне KeePassDroid в связке с этим же файлом на я.диске

Здесь упомянуто, что доступ к паролям, хранящимся в Гугле, можно утратить, если Гугл забанит. Но не упомянуто, что то же самое возможно и с другими сервисами. Меня вот пару лет назад LastPass забанил. Результат тот же самый: полная потеря всех паролей. Интересно, как с этим обстоят дела у Протона и у других.

Хранить локальный бэкап. Любой сервис может заблокировать без объяснения причин.

Минус ProtonPass в том, что он похоже не работает в РФ (требует VPN)

Никто никогда почему-то не упоминает такую важную штуку для парольного менеджера, как история и история комментариев записей.

Любимый всеми bitwarden хранит внезапно только историю паролей. То есть если сайт поменял вам авторизацию с аккаунта на почту - в историю это не попадет. А так же не попадет в историю изменение комментариев к записи в виде обязательных контрольных вопросов. Некоторые сайты упорно требуют их задавать про создании аккаунта. Поменяли кв - битварден прошлый вам не покажет....

Sign up to leave a comment.