Comments 54
Safe in Cloud очень нравится купил даже семейную лицензию. Но всё-таки по привычке как первоисточник данных использую LastPass
Странно, что Bitwarden есть в таблице, но отдельного пункта в обзоре он не удостоился.
При этом, в минусах:
Уродливый дизайн
Дизайн действительно гиковский, но прям "уродливым" я бы его не назвал
Данные хранятся в альянсе "5 глаз"
1Password, Dashlane и прочие тоже, но там это не упомянуто. Про selfhosted решение для параноиков не упомянули.
В общем, рейтинг совершенно непрозрачен.
Keepass -- опенсорс, регулярно обновляется, куча плюшек.
Это мой комментарий. Пользуюсь им лет десять, доволен.
"Пользователи популярнейшего кроссплатформенного менеджера паролей KeePass под угрозой. Исследователь представил бесплатный инструмент для расшифровки всех паролей, логинов и заметок, которые хранит менеджер"
https://xakep.ru/2015/11/05/keefarce/
Кажется была ещё какая-то мутная история с утечкой данных о компрометации софта (типа бэкдор) и уходом ключевого погроммиста.
P.S. Да, я понял про регулярные обновления.
Достаточно запустить софт ворующий пароли на компьютере жертвы
На эту тему тут тоже была статья:
https://habr.com/ru/post/334060/
Это разные векторы возможных атак - если один не привел к успеху, может сработать другой.
Я, пожалуй, соглашусь с Вами. Откровенно говоря, я, памятуя о вышеупомянутом мной скандале, запросил уязвимости Кипасса (помнил так же, что их находили - благо программа популярнейшая и внимание привлекает соответствующее), но саму статью статью просмотрел вполглаза и методику атаки сморгнул.
А наезда именно на Кипасс, как бы и не было - как Вы правильно заметили, в той или иной степени уязвима любая система - "Никому нельзя верить"..
Вот ещё подброшу (всё равно заминусили "горячие финские парни" :)
"В начале текущего года (2016) Богнер обнаружил, что KeePass версий 2.x содержит неприятный баг: механизм обновления программы устроен таким образом, что обращение за апдейтами к серверам KeePass осуществляется посредством HTTP. Благодаря этой особенности на KeePass можно осуществить man-in-the-middle атаку, подменив легитимный апдейт вредоносным файлом. К тому же менеджер паролей никак не верифицирует скачиваемые пакеты обновлений, что дополнительно упрощает работу злоумышленнику ... Исследователь уведомил разработчиков KeePass о проблеме еще феврале 2016 года, однако лично глава проекта Доминик Рейчл (Dominik Reichl) сообщил исследователю в письме, что уязвимость устранена не будет."
https://xakep.ru/2016/06/06/no-https-for-keepass/
Опять же, это не наезад на Kepass, а предложение быть осмотрительными при работе с любым менеджером паролей.
Во-первых, кипасс сам не обновляется, а только показывает, что есть новая версия и при желании можно перейти на сайт
На подставной. И загрузить модифицированный файл
Доминик все же согласился
Ай! Молодец! Ведь может когда пнут под зад!
автор бесплатного софта
Не такой он уж бесплатный если в нем присутствует реклама - автор получает деньги, а я расплачиваюсь терпением.
Впрочем, Вы тоже, а я тут вот о чем ...
Когда я написал:
Кажется была ещё какая-то мутная история с утечкой данных о компрометации софта (типа бэкдор) и уходом ключевого погроммиста.
Оказывается, я имел ввиду историю с программой TrueCrypt
Вот такой Каминг-аут. Вот такой я нехороший - полюбуйтесь на меня. Фу таким быть!
Тапочки можно бросать прямо в монитор, кнопочка для минусов справа от циферки. Спасибо за внимание.
в статье написано что уязвимость только на пк.
что мешает поставить его на телефон и юзать его там привязав к отпечатку? я собственно так и поступил. пкшная версия есть, но она была установлена чисто покликать, разобраться в возможностях и интерфейсе.
+ его более свежий клиент KeePassXC
Причём у KeePassXC есть из коробки возможность прогонки первых пяти символов от хешей паролей по https://haveibeenpwned.com/
Фичу в своё время кто-то профинансировал.
За исключением страшненького интерфейса минусов у KeePass для себя не нашёл.
Для любителей линукса, минимализма и командной строки рекомендую pass. Для автозаполнения в браузере есть плагин browserpass.
"Открытый исходный код" в разделе "Особенности"...
Это должно быть обязательным требованием для менеджера паролей, а не "особенностью".
Запусти непонятно что, загрузи в него свои пароли от всего, залей дяде в облако и еще плати за это каждый месяц.
О дивный новый мир.
Так нет никаких гарантий, что на сервере запущен тот же код, что и опубликован. Хотя открытый код клиента — лучше, чем ничего.
Поэтому я использую keepass (он хотя бы serverless).
Не отражена важная особенность: одновременное использование на нескольких типах устройств(например десктоп + мобильный телефон).
Например, LastPass не очень давно изменил политику использования, и теперь одновременно на нескольких типах устройств в бесплатном плане его невозможно использовать. Много лет им пользовался, но после этого изменения пришлось переходить на новый.
Мне вот сегодня понадобилось авторизоваться на телефоне, и я как обычно жмякнул на кнопку switch device, и учетка превратилась в mobile only. И всё, теперь либо только в телефоне использовать, либо покупать Pro версию (а купить ее сейчас невозможно)...
Чуть не поседел из-за этого (т.к. в мобильной версии нет возможности экспорта), но обошлось, получилось в веб-версии экспортнуть.
Не согласен насчёт 1password.
У него нет бесплатной версии только для десктопа. На мобильных девайсах все бесплатно.
Есть очень полезная функция "локальное хранилище паролей" для тех (меня) кто не доверяет облакам.
А как же Teampass?
Хотелось бы уточнить у профессионалов, расцениваете ли вы риски хранения паролей в чьем-то облаке и использование плагинов неизвестного качества выше чем использование более простых паролей, или оффлайн менеджеров, наподобии Keepass?
Я не профи но расцениваю это как допустимый вариант ибо: я физически не могу запомнить пароль для всех сервисов где я зарегин.
Есть менеджеры паролей с локальным хранилищем.
Насколько я знаю не было пока ещё утечек и расшифровок паролей из таких облаков.
Если все таки такая утечка произойдет это будет означать смерть конкретного менеджера, поэтому к безопасности они подходят ответственно.
Если все таки такая утечка произойдет это будет означать смерть конкретного менеджера, поэтому к безопасности они подходят ответственно.Точно не вспомню в каких, но где-то 2-3 каких-то менеджера из списка и взламывали и какие-то утечки были и баги в облаке (Lastpass вроде точно был в какой-то новости). И ничего, живи целы, работают.
А еще вот статья на глаза попалась:
Опасности пользования онлайн-менеджерами паролей
А какой проект можете порекомендовать для работы в команде? Желательно on-premise и без доступа к вражеским серверам (привет ИБ).
Попробуй TeamPass версии 2 (3я ещё в бете и релиз не ясно когда будет). Пользуюсь им - вроде удобно. Настройка немного корявая и есть мелкие "баги" в интерфейсе, но если знаешь CSS и JS, то можно подправить, я сильно не заморачивался ибо не существенно.
Можно в нём локальных пользователей делать, с LDAP связать - и доменными учётками заходить. И каждой учётке прав раздать - достаточно гибко, но много микроменеджмента, если парольных групп много.
Вобщем есть и плюсы и минусы. Обзоры в интернете есть.
psono
Существует ли менеджер паролей для смартфона (в идеале кросплатформенный) с передачей пароля по сети в модуль автоввода (или хотя бы в содержимое clipboard) и опционально плагины к браузерам. Такой модуль был у keepass но не развился до удобоваримого и был заброшен.
Пароли должны храниться отдельно от места их использования, так проще их обезопасить, при этом вручную переносить сложные строчки утомительно.
Существует железное решение проблемы — usb модуль, с управлением со смартфона (для Keepass2Android его можно купить у его разработчика, как инструмент монетизации полагаю) и полужелезное (тоже для этого же менеджера но достаточно подключить смартфон к компьютеру), но я считаю подключение своего железа неудобным и не совсем универсальным (например попробуй подключи смартфон к планшетнику, встроенному в кресла рейсовых автобусов/самолетов)
upd. неожиданно есть то же самое, но симулирующее bluetooth клавиатуру, это уже интереснее
Про Enpass видимо устаревшая информация. Сейчас есть индивидуальный ($2,4) и семейный ($3,6) месячный планы, а также разовая покупка почти за 100 баксов. Количество устройств во всех тарифах неограниченно.
В своё время перепробовал почти все менеджеры паролей после того как 1password изменил ценовую политику с разовой покупки на подписку. В результате несколько лет назад перешёл на Enpass, потратив $20+$20 за устройства, и при очередной смены тарифов получил пожизненную лицензию.
Enpass кинул тех, кто раньше приобрел Lifetime Pro, введя новую лицензию под названием Premium.
Да, он не поддерживает Vivaldi или Brave
Это о LastPass. Ошибка. Он прекрасно поддерживает Vivaldi. У меня стоит и работает. Vivaldi вообще хромобраузер, а значит, поддерживает расширения для Хрома. Никаких проблем с ними нет. Работаю с этим браузером давно, не один год.
Так себе статья, по моему мнению. Когда я читаю фразы типа "256-битное шифрование AES военного уровня", "шифрование XChaCha20 следующего поколения", рука так и тянется закрыть вкладку. Явная джинса.
Мой выбор -- keepass. Облачным менеджерам не доверяю совсем.
Обзор менеджеров паролей без упоминания KeePassXC. Ну нельзя же так.
Обзор менеджеров паролей