Comments 54
По-моему, Яндекс браузер закрыл вопрос хранения и генерации паролей. Я раньше пользовалась keepass, но сейчас, мне кажется, подобным программам настало время умереть как классу.
По-прежнему лучшей системой является автономная хранилка (вроде того же keepass) с хранением файла в облаке. Для облака это просто файл, так что риск компрометации не растёт. Но появляется возможность использовать эти пароли на разных устройствах, чего нет в предлагаемом в посте варианте. И в варианте яндекс-браузера тоже разнообразие меньше желаемого мной.
А что не так с браузером? Он хранит пароли в открытом виде? У себя на сервере?
Нашел описание: https://habr.com/ru/post/134982/ вроде как нормально зашифровано все. У меня есть ощущение, что не хуже чем у keepass. Удобство однозначно выше — у меня пароли и на телефоне (не только в браузере!) и на компе синхронизированы, и только несколько паролей я реально храню в голове (они ещё со вторым фактором, но на случай если я "потеряю" разблокированный смартфон, я их и не сохраняю нигде)
А что не так с браузером?
Потенциально уязвимость браузера может привести к утечке ваших паролей.
Не подумайте, я ни в коем случае Вам не навязываю, просто к сведению.
Он вроде не умеет вставлять пароли и предлагать автозаполнение? Вот если я открою какой-то сайт в браузере, или приложение любое — он мне сам предложит вставить/придумать/сохранить пароль?
Если умеет — то да, разницы в удобстве никакой, а независимость от корпораций и проприетарных облаков даёт значительное преимущество. Если/когда Гугл закроет свой менеджер паролей — ваше приложение будет работать.
Про уязвимости ничего не скажу — все что угодно может быть уязвимым, пока не встречал программы, которые бы не могли сломать. Если только по принципу неуловимого Джо.
Он хранит пароли в открытом виде? У себя на сервере?Хром хранит у себя на сервере, да, если синхронизация включена.
вроде как нормально зашифровано всеПри отсутствии мастер-пароля троян может расшифровать БД с паролями, зашифрованную с помощью DPAPI без какого-либо труда. Проблема будет в том случае, если кто-то пытается достать файлы без входа в учётную запись Windows.
Хранить то хранит. Но не в открытом же виде. А как раз в зашифрованном и закрытом мастер паролем.
С локальной бд аналогично. Выше ссылка.
Троян может "расшифровать" что угодно, просто перекватив ввод с клавиатуры. Хром тут более уязвимый только потому, что популярный и стоит у каждого почти.
Хранить то хранит. Но не в открытом же виде. А как раз в зашифрованном и закрытом мастер паролем.
С локальной бд аналогично. Выше ссылка.Я ходил по ссылке и кроме ссылки ещё и сам работал с DPAPI. Хром шифрует свои локальные базы данных с помощью машинного ключа, а значит любое ПО, запущенное текущим локальным пользователем получает доступ к этим БД без какого-либо перехвата клавиатуры пользователя.
Только что на Chrome 89 убедился, что в настройках хранения пароля указать мастер-ключ невозможно и для этого необходимо устанавливать стороннее расширение. Я считаю, что это уже не считается заслугой Chrome.
Троян может «расшифровать» что угодно, просто перекватив ввод с клавиатурыПерехват клавиатуры с инъекцией в чужой процесс на порядок более заметен антивирусными системами, чем обращение к DPAPI с машинным ключом.
Браузер — программа, KeePass — программа. В чём разница каким программистам доверять. Яндекс в этом смысле даже понадёжней выглядит.
Пароли из браузера тоже можно использовать на любом устройстве. Не вижу проблемы. Синхронизация же работает.
Ну а насчёт разнообразия вы что имеете ввиду?
Пароли из браузера тоже можно использовать на любом устройствене совсем так, уже писали, что пароли нужны не только для веба. И не только пароли. В защищённом хранилище удобно хранить многое, что можно назвать «личной информацией». Вовсе и не пароли, но то, что хочется иметь под рукой — и не светить ими.
Именно это разнообразие, разнообразие хранимого, и имелось в виду.
Я использую хранилище в Я.Браузере не только для веб паролей. Весь функционал для этого там есть, зачем что-то ещё?!
У меня такое впечатление, что у многих на Хабре присутствует снобизм: "пароли хранить в браузере — фуу… Кошерно только в специализированной программе, лучше, чтобы интерфейс был из командной строки. Вот тогда это по IT-шному."
А чем плох браузер, я так и не поняла. Разве что потенциально более дыряв, т.к. программа слишком большая и сложная, и вызывает большой интерес у вредителей?
Браузер, как никто другой, и так знает (если ему надо) вашу поднаготную: и сайт посещаемые, и банкинг, и пароли, которые вы вводите. Это смешно — пользоваться браузером, но при этом говорить, что хранение паролей в нём — не-е, это не секьюрно, Яндекс их стырит.
Браузер сталкивается только с малой толикой моих паролей. И вообще не знает прочих секретов. Да и касательно паролей — лично я храню в нём только (жму "запомнить") самые неважные вещи. Те которые если завтра утекут — да и бог с ними. А самые важные вещи не доверяю даже софту вроде pass.
это не секьюрно, Яндекс их стырит.
Скорее не сам yandex, а что-нибудь ориентированное на yandex browser (или любой другой). К слову old school Opera хранила свои пароли в wands.dat (точное название файла не помню). И огромное количество всякой вирусни первым же делом пыталось утащить этот файл. Со всеми вытекающими.
Касательно хранения паролей в браузере. Не совсем понятно о чём спор и почему такой категоричный. Очевидно ведь что это непрофильная возможность данного софта, посему и представляет из себя примитивный UI с парой кнопочек и 4 input-ами. Если вам этого достаточно — why not, каждому по потребностям, но заявления в духе:
подобным программам настало время умереть как классу
с моей колокольни выглядят очень странно. За это у вас -20. Не из-за не любви к yandex browser или yandex, а за категоричность. "Мне не надо = никому не надо".
Есть профессиональный продуманный софт (откройте хотя бы настройки того же Keepass XC, пощёлкайте UI, посмотрите и пощупайте интеграции), а есть любительский. А есть, как вот в статье описано, более CLI подход. В зависимости от степени вашей "гиковости" и у вас и пожелания к софту будут совсем разные.
Это разделение в софте оно ведь повсюду. Есть упрощённый софт с минимальным порогом входа и простыми возможностями, минимумом настроек. Есть более профессиональные тулы, которые требуют порой многих лет освоения, а есть совсем уж гиковский велосипед где гик конструирует вокруг своих предпочтений целую экосистему. И тут вы вкатываетесь к гикам на трёхколёсном велосипеде со словами: "ваши mountain bikes это каменный век". For what?
Ну и по аккуратнее со всем что касается security. Может показаться что эта тема простая как два пальца, а на деле это бездонный колодец.
Вы про вот этот менеджер паролей говорите?
у многих на Хабре присутствует снобизм
подобным программам настало время умереть как классу.
Это да :)
Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.
В этом смысле это просто максимальна простая и понятная утилита, понятно как она работает, и понятно насколько она защищена. Но предполагает ответственность пользователя за безопасность данных в том числе — если вы скомпрометируете свои ключи шифрования, сам себе злой буратина. Короче вопрос сохранности паролей — тут скорее вопрос доверия к самому себе, а не к Яндексу/Мозилле или еще кому-то. В этом смысле просто каждому своё, кому неохота, тот и не заморачивается. А, ну и автор приложения также разработчик wireguard, так что есть к нему кредит доверия как к специалисту по безопасности.
Народ возможно стриггерился на Яндекс.браузер, поскольку хэйтить яндекс приятно и полезно, особенно вспоминая яндекс-бары и прочую дичь, которую приходилось отовсюду ссаными тряпками выносить. Да и сейчас яндекс-браузер во все щели ломится.
Хранение паролей в браузере слишком сильно привязывает вас к одному браузеру. Бывает случаи, когда приходится работать в двух разных браузерах одновременно, например.
Что касается хранения паролей на сервере Яндекс, так тут каждый сам выбирает кому доверять, для кого-то это Яндекс, для кого-то Apple или Google или еще что-то.
Доверяете Яндексу? Молодцы, только не забывайте, что даже у ФБ были гигантские утечки данных, а они обязаны о них уведомлять и за неуведомление им будет Ай-Ай-Ай, а Яндексу за такое же ничего не будет, потому что «любая фраза Пескова». Я не хочу сказать, что Яндекс плохой, просто всегда нужно помнить, что есть человеческий фактор и даже, если кому-то сейчас все равно, что его пароль от его почты для спама куда-то утечёт, то это ещё не значит, что через несколько лет это окажется проблемой.
Где логика? Вы не доверяете злому браузеру хранение паролей, поэтому храните их в другом месте. Потом, чтобы где-то авторизоваться, открываете это надёжное место и вбиваете пароль… в браузере.
Если браузер тырит пароли, как вы подозреваете, то он точно также может их тырить при авторизации.
Другое — если пароли будут сохранены где-то на серверах компании (про возможность красть во время ввода не говорим, т.к. если машина заражена, что все данные автоматически скомпрометированы), которые неизвестно как защищаются и неизвестно как шифруются (если вообще шифруются).
Первый способ в чём-то даже более секьюрно выглядит хотя бы из-за того, что хакерским группам интереснее ломать компанию, чем какого-то noname-юзера.
Чтобы потом не удивляться, когда в Хроме пароли (зашифрованные) показывались по ссылке в вашем браузере (довольно долго была такая «фича») любому, кто сел за ваш комп «проверить почту».
Вот кстати да, это даже не баг, это общая культура.
Я пользуюсь pass на винде (через WSL, он у меня давно стоит), ubuntu, макоси и iOs.
1. вы не просто используете паролехранилище Я., вы замыкаете себя на этом браузере и др. приложениях. Я. между тем весьма агрессивно собирает на вас досье. «Гони природу в дверь, она влетит в окно».
2. Браузер отличается от специализированных приложений уязвимостью. Это большое и сложное приложение с вечной кучей багов, которое выполняет код с непонятно каких сайтов.
3. Конкретно в паролехранилищах браузеров довольно часто обнаруживают уязвимости. По крайней мере, гораздо чаще, чем в спец. программах.
4. Общая культура безопасности в компаниях, разрабатывающих спец. приложения, выше. А безопасность — это не просто «у нас AES256, все надежно защищено, мамой клянусь». Это куча мелочей. Ну вот, например, сейчас провел тест в хелпе Я.браузера и в lastpass: поискал информацию, сколько раз нужно взять хеш пароля, чтобы получить ключ. В lastpass все нашел быстро — там целый документ, посвященный всяким нюансам защиты. В Я.б по содержанию и поиску не нашел. То, что яндекс считает, что пользователям это не важно, уже симптоматично.
4. Специализированные приложения заметно функциональнее. Хотя это, я согласен, важно не всегда. Часто базового функционала(сгенерировать, запомнить и вставить в форму пароль) достаточно.
5. Не уверен, что я правильно делаю, но в принципе яндексу я верю. Верю, что он добросовестный и тырить пароли просто так не будет (в отличие от всей персональной информации, до которой сможет дотянуться). Но я уверен, что если к нему придут/уже пришли люди в погонах, он не откажет в просьбе вставить, например, в шифрование бекдор. Если вы живете в той же стране, что и люди в погонах, это не очень.
6. И насчет того, нужно ли бояться яндекса, он ведь все равно может своровать пароли из формы, независимо от способа ввода. КМК, бояться все равно нужно: a) вы заходите на все сайты из одного браузера, без выбора. б). На часть сайтов вы вообще никогда не заходите из браузера, на часть — заходите редко. Ловить вас, когда вы зайдете на «интересный» сайт, не очень-то и удобно. в). Да и палево это, прямо из форм воровать пароли. Заметят такой «функционал». Гораздо тише и безопаснее взять всё хранилище и взломать с помощью бекдора или уязвимости. Да и пароли сразу все получите, а не будете из форм собирать в час по чайной ложке.
Как-то так)
Вопрос гибкости Яндекс, Хром да даже нативный Огнелис ну никак не решает. Тут можно доступ к паролям разным людям раздать, насколько хватит фантазии.
Некоторые не очень параноящие граждане пишут, что даже и ключи туда можно положить (только если они запаролены, естественно). В крайнем случае будет спален только список ваших акканунтов (точнее, названий которые вы им присвоили в пасс) — но в моем случае это не чувствительная информация.
Хотя недавно был забавный случай. Вижу в списке своих паролей некий «mancentral» и не помню, от чего он. Сую название в гугл — выдает какие-то гей-знакомства. Потом оказалось, что это пароль от ManusсriptCentral — системы отправки научных статей в Radiocarbon.
Экселевские таблицы давно напрашиваются как хранилище паролей. Но зависимость от большой (как части еще большего пакета) и небесплатной программы сдерживает.
Только вот и беспарольные системы тоже небезопасны, временный ключ который выдает тебе сервис можно пререхватить. Причем весьма банальным фишингом. Потому что беспарольные системы расхолаживают.
Ну раз уж мы тут про системы хранения паролей говорим, то я бы лучше воспользовался собственной системой шифрования. Какая-нибудь система сдвигов многомерной матрицы. (Количество комбинаций в кубике Рубика 6x6 — дает 10^116, что уже больше чем 2^256)
Вот только, что делать с программой дешифрации. Ее тоже надо хранить в безопасном, но доступном месте. Значит алгоритм должен быть такой простой, чтобы воссоздать такой скрипт можно было бы по памяти, в случае его утери. Или чтобы программа дешифрации основывалась на каком-нибудь известном алгоритме (не обязательно предназначенном для шифрования).
Раскодировать такое не будет под силу никому. Только социальная инженерия, паяльник или квантовый компьютер.
под винду есть ещё удобное к нему github.com/geluk/pass-winmenu
pass + синхронизация устройств через syncthing, сервер которого крутится на копеечном rpi zero. Работает как часы. И никаких зависимостей от сторонних сервисов. И полная уверенность в том что в будущем база паролей останется юзабельной, даже если pass внезапно исчезнет с лица земли — потому что формат хранения это обычный текстовый файл.
Может реализую со временем вариант с удалённым рабочим столом, когда будет свой постоянно включенный сервер. Но тут опять встаёт вопрос безопасности.
Вот тут пишут что из Password Boss можно экспортировать пароли в JSON формате, ну а потом уже не должно составить сложности сконвертировать их формат, который примут другие менеджеры паролей.
Хотя возможно там про какой-то другой Password Boss рассказывают.
Программа была бесплатна для русскоязычных пользователей.
Keepass. Надежен и достаточно прост. Аналогов для себя не нашел.
Пока мало что может сравниться с KeePass и парой его плагинов. Например, что умеют оба:
1. Репликация в файл (для подхода резервирования 3-2-1)
2. Кросс системный UI в виде понятного outliner
3. Подставлять креды в формочки веба.
4. Подставлять ssh key и пароль от него. Pass должен уметь через pipe конвейер, keepass умеет через UI плагин. На unix придется тащить mono, что бы запускать все эти перделки на .net.
5. Хранить любое барахло, приложенное в «дополнение» к записи. Очень абстрактно, чуть детальнее:
5.1 В kee можно бинари/блобы приложить к entity и зашифровать. Вы неявно ограничены только адекватным размером БД для быстрой репликации и скоростью расшифровки.
5.2 в pass (как и линукс) все — файл, содержимое которого можно зашифровать.
Что особого есть только у keepass
1. Простота расшифровки и вообще порога вхождения. Нужно только помнить мастер-фразу что бы расшифровать. Не нужно пыхтеть с key файлами или key серверами или с сохранением [в безопасности] приватного файла. Да это может быть необходимо в каких-нибудь редких случаях работы на режимных объектах, но обыватель не оценит.
2. Шифрование вообще всех данных, не только пароля. Является чувствительным данными, если в менеджере хранить карточки, пины, cvc и прочие штуки которые нужно прятать ото всех обывателю.
3. Авторитет и «медийность». [Практически] все сотрудники ИБ слышали о нем и готовы втащить в периметр, что бы обычные сотрудники пользовались. Многое остальное протаскивается настолько медленно и со скрипом, что грусть-печаль.
4. Возможность сделать [или купить] отдельное хардварное устройство для забивки паролей, которое нестрашно потерять. Я бы понаблюдал за тем, как бы подскакивал человек, у которого утекла флешка с приватным файлом, при попытке реализации задумки на pass.
Было бы не честно, не сделать аналогичный абзац про «умеет только pass», но список у меня скудный.
1. Без mono и .net зависимостей пробрасывать креды/секреты в формочки или ssh агент именно unix окружении.
Знакомьтесь, pass