Комментарии 132
>Количество падений сервиса за последние 6 месяцев
Онлайн хранилки паролей? Спасибо — не надо.
Я еще удивился почему keepassx нет в таблице.
Подскажите, как это работает у keepassx?
Можете рассказать подробнее?
Я использую на винде KeePass с плагином для синхронизации с GoogleDrive, на андроиде Keepass2Android, который из коробки умеет синхронизироваться с Google Drive (Dropbox, OneDrive, OwnCloud, sftp, ftp, http), но вот с линуксом беда. Там использую KeePassX, который плагинов не имеет, а в KeePass (с mono) тот плагин для GoogleDrive не работает.
ПС: просто ветка начинается с того, что онлайн хранилки не нужны. А как синхронизировать адекватно — я что-то не понимаю.
или ставьте третий хост.
Я для себя нашёл следующий вариант: на десктопе keepassxc, по умолчанию выставленный на файл в директории синхронизации, а на Android — оффлайн файл в Google Drive + ярлык на домашний экран.
У меня уникальный пароль от почты и соответственно от гуглоакка, плюс двухфакторная авторизация, и уникальные с небольшими изменениями пароли от самых важных вещей, вроде пейпала, и стандартный пароль от всего остального. Даже если этот стандартный пароль угонят, я смогу всё восстановить на почту.
Кстати говоря, однажды этот стандартный пароль попал в открытый доступ после взлома твиттера. Но не беда, спустя пару дней я провёл ревизию всех аккаунтов и поменял пароль абсолютно везде. Всё равно это по хорошему нужно делать раз в пару лет.
По мне, так техника всегда надежней человека.
Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски.
Почему неизбежно? Странное утверждение.
Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным
Профит не только в этом. Например, никогда не введется пароль на фишинговый сайт-двойник какого-либо сервиса, удобная автозамена паролей, отсутствие человеческого фактора наконец.
Я и так не ввожу пароли на сайты двойники :)
Я признаю, что пассворд менеджер очень удобен для казуалов, но для продвинутых пользователей он не нужен.
Да, они хранятся в одном месте, но все-таки 21й век на дворе и 2FA никто не отменял.
Я и так не ввожу пароли на сайты двойники :)
От ошибок никто не застрахован, излишняя самоуверенность плохой товарищ параноика (а ведь быть лайт-параноиком обязательно, когда столько всего храниться в сети).
А на счет нужности/ненужности было бы интересно какие-нибудь исследования почитать — наверняка проводились. Может кто и поделится ссылкой.
Я подхожу под Ваше определение казуала?
И да, я не везде хожу по паролю. Там где можно я использую SSO и сертификаты, но на случай отказа SSO всегда нужен пароль от локаладмина.
семейный человек?
Я шарю часть паролей даже с супругой — зачем для тех же магазинов заводить разные учётки?
OFF: а ещё шарю адресную книгу и календарь, чтобы так же не заморачиваться на ручную синхронизацию
Я шарю часть паролей даже с супругой
Пароли от жены должны быть скрыты в первую очередь! Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
для тех же магазинов заводить разные учётки?
Так может вообще не проходить авторизацию? Зачем париться то?
а ещё шарю адресную книгу и календарь
Ну это вполне не оффтоп — объясняет Вашу позицию. Вы находитесь в суперпозиции «неуловимого Джо». Потому Вам и скрывать нечего. Не все такие безобидные, как Вы. Да и поймать тот момент, когда Джо станет кому-то интересен довольно сложно, так что лучше перебдеть.
Пароли от жены должны быть скрыты в первую очередь!
Так не все пароли шарятся же. В рамках 1password заведены несколько сейфов, часть из которых пошарена с супругой, отдельные сейфы под каждого заказчика/работодателя (чтобы не путаться и можно было грохнуть одним махом), один для мамы, другой для тёщи и т.д. — так проще помогать или обновлять "устаревшие" пароли.
Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
те, кому я пошарил сейф, вполне просвещены на тему отсылки "на сторону" приватных данных. Родители "курс молодого бойца" прошли уже несколько лет как и обеспечена удалённая поддержка и прочее. Супруге я доверяю — если ей не доверять, то кому тогда?
Так может вообще не проходить авторизацию? Зачем париться то?
Это позволяет одному накидать в корзину, а второму сделать заказ. Или накидать в одну корзину каждому что хочется и сделать единый заказ. Плюс накопление всяких бонусов от магазина и прочие плюшки
Вы находитесь в суперпозиции...
Да нет — есть несколько календарей. У каждого персональный и один общий. Так удобнее планировать — если что-то затрагивает более чем одного, то заносится в общий, а если только одного, то в личный. Например рабочие события в рабочее время нужны только мне — их кладу в личный календарь.
С контактами иначе — тут единый список.
Супруге я доверяю — если ей не доверять, то кому тогда?
"… должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе." Возможно у меня просто проф. деформация.
Это позволяет одному накидать в корзину, а второму сделать заказ.
А, Вы в этом смысле…
У каждого персональный и один общий.
Ну т.е. он не свободно расшарен, а расшарен ограниченному списку лиц. Наподобие календаря в MS exchange/Zimbra? Ну тогда в принципе норм.
но для продвинутых пользователей он не нужен.
А что нужно для продвинутых пользователей чтобы хранить 2300 форм, заполнявшихся в разное время в течение 14 лет?
чем 18символьный пароль из случайного набора букв, знаков и цифр хуже 18символьного пароля из слов "на разных языках", но использующий те же латинские буквы? или предполагается, что не только слова, но и сами символы тоже из используемого языка? Но если так, то какова вероятность, что система умеет хранить не-ANSCII символы корректно? Только проверкой сразу же после регистрации "чистой" авторизации.
addons.mozilla.org/firefox/addon/art-password
Приложение под Андроид (без разрешений сети) тоже есть.
Лучше доверять своей памяти
Нет проблем, если вы пользуетесь всего одним-двумя сервисом в интернете.
Проблемы с запоминанием паролей в памяти начинаются, если таких сервисов становится десятки и сотни. Тут кроме запоминания самих паролей встает вопрос запоминания и адресов этих сервисов.
Так что с запоминанием тоже проблем нет. Максимум с 3 раза ввожу правильный пароль.
Да всё время использования этой системы, менял пароль 2 раза. Один из них для безопасности, один раз база паролей твиттер утекла, вместе с моим паролем. Больше никогда не было никаких инцидентов.
Что вы делаете, если регистрируетесь на новом сервисе и вдруг обнаруживаете, что ваш основной пароль (9 символов) этот сервис не принимает и требует чего-то другого. Вот у вас уже 2 основных пароля.
Вот я скорее казуал, а вовсе не продвинутый, как вы, юзер. Но в моём менеджере паролей порядка 300 записей. Некоторые из них (порядка 5-7) по требованию безопасности меняются раз в 3-12 месяца (не я эти требования писал). Что мне делать с ними?
Моё мнение, осутствие менеджера паролей заставляет людей выворачиваться и использовать более простые пароли (те же 9 символов, слова, инкрементные части). С менеджером я спокойно генерю пароли любой сложности и не парюсь сложностью их запоминания.
Помнить пароли конечно тоже надо. У меня есть несколько таких — от самого менеджера (15 символов — комбинация словарной части и случайно сгенерённого куска), от почты основной (аналогично почти) и ещё несколько несложных от несильно критичных вещей.
Если я захожу и мой основной пароль не подходит, то я попробую ещё один вариант. Это если я уверен, что регистрировался. Потом восстановлю пароль на почту. Но такое на практике ещё не было.
Скорее бывает «так, тут вроде я фейковый аккаунт регистрировал», пробую, и подходит. Не всегда, но приятно использовать фейковую почту/пароль для большинства аккаунтов, которые не требуют защищённости. И не получать рассылки, спам, и так далее.
Во первых где взять списки этих «всех» сервисов?
Во вторых что при использовании памяти, что при использовании интернет-хранилок. Пароль везде ОДИН. Все эти ластпасы и прочая ересь(имхо) хоть и создают зилионозначные ультра-хардкор-ватерпруф-ноускоп-360-пог пароли, но для доступа к этим паролям нужен все тотже мастер пароль.
Еще одно неудобство которое я испытал когда пробовал пользоватся паролехранилками то что они не универсальны. Однажды я пытался на заправке посреди Германии войти в почту пароль от которой был сгенерирован в хранилке. Для этого нужно возить с собой либо устройство где УЖЕ установлена эта хранилка, либо опятьже вводить один пароль для доступа ко всем паролям что как по мне — глупо.
В итоге Ваш сценарий прекрасно работает — угоняем мастер пароль, и получаем как все пароли так и список всех сервисов к которым эти пароли привязаны.
Конечно в ситуации когда у вас 1000 КОРПОРАТИВНЫХ паролей это может быть удобно. Но безопасности данные системы ни капли не добавляют.
Выше прочитал, что у вас не очень много сервисов, которыми вы пользуетесь. Я вот посмотрел, у меня в базе паролей почти 200 записей. Держать это всё в голове, да к чёрту, хватает более важной информации, которую приходится постоянно держать в голове.
Не десяток, думаю около 40 основных. То, что на фейковой почте не считаю, там легко может быть пара сотен однодневных аккаунтов, которые время от времени пригождаются.
Я забыл упомянуть, что пользуюсь встроенным в хром менеджером паролей. Это заметно меняет картину, наверное. Я стараюсь минимизировать количество программ, сервисов которыми пользуюсь. То есть ставить программу и сервис ради того, что возможно слегка лучше того что есть — это слабая причина.
Не совсем так. Не скажу за текущую версию хрома, но в прошлом было несколько случаев, когда выяснялось, что надёжность шифрования паролей в браузерах мастер-паролем, скажем так, была очень не на высоте. Доверия им в этом смысле уже нет. Кроме того, хранить пароли в браузере не очень хорошая идея, потому что пароли бывают не только от веб-сайтов, и браузер бывает не только один.
Помимо паролей есть необходимость сохранять ключевые файлы, резервные коды, данные логинов, почт (у меня не 1 email), адреса сайтов, ключи от программ, доп. информацию о секретных вопросах, на какой номер телефона привязано, адрес сервера, автонаборы VNC/RDP, ключи от ssh и т.д.
Провести ревизию по списку из менеджера тоже удобнее, чем вспоминать что и где из головы)
У меня голова бы уже лопнула от таких запоминаний)
Использую исключительно KeePass, т.к. не доверяю хранение паролей внешним сервисам
А раз в случае целенаправленного взлома со стороны сервиса может быть уязвим и кипас, то разницы между кипасом и ластпасом/etc в этом смысле особой нет.
Разница в том, что «взломав» LastPass/etc злоумышленник получает доступ к данным многих пользователей без необходимости расшифровывать их данные.
А взломав облако с кучей шифрованых баз ему нужно будет потратить слишком большое кол-во средств на взлом лишь одной базы, и с очень маленьким шансом на успех. На его месте проще установить keylogger или memory grabber на целевую систему, но от этого уже мало что может спасти.
А в целом верно, идеального инструмента нет, у всех свои уязвимости)
Кроме того, для многих ресурсов LastPass может регулярно менять пароль автоматически, да хоть раз в неделю.
вся суть облачных сервисов/приложений — владелец может в любой момент поменять правила и данные накроются медным тазом…
upd: Вспомнил! При первой установке 1password 7 без лицензии, он выдавал окошечко, где предлагал или оформить подписку или купить standalone версию. Стоила она на 20 июня 2018 около $46.
Поддерживает все платформы, в том числе Chrome.
Разовая плата для снятия ограничения на количество записей.
Замените Yubikey на "Ключ Безопасности". Yubikey это продукт компании Yubico, который так же поддерживает U2F/FIDO2. Стандартный термин "Ключ Безопасности"
Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2
Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2
И что? Если Yubikey поддерживает эту технологию, и Dashlane ее тоже поддерживает, то я не вижу никаких противоречий.
Представьте себе если бы все называли все стандарты по своему, на примере WIFI:
- Пользуйтесь Циснетов в нашем кафе!
- Устройство с поддержкой Хуавейфай
- Наш телефон работает совместим со всеми устройствами поддерживающими Гуглвейвы
Точно так же с ключами безопасности. Все FIDO ключи безопасности могут делать все тоже. Но из за того что люди используют именно название продукта одноименной компании, это вводит людей в замешательство что только Юбикий работает с этим сайтом, когда у тебя всегда есть десятки альтернатив, которые еще и стоят дешевле в большинстве случаев
Теперь по делу. Запомнить «Yubikey» проще, чем малопонятные аббревиатуры, обозначающие технологии, и среднестатистическому (не гику) потребителю будет проще ориентироваться, если будет написано «поддерживается работа с Yubikey», нежели «поддерживает стандарт FIDO U2F/FIDO2». Те, кто «шарит» — и так поймут, что есть альтернативы, а условный некто с Yubikey в кармане прочитает, что его устройство поддерживается, и будет пользоваться. Он ни сном ни духом не разбирается в стандартах, ему достаточно знания, что у него в кармане лежит устройство для двухфакторной аутентификации, а уж какие там у него внутри стандарты — это для специалистов и интересующихся.
всегда есть десятки альтернатив
Ну и кто им, этим альтернативам, виноват, что Yubikey на слуху и упоминается в таблице, а они — нет?
Та же судьба, что у Ксерокса (который вообще Зиракс), Полароида и других бессменных лидеров
Bitwarden можно хостить в собственной инфраструктуре
не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.Ничего не замечаете? ;)
Файл с паролями KeePass имеет открытый формат, использует правильные современные и стойкие алгоритмы, так что никакой проблемы если к нему получат доступ взломав dropbox/etc. просто нет — если на нём стоит достаточно сложный мастер-пароль то ломать его брутфорсом можно до бесконечности.
Проблема же облачных сервисов вроде LastPass в том, что зачастую они либо не обеспечивают аналогичный KeePass уровень защиты (т.е. сервису известно о паролях клиента значительно больше информации, чем просто "они есть" — как в случае с базой KeePass в dropbox), либо защита обеспечивается чем-то вроде веб-клиента/плагина, который может быть легко обновлён/подменён на лету (в т.ч. конкретно для отдельного пользователя) самим сервисом, что позволит сервису получить полный доступ к паролям как только юзер в следующий раз введёт мастер-пароль.
На личном NAS тоже можно разместить файл базы safeincloud.
Имхо неспециализированные облака более безопасны для хранения защищенных файлов, т.к. кроме них содержат миллиарды других файлов, а тот же ластпасс при взломе общего хранилища сливает конкретно базы пользователей с логинами и паролями, пусть и зашифрованными
Аналогично перешёл на SafeInCloud с Pocket.
Принципиальная разница с «облачниками» в том, что здесь шифруют и хранят разные, не связанные люди. То есть тот, кто хранит, узнать и прое̶фукать узнанное не может. Про утечку моих паролей с этими всеми облачниками я в новостях не прочту :-D
С другой стороны, конечно, более известные и проверенные, вроде keepassx ещё и морально надёжнее, так как их математика проверена большей толпой экспертов.
Но последний раз, когда я проверял keepassx эндцать лет назад — это было user hostile… непотребство. Именно с него я убежал на Pocket.
FYI: pass / tpm. Вся дополнительная функциональность или добавляется внешними средствами, или возможно не нужна:
— нужна поддержка usb токена? шифруем PGP ключом, привязанным к токену
— нужна синхронизация? прямое копирование, rsync, rcp, как угодно
— поддержка разных профилей? это вообще задача пользователя, а не менеджера паролей
— администратор имеет доступ к моим данным? В топку такой парольный менеджер сразу
— нужна вставка в браузер? xclip + вставка из системного буфера обмена (pass умеет его чистить) и не морочить себе голову, не такая уж это проблема с безопасностью, тк если у вас скомпрометирован clipboard, то сохранность паролей в менеджере является лишь одной из проблем.
KeePass умеет автозаполнение. Я использую KeePassXC под Linux и Keepass2Android на телефоне — оба отлично это умеют. Причём KeePassXC даже двумя способами — по хоткею и через браузерный плагин. Так что никакого смысла какие-либо пароли держать не в KeePass (исключая мастер-пароль в голове) — просто нет.
Для андройд тоже KeePass
И для linux тоже keepass. Только не помню точное название пакета.
Файл лежит в дропбоксе и синхронизируется со всеми с кем потребуется.
А раньше тоже lastpass пользовался, да.
1Password поддерживает работу с YubiKey. Но кажется поддержку добавили не так давно.
А у меня в том же префиксе wine еще foobar2000 и Winbox для Mikrotik стоит :)
А какие плагины нужны? BTW, вообще сама идея плагинов, особенно не от автора оригинального приложения, для менеджера паролей — меня немного напрягает.
А чего просто не положить файл с базой Keepass в каталог, который синхронизируется с google drive любой доступной утилитой, ничего не знающей про Keepass? У меня так лежит файл в каталоге дропбокса.
Может кто-нибудь поделиться почему?
Например,
1. выше безопасность из-за таких-то фич
2. выше юзабельность из-за таких-то фич
3. уменьшилось доверие к бренду LP (по важности это, пожалуй, номер 1)
А то ощущение, что народ просто устал от бренда lastpass и хочет что-нибудь новенькое.
Я пользуюсь LP много лет, вроде все было нормально. Но недавно произошел инцидет, вызвавший задумчивость: с помощью кода, присланного на секретный email не удалось сбросить 2FA. Не знаю, в чем дело, надо проверить еще раз.
Пользователи LastPass уязвимы для простейшей фишинговой атаки в Chrome 18 января 2016
LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода 23 марта 2017
Еще в начале 2010 годов было много криков на слабую защиту.
Когда несколько лет тому назад переходил, то критерием было:
0) Работа не только с паролями, но и адресами, карточками и т.п.
1) прозрачная синхронизация и работа между окна/пингвины/роботы/надгрызки не только внутри браузера, но и простым клиентом
2) возможность располагать карточки не в одной папке — в 1Password это реализовано через теги
3) Общие пароли (семейный доступ). При этом, видеть все карточки сразу — как личные, так и общие, без потребности переключаться между ними
Читаю комментарии и вижу, что народ рекомендует другие менеджеры. Вообщем, что думаете о Passwork? Подключили пробный период, поэтому можно еще все поменять.
Альтернативы LastPass. Сравнительная оценка шести парольных менеджеров