Комментарии 9
В случае с keypass, пользователи закидывают копию базы на dropbox или аналогичное файловое хранилище третьего лица, для удобства доступности базы и автоматического резервного копирования.
удобно пользоваться Syncthing со своим сервачком снаружи для синхронизации между девайсами
Бекап - крайне удобной штукой для бекапов оказался Kopia, которую можно поднять на том же внешнем сервере, будет раз в N часов закидывать diff бекап на S3
К вопросу о web-версии для Keepass, есть вот такая вот штука: https://github.com/keeweb/keeweb
Да, это альтернативный десктоп-клиент, но интерес в веб-приложении. Можно поставить как self-hosted версию себе на сервер или, если использование чужого веб-сервиса (как и с bitwarden) не беспокоит, пользоваться их онлайн версией: https://app.keeweb.info/
Умеет работать с локальным файлом или популярными сервисами типа дропбокса/гуглдрайва.
Тоже недавно решил пересмотреть политику хранения паролей. И пришел к мысли, что кроме паролей есть еще Backup codes (те которые используются в случае восстановления аккаунта по причине утери пароля или утраты TOTP токена). Честно говоря никогда не разделял желания хранить их в распечатаном виде в ящике стола... Есть у кого примеры по безопасному хранению, шифруете их как-то?
KeePass
В Bitwarden тоже есть зашифрованные заметки
Как дополнение к hard copy (только я не печатаю, а пишу чернилами) использую GnuPG:
gpg -e [ -r KeyID ] >secret.gpg
Дальше печатаю (или вставляю из буфера) секретную информацию и закрываю stdin (Control+D). Всё, осталось не потерять приватный ключ и не забыть парольную фразу от него.
Спасибо за вторую статью из цикла "про пароли"! Такой материал (кроме собственно информативного содержания) очень полезен тем, что мотивирует сесть и подумать "а как это делаю я? не пора ли что-то изменить / улучшить?"
Лично я использую разные варианты KeePass* (KeePassXC на десктопах / ноутбуках, KeePass Touch на iPhone, KeePassDroid на Android) плюс GnuPG для хранения TOTP init и прочих важных вещей. Синхронизация на свои сервера (ftp / rsync).
Мастер-пароли написаны документыми чернилами на качественной бумаге, герметично запаяны и запрятаны в разных местах. Пока полёт нормальный!
А ещё в bitwarden есть встроенный генератор TOTP, что указывает на аудиторию, на которую он нацелен.
Для параноиков, боящихся, что облачный менеджер украдет их пароли, тот же Bitwarden можно спокойно запустить в self-hosted режиме на своем собственном сервере. Стоящем где-то в своей серверной на своем железе (мы ведь не доверяем чужим датацентрам).
Хранение паролей: работа над ошибками