Комментарии 55
При том, что я вижу плюсы в использовании менеджера паролей, меня вот лично сильно смущает возможность неожиданно оказаться без доступа ко всему, что там хранится в случае, если что-то пойдет не так. Особенно если хранить там всё, как написано в статье.
Не знаю как в других менеджерах паролей, но в том же битвардене vault синкается целиком, и есть оффлайн доступ. Т.е. в моём случае, чтобы остаться без доступа, нужно потерять 4 устройства + ОДНОВРЕМЕННО потерять 2 физических хардварных токена(потому что всегда есть ещё и веб версия Vault'a).
Странно что совсем нет упоминаний Bitwarden'a.
Есть моб приложение, веб версия, браузер экстеншн, шейринг паролей по организации, проверка утечек, проверка сложности, поддержка TOTP как в самих паролях, так и при доступе к Vault'у.
Есть как платная версия, так и селф хостед(особенно радует Bitwarden-rs от комьюнити, легкая реимплементация, которой хватает самого дешёвого дроплета).
Так у всех сервисов разные требования к паролям. Одним нужны разные регистры, специальные символы, цифры, другим ещё какие-то требования… На всех не угодишь. А потом перебирай эти 20 фраз на сервисе, в котором ты зарегистрировался год назад и больше не заходил, а после 5 неудачных попыток тебя банят… Так себе удовольствие тоже.
В комиксе, который выше привели, вроде противопоставляются максимально сложные пароли тем, которые легко запомнить. Ну и использовать одинаковые пароли в разных местах обычно считается плохой практикой, так как компроментация одного пароля ведет потенциально к компроменации сразу кучи сервисов.
2. Для того чтобы генерить сложные пароли для разных сервисов достаточно опять же иметь хорошую методику генерации и запоминания паролей.
Достаточно один раз запомнить методику и пользоваться всю жизнь. На самом деле в этом нет ничего сложно. Просто пример: разные сервисы — добавляем префикс сервиса к паролю (в простейшем случае). Запомнить легко.
А потом попадёшь на сервис, в котором нельзя использовать, скажем, знак подчеркивания и всё пойдёт лесом :(
Не лучше ли держать в голове пару десятков фраз
Не лучше. Потому что голова человек очень плохо запоминает именно рандомные фразы, даже если построены таким образом. Две-три-шесть штуки, которыми постоянно пользуешься — нормально. Все больше — забудешь и начнешь путаться 'да как же там было-то?'
А если в построении есть какая-то система — то уже имеем резкое уменьшение энтропии.
А потом пароль срочно понадобился вам в другом городе… Возить шкафчик с собой? Или, не дай бог, пожар, и нет больше вашего шкафчика, его бэкапить нужно было… Да и этот шкафчик ничем принципиально не отличается от менеджера паролей: ваш хитрый алгоритм + фото = шифрование + мастер пароль, шкаф = база с паролями. Так что и эта схема не лишена серьезных недостатков. Идеального пока не придумали ничего, каждый должен для себя решить, какие риски для него приемлимы, а какие нет.
Не нужно преувеличивать способность человека придумать систему генерации паролей. Если бы это было просто — то предупреждений вида 'не используйте дату рождения' не было бы. А 'хитрые алгоритмы' уже давно в криптографии придуманы.
Если хочется самодельной системы — то сразу надо что-то вроде
password = base64(pbkdf2(secret, username@url_cайта))
secret помним наизусть. Сам калькулятор этой штуки запускается на железке, которая принципиально оффлайновая и залита со всех сторон в эпоксидку — чтобы злые хакеры не добрались и прошивку не подминили.
ну и безопасность этого тоже сомнительна
в исходном предполагается, что пароль будет перебираться побуквенно
но никто не мешает написать переборщик, который использует правила по которым формируется пароль
1) Все пароли лежат в одном месте. «Не храните все яйца в одной корзине» по понятным причинам. Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.
2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.
PS: интересно упоминание SolarWinds, когда на весь мир звучит название этой компании в связи с тем что из-за багов в её продуктах аттакованы десятки компаний по всему миру :)
1) Все пароли лежат в одном месте. «Не храните все яйца в одной корзине» по понятным причинам. Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.
Можно использовать несколько баз.
2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.
Да, это минус, спору нет. Остаётся надеяться на то, что такие продукты сильнее защищены, чем рядовые продукты, от которых пароли в нем хранятся.
Ну так это на любой способ хранения паролей можно найти противодействие. Хранить в менеджере — достаточно получить доступ к менеджеру, хранить в голове соль — ну надо будет ещё разок полный пароль перехватить. Делов-то :)
Всегда будет какая-то вероятность взлома, я для себя (база Keepass синхронизируется на телефон через OneDrive) как приемлемую.
тут единственное решение менять все пароли
менеджеры паролей предотвращают другой сценарий взлома, который наиболее популярен сегодня. Когда с какого-то сайта/сервиса утекают пароли, и потом эти пароли проверяются злоумышленниками на других сервисах, и тут как страдают те у кого везде одинаковый пароль
Менеджер же паролей позволяет запомнить один сложный пароль и использовать на каждом сервисе уникальный безопасный пароль
Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.Если злоумышленрики знакомы с вами настолько хорошо что знают что вы пользуетесь менеджером паролей и могут иметь возможность выкрасть у вас базу данных — значит они так же имеют возможность, скажем так, поинтересоваться информацией у вас напрямую.
2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.Этот недостаток есть лишь у т.н. «сервисов менеджеров паролей». У которых есть куда более весомые и существенные недостатки (Например, сама суть идеи) чем потенциальное нахождение уязвимостей — такие как вероятность что они внезапно и без предупреждения перестанут существовать (Как было с очень крупной и по сути являвшейся стандартом в индустрии CGI соцсетью-портфолио галереей CGhub.com), или что у вас нет никакого контроля и никаких гарантий о том что к вашей базе данных есть доступ только у вас, и что у сервиса нет бекдора для каких-нибудь спецслужб или даже просто желающих заплатить. Облачные сервисы были и останутся чистым злом, совращающим несчастных т.н. «удобством», чья истинная цель — мир цифрового концлагеря, где вам не будут принадлежать даже ваши собственные файлы (а может и даже терминал через который вы будете получать доступ к бесплатной учетной записи облачной ОС тоже будет арендуемым, а не купленным (Подумайте о том чтобы оформить подписку уровня «эконом», это уберет видеорекламу из контекстных меню программ и увеличит ваш лимит количества личных файлов до 200!)).
Важно помнить что реальные облака состоят из капелек воды, и имеют тенденцию быть эфемерными и испаряться. Использовать сервисы как основное средство собствеенной безопасности это безумие чистейшей воды.
По поводу первого пункта не соглашусь. К примеру я уже знаю что вы айтишник и пользуетесь менеджером паролей. Будь я злоумышленником вы могли бы стать моей целью. Это к тому что узнать такую информацию совсем не сложно. Более того Многие малвари на рынке имеют модуль сканирования менеджеров паролей. К примеру шифровальщик могут зашифровать базу этих паролей и вымогать деньги.
По второму пункту согласен почти полностью
Какие недостатки у связки keepass+dropbox, например?
Менеджер паролей — хороший способ повысить уровень безопасности своей работы, сохранив все коды доступа в одном надежном месте.
То, что менеджер паролей однозначно повышает безопасность — это весьма смелое заявление. Да, менеджеры паролей позволяют решить некоторый класс проблем безопасности, но при этом потенциально создают ряд других.
KeePass + OneDrive, вернулся после года на 1password. Кстати вспомнилось: плюсы как то описал тут: https://dpursanov.medium.com/ode-to-keepass-f8ccfb0065a6
Из минусов: ну никогда он не станет массовым; KeePass просто хороший инструмент, но для пользователей не только браузера.
https://xakep.ru/2021/04/26/passwordstate/
А вот почему не стоит.
Почему стоит использовать менеджер паролей